Patientsäkerhet vid distansarbeteförstudie

Storlek: px
Starta visningen från sidan:

Download "Patientsäkerhet vid distansarbeteförstudie"

Transkript

1 Revisionskontoret PM NR 4/2014 Patientsäkerhet vid distansarbeteförstudie Helena Olsson Augusti 2014 Postadress: Revisionskontoret, J A Hedlunds väg 5, Kristianstad Besöksadress: Ambulansvägen, Hus 19, Centralsjukhuset Kristianstad Telefon (växel): Fax: Organisationsnummer: Internet:

2 2 Innehållsförteckning 1. Sammanfattning Inledning Bakgrund och syfte Revisionskriterier Metod och genomförande Regionövergripande Iakttagelser Granskningsområden och resultat Gällande beslut, policys och riktlinjer inom området Iakttagelser Uppföljning av att distansarbete sköts på ett tillfredsställande sätt utifrån patientsäkerhet och sekretess Iakttagelser Slutsatser och bedömningar... 11

3 3 1. Sammanfattning Förstudiens övergripande frågeställning har varit att, utifrån ett patientperspektiv, bedöma om arbete vid distansarbete inom Region Skåne sker på ett sätt som uppfyller gällande beslut, policys och riktlinjer. Det är viktigt att redan inledningsvis poängtera att vissa beslut, policys och riktlinjer gäller oavsett om medarbetaren arbetar på sin ordinarie arbetsplats eller på distans. Enligt informationssäkerhetsansvarig i Region Skåne hade regionen år 2013 cirka 400 applikationer/it-stöd som innehöll patientuppgifter varav ca 45 st ingick i sammanhållen journalföring. Av dessa var det endast ca 8 st som uppfyllde Patientdatalagens krav fullt ut. Denna bakgrundsinformation ges för att få en förståelse för att oavsett om medarbetaren arbetade på sin ordinarie arbetsplats eller på distans uppfylldes inte den integritet och säkerhet för medborgarna som lagen förutsätter inom området patientsäkerhet. Under år 2013 saknade regionen även rutiner och stöd för enhetlig hantering och återrapportering av dataintrång. Den sammanfattande bedömningen av förstudien visar att beslut, policys och riktlinjer gällande distansarbete inom Region Skåne till viss del efterlevs då det görs en del kontroller och uppföljningar. Däremot görs det generellt sett ingen systematisk uppföljning av området som med klarhet kan visa om arbete på distans sköts på ett tillfredsställande sätt utifrån patientsäkerhet och sekretess. Vidare visar förstudien att back-up av data inte alltid ges på ett tillfredsställande sätt vare sig medarbetaren arbetar på sin ordinarie arbetsplats eller på distans. Vad gäller följsamheten till Policy och riktlinjer om distansarbete i Region Skåne för de intervjuade cheferna årligen samtal med medarbetarna vid utvecklingssamtal angående uppföljning av att Region Skånes policy och riktlinjer om distansarbete följs. Inga förnyade avtal mellan arbetsgivaren och arbetstagaren gällande distansarbete tecknas innan en utvärdering av distansarbetet är gjord. Vad gäller IT-säkerheten vid distansarbete använder Region Skåne sig av RSVPNanslutning (Region Skåne Virtual Private Network) som, enligt IT-ansvariga, ger en säker uppkoppling med tillhörande säker information och till och med enligt dem säkrare än att befinna sig internt. Förstudien visar likaså att kryptering av data sker mer tillfredsställande vid RSVPN-uppkoppling. I dagsläget förekommer, enligt förvaltningschefen för Patientnämndens kansli, inga ärenden hos Patientnämnden som direkt kan kopplas till området distansarbete och patientsäkerhet. I takt med att distansarbete ökar är det viktigt att tillse att roller och ansvar i organisationen gällande informationssäkerhets- och patientsäkerhetsarbete är fastställda och att noggranna riskanalyser genomförs innan förändringar sker. Utbildning och information är likaså viktiga faktorer för att få säkerhetsmedvetna medarbetare inom

4 4 Region Skåne. Vidare är det viktigt att tillse att likvärdig sekretess/patientsäkerhet utförs när extern part granskar och utför arbete på distans till Region Skåne. Förstudien föranleder en fördjupad granskning för att kunna säkerställa att arbete vid distansarbete sköts på ett tillfredsställande sätt, utifrån patientsäkerhet och sekretess, inom Region Skåne. Det vore även av vikt att granska området vad gäller distansarbete som utförs av extern part. Vidare är det av betydelse att granska hur tillförlitligt Region Skånes backup-system generellt sett är utifrån ett patientperspektiv, oavsett arbete på ordinarie arbetsplats eller på distans, samt att antalet IT-stöd/applikationer och dess säkerhet bör ses över. 2. Inledning 2.1 Bakgrund och syfte I det moderna samhället har en successiv förändring skett vad avser möjligheten för arbetstagare att, vid olika tillfällen, förlägga delar av sin arbetstid utanför den ordinarie arbetsplatsen. Revisorerna avser att genomföra en förstudie med det övergripande syftet att, utifrån ett patientperspektiv, granska om arbete vid distansarbete inom Region Skåne sker på ett sätt som uppfyller gällande beslut, policys och riktlinjer. De frågor som revisorerna vill ha belysta är: Vilka beslut, policys och riktlinjer finns gällande området? Hur sker uppföljning av att detta sköts på ett tillfredsställande sätt utifrån patientsäkerhet och sekretess? 2.2 Revisionskriterier Med revisionskriterier avses de bedömningsgrunder som bildar underlag för revisionens analyser, slutsatser och bedömningar. Följande revisionskriterier har använts i denna förstudie: Patientdatalagen 2008:355 Personuppgiftslagen PUL 1998:204 Policy och riktlinjer om distansarbete i Region Skåne Region Skånes informationssäkerhetspolicy Region Skånes policy för IT-säkerhet Extern åtkomst RSVPN ansvarsförbindelse för anställd i Region Skåne Anvisning gällande åtkomst till Vårdtjänst via RSVPN

5 5 Läkarförbundets avtal Huvudöverenskommelse om lön och allmänna anställningsvillkor samt rekommendation om lokalt kollektivavtal Metod och genomförande Förstudien har genomförts genom dokumentstudier och intervjuer med berörda medarbetare inom Region Skåne. Intervjuer har genomförts med informationssäkerhetschef, personuppgiftsombud, regional chefläkare, regional patientsäkerhetssamordnare, förvaltningschef för Medicinsk service, förvaltningschef för Patientnämndens kansli, läkare, divisionschef vid Helsingborgs Lasarett, enhetschef för de medicinska sekreterarna vid Helsingborgs Lasarett samt IT-ansvarig vid Skånevård Sund för Helsingborgs Lasarett. Rapporten är sakgranskad av berörda inom respektive område. Revisorskollegiets kontaktperson har varit Jana Lund och revisionskontorets projektledare för förstudien har varit Helena Olsson. 3. Regionövergripande 3.1 Iakttagelser Med distansarbete avses inom Region Skåne arbete som anställd utför regelmässigt för längre eller kortare tid från hemmet eller annan plats som överenskommes från fall till fall. Distansarbetsplatsen tillhör huvudarbetsplatsen organisatoriskt. Syftet med distansarbete är att öka flexibiliteten för medarbetare samt möjlighet både för medarbetaren och för arbetsgivaren att kombinera effektivitet med ett bidrag till en förbättrad miljö genom ett minskat antal arbetsresor. Att arbeta på distans ska vara frivilligt för medarbetaren och till nytta för både medarbetare och arbetsgivare. Distansarbetet i Region Skåne regleras mellan parterna genom Region Skånes kollektivavtal. Kollektivavtalet kompletteras med ett tidsbegränsat skriftligt avtal mellan chef och medarbetare. Beträffande distansarbete och givetvis även vid arbete på sin ordinarie arbetsplats är informationssäkerheten oerhört viktig. Informationen ska bl a vara tillgänglig, riktig, konfidentiell/skyddad för obehöriga samtidigt som den ska vara spårbar till ursprung och kunna följas upp. Nedanstående bild visar på såväl patientsäkerhet som patientintegritet/sekretess.

6 6 Källa: Schematisk bild över Region Skånes arbete gällande informationssäkerhet Extern åtkomst RSVPN är en tjänst som ger anställda och samverkansparter möjlighet att skapa en säker anslutning till Region Skånes nät från Internet. I tjänsten finns möjlighet att logga in via elektroniskt ID-kort alternativt med ett engångslösenord via SMS. Beroende på inloggningsmetod och datorns säkerhetsnivå ges åtkomst till olika system/resurser. Liksom tidigare ger inloggning med engångslösenord tillgång till färre system än inloggning med eid-kort. I Region Skåne förekommer distansarbete inom olika yrkeskategorier och bl a utför röntgenläkare och medicinska sekreterare arbete på distans. I och med möjligheten med RSVPN-anslutningen skapas större möjligheter att vara tillgänglig och enligt de intervjuade ger det ett förbättrat beslutsstöd vid distansarbete genom åtkomst till journalsystem och tillhörande databaser. Distansarbete kan teoretiskt ske genom telefonsamtal, videosamtal samt genom internetuppkoppling. Uppkoppling på detta sätt ställer naturligtvis större krav på att det inte finns möjlighet för obehöriga att ta del av konfidentiell information och enligt de intervjuade bär givetvis arbetsgivaren ansvar för att lagar, beslut och riktlinjer följs men de intervjuade påtalar också att arbetstagaren bär ett stort ansvar i att detta efterlevs och att ingen obehörig har möjlighet att ta del av informationen. Arbetstagaren måste givetvis följa samma regler såsom sekretessregler som gäller när de arbetar vid sin ordinarie arbetsplats.

7 7 4. Granskningsområden och resultat 4.1 Gällande beslut, policys och riktlinjer inom området Iakttagelser Enligt Patientdatalagen 2008:14 (kapitel 2 ansvar för informationssäkerhet) ska vårdgivaren ge direktiv och säkerställa att det i verksamhetens ledningssystem för kvalitet och patientsäkerhet finns en dokumenterad informationssäkerhetspolicy. Informationssäkerhetspolicyn ska säkerställa att: 1. patientuppgifter i vårdgivarens dokumentation är åtkomliga och användbara för den som är behörig (tillgänglighet), 2. patientuppgifterna är oförvanskade (riktighet), 3. obehöriga inte ska kunna ta del av patientuppgifterna (sekretess), och 4. det i sådana informationssystem som är helt eller delvis automatiserade är möjligt att i efterhand entydigt kunna härleda åtgärder till en identifierad användare (spårbarhet). Vidare ska vårdgivaren utse en eller flera personer som ska ansvara för informationssäkerhetsarbetet. Den eller de som har fått denna uppgift ska minst en gång om året rapportera till vårdgivaren vilka granskningar och skyddsåtgärder av större betydelse som har gjorts i enlighet med informationssäkerhetspolicyn, riskanalyser som har utförts avseende informationssäkerheten och förbättringsåtgärder som har vidtagits. Enligt Policy och riktlinjer om distansarbete i Region Skåne gäller följande: Arbetsuppgifter och arbetsmängd ska distansarbetaren komma överens om med sin chef. Uppgifterna ska vara noga specificerade vad gäller mål, direktiv och tidsplan. Arbetsuppgifter av direkt patientrelaterad karaktär där sekretesslagstiftning gäller ska noga övervägas om dessa är lämpliga för distansarbete. I samband med övervägandet bör kontakter tas med IT-säkerhetsansvariga för att kontrollera vilken säkerhet för sekretesskyddade uppgifter som kan erbjudas. Arbetsgivarens policy för IT-säkerhet ska följas på samma sätt som vid huvudarbetsplatsen. Arbetsgivaren ska instruera medarbetaren om vilka säkerhetsregler som medarbetaren är skyldig att följa. Arbetsgivaren ansvarar för att distansarbetaren har en trygg arbetsmiljö som inte ger upphov till några skador. Det innebär bl a att arbetsgivaren ansvarar för att utrustning och maskiner som lämnas ut till den anställde är säkra ur skyddssynpunkt. Medarbetaren å sin sida ska följa givna föreskrifter och iaktta den försiktighet som behövs för att förebygga ohälsa och olycksfall. För distansarbete gäller arbetsmiljölagens bestämmelser vilket innebär att skyddsombud ska ha möjlighet att utöva den tillsyn distansarbetet kräver samt arbetsgivaren ska även ha tillträde till arbetsplatsen dock efter överenskommelse.

