Kompletterande Riktlinje för informations säkerhet

Transkript

1 Kompletterande Riktlinje för informations säkerhet Omsorgsförvaltningen Beslutad ON On 212. Gäller från och med

2 sdfasdsfasf Innehåll Inledning... 4 Personuppgift... 4 Känsliga uppgifter... 4 Personliga förhållanden,... 4 Några lagar, föreskrifter och allmänna råd som styr informationshanteringen Utgångspunkt... 5 Organisation och ansvar för informationssäkerhet... 5 Förvaltningschef är ansvarig för informationssäkerhetsarbetet... 6 IT-ansvarig/strateg omsorgsförvaltningen... 6 Verksamhetschef enligt Hälso- och sjukvårdslagen och socialt ansvarig samordnare... 6 Styrning av behörighet och åtkomst... 6 Tilldelning av behörighet... 7 Sekretess... 7 Olovlig åtkomst... 8 Inom enheten (inre sekretess) gäller behörighet för ändamålen:... 8 Utbildning... 8 Kontroll av åtkomst till personuppgifter, loggkontroll... 9 Hur ska loggen tolkas?... 9 Handläggning vid misstänkt dataintrång Kontroll vi misstanke om missbruk Särskild rättighet för patientens rätt till loggar E-post och Internet Bilaga 1. Sekretess och behörighetsstyrning vid elektronisk åtkomst till personuppgifter Sekretess- eller tystnadspliktsgräns Uppgifter får bara lämnas mellan befattningshavarna i den utsträckning som är normal eller behövlig Förvaring av personuppgifter Behörighetsstyrning Bilaga 2 Anvisning av skyddade personuppgifter Anvisningar Procapita En persons identitet kan inte fastställas? Personen saknar svenskt personnummer Sekretessmarkering Procapita VoO Sekretessmarkering Procapita IFO Kvarskrivning Procapita VoO och Procapita IFO

3 Bilaga 3. Anvisningar för kommunikation via e-post, kalender och sms Kommunikation om enskilda inom myndigheten Kommunikation om enskilda mellan myndigheter inom och utanför Skara kommun Kommunikation mellan enskilda och myndigheten Villkor för att använda SMS eller e-post inom Omsorgsförvaltningen SMS eller e-post kommunikation med enskild om lokala anvisningar inte är upprättade

4 Inledning Denna riktlinje är en komplettering till Skara kommuns fastställda Basnivå för informationssäkerhet, BITS som består av dokumenten Riktlinjer avseende informationssäkerheten Informationssäkerhetsinstruktion Förvaltning, Riktlinjer för kontinuitet och drift Informationssäkerhetsinstruktion för användare Samt instruktion för behandling av personuppgifter. Riktlinjen gäller för Omsorgsnämndens system och kvalitetsregister som behandlar personuppgifter. Syftet med denna komplettering är att skydda känsliga personuppgifter i de system där förvaltningen är systemägare eller använder nationella eller regional system/kvalitetsregister. Nya tekniska lösningar möjliggör att personuppgifter kan användas på annat sätt än tidigare av den enskilde, av personal inom kommun och region vilket stöds av utvecklingen inom ehälsoområdet En hög säkerhetsnivå krävs på grund av hanteringen av känsliga personuppgifter. Denna riktlinje uppfyller tillsammans med BITS kraven på Säkerhetspolicy enligt Datainspektionen och Informationssäkerhetspolicy enligt SOSFS 2008:14 Informationshantering och journalföring i hälso- och sjukvården. Personuppgift All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Känsliga uppgifter Uppgifter som avslöjar ras eller etnisk ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och uppgifter som rör hälsa, sexualliv eller brott. Personuppgifter om ekonomisk hjälp och vård inom socialtjänsten eller lagöverträdelser som innefattar brott och domar i brottmål ska jämställas med känsliga uppgifter enligt Datainspektionen (2008). Personliga förhållanden, Inom socialtjänsten gäller sekretess för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående lider men (26 kap. 1 OSL). Inom hälso- och sjukvården gäller sekretess för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider (25 kap. 1 OSL). 4

5 OSL definierar inte uttrycket personliga förhållanden men det ska tolkas brett i princip alla uppgifter om en enskild individ från uppgift om vederbörandes adress till uppgift om olika biståndsinsatser. Exempel på personliga förhållanden är namn, adress, telefonnummer, ålder, familjesituation, hälsotillstånd, personlig karaktär, sinnestillstånd, arbetsförmåga, funktionsnedsättning, missbruk, anställning, ekonomisk situation. Även om personens namn saknas kan den här typen av uppgifter leda till att den enskilde kan identifieras och då är det uppgifter om personliga förhållanden. Några lagar, föreskrifter och allmänna råd som styr informationshanteringen. OSL, Offentlighets- och sekretesslagen (2009:400) PUL, Personuppgiftslagen (1998:204) SoLPUL Lag om behandling av personuppgifter inom socialtjänsten (2001:454) PDL, Patientdatalagen (2008:355) PSL, Patientsäkerhetslagen (2010:659) Informationshantering och journalföring inom hälso- och sjukvård. SOSFS 2008:14, 2011:11 Datainspektionen (2007). Vägledning för kommuner: Personuppgifter och e-förvaltning. Datainspektionen (2008) Säkerhet för personuppgifter. Datainspektionen (2011). Förfrågan rörande användandet av SMS inom socialtjänsten. Utgångspunkt En av de viktigaste aspekterna på informationshantering är att tillgodose den enskilde individens säkerhet och integritet. Om inte informationssäkerheten kan garanteras så är risken att tilliten till ITstöden riskeras och blir låga och att de då inte införs eller utvecklas. Organisation och ansvar för informationssäkerhet För att uppnå och behålla god informationssäkerhet krävs tydliga funktioner, roller och ansvar som samverkar. Arbetet med informationssäkerhet kan då organiseras och följas upp. Enligt BITS följer ansvaret för informationssäkerheten linjeorganisationen. Alla användare har eget ansvar för informationssäkerhet. 5

6 Förvaltningschef är ansvarig för informationssäkerhetsarbetet Ansvarig för informationssäkerhetsarbetet inom omsorgsförvaltningen är förvaltningschefen. Ansvaret innebär att minst en gång per år se till att omsorgsnämnden blir informerad om vilka Granskningar och skyddsåtgärder som gjorts för att följa upp informationssäkerhetsarbetet Riskanalyser som har genomförts inom informationssäkerhetsarbetet Förbättringsåtgärder inom informationssäkerhetsarbetet Omsorgsnämnden är vårdgivare enligt SOSFS 2008:14. IT-ansvarig/strateg omsorgsförvaltningen Omsorgens IT-ansvarig/strateg arbetar på förvaltningschefens uppdrag. Ansvaret regleras i dokument Organisation IT. Verksamhetschef enligt Hälso- och sjukvårdslagen och socialt ansvarig samordnare Verksamhetschefen inom hälso- och sjukvård har, enligt Socialstyrelsens föreskrifter SOSFS 2008:14 och SOSFS 2008:1 ett särskilt definierat ansvar för informationssäkerheten. Verksamhetschef Hälso- och sjukvård ska inom ramen för omsorgsnämndens ledningssystem för kvalitet och patientsäkerhet bland annat ansvara för: uppföljning av patientuppgifternas kvalitet och ändamålsenlighet enligt Hälso- och sjukvårdslagen uppföljning av informationssystemens användning genom regelbunden kontroll av åtkomsten till patientuppgifter Socialt ansvarig samordnare ansvarar för: uppföljning av kvalitet och ändamålsenlighet i personakter enligt Socialtjänstlagen, Lagen om särskilt stöd och service, Lagen om vård av missbrukare, Lag om vård av unga. Styrning av behörighet och åtkomst I alla system så ska varje användare ha en individuell behörighet. I system med åtkomst till känsliga personuppgifter så är målet att vi ska använda tvåfaktorsinloggning. 6

7 Grunden för åtkomst till personuppgifter är att det alltid ska finnas ett professionellt behov och en relation i ärendet enligt Socialstyrelsen. Socialstyrelsen skriver I kontakten med vård och omsorg är individens förtroende för att integriteten kan tillgodoses en förutsättning för öppen och rak kommunikation. Det förutsätter att all viktig information finns tillgänglig för genomförandet av vård respektive omsorg och att bara behöriga användare kan ta del av informationen. Informationssäkerhet, Vägledning för hantering av information inom vård och omsorg, sid 12. Det innebär att behörighet och åtkomst till personuppgifter alltid ska prövas genom en Riskanalys. Behörighetstilldelning görs i första hand utifrån funktion, arbetsuppgifter och arbetsområde. Särskilda skäl och arbetsuppgifter kan ge utökad behörighet och åtkomst. Behörighet ska styras till vad man kan och får göra i systemet. Till exempel läsa, skriva, ändra och signera. Enligt SOSFS 2008:14 så ska behörighet begränsas till vad som är nödvändigt för att ge en god och säker vård och omsorg. Systemägaren beslutar om åtkomst i respektive system. I system där patientuppgifter enligt hälso- och sjukvårdslagen görs så ska det ske med verksamhetschef enligt Hälso- och sjukvårdslagen. Riskanalys samt beslut ska vara dokumenterade och förvaras hos systemförvaltare samt registrerade i diariet. Riskanalyser samt beskrivningar av roller/grupper som används ska finnas hos systemförvaltare och vara registrerade i diariet. Omsorgsnämnden ger genom avtal LOV-företag rätt att besluta om behörighet för deras personal. Tilldelning av behörighet Verksamhetsansvarig chef är ansvarig för att personal tilldelas rätt behörighet, att behörigheter ändras eller avslutas beroende på den anställdes arbetsuppgifter och arbetsområden. När en person byter enhet så är det alltid mottagande chef som ansvarar för att den anställde har rätt behörighet. Anvisningar för hur tilldelning, ändring och avslut av behörigheter görs ska finnas på intranätet för alla system, program och kvalitetsregister. Förvaltningens IT-strateg är ansvarig för att det är aktuellt. Sekretess Innanför en sekretess- eller tystnadspliktgräns gäller den inre sekretessen. Verksamhetsansvarig chef/extern chef ska informera om sekretessgränser när tilldelning av behörighet görs till berördpersonal. I anställningsbeviset görs anteckning om information om tystnadsplikt och en sekretessförbindelse görs av personalen som förvaras i personalakten. 7

8 Informationsblad om Sekretess och behörighetsstyrning vid elektronisk åtkomst till personuppgifter ska finnas att ladda ned på intranätet. Bilaga 1. Olovlig åtkomst Felaktig åtkomst kan vara att någon tittar i en personakt/patientjournal trots att han eller hon inte deltar i vården av den personen. Även om man som personal kan få fram uppgifterna får man inte ta del av några uppgifter som man inte behöver för att utöva sitt arbete. Ett olovligt intrång och olovligt efterforskande i elektroniska informationssystem, till exempel ett journalsystem kan vara straffbart enligt straffbestämmelsen om dataintrång. Straffbestämmelser kan bli tillämpliga då någon olovligen bereder sig tillgång till en uppgift och kan då dömas för dataintrång enligt 4 kap 9 c brottsbalken. Man kan dömas till böter eller fängelse i högst två år. Inom enheten (inre sekretess) gäller behörighet för ändamålen: Vård och behandling Administration, planering, uppföljning, utvärdering och tillsyn Dokumentation som följer lag Kvalitetssäkring Statistik Utbildning Verksamhetsansvarig chef/extern chef ansvarar för att personal får utbildning och information inom området informationssäkerhet. Varje personal ska när den fått ett användarnamn oavsett system få en introduktion. Det är verksamhetsansvarig chef som ansvarar för att introduktion och utbildning planeras och genomförs. Inom varje enhet ska det finnas ett IT-ombud som är chefen behjälplig vid introduktionen. Efter introduktionen ska säkerhetskontraktet skrivas under. Säkerhetskontrakt finns att ladda ned på intranätet. Utöver den introduktionen som genomförs av IT-ombud så finns för de större systemen eller kvalitetsregistren utsedda personer som ansvarar för introduktion och utbildning. Vilka funktioner eller personer som är utbildare ska finnas fastställt i varje IT-systems förvaltningsorganisation. Anvisningar för vem/vilka som introducerar nya användare ska finnas på intranätet. Förvaltningens IT-strateg är ansvarig för att det är aktuellt. IT-säkerhetskontrakt undertecknas och skickas till löneenheten för att läggas i personalakten. Verksamhetsansvarig/extern chef är ansvarig. Uppdaterade guider ska finnas i Comaround. Systemförvaltare är ansvarig för att det är aktuellt. 8

9 Kontroll av åtkomst till personuppgifter, loggkontroll I de system där det finns en loggfunktion så ska loggkontroll genomföras. Det innebär att det som en användare gör i systemet kan spåras. Det finns en behandlingshistorik som berättar vem, vad, när och var i systemen det har varit en händelse. Systemförvaltare bör i första hand använda testpersoner för felsökning och andra arbetsuppgifter där personuppgifter krävs. Utgångspunkten är att den som har rätt att utdela behörighet till system också ska granska loggen. Verksamhetsansvarig chef/extern chef ansvarar för sin personals logg. I omsorgsförvaltningen görs kontroll av loggningar en gång per månad av verksamhetsansvarig chef. Det ska gå till på följande sätt i Procapita och i andra system. 1. Verksamhetsansvarig chef/chef extern verksamhet gör en sökning i Procapita/andra system och väljer slumpmässigt ut en brukare/klient/patient varje månad samt en personal. Vid urvalet av brukare/klienter/patienter är det lämpligt att ta hänsyn till vilka journaler/personakter det kan finnas ett intresse av att gå in och läsa i av ren nyfikenhet, det kan t.ex. vara journaler om kända personer 2. Verksamhetsansvarig chef/chef extern verksamhet kontrollerar sedan personalens alla inloggningar på denna brukare/klient/patient en speciell dag. Vid kontroll av personal så kontrollerar chefen vilka brukare/klienter/patienter som personalen varit inne och läst på. Se nedan Hur ska loggen tolkas?. 3. Dokumentation av att logguppföljning har utförts sker i Granskningsprotokoll journallogg, denna ska efter årets slut skickas till IT-strateg. Där sparas protokollen i10 år. 4. Visar loggranskning inget anmärkningsvärt kasserar verksamhetsansvarig chef/extern verksamhet utdraget från loggfilen. 5. Om verksamhetsansvarig chef/chef extern verksamhet upptäcker någon inloggning som verkar ologisk kontrolleras hela kedjan: Har aktuell personal med ärendet att göra? 6. Om missbruk misstänks ska närmaste chef och personalkonsult kontaktas för fortsatt handläggning av ärendet. Gäller det hälso- och sjukvård så ska även verksamhetschef hälsooch sjukvård kontaktas. Hur ska loggen tolkas? Vilka arbetsuppgifter har personen? Är det rimligt att personen har tittat i journaler, personakten, planeringen? Finns ett namn med i loggen som användaren uppenbart har en annan relation till än utredning, behandling till exempel anhörig, granne eller känd Skara profil. Vilken tid på dygnet har personen varit inloggad? Dokumentera om misstanke finns om dataintrång. 9

10 Handläggning vid misstänkt dataintrång Spara allt material såsom logg- och arbetslistor Vidare utredning ska säkerställa detalj nivå som i vilken omfattning åtkomst skett, under hur lång tid, vilken information åtkomsten rör och annat information som anses viktig för utredningen. Berörd medarbetare ska kontaktas och ges möjlighet att förklara skälen till aktuell loggförekomst. Inför ett sådant samtal ska medarbetaren informeras om möjligheten att ta med en facklig representant Vid samtalet bör följande frågor besvaras: - Varför har medarbetaren sökt information om denna person/patient? - Känner medarbetaren personen/patienten privat eller har någon annan anknytning med personen/patienten? - Vilken information har använts och till vad? - Av vilken anledning har medarbetaren valt att bryta mot den inre sekretessen/ bestämmelserna i Patientdatalagen? Vid bekräftad misstanke om dataintrång ska verksamhetsansvarig chef/chef extern verksamhet även informera förvaltningschefen om förbättringar som behöver göras i informationssäkerheten och om en eventuell polisanmälan skall göras. Misstänkt dataintrång i hälso- och sjukvårsjournal Kontakt ska alltid tas med verksamhetschef för hälso- och sjukvård. Finns inte godtagbara skäl för åtkomst till uppgifterna, utan det finns en misstanke om dataintrång, ska verksamhetschefen för hälso- och sjukvård informera berörd patient. Kontroll vi misstanke om missbruk Verksamhetsansvarig chef/extern chef är skyldig att göra en loggranskning om det finns misstanke om missbruk av behörighet till personakt/journal. Det kan också finnas skäl att göra en granskning av loggen för en speciell sekretesskänslig patient eller vårdepisod. 10

11 Särskild rättighet för patientens rätt till loggar Patienten kan med stöd av Patientdatalagen begära att få ett utdrag ur loggen som visar om en åtkomst till uppgifter i den egna journalen var befogad. Loggen kan lämnas ut direkt till patienten utan att menprövas på så sätt som görs vid utlämnande av journal. Utdrag från loggen kan lämnas av systemförvaltare. E-post och Internet Se Riktlinjer för internetanvändning och sociala medier och Anvisningar för kommunikation via e- post, SMS och kalender. I Procapita IFO och VoO finns en meddelande funktion som ska användas för att skicka uppgifter om enskilda. 11

12 Bilaga 1 Bilaga 1. Sekretess och behörighetsstyrning vid elektronisk åtkomst till personuppgifter Denna information ges alltid muntligt och skriftligt när någon börjar sin tjänst på förvaltningen. Dokumentation sker enligt anvisningar i Kompletterande riktlinje för informationssäkerhet. Innanför en sekretess- eller tystnadspliktsgräns gäller inre sekretess: Uppgifter får bara lämnas mellan befattningshavarna i den utsträckning som är normal eller behövlig. Dokumenterade personuppgifter ska förvaras så att ingen obehörig får tillgång till dem. Vidare ska, om uppgifterna finns elektroniskt, bestämmelserna om behörighetsstyrning följas. Ur Artikel , Sekretess- och tystnadspliktsgränser, i Socialtjänsten och i hälso- och sjukvården. Publicerad februari 2012 Sekretess- eller tystnadspliktsgräns Sekretessgräns talar om var sekretessen gäller. En sekretessbelagd uppgift får inte lämnas över den gränsen vare sig muntligt, skriftligt eller på annat sätt. I till exempel Procapita och KLARA SVPL kan du ha åtkomst till olika enheter men du får bara läsa på den enhet som du just nu arbetar på. Till exempel: Du var med när en brukare skickades till sjukhus igår. Idag arbetar du på ett annat område och undrar hur det gick men du får inte söka upp personen i Procapita för att läsa hur det gick. Uppgifter får bara lämnas mellan befattningshavarna i den utsträckning som är normal eller behövlig. Du ska alltid tänka på den enskildes vilja och respektera den enskildes självbestämmande och integritet. Det innebär att du beroende på dina arbetsuppgifter har behörigheten för olika ändamål: Uppgifter om vård och behandling inom den enhet som du är på just nu Administration, planering, uppföljning, utvärdering och tillsyn Dokumentation som följer lag Kvalitetssäkring Statistik Den inre sekretessen gäller även för privata vårdgivare samt för enskilda verksamheter enligt SoL och LSS. Om det inte finns någon sekretessgräns inom en myndighet så är det i alla fall inte fritt fram för personalen inom den myndigheten eller inom den verksamhetsgrenen att utbyta uppgifter. 12

13 Observera att all personuppgiftsbehandling måste vara tillåten enligt bestämmelserna i Patient och datalagen eller Lag om behandling av personuppgifter inom socialtjänsten, (SoL PUL). Förvaring av personuppgifter Dokumenterade personuppgifter inom hälso- och sjukvården ska hanteras och förvaras så att ingen obehörig får tillgång till dem. Inom en vårdgivares verksamhet får personal bara ta del av uppgifter om en patient om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgiften för sitt arbete inom hälso- och sjukvården. I verksamhet enligt SoL samt LSS ska handlingar som rör enskildas personliga förhållanden förvaras så att obehöriga inte får tillgång till dem. Behörighetsstyrning av elektronisk åtkomst till personuppgifter inom socialtjänsten regleras av bestämmelserna SoL, PUL samt säkerhetsbestämmelsen i 31 PUL kap. 2 PDL 36 4 kap. 1 PDL kap. 5 andra stycket SoL samt 21 a LSS Behörighetsstyrning Alla användare har ett personligt användarnamn och lösenord i alla system. Det är närmaste chef som beslutar om behörighet. Systemägare har ett övergripande ansvar för åtkomst- och behörighetsstyrningen. 13

14 Bilaga 2. Anvisning av skyddade personuppgifter Det finns tre grader av skyddade personuppgifter: Sekretessmarkering Kvarskrivning Fingerade personuppgifter Alla tre kan kombineras med exempelvis namnbyte. Det är den enskilde som ansöker hos skatteverket om skydd för sina personuppgifter. Uppgiften om sekretessmarkering når kommunen automatisk inom en vecka. I till exempel Procapita finns en sekretessmarkering. Det är viktigt att handläggaren kommer överens med den enskilde om hur uppgifterna ska hanteras. Har personen fingerade personuppgifter så är det inget som vi vet om eller får veta. Ansökan om fingerade identitet görs hos Rikspolisstyrelsen. Från Skatteverkets webbplats Sekretessmarkering Folkbokföringsuppgifter, till exempel personnummer, namn och adress, är normalt offentliga. Detta innebär att var och en har rätt att få ta del av dessa uppgifter. I vissa fall kan du få dina personuppgifter skyddade genom att en markering för särskild sekretessprövning (sekretessmarkering) förs in i folkbokföringssystemet (jfr 22 kap. 1 offentlighets- och sekretesslagen). Då måste varje myndighet noga pröva ditt enskilda fall innan de lämnar ut dina uppgifter om någon begär det. Det är alltså ingen absolut sekretess. Kvarskrivning Om det finns särskilda skäl kan du enligt 16 folkbokföringslagen även få bli "kvarskriven" på den gamla orten när du flyttar. Som adress i registret anges i sådana fall adressen till skattekontoret på din gamla ort. Den faktiska adressen förvaras manuellt på Skatteverket. Fördelen är då att den nya adressen aldrig registreras i folkbokföringen och därmed inte heller sprids till andra myndigheter. Det medför ändå ett visst besvär eftersom många typer av samhällsservice är knutna till den ort där du är folkbokförd, till exempel sjukvård, dagisplats, skolgång, bostadsbidrag, kommunalskatt och rösträtt. Datainspektionens rapport Datainspektionen har i sin rapport 1999:3 om skyddade uppgifter i folkbokföringen poängterat vikten av att ha tydliga anvisningar vid hantering av sekretessmarkerade personuppgifter. Datainspektion säger att för systemet med spärrmarkerade personuppgifter skall fungera är det viktigt: att sekretessmarkering syns vid undersökningar i register och att de markeras tydligt, att all personal som hanterar personuppgifter ges grundlig information om sekretess frågor 14

15 och om systemet med sekretessmarkerade personuppgifter, att sekretessmarkerade personuppgifter inte sprids till områden där sekretess för uppgifterna inte föreligger, att regelbundet följa upp att regler och anvisningar kring sekretessmarkerade personuppgifter följs och respekteras. I syfte att skapa enhetligt inom omsorgsförvaltningen vid hantering av personuppgifter för personer med skyddade personuppgifter (enskilda) gäller nedanstående för utfärdande av lokala anvisningar för enheten eller verksamhetsområdet. Olika personer har olika behov av skydd därför ska varje ansvarig handläggare tillsammans med den enskilde komma överens om hur uppgifter och kontakt ske? Kan mobiltelefonnummer/telefonnummer antecknas om det anses angeläget att snabbt kunna få kontakt med personen. Behövs adress och var ska den finnas? Att pappersbaserad dokumentation skall förvaras i separat låst utrymme, dit endast ett begränsat antal personer har tillträde. Post som ska förmedlas av Skatteverkets postförmedlingsservice ska kuverteras och adresseras så här: - Det brev som ska förmedlas ska läggas i ett slutet kuvert. Kuvertet ska ha uppgift om avsändaradress, så att Skatteverket kan returnera försändelsen om verket inte kan nå mottagaren. - På kuvertet ska du skriva mottagarens personnummer och, om möjligt, fullständiga namn. - Du ska sedan lägga kuvertet i ytterkuvert som sänds till postförmedlingsadressen. Flera försändelser kan läggas i samma ytterkuvert. - Postförmedlingsadress är för Hallands län och Västra Götalands län Förmedlingsuppdrag Box Göteborg Anvisningar Procapita En persons identitet kan inte fastställas? Procapita VoO och Procapita IFO Kontakta systemförvaltare så får du ett nummer ex TF11. När man får det rätta personnumret så kontaktas systemförvaltare för att rätta. Personen saknar svenskt personnummer. Procapita VoO och Procapita IFO 15

16 Ange ÅÅMMDD-TF01. När du får det rätta personnumret så kontakta systemförvaltare för att rätta. Sekretessmarkering Procapita VoO Personnummer kan användas. Markera i Procapita VoO Skyddad adress. Skattekontorets adress används vid post. Sekretessmarkering Procapita IFO Personnummer kan användas. Skattekontorets adress används för post. Kvarskrivning Procapita VoO och Procapita IFO Personnummer kan användas. Läggs in manuellt. I folkbokföringen kommer skatteverkets adress upp. Hur den faktiska adressen, telefonnummer ska handläggaren tillsammans med den enskilde komma överens om. 16

17 Bilaga 3. Anvisningar för kommunikation via e-post, kalender och sms Vi har i inte någon krypteringsfunktion i vårt e-postsystem. Vi har inte någon säker lösning för att skicka SMS. Det innebär att vi inte kan hantera eller kommunicera känsliga personuppgifter via e- post, i kalender eller via SMS. Vi arbetar efter offentlighet och sekretesslagen och personuppgiftslagen (PUL). Detta blir särskilt viktigt att veta om när det är vanligare med att vi synkroniserar e-post, kalender och kontakter till smartphones och surfplattor. Kommunikation om enskilda inom myndigheten Inom förvaltning kommunicerar vi information om våra klienter via Procapita Mina meddelanden, telefon eller möte. Kommunikation om enskilda mellan myndigheter inom och utanför Skara kommun Om information angående en brukare ska delas med någon annan myndighet inom eller utanför kommunen ska denna information skötas via telefon, post eller anvisat IT-system tex KLARA SVPL. Används kommunens internpost ska alltid handlingarna läggas i ett kuvert först och sedan i ett internkuvert. Fax ska inte användas för att skicka känsliga personuppgifter. Om fax ska användas så ska riskanalys och särskilda anvisningar tas fram för verksamhetsområdet för att säkerställa att ingen obehörig kommer åt informationen. När det gäller konsultationsdokumenten BBIC med förskola/skola kan den tomma blanketten e-postas till ansvarig person inom skolan men personen inom skolan måste skicka tillbaka det ifyllda dokumentet via internposten. Skolan får inte spara dokumentet digitalt utan skydd. Kommunikation mellan enskilda och myndigheten Villkor för att använda SMS eller e-post inom Omsorgsförvaltningen Är det aktuellt att använda SMS eller e-post inom enheten så ska personuppgiftsansvarig kontaktas för att göra: riskanalys anvisningar. Den som är personuppgiftsansvarig för socialförvaltningens behandling av personuppgifter är skyldig att vidta lämpliga säkerhetsåtgärder, i enlighet med 31 Personuppgiftslagen (1998:204) (PuL), för att skydda de personuppgifter som behandlas. Den personuppgiftsansvarige bör således göra en risk- och sårbarhetsanalys rörande den behandling som användningen av SMS skulle ge upphov till. Datainspektionen anser att ni kan använda de regler som gäller för påminnelser via 17

18 SMS inom hälso- och sjukvården som vägledning vid en sådan bedömning men med beaktande av att det kan finnas särskilda omständigheter inom socialtjänstens verksamhet att ta hänsyn till i den bedömning ni har att göra. Enligt SOSFS 2011:8 får För att en vårdgivare ska få använda sig av påminnelser och kallelser till vård och behandling genom sms eller e-post måste vårdgivaren uppfylla följande villkor. Sammanfattning av Svar från datainspektionen Diarienr SMS eller e-post kommunikation med enskild om lokala anvisningar inte är upprättade Information som kommuniceras via e-post eller SMS som inte bedöms känslig (t ex påminnelser, mötestider, vem som är handläggare samt enklare icke integritetskänslig information) kräver medgivande från klienten. Om sådan information av mer allmän karaktär skickats till dig via e-post eller SMS från den enskilde anses det som att den enskilde har gett medgivande till att kommunicera via e-post eller SMS. Detta medför att du kan svara den enskilde via e-post/sms men innehållet i ditt svar måste vara allmänt hållet och får inte innehålla uppgifter av känslig karaktär. SOSFS 2008:14, 2 kap 5, Datainspektionen (2011). Ett medgivande från en enskilde kan ALDRIG möjliggöra att känsliga personuppgifter skickas oskyddade. Ditt svar kan aldrig innehålla diskussion om den enskildes personliga förhållanden eller problem då detta anses vara känsliga personuppgifter. Det du kan göra är att svara den enskilde att du inte kan ge ett utförligt svar via e-post då svaret anses vara av känslig karaktär och att du istället kommer att ringa upp eller skicka svaret via den vanliga posten. Följande hänvisning till lagstiftningen kan skickas med i svaret: Den information som är relevant i ett ärende ska läggas in i Procapita då e-postmeddelandet, SMS:et är en inkommen handling. Radera sedan SMS:et eller e-postmeddelandet, och töm även papperskorgen i e-postsystemet från meddelandet. När du skickar svaret via e-posten bifoga aldrig brukarens fråga/information, skicka bara ditt svar. 18

19 Du kan lätt ställa in i Outlook att inte avsändarens meddelande kommer med när du trycker svara. Gå in i Outlook via fliken Arkiv välj Alternativ välj E-post Svar och vidarebefordran. Se bild 19