Velferdsteknologi - Koordinering og forvaltning v. 1.0

Håndbok: Løpende oppgaver 

Innhold

 

Under arbeid 

Rutiner og informasjon om koordinering og forvaltning er under utvikling. Nye oppgaver og innholdet vil bli lagt til etterhvert som det er klart. 
 

 

 


Forvalte rutiner for behandling av personopplysninger

Denne rutinen er for deg som skal forvalte rutiner for behandling av personopplysninger.  

Rutinen skal sikre at personopplysningene: 

  • ivaretas, brukes og behandles på en sikker måte
  • ikke kommer på avveie og at uvedkommende ikke får tilgang til dem
  • er tilgjengelig for dem som skal ha tilgang til dem, og sørge for at informasjonen er korrekt.

Rutinene skal også sikre at løsningene har nødvendig robusthet, noe som innebærer å gjenopprette normaltilstand for eksempel etter en fysisk eller teknisk hendelse.

Bruk virksomhetens styringssystem (HELSIS for Helseetaten), RoS og DPIA i arbeid med å forvalte rutiner. Verktøyene bygger på det samlede regelverket som gjelder i helse- og omsorgssektoren, Normen: Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

 

Styringssystem (HELSIS)

► Baser arbeidet på styringssystemet  

Ansvarlig: Helseeaten og bydeler

HELSIS er Helseetatens styringssystem for personvern og informasjonssikkerhet. Dette styringssystemet er dokumentasjon på, og en oversikt over konkrete og praktiske aktiviteter som Helseetaten (Oslo kommunes fagetat på helseområdet) skal gjennomføre. Dette danner grunnlag for etablering av nødvendige sikkerhetstiltak i forhold til relevant risiko og trusler.

Styringssystemet er også dokumentasjon på, og en oversikt over konkrete og praktiske aktiviteter som Helseetaten skal gjennomføre innen personvern og informasjonssikkerhet. HELSIS danner grunnlag for etablering av nødvendige sikkerhetstiltak i forhold til relevant risiko og trusler som kan påvirke behandling av personopplysninger, slik at bruk og behandling av personopplysninger skjer i henhold til krav i gjeldende lovgivning.

HELSIS gjelder for Helseetaten. Om den enkelte bydel ikke har tilsvarende rutiner kan HELSIS benyttes til inspirasjon for arbeidet i bydelene.

HELSIS søkes opp i Oslo kommunes kvalitetssytem EQS, ved å søke på tema eller bare «HELSIS». 

 

Risiko- og sårbarhetsvurdering 

► Gjennomfør risiko- og sårbarhetsanalyse (RoS) av tjenestene  

Ansvarlig: Bydeler

  • Gjennomfør RoS av de velferdsteknologiske tjenestene, slik de ytes i bydel. Bruk veileder og maler som er utviklet for tjeneste-RoS i bydel:  
  • Sørg for godkjenning av RoS på riktig nivå i bydel.
  • Igangsett og følg opp kompenserende tiltak.
  • Sørg for at RoS-vurderingen er oppdatert.
  • Gjør tilpasninger og eventuelt nye vurderinger ved bruk av ny teknologi og ved bruk av eksisterende teknologi i nye tjenester. 
     

► Gjennomfør risiko- og sårbarhetsvurdering (RoS) av systemene

Ansvarlig: Helseetaten

RoS av systemene gjøres første gang i forbindelse med anskaffelsen og avtaleinngåelsen, og følges videre opp i forvaltningen.

  • Gjennomfør risiko- og sårbarhetsvurdering (RoS) av systemene. Bruk metode og mal etter rutinen:
  • Sørg for godkjenning av RoS-vurderingen på riktig nivå i kommunen (for eksempel systemeier).
  • Igangsett og følg opp kompenserende tiltak.
  • Sørg for at RoS-vurderingen er oppdatert, og at det gjøres nye vurderinger i forbindelse med at ny funksjonalitet tas i bruk.
  • Del relevant informasjon og RoS med bydelene, se Rutine for deling av DPIA og RoS med bydel.

 

Hva er RoS?

RoS er et verktøy for å identifisere uønskede hendelser. Risikovurderingen bør ta utgangspunkt i en kartlegging av informasjonsverdier og hva som vil bli konsekvensen av hendelser som rammer tilgjengeligheten, integriteten og konfidensialiteten til informasjonsverdiene. I dette skal det vurderes sannsynligheten for, og mulige konsekvenser av at en hendelse inntreffer. Dersom risikoen er uakseptabel, skal virksomheten gjennomføre tiltak for å redusere risikoen.
 


DPIA

► Gjennomfør DPIA for VFT-tjenestene

Ansvarlig: Helseetaten

Gjennomfør felles personvernskonsekvensvurdering i samarbeid med representanter fra bydel, jurister i FSA og med rådgivning fra blant annet personvernombudet.

  • Sørg for godkjenning av DPIA med personvern-RoS av systemeier.
  • Følg opp at teknologileverandørene etterlever lover og regler for personvern og informasjonssikkerhet.
  • Del relevant informasjon og DPIA med bydelene, se Rutine for deling av DPIA og RoS med bydel
  • Veiled bydelene ved behov.

Vurder og eventuelt oppdater den enkelte DPIA

Ansvarlig: Bydeler

  • Vurder DPIA fra Helseetaten og som er godkjent av systemeier.
    • Dersom Helseetatens DPIA samsvarer med bydelens praksis, oppdater kontaktopplysninger for ansvar mv. og deretter godkjenn DPIA.
    • Dersom det er ulikheter i Helseetatens DPIA og bydelens praksis, oppdater DPI og sørg for godkjennelse av bydelsdirektør.
  • Sørg for lokale rutiner for å etterleve godt personvern og informasjonssikkerhet i tjenestene. Eksempler på dette er rutiner for tilgangsstyring, tilgangsregister og opplæring av brukere, pårørende og ansatte.
  • Gjør tilpasninger og eventuelt nye vurderinger ved bruk av ny teknologi og ved bruk av eksisterende teknologi i nye tjenester.

 

Hva er DPIA?

DPIA står for Data Protection Impact Assessment og er en vurdering av personvernkonsekvenser etter personvernforordningen (GDPR).

Oslo kommune skal alltid vurdere hvilke konsekvenser behandling av helse- og personopplysninger medfører for den registrerte. Oslo kommune skal dokumentere lovligheten av behandlingen, formålet, hvordan personvernet til den registrerte er ivaretatt, og at det er gjort tilstrekkelige tiltak for å håndtere risikoen. Hvis det er sannsynlig at en behandling medfører høy risiko for de registrerte, skal det gjennomføres en mer grundig personvernkonsekvensvurdering, også kalt DPIA.