8 8 Distansarbete förutsätter tydlig målstyrning och uppföljning då distansarbetet innebär stora förändringar för chef och medarbetare vilket innebär att arbetsformen distansarbete kontinuerligt ska följas upp och medarbetaren förbinder sig att delta i uppföljningen vilken bl a ska omfatta: för- och nackdelar för den enskilde och verksamheten den sociala situationen arbetsmiljö och arbetsbelastning möjligheter och problem i vad mån avtalet täcker in relevanta aspekter Inom Region Skåne är Regionstyrelsen personuppgiftsansvarig för all behandling av personuppgifter som sker i Region Skånes verksamheter. Enligt personuppgiftslagen/ PUL har Region Skåne utsett ett personuppgiftsombud som har till uppgift att se till att personuppgifter behandlas på ett lagligt och korrekt sätt. Socialstyrelsens och Datainspektionens krav på sekretess och patientsäkerhet ska givetvis också följas av Region Skåne. 4.2 Uppföljning av att distansarbete sköts på ett tillfredsställande sätt utifrån patientsäkerhet och sekretess Iakttagelser Genom att Region Skåne använder sig av RSVPN-anslutning ger det, enligt de intervjuade, en säker uppkoppling med tillhörande säker information. Däremot görs det generellt sett ingen systematisk uppföljning av området som med klarhet kan visa om arbete på distans sköts på ett tillfredsställande sätt utifrån patientsäkerhet och sekretess. Enligt de intervjuade förs det däremot årligen samtal med medarbetarna vid utvecklingssamtal angående uppföljning av att Region Skånes policy och riktlinjer om distansarbete följs. När det gäller de medicinska sekreterarna vid Helsingborgs lasarett görs årligen kontroller av deras hemarbetsplatser av såväl arbetsgivare som skyddsombud. Vid dessa tillfällen sker genomgång av all teknisk utrustning med tillhörande program och att arbetsmiljön är tillfredsställande. Deras avtal gällande distansarbete förlängs var 6:e månad och förlängs först efter utvärdering. Beträffande arbetstiden kan distansarbetet maximalt omfatta 3 dagar i veckan och enhetschefen påtalar vikten av att medarbetarna ska vara med på informations- och arbetsplatsträffar för att på så vis få ta del av viktig information och för att upprätthålla en hög patientsäkerhet. Produktionen vid distansarbete följs kontinuerligt upp. För närvarande anges produktionen i antal skrivna tecken och var och en av medarbetarna får sin egen statistik en gång per månad och resultatet utgör sedan ett diskussionsunderlag vid förlängning av avtal samt i samband med medarbetarsamtal. Detta arbetssätt ska enligt enhetschefen ses över efter sommaren för att eventuellt följa både skrivna minuter och journaler istället.

9 9 I journalsystemet Melior förkommer, enligt de intervjuade, ingen kryptering av data om medarbetaren arbetar på sin ordinarie arbetsplats. Däremot vid inloggning med RSVPNanslutning och vid distansarbete krypteras all data. Vare sig de medicinska sekreterarna arbetar på sin ordinarie arbetsplats eller vid distansarbetsplatsen sker loggning i Melior. Genom loggning registreras automatiskt hur varje behörig har använt sin access. Enhetschefen för de medicinska sekreterarna gör sedan stickprovsgranskning men menar samtidigt att det är ett detektivarbete. Om det saknas vårdrelation kan påföljd ske i disciplinär, straffrättslig eller arbetsrättslig ordning. Vidare lämnas information om att när obehörigt intrång upptäcks är det oftast via utomstående som begär ut logg från sin egen journal och detta sköts centralt inom Region Skåne. Generellt lämnas information om att back-up av data inte alltid ges på ett tillfredsställande sätt vare sig medarbetarna arbetar på sin ordinarie arbetsplats eller på distans. Vidare hävdas att det är en kostnadsfråga hur mycket pengar respektive verksamhetschef ska lägga på back-up av data. Enligt uppgift finns det tre olika versioner av backup och det som skiljer dem åt är hur ofta systemet utför back-up. Enligt Socialstyrelsens krav är det verksamhetschefen som bär det yttersta ansvaret för exempelvis digitala journaler och att verksamheten har en tillförlitlig back-up av data. När det gäller att granska röntgenbilder på distans och inte på sin ordinarie arbetsplats sker detta enligt de intervjuade i liten skala inom hela Region Skåne. För att få en uppfattning av antalet har exempelvis förvaltningen SUND 3 stationer med teknisk utrustning för hemgranskning och som vardera kostar ungefär kr. I och med RSVPN-anslutningen ger det, återigen enligt de intervjuade, en säker uppkoppling med säker information. Vidare ges information av de intervjuade läkarna att Region Skåne har tecknat avtal med TMC (Telemedicine Clinic) som är en extern part som utför röntgendistansgranskning till Region Skåne. Beträffande läkare och deras jourarbete utförs en del arbetsuppgifter på distans. Flera av uppkopplingarna sker för att ge beslutsstöd i akuthandläggning av strokepatienter. Distansbedömningen av Rädda hjärnan sker genom nationell uppkoppling vid namn Sjunet och kräver inte RSVPN-anslutning. Däremot måste mottagande personal på plats på akutmottagningen godkänna inkommande samtal och ser dessutom vilket IDnummer uppringande part har. Båda parterna ser varandra under hela samtalet på bildskärm och själva videosamtalet är krypterat. Enligt uppgift sker ingen systematisk uppföljning av denna typ av distansarbete som kan garantera ett tillfredsställande sätt utifrån patientsäkerhet och sekretess. Däremot för de intervjuade cheferna årligen samtal med medarbetarna vid utvecklingssamtal angående uppföljning av att Region Skånes policy och riktlinjer om distansarbete följs. Enligt IT-ansvariga är RSVPN till för att skapa en säker kontakt med Region Skånes nätverk när man befinner sig utanför dess område och innebär att man skapar en tunnel in till nätverket. Genom inloggning med elektroniskt ID-kort ger det en säker inloggning och access till nätverket och till och med enligt ansvariga säkrare än att befinna sig internt. RSVPN loggar de personer som accessar nätverket samt även tidpunkt och längd på inloggningen. Det är de enskilda applikationerna som loggar användandet oavsett om man arbetar i en applikation internt eller på distans. Uppföljning av sekretess och säkerhet sker i de enskilda applikationerna. Det finns dock inte, enligt ansvariga, några rutiner för uppföljning av RSVPN- loggarna idag.

