komp-is - kompetanseprogram for informasjonssikkerhet · 2018. 6. 24. · komp-is -...
TRANSCRIPT
Komp-iS - Kompetanseprogram for
informasjonssikkerhet
KOMP-iS
Opplæring av instruktører/ledere i egen kommune
All bruk og kopiering av opplæringsprogram og filmer krever tillatelse.
Agenda for Komp-iS
• Hvorfor informasjonssikkerhet?
• Hva er kompetanseprogrammet?
• Hva skal du lære dine ansatte?
• Hvordan gjennomføre opplæringen?
• Hvordan få tilgang til Komp-iS
HVORFOR
INFORMASJONSSIKKERHET?
Informasjonssikkerhet
• Sikkerhetstjenester
– Identitetsfederering
– Sikker tilgang fra eksterne nett
– Sikkerhetsovervåking
– Public Key Infrastructur
• Logganalyseverktøy / mønstergjenkjenning
• Datalekkasjebeskyttelse
• Identitets – og tilgangsstyring
– Rollestyrt
– Beslutningsstyrt
– Håndtering/Forvaltning
INFORMASJONS-
SIKKERHET
Teknisk
sikkerhet
Rutiner og
sikkerhets-
organisasjon
Bevisste brukere
• Kompetanseprogram
• Opplæring
• Kunnskap
• Holdninger
• Adferd
• Rammeverk/Styringssystem
• Strategiske føringer
• Risikostyring
• Kontinuitets- og beredskapsplanverk
• Hendelseshåndtering
Definisjon av informasjonssikkerhet
• Tilgjengelighet
– Informasjon og systemer er tilgjengelig ved behov
• Integritet
– Informasjon er korrekt og pålitelig
• Konfidensialitet
– Informasjon er kun tilgjengelig for de som har lovlig tilgang
Informasjonssikkerhet i praksis er å
• Sikre at pasientens/brukerens informasjon ikke kommer på avveie
• Sikre at de som skal ha tilgang, får det
• Forhindre tap av liv og helse som følge av feil i registrerte
pasient/brukeropplysninger
• Melde hendelser og avvik
• Bidra til at pasientenes/brukernes tillit til helsepersonell ivaretas
• Unngå renommésvikt som følge av uheldige oppslag i pressen
Sensitiv informasjon
• Kompetanseprogrammet er rettet mot å sikre
pasientinformasjon
• Annen informasjon vi må sikre er
– Informasjon om ansatte – som også kan være
sensitive personopplysninger
– Virksomhetskritisk informasjon
VERDIFILMEN
Ditt ansvar som instruktør/leder er å
• Gi de ansatte opplæring i informasjonssikkerhet.
• Tydeliggjøre at hver enkelt ansatt har et ansvar
• Bidra til å sikre pasientinformasjon og forhindre…………
HVA SKAL DU LÆRE DINE
ANSATTE?
De 8 huskelappene
Virkemidler
• Veileder for ledere - som skal undervise videre
• Presentasjon for opplæring av de ansatte
• Verdifilmen
– forteller hva som er kjerneverdiene i
kompetanseprogrammet.
• Fem humorfilmer
– hjelper deg å få oppmerksomhet knyttet til budskapene i
kurset samt bidra til å huske det som gjennomgås i kurset
• Diskusjon og refleksjon
• Finne forbedringsområder
«FILMER+LAPPER+DISKUSJON = HOLDINGSENDRING»
• E læringsprogrammer kommer ( 2014? )
Virkemidler/profilering
• Jeg låser PC-en enten ved å;
– Trykke Windows knappen og L eller;
– Trykke Ctr + Alt + Del og ”Lås datamaskin”
• Jeg logger også av fagsystemer.
• Jeg logger av PC-en når jeg er ferdig for dagen
• Jeg husker alltid å lagre hver gang jeg forlater PC-en
Hvorfor er dette viktig?
• Hindre uautorisert tilgang til pasientinformasjon, gjennom å;
– Sikre deg mot at kolleger bruker ditt brukernavn
– Sikre deg mot at andre får tilgang til pasientopplysninger
– Sikre deg mot at andre kan lese det du har oppe på skjermen
• Jeg ber aldri om å få låne andres passord
• Jeg deler aldri passordet mitt med andre
• Et godt passord er enkelt å huske for meg, og vanskelig å huske for
andre
• Jeg kontakter brukerstøtte dersom jeg glemmer passordet mitt.
Hvorfor er dette viktig?
• Ditt brukernavn blir registrert på alle endringer/innsyn.
• Du er ansvarlig for de endringer/innsyn som skjer i ditt navn – selv
om det ikke er du som har sittet bak tastaturet.
• Jeg oppsøker ikke mer informasjon enn jeg må for å gjøre jobben min
• Jeg oppsøker ikke pasientinformasjon om andre enn mine pasienter
• Jeg åpner ikke venners, familiemedlemmers eller egen journal
Hvorfor er dette viktig?
• Du har kun anledning til å lese i journalen til de pasienter du har ansvar for å yte helsehjelp til eller dersom du har annet lovlig grunnlag.
• Hva om noen leste din journal noen uten lovlig grunnlag?
http://www.vg.no/helse/artikkel.php?artid=542032
http://www.dagbladet.no/2012/12/11/nyheter/innenriks/helsetilsynet/pasientjournal/pasientopplysninger/247679
88/
«Jeg oppsøker ikke mer informasjon enn jeg
må for å gjøre jobben min!»
• Jeg legger alltid dokumenter tilbake der de skal være
• Jeg skriver kun ut det jeg må og passer på at det går til rett
skriver
• Jeg henter alltid utskriftene mine med en gang
• Jeg makulere alltid dokumenter med pasientinformasjon
Hvorfor er dette viktig?
• Det hindrer utilsiktet utlevering av pasientinformasjon
• Det hindrer uautorisert tilgang til pasientinformasjon
• Det hindre at pasientinformasjon kommer i gale hender
«En manns søppel er
en annen manns skatt»
«En manns søppel er
en annen manns skatt»
• Minnepinner er enkle å miste og kan lett spre virus.
• Jeg lagrer pasientopplysninger kun slik min arbeidsgiver har
bestemt
• Jeg aldri har pasientopplysninger på bærbart utstyr utenfor
arbeidsplassen
Hvorfor er dette viktig?
• Jeg sikrer arbeidsplassen mot virusangrep
• Jeg sikrer pasientinformasjon
• Jeg tar taushetsplikten alvorlig
http://www.dagensmedisin.no/nyheter/2008/03/11/mistet-taushetsbelagt-info/
• Jeg vet at pasientopplysninger er taushetsbelagt.
Taushetsplikten gjelder også mellom helsepersonell
• Jeg passer på at ikke uvedkommende lytter når jeg snakker
med kollegaer om pasienter
• Jeg snakker ikke om pasienter på offentlig sted eller i kantina
• Jeg passer på at ingen lytter når jeg snakker om pasienter i
telefonen
Hvorfor er dette viktig?
• Det hjelper meg å sikre pasientinformasjon
«Tale er sølv,
taushet er gull»
• Jeg sender ikke pasientopplysninger på e-post, verken internt eller
eksternt,
• Jeg svarer ikke pasienter på e-post
• Jeg bruker kun godkjente løsninger for å sende pasientinformasjon
Hvorfor er dette viktig?
• Pasientinformasjon kan komme til feil mottaker.
• E-post er usikker kommunikasjonsform og ulovlig
«Det er ingen angreknapp på Internett»
• Jeg legger aldri ut, direkte – eller indirekte, pasientinformasjon på
Internett
• Jeg bruker ikke samme passord på Internett som på arbeidsplassen
• Jeg avslår venneforespørsler fra pasienter for å unngå å komme i en
konfliktsituasjon i forhold til taushetsplikten
Hvorfor er dette viktig?
• Det hjelper meg å i vareta det ansvaret jeg har som helsepersonell
• Jeg har et ansvar for ikke å skade arbeidsplassens omdømme
«Det er ingen angreknapp på Internett»
Nå over til humorfilmene…….
Yngve i resepsjonen
Smith-Jenssen, prof.dr.med
• Klikk på bildet for å starte filmen
Driftsleder Narvestad
Yngve på medisinrunde
• Klikk på bildet for å starte filmen
Piirka på sykebesøk • Klikk på bildet for å starte filmen
Bevisste brukere bringer virksomheten
et langt stykke på vei…
……..…men ikke helt i mål
• Ledelsen må fortsatt sørge
for tilfredsstillende
informasjonssikkerhet
gjennom tiltak som
– Styringssystem
– Risikovurderinger
– Sikkerhetsrevisjoner
– Ledelsens gjennomgang
Informasjon
s-sikkerhet
Bevisste brukere
Rutiner og
sikkerhets-
organisasjon
Teknisk
sikkerhet
Norm for informasjonssikkerhet i helse-, sosial- og
omsorgssektoren
• Et sett av krav til informasjonssikkerhet basert på lovverket – utarbeidet av representanter fra helsesektoren
• Normen er et godt hjelpemiddel for å få på plass bl.a styringssystem og tekniske sikkerhetstiltak
• Den forenkler hverdagen for de som jobber i helse og omsorgssektoren
• Den har veileder for problemstillinger ( eks sosiale medier, epost, sms, video)
• Normen er juridisk bindende for virksomheter tilknyttet Helsenettet
• Mange kommuner har Norminstruktører i egne rekker – gjelder det deres kommune?
• Abonnere på nyhetsbrev? Normen.no eller lurer du på [email protected]
Helsedirektoratet www.normen.no
Hvor finner jeg informasjon om
informasjonssikkerhet? Datatilsynet
Informasjon om programmet: www.nhn.no
HVORDAN GJENNOMFØRE
OPPLÆRINGEN?
