Informationssäkerhet, ledningssystemet i kortform

Transkript

1 Informationssäkerhet, ledningssystemet i kortform t Information är en tillgång som, liksom andra viktiga tillgångar i regionen, har ett värde och följaktligen måste få ett adekvat skydd. Informationssäkerhet syftar till att skydda information mot förekommande hot, förhindra avbrott i verksamheten samt minska skador och bidrar därigenom till att maximera värdet av regionens verksamhet. Information förekommer i många former. Den kan exempelvis vara tryckt eller skriven, elektroniskt lagrad, skickad med post eller e-post, visad på film eller talad. Oavsett vilken form informationen har, eller på vilket sätt den överförs eller lagras, måste den alltid få ett godtagbart skydd. Informationssäkerhetens fyra hörnstenar är a) konfidentialitet att informationen endast finns tillgänglig för de som har behov av den och inte att obehöriga kan ta del av informationen b) riktighet skydd så att information inte förvanskas omedvetet eller av obehöriga c) tillgänglighet säkerställande av att informationen finns tillgänglig vid behov d) spårbarhet säkerställa vem som gjort vad samt tekniska loggar Den som är ansvarig för verksamheten har också, enligt regionens säkerhetspolicy, ansvaret för informationssäkerheten inom sitt verksamhetsområde. Tystnadsplikt Du får tala om patienter eller deras anhöriga endast när det behövs i arbetet. Det är inte tillåtet att prata om dem med vänner, familj, andra utomstående eller med kollegor som inte behöver informationen för sitt arbete. Allt som rör patientens eller någon annans hälsotillstånd och personliga förhållanden är sekretessbelagt., Moa Malviker

2 Observera att tystnadsplikten är ovillkorlig och gäller även efter avslutat uppdrag/anställning. Medarbetarens ansvar Hantera lösenord och e-tjänstekort (SITHS) så att de inte kommer obehöriga tillhanda. Alltid låsa datorn eller logga ut när den inte används. Följa riktlinjer, regler och rutiner för system, utrustningar och informationshantering. Registrera avvikelser och säkerhetsrisker snarast i avvikelsehanteringssystemet Synergi. Lämna förbättringsförslag och åtgärder för att höja informationssäkerheten till respektive IT-samordnare eller berörd förvaltningsledare/förvaltningsledare IT. Att enbart använda regionens IT-resurser för att kunna fullgöra arbetsuppgifter i regionen. Det är inte tillåtet att lagra privat material i regionens hemkataloger eller servrar. Är du tveksam om vad du får eller inte får göra ska du ta upp frågan med din närmaste chef. Information ur patientjournal (gäller även pappersjournal) För att få ta del av patientinformation krävs att du deltar i vården av patienten, eller att du av annan anledning behöver uppgifterna för att kunna fullgöra dina arbetsuppgifter. Du får inte läsa din egen journal, denna ska istället begäras ut hos respektive vårdenhet. Allt du gör i regionens IT-stöd loggas. Dessa loggar följs upp för att se till att ingen otillbörligen tar del av information. Alla misstänkta dataintrång polisanmäls. Patienten har rätt att få ut loggar på vilka som tagit del av hennes/hans journal., Moa Malviker

3 Ordning och reda Tänk på att någon obehörig inte ska kunna läsa det som står på datorskärmen, whiteboards eller andra informationsbärare såsom t.ex. papper. Ditt lösenord och e-tjänstekort är personligt och får aldrig lånas ut. IT utrustning Användning av IT utrustning/tillbehör som inte är levererad eller godkänd av CMIT får inte användas på regionens nätverk eller i regionens datorer. CMIT har rätt att stänga av och/eller koppla ur IT utrustning/tillbehör. Mobiltelefon och surfplatta levererad av regionen får inte anslutas med ex. kabel till regionens datorer detta för att undvika risken för skadlig kod. Utskrifter Tänk på att kontrollera att rätt standardskrivare är installerad så du inte riskerar att skriva ut personuppgifter och känslig information på fel skrivare. Kommer inte din utskrift där du förväntar dig så kontrollera skrivarinställningarna. E-post Kontrollera din e-postlåda dagligen, använd frånvarohanteraren vid ledigheter, sjukdom etc. Information som innehåller känsliga uppgifter såsom t.ex. patientuppgifter får inte skickas utanför sjukvårdsregionen. Sjukvårdsregionen består av Region Östergötland, Landstinget i Kalmar län och Region Jönköpings län. All e-post ska vara undertecknad med nödvändiga kontaktuppgifter om avsändaren, Moa Malviker

4 När du slutar din anställning eller ditt uppdrag hos regionen ska du tömma din e- postbrevlåda. Använd inte e-postadress för privat bruk på ett sätt som felaktigt kan tolkas som att du företräder regionen. Internet Datorn är ett arbetsredskap, använd ditt omdöme när du är ute på Internet. Regionens grundläggande etiska värderingar ska följas. (med dator avses också smarta telefoner, surfplattor mm) Musik, videofilmer eller annat upphovsskyddat material får inte laddas ned och inte lagras i regionens hemkataloger eller servrar, eftersom detta strider mot svensk lagstiftning. Information om besökta webbplatser loggas och lagras centralt och/eller i enskild PC. Denna information kan komma att följas upp om regionen misstänker att du gjort något i strid med gällande lag eller regionens regelverk. Datavirus Kontakta omedelbart IT-akuten om du misstänker att din dator har drabbats av virus eller liknande. Installation, licenser och upphovsrätt Enbart av regionen certifierade och driftgodkända programvaror får användas. Upphovsrätt till programvaror, datafiler och bilder måste respekteras. Att distribuera, vidarebefordra eller använda andras programvaror utan tillstånd eller licens är således inte tillåtet. Faxhantering Fax ska användas enbart där annan informationsöverföring inte är möjlig eller som reservrutin., Moa Malviker

5 Använd alltid försättsblad (som ska sändas tillbaka av mottagaren efter att informationen erhållits som en kvittens av mottagandet) och använd alltid kortnummer på faxen, speciellt för känslig eller sekretessbelagd information. Personuppgiftslagen Du är skyldig att anmäla personregister och behandling av personuppgifter till regionens personuppgiftsombud Frågor och råd Region Östergötland har tagit fram ett ledningssystem för informationssäkerhet. Du hittar regelverket på regionens säkerhetsportal på Lisa. Frågor rörande informationssäkerhet besvaras av IT-samordnare, regionens informationssäkerhetsansvarig Moa Malviker eller regionens IT-säkerhetsansvarig Richard Rystedt. Juridiska frågor besvaras av regionjuristerna, Frågor om personuppgiftslagen besvaras av regionens personuppgiftsombud, IT-akuten är regionens helpdesk för frågor inom IT-området. De tar emot felanmälningar och frågor på tfn eller via formulär på Lisa., Moa Malviker