Introduktion till Informationssäkerhet

Transkript

1 Sekretess Tillgänglighet Riktighet Spårbarhet Introduktion till Informationssäkerhet Kompetens och ansvar Ledning Teknik Tillämpningsområde: Landstinget Halland

2 INFORMATIONSSÄKERHET INNEHÅLLSFÖRTECKNING 1 INFORMATIONSSÄKERHET - INLEDNING Policy för informationssäkerhet Sekretess Tillgänglighet Riktighet Spårbarhet Kompetens och ansvar Ledning Teknik 4 2 RUTINER FÖR ATT ANVÄNDA LANDSTINGETS INFORMATIONSSYSTEM Allmänt Privat användning Personlig in - och utloggning till landstingets nätverk (huvudregel) Gruppinloggning till landstingets nätverk (undantag) Register enligt personuppgiftslagen Lagring av information och lagringsstruktur E-post Internet Sekretessmarkering i folkbokföringen Information till anställda om behandling av personuppgifter i loggregister Datorer för distansarbete Offentlighetsprincipen Introduktion till Sekretesslagen 11 Blanketter: Bilaga 1 Introduktion till informationssäkerhet Bilaga 2 Sekretess anställd kvittens Dok ID: Intr infosäk Fastställd av: LD Sida 2 av 11

3 1 Informationssäkerhet - inledning Kapitel Informationssäkerhet i ledningssystemet tillsammans med de rutiner som är kopplade till kapitlet beskriver hur vi ska arbeta med informationssäkerhet. Kapitlet är till stora delar landstingsgemensamt. Detta dokument Introduktion till informationssäkerhet är en sammanfattning av de viktigaste delarna i kapitel Informationssäkerhet med rutiner. Landstinget Hallands informationssystem ska stödja verksamheten genom att förbättra möjligheterna till information och kommunikation, såväl inom verksamheten som i kontakterna med externa vårdgivare, myndigheter och andra intressenter. En förutsättning för att hälso-, sjuk- och tandvårdens samt övriga verksamheters krav på sekretess och allmän säkerhet ska vara tillgodosedda, är att alla användare följer detta regelverk. 1.1 Policy för informationssäkerhet I varje förvaltning i Landstinget Halland som har certifierade ledningssystem för informationssäkerhet har den politiska styrelsen/nämnden formulerat en policy för detta område. Innehållet är till största delen likt. Där står att förvaltningen sätter patientens intresse och säkerhet i centrum, även då det gäller hantering av information, oavsett lagrings- och kommunikationsmedia. Där står också att utifrån genomförda riskanalyser, informationsklassning och strategiska bedömningar styrs informationen med avseende på överföring, tillgänglighet och sekretess så att patientsäkerheten garanteras och lagar efterlevs. Se kapitel 101 i ledningssystemet. 1.2 Sekretess Sekretess är det som vi i dagligt tal kallar tystnadsplikt. Krävs för att: - Landstingets verksamhet ska kunna värna om patientens integritet. - Patienten ska kunna lita på att ingen känslig information kommer ut till obehöriga. - Anställda endast har rätt att ta del av de uppgifter som behövs för arbetet. 1.3 Tillgänglighet Innebär att uppgifterna finns när de behövs. Krävs för att: - Landstingets personal ska kunna arbeta effektivt. - Undvika försening, felbehandling och onödig undersökning för patienten. - Anställda ska ha tillgång till nödvändig information. 1.4 Riktighet Att kunna lita på att ingen uppgift är förvanskad. Krävs för att: - Landstingets personal behöver rätt information för att kunna göra riktiga och säkra bedömningar. 1.5 Spårbarhet All datoriserad informationshantering registreras automatiskt i loggar i respektive system. Krävs för att: Dok ID: Intr infosäk Fastställd av: LD Sida 3 av 11

4 - Det ska synas vem som har gjort vad och när. - Kunna utöva tillsyn. 1.6 Kompetens och ansvar Kunskap om informationssäkerhet hos samtliga medarbetare skapar förtroende och förmåga att agera ansvarsfullt. 1.7 Ledning Informationssäkerheten utgår från myndigheters och patienters behov som utgör underlag för hur ledare på olika nivåer genomför och utvärderar hanteringen av informationssäkerhet. 1.8 Teknik All teknik för att få tillgång till, hantera och kommunicera information ska säkerställa att obehöriga inte kan komma åt informationen. Datorresurser, datornät, kringutrustning, behörighetssystem för användare och e-postadresser tillhandahålls av Landstinget Halland i syfte att stödja dess verksamhet. All behörighet till datorresurser och datornät ska vara godkänd av närmaste chef. När en anställning upphör avslutas behörighet. 2 Rutiner för att använda landstingets informationssystem 2.1 Allmänt Det är förbjudet att ansluta datorer, som inte konfigurerats av IT-avdelningen, till landstingets nät. Misstanke om virus i program eller datafiler ska omedelbart rapporteras till IT-Service. Landstingets antivirusskydd ska vara installerat på samtliga datorer och det ska uppdateras regelbundet. Det är inte tillåtet att installera program utan tillstånd av närmaste chef och efter samråd med IT-avdelningen. 2.2 Privat användning Privat användning av landstingets datorresurser begränsas genom rutiner som framgår av denna introduktion. Motivet är att privat användning tar resurser i anspråk, vilket påverkar systemens prestanda, tillgänglighet och effektivitet. Att lagra privat information på landstingets utrustning innebär också en ekonomisk kostnad. 2.3 Personlig in - och utloggning till landstingets nätverk (huvudregel) Användare ska logga in på nätverket med egen inloggningsidentitet (användarnamn och lösenord). Identiteten, och resurser som hör till den, får endast användas av innehavaren. Lösenordet, som tillhör identiteten, måste hållas hemligt. Innehavare av identitet ansvarar för aktiviteter som görs med den brukade identiteten. Det är inte tillåtet att låna ut behörigheten till någon annan. Tvingande lösenordsbyte tillämpas automatiskt varannan månad. Dok ID: Intr infosäk Fastställd av: LD Sida 4 av 11

5 Utloggning Utloggningsfunktionen från nätverket ska användas efter avslutat arbetspass. En gång per vecka ska starta om dator - funktionen användas. Finns System Cross på datorn ska starta om dator - funktionen användas varje dag. 2.4 Gruppinloggning till landstingets nätverk (undantag) Gruppinloggning innebär att flera personer gemensamt använder en inloggningsidentitet. Gruppinloggning ska undvikas men får tillämpas på de ställen där ett fåtal datorer används av flera personer. Verksamhetssystem ska vara reglerat med en separat inloggning som ska vara personlig och lösenordsskyddad. En gruppinloggning: Ska vara utformad med begränsad tillgång till gemensamma resurser. Kan ha tillgång till enhetens gemensamma katalog/resurs. Har tillgång till Lina (landstingets intranät). Har tillgång till och ett begränsat antal adresser på internet. öppnats. 2.5 Register enligt personuppgiftslagen Ett register kan vara ett personuppgiftsregister utan att innehålla personnummer. Det räcker med att man kan härleda uppgifterna till en enskild individ och det gäller både patient och personal. Inga personregister får tas i bruk innan tillstånd har lämnats av personuppgiftsombudet. Se rutin: Personuppgifter. 2.6 Lagring av information och lagringsstruktur Lagring All administrativ information lagras i en gemensam filarea. Det är inte tillåtet att spara musikfiler eller filer av privat karaktär på något av landstingets lagringsutrymmen. Egen profil Den egna personliga profilen, (C:) är maximerad till 100 MB. Här finns till exempel användarens egna inställningar i program, favoriter, e-postlåda mm. Även sådant som sparas på datorns skrivbord finns här. Därför ska dokument inte sparas på skrivbordet av utrymmesskäl. Om profilen överstiger 100 MB kommer användaren inte att kunna logga ut innan profilen är anpassad till den storlek som gäller. En ikon visas då med text om att din profil har överstigits. Kontroll av profilstorlekar sker med automatik och övervakas av IT-avdelningen. Lagringsstruktur Vi kan lagra information på till exempel G: eller H:. Vad som ska lagras var framgår av kapitel 309. H- Katalogen IT-avdelningen kontrollerar kontinuerligt hemkatalogens (H:) storlek via analysverktyg, där vissa filtyper kan urskiljas. Vid oproportionerligt stor (större än medelvärde) hemkatalog skickas meddelande till användare med kopia till närmaste chef. Användaren uppmanas rensa sin katalog eller förklara behovet av extra stor katalog. Detta behov ska godkännas av chefen. Dok ID: Intr infosäk Fastställd av: LD Sida 5 av 11

