Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

Relevanta dokument
Lokal informationssäkerhetspolicy

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå

Informationssäkerhet - Instruktion för förvaltning

Informationssäkerhet i. Torsby kommun

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Hantering av skyddade personuppgifter

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Stockholms läns landsting 1 O)

ISO I PRAKTIKEN

IT-verksamheten, organisation och styrning

Appendix 2 Lagrum, efterlevnad av rättsliga krav

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Migrationsverket

Svar över vidtagna åtgärder önskas före februari månads utgång 2009.

RS-riktlinjer för Informationssäkerhet i Västra Götalandsregionen

Informationssäkerhetspolicy för Vetlanda kommun

Ledningssystem för systematiskt kvalitetsarbete inom verksamheterna flykting och HVB

Rikspolisstyrelsens författningssamling

Kvalitetsregister & legala förutsättningar. Moa Malviker Wellermark, Jurist SKL, Landstingsjurist LiÖ

Policy för informationssäkerhet

Vetenskapsrådets informationssäkerhetspolicy

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

PERSONUPPGIFTSBITRÄDESAVTAL. Detta personuppgiftsbiträdesavtal har träffats mellan följande parter.

Patientdatalag (2008:355)

Kapitel 7 Hantering av tillgångar

Landstinget i Kalmar Län

Revidering av policy och regler för informationssäkerhet i Stockholms stad

Om studiedokumentation inom yrkeshögskolan

Svensk författningssamling

Syfte...1 Omfattning...1 Beskrivning...1

Rapport från kvalitetsuppföljning av Nytidas dagliga verksamhet Ullared

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter vid rutinkontroll av förares innehav av taxiförarlegitimation

Söderhamns kommun. Granskning av kommunens rutiner för att upprätthålla en god offentlighetsstruktur. Revisionsrapport

E-delegationen VLDS 4.1 Juridiska aspekter på digital samverkan v1.0

Granskningar avseende Upphandling och Personuppgiftslagen

Personuppgiftslagens övergångsbestämmelser upphör; personinformation på webbsidor; m.m.

Informationssäkerhetspolicy

STRÖMSTADS KOMMUN SÄKERHETSPOLICY. Antagen av Kommunfullmäktige

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Informationssäkerhetspolicy inom Stockholms läns landsting

Säkerhetsåtgärder vid kameraövervakning

IT-policy Scenkonst Västernorrland AB

PERSONUPPGIFTSLAG. Den fysiska person som, efter förordnande av den personuppgiftsansvarige,

Nämnden beslöt att begära skriftlig återföring i ärendet senast den 1 oktober 2014.

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Riktlinjer kring personalföreträdare i nämnder Dnr KS

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Barn och grundskolenämnden i Täbys behandling av personuppgifter i VKlass

POLICY FÖR DATA- OCH INFORMATIONSSÄKERHET VID BMC I LUND

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Personuppgiftsbiträdesavtal

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Regler för behandling av personuppgifter vid Högskolan Dalarna

Informationssäkerhetspolicy IT (0:0:0)

Tillsyn enligt personuppgiftslagen (1998:204) VA Syds personuppgiftsbehandling inom avfallshanteringsverksamheten

HANTERING AV ALLMÄNNA HANDLINGAR HOS MILJÖFÖRVALTNINGEN

Svensk författningssamling

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tjänsteavtal för ehälsotjänst

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Riktlinjer för systematiskt säkerhetsarbete och säkerhetsorganisation för Malung-Sälens kommun.

Patientsäkerhetsberättelse

Specifika auktorisationsvillkor

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Uppföljning Proffssystern i Stockholm AB

Kommunövergripande riktlinjer för säkerhet och krisberedskap i Östra Göinge kommun mandatperioden

Systematiskt arbetsmiljöarbete

Informationsteknologi (vårdgivare nivå C)

Riktlinjer och Instruktion för klagomålshantering

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Kapitel 8 Personalresurser och säkerhet

Riktlinjer för IT-säkerhet i Halmstads kommun

AVTAL för innovationsdeltagare

BILAGA 3 Tillitsramverk Version 0.8

Patientsäkerhet ur ett läkarsekreterarperspektiv och patienten som en resurs i Patientsäkerhetsarbetet

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Policy för hantering av personuppgifter

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Säkerhetsbrister i kundplacerad utrustning

Lagring i molnet. Dokumenthantering i högskolans Office365 ur ett offentlighetsperspektiv

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

Uppföljning av 2008 års granskning av informationssäkerheten hos Knivsta kommun KS-2011/787

SÖDERTÄLJE KOMMUN Utbildningskontoret

Granskning av bisysslor. Region Halland. Revisionsrapport. April 2011 Anita Andersson Rebecca Andersson Carl-Magnus Stensson

KOMMERSIELLA VILLKOR OCH UNDERLAG FÖR KONTRAKT

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Instruktion för valberedningen

Yttrande över slutbetänkande Rätt information på rätt plats i rätt tid, SOU 2014:23

2014 års patientsäkerhetsberättelse för Grönskogens äldreboende

HSA Anslutningsavtal. HSA-policy

POLISMYNDIGHETEN I IT-POLICY 1 (5) ÖSTERGÖTLANDS LÄN Förvaltningsavdelningen

Riktlinjer vid användning av e-post i

Allmänt reglemente för nämnderna i Malung-Sälens kommun

Kontroll av anställdas bisysslor

Tillsyn enligt personuppgiftslagen (1998:204) registrering av arbetsförmågebedömningar om anställda i rehabiliteringssystem

Borlänge kommun. Internkontroll KS Kontrollområde: Tydlig rubricering av ärenden, Nämndservice. Beslutad av kommunstyrelsen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Transkript:

Handläggare: Christina Hegefjärd 1 (1) PAN 2015-12-01 P 6 TJÄNSTEUTLÅTANDE 2015-12-01 PaN A1510-0031257 PaN A1510-0031157 PaN A1510-0031057 Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar Ärendet Landstingsstyrelsen och landstingsfullmäktige beslutade 2013 om landstingsövergripande riktlinjer för informationssäkerhet. I dessa föreskrivs att varje nämnd, styrelse och bolag ansvarar för att upprätta och införa ett lokalt ledningssystem för informationssäkerhet. Ledningssystemet säkrar det systematiska skyddet för informationssäkerheten inom nämndens verksamhetsområde. Förvaltningens synpunkter Föreliggande tre dokument är framtagna i enlighet med de övergripande och bildar tillsammans med lokala rutiner grunden i nämndens arbete med informationssäkerhet. Ansvariga för framtagandet är personuppgiftsombud Agneta Calleberg och informationssäkerhetssamordnare Christina Hegefjärd. Förslag till beslut Nämnden föreslås besluta att - anta lokal informationssäkerhetspolicy - anta lokala informationssäkerhetsriktlinjer - anta lokala informationssäkerhetsanvisningar Eva Ljung Förvaltningschef Bilagor 1/ Lokal informationssäkerhetspolicy 2/ Lokala informationssäkerhetsriktlinjer 3/ Lokala informationssäkerhetsanvisningar Patientnämndens förvaltning Box 17535, 118 91 Stockholm Telefon: 08-690 67 00 Fax: 08-690 67 18 E-post: registrator@pan.sll.se www.patientnamndenstockholm.se

PaN A1510-0031057 Lokal informationssäkerhetspolicy Patientnämnden och dess förvaltning är beroende av information i olika former för det dagliga arbetet avbrott i tillgång till information ger allvarliga konsekvenser för verksamheten. Alla i nämnd och förvaltning, även vikarier, konsulter och andra, har ett personligt ansvar att värna om informationssäkerhet. Det omfattar information i alla dess former, digital, skriftlig eller muntlig. De som kontaktar förvaltningen, anmälare, patienter, stödpersoner eller vården ska vara säkra på att den information de lämnar hanteras med tillräckligt skydd. Målet för informationssäkerheten är att: känslig information aldrig görs tillgänglig så att personlig integritet eller sekretess hotas (konfidentialitet) information säkras så att den inte går förlorad genom misstag, inverkan av obehörig eller pga tekniska fel (riktighet) information görs tillgänglig i förväntad utsträckning, inom önskad tid och på rätt plats(tillgänglighet) det alltid framgår som haft tillgång till informationen. Patientnämnden och dess förvaltning följer de lagkrav som finns på informationssäkerhet, i första hand personuppgiftslagen, sekretesslagen och tryckfrihetsförordningen. Riskbedömning av identifierade hot görs kontinuerligt och dessa hanteras med korrekta skyddsåtgärder. Informationssäkerhetsincidenter anmäls i förvaltningens avvikelsehantering och utgör grunden för ständiga förbättringar av hanteringen av information. Patientnämnden Telefon 08-690 67 00 E-post registrator@pan.sll.se Box 17535, 118 91 Stockholm Fax 08-690 67 18 www.patientnamndenstockholm.se

PaN A1510-0031257 Anvisningar för informationssäkerhet Bakgrund: Följande anvisningar grundas på Riktlinjer för informationssäkerhet inom Stockholms läns landsting och patientnämndens lokala riktlinjer. Skyddade personuppgifter Säkerheten är extra viktig då personuppgifter är skyddade. För information, se rutin Hantering av uppgifter om skyddad identitet, Rutiner/rutiner/allmänna rutiner/skyddad identitet. Förteckning över förvaltningen informationstillgångar: Förvaltningens informationstillgångar ska vara dokumenterade i en förteckning som uppdateras årligen av informationssäkerhetssamordnaren. Dessa tillgångar ska omfatta fysiska tillgångar (datorer, skrivare mm), programvara, informationstillgångar (databaser, datafiler och dokumentation), avtal, immateriella tillgångar (patent och varumärken) och nyckelpersoner. I denna förteckning framgår också hur tillgångarna klassificerats och de skyddsåtgärder som vidtagits utifrån klassificeringen. Se Förteckning över informationstillgångar. Eftersträvad skyddsnivå kontrolleras genom rutiner, stickprov och avvikelser. Riskhantering ska vara en kontinuerlig process och riskanalyser ska genomföras i samband med förändringar i verksamheten, processerna och informationssystemen eller motsvarande. De verksamhetskritiska systemen (se klassificering) ska granskas och årligen analyseras av systemägare och informationssäkerhetssamordnare. Analyserna ska kompletteras med en uppföljning av att systemen följer interna och juridiska krav i samråd med förvaltningsjuristen. Utbildning Landstingets grundläggande interaktiva utbildning i informationssäkerhet (DISA) ska genomföras av nyanställd tidigt i introduktionen och ska följas upp tillsammans med informationssäkerhetssamordnaren. DISA bör repeteras 1 g/år av alla anställda. Även tillfälligt anställda ska få utbildning och information. Roller, ansvarsfördelning och behörighet För aktuella behörigheter, se bilaga Förteckning över informationstillgångar. Det är förvaltningschefen som tilldelar behörighet utifrån arbetsuppgift och beslutet ska omprövas årligen. Det gäller både anställda och Patientnämnden Telefon 08-690 67 00 E-post registrator@pan.sll.se Box 17535, 118 91 Stockholm Fax 08-690 67 18 www.patientnamndenstockholm.se

konsulter. Systemägaren har utsett Gisela Rosenqvist (Hemsidan), Louise Skantze (Intranät och Hemsidan) och Lillemor Humlekil (Focus, Vårdsynpunkter, Stödpersoner och Administrativa ärenden) till systemförvaltare för förvaltningens egna informationssystem. De ska upprätta en systemförvaltningsplan i enlighet med de övergripande riktlinjerna. Planen ska uppdateras årligen och vid incident. Dessa planer ska innehålla noggrann information om: - system- drift- och användardokumentation, såsom källkod, programvara, kravspecifikation och ägarförhållande - säkerhetsfunktion - utvecklingsplan i förhållande till lagar och regler - gallringsplan - hantering av störningar och avvikelser - uppföljning och uppdatering (t ex säkerhetsuppdatering och ändringshantering). Se systemförvaltningsplaner för Panorama, Focus, Hemsidan och Vårdsynpunkter och Stödpersoner. Personal E-tjänstekort med pin-kod ska användas för att säkerställa behörigheten. Administratörsbehörigheter ska begränsas till ett fåtal personer som har personliga användaridentiteter. Lösenord, passerkort och e-tjänstekort ska tilldelas, dessa är personliga och får inte lånas ut. En sekretessbekräftelse ska undertecknas, se checklista vid nyanställning (Rutiner/introduktion/nyanställd personal). Vid avslutande av anställning görs på motsvarande sätt så att passerkort, e-tjänstekort och övrig utrustning återlämnas samt åtkomsträttigheter upphör, se checklista vid entledigande (Rutiner/rutiner/personalrutiner). Material som ägs av arbetsgivaren får inte kopieras eller tas med när anställning upphör. Material som ägs av arbetsgivaren är till exempel all information i Vårdsynpunkter och Stödpersoner. Bisysslor Anställda får inte ägna sig åt bisysslor som hindrar dem att vara opartiska i sin yrkesutövning. Information om landstingets regler för bisysslor finns att ta del av på landstingets intranät och i förvaltningens rutiner (se Rutiner/rutiner/personalrutiner). Information om riktlinjer för bisyssla ska ges vid nyanställning av personal och ska redovisas minst vartannat år. Sekretess I 25 kapitlet 4 offentlighets- och sekretesslagen anges: sekretess gäller i ärenden hos en nämnd med uppgift att bedriva patientnämndsverksamhet enligt lagen (1998:1656) om patientnämndsverksamhet för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte Patientnämnden Telefon 08-690 67 00 E-post registrator@pan.sll.se Box 17535, 118 91 Stockholm Fax 08-690 67 18 www.patientnamndenstockholm.se

står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Känslig information får inte diskuteras på allmän plats eller där det finns risk för att någon kan ta del av vad som sägs. Om någon röjer sekretessbelagda uppgifter och/eller tar del av information om en anmälare, stödperson eller patient utan giltigt skäl kan det betraktas som brott mot tystnadsplikten och/eller dataintrång. Detta kan polisanmälas och kan föranleda samtal med förvaltningschefen, skriftlig varning, uppsägning eller avsked. Bristande efterlevnad av gällande regler för informationssäkerhet och sekretess kan även vara misskötsel, vilket kan vara ett brott mot anställningsavtalet. Lagring i extern lagringstjänst I de fall information lagras i sk molntjänster ska det säkerställas genom t ex biträdesavtal att samma säkerhet som i förvaltningens system kan garanteras. Beslut om lagring fattas efter dokumenterad riskanalys. Incidenshantering Vid allvarliga incidenser t ex virusutbrott anmäls detta till landstingets itsupport och förvaltningschef beslutar i samråd med förvaltningens itansvarig om vilka åtgärder som bör vidtas för att begränsa skadan. Åtgärderna kan omfatta avstängning av datorer eller e-postkonton. Uppföljning Informationssäkerhetssamordnaren ska ansvara för att instruktioner efterföljs och att orsaker till avvikelser analyseras. Patientnämnden Telefon 08-690 67 00 E-post registrator@pan.sll.se Box 17535, 118 91 Stockholm Fax 08-690 67 18 www.patientnamndenstockholm.se

Informationsklass:K1R2T1 A1510-0031157 Lokala riktlinjer för informationssäkerhet patientnämnden Innehåll: Bakgrund Roller och ansvar Förteckning av informationstillgångar Riskbedömning och riskhantering Bevarande, rensning och gallring Kontinuitetsplan Intern informationsanvändning Extern informationsanvändning Nätverk Utveckling av system Krav Drift hos extern part Avvikelser Utbildning Uppföljning och övervakning

2 Bakgrund: Dessa lokala riktlinjer utgår från Riktlinjer för informationssäkerhet inom Stockholms läns landsting som antogs av landstingsstyrelsen 2011 och reviderades 2013. Vad är informationssäkerhet? Informationssäkerhet innebär skydd av information mot olika slags hot. Informationssäkerhet delas upp i administrativ och teknisk säkerhet. Den administrativa säkerheten omfattar utbildning, regler (t ex tydliga rutiner och kända riktlinjer), roller (rollfördelning, behörigheter, ansvarsfördelning) och uppföljning. Teknisk säkerhet omfattar fysisk säkerhet (t ex förvaringssätt, passerkort, sekretess och besöksrutiner) och it-säkerhet som innefattar datasäkerhet och kommunikationssäkerhet (omfattar lösenord, virusskydd, back up-system, skärmsläckare mm.) Alla i nämnd och förvaltning har ett personligt ansvar att värna om informationssäkerheten. Informationssäkerhetsarbete innebär att skydda följande säkerhetsaspekter: - konfidentialiteten d.v.s. information får inte göras tillgänglig eller avslöjas på ett sådant sätt att den personliga integriteten eller sekretessen hotas. - riktigheten d.v.s. information får inte förändras eller gå förlorad, av misstag, genom inverkan av obehörig eller på grund av tekniskt fel. - tillgängligheten d.v.s. information ska kunna användas i förväntad utsträckning, inom önskad tid och på rätt plats. - det är också viktigt att spårbarhet finns, det ska framgå vem som hanterat informationen. Roller och ansvar i verksamheten Patientnämnden Patientnämnden är personuppgiftsansvarig och ytterst ansvarig för informationssäkerheten i nämnd och förvaltning. Nämnden ska anta lokal policy och lokala riktlinjer för informationssäkerheten. Nämnden är ansvarig för att det årligen tas fram en plan för kommande års säkerhetsarbete, att det avsätts medel och att föregående års arbete följs upp. Nämnden ska utse personuppgiftsombud. Patientnämnden är ansvarig för att de krav som landstinget ställer på inköp, underhåll och utveckling följs. Nämnden ska löpande följa upp informationssäkerheten Patientnämnden Telefon 08-690 67 14 E-post: registrator@pan.sll.se Box 17535, 118 91 Stockholm Fax 08-690 67 18 www.pan.sll.se

3 och i övrigt vidta de åtgärder som krävs för att uppnå och upprätthålla tillräcklig intern kontroll. Förvaltningschef Förvaltningschefen är informations- och systemägare hos patientnämndens förvaltning. Informations- och systemägaren bevakar alla delar av säkerheten för de informationstillgångar och it-system som identifierats, t ex extern hemsida, databaser, skriftlig dokumentation, datorer mm. Förvaltningschefen ska utforma och kommunicera instruktioner/anvisningar för informationssäkerhet, följa upp hur de efterlevs, tillsätta tillräckliga resurser för informationssäkerheten och årligen rapportera status på informationssäkerheten till nämnden. Informationsägaren ska fatta beslut om användares åtkomsträttigheter så att behörighet ges beroende på arbetsuppgifter. Uppföljning av behörighetstilldelningen ska göras årligen. Systemägaren ska besluta om införande, utveckling och avveckling av itsystem och ska vid behov utse systemförvaltare. Förvaltningschefen ansvarar för att loggning sker på de verksamhetskritiska it-systemen. Behovet av skyddsåtgärder ska omprövas regelbundet. För att säkerställa verksamheten vid driftstörningar ska det finnas en kontinuitetsplan framtagen, förvaltningschefen ansvarar för att den uppdateras årligen eller efter incidenter. Dessutom ansvarar förvaltningschefen för att det utses en övergripande krisorganisation som ska ansvara för att få verksamheten att återgå till ett normalläge efter katastrofsituationer, störningar och oplanerade avbrott. Förvaltningschefen ansvarar för att en förteckning förs över alla viktiga informationstillgångar. Informationstillgångarna ska klassificeras (gällande konfidentialitet, tillgänglighet och riktighet) och informationssäkerhetsamordnaren ska föreslå en rutin för detta som förvaltningschefen fastställer. Dyrbar utrustning ska stöldmärkas. Förvaltningschefen ska utse informationssäkerhetssamordnare. Personuppgiftsombud Personuppgiftsombudet ska se till att personuppgifter behandlas korrekt och lagligt. Personuppgiftsombudet ska sammanställa en förteckning över vilka personuppgiftsregister som finns. Förteckningen ska arkiveras, men en kopia av förteckningen ska finnas tillgänglig i förvaltningens lokaler. Personuppgiftsombudet ska anmäla till Datainspektionen om missförhållanden uppdagas och inte åtgärdas efter att förvaltningschefen har blivit informerad om dessa missförhållanden. Behandling av personuppgifter ska anmälas till personuppgiftsombudet. Personuppgiftsombudet ska tillse att personuppgiftsbiträdesavtal upprättas i de fall extern part hanterar personuppgifter. Patientnämnden Telefon 08-690 67 14 E-post: registrator@pan.sll.se Box 17535, 118 91 Stockholm Fax 08-690 67 18 www.pan.sll.se

4 Informationssäkerhetssamordnare Informationssäkerhetssamordnaren ska regelbundet granska informationssäkerheten och analysera hur systemen förhåller sig till författningar, informationssäkerhetsriktlinjerna inom landstinget och förvaltningens instruktioner/anvisningar. Informationssäkerhetssamordnaren ska ansvara för den lokala efterlevnaden av rutiner och instruktioner/anvisningar. Informationssäkerhetssamordnaren ska sprida kunskap om regler, genomföra riskanalyser och kontrollera efterlevnaden i form av loggar i datasystemen och då särskilt Vårdsynpunkter och Stödpersoner. Informationssäkerhetssamordnaren ska vara kontaktperson mot landstingets informationssäkerhetschef och vara representant i landstingets informationssäkerhetsråd. Årligen ska informationssäkerhetssamordnaren rapportera granskningar, skyddsåtgärder, riskanalyser och förbättringsåtgärder till förvaltningschefen och till informationssäkerhetschefen i landstinget. Informationssäkerhetssamordnaren ska skriva förslag på tillämpningsanvisningar gällande informationssäkerhet och utforma förslag till handlinsplan för informationssäkerhet. Informationssäkerhetsasamordnaren ska regelbundet ompröva vilka skyddsåtgärder som måste vidtas tillsammans med förvaltningschefen. Informationssäkerhetssamordnaren föreslår rutiner för klassificering av informationstillgångar. Rutinerna fastställs av förvaltningschefen. Systemförvaltare Förvaltningschefen ska vid behov utse systemförvaltare över förvaltningens informationssystem. Systemförvaltare ska upprätta systemförvaltningsplaner. Dessa ska omfatta rutiner för införande, förvaltning och avveckling av systemen och ska uppdateras årligen eller efter incidenter. Personuppgiftsbiträde När extern part hanterar personuppgifter ska avtal om personuppgiftsbiträde enligt personuppgiftslagen skrivas. Personal Rutiner ska finnas för att säkra informationssäkerheten i samband med rekrytering, nyanställning och avslutande av anställning. Riktlinjer om bisysslor ska finnas lätt tillgängliga. Patientnämnden är ansvarig för behandling av personalens personuppgifter. Personalen ska följa patientnämndens sekretess som regleras i 25 kapitlet 4 offentlighets och sekretsslagen (2009:400). Det gäller även konsulter om de deltar i verksamheten på samma sätt som övrig personal. Övriga personers tystnadsplikt ska regleras i avtal (städare, tolk och posthantering t ex). Patientnämnden Telefon 08-690 67 14 E-post: registrator@pan.sll.se Box 17535, 118 91 Stockholm Fax 08-690 67 18 www.pan.sll.se

5 Förteckning av tillgångar och klassificering Årligen ska informationsägaren fastställa en förteckning över viktiga tillgångar som omfattar programvaror, databaser, skriftlig information, fysiska och immateriella tillgångar, nyckelpersoner samt avtal. Tillgångarna ska klassificeras dvs. tillgångens betydelse tydliggörs och det är utifrån denna klassifikation som riskanalyser görs. Landstingets modell för klassificering ska användas och säkerhetsaspekterna konfidentialitet, tillgänglighet och riktighet ska bedömas. Bedömd skada graderas enligt nivå 1 = försumbar skada, nivå 2 = medelsvår, nivå 3 = allvarlig skada. Riskbedömning och riskhantering Riskbedömning ska genomföras för de viktigaste informationssäkerhetsaspekterna och ska dokumenteras i förvaltningens plan för intern kontroll. Bedömningen görs i enlighet med landstingets gällande vägledning och ska grundas på den klassificering av informationstillgångar som genomförs årligen och ska resultera i lämpliga skyddsåtgärder. Skyddsåtgärderna ska grundas på identifierade risker. Grundregeln är att information inte ska lämnas oskyddad. Bevarande, rensning och gallring Skriftlig dokumentation (även e-post) ska bevaras och gallras i enlighet med gällande regelverk, bl a arkivlagen (1990:782) och Landstingsarkivets föreskrifter. Kontinuitetsplanering God kontinuitet som möjliggör att verksamheten upprätthålls även vid oplanerade avbrott och störningar ska planeras. Förvaltningen ska ha en uppdaterad plan för kontinuitetsplanering där även informationssäkerheten inräknas. Intern informationsanvändning Personlig användning av landstingets it-system och utrustning ska regleras i lokala rutiner/anvisningar framtagna av informationssäkerhetssamordnare i samverkan med it-ansvarig. Privat användning är tillåten i begränsad omfattning. Stark autentisering med e-tjänstekort används. Extern informationsanvändning Stark autentisering ska användas när extern informationsanvändare ges tillgång till förvaltningsinformation som är klassad K3. Patientnämnden Telefon 08-690 67 14 E-post: registrator@pan.sll.se Box 17535, 118 91 Stockholm Fax 08-690 67 18 www.pan.sll.se

Nätverk Vad gäller design, konfiguration och användning av trådlösa nätverk ska patientnämnden följa de regler som Stockholms läns landsting beslutar. Anskaffning och utveckling av system När system anskaffas eller utvecklas ska det föregås av en analys av hur systemet förhåller sig till lagar och regler som styr nämnden och dess förvaltning. Legala och externa krav: Patientnämnden och dess förvaltning måste följa legala och externa krav som gäller för att kunna leva upp till god informationssäkerhet. De författningar som påverkar arbetet med informationssäkerhetsarbetet är bland annat: Tryckfrihetsförordningen och då särskilt 2 kapitlet om allmänna handlingars offentlighet och 4-6 kapitlena Offentlighets- och sekretesslagen (2009:400) och då särskilt 4-6 kapitlena om registrering och utlämnande av allmänna handlingar samt patientnämndens och hälso- och sjukvårdens sekretess i 25 kapitlet Arkivlagen (1990:782) Personuppgiftslagen (1998:204) Brottsbalken och då särskilt vad gäller dataintrång och brott mot tystnadsplikt Lag (1998:112) om ansvar för elektroniska anslagstavlor Lag (2000:832) om kvalificerade elektroniska signaturer Kommunallagen (1991:900) Förvaltningslagen (1986:223) Lag (2007:1091) om offentlig upphandling Lag om kommunal redovisning (1997:614) Lag (1960:729) om upphovsrätt till litterära och konstnärliga verk Patentlagen (1967:837) Lag (1949:345) om rätten till arbetstagares uppfinningar Lag (1998:1656) om patientnämndsverksamhet m.m. Lag (1991:1128) om psykiatrisk tvångsvård vad gäller stödpersoner Lag (1991:1129) om rättspsykiatrisk vård vad gäller stödpersoner Smittskyddslagen (2004:168) vad gäller stödpersoner Säkerhetsskyddslagen (1996:627) (Vid frågor kontakta säkerhetsskyddschefen som finns inom Landstingsstyrelsens förvaltning) Lag (2002:833) om extraordinära händelser i fredstid hos kommuner och landsting Lag (1988:91) om förfarandet hos kommunerna, förvaltningsmyndigheterna och domstolarna under krig eller krigsfara Till ovan nämnda lagar kan det finnas förordningar och föreskrifter som är tillämpliga. 6 Patientnämnden Telefon 08-690 67 14 E-post: registrator@pan.sll.se Box 17535, 118 91 Stockholm Fax 08-690 67 18 www.pan.sll.se

7 Drift hos extern part Samma regler som gäller informationssäkerheten på förvaltningen ska gälla då förvaltningen köper externa it-tjänster eller förlägger drift av itsystem externt. Förvaltningen ska beredas möjlighet att revidera informationssäkerheten. Krav på informationssäkerheten ska regleras i avtal och i de fall extern part hanterar personuppgifter ska personuppgiftsbiträdesavtal upprättas. Ingen känslig information (K2 eller K3) ska lagras i molntjänster utan noggrann riskanalys. I de fall personuppgifter lagras är patientnämnden personuppgiftsansvarig och reglerna i personuppgiftslagen ska följas. Avvikelser Incidenter och avvikelser ska skrivas i förvaltningens avvikelsesystem. Det är informationssäkerhetssamordnaren som ska ansvara för att avvikelser analyseras och åtgärdas. Utbildning Alla anställda ska få utbildning i informationssäkerhet. Utbildningen bör följas upp årligen. Uppföljning och övervakning Genomförda riskanalyser, avvikelser och utvärdering av skyddsåtgärder ska användas i uppföljning av informationssäkerheten. Omvärldsanalysen ska bl a omfatta it-utveckling, ny eller förändrad lagstiftning, standarder, marknadskrav och utveckling av teknik. Patientnämnden Telefon 08-690 67 14 E-post: registrator@pan.sll.se Box 17535, 118 91 Stockholm Fax 08-690 67 18 www.pan.sll.se

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss