Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Relevanta dokument
Informationssäkerhetspolicy inom Stockholms läns landsting

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy för Ånge kommun

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

I Central förvaltning Administrativ enhet

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Informationssäkerhet i patientjournalen

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

BESLUT. Ärendet Egeninitierad verksamhetstillsyn av vårdgivarens informationssäkerhet

Informationssäkerhetspolicy

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Koncernkontoret Enheten för säkerhet och intern miljöledning

LAGAR OCH FÖRFATTNINGAR SOM STYR KOMMUNERNAS HÄLSO- OCH SJUKVÅRD, AVSEENDE ANSVARSFÖRHÅLLANDEN MELLAN VÅRDGIVARE (NÄMND), VERKSAMHETSCHEF OCH MAS/MAR

Bilaga 3 Säkerhet Dnr: /

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

SOSFS 2005:12 (M) Ledningssystem för kvalitet och patientsäkerhet i hälso- och sjukvården. Socialstyrelsens författningssamling

1(6) Informationssäkerhetspolicy. Styrdokument

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad:

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Policy för informations- säkerhet och personuppgiftshantering

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Plan Ledningssystem för kvalitetsarbete

MEDICINTEKNISKA PRODUKTER RIKTLINJE FÖR MEDICINTEKNISKA PRODUKTER

Informationssäkerhetspolicy

Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

Vårdgivarens utseende av verksamhetschef för den medicinska och psykologiska delen av elevhälsan inom barn- och skolnämndens ansvarsområde

Fördelning av arbetsmiljöarbetsuppgifter i Härjedalens kommun

Informationssäkerhetspolicy KS/2018:260

Välkommen till enkäten!

Verksamhetschef avseende hälso- och sjukvård inom elevhälsan

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen

Kvalitetssäkring genom avvikelsehantering

Kvalitetsledningssystem för Socialnämnden i Timrå kommun Utgångspunkter, ansvar och processer

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Informations- och IT-säkerhet i kommunal verksamhet

Verksamhetsplan Informationssäkerhet

POLICY INFORMATIONSSÄKERHET

Kvalitetsledningssystem inom vård- och omsorgsförvaltningen

Plan Ledningssystem för kvalitetsarbete

Informationssäkerhetspolicy

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Policy och strategi för informationssäkerhet

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

1. Syfte Syftet är klargöra uppgiftsfördelningen för att säkerställa en effektiv ledning och styrning inom SMART-området.

Informationssäkerhetspolicy för Umeå universitet

Informationshantering och journalföring. nya krav på informationssäkerhet i vården

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Policy för informationssäkerhet

Informationssäkerhetspolicy IT (0:0:0)

Intern styrning och kontroll

Övergripande ledningssystem för systematiskt kvalitetsarbete inom vård och omsorg i Malmö stad

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Policy för informationssäkerhet

Dnr

AVVIKELSE MED MEDICINTEKNISKA PRODUKTER

I n fo r m a ti o n ssä k e r h e t

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Ledningssystem för kvalitet enligt SOSFS 2006:11 och SOSFS 2005:12

Avvikelser, klagomål. och synpunkter inom. Vård- och omsorgsnämnden. verksamheter. Antaget

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Riktlinjer för personuppgiftshantering

Handlingsplan för persondataskydd

Policy för säkerhetsarbetet i. Södertälje kommun

Informationssäkerhetspolicy för Katrineholms kommun

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhetspolicy

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Informationssäkerhetspolicy. Linköpings kommun

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Informationssäkerhet med logghantering och åtkomstkontroll av hälso- och sjukvårdsjournaler i Vodok och nationell patientöversikt (NPÖ)

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Riktlinjer för logghantering, kontroll och åtkomst enligt Patientdatalagen (PDL) och SOSFS 2008:14 (Vodok och NPÖ)

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Det föreslagna beslutet medför inga kända ekonomiska konsekvenser för kommunen.

Roller och Ansvar - Medicinsk Teknik

Svar på revisionsskrivelse informationssäkerhet

Riktlinje för informationshantering och journalföring

Finansinspektionens författningssamling

Riktlinje för intern styrning och kontroll

LEDNINGSSYSTEM FÖR SYSTEMATISKT KVALITETSARBETE, SOSFS 2011:9

1(8) Avvikelse- och riskhantering inom SoL, LSS och HSL. Styrdokument

Granskning av landstingets hantering av personuppgifter

Informationssäkerhetspolicy

Myndigheten för samhällsskydd och beredskaps författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Riktlinje för ledningssystem för systematiskt kvalitetsarbete

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Direktiv för tvångsvård och rättspsykiatrisk vård. Version: 1. Beslutsinstans: Regionstyrelsen

Patientsäkerhetsberättelse Hélène Stolt Psykoterapi & Ledarskap AB

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Transkript:

Version: 1 Beslutsinstans: Regiondirektören

2(10) ÄNDRINGSFÖRTECKNING Version Datum Ändring Beslutat av 1. 2016-06-30 Nyutgåva Regiondirektören

3(10) INNEHÅLLSFÖRTECKNING 1 INLEDNING...4 2 ANSVAR FÖR INFORMATIONSSÄKERHET...4 2.1 Regionfullmäktige...4 2.2 Regionstyrelsen...4 2.3 Regiondirektören...4 2.4 Förvaltningschefernas och stabschefens ansvar...5 2.5 Områdeschef/Avdelningschef...5 2.5.1 Verksamhetschef...5 2.6 Enhetschefens ansvar...6 2.7 Medarbetares ansvar...6 2.8 Systemägare...6 2.9 Kvalitetsstrateg...6 3 SPECIALISTKOMPETENS OCH STÖDJANDE FUNKTIONER FÖR INFORMATIONSSÄKERHET...7 3.1 Personuppgiftsombud (PuO)...7 3.2 Informationssäkerhetssamordnare...7 3.3 IT- säkerhetsansvarig...7 3.4 Informationssäkerhetsråd...8 4 BEKRÄFTELSE AV MOTTAGANDE...9

4(10) 1 INLEDNING Informationssäkerhetsarbetet har sin utgångspunkt i gällande lagstiftning. Regionens spolicy anger vad som ska uppnås med sarbetet. d.v.s. att uppnå nivå av sekretesskydd, riktighet, tillgänglighet och spårbarhet för information. Arbetet ska så långt som möjligt ske i enlighet med svensk standard för SS-ISO 27001:2014. 2 ANSVAR FÖR INFORMATIONSSÄKERHET 2.1 Regionfullmäktige Fastställer spolicyn. 2.2 Regionstyrelsen Regionstyrelsen har det övergripande ansvaret för en inom Region Jämtland Härjedalen. Ansvaret uttrycks i regionens spolicy som även anger principerna för hur sarbetet ska organiseras. Regionstyrelsen är också personuppgiftsansvarig och ska utse personuppgiftsombud. Regionstyrelsens ansvar innefattar hantering av alla övergripande sfrågor och att det finns en eller flera utsedda personer som ska ansvara för sarbetet. Ansvaret för en följer sedan verksamhetsansvaret inom alla nivåer. 2.3 Regiondirektören Regiondirektören ansvarar för omfattning och inriktning av förvaltningarnas sarbete. I detta ingår ansvar för att: regionens ledningssystem uppfyller kraven för ISO 27001:2006 regionens arbete med sker på ett ändamålsenligt sätt och i enlighet med policyn sfrågor behandlas strategiskt, genom att tillsammans med ledningsgruppen årligen genomföra ledningens genomgång där uppnådda resultat följs upp, analyseras och utvärderas beslut tas vid ledningens genomgång för att säkerställa ständiga förbättringar resurser avsätts för samordningen av sarbetet fastställa regler och riktlinjer för en årlig plan för sarbete upprättas

5(10) årlig rapportering sker till styrelsen om sarbetet. 2.4 Förvaltningschefernas och stabschefens ansvar Förvaltnings- och stabschef har på regiondirektörens uppdrag ansvar för att: sarbetet inom respektive förvaltning genomförs i enlighet med ledningssystemet gällande lagstiftning efterlevs förvaltningens chefer och övriga medarbetare fortlöpande får information och instruktioner som är nödvändiga för sarbetet regler och rutiner görs kända 2.5 Områdeschef/Avdelningschef Områdeschef/Avdelningschef ansvarar för en inom den egna verksamheten. Det omfattar också att vara informationsägare för den information som skapas och används inom verksamheten. Ansvaret innefattar att informationen har rätt kvalitét för sitt ändamål, finns tillgänglig när den behövs och att sekretesskänslig information som skapas i eller kommuniceras till eller från den egna verksamheten skyddas på ett säkert sätt. Områdeschef/avdelningschef ansvarar för att: Informationsklassning/riskanalys genomförs för information som hanteras i gemensamma IT- system eller när nya IT system/tjänster ska införas I samverkan med andra områden vara kravställare mot berörda systemägare så att systemen uppfyller skraven. kontinuitetsplaner för upprättas och kommuniceras underställda chefer och medarbetare får nödvändig information och utbildning i 2.5.1 Verksamhetschef Verksamhetschef ska enligt Socialstyrelsens föreskrifter SOSFS 2008:14 informationshantering och hantering av personuppgifter inom hälso- och sjukvården ansvara för att: uppföljning sker av patientuppgifternas kvalitet och ändamålsenlighet, utdelade behörigheter för åtkomst till patientuppgifter är ändamålsenliga och förenliga med hälso- och sjukvårdspersonalens och andra befattningshavares aktuella arbetsuppgifter, hälso- och sjukvårdspersonalen och andra befattningshavare är informerade om de bestämmelser som gäller för hantering av patientuppgifter, och

6(10) uppföljning av informationssystemens användning genom regelbunden kontroll av loggarna 2.6 Enhetschefens ansvar Enhetschefen ansvarar för att: Inom enheten organisera sarbetet Tillse att regionens regler och rutiner är kända och efterlevs Tillse att kontinuitetsplaner finns och är kända Ta emot, bedöma, utreda och rapportera negativa händelser, tillbud, risker till verksamhetschef Medarbetarna får den information och utbildning som krävs avseende 2.7 Medarbetares ansvar Varje medarbetare har ett ansvar att i det dagliga arbetet följa aktuell lagstiftning och regionens sregler för anställda. Ansvaret omfattar t ex att ansvara för att personliga lösenord och hjälpmedel för autentisering inte kan bli tillgängliga för obehöriga, ansvara för att datorer eller andra informationsbärare som har använts inte lämnas utan att patientuppgifterna är skyddade från obehörig åtkomst, och endast ta del av patientuppgifter som behövs för att utföra sitt arbete inom hälso- och sjukvården. Alla anställda har också skyldighet att i regionens avvikelsehanteringssystem rapportera avvikelser, incidenter och risker kopplade till. 2.8 Systemägare Varje IT system i Region Jämtland Härjedalen ska ha en systemägare. Systemägaren har ansvar för respektive IT-systems säkerhet och ansvarar även för framtagande av kontinuitetsplaner för systemet. I regionens kvalitetshandbok för systemförvaltning beskrivs systemägarens ansvar.

7(10) 2.9 Kvalitetsstrateg Kvalitetsstrateg ansvarar för den övergripande handläggningen av regionens ledningssystem där regler och rutiner m.m. för ingår. 3 SPECIALISTKOMPETENS OCH STÖDJANDE FUNKTIONER FÖR INFORMATIONSSÄKERHET 3.1 Personuppgiftsombud (PuO) Region Jämtland Härjedalens personuppgiftsombud har till uppgift att se till att regionens verksamheter behandlar personuppgifter på ett lagligt och korrekt sätt. Till ombudets uppgifter hör bl.a. att: Kontrollera att den personuppgiftsansvarige följer lagstiftning för behandling av personuppgifter samt att densamme åtgärdar eventuella brister i regionens personuppgiftsbehandling Anmäla missförhållanden till Datainspektionen som är tillsynsmyndighet när det gäller behandling av personuppgifter Föra en förteckning över de behandlingar av personuppgifter, som skulle ha omfattats av anmälningsskyldighet, om ombudet inte funnits Hjälpa allmänheten med registerutdrag och rättelse av felaktiga uppgifter i personuppgiftsregister. 3.2 Informationssäkerhetssamordnare I regionen ska det finnas en utsedd ssamordnare som på uppdrag av regiondirektören ansvarar för att: samordna regionens strategiska sarbete i enlighet med regionens spolicy utarbeta årlig plan för aktiviteter inom sarbetet utarbeta årlig srapport till regionstyrelsen ta initiativ till arbete med att arbeta fram policy, riktlinjer, regler och rutiner inom området ta initiativ till att utbildning tas fram och genomförs inom organisationen ta initiativ till och medverka i säkerhetsrevisioner bevaka och sammanställa sincidenter följa upp att föreskrifter för efterlevs omvärldsbevaka sområdet

8(10) bistå informationsägare med stöd att genomföra informationsklassningar och riskanalyser inom sområdet vara sammankallande i srådet 3.3 IT- säkerhetsansvarig IT- säkerhetsansvarig har till uppgift att införa förebyggande skyddsåtgärder för att undvika IT-säkerhetsincidenter som hotar verksamhetens informationshantering. I uppgifterna ingår att: Löpande initiera och genomföra säkerhetshöjande förbättringsåtgärder för ITinfrastrukturen, baserat på kraven i BITS-analyser av informationen i regionens verksamhetssystem Handlägga auktorisationer av nya och uppgraderade IT-system för godkännande innan de anskaffas och införs i IT-miljön Genomföra risk- och sårbarhetsanalyser av specifika delar i IT-miljön utifrån bl. a. ställda verksamhetskrav på Löpande analysera och följa upp rapporterade IT-säkerhetsincidenter och utifrån dessa initiera säkerhetshöjande åtgärder Vara konsultativ resurs för verksamheter som har behov av att utforma säkerhetshöjande åtgärder i IT-system Agera kravställare säkerhet och säkerhetsrevisor på extern IT-driftleverantör som innehar avtal för regionens IT-drift Samordna IT-säkerhetsarbetet gentemot regionens systemägare för att få enhetlig utformning och nivå på de olika verksamhetssystemens säkerhetsåtgärder/-funktioner. 3.4 Informationssäkerhetsråd I Regionstaben ska finnas ett sråd för regionens sarbete. Rådet ska ha företrädare med kompetens och funktionsansvar inom: Juridik Arkiv och dokumenthantering Personuppgiftsfrågor Riskhantering Patientsäkerhet IT -säkerhet Informationssäkerhet Kvalitetsutveckling Informationssäkerhetsrådet är sakkunnigstöd inom området och ska bistå ssamordnaren i dennes uppdrag genom att främja, stödja, samordna och följa upp regionens sarbete. I gruppens arbetsuppgifter ingår att:

9(10) Utarbeta handlingsplan för god Hålla övergripande regler för aktuella samt ta fram förslag till nya Utifrån fastställda regler, utarbeta övergripande genomföra rutiner som ska finnas tillgängliga i ledningssystemet Systematiskt arbeta för ständiga förbättringar bl.a. genom att arbeta med riskanalyser och granskningar inom området Initiera och föreslå säkerhetshöjande åtgärder utifrån genomförda riskbedömningar och kontroller, allt i syfte att uppnå en förbättrad Fungera konsultativt som stöd och remissinstans för regionens verksamheter i sfrågor Tillhandahålla en funktionsbrevlåda via insidan/ledningssystemet dit frågeställningar kan skickas. Sammankallande är ssamordnare och ordförande är Beredskapschef. Rådets möten ska dokumenteras i form av minnesanteckningar. 4 BEKRÄFTELSE AV MOTTAGANDE Undertecknad bekräftar härmed mottagandet av denna fördelning av ansvar för Ort och datum: Namnunderskrift Befattning

10(10) Namnförtydligande

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss