Upload File

normens veileder for informasjonssikkerhet og personvern - … veileder... · normens veileder for...

  • Home
  • Documents
  • Normens veileder for Informasjonssikkerhet og personvern - … veileder... · Normens veileder for Informasjonssikkerhet og personvern - medisinsk utstyr Kurs i informasjonssikkerhet
35
Normens veileder for Informasjonssikkerhet og personvern - medisinsk utstyr Kurs i informasjonssikkerhet basert på Normen for medisinsk-teknisk personell 13. februar 2020

Upload: others

Post on 02-Feb-2021

18 views

Category:

Documents


0 download

Report

TRANSCRIPT

  • Normens veileder for

    Informasjonssikkerhet og personvern -medisinsk utstyr

    Kurs i informasjonssikkerhet basert på Normen for

    medisinsk-teknisk personell

    13. februar 2020

  • Bakgrunn

    Side 2

  • Målrettet cyber-angrep mot Helse Sør-Øst

  • Ny teknologi - nye utfordringer

    Side 4

    Skyen, apper, bigdata…

    Lange og komplekse digitale verdikjeder

    Der også pasientens / brukerens eget

    utstyr /apper inngår

    Vanskelige risikovurderinger

    Forventninger fra pasienter og

    pårørende

  • Conficker i Helse Vest 2009

  • Side 7

    30.04.18

  • Noen kjente hendelser knyttet til MU og informasjonssikkerhet…

    Side 8

    «GE-saken»

  • 9

  • Medisinsk utstyr og informasjonssikkerhet – hva er problemet?

    Fra stand-alone til hyper-konnektivitet (IoT)

    Svak endepunkt-sikkerhet

    Kjente sårbarheter eksisterer

    Kan utnyttes som brohode som «svakeste ledd»

    Gap i forvaltning Organisatorisk

    Kompetanse

    Metodikk (safety vs security)

    Side 10

  • Medisinsk utstyr – definisjon etter forskrift om håndtering av medisinsk utstyr

    Side 11

    Ethvert instrument, apparat, utstyr, programvare, materiale eller annen gjenstand som brukes alene eller i kombinasjon, herunder programvare som av produsenten er tiltenkt å brukes spesielt til diagnostiske og/eller terapeutiske formål og som kreves for riktig bruk, og som er ment å skulle brukes på mennesker med sikte på:

    1. diagnostisering, forebygging, overvåkning, behandling eller lindring av sykdom,

    2. diagnostisering, kontroll, behandling, lindring eller kompensasjon for skade eller handikap,

    3. undersøkelse, utskifting eller endring av anatomien eller av en fysiologisk prosess, eller

    4. svangerskapsforebyggelse,

    og der den ønskede hovedvirkning i eller på menneskekroppen ikke framkalles ved farmakologisk eller immunologisk virkning eller ved å påvirke stoffskiftet, men der slike effekter kan bidra til dets funksjon.

    Ethvert instrument, apparat, utstyr, programvare,

    materiale eller annen gjenstand som brukes alene

    eller i kombinasjon, herunder programvare som av

    produsenten er tiltenkt å brukes spesielt til

    diagnostiske og/eller terapeutiske formål (…)

    http://www.google.no/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwijxYyqkfXVAhUjYpoKHeGMDcwQjRwIBw&url=http://www.starthermoplastics.com/tpes-in-action/&psig=AFQjCNEjAwkaLpAmtg-E9TTSVi6OXlz45g&ust=1503844918819264http://www.google.no/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=&url=http://www.toshiba-medical.eu/eu/toshiba-medical-systems-introduces-the-aquilion-onetm-genesis-edition-a-transformation-of-ct-imaging-as-you-know-it/&psig=AFQjCNHxxpc7opv6E-wZLNrGTzcuB5UTyA&ust=1503845053654602http://www.google.no/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwjA0JjrkfXVAhXGQJoKHSciBGsQjRwIBw&url=http://www.massdevice.com/bsx-wins-ce-mark-fda-nod-new-s-icd-regulatory-news-week-march-23-2015/&psig=AFQjCNFv3XwMWx-4jXkLApDQ88YAU159Jw&ust=1503845131907392

  • Kompetansekrav og samtykke

    Side 12

    Forskrift om elektroforetak og kvalifikasjonskrav for arbeid knyttet til elektriske anlegg og elektrisk utstyr - §8 (…)Den som har det faglige ansvaret for og den som reparerer elektromedisinsk utstyr klasse IIa, IIb og III, skal ha utdanning som dataelektroniker, master- eller bachelorgrad eller toårig fagskole innen elektronikk eller utdanning som gir tilsvarende relevant elektrokompetanse. Vedkommende skal ha tre års relevant praksis (…)

    Vedkommende skal ha samtykke fra Direktoratet for samfunnssikkerhet og beredskap eller fra den direktoratet bemyndiger.

    http://www.google.no/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwiAoY34mPXVAhWnZpoKHSw4CiAQjRwIBw&url=http://www.safetysign.com/categories/s367/authorized-personnel-only-signs&psig=AFQjCNFetshOrxivJcNNQbHYSqGJTPV2kA&ust=1503847011725305

  • Organisering av medisinsk-tekniske avdelinger vs. IKT

    Side 13

    Med. tek

  • Organisering av medisinsk-tekniske avdelinger vs. IKT

    Side 14

    Med. tek

  • Før: Nå:

    Side 15

    Stand-alone utstyr hvor operatør måtte

    oppsøke utstyret for å gjøre endringer

    og avlese verdier

    Liten eller ingen mulighet for

    brukertilpasninger

    «Alt» er tilkoblet nettverk

    Måleresultater og innstillinger overføres

    til sentrale servere/applikasjoner

    Muligheter for brukertilpasset menyer,

    alarmer, bilder osv.

    Sikkerhetsfunksjoner for å unngå

    feilbehandling.

    Hentet fra foredrag av Geir-Erlend Myhre Johansen, St. Olavs Hospital HF for MedTek Norge juni 2016

    https://www.google.no/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwj8sYv9o_XVAhVFOpoKHUwzCgsQjRwIBw&url=https://www.dexcom.com/g5-mobile-cgm&psig=AFQjCNG1lfm-Owe9dpt2KJy14myHex3scA&ust=1503850002599637

  • Klinisk beste løsning – eller løsning som støtter best integrasjon og sikkerhet?

    Legen sier: «Klinisk beste løsning!»

    Men:

    Leverandøren leverer ikke HL7 eller DICOM interface

    Leverandøren støtter lagring, men kun filshare

    Pålogging, ingen støtte for dette

    Må være lokal-administrator på PC

    Hendelseslogg – viser til Windows logg

    Antivirus – ikke tale om!

    Sikkerhetspatchinger av OS – kun fra leverandør

    Side 16Hentet fra foredrag av Geir-Erlend Myhre Johansen, St. Olavs Hospital HF for MedTek Norge juni 2016

    http://www.google.no/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwiuuI67rfXVAhUlApoKHZ4kBLQQjRwIBw&url=http://www.infovista.com/blog/index.php/2014/10/09/balancing-mobile-network-performance-with-costs-to-drive-network-sustainability/&psig=AFQjCNHtY00HGFexngWwfK-lvcOkpRvd6Q&ust=1503852537029097

  • Riksrevisjonens selskapskontroll 2014

    Side 17

    Sak 3: Helseforetakenes ivaretakelse av

    informasjonssikkerhet i medisinsk-teknisk utstyr

    Hovedfunn:• Helseforetakene stiller ikke tilstrekkelige krav om informasjonssikkerhet i avtaler

    med leverandører av medisinsk-teknisk utstyr og har mangelfull oppfølging av

    leverandører.

    • Helseforetakene har mangelfull oversikt over risiko knyttet til informasjonssikkerhet i

    medisinsk-teknisk utstyr.

    • Det er uklare ansvarslinjer for informasjonssikkerhet i medisinsk-teknisk utstyr

    internt i helseforetakene og mellom helseforetakene og de regionale it-enhetene.

  • Veileder iPersonvern og informasjonssikkerhet- medisinsk utstyr

    Side 18

  • Normens arbeid med informasjonssikkerhet og medisinsk utstyr

    Publiserte veileder desember 2015

    Deltakere i referansegruppen fra AHUS, Datatilsynet,

    DSB, Helse Bergen, Helse Sør-Øst,

    Helsedirektoratet, Helse Vest IKT, HEMIT, St. Olavs

    Hospital, Stavanger universitetssjukehus, Sykehuset

    Telemark, Sykehuset Østfold, Vingmed AS / Medtek

    Norge.

    Revidert versjon 2017: Tatt inn lenke til generiske

    krav ved anskaffelser

    2017: Kurs for alle helseregioner basert på veilederen

    2018-2019: Arrangert åpent kurs

    2020: Skal revidere scenarier

    19

  • Veileder iPersonvern og informasjonssikkerhet - medisinsk utstyr

    Veilederen skal bidra til å skape felles forståelse for krav og tilnærming til informasjonssikkerhet hos Virksomheter som benytter MU Databehandlere Leverandører av medisinsk utstyr

    Veilederen finnes her:https://ehelse.no/veileder-i-personvern-og-informasjonssikkerhet-medisinsk-utstyr

    13.02.2020 | 20

    Nettverk

    https://ehelse.no/veileder-i-personvern-og-informasjonssikkerhet-medisinsk-utstyrhttps://www.google.no/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwikn4q-sLHMAhULVywKHdi0AzYQjRwIBw&url=https://commons.wikimedia.org/wiki/File:Information_magnifier_icon.png&bvm=bv.120853415,d.bGg&psig=AFQjCNETWaM_vgyTmWeb7Vwld7eDJ8gFug&ust=1461934478462713

  • Hovedtemaer i veilederen:

    Hvordan sikre at behandling av

    helse- og personopplysninger i

    tilknytning til medisinsk utstyr skjer i

    tråd med lovverket

    Hvordan medisinsk utstyr kan

    beskyttes mot angrep på digital

    infrastruktur

    13.02.2020 | 21

    http://www.google.no/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwiJh_OFg_3VAhVCJpoKHchtBnoQjRwIBw&url=http://robinlund.no/fotokrediteringstesten/norges-lover-9/&psig=AFQjCNEqD1nSxP_GLCIueeup3Rv11f0ZWA&ust=1504116038817187http://www.google.no/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwiz94axg_3VAhXJO5oKHU2wCVEQjRwIBw&url=http://www.newindianexpress.com/thesundaystandard/2016/oct/16/pak-launches-sneaky-cyber-attack-1528282.html&psig=AFQjCNGnKz2oPYRTvuaS2kXINgD2XkO1AA&ust=1504116083598645

  • Hovedmomenter

    To hovedtemaer i veilederen: Hvordan sikre at behandling av helse- og

    personopplysninger i tilknytning til medisinsk utstyr skjer i tråd med lovverket

    Hvordan medisinsk utstyr kan beskyttes mot angrep på digital infrastruktur

    Utfordring: I vurderingen av sikkerhetstiltak for medisinsk utstyr, vil

    eventuell påvirkning på funksjon og bruk av utstyret måtte tillegges stor vekt

    Tilnærming: Forholdsmessighet i valg av tiltak Risikobasert

    13.02.2020 | 22

    http://www.google.no/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwiJh_OFg_3VAhVCJpoKHchtBnoQjRwIBw&url=http://robinlund.no/fotokrediteringstesten/norges-lover-9/&psig=AFQjCNEqD1nSxP_GLCIueeup3Rv11f0ZWA&ust=1504116038817187http://www.google.no/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwiz94axg_3VAhXJO5oKHU2wCVEQjRwIBw&url=http://www.newindianexpress.com/thesundaystandard/2016/oct/16/pak-launches-sneaky-cyber-attack-1528282.html&psig=AFQjCNGnKz2oPYRTvuaS2kXINgD2XkO1AA&ust=1504116083598645

  • Få oversikt – vurder risiko – prioriter tiltakEksempler på spørsmål

    til hjelp for å

    kategorisere

    løsningene:

    Behandles

    pasientidentifiserbare

    data?

    Er utstyret

    nettverkstilknyttet?

    Har leverandør tilgang

    via VPN?

    23

    Nettverk

    Nettverk

    Nettverk

    Nettverk

    Nettverk

    Worklist / data

    Nettverk

    Worklist / data

    Nettverk

    Worklist / data

    Nettverk

    Worklist / data

    Levrandør-nettverk

    Helsenett / internettNettverk

    Worklist / data

    Leverandør-support

    Teknisk logg

    Levrandør-nettverk

    Helsenett / internettNettverk

    Worklist / data

    Leverandør-support

    Teknisk logg

    Levrandør-nettverk

    Helsenett / internettNettverk

    Worklist / data

    Leverandør-support

    Teknisk logg

    Nettverk

    Mobilnett

    Internett/helsenett

    Lagring

    Mobilnett

    Virksomhet (f.eks. helseforetak)

    Alternativt: Kommunikasjon / mellomlagring via

    databehandler

    Granskning

    Nettverk

    Virksomhet (f.eks. helseforetak)Hjemme hos pasient

    Nettverk

    Virksomhet (f.eks. helseforetak)Hjemme hos pasient

    Nettverk

    Lagring

    Virksomhet (f.eks. helseforetak)

    Lagring i skytjeneste

    Granskning

    Internett/helsenett

    Hjemme hos pasient

    Nettverk

    Lagring

    Virksomhet (f.eks. helseforetak)

    Lagring i skytjeneste

    Granskning

    Internett/helsenett

    Hjemme hos pasient

    Nettverk

    Databehandling (f.eks. «grovanalyse») i

    skytjeneste

    Lagring

    Virksomhet (f.eks. helseforetak)

    Granskning

    JE468A

    Internett/helsenett

    Hjemme hos pasient

  • Få oversikt – vurder risiko – prioriter tiltak

    24

    Nettverk

    Nettverk

    Nettverk

    Nettverk

    Nettverk

    Worklist / data

    Nettverk

    Worklist / data

    Levrandør-nettverk

    Helsenett / internettNettverk

    Worklist / data

    Leverandør-support

    Teknisk logg

    Nettverk

    Mobilnett

    Internett/helsenett

    Lagring

    Mobilnett

    Virksomhet (f.eks. helseforetak)

    Alternativt: Kommunikasjon / mellomlagring via

    databehandler

    Granskning

    Nettverk

    Virksomhet (f.eks. helseforetak)Hjemme hos pasient

    Nettverk

    Virksomhet (f.eks. helseforetak)Hjemme hos pasient

    Nettverk

    Databehandling (f.eks. «grovanalyse») i

    skytjeneste

    Lagring

    Virksomhet (f.eks. helseforetak)

    Granskning

    JE468A

    Internett/helsenett

    Hjemme hos pasient

    Nettverk

    Worklist / data

    Nettverk

    Worklist / data

    Nettverk

    Worklist / data

    Nettverk

    Worklist / data

    Nettverk

    Worklist / data

    Nettverk

    Virksomhet (f.eks. helseforetak)Hjemme hos pasient

    Nettverk

    Virksomhet (f.eks. helseforetak)Hjemme hos pasient

    Nettverk

    Virksomhet (f.eks. helseforetak)Hjemme hos pasient

    Levrandør-nettverk

    Helsenett / internettNettverk

    Worklist / data

    Leverandør-support

    Teknisk logg

    Levrandør-nettverk

    Helsenett / internettNettverk

    Worklist / data

    Leverandør-support

    Teknisk logg

    Nettverk

    Databehandling (f.eks. «grovanalyse») i

    skytjeneste

    Lagring

    Virksomhet (f.eks. helseforetak)

    Granskning

    JE468A

    Internett/helsenett

    Hjemme hos pasient

    1..2..

    3..

  • 2. Frittstående MU uten lagring. 8. Nettverkstilkoplet MU som lagrer data/rapport både eksternt og internt.

    25

    Bruksscenarier

    Delområde

    Behandling av helse- og

    personopplysningerJa

    Direkte identifiserbare helse-

    og personopplysningerJa

    Avidentifiserte helse- og

    personopplysningerNei

    Overføring av data i lokale

    nettverkNei

    Overføring av data i eksterne

    nettverkNei

    Teknisk overvåkning NeiLeverandørtilknytning NeiTrådløs kommunikasjon NeiIntern lagring NeiEkstern lagring (f.eks. DVD) NeiServerbasert lagring NeiDatabehandler / skyløsning NeiHvem har

    konfigurasjonskontrollVirksomheten

    Delområde

    Behandling av helse- og

    personopplysningerJa

    Direkte identifiserbare helse-

    og personopplysningerJa

    Avidentifiserte helse- og

    personopplysningerNei

    Overføring av data i lokale

    nettverkJa

    Overføring av data i eksterne

    nettverkNei

    Teknisk overvåkning NeiLeverandørtilknytning NeiTrådløs kommunikasjon NeiIntern lagring Ja, permanentEkstern lagring (f.eks. DVD) NeiServerbasert lagring JaDatabehandler / skyløsning NeiHvem har

    konfigurasjonskontrollVirksomheten

    11. MU som overfører data via mobilnettverk (f.eks. fra ambulanser)

    Nettverk

    Worklist / data

    Permanentlagring

    Delområde

    Behandling av helse- og

    personopplysningerJa

    Direkte identifiserbare helse- og

    personopplysningerJa

    Avidentifiserte helse- og

    personopplysningerNei

    Overføring av data i lokale

    nettverkJa

    Overføring av data i eksterne

    nettverkJa

    Teknisk overvåkning NeiLeverandørtilknytning NeiTrådløs kommunikasjon JaIntern lagring JaEkstern lagring (f.eks. DVD) NeiServerbasert lagring JaDatabehandler / skyløsning KanHvem har

    konfigurasjonskontrollKan være leverandør

    Nettverk

    Mobilnett

    Internett/helsenett

    Lagring

    Mobilnett

    Virksomhet (f.eks. helseforetak)

    Alternativt: Kommunikasjon / mellomlagring via

    databehandler

    Granskning

  • Eksempel på bruksscenario: Nettverkstilkoplet MU som lagrer data/rapport både eksternt og internt, med leverandørtilgang

    26

    Levrandør-nettverk

    Helsenett / internettNettverk

    Worklist / data

    Leverandør-support

    Teknisk logg

    Utilsiktet lagring av helse- og personopplysninger

    i tekniske logger.

    Utilsiktet eksponering /

    lagring av helse- og

    personopplysninger

    hos leverandør

    !

    !

    Manglende tilgangsstyring

    Manglende logging. !

    Digitale angrep. !

    Innsyn fra uvedkommende!

    Feil / nedetid!

    Utstyret og programvaren

    utfører ikke kun de

    funksjoner som er

    formålsbestemt

    !

    Tilstrekkelig sikring mot

    innsyn fra uvedkommende

    Fysisk sikring (4.6)

    Kontroll på hvilke data som overføres til

    tekniske logger, sikring av logger

    Nettverkssikkerhet, sikkerhets-

    oppdateringer og tiltak

    mot skadelig kode (4.10)

    Tilgangsstyring (kap 4.8) og

    hendelsesregistrering (4.9) på

    sentralt utstyr

    Sikring av leverandørtilgang

    (4.5.3 og egen veileder)

    Regulere konfigurasjonskontroll

    gjennom avtale (Normen kap.

    5.5.1)

    Sikkerhetstiltak ved

    datalagring (4.7)

    Eksempel: MR.

    Rådata og bilder blir lagret lokalt mens bilder også lagres eksternt.

    Tekniske data overføres til en teknisk logg til bruk i feilsøking og systemadministrasjon.

    Leverandør/produsent trenger VPN-tilgang til utstyret for å drive f.eks. driftsovervåking

  • Liten gruppeoppgave

    Side 27

    1. Alle i gruppa finner en type medisinsk utstyr / system man kjenner godt til

    2. Behandles pasientidentifiserbare data?

    3. Er utstyret nettverkstilknyttet?

    4. Har leverandør tilgang via VPN?

    5. Diskuter i fellesskap hvilke av bruksscenariene som best beskriver utstyret

  • Mulig metodikk for risikovurdering: IEC 80001 Application of risk management for IT-networksincorporating medical devices

    Roller, ansvar og aktiviteter når medisinsk utstyr

    tilknyttes virksomhetens IT-nettverk

    Tre «Key properties» skal adresseres i

    risikostyringen:

    «Safety» (tilsvarende trygghet / sikkerhet som

    brukt i konteksten HMS eller pasientsikkerhet)

    «Effectiveness» (evne til å skape ønsket resultat

    for pasient og virksomheten)

    «Data and system security» (tilsvarende

    informasjonssikkerhet)

    Viktig rolle: «Medical it-network risk manager»

    Beskriver risikostyring gjennom endringsstyring

    i livsløpsperspektiv for medisinske IT-nettverk

    28

  • Ivareta den registrertes rettigheter

    Taushetsplikt

    Behandlingsgrunnlag

    Innsynsrett

    Retting og sletting

    Databehandlingsansvarlig

    Opplæring og kompetanse

    Kravstilling ved anskaffelser

    Service og support fysisk hos

    virksomheten

    Taushetserklæringer han håndteres av

    leverandøren

    29

    Basis sikkerhetstiltak

  • Beskrive roller og ansvar Delta på felles arenaer

    Inkludere leverandører og systemer i oversikter

    Avtaler

    Inkludere i den gjennomførende delen

    Inkludere i den kontrollerende delen Avvik

    Sikkerhetsrevisjoner

    Risikovurderinger

    Ledelsens gjennomgang

    30

    Inkludere MU i styringssystem for informasjonssikkerhet

  • Sikkerhetstiltak ved behov (risikoavhengig)

    31

    Tiltak ved fjernsupport

    Bruk av databehandler

    Databehandleravtale når

    leverandør behandler data

    Innsyn i helse- og

    personopplysninger utløser i seg

    selv ikke behov for

    databehandleravtale

    (men taushetserklæring)

    Fysisk sikring

    Tilgangsstyring

    Hendelsesregistrering

    Nettverkssikkerhet og tiltak mot

    skadelig kode

    Skytjenester

    Tilgang til helseopplysninger

    utover virksomhetsgrenser

    Utlevering av helseopplysninger

    til utlandet

  • Nettverkssikkerhet og tiltakmot skadelig kode

    32

    Vanlige tiltak:

    Anti-virus programvare

    Programvareoppdateringer

    Ikke tildel sluttbrukere

    administrator-rettigheter

    Blokker kjøring av ikke-autoriserte

    programmer («hvitelisting»)

    Segmentere MU på dedikerte

    nettverk

    Skadelig kode kan fortsatt infisere

    via f.eks. minnepenner

    Still krav til leverandøren om å dokumentere hvordan cyber-sikkerhet ivaretas for utstyret i hele utstyrets levetid

    Krav til kodesignatur for programvare oppdateringer

    Mulighet for sikkerhetsmonitoreringMU

    Informasjon til sluttbruker om handling ved mistanke om sikkerhetsbrudd

    «Fail-safe» modus ved digitale angrep

    Mulighet for autorisert bruker å rulle tilbake opprinnelig konfigurasjon

  • Side 33

    http://www.google.no/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&uact=8&docid=MLVIjwI8gir5LM&tbnid=zIremK18SJf2-M:&ved=0CAYQjRw&url=http://www.thefallinganvil.com/what-the-falling-anvil-means/&ei=tSIvU_3_JOb8ygPrpIHoDA&psig=AFQjCNHnflyoFrfuhLexycvDN0wJvFbAgg&ust=1395684385667161

  • Regulation on medical devices (MDR) – Annex 1Safety and performance requirements related to cybersecurity

    17.1. Devices that incorporate electronic programmable systems, including software, or software that are devices in themselves, shall be designed to ensure repeatability, reliability and performance in line with their intended use. In the event of a single fault condition, appropriate means shall be adopted to eliminate or reduce as far as possible consequent risks or impairment of performance.

    17.2. For devices that incorporate software or for software that are devices in themselves, the software shall be developed and manufactured in accordance with the state of the art taking into account the principles of development life cycle, risk management, including information security, verification and validation.

    17.4. Manufacturers shall set out minimum requirements concerning hardware, IT networks characteristics and IT security measures, including protection against unauthorised access, necessary to run the software as intended.

    24.4 The instructions for use shall contain all of the following particulars:(ab) for devices that incorporate electronic programmable systems, including software, or software that are devices in themselves, minimum requirements concerning hardware, IT networks characteristics and IT security measures, including protection against unauthorisedaccess, necessary to run the software as intended.

    Side 34

  • Spørsmål?

    Side 35


Ny styringsmodell for informasjonssikkerhet og personvern · 2019. 6. 7. · personvern •KD vedtok sommeren 2018 å basere sektorstyringen av informasjonssikkerhet og personvern

Veileder i informasjonssikkerhet ved bruk av …...EUs nye personvernforordning vil innføres i norsk lov i mai 2018. Dette vil medføre endringer i den norske personvernlovgivningen

Overvåkning, personvern og sikkerhet - Surprise Projectsurprise-project.eu/wp-content/uploads/2015/03/Surprise...Overvåkning, personvern og sikkerhet 8 Overvåkning, personvern og

Personvern og databehandleravtaler

Informasjonssikkerhet på internett og de påtrengende ... · Informasjonssikkerhet på internett og de påtrengende tredjepartene • Om Cookies, beacons, device fingerprinting,

Forord - Unit · Web viewEn veileder i ledelsessystem for informasjonssikkerhet i UH-sektoren Basert på ISO/IEC 27001:2013 Versjon 2.2 Forord Universiteter og høyskoler er pålagt

PERSONVERN OG INFORMASJONSSIKKERHET · 1.3 Personvern og personopplysninger .....9 1.4 Informasjonssikkerhet ... 3 I Norge gjennomføres mye av det statlige tilsynet med kommunenes

«Informasjonssikkerhet og personvern gjennomføring av DPIA for … · personvern –gjennomføring av ... •Høyt nivå av sosial tillit i Norge •Mangel på tillit kan representere

Apps og personvern presentasjon

Ny EU-forordning: informasjonssikkerhet · – informasjon, innsyn, retting, sletting, begrensning, protest og dataportabilitet • Innebygd personvern – krav til nye systemer og

Dette dokumentets plassering i planhierarkiet · Informasjonssikkerhet og personvern på alle områder er en forutsetning for tillit til digitale løsninger. Alle offentlige myndigheter

Personvern og offentlig innsyn

Personvern og databehandleravtaler Feide

Personvern i Norge

Informasjonssikkerhet og personvern: Hva må vi tenke på ved tilgjengeliggjøring av data?

for personvern og informasjonssikkerhet i kollektivtransport · 2019. 9. 26. · Atferdsnorm for personvern og informasjonssikkerhet i kollektivtransport er utarbeidet av representanter

Personvern og studieadministrasjon · 11/08/2018  · •GDPR, personvern og informasjonssikkerhet Et ledelsesansvar •Ledelsen må forstå viktigheten av personvern og kjenne til

Normens veileder for Informasjonssikkerhet og personvern - … · Informasjonssikkerhet og personvern - medisinsk utstyr Åpent kurs 2. april 2019. Bakgrunn. Side 3 ... (IoT) Svak

Personvern og elektroniske spor

Innhold i presentasjonen - Fylkesmannen · • Personvern, nettvett og digital dømmekraft •IKT-plan • Forslag til kreativt arbeid med digitale aktiviteter • Regelverk for informasjonssikkerhet

Personvern i ikt kontrakter.pptx

Skytjenester og personvern

Informasjonssikkerhet i Tannhelsetjenesten

Innebygd personvern personvernforordningen artikkel 25 · 2017-08-28 · Innebygd personvern og personvern som standard 10 • Vær i forkant, forebygg fremfor å reparere. • Gjør

INFORMASJONSSIKKERHET OG PERSONVERN I HØYERE … · 2020. 6. 10. · og personvern i 2019, kan oppsummeres i følgende hovedpunkter: • Arbeidet med informasjonssikkerhet og personvern

Helseopplysninger i skyen · IoT. Side 4. Hvor er data lagret? Hvordan kan vi utføre kontroll med leverandør? ... informasjonssikkerhet og personvern ved avslutning av skytjenesten

Skytjenester og nytt personvernregelverk · Personvern er noe mer enn informasjonssikkerhet. Thinkstock.com. ... Aktuelt arbeid i Norge og i EU • KMDs strategi for bruk av skytjenester

Måling og visualisering av informasjonssikkerhet

Informasjonssikkerhet, personvern og tilgangsstyring...Personvern «Personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger»-Datatilsynet-Helseplattformen

Internkontroll og informasjonssikkerhet

PERSONVERN, GDPR OG COMPLIANCE - Bisnode...Databehandleravtaler, jf. POL 15 Meldeplikt/konsesjon, jf. POL 31 og 33 Tilfredsstillende informasjonssikkerhet, jf. POL 13 Internkontroll,

Opphavsrett vs personvern

Informasjonssikkerhet på reisen

Personvern og forbrukerrettigheter i transport...Personvern og forbrukerrettigheter i transport – Nordisk seminar Forord Denne rapporten er en rapportering fra et seminar om personvern

Arkivfaglig veileder i GDPR-spørsmål · 2019. 4. 26. · Høyreklikk på bakgrunnen, velg «Formater bakgrunn», «Bilde…» og velg et annet bilde som bakgrunn Veileder i personvern