Datasäkerhetspolicy för verksamhetsenheter inom social- och hälsovården

Relevanta dokument
Esbo stad Informationssäkerhetspolicy

VÅR KYRKAS DATASÄKERHETS- POLICY Säkerhetspolicy för datasystem inom Evangelisklutherska

Pensionsskyddscentralens dataskyddspolicy

Dataskyddsenkät /2018. Kanta-tjänster Dataombudsmannens byrå Institutet för hälsa och välfärd

Sjundeå kommun, småbarnspedagogiska tjänster Parkstigen 1, Sjundeå

Dataskyddsförfrågan 2017

Dataskyddsförfrågan 2017

GRUNDERNA FÖR INTERN KONTROLL OCH RISKHANTERING

GRUNDERNA FÖR INTERN KONTROLL OCH RISKHANTERING I VASA STAD OCH STADSKONCERN. Godkända av Vasa stadsfullmäktige den

Kontaktperson: Servicechefen för slutenvård och serviceboende Social- och hälsovårdsväsendet PB 43, KARLEBY (växel)

1. Registrets namn Patientregister för Kronoby hälso- och sjukvård Abilita

Den interna tillsynen är ett hjälpmedel vid ledningen av verksamheten. Landskapsstyrelsen ansvarar för ordnandet av den interna tillsynen.

Datasekretessbeskrivning Informationshanteringstjänsten

DATASKYDDSBESKRIVNING Personuppgiftslagen (523/99) 10 och 24

Avtal om anslutning till och användning av Kanta-tjänsterna

VASA STAD DATASÄKERHETSPOLICY

Förordning om offentlighet och god informationshantering i myndigheternas verksamhet /1030

SÄKERHETSBILAGA FÖR TJÄNSTEPRODUCENTER

DATASKYDD OCH DATASÄKERHET

Ansökan om godkännande som producent av service mot servicesedel inom öppenvårdstjänster för frontveteraner i hemmet; kriterierna för godkännande

Tjänsten Patientdataarkivet

REDOGÖRELSE FÖR SKYDDET AV UPPGIFTER

Dataskyddsbeskrivning över Työplus Oy:s klientuppgifter

UPPGIFTER OM SERVICEPRODUCENTEN/SERVICESEDELFÖRETAGAREN. Serviceproducentens namn: Adress: FO-nummer: Kontaktperson: Telefonnummer: E-postadress:

FÖRVALTNINGSSTADGA. Kommunalförbundet Ålands Miljöservice

Föreskrift 2/ (14)

Upprättad: Ändamålet med behandlingen av personuppgifter/registrets användningsändamål

Datasekretessbeskrivning Receptarkivet

Ansökan om godkännande som producent av service mot servicesedel inom öppen rehabilitering för frontveteraner; kriterierna för godkännande

Innehåll 1. Koncerndirektivets syfte och mål... 2

DATASKYDDSBESKRIVNING 5/2018 kombinerad registerbeskrivning och informeringshandling. Europaparlamentets och rådets förordning (EU) 2016/679

Informationssäkerhetspolicy för Ystads kommun F 17:01

Postadress: PB 18, Helsingfors Huvudsakligt verksamhetsställe: Bryggerigatan 2 A, Helsingfors Kundtjänst: Brädgårdsgatan 10, Helsingfors

VASA STADS RISKHANTERINGSPOLICY. Godkänd av Vasa stadsfullmäktige den

MODELL FÖR INFORMERING AV PATIENTER INOM DEN OFFENTLIGA HÄLSOVÅRDEN

FÖRESKRIFT OM RISKHANTERING OCH ÖVRIG INTERN KONTROLL I VÄRDEPAPPERSFÖRE- TAG

Informationssäkerhetspolicy inom Stockholms läns landsting

HÖRBY KOMMUN Flik: 6 Författningssamling Sida: 1 (-7)

3 Delegationen Bestämmelser om delegationens uppgifter finns i 138 i lagen om kommunala pensioner.

ANVÄNDNING AV E-POST INOM SOCIALVÅRDEN

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

BILAGA OM BEHANDLINGEN AV PERSONUPPGIFTER

DATATILLSTÅND dnro 377/410/17 1 (8) Ändringsdatatjänst. Taktillstånd

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Introduktionsguide för prao-elever

RIKSDAGENS SVAR 95/2004 rd

Innehåll. Versionshistoria. Version Datum Uppgjord av Godkänd av Ändringar Maija Pylkkänen, Ledningsgruppen Första versionen

Riktlinjer informationssäkerhet

Kommunal Författningssamling för Staden Jakobstad

Policy för behandling av personuppgifter

Lag. RIKSDAGENS SVAR 195/2010 rd. Regeringens proposition med förslag till lagar

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

"GÖR DET SJÄLV" KONTROLL AV DATASKYDDET OCH - SÄKERHETEN

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Medicinsk direktör Outi Paloneva Väsentlig lagstiftning som verksamheten grundar sig på: Registrets användningsändamål:

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Säkerhetsteknikcentralen K4-2006

PERSONUPPGIFTSBITRÄDESAVTAL

Informationsklassning och systemsäkerhetsanalys en guide

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

KYRKANS ALLMÄNNA DATASÄKERHETSBESTÄMMELSER

Godkänd på stadsfullmäktiges sammanträde

Plan för egenkontroll inom den privata hälsovården

JUHTA Delegationen för informationsförvaltningen inom den offentliga förvaltningen

Statsrådets förordning

Anvisning för intern kontroll och styrning

Reglemente för socialnämnden

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Lag. om Enheten för hälso- och sjukvård för fångar. 1 kap. Uppgifter och ledning för Enheten för hälso- och sjukvård för fångar

REGLEMENTE VALNÄMNDEN

Koncernkontoret Enheten för säkerhet och intern miljöledning

Allmänna Råd. Datainspektionen informerar Nr 3/2017

Utöver de allmänna leveransvillkoren för Kanta-tjänsterna följs denna tjänstebeskrivning vid leverans och användning av Recept-tjänsten.

GDPR dataskydd. vid Alandica Kultur & Kongress. (för personal, kunder och samarbetspartners)

KOMMUNAL FÖRFATTNINGSAMLING 1 (6) REGLEMENTE FÖR SOCIALNÄMNDEN

GÖR UPP ETT DATABOKSLUT

Dataskyddsmeddelande för kommunikation och evenemang vid Aalto-universitetet

Reglemente för omvårdnadsnämnden

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

Dataskyddsbeskrivning som gäller mittiallt.fi

SEKRETESSBESKRIVNING registerbeskrivning punkter 1 8 Skriven: informationsdokument punkter 9 11 Uppdaterad

Ansökan om att bli godkänd som handikappservicens servicesedelproducent för personlig assistans, samt kriterierna för godkännande

KUNDREGISTER FÖR ESBO, GRANKULLA, HELSINGFORS OCH VANDA STADSBIBLIOTEKS HELMET- BIBLIOTEK 5 REGISTRETS SYFTE OCH GRUNDEN FÖR DESS UPPRÄTTHÅLLANDE

KYRKSLÄTTS KOMMUN HÄLSOCENTRALEN

vid Geritrim vård- och rehabiliteringsenhet

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

Esbo stad Protokoll 100. Nämnden Svenska rum Sida 1 / 1

REGLEMENTE TEKNISKA NÄMNDEN

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

SOCIAL- OCH HÄLSOVÅRDSDIREKTÖR PIA NURME BORGÅ GÖR EN SEPARAT UTREDNING OM PRODUKTIONEN AV SOCIAL- OCH HÄLSOVÅRDSTJÄNSTER

Allmänt om administrativ datasäkerhet. Stödutbildning Anne Juutilainen

Personuppgiftsbiträdesavtal samt fullmakt för Inera AB att teckna personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

Utfrågning om dataskydds- och datasäkerhetsärenden i socialvården 2011

Informationssäkerhetspolicy

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

INSTRUKTION FÖR VÅRD OCH OMSORGSCENTRALEN. Godkänd av stadsfullmäktige i Kristinestad ( 9)

Lovisa stad 1 (5) Uppgifter om serviceproducenten

Riktlinjer för IT-säkerhet i Halmstads kommun

KYRKANS ALLMÄNNA DATASÄKERHETSBESTÄMMELSER

Transkript:

1 (5) för verksamhetsenheter inom social- och hälsovården Godkänd: Social- och hälsovårdsnämnden, datum 25.9.2012 1. Inledning Informationsbehandlingen stöder serviceproduktionen inom Social- och hälsovårdsverket i Jakobstad, och servicens effektivitet är i sin tur beroende av informationsbehandlingen. Informationsmaterialet innehåller sådana uppgifter om patienter, anställda och verksamheten som enligt lagstiftningen bör skyddas. Informationsbehandlingen bör vara effektiv, felfri och säker. n definierar de principer, verksamhetssätt, det ansvar samt den uppföljning och övervakning, som ska iakttas i verksamhetsenheten för att förverkliga och utveckla datasäkerheten. n kompletteras av en plan för egen kontroll, i vilken ingår en årlig datasäkerhetsplan samt av detaljerade bestämmelser och anvisningar. n styrs av följande principer: Datasäkerhet och datasekretess är enligt finsk lagstiftning en del av den dagliga verksamheten inom vår organisation och gäller hela verksamheten och personalen. Datasäkerheten bör iakttas i allt arbete, vilket betyder att data bör skyddas mot hot av olika slag i syfte att säkerställa verksamhetens kontinuitet, minimera riskerna i verksamheten samt maximera resultatet av verksamheten och investeringarna. Datasäkerhets- och datasekretessfrågor bör beaktas oberoende av medium. Pappersdokument, elektroniska datareserver, datanät, datatekniska anordningar, datasystem med tillhörande tjänster bör skyddas både i normala och i undantagsförhållanden. För att uppnå datasäkerhet ska man implementera skyddsmekanismer, som består av verksamhetsprinciper, processer, organisationsstrukturer samt programvaru- och maskinvarufunktioner. Konfidentiella, känsliga och övriga sekretessbelagda ärenden omfattas av tystnadsplikten oberoende av hur eller var de har lagrats eller på vilket sätt uppgifterna har erhållits. Förmannen ska se till att personalen får utbildning eller introduktion i datasäkerhetsbestämmelser och anvisningar. Styrningen, övervakningen och uppföljningen av datasäkerheten ska organiseras.

2 (5) 2. Omfattning Verksamhetsenhetens datasäkerhetspolicy, som fastställts av social- och hälsovårdsnämnden, omfattar alla till verksamheten hörande informationsbehandlingsuppgifter inom verksamhetsenheten. Varje tjänsteinnehavare, anställd och förtroendevald inom Socialoch hälsovårdsverket i Jakobstad samt var och en som använder verksamhetsenhetens data och datasystem bör känna till den här datasäkerhetspolicyn och iaktta de anvisningar och bestämmelser som utfärdats på basis av den. Verksamhetsenhetens externa aktörer inom hälso- och sjukvård, leverantörer och andra utomstående instanser bör också förbinda sig att iaktta den här datasäkerhetspolicyn samt nationella normer och anvisningar som villkor för att i den utsträckning uppgifterna förutsätter få åtkomst till verksamhetsenhetens datasystem och informationsmaterialet i dem. 3. Datasäkerhet Datasäkerhet innebär att man skyddar informationsbehandlingen och arkiveringen. Datasäkerheten består av uppgifternas konfidentialitet, integritet, tillgänglighet, användbarhet och oavvislighet samt av övervakningen av informationsbehandlingen. Till datasäkerheten hör datasäkerhetsorganisationen; databehandlarnas arbetssätt; metoder, verktyg och åtgärder för att skydda data; resurser för arbetet samt apparaturens och utrymmenas datasäkerhetsegenskaper. Datasäkerhet i enlighet med den godkända datasäkerhetspolicyn bör ingå som en naturlig del i all verksamhet. Utvecklingen och underhållet av datasäkerheten är en del av verksamhetsenhetens allmänna säkerhetsverksamhet, riskhantering och interna kontroll. 4. Datasäkerhetsarbete Datasäkerhetsarbetet går ut på att planera och genomföra de åtgärder som bör vidtas för att uppnå datasäkerhet. Målet för datasäkerhetsarbetet är att säkerställa att datasystem och datanät som är viktiga för verksamhetsenhetens verksamhet fungerar utan avbrott, att förhindra att uppgifter och datasystem hamnar hos utomstående samt förhindra att de används utan befogenheter, att data förstörs eller förvrängs oavsiktligt eller avsiktligt samt att minimera de skador som uppstår. Förutom att trygga informationsbehandlingen inom verksamheten under normala förhållanden, bereder man sig på risksituationer som avbryter verksamheten och på återhämtningen från dem.

3 (5) En verksamhetsenhet inom hälso- och sjukvården ansvarar som en del av datasäkerhetsarbetet också för planeringen och förverkligandet av datasäkerhetsarbetet i anslutning till skyddet av patient- och klientjournaler och andra handlingar som innehåller patient- och klientuppgifter. 5. Organisering och ansvarsfördelning Datasäkerheten leds och övervakas av stadsstyrelsen. Stadsdirektören beslutar om målen, organiseringen, resurserna och verksamhetsbefogenheterna inom olika delområden av utvecklingsverksamheten som gäller verksamhetsenhetens totala säkerhet samt utser datasäkerhetsansvarig och dataskyddsansvarig. Den datasäkerhetsansvariga ansvarar för verksamhetsenhetens datasäkerhetsarbete som helhet inom ramen för de resurser och verksamhetsbefogenheter som ledningen har gett. Den datasäkerhetsansvarigas befogenheter och skyldigheter måste definieras. Den datasäkerhetsansvariga ansvarar också för informationen om datasäkerhetsfrågor utåt och inom verksamhetsenheten på ett allmänt plan. Hon eller han ansvarar för bestämningen och bedömningen av datasäkerhetsnivån i verksamhetsenheten och för rapporteringen samt för den övriga administrativa datasäkerheten. Hon eller han ansvarar för utarbetandet av utvecklingsplaner för datasäkerheten, för övervakningen av att de förverkligas, för främjandet av kunskapen om datasäkerheten och för användningen av säkra arbetssätt inom verksamhetsenheten och när det gäller tjänster som enheten köper samt för rapporteringen till ledningen. Den dataskyddsansvariga ska fungera som sakkunnig åt registerupprätthållaren för att man ska uppnå ett bra sätt att hantera personuppgifter och en så hög nivå som möjligt på datasekretessen. Han eller hon har som uppgift att stöda personalen i datasekretessfrågor och hjälpa till att förverkliga de förpliktelser som personuppgiftslagen ålägger registerupprätthållaren. Datasäkerhetsgruppen, som tillsätts av social- och hälsovårdsdirektören, representerar säkerhetsaspekterna i anslutning till verksamhetsenhetens centrala funktioner. För datasäkerhetsgruppen bör utses en ordförande och en sekreterare. Gruppens medlemmar ansvarar för beredningen av ärenden som gäller datasäkerhetsprocessen inom det egna ansvarsområdet. Datasäkerhetsgruppen behandlar linjedragningar och direktiv för datasäkerhetsarbetet, innan de föreläggs ledningen för godkännande. Datasäkerhetsgruppens sammansättning bestäms av organisationen. Till datasäkerhetsgruppen kan höra t.ex. den datasäkerhetsansvariga, den dataskyddsansvariga, de som ansvarar för verksamheten inom olika delområden, ansvars- och kontaktpersonerna för patientregistret samt den person som ansvarar för patientuppgiftssystemen. Ansvariga för delområden är t.ex. den person som ansvarar för delområdet informationsteknik (ansvarar för maskinvaru- och programvarusäkerheten), den person som ansvarar för delområdet teknik (ansvarar för den tekniska säkerheten när det gäller utrymmen och apparatur), den person som ansvarar för personalärenden (ansvarar för personalsäkerheten) och den person

4 (5) som ansvarar för vårdarbetet. Kontaktpersonen för patientregistret ansvarar för informationsmaterialsäkerheten i anslutning till arkivväsendets uppgifter. Varje datasystem har en ägarenhet och en ansvarsperson. Till ansvarspersonens skyldigheter hör att definiera de krav som ställs på datasystemets funktion och säkerhet (t.ex. hur kritiskt systemet är, planeringen av kontinuiteten och förfarandet vid säkerhetskopiering) samt att bevilja och övervaka användarrättigheter. Enhetens förman ansvarar för utfärdandet av anvisningar om datasäkerhetsfrågor samt för information om och övervakning av datasäkerheten i den egna enheten. Inom organisationen är verksamhetsenhetens alla anställda, alla som hanterar information, alla upprätthållare och användare av datasystem och datanät för egen del ansvariga för att datasäkerheten förverkligas samt för att datasäkerhetsanvisningarna iakttas. Varje person är skyldig att rapportera hot och avvikelser i anslutning till datasäkerheten åt sin förman eller åt den datasäkerhetsansvariga. 6. Förverkligandet av datasäkerheten Förverkligandet av datasäkerheten grundar sig på den här skriftliga datasäkerhetspolicyn som godkänts av social- och hälsovårdsnämnden och som ska delges varje anställd och alla som använder datasystem i verksamhetsenheten. Verksamhetsenhetens datasäkerhetsprinciper grundar sig på förpliktande nationella, allmänna och branschspecifika bestämmelser, anvisningar och standarder som är normgivande för datasäkerhet, personregister, god informationshanteringssed och informationens kvalitet. Ändringar i lagstiftning och regelverk beaktas när man utvecklar datasäkerheten inom verksamhetsenheten. Förverkligandet och upprätthållandet av datasäkerheten beskrivs detaljerat i planen för egen kontroll. Förverkligandet av datasäkerheten bör utgå från de krav som verksamheten och servicen samt säkerhetsklassen för varje uppgift och datasystem ställer på informationsbehandlingen i fråga om säkerhet, användbarhet, sekretess och kvalitet samt i fråga om verksamhetens kontinuitet och bedömningen av de risker som verksamheten är utsatt för. Med hjälp av regelbundet utförda säkerhetsanalyser utreder man kraven, bedömer riskerna och fastställer säkerhetsåtgärder utgående från dem. Att uppnå målen för datasäkerheten är en fortgående process, som sker med hjälp av administrativa och tekniska lösningar. De beskrivs i planen för egen kontroll och vid behov i särskilda utvecklingsplaner för datasäkerheten som uppgjorts för användarmiljöerna och enheterna. Användarnas verksamhet styrs av de regler för användningen som ingår i planen för egen kontroll och av verksamhetsdirektiv som fastställts och finns tillgängliga samt ge-

5 (5) nom utbildning i datasäkerhet. Varje användare undertecknar en datasekretessförbindelse när han eller hon får rätt att använda datasystemen och informationsmaterialet i den utsträckning som uppgifterna förutsätter. 7. Uppföljning och övervakning av datasäkerheten Användarna och upprätthållarna bör anmäla brister i datasäkerheten som de observerat, missbruk som rör datasäkerheten eller misstankar om brott mot datasäkerheten åt sin förman eller åt den datasäkerhets- eller dataskyddsansvariga. Enhetens förman är skyldig att övervaka förverkligandet av datasäkerheten inom den egna enheten. Den datasäkerhetsansvariga har som uppgift att följa upp och övervaka förverkligandet av datasäkerheten i datasystemen som används inom Social- och hälsovårdsverket i Jakobstad och vidta åtgärder för att korrigera de svagheter i datasäkerheten som observerats. 13.5.2016 I:\Kvalitetshandbok\Databyrån\Datasäkerhet\.docx

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss