Nationella auditeringskrav för organisationer inom hälso- och sjukvården (berör elektroniska recepts funktionalitet)

Relevanta dokument
Avtal om anslutning till och användning av Kanta-tjänsterna

Dataskyddsenkät /2018. Kanta-tjänster Dataombudsmannens byrå Institutet för hälsa och välfärd

Dataskyddsförfrågan 2017

Dataskyddsförfrågan 2017

Datasekretessbeskrivning Receptarkivet

Datasekretessbeskrivning Informationshanteringstjänsten

ALLMÄNNA LEVERANSVILLKOR FÖR KANTA-TJÄNSTERNA Bilaga 3

Användningsvillkor för Kelain-tjänsten

CERTIFIERING AV KANTA-FÖRMEDLINGSSERVICE SAMT KANTA-FÖRMEDLARE

Kanta-tjänsterna. Medborgarinfo 2018

Datasäkerhetspolicy för verksamhetsenheter inom social- och hälsovården

Anvisningen träder i kraft genast och gäller tills vidare

Användningsvillkor Datalagret för egna uppgifter på mina Kanta-sidor

Utfrågning om dataskydds- och datasäkerhetsärenden i socialvården 2011

Datasekretessbeskrivning Receptcentret

Innehåll. Versionshistoria. Version Datum Uppgjord av Godkänd av Ändringar Maija Pylkkänen, Ledningsgruppen Första versionen

Hur ansluter man sig till Kanta-tjänsterna. Anvisning för aktörer som inför tjänster

AGERANDE VID STÖRNINGAR I KANTA-TJÄNSTERNA

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Kommunikationsverkets 1 anvisningar om bedömning av överensstämmelsen hos en identifieringstjänst 2019

REDOGÖRELSE FÖR SKYDDET AV UPPGIFTER

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Organisationsförändringar inom den privata hälso- och sjukvården Esityksen nimi / Tekijä

KOMMUNIKATIONSVERKETS REKOMMENDATION OM REGISTRERING AV UPPGIFTER OM BEHANDLINGEN AV IDENTIFIERINGSUPPGIFTER

Utöver de allmänna leveransvillkoren för Kanta-tjänsterna följs denna tjänstebeskrivning vid leverans och användning av Recept-tjänsten.

VEM ANSLUTER SIG TILL KANTA-TJÄNSTERNA Vem ansluter sig till Kanta-tjänsterna. Anvisning för aktörer som ansluter sig till Kanta

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Personuppgiftsbiträdesavtal

Tjänsten Patientdataarkivet

Hantera nya ENKLA GRUNDER I DATASKYDD. dataskyddsförordningen MAJ. Den nya dataskyddsförordningen träder i kraft.

Myndigheten för samhällsskydd och beredskaps författningssamling

Kelain webbrecepttjänst för läkare och tandläkare. Verksamhetsmodeller för det elektroniska receptet

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

ANVÄNDNINGSPOLICY FÖR ELEKTRONISK POST VID ÅBO AKADEMI

Allmänna leveransvillkor för Kanta-tjänsterna. FPA, Kanta-tjänsterna

Gäller från och med: Krav på informationssäkerhet: Målgrupp för kravet: Sätt att verifiera kravet

vid Geritrim vård- och rehabiliteringsenhet

Folkpensionsanstalten

Såhär fyller du i ansökan om anslutning och uppdaterar du dina kunduppgifter

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Föreskrift om intyg och utlåtanden som ska utlämnas till aktörer utanför hälso- och sjukvården med hjälp av riksomfattande informationssystemtjänster

Föreskrift om väsentliga krav på funktionalitet hos informationssystem för socialoch hälsovården

Elektronisk recept på Terveystalo

2. Den dataskyddsansvariges kontaktuppgifter Heljä-Tuulia Pihamaa,

Förändringssituationer i organisationen. FPA, Kanta-tjänster

Esbo stad Informationssäkerhetspolicy

GDPR dataskydd. vid Alandica Kultur & Kongress. (för personal, kunder och samarbetspartners)

Pensionsskyddscentralens dataskyddspolicy

Sentrion och GDPR Information och rekommendationer

EU:s allmänna dataskyddsförordning

GDPR. General Data Protection Regulation

BILAGA OM BEHANDLINGEN AV PERSONUPPGIFTER

Riktlinjer för dataskydd

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Datum: Version: Författare: Christina Danielsson Senast ändrad:

Så här använder du erecept

POLICY FÖR DATA- OCH INFORMATIONSSÄKERHET VID BMC I LUND

SÄKERHETSBILAGA FÖR TJÄNSTEPRODUCENTER

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

När vi behandlar dina personuppgifter gör vi det alltid med största omsorg och i enlighet med gällande lagar och regler.

