Informationssäkerhet för Sektor omsorg



Relevanta dokument
MAS Riktlinje för logghantering gällande hälso- och sjukvårdsjournaler

Kompletterande Riktlinje för informations säkerhet

Förordnande av verksamhetschef för den medicinska och psykologiska delen av elevhälsan

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Utbildning ST del 2. Maria Funk. Landstinget i Östergötland. Landstingsjurist. tel: epost: maria.funk@lio.se

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Ledningssystem för systematiskt kvalitetsarbete inom verksamheterna flykting och HVB

Sammanhållen journalföring inom hälso- och sjukvård

Meddelandeblad. Medicinskt ansvarig sjuksköterska och medicinskt ansvarig för rehabilitering

PERSONUPPGIFTSLAG. Den fysiska person som, efter förordnande av den personuppgiftsansvarige,

Ledningssystem för systematiskt kvalitetsarbete

Sammanfattningar av Socialstyrelsens föreskrifter och allmänna råd (SOSFS) som har relevans för utförare inom kommunal vård och omsorg om äldre


Kvalitetsregister & legala förutsättningar. Moa Malviker Wellermark, Jurist SKL, Landstingsjurist LiÖ

Riktlinjer för hantering av allmänna handlingar

Rutin för loggkontroller inom Vård och omsorgsavdelningen och Individ- och familjeomsorgen

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Hantering av skyddade personuppgifter

Patientdatalag (2008:355)

Syfte...1 Omfattning...1 Beskrivning...1

Lagring i molnet. Dokumenthantering i högskolans Office365 ur ett offentlighetsperspektiv

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

BESLUT. Vårdgivare och Kommunfullmäktige. - Region Skåne - Kommunfullmäktige, Eslövs Kommun

Svensk författningssamling

Information till varje registrerad/anställd enligt personuppgiftslagen (PuL)

Riktlinjer för behandling av personuppgifter vid webbpublicering

Svensk författningssamling

Riktlinje för synpunkts- och klagomålshantering VON 2013/ Riktlinjerna är antagna av vård- och omsorgsnämnden den 13 maj 2003.

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

FAGERSTA KOMMUN SOCIALFÖRVALTNINGEN. Ledningssystem för Systematiskt kvalitetsarbete

BÄTTRE VÅRD FÖR DIG. Information om Sammanhållen journal

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Regler för behandling av personuppgifter vid Högskolan Dalarna

RIKTLINJE AVSEENDE SKYDDADE PERSONUPPGIFTER

Uppdrag och kvalitetskrav hemtjänst inom Region Gotland

Bättre överblick, ännu bättre vård. Sammanhållen journalföring. Nya möjligheter för vården att få ta del av dina uppgifter.

Rapport Avtalsuppföljning hemtjänst LOV 2015 Sammanställd av socialförvaltningens kvalitetsgrupp

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Migrationsverket

Riktlinjer för logghantering, kontroll och åtkomst enligt Patientdatalagen (PDL) och SOSFS 2008:14 (Vodok och NPÖ)

PERSONUPPGIFTSBITRÄDESAVTAL. Detta personuppgiftsbiträdesavtal har träffats mellan följande parter.

Hemvårdsförvaltningen/Socialförvaltningen. RUTIN Dokumentnamn Riktlinjer för hälso- och sjukvårdsdokumentation RIKTLINJE

SÖDERTÄLJE KOMMUN Utbildningskontoret

Bättre överblick, ännu bättre vård.

Personuppgiftsbiträdesavtal

Patientsäkerhetsberättelse

Hur gör jag med dokumenten?

Flik 1.3. BJURHOLMS KOMMUN Äldre- och handikappomsorg. Att lämna samtycke

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Socialrätten en översikt

SOSFS 2011:9 (M och S) Föreskrifter och allmänna råd. Ledningssystem för systematiskt kvalitetsarbete. Socialstyrelsens författningssamling

Ulla Lönnqvist Endre. Avd för vård och omsorg

RUTINER FÖR LOGGNING I PROCAPITA

Kvalitetsindikatorer för skyddade boenden

Journalsystem och informationssäkerhet

Samtycke vid direktåtkomst till sammanhållen journalföring

Fördjupning: Juridik vid införande av välfärdsteknik. Jeanna Thorslund, Jurist och Samordnare Informationssäkerhet, SKL Manólis Nymark, Jurist

Patientlagen och Patientdatalagen

Information om personuppgiftslagens tillämpning i Riksbanken

Ledningssystem för systematiskt kvalitetsarbetet för elevhälsans medicinska

Föredragande borgarrådet Anna König Jerlmyr anför följande.

Sekretess, tystnadsplikt, anmälningsskyldighet mm Granskad av: Fastställd av: Fastställd datum: Reviderad datum: Socialförvaltningens ledningsgrupp

Rutin för kontroll av loggar

Samråd enligt 2 och 3 patientdataförordningen

REGEL FÖR HÄLSO OCH SJUKVÅRD I SÄRSKILT BOENDE OCH DAGLIG VERKSAMHET ENLIGT LSS. LEDNINGS- OCH YRKESANSVAR

Patientsäkerhetsberättelse

Omsorgs- och socialförvaltningen. Upprättad: Ändrad:

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Ledningssystem för systematiskt kvalitetsarbete (struktur)

Tjänsteskrivelse 1 (2) Handläggare Datum Beteckning. Kommunrevisionen MISSIVSKRIVELSE

Patientsäkerhetsberättelse för vårdgivare

Loggrutin för Socialtjänsten, Karlsborgs kommun

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn enligt personuppgiftslagen (1998:204) hjälpmedelshanteringssystemet Sesam

Införande av elektroniska körjournaler i kommunens bilar

Använd den här blanketten för att anmäla att en utbildningsanordnare brister i arbetet med så kallade aktiva åtgärder.

Regeringens proposition 2007/08:126

Instruktion för e-post E-postinstruktion Beslutad

Patientsäkerhetsberättelse för vårdgivare

Offentlighet och sekretess Utbildningstillfälle Huvudregistrator Jenny Åtegård

Välkommen. till förskrivarutbildning!

POLICY OCH RIKTLINJER FÖR GISLAVEDS KOMMUNS HAN- TERING AV KLAGOMÅL OCH SYNPUNKTER

Registrering och hantering av allmänna handlingar

Riktlinjer för klagomål & synpunkter

Meddelandeblad. Stöd till anhöriga i form av service eller behovsprövad insats handläggning och dokumentation

Patientsäkerhetsberättelse för Älvsjö stadsdelsnämnd

Gäller från 1 januari 2007 Antagen av KF 246/2006. IT-säkerhetsinstruktion för användare

Patientsäkerhetsberättelse för Kungälvs kommun

Öppenvårdsinsatser för barn och unga i Lilla Edets kommun

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

Informationssäkerhet - Instruktion för förvaltning

Förfrågningsunderlag: Valfrihet inom hemtjänsten i Krokoms kommun. Lag om valfrihet (LOV) gällande omvårdnad och/eller service

Riktlinje för vård i livets slutskede. Vård- och omsorgsförvaltningen. Dokumentansvarig Lena Jadefeldt Slattery MAS

Lagrådsremiss. Ökad kvalitet vid läkemedelsförskrivning. Lagrådsremissens huvudsakliga innehåll. Regeringen överlämnar denna remiss till Lagrådet.

Policy för behandling av personuppgifter vid uthyrning av bostäder

Avtals- och verksamhetsuppföljning 2015

Apoteket AB Stockholm. och

Logghantering för hälso- och sjukvårdsjournaler

Transkript:

Informationssäkerhet för Sektor omsorg Upprättad: 2015-08-12 Uppdaterad: 2015-11-13 Antagen av: Ledningsgrupp, Sektor omsorg Datum för antagande: 2015-09-15 Kontaktperson: Gun Johansson, IT-samordnare

Innehåll 1. Inledning 3 2. Personuppgifter 4 2.1. Personliga förhållanden 2.2. Skyddade personuppgifter 2.3. Behandling av personuppgifter 3. Organisation och ansvar för informationssäkerhet 6 4. Styrning av behörighet och åtkomst 8 4.1. Tilldelning av behörighet 4.2. Sekretess 4.3. Olovlig åtkomst 4.4. Utbildning 5. Kontroll av åtkomst till personuppgifter, loggkontroll 10 5.1. Kontroll av logglista 5.2. Hur ska logglistan tolkas? 5.3. Handläggning och dokumentation vid misstänkt dataintrång 5.4. Vid misstänkt dataintrång i hälso- och sjukvårdsjournal 5.5. Den enskildes särskilda rättigheter till loggar 6. Bilagor Bilaga 1 Information om behörighet och säkerhet för nya användare 12 Bilaga 2 Regler för e-posthantering 13 Bilaga 3 Lista över verksamhetssystem, program och register 14 2

1. Inledning Riktlinjer för informationssäkerhet syftar till att informationshantering inom Sektor omsorg ska ske på ett säkert sätt enligt gällande lagar och regler. Riktlinjerna gäller för hantering av information om kommunmedborgare som använder sektorns tjänster i form av individ- och familjeomsorg, handikappomsorg, kommunal hälso- och sjukvård samt äldreomsorg. Övergripande styrdokument för informationssäkerhet i Götene kommun är ITsäkerhet Användarhandbok: sammanfattat ur BITS-dokumenten och avtalen med Göliska IT från 2008. BITS står för IT-säkerhet på basnivå. Under 2015 startar ett arbete för att uppdatera detta dokument. Sektor omsorgs riktlinjer ska skydda personuppgifter som behandlas i de datasystem, program och kvalitetsregister som används inom sektorn. Personuppgifter som behandlas i pappersform ingår också i informationssäkerheten. Den enskilde individens säkerhet och integritet ska tillgodoses. Berörd personal ska ha individuell behörighet endast till de personuppgifter som behövs för att utföra aktuella vård- och omsorgsinsatser. Målet är att användare ska logga in med tvåfaktorsinloggning till system med känsliga personuppgifter. De lagar som styr sektorns verksamhet är: socialtjänstlagen (SoL) hälso- och sjukvårdslagen (HSL) lagen om särskilt stöd och service (LSS) lagen om vård av missbrukare (LVM) lagen om vård av unga (LVU) Det finns flera lagar, föreskrifter och allmänna råd som styr informationshanteringen, några av dem är: OSL, Offentlighets- och sekretesslagen (2009:400) PUL, Personuppgiftslagen (1998:204) SoLPUL Lag om behandling av personuppgifter inom socialtjänsten (2001:454) PDL, Patientdatalagen (2008:355) PSL, Patientsäkerhetslagen (2010:659) Informationshantering och journalföring inom hälso- och sjukvård. Socialstyrelsens författningssamling, SOSFS 2008:14, 2011:11 Datainspektionen (2007). Vägledning för kommuner: Personuppgifter och e-förvaltning. Datainspektionen (2008) Säkerhet för personuppgifter. 3

2. Personuppgifter Enligt Datainspektionen är personuppgifter all slags information som direkt eller indirekt kan hänföras till en levande person. Behandling av känsliga personuppgifter ställer högre krav på säkerhet än om personuppgifterna inte är känsliga. Vilka uppgifter som behandlas har stor betydelse men också mängden av uppgifter om varje person. Anledningen till behandling av personuppgifter kan också vara känslig. (Säkerhet för personuppgifter, Datainspektionen 2008) Exempel på känsliga personuppgifter är uppgifter om: ekonomisk hjälp och vård inom socialtjänsten uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen (OSL) etniskt ursprung politiska åsikter religiös eller filosofisk övertygelse medlemskap i fackförening hälsa eller sexualliv lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel, eller administrativa frihetsberövanden (Säkerhet för personuppgifter, Datainspektionen 2008) Personliga förhållanden Inom individ- och familjeomsorg, handikappomsorg, hälso- och sjukvård samt äldreomsorg gäller sekretess för uppgifter om en enskilds hälsotillstånd eller personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående lider men. (25 kapitlet 1 samt 26 kapitlet 1 OSL) OSL definierar inte uttrycket personliga förhållanden men det ska tolkas brett. Personliga förhållanden gäller i princip alla uppgifter om en enskild individ från uppgift om vederbörandes adress till uppgift om olika biståndsinsatser. Exempel på personliga förhållanden är namn, adress, telefonnummer, ålder, familjesituation, hälsotillstånd, personlig karaktär, sinnestillstånd, arbetsförmåga, funktionsnedsättning, missbruk, anställning och ekonomisk situation. Även om personens namn saknas kan den här typen av uppgifter leda till att den enskilde kan identifieras och då är det uppgifter om personliga förhållanden. Skyddade personuppgifter Skyddade personuppgifter innebär ett ännu starkare skydd för hur uppgifterna får behandlas. Det finns tre grader av skyddade personuppgifter: sekretessmarkering, kvarskrivning och fingerade personuppgifter. Alla tre kan kombineras med exempelvis namnbyte. Det är den enskilde som ansöker hos Skatteverket om skydd för sina personuppgifter. 4

Viktigt att berörd personal ges grundlig information om sekretess och hur vi hanterar skyddade personuppgifter. Rutiner ska finnas för hur sekretessmarkering görs i datasystemen. Det är viktigt att handläggaren kommer överens med den enskilde om hur uppgifterna ska hanteras. Information om skyddade personuppgifter finns på Skatteverkets hemsida, www.skatteverket.se Behandling av personuppgifter Behandling av personuppgifter är det som görs med personuppgifterna. Varje åtgärd och serie av åtgärder, till exempel: insamling, registrering, organisering, lagring, bearbetning, ändring, återvinning, inhämtande, användning, utlämnande, sammanställning eller samkörning, blockering, utplåning eller förstöring. (Säkerhet för personuppgifter, Datainspektionen 2008) 5

Organisation och ansvar fo r informationssa kerhet För att uppnå och behålla god informationssäkerhet krävs tydliga funktioner, roller och ansvar. Socialnämnden är personuppgiftsansvarig enligt personuppgiftslagen, PUL och vårdgivare enligt socialstyrelsens författningssamling, SOSFS 2008:14. Socialchef ansvarar för arbetet med informationssäkerhet i Sektor omsorg. socialchef är systemägare för sektorspecifika system och de processer som systemen stödjer Verksamhetschef inom hälso- och sjukvård har, enligt Socialstyrelsens föreskrifter SOSFS 2008:1 och 2008:14, ett särskilt definierat ansvar för informationssäkerheten. Verksamhetschef för hälso- och sjukvård ska inom ramen för socialnämndens ledningssystem för systematiskt kvalitetsarbete: följa upp patientuppgifternas kvalitet och ändamålsenlighet enligt hälsooch sjukvårdslagen följa upp informationssystemens användning genom regelbunden kontroll av åtkomsten till patientuppgifter Områdeschef ansvarar för att: följa upp kvalitet och ändamålsenlighet i personakter enligt socialtjänstlagen SoL, lagen om särskilt stöd och service LSS, lagen om vård av missbrukare LVM samt lagen om vård av unga LVU. IT-samordnare ansvarar för att: följa upp och uppdatera detta dokument minst en gång per år lägga till nya och ändrade rutiner som hör till dokumentet vid behov eller minst en gång per år informera om nyheter och ändringar i riktlinjer och rutiner Anställda i sektorn har också eget ansvar för informationssäkerhet genom den information som ges vid anställningstillfället. I Offentlighets- och sekretesslag (2009:400) finns bestämmelser om tystnadsplikt och sekretess när det gäller uppgifter om enskilds personliga eller ekonomiska förhållanden. I anställningen ingår ett AD-konto för att logga in i dator som är ansluten till kommunens nätverk. Information om behörighet och säkerhet för nya användare. Se bilaga 1. 6

IT-samordnare Sektor omsorg ska minst en gång per år informera socialnämnden om: granskningar och skyddsåtgärder som gjorts för att följa upp informationssäkerhetsarbetet riskanalyser som har genomförts inom informationssäkerhetsarbetet förbättringsåtgärder inom informationssäkerhetsarbetet 7

3. Styrning av beho righet och a tkomst Behörighet och åtkomst till personuppgifter ska prövas med hjälp av en riskanalys. I riskanalysen beskrivs vilka funktioner, arbetsuppgifter och arbetsområde som finns inom den verksamhet där respektive system ska användas. Systemen görs iordning för att passa de behov som har tagits fram. Riskanalysen ska dokumenteras och godkännas av sektorns ledningsgrupp. Den ska förvaras hos IT-samordnare och registreras i diariet. I system med patientuppgifter enligt hälso- och sjukvårdslagen ska riskanalysen göras tillsammans med verksamhetschef enligt hälso- och sjukvårdslagen. Socialchef (systemägare) delegerar till ansvarig chef att besluta om individuell behörighet för åtkomst till personuppgifter i respektive system. Tilldelning av behörighet Grunden för behörighet och åtkomst till personuppgifter är att det finns ett professionellt behov och en relation i ärendet. Det är inte tillåtet att söka fram personuppgifter om vårdrelationen saknas. Systemförvaltare bör i första hand använda testpersoner för felsökning och andra arbetsuppgifter där personuppgifter krävs. Ansvarig chef ska meddela systemförvaltare om vilken behörighet användaren ska ha. I meddelandet ska finnas namn, personnummer och användarid. För personal som använder siths-kort ska även HSAid lämnas till systemförvaltare. När en person byter enhet ansvarar mottagande chef för att rätt behörighet tilldelas genom att meddela systemförvaltare. När en person byter enhet eller slutar ansvarar avslutande chef för att behörigheter avslutas genom att meddela systemförvaltare. Behörighet till system med personuppgifter avaktiveras vid ledigheter eller sjukdom längre än tre månader. Information om tilldelning av behörighet ska finnas på intranätet. ITsamordnare ansvarar för att den är aktuell. Sekretess Innanför en sekretess- eller tystnadspliktgräns gäller den inre sekretessen. Ansvarig chef ska informera personal om sekretessgränser när tilldelning av behörighet görs. E-post, kalender, sms och sociala medier ska inte användas för kommunikation av sekretessbelagda uppgifter. Se bilaga 2. Den kommunikation av personuppgifter som behövs görs i funktionen Mina meddelanden i Procapita. Dessutom används fax i viss utsträckning. 8

Olovlig åtkomst Olovlig åtkomst kan vara att någon tittar i en personakt eller patientjournal utan att ha någon aktuell vårdrelation. Även om man som personal kan få fram uppgifterna får man inte ta del av några uppgifter som man inte behöver för att utöva sitt arbete. Ett olovligt intrång och olovligt efterforskande i elektroniska informationssystem, till exempel i ett journalsystem eller en personakt kan vara straffbart enligt straffbestämmelsen om dataintrång. Straffbestämmelser kan bli tillämpliga då någon olovligen bereder sig tillgång till en uppgift och kan då dömas för dataintrång enligt 4 kap 9 c brottsbalken. Man kan dömas till böter eller fängelse i högst två år. Inom enheten gäller inre sekretess för ändamålen: Vård och behandling Administration, planering, uppföljning, utvärdering och tillsyn Dokumentation som följer lag Kvalitetssäkring Statistik Utbildning Ansvarig chef ska ordna så att personal får utbildning och information inom området informationssäkerhet. Systemförvaltare för respektive system ansvarar för att det finns aktuellt utbildningsmaterial och lathundar på intranätet. Varje personal ska oavsett system få en introduktion. Det är ansvarig chef som ser till att introduktion och utbildning planeras och genomförs. Inom varje enhet ska det finnas ett IT-ombud eller motsvarande som hjälper chefen med introduktion av nyanställda. 9

4. Kontroll av a tkomst till personuppgifter, loggkontroll Ansvarig chef ska göra en loggkontroll i alla system som behandlar personuppgifter. Lista över system där personuppgifter behandlas och vilka av dem som har loggfunktion finns i bilaga 3. Loggfunktionen innebär att det som en användare gör i systemet kan spåras. Det finns en historik som berättar vem, vad, när och var i systemen det har varit en händelse. Ansvarig chef som beslutar om behörighet ska också göra loggningsrutinen och granska loggen. Kontroll av logglista Ansvarig chef gör en sökning i systemet och granskar resultatet av sökningen. Viktigt att loggningen blir en rutin så att den sker regelbundet, till exempel första vecka varje månad. All personal ska loggas minst en gång per år. Ansvarig chef: Väljer ut en tolftedel av personalen varje månad och gör en sökning på dem. Kontrollerar alla inloggningar i respektive system som den valda personalen har gjort under två dagar den aktuella månaden. Väljer vid behov ut en brukare/klient/patient och gör loggkontroll av personal som sökt på den aktuella journalen eller personakten. Gör också en loggranskning om det finns misstanke om missbruk av behörighet till personakt eller journal. Det kan finnas skäl att göra en granskning av loggen för en speciellt sekretesskänslig person eller för en speciell vårdepisod. Dokumenterar att loggningen gjorts i ett speciellt granskningsprotokoll. Om granskningen inte visar något anmärkningsvärt ska den ändå dokumenteras. Granskningsprotokoll finns i bilaga 4. Skickar granskningsprotokollen till IT-samordnare vid varje årsskifte. Protokollen sparas i 10 år. Kontrollerar hela kedjan om någon inloggning verkar ologisk: Har aktuell personal med ärendet att göra? Kontaktar socialchef och personalkonsult vid misstänkt missbruk för fortsatt handläggning av ärendet. Kontaktar verksamhetschef för hälsooch sjukvård om det gäller hälso- och sjukvårdsjournal. 10

Hur ska logglistan tolkas? Vilka arbetsuppgifter har personen? Är det rimligt att personen har tittat i journal eller personakt. Finns ett namn med i loggen som användaren uppenbart har en annan relation till än vad som är nödvändigt för att ge en god och säker vård och omsorg. Till exempel anhörig, granne eller känd göteneprofil. Vilken tid på dygnet har personen varit inloggad? Handläggning och dokumentation vid misstänkt dataintrång Misstänkt dataintrång kan leda till arbetsrättslig åtgärd. Material till en utredning sparas på samma sätt som vid liknande utredningar i personalärenden. Spara allt material som behövs till utredningen, logglistor, arbetslistor och liknande. Vidare utredning ska säkerställa detaljnivå om i vilken omfattning åtkomst skett. Under hur lång tid har det pågått, vilken information handlar det om och annat som anses viktigt för utredningen. Berörd personal ska kontaktas och ges möjlighet att förklara skälen till aktuell loggförekomst. Inför ett sådant samtal ska medarbetaren informeras om möjligheten att ta med en facklig representant Vid samtalet bör följande frågor besvaras: o Varför har berörd personal sökt information om denna brukare/klient/patient? o Känner medarbetaren brukaren/klienten/patienten privat eller finns någon annan anknytning? o Vilken information har använts och till vad? o Av vilken anledning har medarbetaren valt att bryta mot den inre sekretessen och bestämmelserna i patientdatalagen? Vid bekräftad misstanke om dataintrång ska ansvarig chef även informera socialchef om förbättringar som behöver göras i informationssäkerheten och om en eventuell polisanmälan ska göras. Vid misstänkt dataintrång i hälso- och sjukvårdsjournal Kontakt ska alltid tas med verksamhetschef för hälso- och sjukvård. Om det saknas godtagbara skäl för åtkomst till uppgifterna ska verksamhetschefen för hälso- och sjukvård informera berörd patient. Den enskildes särskilda rättighet till loggar Patient kan med stöd av patientdatalagen begära att få ett utdrag ur loggen som visar om en åtkomst till uppgifter i den egna journalen var befogad. Loggen kan lämnas ut direkt till patienten utan att prövas på det sätt som görs vid utlämnande av journal. Utdrag från loggen kan lämnas av systemförvaltare. 11

Bilagor Bilaga 1 Information om behörighet och säkerhet för nya användare Du förbinder dig och är medveten om: att du registreras som användare i behörighetskontrollsystemet att dina terminalregistreringar loggas i datasystemet och kopplas till din användaridentitet att du skall logga ur eller låsa datorn när du lämnar din arbetsplats utan tillsyn att all internettrafik loggas Om lösenord: Betydelsen av att hålla ditt lösenord hemligt. Ingen annan får använda det. att efter tre misslyckade försök spärras kontot. Kontakta Service-Desk telefon: 0510-77 18 00 för att låsa upp kontot igen att lösenordet skall ändras efter 90 dagar, och att systemet kräver att du gör det lösenordet måste vara minst 8 tecken långt lösenordet måste innehålla 3 av följande 4 kriterier: o innehålla versaler A-Z o innehålla gemener a-z o innehålla siffror 0-9 o innehålla specialtecken, tex @ * % En rekommendation för att lättare komma ihåg ditt lösenord är att använda en textfras, exempelvis en sångfras, inattjagdromde?42 OBS! Använd inte exakt detta exempel. Om e-post: att skyndsamt öppna elektronisk post som inkommit på din individuella tjänstebrevlåda att överlämna de e-posthandlingar som är allmänna till registrator. att du i övrigt följer kommunens e-postpolicy. Om lagring av data: C: katalogen: Finns på den lokala PC:n, ingen backup sker om inte DU själv utför den. Säkerheten är obefintlig för känsliga uppgifter om obehörig person fysiskt kommer åt din PC vid exempelvis stöld. Mina dokument: Finns på filserver, backup tas dagligen, larmat och brandsäkert utrymme, ingen utom DU kan nå denna katalogen. P: katalogen: Finns på filserver, backup tas dagligen, larmat och brandsäkert utrymme, gemensamt utrymme för alla användare där du beroende på rättigheter har tillgång till dokument, exempelvis till dokument som är gemensamma för din förvaltning/kontor. 12

Bilaga 2. Regler för e-posthantering Götene kommuns regler för e-posthantering finns på intranätet. För att vi ska följa de lagar och bestämmelser som gäller vid e-posthantering samt för att ge våra medborgare och medarbetare god service har vi tagit fram regler för e- posthantering. De gäller alla som har en kommunal e-postadress. Av säkerhetsskäl ska e-post inte användas för att skicka sekretessbelagd information. Sekretessbelagda handlingar som inkommer via e-post ska diarieföras för att sedan omgående raderas från inkorgen. Samma regler gäller kalender, sms och sociala medier. Nedan kan du läsa en sammanfattning av våra e-postregler. Fem korta regler för hur vi hanterar e-post 1. Du är skyldig att öppna och läsa din e-post minst en gång per arbetsdag. Detta är ett lagkrav. 2. Alla e-postmeddelanden som innehåller en fråga eller ett ärende ska besvaras inom två arbetsdagar. Detta gäller även internt. Har du inte möjlighet att ge ett svar på frågan/ärendet inom två arbetsdagar ska avsändaren meddelas att dess förfrågan har mottagits, hur frågan kommer att behandlas och inom vilken tid denne kan förvänta sig ett svar. 3. E-postmeddelanden är allmänna handlingar. Du måste därför diarieföra inkommande och utgående e-post innan de raderas från din inkorg, undantaget de e-postmeddelanden som inte anses vara allmän handling. 4. Vid längre frånvaro, se till att en kollega bevakar, registrerar och besvarar din e-post och att du har lagt in ett autosvar som talar om var du är, när du är tillbaka i tjänst och hur din e-post hanteras under tiden. 5. Inkorgens register över inkomna e-postmeddelanden räknas som allmän handling. Det är därför viktigt att hålla god ordning i sin inkorg. Diarieför, sortera och radera e-postmeddelanden regelbundet, minst en gång i veckan 13

Bilaga 3. Lista över system, program och register i sektor Omsorg som behandlar personuppgifter Procapita VoO, loggfunktion finns Procapita IFO Nationell patientöversikt NPÖ, loggfunktion finns KLARA SVPL Pascal, loggfunktion saknas TCwebb Socialjour Kvalitetsregister: Senior alert BPSD Palliativregistret Svevac 14

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss