Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Relevanta dokument
Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

GDPR. Dataskyddsförordningen

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Tillgång till patientuppgifter - krav på spärrar och aktiva val. Katja Isberg Amnäs Magnus Bergström Datainspektionen

Informationssäkerhet

PuL och GDPR en översiktlig genomgång

GDPR- Seminarium 2017

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen

Koncernkontoret Enheten för juridik

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Dataskyddsförordningen

EU:s dataskyddsförordning

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

GDPR NYA DATASKYDDSFÖRORDNINGEN

Säkerhet vid behandling av personuppgifter i forskning

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Policy för behandling av personuppgifter

AVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH

PERSONUPPGIFTSBITRÄDESAVTAL

EU:s dataskyddsförordning

INFORMATIONSSÄKERHET OCH DATASKYDD

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Dataskyddsförordningen GDPR

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen

Dataskyddsförordningen

Juridik och informationssäkerhet

Gäller fr o m

Karolinska Universitetssjukhuset i Stockholm. Verksamhetstillsyn tillsyn av vårdgivarens informationssäkerhet

Tillämpningsanvisningar för tillgång till och utlämnande av patientinformation

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

2 kap. Ansvar för informationssäkerhet. Vårdgivarens ansvar

Informationssäkerhet med logghantering och åtkomstkontroll av hälso- och sjukvårdsjournaler i Vodok och nationell patientöversikt (NPÖ)

Riktlinjer för dataskydd

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

ADDSECURES BEHANDLING AV PERSONUPPGIFTER

Regler för behandling av personuppgifter vid Högskolan Dalarna

1. INLEDNING 2. PERSONUPPGIFTSANSVARIG 3. INSAMLING OCH ÄNDAMÅL

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

GDPR ur verksamhetsperspektiv

Riktlinjer för behandling av personuppgifter i Årjängs kommun

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Integritetspolicy Upplev Norrköping

Ineras Personuppgiftsbiträdesavtal 1. Avtal enligt artikel 28.3, Dataskyddsförordningen

VGR-RIKTLINJE FÖR ÅTKOMST TILL INFORMATION

ORGANISATIONSNUMMER: ADRESS: NORDENSKIÖLDSGATAN 14, GÖTEBORG

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

Integritetspolicy Rinkaby Rör

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

Översikt av GDPR och förberedelser inför 25/5-2018

Instruktion för att tillvarata enskildas rättigheter

Den nya dataskyddsförordningen - GDPR

Novare Peritos - Integritetspolicy. Datum för ikraftträdande: Senast uppdaterad:

EU:s nya dataskyddsförordning Lotta Wikman Öman

Bilaga 1a Personuppgiftsbiträdesavtal

Riktlinjer för att tillvarata enskildas rättigheter

Implantatinf JL AB:s DATASKYDDSPOLICY

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Dataskyddsförordningen

GDPR - Riktlinjer för hantering av personuppgifter

Dataskyddsförordningen

GDPR Presentation Agenda

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

För att tillvarata medlemmarnas enskildas rättigheter

En guide om GDPR och vad du behöver tänka på

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Personuppgiftsbiträdesavtal

ATT TILLVARATA ENSKILDAS RÄTTIGHETER

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

DATASKYDD (GDPR) Del 4: Kärnverksamheterna

Instruktion för att tillvarata enskildas rättigheter. Instruktion för att tillvarata enskildas rättigheter

Svensk författningssamling

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Välkomna till kurs i dataskyddsförordningen med fokus på informationssäkerhet

Underbiträdesavtal. Med Avtalet avses detta huvuddokument och vid var tid gällande bilagor.

Sekretess, lagar och datormiljö

Anmälda personuppgiftsincidenter 2018

Dataskyddspolicy

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Behandling av personuppgifter vid Göteborgs universitet

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem

RÅD Checklista för avtal rörande sammanhållen journalföring

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Transkript:

Informationssäkerhet Medicinteknisk säkerhetskurs 2018-03-14, Sanja Hebib Informationssäkerhet Information är en tillgång som, liksom andra viktiga tillgångar, har ett värde och som måste skyddas. Informationssäkerhet syftar till att skydda information mot förekommande hot, förhindra avbrott i verksamheten samt minska skador och bidrar därigenom till att maximera värdet av verksamheten. Tillgänglighet, Riktighet, Konfidentialitet och (Spårbarhet) 2 1

Styrdokument Externa - Lagkrav och föreskrifter t.ex. patientdatalagen, Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården; HSLF-FS 2016:40, personuppgiftslagen samt dataskyddsförordningen Interna - Ledningssystem för informationssäkerhet - Riktlinjer och rutiner ISO/IEC 27000-serien 4 Ansvarsfördelning Ansvaret följer generellt linjen, men det finns vissa funktioner som är utpekade i lagstiftning och regelverk. Regionstyrelsen (vårdgivaren) Verksamhetschef Enskilde medarbetaren 5 Patientdatalag (2008:355) Möjlighet till sammanhållen journalföring Ökad patientintegritet och säkerhet Möjlighet till direktåtkomst för patient Att patienten kan spärra journalinformation 6 2

Spärrfunktionalitet Uppgifter spärras, vilket innebär att direktåtkomst inte får ske från en annan vårdenhet eller vårdgivare inom sammanhållen journalföring. Teknisk funktionalitet i våra journalsystem/ medicintekniska produkter Patienten bestämmer 7 Åtkomstkontroll - loggning Vårdgivaren är skyldig att föra logg över åtkomst inom vårdgivaren. Vårdgivaren ska dokumentera regelbunden och systematisk loggningskontroll i syfte att förebygga, konstatera och beivra otillåten eller obefogad åtkomst till uppgifter. Patienten kan begära ut sin logglista 8 Vad ska finnas med i loggen? HSLF-FS 2016:40 (4:9) - vilka åtgärder som har vidtagits med uppgifter om en patient, - vid vilken vårdenhet eller vårdprocess åtgärderna vidtagits, - vid vilken tidpunkt åtgärderna vidtagits, - användarens och patientens identitet 9 3

Användning av öppna nät HSLF-FS 2016:40 (3:15) Om vårdgivaren använder öppna nät vid behandling av personuppgifter, ska denne ansvara för att - överföring av personuppgifter görs på ett sådant sätt att inte obehöriga kan ta del av dem, och - Elektronisk åtkomst eller direktåtkomst till uppgifterna föregås av stark autentisering. 10 Vad är ett öppet nät? Finns ingen legal definition Resonemanget kring öppet nät går ut på att flera aktörer har tillgång till och trafikerar nätet och därigenom har möjlighet att bereda sig åtkomst till personuppgifter som överförs eller görs åtkomliga via det. Ex. internet, sjunet, (Region Östergötlands nätverk) 11 Vad är stark autentisering? Identiteten kontrolleras på minst två sätt - med någonting användaren kan t.ex. lösenord - med någonting användaren har t.ex. certifikat - med hjälp av användaren själv t.ex. fingeravtryck Även om ett autentiseringssätt uppfyller kravet på två faktorer kan det ändå vara olämpligt som lösning. 12 4

Säkerhetkopiering HSLF-FS 2016:40 (3:12) - med vilken periodicitet säkerhetskopieringen ska göras, - hur länge säkerhetskopiorna ska sparas, och - hur ofta återläsningstester ska göras. Säkerhetskopieringen bör bygga på den informationsklassificering som gjorts på informationen som ska lagras. 13 Styrning av behörigheter HSLF-FS 2016:40 (4:2) Vårdgivaren ska ansvara för att varje användare tilldelas en individuell behörighet för åtkomst till personuppgifter. Behörigheterna ska bygga på en behovs- och riskanalys. 14 Personuppgiftslag (1998:204) Reglerar behandling av personuppgifter. Är subsidiär mot annan lagstiftning. Syftet med PuL är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Datainspektionen är tillsynsmyndighet. 15 5

Vad är personuppgifter? All slags information som direkt eller indirekt kan knytas till en fysisk person som är i livet. Även bilder (foton) och ljudupptagningar på individer som kan vara personuppgifter även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer, räknas som personuppgifter om de kan kopplas till fysiska personer. Pseudonymiserade uppgifter är fortfarande personuppgifter. 16 Säkerhetåtgärder Lämpliga tekniska och organisatoriska åtgärder ska vidtas utifrån - De tekniska möjligheter som finns - Kostnaden att genomföra åtgärden - Särskilda risker som finns med behandlingen - Känsligheten hos uppgifterna 17 Dataskyddsförordning (GDPR) Förordningen gäller som svensk lag den 25 maj 2018 och ersätter tidigare direktiv och PUL. Kompletteras med nationell lagstiftning. Nationell lagstiftning får inte stå i strid med förordningen. 18 6

Säkerhet art 32 Lämplig säkerhetsnivå rätt säkerhet Risk med behandlingen Behandlingens art, omfattning, sammanhang och ändamål Tekniska möjligheter Kostnad Risk Oavsiktlig eller olaglig förstöring Förlust eller ändring Obehörigt röjande eller åtkomst 19 Exempel på säkerhetsåtgärder Pseudonymisering Kryptering Behörighetsstyrning Loggning Riktlinjer Utbildning 20 Rätt till radering ( rätten att bli bortglömd ) art 17 Måste radera om (exempel): Uppgifterna inte behövs för de ändamål som de samlades in för Behandling grundar sig på samtycke och samtycket återkallas Personuppgifterna har behandlats olagligt Exempel på undantag: Arkivändamål Forskningsändamål 7

Dataportabilitet art 20 Den som har lämnat sina personuppgifter har i vissa fall rätt att få ut och använda sina personuppgifter på annat håll. Den som har tagit emot personuppgifterna är skyldig att underlätta en sådan överflyttning av personuppgifter. 22 Personuppgiftsincident art 33 Vad är en personuppgiftsincident? en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats Dokumentera incidenten och anmäla till Datainspektionen inom 72 timmar. Informera de registrerade t.ex. om det finns risk för id-stöld eller bedrägeri. Uppförandekoder art 40-41 Sammanslutningar som representerar kategorier av personuppgiftsansvariga/personuppgiftsbiträden får utarbeta uppförandekoder för att specificera tillämpningen av förordningen. Tillsynsmyndighet godkänner uppförandekoder 8

Certifiering art 42-43 Uppmuntran till certifieringsmekanismer för uppgiftsskydd. Certifieringsorganet kan utdela och ta tillbaka certifieringar som visar att organisationen uppfyller förordningen. Certifieringsorgan ska ackrediteras via t.ex. tillsynsmyndighet eller nationella ackrediteringsorgan. Skadestånd art 82 En person som har lidit skada på grund av att hans eller hennes personuppgifter har behandlats i strid med dataskyddsförordningen kan ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet. Sanktionsavgifter art 83 Vem beslutar om att påföra en sanktionsavgift? Datainspektionen Hur hög kan sanktionsavgiften bli? Vilken bestämmelse som har överträtts Omständigheterna i fallet 20 miljoner euro eller fyra procent av bolagets globala årsomsättning Lagförslag 20 miljoner kronor för myndigheter 27 9

Hur ser framtiden ut? Ny lagstiftning Molntjänster Mer vård och behandling utförs i hemmet med hjälp av medicinteknisk utrustning Appar och olika hälsokonton Individanpassad vård (utifrån t.ex. analyser av dna och Big Data) 28 10

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss