Beredningen för integritetsfrågor



Relevanta dokument
Informationssäkerhet i. Torsby kommun


Personal- och arbetsgivarutskottet

Beredningen för kommunikations- och varumärkesfrågor

Samtycke vid direktåtkomst till sammanhållen journalföring

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Kvalitetsregister & legala förutsättningar. Moa Malviker Wellermark, Jurist SKL, Landstingsjurist LiÖ

Samråd enligt 2 och 3 patientdataförordningen

Datum Svar på begäran om redogörelse om tekniska spärrar i hälso- och sjukvårdens IT-stöd i Region Skåne, ert dnr

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Datum Dnr Förslag till överenskommelse mellan Region Skåne och Spelberoendes förening i Malmö,

Datum Dnr Fortsatt utveckling av kliniska prövningar

Stockholms läns landsting 1 O)

Informationssäkerhetspolicy för Vetlanda kommun

Medicinsk service Division IT/MT IT/MT Samordning

Åklagarmyndighetens författningssamling

Tjänsteavtal för ehälsotjänst

Yttrande över betänkande - Nästa fas i e-hälsoarbetet SOU 2015:32 (Dnr: S2015/2282/FS)

IT-verksamheten, organisation och styrning

12 Riktlinjer om ansvarsförhållande medicintekniska produkter HSS140107

SYLF:s remissvar på: Guldgruvan i hälso- och sjukvården - Översyn av de nationella kvalitetsregistren Förslag till gemensam satsning

Invånarens direktåtkomst till journalinformation samt regelverk för detta

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

Redovisning av säkerhetsarbetet och säkerhetsläget i Västra Götalandsregionens verksamheter 2013

Datum Dnr Fortsatt utveckling av MAPCI och av mobilområdet i Skåne

REGEL FÖR HÄLSO OCH SJUKVÅRD I SÄRSKILT BOENDE OCH DAGLIG VERKSAMHET ENLIGT LSS. LEDNINGS- OCH YRKESANSVAR

Rätt information på rätt plats i rätt tid SOU 2014:23

Inkoppling av annan huvudman för användning av Region Skånes nätverk - RSnet

Patientsäkerhetsberättelse CityAkuten i Praktikertjänst AB

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

HSA Anslutningsavtal. HSA-policy

Personal- och arbetsgivarutskottet

Rikspolisstyrelsens författningssamling

IT-Systemförvaltningspolicy

Tillsyn enligt personuppgiftslagen (1998:204) hjälpmedelshanteringssystemet Sesam

Vårdproduktionsutskottet/ -beredningen

Meddelandeblad. Medicinskt ansvarig sjuksköterska och medicinskt ansvarig för rehabilitering

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

MAS Riktlinje för logghantering gällande hälso- och sjukvårdsjournaler

Metodstöd 2

Sammanhållen journalföring inom hälso- och sjukvård

Datum Dnr Gåva från ILA att användas för vetenskaplig medicinsk forskning främst avseende hjärt- och kärlsjukdomar

Datum Dnr Försäljning Orups sjukhusområde

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

RS-riktlinjer för Informationssäkerhet i Västra Götalandsregionen

Informationssäkerhet - Instruktion för förvaltning

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Patientsäkerhet ur ett läkarsekreterarperspektiv och patienten som en resurs i Patientsäkerhetsarbetet

Stockholms läns sjukvårdsområde som mottagare av somatisk specialistvård inom ramen för Framtidens hälso- och sjukvård

Patientsäkerhetsberättelse för vårdgivare

BESLUT. Vårdgivare och Kommunfullmäktige. - Region Skåne - Kommunfullmäktige, Eslövs Kommun

1(8) Kommunal hälso- och sjukvård. Styrdokument

Vervas kräver ISO och ISO av alla statliga myndigheter. Maylis Karlsson, Utvecklingsstrateg Verva

Projektdirektiv. Journal- och läkemedelstjänster. för invånare och vårdpersonal. Direktiv Projekt Journal- och läkemedelstjänster

PERSONUPPGIFTSBITRÄDESAVTAL. Detta personuppgiftsbiträdesavtal har träffats mellan följande parter.

Svensk författningssamling

Digital strategi för Strängnäs kommun

Leverantören förbinder sig att ta emot den kund som valt leverantören.

Patientsäkerhetsberättelse Hélène Stolt Psykoterapi & Ledarskap AB

Pascal. Tillämpningsanvisning Säkerhetsfunktioner i Pascal för NOD. Version 0.9

YTTRANDE. Datum Dnr Remiss. Betänkandet EU på hemmaplan (SOU 2016:10)

Beredningarna för medborgardialog

Patientsäkerhets-berättelse för Solklart Vård i Bjuv. Avser Vårdenhet, BVC och BMM.

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Ramverk för systemförvaltning

Revidering av policy och regler för informationssäkerhet i Stockholms stad

Statsbidrag för en kvalitetssäker och effektiv sjukskrivningsprocess Miljarden

Tandvårdsnämndens begäran om klargörande ägardirektiv

Policy för informationssäkerhet

Informationsteknologi (vårdgivare nivå C)

Organisation, ansvarsområden och roller

Grundläggande IT-strategi för Falkenbergs kommun Kommunledningskontoret IT-avdelningen

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

BESLUT. Datum Dnr Tillämpningsanvisningar om Rätt att ta del av patientuppgifter inom Region Skåne

Remiss av betänkandet Nationell strategi mot mäns våld mot kvinnor och hedersrelaterat våld och förtryck

Riktlinjer för medicintekniska produkter i elevhälsans medicinska insats, egenkontroll

Yttrande över slutbetänkande Rätt information på rätt plats i rätt tid, SOU 2014:23

Datum Dnr Senior Sport School - regional samordningsfunktion

Stockholm den 19 september 2012

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Datum Dnr Revidering av föreskrifter och riktlinjer för Region Skånes medelsförvaltning

Projektrapport om kommunaliseringen av hemsjukvården i Gävleborgs län

Kollektivtrafiknämnden

Medicin och juridik i samverkan

Anslutningsavtal avseende anslutning till nationell patientöversikt (NPÖ) version 1.1

Patientsäkerhetsberättelse. Ortopediska Huset

Datum Dnr Utökning av vårdplatser inom neonatalenheten på Helsingborgs Lasarett i samband med om- och nybyggnad

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut Landstinget i Uppsala län ska redovisa följande:

ISO I PRAKTIKEN

Nationell strategi för genomförande av kliniska prövningar och ickeinterventionsstudier

Datum Dnr Studentmedarbetare i Region Skåne. studentmedarbetarsystemet, Svenskt Näringsliv

Tolkningar och bedömningar av Egenkontrollförordningen

Fördjupning: Juridik vid införande av välfärdsteknik. Jeanna Thorslund, Jurist och Samordnare Informationssäkerhet, SKL Manólis Nymark, Jurist

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter vid rutinkontroll av förares innehav av taxiförarlegitimation

Naturvårdsverkets plan för tillsynsvägledning

Datum Dnr Fördelning av extra folkhälsomedel 2015

MISSIV. Datum Dnr Remiss. En ny alkohollag (2009:22)

Avtal mellan organisationerna:

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Transkript:

Beredningen för integritetsfrågor Martin X Svensson IT Arkitekt 0736-250609 Martin.X.Svensson@skane.se BESLUTSFÖRSLAG Datum 2012-10-31 Dnr 1202434 1 (3) Regionstyrelsen Aktiviteter för att öka tillgänglighet och säkerhet i Region Skånes datorsystem Ordförandens förslag Beredningen för integritetsfrågor föreslår regionstyrelsen följande 1) Uppdra åt regiondirektören att senast den 31 december 2013 ha utformat tillämpningsanvisningar och anvisningar för en ökad tillgänglighet och säkerhet i Region Skånes datorsystem. 2) Uppdra åt regiondirektören att senast den 31 december 2013 ha initierat aktiviteter för att uppfylla policys, riktlinjer, tillämpningsanvisningar och anvisningar i Region Skånes datorsystem enligt Bilaga 1. Sammanfattning För Region Skåne föreslås genomföra aktiviter inom policys, riktlinjer och tillämpningsanvisningar samt efterlevnad vars syfte är att ge en ökad tillgänglighet och säkerhet i Region Skånes datorsystem. Aktiviter föreslås genomföras inom följande område: Förtydliga IT-avdelningens ansvar och mandat avseende Region Skånes datorsystem och IT-infrastruktur Sammanställa information om Region Skånes datorsystem Utforma policys, riktlinjer och tillämpningsanvisningar avseende åtkomst, uppföljning och infrastrukturtjänster i Region Skåne Genomföra aktiviter för uppfyllnad av ovanstående Förtydligande av aktiviteter finns specificerat i Bilaga 1. Postadress: 291 89 Kristianstad Organisationsnummer: 23 21 00-0255 Besöksadress: J A Hedlunds väg Telefon (växel): 044-309 30 00 Fax: 044-309 32 98 Internet: www.skane.se

Datum 2012-10-31 Dnr 1202434 2 (3) Beskrivning av ärendet och skälen för förslaget Bakgrund Region Skåne har en komplex IT miljö där ansvaret är decentraliserat gällande information, funktion och utrustning. Region Skånes olika verksamheter samexisterar i samma infrastruktur men utan tydliga överenskomna regionala regelverk och krav. Åtgärder har redan initierats avseende socialstyrelsens beslut 2012-01-08 (Dnr. 9.3.2-26771/2011) med syfte att säkerställa bättra samverkan mellan den regionala IT-organisationen och sjukvårdsförvaltningarna lokala MTorganisationer avseende medicintekniska produkter som förvaltas av både IT- och MT-organisationerna. Nu har ytterligare aktiviteter identifierats, än de som planerats i enlighet med svar till socialstyrelsen, som krävs för att nå i mål med en förbättrad säkerhet och tillgänglighet i Region Skånes datorsystem. Med denna bakgrund har vi behov av att skapa en större följsamhet mot: a) Lagkrav Region Skåne har under ett antal år arbetet med att bättre följa Patientdatalagen (PDL) (SFS 2008:355), dock uppfyller majoriteten av våra system inte denna lag i dagsläget. Efter upprepade tillsyner från Socialstyrelsen och Datainspektionen är behovet stort att på ett strukturerat sätt kunna styra arbetet mot att uppnå en enhetlig informationssäker miljö, som även följer regelverk och krav Region Skånes beslutade Ledningssystem för informationssäkerhet SS- ISO/IEC 27001 och Riktlinjer för styrning av informationssäkerhet SS-ISO/IEC 27002. b) IT-säkerhet och förbättrad tillgänglighet Avbrott som skett i våra IT-system de senare åren, där virusutbrottet 2009-01-04 orsakade störst påverkan, har visat på behovet av att samtlig utrustning som är ansluten till Region Skånes datornätverk behöver ett tydligt ansvar. Utrustningen måste även följa Region Skånes regelverk innan den ansluts till Region Skånes datornätverk. För att kunna trygga en tillfredställande nivå av säkerhet och tillgänglighet måste det finnas ett gemensamt regelverk och en styrning av IT-säkerheten som omfattar alla informationsbehandlingsresurser (information, IT-system, tillämpningssystem, register, program, utrustning och samtliga användare) och all IT-utrustning i Region Skåne. Vi har ett behov av att ha gemensam information om alla informationsbehandlingsresurser och all IT-utrustning för att kunna erbjuda rätt säkerhet och för att kunna uppfylla patientdatalagen. Det skall tydligt framgå vilka system som innehåller patientinformation. Infrastrukturen för Region Skåne Beredningen för integritetsfrågor

Datum 2012-10-31 Dnr 1202434 3 (3) IT och Medicinsk teknik behöver även interagera och samexistera optimalt inom ramen för gällande lagstiftning och regionala policys. Utan fastställda regelverk och efterlevnad av dessa kommer vår IT-miljö även fortsättningsvis vara utsatt för samma riskexponering av IT-säkerhet och informationssäkerhet. Skäl för förslaget Att säkerställa Region Skånes invånare och patienters integritet i regionens IT-system genom en bättre kännedom om och ökad kontroll över IT-miljön och dess informationsbehandlingsresurser. Ekonomiska konsekvenser och finansiering Aktiviteter kring framarbetande av tillämpningsanvisningar och anvisningar samt sammanställning av information kan genomföras utan ekonomisk påverkan. Avvikelser kommer att registreras och separata medel kan komma att behövas för genomförandet av ett eventuellt åtgärdspaket. Juridisk bedömning Miljökonsekvenser Beslutsförlaget bedöms inte ha några särskilda miljökonsekvenser. Uppföljning Framarbetande och beslut av tillämpningsanvisningar och anvisningar samt sammanställning av information skall ha genomförts till 2013-12-31 och ska följas upp av IT-direktören. Arbete för åtgärder av identifierade avvikelser skall ha initierats under 2013 och rapporteras löpande till IT-direktören. Region Skåne Beredningen för integritetsfrågor

Koncernkontoret IT-avdelningen Martin Svensson 0736-250609 martin.x.svensson@skane.se BILAGA Datum 2012-10-31 1 (5) Bilaga 1 Aktiviteter för att öka tillgänglighet och säkerhet i Region Skånes datorsystem

Sida 2 av 5 Ansvar och mandat Region Skåne har ett ansvar mot invånare och patienter att deras information skyddas mot sekretessförlust, obehörigt utnyttjande, obehörig ändring, förvanskning samt vara spårbar när den finns i våra informationsbehandlingsresurser (information, IT system, tillämpningssystem, register, program, utrustning och samtliga användare) och IT utrustning. I det avseendet bidrar alla aspekter av IT säkerheten, från logiska nätverksstrukturer och ett bra skydd mot virus, till tydliga och rätt anpassade processer och system. Detta arbete och dess resultat behöver ge effekt på samtliga system som hanterar patientinformation och vi behöver få en kontroll av följsamheten av detta arbete. Sedan 2009 har ITavdelningen fått avsevärt bättre möjligheter till att etablera en sådan kontroll genom organisatoriska förändringar, etablerandet av nya processer samt teknisk utveckling av vår infrastruktur. IT avdelningen skall leda arbetet att etablera en IT säkerhetsorganisation vars uppgift skall vara att tillse god kontroll och att bidra till en kontinuerligt förbättrad IT säkerhet och att uppfylla krav ställda från Informationssäkerhet, i Region Skånes informationsbehandlingsresurser och IT utrustning. Sammanställning av information IT avdelningen ser en stor utmaning med att inte ha kännedom eller kunskap om alla system som innehåller patientinformation ur flera aspekter. Sett från lagar och regler som styr oss så är det ett krav för att kunna mäta vår uppfyllnad av bland annat patientdatalagen. Ur en arkitekturell vy behöver vi bättre kunskap om vad som är rätt nivå av IT säkerhet för olika informationsbehandlingsresurser, för att kunna erbjuda den bäst anpassade lösningen. IT avdelningen skall initiera och leda arbetet och tillsammans med medicinsk teknik identifiera och förteckna system som hanterar patientinformation. Resultatet av arbetet skall leda till information om ägare, tekniskt förvaltningsansvar, uppfyllnad av lagkrav, standarder samt Region Skånes policys, tillämpningsanvisningar och anvisningar för våra system. Avvikelser skall registreras och en åtgärdsplan skall utformas av ansvarig tjänsteförvaltare eller systemförvaltare. Målbilden är att Region Skånes CMDB skall användas som register tillsammans med systemrelationskartan.

Sida 3 av 5 Utformning av tillämpningsanvisningar och anvisningar Ett grundkrav på säkerhet i informationssystem är att informationen ska vara tillgänglig och skyddas mot sekretessförlust, obehörigt utnyttjande, obehörig ändring, förvanskning samt vara spårbar. Detta område spänner över hela tjänstekedjan, från brukare via IT stöd till servern i serverhallen, och säkerhetsaspekten är viktig i varje länk i kedjan. Fysisk åtkomst Fastställa krav på att endast i utsedda datorhallar skall system som hanterar patientuppgifter få förekomma. Fysisk åtkomst ges till personer efter behov. Spårbarhet för samtliga besök skall finnas i utsedda datorhallar. Nätverksåtkomst Under 2013 kommer Region Skånes datanätverk att delas upp i olika säkerhetszoner för att bättre kunna uppfylla verksamheternas krav. Beslutad tillämpningsanvisning för segmentering av RSnet gäller som underlag för 2013 års förändringar och framåt av RSnet IT avdelningen leder arbetet att tillsammans med medicinsk teknik, Region Service och övriga intressenter ta fram krav på anslutna enheter till de informationszoner som ger tillgång till patientinformation. Region Skånes ledningssystem för informationssäkerhet skall ligga till grund för dessa krav. Att besluta om regelverk för att varje ansluten dator eller enhet till RSnet skall behörighetskontrolleras innan nätverksåtkomst aktiveras. Endast datorer och utrustning som är hanterade och uppfyller Region Skånes krav skall ges åtkomst till system innehållandes patientuppgifter. Datorer eller utrustning som inte uppfyller de överenskomna kraven kommer placeras i en separat säkerhetszon för att skydda våra journalsystem och liknande patientkritiska system. Att kunna spåra åtkomsten från alla anslutna enheter och datorer Åtkomst mellan system I samband med att Region Skåne förnyar och vidareutvecklar våra system så ökar även informationsutbytet mellan dessa. IT avdelningen leder arbetet att ta fram en gemensam standard för utbyte av information. Standarden skall uppfylla Region Skånes krav på sekretess, tillgänglighet, riktighet/integritet och spårbarhet och skall gälla för samtliga uttag eller förändring av information i system innehållandes patientuppgifter.

Sida 4 av 5 Användares åtkomst till applikation Region Skåne har i dagsläget inte ett samlat regelverk som styr åtkomst eller autentiseringsform till våra informationssystem och IT stöd. IT avdelningen leder arbetet för en översyn av rutiner och anvisningar av autentiseringsformer, lösenord och gruppkonto, med avsikt att ha en (1) gemensam anvisning som styrande dokument. IT avdelningen initierar en kartläggning av olika informationssystems autentiseringsbehov för att stödja ovanstående rutiner och anvisningar. Åtkomst för underhåll Personer som underhåller våra IT system har som en naturlig del i sitt arbete en stor tillgång till information i våra system. Region Skåne har i dagsläget inte en samlad bild över denna åtkomst. Med bakgrund på mängden information som nås och vilken påverkan denna åtkomst kan få hos Region Skånes verksamheter behöver IT avdelningen Initiera en översyn av befintliga rutiner och anvisningar avseende lösenord Tillse att åtkomst för underhåll i patientsystem föregås av stark autentisering av samtlig personal Tillse att åtkomst för underhåll av informationssystem begränsas till att ske från avsedd säkerhetszon Etablera behörighetsstyrning för extern personal/leverantörer för att endast tillåta åtkomst till specificerade system och tidsperiod efter behov av Region Skåne Gemensamma krav på IT säkerhet Oavsett placering eller ansvarig så kan våra klienter, servrar och applikationer påverkar och påverkas av varandra, vi behöver därför ha gemensamma krav och lösningar på IT säkerheten i våra system oavsett om de hanteras av IT avdelningen, medicinsk teknik eller annan verksamhet. IT säkerheten skall vara anpassad efter den typ av information som behandlas samt vilken säkerhetszon den tillhör. IT avdelningen skall initiera och leda ett arbete med mål att ha beslutade krav för samtliga klienter, servrar, applikationer eller system avseende IT säkerhet och dess möjlighet att ansluta till andra system innehållandes patientinformation Att endast känd utrustning som uppfyller fastlagda policys och riktlinjer får anslutas till säkerhetszoner innehållande patientkritiska system

Sida 5 av 5 Uppföljning och efterlevnad Ett datorsystems uppfyllnad och efterlevnad av lagkrav, standarder och beslutade policys, regelverk krävs under datorsystemets totala livslängd. Dessa krav och policys kan även förändras vilket kan påverka datorsystemen. IT avdelningen leder arbete med att ta fram rutiner för att mäta och följa upp system innehållandes patientinformation avseende lagkrav, policys, riktlinjer, tillämpningsanvisningar och anvisningar för att säkerställa uppfyllnad.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss