Juridik och informationssäkerhet

Transkript

1 2 KAPITEL Juridik och informationssäkerhet Sammanfattning Information som hanteras i socialtjänstens hemtjänstverksamhet (hemtjänst) och i kommunal hälso- och sjukvård (hemsjukvård) innehåller känsliga uppgifter om enskildas personliga förhållanden och enskildas hälsotillstånd. Personuppgifterna omfattas till stor del av sekretess och tystnadsplikt och vid all hantering och lagring av sådan information ställs höga säkerhetskrav. När informationshanteringen sker med hjälp av IT-stöd kan riskerna öka och säkerhetsåtgärderna måste anpassas. Om informationen dessutom ska användas i verksamheter som har ett mobilt arbetssätt med surfplattor, bärbara datorer, mobiltelefoner eller andra handenheter, ökar riskerna ytterligare för att personuppgifterna kan spridas till obehöriga. Särskilda IT-säkerhetsåtgärder för att skydda uppgifterna måste därför vidtas. Denna vägledning sammanfattar de rättsliga krav som gäller för kommunal hemtjänst och hemsjukvård vid mobil informationshantering och innehåller även en översikt av vilka analyser verksamheten behöver göra för att säkerställa att lämpliga informations- och ITsäkerhetsåtgärder vidtas för att skydda de känsliga uppgifterna. Lagkrav för informationshanteringen Information om brukare, kunder och patienter inom såväl kommunal hemtjänst som hemsjukvård omfattas av sekretess och tystnadsplikt enligt offentlighets- och sekretesslagen (2009:400), OSL och för privat hälso- och sjukvård finns bestämmelser om tystnadsplikt i patientsäkerhetslagen (2010:656), PsL. Informationen betraktas även som känsliga uppgifter och informationsbehandling av personuppgifter inom hemtjänst och hemsjukvård är reglerade av mer eller mindre detaljerade lagar, förordningar och myndighetsföreskrifter. I stor utsträckning kan dock identiska säkerhetsåtgärder vidtas för att skydda personuppgifter oavsett om dokumentationen har uppstått efter hemtjänstomsorg eller efter hälso- och vårdinsatser. Denna vägledning är inte en komplett redovisning av samtliga dessa regler utan en sammanfattning med hänvisningar. Området är även föremål för en statlig utredning, 9

2 S 2011:13 Utredningen om rätt information i vård och omsorg 10, som hittills har överlämnat delbetänkandena Bättre behörighetskontroll (SOU 2012:42) och Rätt information - Kvalitet och patientsäkerhet för vuxna med nedsatt beslutsförmåga (SOU 2013:45). Huvudbetänkandet ska presenteras den 30 april Kommunal hemtjänst Hemtjänstens verksamhetsområde regleras huvudsakligen av Socialtjänstlagen (2001:453), SoL och dokumentation i personakter med IT-stöd regleras av Lag om behandling av personuppgifter inom socialtjänsten (2001:454), SoL-PuL samt av Förordning om behandling av personuppgifter inom socialtjänsten (2001:637). Dessa kompletteras av Personuppgiftslagen (1998:204), PuL när det gäller krav på att vidta lämpliga säkerhetsåtgärder för att skydda informationen. Hemsjukvården Kommunal hemsjukvård omfattas av Hälso-och sjukvårdslagen (1982:763), HSL, där ansvar och uppgifter beskrivs. Regler om dokumentation av patientuppgifter och behandling av sådana uppgifter med IT-stöd finns i Patientdatalagen (2008:355), PDL, som innehåller detaljerade bestämmelser om hur patientinformation får hanteras. Lagen kompletteras av Socialstyrelsens föreskrifter om informationshantering och journalföring i hälso- och sjukvården (SOSFS 2008:14), med tillhörande Handbok. Av 5 SOSFS framgår: Öppna nät 5 Om vårdgivaren använder öppna nät för att hantera patientuppgifter, ska denne ansvara för att det i ledningssystemet finns rutiner som säkerställer att: 1. Överföring av patientuppgifter görs på ett sådant sätt att ingen obehörig kan ta del av uppgifterna, och 2. åtkomst till patientuppgifter föregås av stark autentisering Även andra bestämmelser i SOFS samt som indirekt följer av författningar ovan ställer krav på hur IT-stöd för mobilt arbetssätt inom hemsjukvård samt hemtjänst måste vara utformade. Checklista och rekommendationerna som beskrivs i det följande baseras på dessa krav. Informations- och IT-säkerhet Ledningssystem Kraven på en verksamhet att arbeta med informations- och IT-säkerhet kommer från flera håll. Vissa krav kommer direkt från lagstiftning och andra författningar, som de refererade ovan. Andra krav härrör ur verksamhetens behov av att hålla en hög kvalitet och genom ett kontinuerligt och strukturerat arbete uppnå lämplig säkerhet. Det finns internationella standarder inom området, ISO serien innehåller en stor mängd krav på såväl rutiner som tekniska åtgärder

3 Myndigheten för Samhällsskydd och Beredskap (MSB) tillhandahåller på en särskild webbplats; ett metodstöd för införande av Ledningssystem för Informationssäkerhet (LIS). Metodstödet innehåller verktyg som stöd för ett systematiskt arbete med informationssäkerhet som behöver upprätthållas av såväl kommuner som landsting. LIS ska integreras med verksamhetens kvalitetsledningssystem 11. Mobilt arbetssätt och risker Dokumentation som lagras i verksamhetens IT-system skyddas av flera lager av säkerhetsåtgärder. Genom ett behörighetssystem ska varje medarbetare enbart kunna nå de uppgifter som behövs för arbetsuppgifterna. Informationen lagras med skydd mot både fysiskt intrång i serverutrymmen och med skydd mot dataintrång via de Internetanslutningar som finns. Vid mobilt arbetssätt ökar riskerna på flera sätt: Information om brukare, kunder och patienter kan lagras i en bärbar enhet som t ex en surfplatta, en laptop eller en smart telefon. Det måste därför finnas skydd mot att en obehörig som kommer över den bärbara enheten inte kan ta del av den lagrade informationen. Den som ska använda den mobila enheten måste vara lika väl identifierad som när medarbetaren arbetar inne på ett lokalkontor där det ofta finns både inpasseringskontroller och inloggning i IT-system. Motsvarande identifiering måste ske i den mobila enheten och ett enkelt lösenord är inte tillräckligt. För att kunna använda den mobila enheten måste information ofta kommuniceras över Internet. Om ingen särskild åtgärd vidtas är information som skickas och tas emot normalt okrypterad och det blir möjligt för obehöriga att snappa upp information utan att det märks. Man brukar jämföra detta med att skicka vykort. En annan risk är att den mobila enheten har utrustats med möjlighet att ansluta till verksamhetens interna IT-system. Utan krav på extra identifiering och inloggning skulle obehöriga kunna få åtkomst till dokumentationen i IT-systemet. Det kan även uppstå oönskad informationsspridning genom de applikationer som den mobila enheten är utrustad med där det t ex kan finnas inbyggda funktioner som gör att information sprids till andra enheter som är kopplade till samma konto. Informationssäkerhet 12 Syftet med informations- och IT-säkerhetsåtgärder är att säkerställa att den information som verksamheten behöver i sitt arbete har ett tillräckligt skydd utifrån verksamhetens behov och de krav som ställs i lagstiftningen. Man använder fyra kriterier för att bedöma information: - Riktighet - att vi kan lita på att informationen är korrekt och inte manipulerad eller förstörd - Konfidentialitet - att endast behöriga personer får ta del av den - Tillgänglighet - att den alltid finns när vi behöver den och - Spårbarhet - att det går att följa hur och när informationen har hanterats och kommunicerats 11 Socialstyrelsens föreskrifter och allmänna råd (SOSFS 20011:9) om ledningssystem för systematiskt kvalitetsarbete gäller såväl socialtjänst som hälso- och sjukvården. 12 Utförlig information och en mängd verktyg för arbete med informations- och IT-säkerhet finns på webbplatsen 11

4 Dessa fyra kriterier klassificeras därefter, man brukar använda sig av fyra olika nivåer, se bild 1. Då bedöms hur allvarligt det skulle vara för verksamheten om det t ex uppstod brister när det gäller Konfidentialitet och obehöriga skulle kunna ta del av informationen. Bild 1 All information som ska hanteras i ett verksamhetssystem bör vara klassificerade enligt denna modell, eller motsvarande modell som är införd i den egna verksamheten. De beslutade nivåerna ska gälla även om man inför ett mobilt arbetssätt till det redan införda verksamhetssystemet. Varje nivå ska vara kopplad till konkreta informations- och IT-säkerhetsåtgärder. När informationen har klassificerats behöver en risk- och sårbarhetsanalys göras där man undersöker vilka risker som kan uppstå vid en sådan informationshantering som ska ske med det nya arbetssättet. 12

5 Sammantaget innebär dessa bedömningar 13 att säkerhetskraven kan bestämmas till en lämplig nivå i förhållande till: de rättsliga krav som finns verksamhetskrav samt risker och sårbarheter som är förknippade med den tekniska lösningen och informationshanteringen i det aktuella fallet Checklista för mobilt arbetssätt Datainspektionen har i informationsskriften Mobila enheter Checklista för behandling av personuppgifter14 tagit upp följande punkter som minst bör övervägas innan ett mobilt arbetssätt införs: Gör en riskanalys För att så långt som möjligt skydda de uppgifter som behandlas måste den personuppgiftsansvarige, innan behandlingen påbörjas, genomföra en riskanalys. I analysen ska man identifiera vilka allmänna och särskilda risker som finns med behandlingen av integritetskänsliga personuppgifter i mobila enheter. Därefter gör man en analys av vilka tekniska och organisatoriska säkerhetsåtgärder som måste vidtas för att hantera dessa risker. Målet är att den personuppgiftsansvarige ska vara medveten om riskerna och ha kontroll över personuppgiftsbehandlingen. Utbilda och instruera användarna Ta fram skriftliga instruktioner om hur det är tillåtet att använda mobila enheter. Instruktionerna bör exempelvis omfatta information om: - hur personuppgifter får hanteras - vilka säkerhetsinställningar som ska användas - eventuella begränsningar för privat användning - vilka appar som är tillåtna att ladda ned - vilka konsekvenser otillåten användning kan medföra - Den ansvarige behöver också se till att anställda och uppdragstagare som använder sig av mobila enheter får löpande information om och utbildning i hur det är tillåtet att hantera enheterna. Tänk på behörighetsstyrningen För att minimera risken för spridning av integritetskänsliga personuppgifter är det viktigt att begränsa åtkomsten. Enbart den som har behov av uppgifterna för att fullgöra sitt uppdrag eller sina arbetsuppgifter ska få åtkomst. 13 Stöd för att genomföra analyserna finns i dokumentet Verksamhetsanalys som är en del av metodstödet Ledningssystem för Informationssäkerhet (LIS); 14 Maj

6 Inför autentisering och kryptering Om integritetskänsliga personuppgifter är eller kan göras åtkomliga över öppet nät krävs att inloggning sker med stark autentisering som till exempel e-legitimation, engångslösenord eller liknande. Även inloggning till administrationsgränssnitt kräver stark autentisering. Integritetskänsliga personuppgifter som överförs eller kan göras åtkomliga i öppna nät ska skyddas genom exempelvis kryptering. Lagring på en mobil enhet Integritetskänsliga personuppgifter som lagras i en mobil enhet ska vara krypterade. Den ansvarige behöver även kontrollera att informationen som lagras i den mobila enheten inte oavsiktligt kopieras och lagras i så kallade molntjänster. När det inte längre är nödvändigt att lagra uppgifterna i de mobila enheterna ska de raderas. I den mån detta inte görs automatiskt ska det finnas skriftliga rutiner som stöd för den manuella hanteringen. Inför specifika säkerhetsåtgärder För att hantera säkerhetsriskerna behöver specifika säkerhetsåtgärder övervägas, t ex: - lösenordslås - automatisk låsning av enheten efter viss tids inaktivitet - centrala spärrfunktioner eller distansradering vid händelse av att den mobila enheten tappas bort eller blir stulen - central styrning av säkerhetsinställningar och begränsning för vilka appar som kan laddas ned Genomför logguppföljning Som vid all behandling av personuppgifter måste den personuppgiftsansvarige kunna kontrollera vem eller vilka som har haft åtkomst till personuppgifter via en mobil enhet. IT-systemen ska därför kunna generera loggar som regelbundet ska kontrolleras. Den personuppgiftsansvarige ska informera användarna om att loggar kontrolleras regelbundet. Begränsa åtkomsten till personuppgifter Personuppgifter ska bara vara tillgängliga mobilt när det verkligen behövs. Teckna ett personuppgiftsbiträdesavtal Den som använder sig av en tredje part, ett så kallat personuppgiftsbiträde, för behandling av personuppgifter ska teckna ett personuppgiftsbiträdesavtal med denna part. Avtalet ska bland annat innehålla instruktioner för biträdets personuppgiftsbehandling och vilka säkerhetsåtgärder biträdet ska vidta. Håll koll på tekniken För att den personuppgiftsansvarige ska ha möjlighet att vidta nödvändiga säkerhetsåtgärder vid användning av nya program och tjänster är det viktigt att ha kontinuerlig bevakning av utvecklingen på marknaden för mobila enheter och tjänster. 14

7 Ytterligare kontrollpunkter presenteras av MSB i Vägledning för säkrare hantering av mobila enheter, Råden är uppdelade i olika avsnitt: Rekommendationer för utformning av regelverk och rutiner. - Dessa utgörs av en sammanställning av frågeställningar som organisationen behöver ta ställning till. Till exempel rekommenderas att organisationen fastställer vilka tjänster som ska vara åtkomliga från den mobila enheten. Valet av vilka tjänster som de facto görs tillgängliga bör grundas på en riskanalys. Rekommenderade krav som bör ställas på användare. - Här ligger fokus på krav som enligt good practice bör ställas på användarna. Rekommendationer för utformning av tekniska skydd. - Dessa råd om skydd är konkreta och konsekvenserna av att göra avsteg från rekommendationerna bör analyseras noga. Införandet av tekniska skydd kan dock medföra kostnader vilka naturligtvis bör jämföras med förväntad nytta/effekt av investeringen. Vägledningen innehåller även ett avsnitt som berör särskilda frågor som uppstår när medarbetare arbetar med mobila enheter som inte tillhör arbetsgivaren, t ex när medarbetare använder privat smart telefon för arbetsrelaterad information