Rådgivning om personvern og informasjonssikkerhet

Oppdrag

Leveransen skal både løse et konkret anskaffelsesbehov, og samtidig bidra til styrking av DSS sitt ISMS gjennom utvikling av standardisert malverk og metodikk bl.a. for anskaffelser. Oppdraget består av 3 delformål, der delformål 1 har prioritet, men som samtidig vil måtte løses på et slikt vis at det sees i sammenheng med utvikling av ISMS i DSS.

Delformål 1: Ferdigstillelse av vurderinger knyttet til ny elektronisk pasientjournal-løsning (EPJ).

DSS har hatt ekstern bistand for vurderinger knyttet til ny EPJ-løsning. Per tid foreligger blant annet utkast til risikovurdering, DPIA og kravspesifikasjon som er fremlagt for personvernombudet og CISO. DSS trenger ytterligere bistand for å ferdigstille disse, samt en vurdering av konkrete krav i NORMEN og dens anvendelse. Konsulenten skal gjennomgå foreliggende dokumentasjon, samt justere og produsere nødvendig tilleggsdokumentasjon slik at ledelsen får det nødvendige beslutningsgrunnlaget for den konkrete prosessen knyttet til ny EPJ-løsning.

Som en del av bistanden trenger DSS også hjelp til evaluering av tilbud opp mot stilte krav etter at tilbudsfristen er gått ut.

Ansvaret for EPJ ligger i seksjon for bedriftshelsetjenester (BHT) i DSS, og leveransen som gjelder EPJ konkret, tilfaller avdelingsdirektør Avdeling for Spesialiserte Tjenester (AST) sitt ansvar.

Delformål 2: ISMS - Utvikling av malverk knyttet til ISMS

DSS har et pågående prosjekt knyttet til reetablering av ISMS, og oppdraget ovenfor har en innretning som treffer særlig kontrollene 5.19 flg i ISO 27001 Annex A. Dette innebærer at prosessen og leveranser skal dokumenteres på en slik måte at resultatene ikke bare dekker behovet i den konkrete EPJ-saken, men også kan videreutvikles til gjenbrukbare maler og for fremtidige anskaffelser, i tillegg til overordnede retningslinjer.

ISMSet tilfaller CISOs ansvarsområde, og både CISO, personvernombudet og seksjon for anskaffelser vil bli særskilt involvert.

Delformål 3: Sikre sammenheng mellom ISMS og NORMEN.

Ved implementering av ny EPJ-løsning vil DSS være forpliktet til å etterleve NORMEN. Oppdraget går derfor også på at NORMENs krav skal kunne inngå som en integrert del av virksomhetens ISMS. Gitt oppdragets natur opp mot DSS ISMS og videre behov, kan det også påregnes ytterligere arbeid knyttet til videreutvikling av ISMS.

Kompetanse og erfaring

• Ressurs med minst 8 års erfaring eller mer innenfor arbeidsoppgavene som er angitt

• Svært god kjennskap og erfaring med ISO 27001, NORMEN og andre standarder, veiledning og malverk av relevans for oppdraget

• Svært god kjennskap til helsesektoren

• Konkret og praktisk erfaring med gjennomføring verdi- og risikovurderinger, samt DPIA.

• Konkret og praktisk erfaring med sikkerhets- og risikostyring

• Minimum formell kompetanse på mastergradsnivå eller tilsvarende innen fagområdet, lang og dokumentert erfaring kan oppveie for kravet til formell kompetanse

• Solid kunnskap om personvernarbeid og informasjonssikkerhet i offentlig sektor.

• God evne til å kommunisere klart og effektivt med både tekniske og fagadministrative miljøer. - Meget god evne til å jobbe selvstendig

• God teknisk forståelse

• God erfaring med styringsdokumentasjon knyttet til leverandørstyring

• Erfaring med informasjonssikkerhet i departementsfellesskapet og særskilt DSS’ rolle

Oppstart og varighet: April (etter påske) – August 2026 med mulighet til forlengelse

Omfang: 100% (538 timer)

Arbeidssted: Oslo

Søknadsfrist: 7. april 2026