Effektgruppen AB ( ) med adress Trafikgatan 52, Sundsvall/ Sverige bedriver verksamhet i huvudsak Sverige och inom EU/EES.

Juridik och informationssäkerhet

Såhär fyller du i ansökan om anslutning och uppdaterar du dina kunduppgifter

Patientdata samlas i ett nationellt dataarkiv

Dataskyddsmeddelande för kommunikation och evenemang vid Aalto-universitetet

ÄNDRINGAR I DET ELEKTRONISKA RECEPTET OCH PRECISERING AV VERKSAMHETSMODELLEN FR.O.M

EU:s allmänna dataskyddsförordning

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser

INTEGRITETSPOLICY ID06

Kriterier för pilotförsöken med valfrihet

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Stockforsa Invest Koncern med dotterföretag, Policy för behandling av personuppgifter

DATASKYDDSBESKRIVNING Personuppgiftslagen (523/99) 10 och 24

Fortnox Finans Integritetspolicy

Integritet och behandling av personuppgifter

POLICY FÖR PERSONUPPGIFTSHANTERING uppdaterad:

Personuppgiftspolicy. Dokument: Personuppgiftspolicy för Åda Ab Version: 1.0 Fastställd av Åda Ab:s styrelse Version datum:

EU:s allmänna dataskyddsförordning

VASA STAD DATASÄKERHETSPOLICY

Dataskyddsbeskrivning över Työplus Oy:s klientuppgifter

Riktlinjer för informationssäkerhet

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Policy för behandling av personuppgifter

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Recept Patientdataarkivet. Kanta-tjänster för stora och små, gamla och unga

Mina Kanta-sidor och Patientdataarkivet

Vad är en personuppgift och behandling av personuppgifter?

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Så här använder du det elektroniska receptet

Integritetspolicy. Aktiva i Södermalmskyrkan

Integritetspolicy och samtycke

Reglerna för e-post i korthet

Föreskrift 1/ (9)

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Kombinerad registerbeskrivning enligt 10 och informationsblankett enligt 24 i personuppgiftslagen

GDPR Presentation Agenda

Transkript:

Nationella auditeringskrav för organisationer inom hälso- och sjukvården (berör elektroniska recepts funktionalitet) Krav som gäller verksamheten # Kriterium/kontrollmål Krav/control Kontroll av överensstämmelse/auditering Anmärkning Organisatoriska krav 1 Internt beslut om anslutning Det har inom organisationen fattats ett administrativt beslut om att organisationen ansluter sig till ereceptcentralen och KanTatjänsten. 2 Auditerat system Organisationen använder ett auditerat system som är färdigt för erecept och parametrerat i enlighet med erecept-kraven. 3 Informationssäkerhetspolicy Organisationen har utarbetat och infört en datasäkerhetspolicy 4 Utsett dataskyddsansvarig En dataskyddsansvarig har utnämnts för organisationen och hans/hennes befattningsbeskrivning har definierats. Kontrolleras att organisationen har fattat ett internt administrativt beslut om att ansluta sig till Receptcentralen och KanTa-tjänsten. T.ex. ett åtagande att inleda ett projekt för införing av systemen om vilket hälsonämnden informeras. Kontrolleras att organisationen har i bruk ett system som genomgått auditering. Kontrolleras att organisationen har en gällande and tidsenlig datasäkerhetspolicy. Ur policyn skall framgå bl.a. hur policyn kontrolleras och utvecklas samt hur ansvarförhållanden och organiseringen av datasäkerheten har definierats i policyn så att de möter organisationens målsättningar och uppfyller de nationella kraven. Det kontrolleras att en dataskyddsansvarig har utnämnts för organisationen och hans/hennes befattningsbeskrivning har definierats. Nationella auditeringskrav för organisationer inom hälso- och sjukvården 1

# Kriterium/kontrollmål Krav/control Kontroll av överensstämmelse/auditering Anmärkning Rev 1.0 9.9.2010 5 Anvisningar om behandling av patientuppgifter Organisationen har tagit i bruk skriftliga anvisningar för personalen om behandlingen av patientuppgifterna och har ansvarat för personalens utbildning och kunnande beträffande hantering av patientuppgifter. Det kontrolleras att organisationen har tagit i bruk skriftliga anvisningar för personalen om behandling av patientuppgifterna och sett till att personalen erhållit utbildning och kompetens för att hantera patientuppgifter. 6 Personalutbildning Organisationen har utbildad personalen i införandet av den nya erecept - verksamhetsmodellen till den del som modellen tas i bruk vid verksamhetsenheten. Det kontrolleras att organisationen har utbildad personalen i införandet av den nya verksamhetsmodellen (t.ex. förnyande av recept, samtyckeförfaranden). 7 Övervakning av dataskyddet Organisationen har utarbetat en uppföljnings- och övervakningsplan för dataskyddet eller tagit i bruk den av FPA utarbetad anvisning om dataskydd. Utbildningen kan ha baserats på t.ex. de detaljerade verksamhetsmodeller som finns i den nationella anvisningen: "ereseptin toimintamallit". Det kontrolleras att organisationen har en uppföljnings- och övervakningsplan för dataskyddet i enlighet med FPA:s anvisning (Reseptikeskuksen tietojen käsittelyn seuranta ja valvontaohje terveydenhuollossa ja apteekeissa). Planen behandlar t.ex. på vilket sätt man regelbundet uppföljer användningen av personuppgifter och på vilket sätt man ska agera om missbruk förekommer. Nationella auditeringskrav för organisationer inom hälso- och sjukvården 2

# Kriterium/kontrollmål Krav/control Kontroll av överensstämmelse/auditering Anmärkning Rev 1.0 9.9.2010 8 Verksamhetsenheternas och yrkesutövarnas ansvar vid privata läkarstationer Organisationen har en verksamhetsmodell för inbördes ansvarsfördelning mellan de egna verksamhetsenheter och eventuella externa yrkesutövare som använder organisationens system. När en privat läkarstation ansluter sig till erecept ska man dessutom skriftligt avtala om verksamhetsmodellen, dvs. om hur verksamhetsenheter eller yrkesutövare som eventuellt använder systemen ansluter sig till dem och om det finns avtal om inbördes ansvar mellan läkarstationen och personer som är verksamma där. Nationella auditeringskrav för organisationer inom hälso- och sjukvården 3

Tekniska krav 9 Avtal och lagstiftning gällande meddelandeförmedling 10 Teleförbindelser och samarbete med teleoperatörer Krav- och ansvarsdefinitioner gällande dataskydd vid meddelandeförmedling/telekommunikation ska vara en del av avtalet mellan organisationen och operatören för kommunikationstjänster. Om meddelandeförmedlingen/telekommunikationen har utlokaliserats till ett utländskt företag ska den följa lagstiftningen i Finland. Om underleverantören eller utföraren av meddelandeförmedling /telekommunikation är ett dotterbolag till ett amerikanskt bolag ska det säkerställas att det inte skapas någon möjlighet för myndigheterna i Förenta Staterna att få tillgång till kommunikationen och uppgifterna om den. Dataskyddet för de teleförbindelser som används ska vara förverkligat på ett sätt som motsvarar datasäkerhetspolicyn inom organisationen och uppfyller de krav som ställs i organisationens egen datasäkerhetspolicy, i den av FPA utarbetad anvisning om informationssäkerhet i KanTateleförbindelser och i de här kriterierna. Genomförandet av detta ska också säkerställas genom avtal. Ur avtalen skall framgå vilka åtgärder parterna vidtar om det uppstår brister, problem eller risk i informationssäkerheten. Granskas att i avtalen mellan organisationerna har beaktats de krav som berör konfidentiell kommunikation (de krav som avser detta auditeringspappers kryptering av datatrafik och konfidentialitet) och i ulokaliseringsfall den lagstiftning som bör följas. Avseende Förenta Staterna kan kravet i praktiken genomföras endast genom att på ett pålitligt sätt kryptera all information som eventuellt överförs till systemen. Kontrolleras att avtal om teleförbindelserna beaktar de krav som ställs i datasäkerhetspolicyn och de krav som detta auditeringsdokument kräver. 11 Krypteringsnycklarna Systemen i organisationen ska stöda kontroll av Dokumentering i samband med förvaltning Nationella auditeringskrav för organisationer inom hälso- och sjukvården 4

används endast av därtill berättigade aktörer 12 Kontroll av behörigheter (beslut om att ge en användare rättigheter i fråga om elektroniska recept samt kontroll av rättigheter och begränsningar) 13 Fördelning och kontroll av behörigheter krypteringsnycklar och certifikat i enlighet med god praxis. Kontrollen ska omfatta a) Skapande (eller överföring till systemet) av nycklar/certifikat b) Lagring av nycklar/certifikat c) Användning av nycklar/certifikat d) Förstöring/arkivering/borttagning av nycklar/certifikat Ett informationssystem inom hälso- och sjukvården ska administrera användarnas behörigheter att använda erecept-relaterade funktioner och uppgifterna i receptcentret, eller dessa krav ska genomföras genom ett externt system, såsom systemet för administrering av behörigheter (IAM). Det ska föras bok/logg över behörigheterna och ändringarna i dem. En verksamhetsenhet för hälso- och sjukvård ska för sin del följa och övervaka att uppgifterna i receptcentret kan läsas och behandlas endast av behöriga personer. Systemen hindrar icke-behörig användning då det är tekniskt möjligt. Organisationens anvisningar och verksamhetssätt handleder till rätt handling och behandling. Beviljandet av behörigheter och processerna för administreringen av behörigheter ska grundas på rollbaserade behörigheter. Avvikelser i rollbaserade behörigheter ska godkännas och dokumenteras på ett korrekt sätt. De personer/roller som har rätt att godkänna behörighetsbegäran ska dokumenteras. av krypteringsnycklar: det kontrolleras att punkterna a d förverkligas. Det kontrolleras att det finns elektronisk eller annan bokföring som kan användas för att bevisa ansökta, godkända, implementerade, avlagda, osv. behörigheter. Processerna/metoderna för administreringen av behörigheterna kontrolleras: Var och hur dokumenteras de ansökta, beviljade och gällande behörigheterna? Var kan riktigheten av behörigheterna kontrolleras? Organisationens anvisningar i fråga om behandling av uppgifter i receptcentret ses över och det kontrolleras att det finns uppföljning och övervakning, t.ex. genom att kontrollera att det finns en övervakningsplan. Definieringen och beskrivningen av administreringen av behörigheterna kontrolleras. Nationella auditeringskrav för organisationer inom hälso- och sjukvården 5

Det ska finnas dokumentation över behörigheterna och eventuella begränsningar i dem. Det kontrolleras att det har definierats vilka personer/roller som kan godkänna behörigheter. 14 Definition av ansvar Alla parters ansvar (verksamhetsenheter för hälsooch sjukvård, apotek, självständiga yrkesutövare, mjukvaruföretag och teleoperatörer) ska tydligt definieras i fråga om funktionalitet, informationssäkerhet och samverkan. Med detta kan avses sådana ansvarsdefinitioner som t.ex. existerande avtal på trepartsbasis (hälso- och sjukvårdsorganisation/teleoperatör/systemleverantör). För informationssäkerhetens del definieras ansvaren i uppdrags- eller andra avtal mellan partnerna eller i bilagor till sådana avtal. Obs! Det finns nödvändigtvis inte gemensamma avtal mellan alla de ovannämnda parterna. Då ska ansvaret vara definierat genom servicebeskrivningar som parter erbjuder eller genom motsvarande förfaranden. Tydligt datassäkerhetsansvar skall även beröra underleveratörerna och eventuella övriga avtalspartners. Kontrolleras att det i avtal mellan parterna har tydligt definierats ansvar gällande operabilitet, informationssäkerhet och interoperabilitet. Olika parters servicebeskrivningar i fråga kontrolleras. Organisationen + ADBtekniskt 15 Ändringshanteringsprocess Det ska finnas en formbunden ändringshanteringsprocess som omfattar version- och Nationella auditeringskrav för organisationer inom hälso- och sjukvården 6 Ändringshanteringsprocess som gäller systemet/systemen i fråga kontrolleras.

korrigeringsuppdateringar samt även mindre operationella och andra motsvarande ändringar. Ändringshanteringsprocessen ska innehålla åtminstone: testningspraxis praxis för godkännande dokumentering av ändringar Det kontrolleras att ändringarna är planerade, godkända, testade och dokumenterade. Detta specificeras i och med att anvisningar som gäller KanTa-service blir färdiga. Åtgärder för att återställa situationen innan ändringar om ändringen inte skedde på väntat sätt. 16 Observation av datasäkerhetsproblem och kontroll av användningen av informationssystem Organisationen ska ha en fungerande process och praxis för de följande delområden som är av vikt för informationssäkerheten: Observation och eskalering av datassäkerhetsavvikelser (incident management) Uppföljning av användning av informationssystem (procedurer för logganalys) Det kontrolleras att de processer och verksamhetssätt som krävs finns (och har dokumenterats) och att personalen känner till dem och agerar i enlighet med dem. Detta specificeras i och med att anvisningar som gäller KanTa-service blir färdiga. Organisationen ADB-tekniskt 17 Kontroll av problemsituationer Det ska finnas en dokumenterad och testad handlingsplan (återhämtningsplan) för fel- och undantagssituationer. Organisationen (och FPA) ska ha en gemensamt fastställd och dokumenterad verksamhetssätt inför olika undantagssituationer. [Precisering: FPA-kravet gäller inte för apotek] Det kontrolleras att det finns återhämtningsplaner. Det kontrolleras hur man övervakar systemens operabilitet och upptäcker undantags- och felsituationer. Det kontrolleras att organisationerna (och FPA) har tillsammans avtalat om hur undantagssituationer hanteras. Organisationen ADB-tekniskt. Detta specificeras i och med att anvisningar som gäller KanTa-service blir färdiga. Nationella auditeringskrav för organisationer inom hälso- och sjukvården 7

18 Logguppgifternas oförvanskade form Processerna för skapande och behandling av loggupgifter ska säkerställa att de nödvändiga loggarna både genereras och bevaras oförändrade och beviskraftiga. T.ex. Vahti 3/2009 Det kontrolleras hur loggning i systemet har genomförts (t.ex. genom en separat loggserver). Det kontrolleras hur logguppgifterna skyddas genom behörigheter eller på annat sätt. Det säkerställs att systemunderhållare och andra aktörer med starka rättigheter inte kan radera eller ändra loggarna. 19 Individuella användar-id Det får inte finnas gemensamma användar-id avseende funktioner som berör elektroniska recept. Kravet gäller även underhållet och andra motsvarande starka behörigheter. Det kontrolleras att det endast finns individuella användar-id i bruk. 20 Säkring av nätförbindelsen Systemen vid en anslutande organisation ska vara skyddade med brandvägg. Det kan handla om antingen en SPI-brandvägg eller separata proxybrandväggar. Om det vid organisationen finns flera förbindelser till receptcentret/arkivet räcker det med en brandvägg. Det tidsenliga nätverksdiagrammet med uppgifter om systemen och om hur systemen har placerats i intranätet kontrolleras. De anslutande systemen ska vara skyddade med en gemensam brandvägg eller flera brandväggar. Nationella auditeringskrav för organisationer inom hälso- och sjukvården 8

21 Kontrollförbindelserna till systemet Om det i systemet på grund av uppehåll eller andra orsaker tillåts fjärrkontakt ska kontakterna till systemet genomföras på ett säkert sätt. Därtill ska de som använder fjärrkontakt identifieras med en strak identifieringsmetod. Det utreds hur eventuella fjärrkontakter till systemet har genomförts. 22 Systemunderhåll Det får inte finnas några extra tjänster eller program i systemen. Det får inte vara några aktiva standard-id i systemen eller andra standardinställningar som inte är bra för informationssäkerheten. Det kontrolleras hur systemen definieras och testas innan de tas i bruk. Om möjligt skannas tjänsterna/kontrolleras konfigureringsinställingarna. De servrar som används av systemen ska vara skyddade mot skadliga program, och de blockeringsprogram som används mot skadliga program ska uppdateras automatiskt (om det finns blockeringsprogramvara för den miljö som används). Det ska finnas en regelbunden process för installeringen av datasäkerhetsuppdateringar för servrar. I enlighet med processen uppskattas det om uppdateringar är kritiska och behövliga och uppdateringarna testas i en separat miljö innan de installeras i produktionsmiljön. Systemen och programmen ska vara skyddade mot de mest typiska datasäkerhetsbrister och mot sårbarheten i www-program (t.ex. OWASP top 10). Nationella auditeringskrav för organisationer inom hälso- och sjukvården 9

23 Inloggning i system När det gäller utnyttjandet av funktionaliteten vid elektroniska recept ska inloggningen i systemen vara möjlig endast med hjälp av en stark identifieringsmekanism eller genom att använda ett ovanligt starkt lösenord. Autenticeringsmekanismerna kontrolleras (antingen stark identifiering genom ett certifikatkort eller starkt lösenord). Motiveringen för användning av lösenord kontrolleras. Nationella auditeringskrav för organisationer inom hälso- och sjukvården 10

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss