Riktlinjer för informationssäkerhet

Transkript

1 1(5) Dokumenthistorik Utgåva nr Giltig fr o m Giltig t o m Kommentar till ny utgåva Godkänd av (titel, namn, datum ) Dnr 2007/ Sammanställning av riktlinjer för medarbetarnas användning av landstingets IT-stöd Komplettering med anledning av ändringar i regelverket för e- posthantering och förbud mot lagring av privat material i landstingets IT-miljö Vårddirektör Tommy Skau Administrativ chef Johan Östensson Rogemark Systemägare e-postsystemet, Lotta Håkansdotter Riktlinjer för informationssäkerhet Allmänt Informationssäkerhet syftar till att skydda all information i landstinget mot förekommande hot och att minimera risken för avbrott i tillgång på viktig information, oavsett vilken form informationen har (tal, skrift, elektroniskt lagrad mm) Informationssäkerheten innefattar följande delar: a) Sekretess information ska vara tillgänglig endast för dem som har behörighet b) Riktighet skydd av information och behandlingsmetoder så att de förblir korrekta och fullständiga c) Tillgänglighet säkerställa att behöriga användare vid behov har tillgång till information d) Spårbarhet säkerställa vem som gjort vad i dokumentationen och vem som tagit del av patientuppgifter Den som är ansvarig för verksamheten har också, enligt Landstingets säkerhetspolicy, ansvaret för informationssäkerheten inom sitt verksamhetsområde. Tystnadsplikt Gäller både under arbetstid och fritid samt även efter avslutad anställning för de patientuppgifter du tagit del av. Medarbetarens ansvar Följa riktlinjer, regler och rutiner för system, utrustningar och informationshantering Alla avvikelser och säkerhetsrisker ska snarast rapporteras i avvikelsehanteringssystemet Synergi

2 2(5) Förbättringsförslag och åtgärder för att höja informationssäkerheten lämnas till respektive IT-samordnare alt berörd systemförvaltare Att informationen som matas in är riktig, bearbetas och hämtas ut korrekt samt skyddas mot obehörig insyn Landstingets IT-resurser är enbart till för nyttjande och lagring av uppgifter som är nödvändiga för att kunna fullgöra dina arbetsuppgifter i landstinget. Lagra därför inte privat material i landstingets hemkataloger eller servrar. Information ur patientjournal (gäller även pappersjournal) Du måste alltid ha en vårdrelation innan du tar del av patientuppgifter. Du får inte ta del av din egen eller närståendes journal i tjänsten Vid utskrift (kopiering) av journal ska alltid orsak till utskrift anges, tex kopia till patienten. Vid driftavbrott i journalsystemet, följ de manuella reservrutinerna. Allt arbete som görs i de elektroniska journalsystemen loggas och dessa loggar följs upp med jämna mellanrum för att tillse att ingen otillbörligen tar del av information Patienten har normalt rätt att få del av vad som finns registrerat om henne/honom Begäran om att få ta del av vem som varit inne på en patients journal ska hänvisas till landstingets Personuppgiftsombud, se nedan. Ordning och reda Spara känslig information på servern, det är inte tillåtet att spara på USB, CD eller andra lösa minnesenheter Tänk på att placera skrivare, kopiatorer och faxar så att inte någon obehörig kan ta del av informationen Utskrifter av känsliga uppgifter ska omedelbart efter utskrift hämtas ur skrivaren Kasserade dokument med känslig information ska förstöras på ett säkert sätt Placering av datorer Tänk på att någon obehörig inte skall kunna läsa det som står på skärmen Inloggning i datorn (nätoperativ/windows) Ditt användar-id är personligt och får aldrig lånas ut. Lösenordet ska uppfylla följande kriterier Minst 8 tecken, blandat från tre av teckengrupperna: versaler (A-Z), gemener (az), siffror (0-9) och icke alfanumeriska tecken (!,#%/) Inte vara identiskt med de senaste 24 lösenord som du tidigare använt Inte innehålla ditt namn eller användar-id Lösenordet måste bytas minst var 90 dag, antal inloggningsförsök är fem, låst konto blir automatiskt upplåst efter 60 min. Byt lösenordet oftare om du misstänker att någon fått kännedom om det!

3 3(5) Du skall alltid logga ur eller låsa datorn när du lämnar ditt arbetsrum/plats. Tänk på att logga ur så att någon annan kan logga in om ni är flera som använder samma dator. Inloggning i applikationer Beslutas av respektive systemägare Utskrifter Tänk på att kontrollera att rätt standardskrivare är installerad så du inte riskerar att skriva ut personuppgifter och annat konfidentiellt på fel skrivare. Kommer inte din utskrift där du förväntar dig så kontrollera skrivarinställningarna E-post Kontrollera din e-postlåda dagligen Information som innehåller sekretess får inte skickas utanför LiÖ Information som innehåller sekretess får skickas internt inom LiÖ endast om den är krypterad Använd frånvarohanteraren vid ledigheter, sjukdom etc All e-post skall vara undertecknad med nödvändiga kontaktuppgifter om avsändaren Det är förbjudet att göra massutskick, vidarebefordra kedjebrev Vidaresänd inte virusvarningar, ring istället IT-akuten tel 3000 för vidare instruktioner Hotelsebrev eller liknande ska rapporteras till närmaste chef Släng spammärkta e-postmeddelanden från okända avsändare och öppna inte bifogade filer När du slutar din anställning eller ditt uppdrag hos landstinget skall du tömma din e- postbrevlåda annars kommer detta att göras tre månader efter att du slutat Använd inte e-postadress för privat bruk på ett sätt som felaktigt kan tolkas som att du företräder Landstinget. Funktionsbrevlåda Funktionsbrevlåda ska läsas minst en gång per arbetsdag, även under semesterperioder Internet Datorn är ett arbetsredskap, använd ditt omdöme när du är ute på Internet, landstingets grundläggande etiska värderingar ska följas Ladda endast ned den information du behöver för dina arbetsuppgifter Musik, videofilmer eller annat upphovsskyddat material får inte laddas ned och inte lagras i landstingets hemkataloger eller servrar, eftersom detta strider mot svensk lagstiftning Är du tveksam om vad du får eller inte får göra ska du ta upp frågan med din närmaste chef och ev diskutera vidare på ett avdelningsmöte Information om besökta webbplatser loggas och lagras centralt eller/och i enskild PC

4 4(5) Datavirus Ring omedelbart till IT-akuten om du får upp en varningsruta att du drabbats av virus Installation, licenser och upphovsrätt Enbart av landstinget certifierade och driftgodkända programvaror får användas. Upphovsrätt till programvaror, datafiler och bilder måste respekteras. Att distribuera, vidarebefordra eller använda andras programvaror utan tillstånd eller licens är således inte tillåtet. Otillåten användning av LiÖ:s IT-resurser Misstanke om otillåten användning rapporteras till verksamhetschef Stöld av utrustning Polisanmäl stölden och skriv avvikelserapport i Synergi (inkl fabrikat, modell, serienummer) Avvikelserapporten och kopia på polisanmälan skickas till FC IT-akuten, Hälsans Hus, US Faxhantering Användes enbart där annan informationsöverföring inte är möjlig eller som reservrutin. Använd alltid försättsblad (som skall sändas tillbaka av mottagaren efter att informationen erhållits som en kvittens av mottagandet) och använd alltid kortnummer på faxen, speciellt för känslig eller sekretessbelagd information. Kontrollring till mottagaren före sändning om det är en extern kontakt, om inte kortnummer används eller om du är osäker på var mottagande fax är placerad, så att meddelandet tas om hand direkt Personuppgiftslagen Du är skyldig att anmäla personregister och behandling av personuppgifter till landstingets Personuppgiftsombud, se nedan Varje person som finns registrerad i landstingets personregister har rätt att en gång per kalenderår få ut vad som finns registrerat om denne Skyddade personuppgifter - folkbokföringssekretess för vissa patienter För patienter med sekretessmarkering i Master Befolkningsregister, skicka alltid post via Skatteverkets förmedlingsservice För patienter som dessutom är kvarskrivna, ta alltid ut ett U-reservnummer vid första vårdtillfället i landstinget För patienter som erhållit nytt personnummer, se till att aldrig göra någon koppling till det gamla personnumret

5 5(5) Gallring Tänk på att gallring av datamedia kräver beslut av arkivmyndigheten enligt gällande lagstiftning. Överföring av information till annan databärare räknas som gallring om överföringen leder till: informationsförlust förlust av möjliga informationssammanställningar, sökmöjligheter eller autencitet (äkthet) Ibland kan programvaran och hårdvaran behövas sparas tillsammans med filerna. Kontakta landstingsarkivarien i god tid före mediabyte/gallring Frågor och råd Landstinget i Östergötland har tagit fram ett system för informationssäkerhet. Beskrivningen finns på LISA under Säkerhetsarbete... Landstingets system för informationssäkerhet Frågor besvaras också av enhetens IT-samordnare eller där IT-samordnare saknas, landstingets informationssäkerhetschef Lars Åke Pettersson. Frågor om personuppgiftslagen besvaras av landstingets personuppgiftsombud, personuppgiftsombud@lio.se eller landstingets jurist landstingsjuristen@lio.se IT-akuten är landstingets helpdesk för frågor inom IT-området. De tar emot felanmälningar på tel 3000 eller via formulär på LISA Fastställd Lars Åke Pettersson