VGR-RIKTLINJE FÖR ÅTKOMST TILL INFORMATION

Relevanta dokument
VGR-RIKTLINJE FÖR FYSISK SÄKERHET

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

I n fo r m a ti o n ssä k e r h e t

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen

Tillgång till patientuppgifter - krav på spärrar och aktiva val. Katja Isberg Amnäs Magnus Bergström Datainspektionen

Juridik och informationssäkerhet

RUTIN VID ANVÄNDNING AV SKYPE FOR BUSINESS

Informationssäkerhet i patientjournalen

BESLUT. Ärendet Egeninitierad verksamhetstillsyn av vårdgivarens informationssäkerhet

Kvalitetsregister & Integritetsskydd. Patrik Sundström, jurist SKL

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Informationshantering och journalföring. nya krav på informationssäkerhet i vården

Rutin vid kryptering av e post i Outlook

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Loggkontroll - granskning av åtkomst till patientuppgifter

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Kändisspotting i sjukvården

Rutin för distansmöte via video vid samordnad vårdoch omsorgsplanering

Posthantering och annan överföring av sekretessbelagd och integritetskänslig information

ORU /2016 Användning av IT-resurser - riktlinjer vid Örebro universitet

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

RUTIN FÖR RISKANALYS

ORGANISATIONSNUMMER: ADRESS: NORDENSKIÖLDSGATAN 14, GÖTEBORG

Informationssäkerhet med logghantering och åtkomstkontroll av hälso- och sjukvårdsjournaler i Vodok och nationell patientöversikt (NPÖ)

Sammanfattning av riktlinjer

2 kap. Ansvar för informationssäkerhet. Vårdgivarens ansvar

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun.

1(12) Dokumentation inom SoL, LSS och HSL. Styrdokument

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem

4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun

Karolinska Universitetssjukhuset i Stockholm. Verksamhetstillsyn tillsyn av vårdgivarens informationssäkerhet

Tillsyn - äldreomsorg

Koncernkontoret Området för informationsförsörjning och regionarkiv

[7] TILLÄMPNINGSOMRÅDE Rutinen gäller för hälso- och sjukvårds dokumentation enligt patientdatalagen

Sammanhållen journalföring och Nationell Patientöversikt i Västra Götalandsregionen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Åtkomst till patientuppgifter

Riktlinje för informationshantering och journalföring

Internetbaserad kommunikation - videosamtal, telefonsamtal, chatt, delning av skrivbord och videomöte

Riktlinjer för informationssäkerhet

Syfte Behörig. in Logga 1(6)

Koncernkontoret Enheten för juridik

Bilaga 1 - Handledning i informationssäkerhet

Loggrutin för Socialtjänsten, Karlsborgs kommun

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Hantering av loggkontroller och intrång i journal- och passagesystem

Rutin för loggkontroll och tilldelning av behörigheter i nationell patientöversikt (NPÖ) Rutinen gäller från fram till

RIKTLINJE NATIONELLA PATIENT ÖVERSIKTEN (NPÖ)

IT-Säkerhetsinstruktion: Förvaltning

Nationell patientöversikt en lösning som ökar patientsäkerheten

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Patientdatalagen. Juridik- och Upphandlingsstaben

Tillämpningsanvisningar för tillgång till och utlämnande av patientinformation

Informationssäkerhet

Säkerhet vid behandling av personuppgifter i forskning

Informationssäkerhet, ledningssystemet i kortform

Riktlinjer för Informationshantering och journalföring i Hälso- och sjukvården. Norra närvårdsområdet Skaraborgs kommuner

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Informationssäkerhetspolicy. Linköpings kommun

Riktlinjer vid användning av e-post i

BESLUT. Instruktioner om styrning av behörigheter för åtkomst till uppgifter om patienter

I Central förvaltning Administrativ enhet

Handledning i informationssäkerhet Version 2.0

Verksamhetsplan Informationssäkerhet

Förslag till ändring föreskrifter om informationshantering och journalföring

Sekretess, lagar och datormiljö

RÅD Checklista för avtal rörande sammanhållen journalföring

RS-riktlinjer för Informationssäkerhet i Västra Götalandsregionen

Riktlinjer för dokumentation och informationshantering inom hälsooch sjukvårdens område i Nyköpings kommun