6 Låsa dator/skärmsläckare När datorn lämnas utan uppsikt ska i första hand Ctrl/Alt/Delete = lås dator - funktionen plus enter användas. I andra hand kan en skärmsläckare aktiveras. Skärmsläckare ska vara lösenordsskyddad. Endast skärmsläckare som finns i Kontrollpanelen får användas. 2.7 E-post Allmänt En e-postlåda är ett arbetsverktyg och är inte avsedd för privat bruk. Privat e-post ska undvikas men får skickas om synnerliga skäl finns. Privata kedjebrev är inte tillåtna. Privat e-post får inte sparas utan ska tas bort. Det är inte tillåtet att skicka sekretessbelagda uppgifter eller annan känslig information. Egen e-postlåda ska kontrolleras minst en gång per dag, då du är i tjänst. Vidarebefordra inte virusvarningar, kedjebrev eller annan information som inte tillhör arbetet. Om du är osäker ta kontakt med IT-service. Automatisk vidarebefordring av e-post till e-postadresser utanför landstinget, t ex till privata e-postadresser, är inte möjlig. Mottagare till kopia av e-brev har fått kopian för kännedom. Undvik att slentrianmässigt skicka kopia för kännedom. Skicka endast kopia när det är nödvändigt. E-postmeddelanden ska skrivas med typsnitt Arial, minst 10 punkter, med svart text på vit botten. Använd inte färgade tonplattor eller bakgrunder. (Se Grafiska profilen). E-post får inte belastas med onödig grafik. Om du inte är den förmodade mottagaren ring eller mejla avsändaren och informera. Ta därefter bort meddelandet. E-post från okända avsändare eller med suspekt ärenderubrik bör behandlas med försiktighet, särskilt om de innehåller bifogade filer. Kontakta IT-service. Användaren kan själv återskapa borttagna mejl upp till 30 dagar. En rekommendation är att alla e-brev avslutas med de uppgifter som gäller standarden för visitkort i Landstinget Halland, d v s namn, befattning, arbetsplats och kontaktuppgifter. Typsnitt Arial ska användas (Se Grafiska profilen). Offentlighet och sekretess E-post omfattas av samma bestämmelser om offentlighet, sekretess, arkivering med mera, som traditionella postbefordrade brev, fax, telegram och så vidare. Vid användandet av e-post måste tryckfrihetsförordningens bestämmelser om rätt att ta del av allmänna handlingar beaktas. Ett e-postmeddelande som bedöms vara en allmän offentlig handling ska skyndsamt kunna lämnas ut i läsbar form till den som så begär. För mer information se Offentlighetsprincipen mm - introduktion som finns på Lina/Ledningssystemet/Rutiner/Beskrivningar. Har ni ytterligare frågor kontakta landstingets jurister eller landstingsarkivarien. Frånvaro Se rutin E-post. Avslutning av e-postlåda Se rutin E-post. Dok ID: Intr infosäk Fastställd av: LD Sida 6 av 11

7 Åtkomst till egen e-postlåda via internet - Outlook Web Access (OWA) Det finns möjlighet till åtkomst av Landstinget Hallands e-postsystem via internet, webbadress: När OWA används sker uppkoppling via en krypterad förbindelse. Du använder samma användarid som när du loggar in på en landstingsdator. 2.8 Internet Internet På internet finns inget sekretesskydd. Uppkoppling från Landstinget Halland får endast ske via landstingets centralt skyddade koppling (brandvägg). Internet är avsett som ett hjälpmedel för verksamheten. Säkerhetsgrad och säkerhetshöjande åtgärder beslutas av ansvarig på IT-avdelningen. Internet är ett arbetsverktyg och är inte avsett för privat bruk. Privat surfande ska därför undvikas. (Se 2.2 Privat användning) Åtkomst Att surfa på internet innebär ett personligt ansvar och varje användare måste personligen logga in i landstingets nätverk. Begränsningar Det är inte tillåtet att via internet ladda ner spel, program eller musikfiler. Det är inte heller tillåtet att installera program eller tillägg till program. Om särskilt program/tillägg önskas ska kontakt tas med närmast ansvarig chef och IT-avdelningen för godkännande. Det är inte tillåtet att på arbetstid besöka hemsidor som inte är direkt relaterade till arbetet. Besök på hemsidor utanför arbetstid får ske, men sidor med pornografi, rasism, våld, förtal, kränkning eller liknande får inte besökas från landstingets datorer. Sekretesskyddade uppgifter, t ex patientuppgifter, får endast skickas via internet om ITavdelningen vidtagit sådana åtgärder att uppgifterna är skyddade mot obehörig insyn och åtkomst. Kontakta samordnaren för informationssäkerhet eller IT-avdelningen om osäkerhet finns. Det är inte tillåtet att beställa varor eller tjänster över internet och lämna ut den e-postadress man innehar på Landstinget Halland såvida det inte sker på uppdrag av närmaste chef. Loggning Varje användare med eget användarnamn som besöker internet loggas. Loggar sparas tre månader. Syftet med loggningen är att: kontrollera att anställda respekterar de begränsningar som fastställts. säkra teknik och säkerhet. övervaka resursutnyttjandet. Loggkontroll System för automatiserad kontroll av internetloggar finns. Internettrafiken kan i realtid (d v s just nu) visas per område, t ex bilsidor, tidningar, pornografi m m och detta registreras på respektive användare i loggen. Personal med särskild behörighet på IT-avdelningen bearbetar och analyserar loggarna. Om loggkontrollen i realtidsövervakningen visar besök på sidor med innehåll som finns under rubriken Begränsningar i denna rutin skickar IT-direktören ett brev till respektive Dok ID: Intr infosäk Fastställd av: LD Sida 7 av 11

8 medarbetare och förvaltningschef. Vid upprepat missbruk beslutar förvaltningschefen om vilka åtgärder som ska vidtas. 2.9 Sekretessmarkering i folkbokföringen Allmänt om sekretessmarkering Uppgifter om personer i folkbokföringen, till exempel namn, adress och personnummer, är vanligtvis offentliga. I vissa fall är det viktigt att hindra att en normalt harmlös uppgift lämnas ut. Ett sådant fall kan vara när en person är utsatt för ett hot från någon annan och därför behöver skydda sin adress. Om ett skattekontor bedömer, efter ansökan från en person, att utlämnande av uppgifter om denne kan förorsaka personförföljelse eller annan skada finns det möjlighet att i det lokala folkbokföringsregistret föra in en s k sekretessmarkering. Sekretessmarkeringen motsvarar i princip den hemligstämpling som kan föras på en hemlig handling. Markeringen omfattar alla uppgifter om en person och ska fungera som en varningssignal. Läns-, kommun- eller församlingskoder ska inte heller framgå. Sekretessmarkeringen aviseras från Riksförsäkringsverket till Landstinget Halland tillsammans med övriga uppgifter om personen. Omprövning av sekretessmarkeringen sker i regel varje år. Folkbokföringssekretess enligt 7 kap 15 sekretesslagen gäller för personuppgifter i landstingets befolkningsregister. Praktiskt I flera av våra vård- och administrativa system har vi tillgång till uppdaterade folkbokföringsuppgifter. I adressfältet kan det t ex stå lokala skattemyndigheten eller skyddad adress. Personer med spärrmarkerade folkbokföringsuppgifter har av skattemyndigheten blivit informerade om vikten av att inte i onödan lämna ut spärrmarkerade uppgifter om sig själva. Det normala är att personen inte ska lämna ut några upplysningar om hemlig adress m m. Om personen vill kan uppgifter lämnas till ansvarig behandlare. Uppgifterna får inte dokumenteras i journalen. All korrespondens med personen ska ske via skattemyndigheten. Brev till personer: Lägg brevet i kuvert, förslut det och märk med namn och personnummer. Lägg därefter kuvertet i ett nytt kuvert och skicka till Förmedlingsuppdrag Skattekontor 2, Box 2820, Göteborg. För att systemet med spärrmarkerade personuppgifter ska fungera är det viktigt att: Spärrmarkeringarna syns vid sökningar i register och att de markeras tydligt. All personal som hanterar personuppgifter ska ges grundlig information om sekretessfrågor och om systemet med spärrmarkerade personuppgifter. Kretsen av personer som har behörigheten att ta del av spärrmarkerade personuppgifter ska begränsas så mycket som möjligt. Dok ID: Intr infosäk Fastställd av: LD Sida 8 av 11

9 2.10 Information till anställda om behandling av personuppgifter i loggregister Personuppgiftsansvarig Landstingsstyrelsen är personuppgiftsansvarig för landstingsövergripande system, t ex personal- och ekonomiregister, system för åtkomst till Internet och system för att skicka e- post. Respektive driftstyrelse är personuppgiftsansvarig för de system som används inom respektive styrelseområde. Ändamålen Syftet med att kontrollera loggar i journalsystem och administrativa system är att obehöriga inte ska ha tillgång till patientuppgifter eller andra personuppgifter. Syftet med att kontrollera loggar för besökare på internet är att säkra att anställda följer de regler som fastställts i rutin Internet och att samtidigt säkra kontrollen av teknik och säkerhet. Intresseavvägning Enligt personuppgiftslagen får personuppgifter registreras utan samtycke efter intresseavvägning. Det vill säga att syftet med registreringen väger över och därför registreras vissa uppgifter utan samtycke. Ett exempel är personuppgifter i lönesystem. Uppgifter som behandlas Journalloggar: Användarnamn, arbetsplats, var i journalen, datum, start- och stopptid. Internetloggar: IP-nummer, användarnamn, arbetsplats, internetadress, vilken sida som besökts, datum och tid. Passerkortsloggar: Efternamn, förnamn, arbetsplats, datum, klockslag, port. Administrativa loggar: Beroende på system till exempel användarnamn, datum, start- och stopptid, var i systemet. Systemadministratörsloggar: Beroende på system till exempel användarnamn, datum, startoch stopptid, var i systemet. Kontroll Verksamhetschef eller motsvarande ansvarar för att loggning och kontroll av loggar i system genomförs, det vill säga den som har rätt att dela ut behörigheter har också skyldighet att se till att loggarna granskas. Loggar och dokumentation förvaras inlåst så att obehöriga inte kan få tillgång till uppgifterna. Loggar från journalsystem ska sparas. Loggar från administrativa system ska sparas 2 år. Internetloggar sparas i tre månader. Dokumentationen av loggkontrollen sparas 2 år. Registerutdrag Du har rätt till ett kostnadsfritt registerutdrag en gång per år efter skriftlig ansökan. Rättelse Om felaktiga personuppgifter finns registrerade har den berörda personen rätt till rättelse. Personer som anser att informationen varit otillräcklig, att personuppgifterna inte skyddas på lämpligt sätt eller att kontroller utförs utan att det finns lagligt stöd kan också ha rätt till rättelse. Dok ID: Intr infosäk Fastställd av: LD Sida 9 av 11

10 Personuppgiftsombud Personuppgiftsombudet kan kontaktas för mer information eller för hjälp med rättelse. Uppgifter om vilka som är personuppgiftsombud finns på Lina/Administrativ stöd/juridik Datorer för distansarbete Distansarbete får endast utföras på utrustning som är godkänd av IT-avdelningen. Avtal mellan arbetsgivare och medarbetare krävs. Fasta och bärbara datorer som används för distansarbete ska: förvaras på ett betryggande sätt och inte lämnas utan uppsikt. endast användas i tjänsten. endast innehålla program som installerats av IT-avdelningen. säkerhetskopieras enligt rutin från IT-avdelningen Offentlighetsprincipen Tryckfrihetsförordningen är en grundlag och därmed en av våra viktigaste lagar och reglerar hur hanteringen av information ska ske hos en myndighet. Cookie - elektroniskt spår En cookie är den information som sänds från en besökt webbserver på internet till webbläsaren (den dator varifrån internet har nåtts). Webbläsaren sparar dessa elektroniska spår på datorns hårddisk. En cookie är en allmän handling. Landstingsstyrelsen har beslutat att en cookie får gallras efter 5 dagar. Gallringen görs av var och en själv. Se rutin Radering av cookies. SPAM Oönskad e-post, även kallat Spam, är en inkommen allmän handling som inte får gallras automatiskt. Ett misstänkt Spam märks i e-postservern med Troligen SPAM i ämnesraden. Mer information om Spam och hanteringen av Spam finns på Lina. Använd sökfunktionen och skriv spam. Diarieföring Om en inkommen eller upprättad handling är att betrakta som allmän handling ska den enligt 15 sekretesslagen registreras omgående. Landstinget Hallands ledningskanslier diarieför inkommande och utgående handlingar i diariesystemet Platina. Ett effektivt sätt att registrera en handling är att diarieföra den. Diariet kan liknas vid ett register över utgående, inkommande och upprättade handlingar. Med hjälp av diariet kan den egna personalen och allmänheten få reda på vilka allmänna handlingar som förvaras hos myndigheten. För att diarieföringen ska vara effektiv bör det för varje ärende vara möjligt att få en samlad bild av handläggningsprocessen från initiering till beslut och expediering. Vilka allmänna handlingar ska diarieföras? Handlingar som medför eller avser ärendeberedning och myndighetsutövning. Det kan vara beslut av nämnd, fullmäktige, styrelse eller av tjänsteman (enligt delegationsordning) men också handlingar som utgör en del av ett ärendes beredning. Förfrågningar från enskilda eller organisationer angående verksamheten. Direktiv eller instruktioner som är styrande för verksamheten, till exempel budgetanvisningar, verksamhetsplaner och bokslut. Dok ID: Intr infosäk Fastställd av: LD Sida 10 av 11

11 Handlingar som berör redovisningen av verksamheten, exempelvis redovisning och utvärdering av olika typer av projekt och studier. Handlingar som innehåller sekretessbelagda uppgifter i enlighet med sekretesslagen ska alltid diarieföras om inget annat framgår av lag eller förordning. Vilka typer av allmänna handlingar behöver inte diarieföras? De flesta allmänna handlingar ska alltså diarieföras utan dröjsmål. Det finns dock några handlingar som är undantagna ifrån registreringsskyldigheten: Handlingar av litet eller tillfälligt värde (se Handlingar av litet värde och rutinartad karaktär under Administrativt stöd och Arkiv på Lina). Patientjournaler, läkarvårdskvitton samt samlingsräkningar eller motsvarande (handlingstyper för vilka Regeringen utfärdat undantag ifrån sekretesslagens registreringsskyldighet) Handlingar som hålls ordnade så att det utan svårighet går att fastställa om en handling kommit in eller upprättats (till exempel protokoll och verifikationer). Information i digitala register som finns tillgängliga för flera myndigheter i läsbar form, och till vilka den egna myndigheten inte tillför egen information (till exempel databaser som uteslutande används för informationsinhämtning). Se också: Rutiner/beskrivningar Introduktion Offentlighetsprincipen m m. Bilaga 1: Introduktion till informationssäkerhet, blankett 2.13 Introduktion till Sekretesslagen Sekretesslagen (SFS 1980:100) har gällt från och med Den innehåller bestämmelser om sekretess i offentlig verksamhet. För sjukvårdens del finns de särskilda sekretessreglerna i 7 kap 1,2,3 och 6. Dessutom finns viktiga och kompletterade bestämmelser i 1 och 14 kap. Sekretesslagen är en undantagslagstiftning. Huvudregeln är att alla allmänna handlingar är offentliga. Undantag: Patientjournaler är allmänna, hemliga handlingar. För att skydda patienternas personliga integritet gäller sekretess inom hälso- och sjukvården för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden. Sekretess innebär att det är förbjudet att röja en uppgift, oavsett om man gör det muntligt, skriftligt, genom att lämna ut/visa handlingar eller på annat sätt. Sekretess gäller inte, om det står klart att uppgiften kan röjas utan att den enskilde eller någon honom närstående lider men. Sekretess kan även gälla andra handlingar som till exempel upphandlingsunderlag, personaladministrativa handlingar med uppgifter om enskilds personliga förhållanden, information inför facklig förhandling samt resultat av genomförda riskanalyser. Bilaga 2 Sekretess anställd - kvittens (blankett) Dok ID: Intr infosäk Fastställd av: LD Sida 11 av 11

12 Fastställd av: Landstingsdirektören Utfärdare: LR Landstingskontoret Giltig fr o m: Område: 3 - Informationssäkerhet Utgåva: 1 Ersätter: Dok namn: Introduktion till informationssäkerhet - blankett Antal sidor: 1 Bilaga 1 Tillämpningsområde: Landstinget Halland Introduktion till informationssäkerhet - blankett (Bilaga till rutin/beskrivning Introduktion till informationssäkerhet ) Jag har läst igenom, förstått och accepterat innehållet i rutin /beskrivning Introduktion till informationssäkerhet. Jag förbinder mig att fortsättningsvis ta del av förändringar och nyheter inom detta område. Mer information om informationssäkerhet med rutiner finns i ledningssystemet, framför allt i följande kapitel: Information, informationsklassning och säkerhetsnivåer i område 1 samt Informationssäkerhet i område 3. Datum:. Underskrift. Namnförtydligande. Personnummer

13 Fastställd av: Landstingsdirektören Utfärdare: LR, Landstingskontoret Giltig fr o m: Område: 2 - Rekrytering, introduktion m m Utgåva: 1 Ersätter: --- Dok namn: Sekretess anställd - kvittens Antal sidor: 1 Bilaga 2 Vad innebär sekretess - tystnadsplikt? Tillämpningsområde: Landstinget Halland Sekretessen innebär att man inte får berätta något om en patient för någon annan än den som just deltar i patientens vård man har tystnadsplikt om vad man vet! Diskutera alltså inte en enskilds patients hälsa eller andra personliga förhållande med någon som inte deltar i patientens vård eller behandling, även om han eller hon i sin tur också har tystnadsplikt. Sekretessen gäller även efter det att man har slutat arbeta inom hälso- och sjukvården livet ut. Det är inte självklart att uppgifter om patienten ska lämnas till anhöriga eller närstående. Fråga vad patienten själv vill eller kontrollera om det finns ett medgivande dokumenterat i journalen. Man ska inte ens tala om att patienten är inlagd på en vårdavdelning om det till exempel i journalen tydligt framgår att denna uppgift inte kan lämnas ut. Man har inte heller rätt att ta del av dokumenterad information om patienter om man inte deltar i vården av patienten eller på annat sätt behöver uppgifterna för att utföra sitt arbete. Undantag Undantag finns. I vissa fall är man skyldig att lämna ut uppgifter som egentligen är sekretessbelagda. Kontakta närmaste chef eller landstingets jurister vid osäkerhet. Vilka uppgifter gäller sekretessen? Sekretessen gäller till exempel uppgifter om vem som är patient, den personens sjukdom och behandlingen, patientens adressuppgifter, uppgifter om familjeförhållanden och andra sociala förhållanden, arbetsoförmåga, arbetsgivare med mera. Dessa uppgifter finns ofta i patientjournaler eller i anteckningar förda på annat sätt, men sekretessen gäller också sådant som patienterna eller deras närstående själva talat om för vårdpersonalen. För vem gäller sekretesslagen? Inom hälso- och sjukvården gäller lagen för alla anställda, oavsett befattning och arbetsuppgifter. Sekretessen gäller också studerande och praktikanter. Brott mot tystnadsplikten Brott mot tystnadsplikten faller under allmänt åtal och kan ge böter eller fängelse i högst ett år. Kvittens Jag förbinder mig att endast ta del av dokumenterade uppgifter om en patient om jag deltar i vården av patienten eller av annat skäl behöver uppgifterna för att fullfölja mitt arbete inom hälso- och sjukvården. Jag har läst och förstått vad som avses med sekretess och tystnadsplikt. Datum.. Namnunderskrift. Namnförtydligande Personnummer