10 10 Enligt de informationssäkerhetsansvariga inom regionen har Regionstyrelsen delegerat arbete gällande integritetsfrågor till Beredningen för integritetsfrågor, som i sin tur har till uppgift att leda arbetet med integritetsfrågorna i Region Skåne. Beredningen lämnar kontinuerligt över rapporter gällande det arbete som beredningen utför. År 2013 granskades bl a uppföljning av efterlevnad av anvisningar för logguppföljning och dataintrång. Uppföljningen visade hur förvaltningar följde vid tiden gällande anvisningar avseende loggkontroll av personals åtkomst till patientuppgifter och dataintrång. Uppdraget genomfördes i form av en enkät som riktades till och besvarades av informationssäkerhetsorganisationen på förvaltningarna. Rapporten till Beredningen för integritetsfrågor visade på stora olikheter och kvalitetsskillnader i vårdenheters genomförande av systematisk slumpmässig loggkontroll. Uppföljningen visade också att det saknades rutiner och stöd för enhetlig hantering och återrapportering av dataintrång. Utgående från de i uppföljningen påvisade bristerna tog enheten för informationssäkerhet fram nya regionala instruktioner för loggkontroll. I samarbete med Koncernstabens HR-enhet togs även fram nya regionala anvisningar för hantering av dataintrång. Samma år redovisade beredningen bl a nedanstående IT-inventering för Regionstyrelsen. Inventeringen visade vid det granskade tillfället att: 771 applikationer/it-stöd fanns i Region Skåne ca 400 av dessa applikationer bedömdes innehålla patientuppgifter ca 45 berördes av sammanhållen journalföring det fanns drygt 100 leverantörer av applikationer till Region Skåne Enligt informationssäkerhetsansvarig var IT- systemens följsamhet till Patientdatalagen vid det tillfället följande: ca 8 IT-stöd bedömdes uppfylla Patientdatalagens krav varav ett antal av dessa var nationella IT-stöd ca 10 ytterligare system uppfyllde Patientdatalagens krav under år 2013 resterande system uppfyllde inte Patientdatalagens krav Vidare ges information om att Regionstyrelsen var 6:e månad får en rapport om hur arbetet med dessa brister fortskrider. I den senaste rapporten redovisas en del förbättringar men det förekommer fortfarande brister. Enligt informationssäkerhetsansvarig fanns ett beslutsförslag till beredningen i april 2014 gällande Årlig rapport om informationssäkerhetsarbetet i Region Skåne Tyvärr blev ansvarig förhindrad att delta och redovisa ärendet vid mötet varför ärendet bordlades. Den fortsatta hanteringen av rapporten ska diskuteras framöver och vidare lämnas information om att Beredningen för integritetsfrågor upphörde I dagsläget förekommer, enligt förvaltningschefen för Patientnämndens kansli, inga ärenden hos Patientnämnden som direkt kan kopplas till området distansarbete och patientsäkerhet.

11 Slutsatser och bedömningar Den sammanfattande bedömningen av förstudien visar att beslut, policys och riktlinjer gällande distansarbete inom Region Skåne till viss del efterlevs då det görs en del kontroller och uppföljningar. Däremot görs det generellt sett ingen systematisk uppföljning av området som med klarhet kan visa om arbete på distans sköts på ett tillfredsställande sätt utifrån patientsäkerhet och sekretess. Vidare visar förstudien att back-up av data inte alltid ges på ett tillfredsställande sätt vare sig medarbetaren arbetar på sin ordinarie arbetsplats eller på distans. Vad gäller följsamheten till Policy och riktlinjer om distansarbete i Region Skåne för de intervjuade cheferna årligen samtal med medarbetarna vid utvecklingssamtal angående uppföljning av att Region Skånes policy och riktlinjer om distansarbete följs. Inga förnyade avtal mellan arbetsgivaren och arbetstagaren gällande distansarbete tecknas innan en utvärdering av distansarbetet är gjord. Vad gäller IT-säkerheten vid distansarbete använder Region Skåne sig av RSVPNanslutning (Region Skåne Virtual Private Network) som, enligt IT-ansvariga, ger en säker uppkoppling med tillhörande säker information och till och med enligt dem säkrare än att befinna sig internt. Förstudien visar likaså att kryptering av data sker mer tillfredsställande vid RSVPN-uppkoppling. I dagsläget förekommer, enligt förvaltningschefen för Patientnämndens kansli, inga ärenden hos Patientnämnden som direkt kan kopplas till området distansarbete och patientsäkerhet. I takt med att distansarbete ökar är det viktigt att tillse att roller och ansvar i organisationen gällande informationssäkerhets- och patientsäkerhetsarbete är fastställda och att noggranna riskanalyser genomförs innan förändringar sker. Utbildning och information är likaså viktiga faktorer för att få säkerhetsmedvetna medarbetare inom Region Skåne. Vidare är det viktigt att tillse att likvärdig sekretess/patientsäkerhet utförs när extern part granskar och utför arbete på distans till Region Skåne. Förstudien föranleder en fördjupad granskning för att kunna säkerställa att arbete vid distansarbete sköts på ett tillfredsställande sätt, utifrån patientsäkerhet och sekretess, inom Region Skåne. Det vore även av vikt att granska området vad gäller distansarbete som utförs av extern part. Vidare är det av betydelse att granska hur tillförlitligt Region Skånes backup-system generellt sett är utifrån ett patientperspektiv, oavsett arbete på ordinarie arbetsplats eller på distans, samt att antalet IT-stöd/applikationer och dess säkerhet bör ses över... Helena Olsson Yrkesrevisor Certifierad kommunal revisor

I Central förvaltning Administrativ enhet

I Central förvaltning Administrativ enhet ., Landstinget II DALARNA I Central förvaltning Administrativ enhet ~llaga LS 117,4 BESLUTSUNDERLAG Landstingsstyrelsen Datum 2013-11-04 Sida 1 (3) Dnr LD13/02242 Uppdnr 652 2013-10-21 Landstingsstyrelsens

Läs mer

Informationssäkerhet en patientsäkerhetsfråga. Maria Jacobsson Socialstyrelsen

Informationssäkerhet en patientsäkerhetsfråga. Maria Jacobsson Socialstyrelsen Informationssäkerhet en patientsäkerhetsfråga Maria Jacobsson Socialstyrelsen Syftet med patientdatalagen tillgodose patientsäkerhet och god kvalitet samt främja kostnadseffektivitet patienters och övriga

Läs mer

BESLUT. Ärendet Egeninitierad verksamhetstillsyn av vårdgivarens informationssäkerhet

BESLUT. Ärendet Egeninitierad verksamhetstillsyn av vårdgivarens informationssäkerhet ii Socia Istyrelsen DRegion SydvästiSek4 Mikael Ramböl mikaetrarnbol@socialstyrelsen.se BESLUT 2011-06-15 Dnr 9.1-7139/2011 1(5) SU/Sahlgrenska Universitetssjukhuset Sjukhusdirektör Jan Eriksson Bruna

Läs mer

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen Informationshantering och journalföring Maria Jacobsson, Hälso- och sjukvårdsavdelningen 1. Målet för hälso- och sjukvården 2 HSL Målet för hälso- och sjukvården är en god hälsa och en vård på lika villkor

Läs mer

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation Presentation Informationssäkerhet Kim Strandberg Informationssäkerhetsstrateg/jurist kim.strandberg@regionostergotland.se 010-103 03 385 Region Informationssäkerhet, Östergötland 2015-03-11, Kim Strandberg

Läs mer

Rutin för loggning av HSL-journaler samt NPÖ

Rutin för loggning av HSL-journaler samt NPÖ Rutin för loggning av HSL-journaler samt NPÖ Enligt patientdatalagen 4 kap 3,skall vårdgivare göra systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter om patienter

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datum Diarienr 2010-02-23 1333-2009 City Dental i Stockholm AB Box 16156 111 51 Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen konstaterar

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 573-2013 Vuxennämnden Eskilstuna kommun Vuxenförvaltningen 631 86 Eskilstuna Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 570-2013 Socialnämnden Bollnäs kommun 821 80 Bollnäs Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens beslut Socialnämnden,

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datum Diarienr 2011-12-12 749-2011 Capio S:t Görans Sjukhus 112 81 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datainspektionens beslut Datainspektionen

Läs mer

Juridik och informationssäkerhet

Juridik och informationssäkerhet 2 KAPITEL Juridik och informationssäkerhet Sammanfattning Information som hanteras i socialtjänstens hemtjänstverksamhet (hemtjänst) och i kommunal hälso- och sjukvård (hemsjukvård) innehåller känsliga

Läs mer

Tillämpningsanvisningar för tillgång till och utlämnande av patientinformation

Tillämpningsanvisningar för tillgång till och utlämnande av patientinformation Sid 1(5) Tillämpningsanvisningar för tillgång till och utlämnande av patientinformation Inledning Hantering av patientinformation inom Region Skåne ska ske utifrån patientdatalagen (SFS 2008:355), Socialstyrelsens

Läs mer

Regler för distansarbete Allmänt om distansarbete

Regler för distansarbete Allmänt om distansarbete Personalavdelningens PA-handbok Datum 1999-10-01 Regler för distansarbete Allmänt om distansarbete Distansarbete kan tillämpas där det innebär besparing i verksamheten i form av lägre lokalkostnader och/eller

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datum Diarienr 2011-12-12 757-2011 Socialnämnden Lunds Kommun 221 00 Lund Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen

Läs mer

Distansarbete och tillfälligt hemarbete

Distansarbete och tillfälligt hemarbete GÖTEBORGS UNIVERSITET Personalavdelningen Hilding Sjödén Avd.dir. 2006-01-23Dnr F1 230/06 Distansarbete och tillfälligt hemarbete Definitioner Med distansarbete avses arbete som en anställd efter skriftlig

Läs mer

Dataintrång - åtgärder vid misstanke om olovlig åtkomst

Dataintrång - åtgärder vid misstanke om olovlig åtkomst Koncernkontoret Enheten för informationssäkerhet informationssakerhet@skane.se Datum: 2013-10-09 Dnr: Dokumentförvaltare: Enheten för informationssäkerhet Koncernkontoret Dokumentets status: Beslutad Dokumentid:

Läs mer

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA 2014-03-14 1 (7) RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA Riktlinjen är ett komplement till den policy som finns kring it-säkerhet i Höganäs kommun. Riktlinjen beskriver hur ansvarsfördelningen

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datum Diarienr 2013-05-08 1552-2012 Socialnämnden i Norrköpings kommun Rådhuset 601 81 Norrköping Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens

Läs mer

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem SOCIALFÖRVALTNINGEN Annika Nilsson, 0554-191 56 annika.nilsson@kil.se 2014-05-07 Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem INLEDNING Patientdatalagen

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen Datum Diarienr 2010-10-11 1725-2009 Styrelsen för Karolinska Universitetssjukhuset Stockholms läns landsting Box 22550 104 22 Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella

Läs mer

Policy för informationssäkerhet

Policy för informationssäkerhet .. - T C Q o,.. e Policy för informationssäkerhet Landstingsdirektörens stab augusti 2015 CJiflt LANDSTINGET BLEKINGE Innehållsförteckning Inledning och bakgrund... 3 Syfte... 3 Mål... 3 Genomförande...

Läs mer

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun.

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun. 2008-08-15 1 (6) Reviderad 2010-04-21 Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun. Nedanstående lagar, förordningar allmänna råd ligger

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Beslut Dnr 2006-12-12 1896-2005 Landstingsstyrelsen Landstinget i Värmland 651 82 Karlstad (er beteckning LK/052693) Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datainspektionens beslut

Läs mer

Patientdatalagen (PdL) och Informationssäkerhet

Patientdatalagen (PdL) och Informationssäkerhet Patientdatalagen (PdL) och Informationssäkerhet Maria Bergdahl, jurist Mikael Ejner, IT-säkerhetsspecialist Datainspektionen Några utgångspunkter Lagstiftaren och EU vill ha integritet Integritet ej motsatt

Läs mer

1. Bakgrund. 2. Parter. 3. Definitioner

1. Bakgrund. 2. Parter. 3. Definitioner Personuppgiftsbiträdesavtal samt fullmakt för såväl direktansluten vårdgivare som Inera AB att teckna personuppgiftsbiträdesavtal enligt 30-31 Personuppgiftslagen (1998:204) Modellavtal 2 riktar sig till

Läs mer

4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun

4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun 1(5) 4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun Nedanstående lagar, förordningar allmänna råd ligger till grund för omvårdnadsdokumentationen.

Läs mer

Hur skyddas patientens integritet? Vad säger lagar och författningar och hur fungerar det?

Hur skyddas patientens integritet? Vad säger lagar och författningar och hur fungerar det? Hur skyddas patientens integritet? Vad säger lagar och författningar och hur fungerar det? ewa.jerilgard@cehis.se Dagens nyheter vintern 2012 Drygt 200 vårdenheter allt från sjukhus till vårdcentraler

Läs mer

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Informationssäkerhet vid Karolinska Universitetssjukhuset Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Förlorar vi informationen, om den är felaktig eller manipulerad

Läs mer

BESLUT. 2011-06-1: Dnr 9.1-6676/2011 901 89 UMEA. Arendet Egeninitierad verksamhetstillsyn av vardgivarensinformationssakerhet

BESLUT. 2011-06-1: Dnr 9.1-6676/2011 901 89 UMEA. Arendet Egeninitierad verksamhetstillsyn av vardgivarensinformationssakerhet J8L Socialstyrelsen T/Region Nord'Sek2 Knster Lundstrdm knster.lundstromfoisocialsrvrelsen.se BESLUT 2011-06-1: Dnr 9.1-6676/2011 Vasterbottens lans landsting Landstingsdirektor Jonas Rastad 901 89 UMEA

Läs mer

Beredningen för integritetsfrågor

Beredningen för integritetsfrågor Beredningen för integritetsfrågor Lie Lindström Handläggare 040-675 38 32 Lie.Lindstrom@skane.se BESLUTSFÖRSLAG Datum 2013-08-28 Dnr 1201732 1 (5) Beredningen för integritetsfrågor Patientens direktåtkomst

Läs mer

Riktlinje för sammanhållen journalföring, nationell patientöversikt, NPÖ

Riktlinje för sammanhållen journalföring, nationell patientöversikt, NPÖ Diarienummer NHO-2014-0109.37 ALN-2014-0148. 37 Riktlinje för sammanhållen journalföring, nationell patientöversikt, NPÖ Dokumentnamn Riktlinje för sammanhållen journalföring, nationell patientöversikt,

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datum Diarienr 2011-12-12 755-2011 Socialnämnden Södertälje Kommun 151 89 Södertälje Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

Tillsyn - äldreomsorg

Tillsyn - äldreomsorg Datum Diarienr 2011-12-07 876-2010 TioHundranämnden Box 801 761 28 Norrtälje Tillsyn - äldreomsorg Datainspektionens beslut Datainspektionen konstaterar att TioHundranämnden i strid med 6 lagen om behandling

Läs mer

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhetspolicy 2008-08-29 Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål...

Läs mer

Skolorna visar brister i att hantera personuppgifter

Skolorna visar brister i att hantera personuppgifter Skolorna visar brister i att hantera personuppgifter www.datainspektionen.se Checklista för skolor Personuppgiftslagen (PuL) innehåller en rad bestämmelser som är viktiga att känna till för skolor som

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy IT (0:0:0) Informationssäkerhetspolicy IT (0:0:0) Antagen av kommunfullmäktige 2014-02-24, KF 29 Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd:

Läs mer

Personuppgiftsombudet

Personuppgiftsombudet Personuppgiftsombudet Datainspektionen informerar Personuppgiftsombudet Med den här skriften vill Datainspektionen informera om personuppgiftsombudets roll och arbetsuppgifter. Den innehåller upplysningar

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister Datum Diarienr 2014-03-31 1293-2013 Kristdemokraterna Box 2373 103 18 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister Datainspektionens

Läs mer

Systematiskt arbetsmiljöarbete, SAM, och uppgiftsfördelningen inom Västarvet

Systematiskt arbetsmiljöarbete, SAM, och uppgiftsfördelningen inom Västarvet SYSTEMATISKT ARBETSMILJÖARBETE Systematiskt arbetsmiljöarbete, SAM, och uppgiftsfördelningen inom Västarvet Ett väl fungerande systematiskt arbetsmiljöarbete leder till god arbetsmiljö som gynnar alla.

Läs mer

Självskattning. Systematiskt arbetsmiljöarbete

Självskattning. Systematiskt arbetsmiljöarbete Självskattning Systematiskt arbetsmiljöarbete Välkommen till detta självskattningsverktyg som tar utgångspunkt i reglerna om systematiskt arbetsmiljöarbete. Skattningen görs genom att ta ställning till

Läs mer

Loggkontroll - granskning av åtkomst till patientuppgifter

Loggkontroll - granskning av åtkomst till patientuppgifter MAS 2013 10.3. Informationssäkerhet. Rutiner och Riktlinjer Loggkontroll - granskning av åtkomst till patientuppgifter Inledning Den nya regleringen ger ökade möjligheter för åtkomst till patientdata inom

Läs mer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Beslut Dnr 2008-02-25 1161-2007 Apoteket AB 118 81Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datainspektionen konstaterar följande. Apoteket AB (Apoteket) saknar rutiner för systematiska

Läs mer

Bättre överblick ännu bättre vård. Sammanhållen journalföring ger nya möjligheter för vården att få ta del av dina uppgifter

Bättre överblick ännu bättre vård. Sammanhållen journalföring ger nya möjligheter för vården att få ta del av dina uppgifter Bättre överblick ännu bättre vård ger nya möjligheter för vården att få ta del av dina uppgifter Bättre helhet införs nu successivt över hela Sverige. Ja, hos flera landsting, kommuner och privata vårdgivare

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

Arbetsmiljöpolicy vid Omvårdnadsförvaltningen Skövde kommun

Arbetsmiljöpolicy vid Omvårdnadsförvaltningen Skövde kommun Arbetsmiljöpolicy vid Omvårdnadsförvaltningen Skövde kommun Kommunens mål och policy Skövde kommun har angett mål och policy för arbetsmiljö- och rehabiliteringsarbetet i särskilda handlingsprogram. Här

Läs mer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

Posthantering och annan överföring av sekretessbelagd och integritetskänslig information

Posthantering och annan överföring av sekretessbelagd och integritetskänslig information Koncernkontoret Enheten för informationssäkerhet informationssakerhet@skane.se Datum: 2012-11-05 Dnr: Dokumentförvaltare: Enheten för informationssäkerhet Koncernkontoret Dokumentets status: Beslutat Dokumentid:

Läs mer

Informations- och IT-säkerhet i kommunal verksamhet

Informations- och IT-säkerhet i kommunal verksamhet Informations- och IT-säkerhet i kommunal verksamhet En kommuns roll i trygghets och säkerhetsarbetet och var informations- och IT-säkerheten kommer in i detta Vad, vem och hur man kan arbeta med informations-

Läs mer

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6) Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning

Läs mer

Information till dig som patient. Patientjournalen - för säkrare vård. Information om Sammanhållen journal och om Nationell Patientöversikt

Information till dig som patient. Patientjournalen - för säkrare vård. Information om Sammanhållen journal och om Nationell Patientöversikt Information till dig som patient Patientjournalen - för säkrare vård Information om Sammanhållen journal och om Nationell Patientöversikt juni 2012 1 Innehållsförteckning Patientjournalen... 4 Patientdatalagen...

Läs mer

Använd molntjänster på rätt sätt

Använd molntjänster på rätt sätt 2013-02-13 E-samhället i praktiken Använd molntjänster på rätt sätt Molntjänster kan spara pengar och göra information mer tillgänglig för kommuner och landsting. Den viktigaste bedömningen vid val av

Läs mer

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2 IT-SÄKERHETSPOLICY 1 Inledning... 1 1.1 Definition... 2 1.2 Omfattning... 2 2 Mål för IT-säkerhetsarbetet... 2 3 Ledning och ansvar för IT-säkerheten... 3 4 Lagar och andra regelverk... 4 5 IT-säkerhetsarbetet...