Styrning av behörigheter

INFORMATIONSSÄKERHET EN PATIENTSÄKERHETSFRÅGA

Riktlinjer för logghantering, kontroll och åtkomst enligt Patientdatalagen (PDL) och SOSFS 2008:14 (Vodok och NPÖ)

Riktlinje för informationssäkerhet

Riktlinjer informationssäkerhetsklassning

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

PM 2015:127 RVI (Dnr /2015)

Dataintrång - åtgärder vid misstanke om olovlig åtkomst

NPÖ Nationell patientöversikt

Riktlinjer för hälso- och sjukvårdsdokumentation

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Logghantering för hälso- och sjukvårdsjournaler

Rutin för loggning av HSL-journaler samt NPÖ

Riktlinjer för informationshantering och journalföring i hälso- och sjukvården i särskilt boende i Solna kommun

Skolorna visar brister i att hantera personuppgifter

Det föreslagna beslutet medför inga kända ekonomiska konsekvenser för kommunen.

Säker roll- och behörighetsidentifikation. Ulf Palmgren, SKL Webbseminarium

MAS Kvalitets HANDBOK för god och säker vård

Studerandens möjligheter att ta del av och använda patientuppgifter

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Dokumentation Hälso- och sjukvård HSL

Kvalitetsregister & legala förutsättningar. Moa Malviker Wellermark, Jurist SKL, Landstingsjurist LiÖ

Transkript:

Koncernkontoret Enhet säkerhet Dokumenttyp VGR-riktlinje Dokumentansvarig Valter Lindström Beslutad av Valter Lindström, koncernsäkerhetschef Övergripande dokument Riktlinjer för informationssäkerhet Kontaktperson Monika Göransson Giltig från 2015-12-18 Version 1.0 Dnr RS 129-2015 Ersätter Regional anvisning för styrning av åtkomst och behörighet, RSK 265-2003 VGR-RIKTLINJE FÖR ÅTKOMST TILL INFORMATION

Mål Användare ska ha tillgång till rätt information på rätt sätt för sin arbetsuppgift och vara medveten om sitt personliga ansvar. Lämpliga krav på spårbarhet ska finnas omsatta i all informationshantering, samtidigt som den personliga integriteten värnas. Ur Informationssäkerhetspolicy för Västra Götaland Utgångspunkt Åtkomst till information ska ges enligt klart definierade principer, tydliga ansvarsförhållanden och enhetliga metoder. Det ska finnas ansvar, rutiner och tekniska skyddsåtgärder som styr användares åtkomst till information och IS/IT-tjänster. Detta gäller även för externa IS/IT-tjänster och mobil utrustning. Informationsklassificering styr vilka krav på identifiering och behörigheter som ska ställas. Se VGR-rutin för klassificering av informationstillgångar. Västra Götalandsregionens grundläggande värderingar bygger på god etik och moral, vilket innebär att det inte är tillåtet att besöka sidor som innehåller pornografiskt material, hot, förtal, våld, terror, rasism, hets mot folkgrupp, mobbning, brott mot diskrimineringslagen eller uppmaning till droganvändning. Samma begränsning gäller för besökare, patienter, studerande och andra användare som ges tillgång till regionens nät Kraven för åtkomst till information finns beskrivna i VGR-riktlinje för åtkomst till information och ska tillämpas för all hantering av åtkomst till information. Ur Riktlinjer för informationssäkerhet i Västra Götalandsregionen 1 Behörighet Informationsägaren/vårdgivaren ansvarar för att det finns villkor och rutiner för vilka som får behörighet för åtkomst till data och information. Reglerna ska omfatta vad som krävs, av vem och hur beslut fattas samt när uppföljning av behörigheter ska ske. Det ska säkerställas att behörigheter tilldelas, ändras och tas bort på ett kontrollerat sätt. Grundprincipen vid bedömning av tilldelning av behörigheter är, att den ska styras av behovet av tillgång till information och informationsbehandlingsresurser, för att arbetet ska kunna utföras på ett adekvat sätt. För att varje användare ska få rätt behörighet måste ansvarig beslutsfattare först ha genomfört behovs- och riskanalyser. Dessa ska ta hänsyn till vilka behov av åtkomst en användare har samt vilka risker det kan innebära om personen har för lite eller för mycket tillgång till olika uppgifter. Detta gäller för behörigheter på alla nivåer inom VGR, det vill säga även så kallade höga behörigheter. 2

Digital identitet Personliga och unika elektroniska användaridentiteter ska användas av alla medarbetare i Västra Götalandsregionen och tilldelas genom en tydlig rutin. Granskning av användarrättigheter Ansvarig chef/uppdragsgivare ska, med stöd av utdrag från behörighetsadministrationen, årligen granska, och vid behov revidera, sina medarbetares åtkomsträttigheter. Förändring av anställning Chef/uppdragsgivare är också ansvarig för att avsluta behörigheter och att utrustning återlämnas. Den nya chefen/uppdragsgivaren ansvarar för att beställa nya behörigheter och utrustning. Avslut av användarkonto Alla anställdas, uppdragstagares och tredjepartsanvändares rättigheter till informationen, IS/IT-system och lokaler ska dras in när anställningen/avtalet/överenskommelsen upphör eller förändras. Informationen i e-postlåda, hemkatalog eller liknande ska gallras för avslut av anställning. Ansvarig chef avgör till vem behövlig information ska överlämnas. Eventuell kvarvarande information ska vara åtkomlig för ansvarig chef under det aktuella kalenderåret plus tolv månader. Därefter fattar ansvarig chef beslut om gallring och arkivering. Behörighet för admin- och root-konton Särskilda rättigheter, som exempelvis administratörsrättigheter, ska endast delas ut där så är uttryckligen nödvändigt och då ska rättigheterna vara tidsbegränsade och personliga. För varje resurs ska det vara beslutat vem som granskar dessa behörigheter och detta ska vara en del av systemdokumentationen. Särskilda rättigheter ska följas upp minst två gånger per år. Inloggningsmetod I första hand ska inloggning ske med tvåfaktors autentisering, t ex TjänsteID+. Där så inte är möjligt, ska lösenord konstrueras så att en tillräcklig god kvalitet, efter systemets möjligheter och säkerhetsbehov, uppnås. På grund av risken för avlyssning är det inte tillåtet att välja samma användaridentitet eller lösenord som används inom VGR:s IT-system vid användning av internetbaserade informationstjänster. 2 Information om säkerhetssystem Information och data som rör säkerhets- eller bevakningsåtgärder med avseende regionens fysiska infrastruktur, ska hanteras så att obehöriga inte kan ta del av den. 3 Åtkomst till information och IS/IT-tjänster Privat användning Västra Götalandsregionens informationsbehandlingsresurs är avsedda för arbetsrelaterade uppgifter. Användningen av utrustningen ska präglas av användarens goda omdöme, så att den inte innebär säkerhetsrisker för regionens IS/IT-miljö, stör regionens verksamhet eller påverkar VGR:s rykte negativt. Respektive chef avgör i vilken utsträckning utrustningen får användas för privat ändamål. 3

Internet Arbetsrelaterat undantag från regeln att vissa sidor är förbjudna att besöka kan beviljas. Ansvarig chef anmäler till VGR IT:s Service Center. Om patienter ges möjlighet att använda regionens tekniska utrustning för internetuppkoppling, ska begränsningar göras för att skydda produktionsmiljö och utrustning. Representerar en person Västra Götalandsregionen på sociala nätverk eller liknande, har hen ett ansvar att regionens regelverk, etik och god sed följs. Mer information finns hos regionkansliets kommunikationsavdelning. Användaren ska också vara medveten om att besök på webbplatser lämnar elektroniska spår efter sig och med dessa kan andra registrera vilka webbplatser regionens medarbetare besökt. Åtkomst till regionens informationstillgångar över internet Åtkomst till regionens interna informationstillgångar över internet eller andra externa nät, får endast ske genom säker uppkoppling, vilket innebär behörighetskontroll och skyddad överföring, t ex VPN. Styrning av åtkomsten bör kunna ske, så att den begränsas till nödvändiga IS/IT-system. IS/IT-direktören ansvarar för att IS/IT-tjänsten säker uppkoppling uppfyller informationsägarens krav i informationsklassificering och är en del av tjänsteportföljen. Informationsägare tar beslut om det ska vara tillåtet att använda IS/IT-systemet på distans (utanför VGRnet). Säkerhetskraven i gällande regelverk om informationssäkerhet ska vara uppfyllda. Ansvarig chef beslutar om distansåtkomst för den enskilde medarbetaren. En behovs- /riskanalys ska ligga till grund för beslutet. Skicka känslig information När användare försöker skicka känslig information okrypterat över öppna nät (Internet, Sjunet mm) bör det finnas en funktion som varnar användaren, 4 Säkerhetskrav avseende patientinformation Vid hantering av patientinformation inom Västra Götalandsregionen ska Patientdatalagen och Socialstyrelsens föreskrift Informationshantering och journalföring i hälso- och sjukvården följas. Tillämpning av dessa beskrivs i Regionövergripande villkor för behörighet, spärr och logg, RSK 771-2008. Överföring av och åtkomst till patientuppgifter Västra Götalandsregionens tekniska nätverk är att betrakta som ett öppet nätverk. Detta innebär att patientuppgifter inte får kommuniceras utan godtagbart skydd. Olika tekniska skyddsåtgärder ska användas, som exempelvis kryptering, digital signatur och stark autentisering. Kommunikation med medborgare/patient om person- och patientinformation Om information kommuniceras elektroniskt mellan medborgare/patient och vårdgivare ska: Samtycke att förmedla patient- och personuppgifter elektroniskt inhämtas från patient/medborgare Patienten/medborgaren entydigt identifieras Teknik för skydd (kryptering) av kommunikation användas 4

Patientåtkomst till egen journal Patienter får ges direktåtkomst till sin journal, om säkerhetskrav enligt Socialstyrelsens föreskrifter tillämpas. Detta kräver stark autentisering, vilket innebär att vårdgivaren använder inloggningslösningar som ställer krav på att identiteten säkerställs genom en tvåfaktorslösning samt att kommunikationen krypteras. Rättelse, blockering och utplånande av personuppgifter IS/IT-system i Västra Götalandsregionen ska, enligt bestämmelser i personuppgiftslagen och Patientdatalagen, vara utformade så att rättelse, blockering och utplånande av personuppgifter är möjlig. 5 Spårbarhet Spårbarhet är väsentlig för att genomföra åtkomstkontroll. Det ska entydigt gå att härleda aktiviteter i ett IS/IT-system till en identifierad användare eller process. Åtkomstkontroll Loggning är kontinuerligt insamlande av information om de aktiviteter som utförs i ett IS/ITsystem. Utöver lagreglerade krav ska informationsägarens krav på spårbarhet ligga till grund för vad och hur mycket som ska loggas. Aktiviteter som genomförs av admin i centrala tjänster och funktioner i IS/IT-miljöer ska vara spårbara i förhållande till informationens skyddsbehov. Granskning av loggar Vårdgivare ansvarar för att det inom hälso- och sjukvårdens ledningssystem finns rutiner som säkerställer hantering av loggar. I andra verksamheter ansvarar informationsägaren för en löpande granskning av loggar. Gallringstid och hantering av loggar Gallringstid av loggar styrs av berörd lagstiftning och verksamhetens behov av att kunna spåra aktiviteter i IS/IT-system. 6 Hantering av skyddade personuppgifter Vid utveckling av IS/IT-system ska särskild hänsyn tas till att ett adekvat skydd för personer med skyddade personuppgifter säkerställs och omfattar såväl anställda som patienter, elever osv. Se Riktlinjer för hantering av personer med skyddade personuppgifter, RSK 265-2003. 7 Arkivering Arkiverad data eller information ska lagras i ett sådant format, att de är möjliga att läsa under hela bevarandetiden. Krav på tidsbestämt långtidsbevarande av information finns i exempelvis Patientdatalagen, Bokföringslagen och Arkivlagen. Dessa krav kan komma att ändras över tiden. Informationsägaren ska alltid samråda med Regionarkivet och tillämpa gällande arkivreglemente och övriga föreskrifter från Arkivnämnden. 5

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss