• Ingen resultater fundet

NOTAT Indkaldelse og dagsorden til ekstraordinært møde i styregruppen for MedCom 10 den 12. februar 2016

N/A
N/A
Info
Hent
Protected

Academic year: 2022

Del "NOTAT Indkaldelse og dagsorden til ekstraordinært møde i styregruppen for MedCom 10 den 12. februar 2016"

Copied!
4
0
0

Indlæser.... (se fuldtekst nu)

Hent nu ( 4 Sider )

Hele teksten

(1)

NOTAT

Indkaldelse og dagsorden til ekstraordinært møde i styregruppen for MedCom 10 den 12. februar 2016

Der indkaldes hermed, som tidligere varslet, til ekstraordinært møde i styregruppen for MedCom 10 fredag den 12. februar 2016 kl. 9.00 til 10.00 i Digitaliseringsstyrelsen, Land- greven 4, 1017 København K i lokale 4041+4043.

Dagsordenen for mødet er:

1. Velkomst

2. Rigsrevisionens IT-revision af Sundhedsdatanettet (SDN) (beslutning) 3. Databehandleraftale med MedCom om SDN (orientering)

4. Eventuelt

1. Velkomst

2. Rigsrevisionens IT-revision af Sundhedsdatanettet (SDN) (beslutning)

Bilag 2.1: Brev vedrørende it-revision af SDN 2015

Bilag 2.2: Revisionsrapport om it-revision af SDN 2015

Bilag 2.3: Forslag til svar til Rigsrevisionen

Bilag 2.4: Samlet budget for analyser vedrørende SDN, videoknudepunktet, KIH- databasen, sårdatabasen

Problem

Rigsrevisionen har udarbejdet en it-revision af SDN (bilag 2.1 og 2.2). I sin revision og rap- port giver Rigsrevisionen anvisninger til udbedring af mangler i it-sikkerheden, som Med- Coms styregruppe anbefales at tage stilling til.

Baggrund

MedCom varetager fælles systemforvaltning af SDN, videoknudepunktet, KIH-databasen samt også sårdatabasen indtil 31. august 2016.

Rigsrevisionen har i oktober-november 2015 udarbejdet en revision af MedCom system- forvaltning af SDN i et it-sikkerhedsperspektiv.

SDN består af SDN-netværket, Aftalesystemet og støttesystemer. Jf. Rigsrevisionens brev (bilag 2.1) er ”SDN-netværket den del, hvor data transmitteres, hvilket er SDN’s kerneop- gave. Aftalesystemet styrer, hvem der, via SDN-netværket, kan kommunikere og udveksle forskellige typer af information med hinanden. Støttesystemerne er den del af SDN, der bl.a. sikrer, at der tages backup og opsamles statistik om oppetider mv. SDN-netværket er alene et transportnet, og hverken Aftalesystemet eller støttesystemerne indeholder pati- entdata”.

Sundheds- og Ældreministeriet

Enhed: Sundhedsøkonomi Sagsbeh.: DEPSZB Koordineret med:

Sagsnr.: 1601117 Dok. nr.: 17624 Dato: 05. februar 2016

(2)

Side 2

Side 2 Revisionen er baseret på standarden for informationssikkerhed ISO/IEC 27001. Revisionen

adskiller sig fra den årlige revision af SDN, der udføres af Deloitte, og som årligt er forelagt MedComs styregruppe. Denne revision er baseret på standarden ISAE 3000 og omhandler leverandørernes overholdelse af persondataloven.

Rigsrevisionen konkluderer, at it-sikkerheden samlet set ikke er tilfredsstillende. Rigsrevi- sionen efterlyser blandt andet etablering af en klarere governance, dokumenteret leve- randørstyring samt et større fokus på sikkerheden for SDNs støttesystemer.

På plussiden i rapporten tæller, at databehandleraftalen med leverandøren er på plads, og at backup, logning og overvågning af SDN er tilstrækkelig.

Hertil kommer jf. de løbende afrapporteringer til styregruppen, at driften er stabil med meget høj oppetid.

Løsning

MedCom har udarbejdet et udkast til svar til Rigsrevisionen (bilag 2.3) med forslag til handlinger. Disse indebærer implementering af relevante dele af ISO27001 for MedComs rolle og ansvar som systemforvalter. Anvendelse af ISO27001 følger både Rigsrevisionens afsæt for it-revisionen samt staten og regionernes indførelse af standarden.

Standarden tager overordnet set udgangspunkt i en risikovurdering, som danner baggrund for den governance og de kontroller, som er nødvendige for at understøtte organisatio- nens håndtering af risici. Samtidigt etableres og opbygges politikker, retningslinjer og procedurer, som skal vedligeholde og dokumentere informationssikkerheden.

Samlet set angår de foreslåede handlinger i forslaget til svar til Rigsrevisionen:

1) Ledelsens styring af sikkerheden

 Opdatering af risikovurdering og handleplan

 Udarbejdelse af beredskabsplan

 Udarbejdelse af den ordinære it-revision ud fra et bredere scope end persondata- loven, som følge af Rigsrevisions rapport og afsæt

 Øget involvering og fokus på it-sikkerhedsarbejdet i MedComs styregruppe og re- lanceret brugergruppe, når styringsmodel for fællesoffentlig systemforvaltning er etableret

 Udarbejdelse af relevante politikker, retningslinjer og procedurer

 Opfølgning på databehandleraftaler 2) Leverandørstyring

 Løbende opfølgning på og konkretisering af it-sikkerhedskrav – herunder med henblik på kommende udbud

3) Adgangsstyring

 Dokumenterede og periodevis gennemgange af administratorer og deres opfølg- ning på brugeradgange

4) Drift og vedligeholdelse

 Præcisering af, hvilke ændringer leverandøren skal informere MedCom om

 Beskrivelse af til- og fravalg af opgradering

 Analyse af, hvordan og om støttesystemerne kan indpasse i eksisterende set up for overvågning og det nødvendige logningsniveau

 Udvidelse af ordinær it-revision med sårbarhedsskanning af alle relevante servere inkl. støttesystemerne

(3)

Side 3

Side 3 Hertil kommer et generelt større fokus på støttesystemer og dokumentation af arbejdet

med systemforvaltning og it-sikkerhedsarbejdet.

MedCom er også systemforvalter og har dermed ansvar for informationssikkerheden for videoknudepunktet, KIH-databasen og sårjournalen. Disse systemer bør bringes op på et tilsvarende sikkerhedsniveau som SDN. Derfor foreslås i første omgang at igangsætte en intern gennemgang af disse systemer. Dette skal sikre grundlaget for en ensartet og høj grad af it-sikkerhed på tværs af systemer, som kan anvendes både i MedComs rolle som systemforvalter samt som indspil til arbejdet under den fællesoffentlige systemforvalt- ning.

Af bilag 2.4 fremgår forslag til samlet budget, der udmøntes fra det allerede afsatte ram- mebudget til ekstern konsulentbistand på 1,1 mio. kr.

Indstilling Det indstilles,

 At forslag til svar til Rigsrevisionens it-revision af SDN – herunder handleplan, godkendes.

 At budget for de nødvendige analyser for SDN på 400.000 kr. godkendes.

 At budget for foranalyser af videoknudepunktet, KIH-databasen og sårdatabasen på 340.000 kr. godkendes.

3. Databehandleraftale med MedCom som databehandler på SDN (orientering)

Bilag 3.1: Tilslutningsaftale inkl. databehandleraftale

Bilag 3.2: Oversigt over indgåede databehandleraftaler

Problem

Rigsrevision skriver i deres it-revision, at kun en mindre del af de dataansvarlige har tilslut- tet sig databehandleraftalen med MedCom om SDN. De anbefaler, at alle dataansvarlige institutioner bør tilslutte sig databehandleraftalen for etablering af et fælles grundlag for it-sikkerhed i og omkring SDN. Den bliver aktuelt fremsendt som en integreret del af til- slutningsaftalen til SDN.

Fælles grundlag for it-sikkerhed blev også påpeget som en mangel i den risikoanalyse, der blev udarbejdet i juni 2014.

Baggrund

Som følge af risikoanalysen blev der i efteråret 2014 igangsat et arbejde med at udarbejde en ny tilslutningsaftale til SDN med ændrede krav til sikkerhed og anvendelse. Som en del af tilslutningsaftalen blev også udarbejdet en databehandleraftale med MedCom som systemforvalter på SDN, da transmission af personfølsomme data også er at betragte som databehandling. Forslaget til den nye tilslutningsaftale, sikkerhedskrav og databehandler- aftale blev udarbejdet af MedCom i samarbejde med advokatfirmaet Nørgaard og Piening.

De nye aftaler (bilag 3.1) blev udarbejdet i foråret 2015 og blev udsendt til tilsluttede par- ters sikkerheds- og netværksansvarlige og it-medarbejdere fra de relevante organisationer i sommeren 2015. De blev udsendt med forventning om, at aftalerne blev indgået, og at indholdet efterfølgende ville blive drøftet, revideret og besluttet i endelig form på Med- Coms tekniske temadag den 27. oktober 2015. Formålet var her at skabe et fælles grund- lag for it-sikkerheden for SDN.

Som det fremgår af bilag 3.2 har ikke alle relevante parter indgået databehandleraftalen.

Det kan der være flere forklaringer på. I det næste beskrives de mest udbredte, som også kom til udtryk på temadagen, hvor parterne ikke kom til enighed om en fælles databe- handleraftale.

(4)

Side 4

Side 4 Regionerne er som dataansvarlige på vej med en revideret og fælles databehandleraftale.

Der kan således være en timingmæssig forklaring på den manglende tilslutning, da Med- Coms generelle databehandleraftale således ikke er alignet med RSIs kommende databe- handleraftale. Det skal i den anledning bemærkes, at MedComs databehandleraftale har en bredere målgruppe og således har til hensigt at favne både sygehuse, almen praksis, kommuner, privathospitaler, leverandører m.v.

Endvidere synes den nuværende databehandleraftale ikke præcis nok, når it-leverandører på vegne af dataansvarlige organisationer gennemstiller til SDN. Denne gennemstilling kan eksempelvis ske på vegne af almen praksis og kommuner. Dette stiller særlige krav til kædeansvaret i forhold til under-databehandlingsaftaler.

Løsning

Som led i opfølgning på Rigsrevisionens rapport vil MedCom i foråret 2016 revidere aftale- komplekset og genudsende de ændrede aftaler til de tilsluttede parter med henblik på at få indgået aftaler med alle tilsluttede parter. MedComs styregruppe forelægges status på dette arbejde på det kommende styregruppemøde den 22. juni 2016.

Indstilling Det indstilles,

 At orienteringen om databehandleraftale med MedCom om SDN tages til efter- retning.

4. Eventuelt

Referencer

Hent nu ( PDF - 4 Sider - 478.14 KB )

RELATEREDE DOKUMENTER

Modernisering af MedCom standarder: Fra EDIfact til FHIR Notat

MedCom har siden 1994 udarbejdet og udbredt standarder for deling af sundhedsdata mellem IT- systemerne i alle dele af sundhedsvæsenet.. Herunder somatiske og psykiatriske sygehuse,

Dagsorden til 7. møde i styregruppen for MedCom 8 den 26. sep-tember 2013

brugt til faste basis udgifter (husleje, løn, sekretariat, fastansatte) og 12,3 mio. Hertil kommer den af styregruppen tidligere besluttede projektreserve, der aktuelt udgør

Notat om udmøntning af midler til MedCom til nationale cyber- og informationssikkerhedsindsatser i forbindelse med Sundhedsdatanettet (SDN)

moms til organisationen, hvis kryptering (eller begrundet fravalg) er registreret i aftalesystemet for mellem 50 - 90% af services udstillet gennem SDN. til organisationen,

Referat af 1. møde i styregruppen for MedCom 10 den 3. marts 2016

Det blev aftalt, at Danske Regioner fortsætter dialogen med Tandlægeforeningen om parternes behov for brug af MedCom efter påske, idet Danske Regioner arbejder på at finde en

Referat af 2. møde i styregruppen for MedCom 10 den 22. juni 2016

Jens Rahbek Nørgaard orienterede om status for databehandleraftaler, hvor der fortsat udestår at blive indgået en stor del af aftalerne. Pia Kopke spurgte om regionerne kan

Referat af ekstraordinært møde i MedCom 10 styregruppen den 12. februar 2016

Indledningsvist forklarede Lars Hulbæk, at afsættet for handlingsplanen er, at Rigsrevisio- nens fortolkning af ISO27001 giver MedCom karakteren utilfredsstillende.. Han pointerede

Referat af 3. møde i styregruppen for MedCom 10 den 6. oktober 2016

Lars Hulbæk orienterede kort om baggrunden for Sundhedsdatastyrelsens anmodning, hvor MedCom skal udarbejde en dansk profilering af internationale standarder.. Nanna Skovgaard

Dagsorden til 1. møde i styregruppen for pilotafprøvning af for-løbsplaner

Det indstilles, at styregruppen godkender den samlede organisering af arbejdet og at de beskrevne fora i bilag 6.1