Läs mer

- förebyggande uppföljning vid ryggmärgsbråck. Information för deltagare

- förebyggande uppföljning vid ryggmärgsbråck. Information för deltagare MMCUP - förebyggande uppföljning vid ryggmärgsbråck Information för deltagare Personer med ryggmärgsbråck behöver många olika sjukvårdskontakter under hela livet och det är lätt hänt att någon viktig insats

Läs mer

Att analysera värderingar bakom inforamtionssäkerhet. Fil. Dr. Ella Kolkowska ella.kolkowska@oru.se

Att analysera värderingar bakom inforamtionssäkerhet. Fil. Dr. Ella Kolkowska ella.kolkowska@oru.se Att analysera värderingar bakom inforamtionssäkerhet Fil. Dr. Ella Kolkowska ella.kolkowska@oru.se Agenda 1. Bakgrund varför studera värderingar? 2. Hur VBC-method 3. Hur kan resultatet från analyser användas

Läs mer

Kändisspotting i sjukvården

Kändisspotting i sjukvården Kändisspotting i sjukvården Sten Jacobson Grundprincip för hälso- och sjukvården Hälso- och sjukvården ska bygga på respekt för patientens integritet och självbestämmande. PDL ska ge en bättre samverkan

Läs mer

Ärendet. Förslag till beslut Nämnden föreslås besluta att. - anta informationssäkerhets- och it-plan för 2015. Staffan Blom Förvaltningschef.

Ärendet. Förslag till beslut Nämnden föreslås besluta att. - anta informationssäkerhets- och it-plan för 2015. Staffan Blom Förvaltningschef. Handläggare: Christina Hegefjärd PAN 2015-02-03 P 7 TJÄNSTEUTLÅTANDE 1 (1) Informationssäkerhet- och it-plan för 2015 Ärendet Årligen ska patientnämnden planera för förvaltningens informationssäkerhetsarbetet

Läs mer

Samverkansavtal för Landstinget i Östergötland

Samverkansavtal för Landstinget i Östergötland 1(6) Samverkansavtal för Landstinget i Östergötland Medbestämmandeavtal 2002 har här, av parterna gemensamt, utvecklats utifrån FAS 05. 1. Utgångspunkter för samverkan Medbestämmandelagen (MBL), arbetsmiljölagen

Läs mer

Granskning av informationssäkerhet patientinformation

Granskning av informationssäkerhet patientinformation Revisionsrapport - Granskning av informationssäkerhet patientinformation Landstinget i Värmland Eva Lidmark Peter Aschberg Innehållsförteckning 1 Sammanfattning 2 2 Inledning 3 2.1 Revisionskriterier 3

Läs mer

Nationell patientöversikt en lösning som ökar patientsäkerheten

Nationell patientöversikt en lösning som ökar patientsäkerheten NPÖ-guiden NPÖ Nationell Patientöversikt Nationell patientöversikt en lösning som ökar patientsäkerheten Den här guiden riktar sig till vårdgivare landsting, kommuner och privata vårdgivare som ska eller

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datum Diarienr 2010-05-21 1319-2009 Styrelsen för Sahlgrenska Universitetssjukhuset Torggatan 1 431 35 Mölndal Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen

Läs mer

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Antagen av Kommunfullmäktige 2009-04-23 57 1. Allmänt... 3 1.1 Inledning... 3 1.2 Begreppet informationssäkerhet

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister Datum Diarienr 2014-03-31 1288-2013 Vänsterpartiet Box 12660 112 93 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister Datainspektionens beslut

Läs mer

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016 Informationssäkerhetspolicy Informationssäkerhetspolicy för Vingåkers kommun 013-016 Innehållsförteckning 1 Mål... Syfte... 3 Ansvarsfördelning... 4 Definition... 5 Genomförande och processägare... 3 Dokumentnamn

Läs mer

Organisation för samordning av informationssäkerhet IT (0:1:0)

Organisation för samordning av informationssäkerhet IT (0:1:0) Organisation för samordning av informationssäkerhet IT (0:1:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr: 0036/13 Kommunalförbundet ITSAM,

Läs mer

Rutin för systematiskt arbetsmiljöarbete inom Enköpings kommun

Rutin för systematiskt arbetsmiljöarbete inom Enköpings kommun PERSONALENHETEN 2009-09-28 1 (5) Rutin för systematiskt arbetsmiljöarbete inom Enköpings kommun Detta dokument fastställer rutiner samt reder ut ansvarsförhållanden för arbetsmiljöarbetet inom Enköpings

Läs mer

Kompletterande Riktlinje för informations säkerhet

Kompletterande Riktlinje för informations säkerhet Kompletterande Riktlinje för informations säkerhet Omsorgsförvaltningen Beslutad ON 131217 On 212. Gäller från och med 140101 sdfasdsfasf Innehåll Inledning... 4 Personuppgift... 4 Känsliga uppgifter...

Läs mer

Samtycke vid direktåtkomst till sammanhållen journalföring

Samtycke vid direktåtkomst till sammanhållen journalföring Riktlinjer Samtycke vid direktåtkomst till sammanhållen journalföring Version 3 2014-12-23 Riktlinjerna är upprättade av medicinskt ansvariga sjuksköterskor och medicinskt ansvariga för rehabilitering

Läs mer

Granskning av Intern kontroll

Granskning av Intern kontroll www.pwc.se Revisionsrapport Lars Wigström Cert. kommunal revisor Granskning av Intern kontroll Vingåkers kommun Innehållsförteckning 1. Sammanfattande bedömning och rekommendationer... 1 2. Inledning...3

Läs mer

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Informationsklass: K1R2T1 Bilaga 2. Ansvarsbeskrivningar

Läs mer

ANVÄNDARHANDBOK Advance Online

ANVÄNDARHANDBOK Advance Online ANVÄNDARHANDBOK Advance Online 2013-09-27 INNEHÅLL Innehåll... 2 Välkommen till Advance Online!... 3 Allmän information... 3 Idén bakom Advance Online... 3 Att logga in på en terminalstation... 4 Allmänt...

Läs mer

Informationssäkerhet, Linköpings kommun

Informationssäkerhet, Linköpings kommun 1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...

Läs mer

Riktlinjer för samtal med medarbetare beträffande loggranskning

Riktlinjer för samtal med medarbetare beträffande loggranskning Dokumenthistorik Utgåva nr Giltig fr o m Giltig t o m Kommentar till ny utgåva Godkänd av (titel, namn, datum ) 6 2013-09-01 Mindre justering av dokumentet 5 2013-02-01 Mindre justering av dokumentet och

Läs mer

Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden. För kännedom: Kommunfullmäktiges presidium

Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden. För kännedom: Kommunfullmäktiges presidium Revisorerna 1 (1) Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden För kännedom: Kommunfullmäktiges presidium Revisionsrapport: Revisorerna har uppdragit till

Läs mer

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com Målsättning Öka förståelsen för nyttan med IT-revision Vad innebär intern IT-revision? Jmf

Läs mer

Riktlinjer för hälsofrämjande arbetsmiljö i Uppsala kommun

Riktlinjer för hälsofrämjande arbetsmiljö i Uppsala kommun KOMMUNLEDNINGSKONTORET Handläggare Lindh Marie-Louise Datum 2015-04-07 Diarienummer KSN-2015-0823 Kommunstyrelsen Riktlinjer för hälsofrämjande arbetsmiljö i Uppsala kommun Förslag till beslut Kommunstyrelsen

Läs mer

Kvalitetsregister & Integritetsskydd. Patrik Sundström, jurist SKL

Kvalitetsregister & Integritetsskydd. Patrik Sundström, jurist SKL Kvalitetsregister & Integritetsskydd Patrik Sundström, jurist SKL Varför finns det ett regelverk för nationella kvalitetsregister? - Många känsliga uppgifter - Om många människors hälsa - Samlade på ett

Läs mer

Policy och tillämpningsförslag. Informationsutbyte. mellan externa vårdgivare och Region Skåne

Policy och tillämpningsförslag. Informationsutbyte. mellan externa vårdgivare och Region Skåne Hälso- och sjukvårdsledningen POLICY Datum December 2004 Dnr HSN/000000 Policy och tillämpningsförslag Informationsutbyte mellan externa vårdgivare och Region Skåne Adress: S-291 89 KRISTIANSTAD Besöksadress:

Läs mer

Arbetsmiljöpolicy. Pilagårdsskolan

Arbetsmiljöpolicy. Pilagårdsskolan Pilagårdsskolan Arbetsmiljöpolicy Arbetsmiljöarbete ska organiseras så att vi kan uppfylla arbetsmiljölagens krav på en god arbetsmiljö. En god arbetsmiljö kan stimulera medarbetarna till arbetsglädje,

Läs mer

Lokala riktlinjer informationshantering och journalföring, inom elevhälsans medicinska och psykologiska delar, Alingsås Kommun

Lokala riktlinjer informationshantering och journalföring, inom elevhälsans medicinska och psykologiska delar, Alingsås Kommun Datum: 120131 Handläggare: Maria Amström Direktnr: 7063 Beteckning: 2012.041 Lokala riktlinjer informationshantering och journalföring, inom elevhälsans medicinska och psykologiska delar, Alingsås Kommun

Läs mer

Introduktion till Informationssäkerhet

Introduktion till Informationssäkerhet Sekretess Tillgänglighet Riktighet Spårbarhet Introduktion till Informationssäkerhet Kompetens och ansvar Ledning Teknik Tillämpningsområde: Region Halland INFORMATIONSSÄKERHET INNEHÅLLSFÖRTECKNING 1 INFORMATIONSSÄKERHET

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Beslut Dnr 2008-09- 09 810-2008 Utbildningsnämnden i Skövde kommun 541 83 SKÖVDE Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen konstaterar att

Läs mer

Publicerad www socialstyrelsen se april 2009 2

Publicerad www socialstyrelsen se april 2009 2 Handboken ett stöd för vårdgivare, verksamhetschefer, medicinskt ansvariga sjuksköterskor och hälso- och sjukvårdspersonal som ska tillämpa Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering

Läs mer

Granskning av polismyndigheternas användning av centrala säkerhetsloggen

Granskning av polismyndigheternas användning av centrala säkerhetsloggen Uttalande SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN 2012-09-04 Dnr 117-2012 Granskning av polismyndigheternas användning av centrala säkerhetsloggen 1 SAMMANFATTNING Nämnden har granskat de 83 beställningar

Läs mer

Välkommen till enkäten!

Välkommen till enkäten! Sida 1 av 12 Välkommen till enkäten! Enkäten går ut till samtliga statliga myndigheter, oavsett storlek. För att få ett så kvalitativt resultat av uppföljningen som möjligt är varje myndighets svar av

Läs mer

Arbetsgivaren skall ha tydliga mål för verksamheten. De anställda skall informeras och informera sig om målen.

Arbetsgivaren skall ha tydliga mål för verksamheten. De anställda skall informeras och informera sig om målen. Datum 2010-03-22 SAMVERKANSAVTAL INLEDNING Piteå kommun och de fackliga organisationerna har enligt detta avtal utformat ett samverkanssystem bestående av detta avtal och tillhörande rutiner som gäller

Läs mer

Kommunstyrelsen. Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning

Kommunstyrelsen. Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning Kommunstyrelsen Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning INNEHÅLLSFÖRTECKNING REGLER OCH RUTIN FÖR BEHANDLING AV PERSONUPPGIFTER... 3 Inledning... 3 Personuppgiftslagens

Läs mer

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Innehållsförteckning 1. Generell informationssäkerhet... 4 1.1. Styrande dokumentation... 4 1.2. Organisation... 4 Incidenthantering...

Läs mer

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datum Diarienr 2013-05-31 1419-2012 Landstingsstyrelsen Landstinget i Östergötland 581 91 Lidköping Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datainspektionens

Läs mer

Strategi Program Plan Policy» Riktlinjer Regler

Strategi Program Plan Policy» Riktlinjer Regler Strategi Program Plan Policy» Riktlinjer Regler Borås Stads Riktlinjer för IT Riktlinjer för IT 1 Fastställt av: Kommunstyrelsen Datum: 20 juni 2011 För revidering ansvarar: Kommunstyrelsen För ev uppföljning

Läs mer

Arbetsmiljöverkets föreskrifter om systematiskt arbetsmiljöarbete. Föreskrifternas tillämpningsområde. Definition av systematiskt arbetsmiljöarbete

Arbetsmiljöverkets föreskrifter om systematiskt arbetsmiljöarbete. Föreskrifternas tillämpningsområde. Definition av systematiskt arbetsmiljöarbete AFS 2001:1 Arbetsmiljöverkets föreskrifter om systematiskt arbetsmiljöarbete Utkom från trycket Den 16 mars 2001 Beslutade den 15 februari 2001 (Ändringar införda t.o.m. 2008-09-30) Arbetsmiljöverket meddelar

Läs mer