Følg veileder for gjennomføring av
opplæring
• Hvorfor informasjonssikkerhet er viktig
• Konsekvenser hvis vi ikke lykkes med informasjonssikkerhet
• Virkemidler i opplæringen ( filmer og profileringsmatriell)
• Tips og forslag til hvordan du skal gjennomføre opplæringen
Læring
Rammer for opplæring (oppsummert)
• Vi anbefaler 3 x ca. 40-45 minutter
– Inndeling i 3 kurs bidrar til å øke innlæringen
• Hver instruktør må beregne noe tid til forberedelse
– Sette opp egnet utstyr ( LYD er viktig )
– Sette seg inn i innholdet i de enkelte kursdelene (veileder,
bakgrunnsinformasjon og evt anbefalinger)
• Har du spørsmål til hvordan du skal gjennomføre opplæringen? Ta
kontakt med; Lisbet Guttormsen : [email protected]
Nå skal vi se en film
Hva tenker dere?
Yngve i resepsjonen
Yngve i resepsjonen
• Har vi opplevd noe lignende?
• Hvordan vil vi ha det hos oss?
Noen høydepunkter! • Taushetsplikten gjelder også mellom helsepersonell
• Jeg passer på at ikke uvedkommende lytter når jeg
snakker om pasienter/brukere
• Jeg ber aldri om å få låne andres passord
• Jeg sjekker en gang ekstra at e-post fra meg ikke
inneholder pasient/brukerinformasjon
• Jeg svarer ikke pasienter/brukere på e-post
• Jeg henter alltid utskriftene mine med en gang
• Jeg legger aldri igjen dokumenter på møterom
KURS I INFORMASJONSSIKKERHET
DEL 2
Smith-Jenssen, prof.dr.med
Smith-Jenssen, prof.dr.med • Har vi opplevd noe lignende?
• Hvordan vil vi ha det hos oss?
Narvestad - driftsleder
Narvestad - driftsleder • Har vi opplevd tilsvarende?
• Hvordan vil vi ha det hos oss?
Noen høydepunkter!
• Taushetsplikten gjelder også mellom helsepersonell
• Jeg passer på at ikke uvedkommende lytter når jeg snakker om
pasienter/brukere
• Trykke Windows knappen og L
• Jeg sjekker en gang ekstra at e-post fra meg ikke inneholder
pasient/brukerinformasjon
• Jeg svarer ikke pasienter/brukere på e-post
• Jeg vet at minnepinner er enkle å miste og kan lett spre virus
• Jeg aldri har pasient/brukeropplysninger på bærbart utstyr
utenfor sykehuset
• Jeg henter alltid utskriftene mine med en gang
• Jeg legger aldri igjen dokumenter på møterom
KURS I INFORMASJONSSIKKERHET
DEL 3
Yngve på medisinrunde
Yngve på medisinrunde
• Har vi opplevd noe lignende?
• Hvordan vil vi ha det hos oss?
Piirka på sykebesøk
Piirka på sykebesøk
• Har vi opplevd noe lignende?
• Hvordan vil vi ha det hos oss?
Noen høydepunkter! • Taushetsplikten gjelder også mellom helsepersonell
• Jeg passer på at ikke uvedkommende lytter når jeg snakker om
pasienter/brukere
• Crtrl+alt+delete
• Jeg oppsøker ikke mer informasjon enn jeg må for å gjøre
jobben min
• Jeg oppgir aldri, direkte – eller indirekte,
pasient/brukerinformasjon på Internett
• Jeg bruker ikke samme passord på Internett som på
arbeidsplassen
• Jeg henter alltid utskriftene mine med en gang
• Jeg legger aldri igjen dokumenter på møterom
Fått tilgang til bruk programmet:
Eid
Gaular
Stryn
Vik
Ikke avtalt tilgang:
Askvoll Høyanger
Aurland Jølster
Balestrand Leikanger
Bremanger Luster
Fjaler Lærdal
Førde Naustdal
Gloppen Selje
Gulen Sogndal
Hornindal Solund
Hyllestad Vågsøy
Årdal
Status for «Sogn og Fjordane»
0
5
10
15
20
25
30
Kompis kurs
Tatt i bruk Kompis
«Komp-iS er grat-iS»
• Fylle ut, signere avtalen med NHN. Avtalen ligger her :
http://www.nhn.no/informasjonssikkerhet/kompetanseprogram-
informasjonssikkerhet-komp-is
• Dere sender den til [email protected] , [email protected] eller
[email protected] eller faks til 73 93 14 80 ( Klargjøres på ca 3-5 dager)
• Når du har mottatt passord og pålogging, finner du filmer, dokumenter,
veiledninger og alt av undervisningsmateriell her :
http://www.nhn.no/informasjonssikkerhet/kompetanseprogram-
informasjonssikkerhet-komp-is
• Følg veiledninger for hvordan filmene brukes i presentasjon.
• Følg veilederen for ledere – den gir deg hjelp for undervisning videre
• Egne presentasjoner ligger klare for bruk, til ansatte ( og til ledere )
VERDIFILMEN