Gå til innhold

Slik håndterer din virksomhet den «nye Normen»

Virksomheter får stadig påminnelse om sitt ansvar for å ivareta Informasjonssikkerhet og personvern, noe våre konsulenter i Security og Risk jobber med daglig. De forstår godt at virksomheter sliter med å håndtere stadig nye og oppdaterte regelverk, tilknyttet informasjonssikkerhet og personvern. Nok en endring står for dør, og denne høsten er det e-helsedirektoratet som har oppdatert Norm for informasjonssikkerhet og personvern i helse og omsorgstjenesten, også kalt «Normen».

Vi tok en kaffe med to av våre informasjonssikkerhetseksperter, Eva Lise Dahl og Kaja Felix Sønslien for å høre litt om deres erfaringer med å tilpasse seg oppdaterte regelverk, og den kommende Normen versjon 6.

Kaja og Eva Lise, kan dere begynne med å fortelle oss litt om hva Normen egentlig er?
Kort og godt er Normen er en bransjenorm for informasjonssikkerhet og personvern i helsesektoren, og den er utarbeidet for å bidra til tilfredsstillende informasjonssikkerhet og personvern i helsesektoren. Formålet er at behandling av helse- og personopplysninger gjennomføres på et forsvarlig sikkerhetsnivå. Det vil si at det også er fokus på tillitt for brukere til å gi fra seg opplysninger, og for helsepersonell så de kan utføre sitt arbeid basert på korrekt informasjon. For at helsesektoren også skal kunne digitalisere seg, er informasjonssikkerhet en forutsetning ettersom det behandles store mengder sensitive personopplysninger, og man må unngå at disse kommer på avveie.

Som et resultat av implementeringen av den nye Personvernforordningen (GDPR) i 2018, er det behov for tilpasninger i helselovgivningen og dette gjelder også Normen. I versjon 6.0, som er ventet mot slutten av 2019, vil større deler av forordningen innarbeides, blant annet de registrertes rettigheter, samt en tydeligere differensiering av krav mot virksomheters størrelse, kompleksitet og andre forhold som påvirker sårbarhet og behov for sikkerhetstiltak.

Hva er hovedutfordringene ved å følge nye lover og regler tilknyttet informasjonssikkerhet og personvern?
Det vi ser er at det er mange som mangler god nok oversikt over hva slags informasjon de behandler, og det er derfor vanskelig å vite hvor man skal starte med arbeidet med informasjonssikkerhet og personvern. I tillegg er det mange som starter arbeidet med å tenke at alt skal gjøres så fort som mulig, men for å etterleve nye lover og regler er det viktig å tenke langsiktig. Man skal ikke bare etterleve i en kort periode og bestå èn revisjon, man skal etterleve regelverket i lang tid – og da må man få bedre oversikt, forbedre prosesser og lære opp ressurser på en god måte.

Det høres ut som en stor utfordring! Hvordan hjelper dere virksomheter med dette?
Vi kan hjelpe kunder med å lage en god strategi og implementere hvordan de skal jobbe godt nok med informasjonssikkerhet og personvern. For å gjøre det, starter vi med det grunnleggende å kartlegge hva slags informasjon som behandles, prosesser som er tilknyttet informasjonssikkerhet og personvern, tydeliggjøring av roller og ansvar fra ledelsen og ut i organisasjonen, opplæring av ansatte ift hvordan de skal bidra til å etterleve lover og regelverk, samt etablere styringssystem for informasjonssikkerhet - så det er enklere for kunden å forvalte en god sikkerhetsorganisasjon over tid.

Det høres ut som en veldig givende jobb! Er det noe som er spesielt tilknyttet Normen?
Det er en ekstremt givende jobb. Ja, det å etablere tilstrekkelige tekniske og organisatoriske sikkerhetstiltak er spesielt tilknyttet Normen. Som nevnt tidligere, er det mye sensitive personopplysninger i omløp, og det er kanskje noe av det mest utfordrende med digitalisering innen helsesektoren – det er jo tross alt mennesker, liv og helse det handler om.

Så helt avslutningsvis, kan dere komme med noen enkle råd som ville økt evnen til å tilpasse seg de stadig nye lovendringene og regelendringene?

  1. Vær pragmatisk. Vurder først hvilket akseptnivå som passer virksomheten, og sett et realistisk nivå som kan overholdes over tid.
  2. Tenk og planlegg langsiktig for hvordan man skal gjøre nye endringer og implementeringer. Det er viktig å ikke ha fokuset på at man skal komme seg gjennom kun èn revisjon, men at man skal etterleve lover og regelendringer over tid.
  3. Sørg for tilstrekkelig forankring i ledelsen. For å få med hele virksomheten på endringer og nye ting, må det være tydelig at dette er noe ledelsen fokuserer på og prioriterer. En del av dette kan være å tydeliggjør roller som er viktige for å tilpasse seg endringer og nye regler, for å ivareta informasjonssikkerhet og personvern.
  4. Fokuser på hva din virksomhet kan få ut av å etterleve nye lovendringer. Ved å tenke «dette gjør vi for å gi våre sluttbrukere en bedre opplevelse» vil det erfaringsmessig komme positive utfall, for eksempel forbedrede tjenester, økt tillit tillitt blant sluttbrukere og økt motivasjon hos de ansatte.

Visste du at vi tilbyr sikkerhetskompetanse som en tjeneste? Her kan du lese mer om det!

Øk kunnskapen om IT sikkerhet i din virksomhet

EVRY Ciso Office

Ta gjerne kontakt med oss for mer informasjon og bestilling av tjenesten.