Mlntjänster från Micrsft En checklista för vårdrganisatiner i Sverige Att börja använda mlntjänster inm sjukvården är inte längre en fråga m, utan frågan är snarare när. Men vilken mlnlösning ska man välja? Micrsft har sammanställt en checklista med sjukvårdsspecifika krav samt en allmän checklista för mlnanskaffning. Den här checklistan är till för att hjälpa dig i ditt val av mlntjänster för din vårdrganisatin men utgör inte juridiska råd. För att garantera att det lkala regelverket uppfylls bör du alltid söka berende juridisk rådgivning. Du kmmer att se att Micrsfts mlnlösningar är: Designade för att möta vårdrganisatiners behv av patientcentrerad samverkan, rbust säkerhet ch efterlevnad av lkala bestämmelser kring integritet ch hälsinfrmatin, såsm den svenska persnuppgiftslagen (PUL), den svenska apteksdatalagen, den svenska patientdatalagen ch Scialstyrelsens föreskrifter (SOSFS). Skapade för att ge den användarvänlighet ch prduktivitet sm krävs i vården för affärskritiska applikatiner samtidigt sm de ger beslutsfattare flexibilitet ch valfrihet. Micrsft vill vara din pålitliga mlnpartner ch vi är stlta över att just Micrsfts HealthVault är den plattfrm sm valdes för svenska medbrgares hälskntn av Aptekens Service AB 2013.
2 En checklista för vårdrganisatiner i Sverige Checklista för köp av mlntjänst Checklista Frågr att ställa Micrsfts svar Mln på dina villkr Erbjuder mlnleverantören flexibilitet ch valmöjligheter vad gäller lösningar för prduktivitet ch samarbete? Micrsfts prduktivitetsplattfrm består av ett antal lika tjänster ch paket sm kan installeras på plats, användas över nätet eller en kmbinatin av båda. En flexibilitet sm är erhört värdefull när din verksamhet förändras eller växer. Office 365 har erbjudanden med rätt funktiner till rätt pris för sjukvårdsanställda sm hittills haft lite eller ingen tillgång till innehålls- ch meddelandefunktiner, t.ex. sköterskr, deltidsanställda eller inhyrd persnal. Oavsett vad du har för behv ch avsett vad dina partner har för IT-kapacitet så kan Micrsft underlätta en övergång till mlnet på dina villkr, med den säkerhet ch flexibilitet du behöver. Det här gäller även m du ska integrera en nyförvärvad rganisatin med gammalmdiga prduktivitetsverktyg eller integrera privatmttagningar sm använder regelstridiga mlntjänster. Vårdrganisatiner jbbar fta med ansträngd budget. Micrsft ger dig alternativet att välja de mlnerbjudanden du behöver nu ch betala enligt en abnnemangsmdell. Strföretagsanpassad Har mlnleverantören erfarenhet av stra företag ch myndigheter inm sjukvårdssektrn? Micrsft har i över 20 år försett sjukvårdsrganisatiner med strföretagsanpassade prduktivitetslösningar sm förenklat kmmunikatin ch infrmatinsinhämtning. Erbjuder de lösningar för sina strföretagskunder sm skiljer sig från vad privatkunder får? Office 365 är mlnversinen av de lika välkända ch kraftfulla ch redan strföretagstestade Micrsft Exchange, SharePint, Lync ch Office Prfessinal Plus. Micrsfts Enterprise-mlnstjänster hålls lgiskt åtskilja från privatkunders nlinetjänster. Kan jag få användning för mina nuvarande investeringar i prgramvara ch utbildning? I Office 365 kan du dra nytta av att vara bekant med tidigare Micrsft-prdukter för att övergången till mlnet ska gå smidigare, utan brant inlärningskurva för användarna. Du kan lägga till Office 365 till ditt nuvarande företagsavtal, så att du kan flytta till mlnet ch samtidigt få användning för nuvarande Micrsftinvesteringar. Går det att märka infrmatin sm sekretessbelagd? Micrsft Office ch Office 365 låter dig behålla det ursprungliga dkumentfrmatet, vattenstämplar ch signaturer över alla enheter ch platser. Din persnal slipper den frustratin sm det innebär att förlra sådant när man använder mlntjänster riktade till knsumenter. Kmmer affärskritiska data ch tjänster vara tillgängliga ch stödjas dygnet runt? Vad händer m någt går fel? Office 365 erbjuder ett finansiellt uppbackat servicenivåavtal (SLA) med 99.9 % upptid, ch telefnsupprt dygnet runt.
3 En checklista för vårdrganisatiner i Sverige Område Källa Scenari Krav Micrsfts psitin Säkerhet ch åtkmstkntrll Apteks- ch patientdatalagen ch SOSFS Apteks- ch vårdgivare Infrmatinen måste lagras på ett sätt sm skyddar den från behörig åtkmst. Säkerhet Micrsft rganisatin, Glbal Fundatin Services (GFS), ansvarar för att tillhandahålla datacenter ch fysisk infrastruktur för Office 365 sm mlntjänst. Dess säkerhetsprcesser granskas regelbundet av externa revisrer. GFS har fått certifieringarna ISO 27001 ch EU Safe Harbr ch har klarat SSAE 16 SOC2 Type II. Office 365 uppfyller många internatinella branschstandarder, sm ISO/IEC 27001:2005, PCI, SSEA16 SOC1 Type II, EUs Standardkntraktsklausuler ch FISMA. Micrsfts fysiska säkerhetsåtgärder innefattar: (i) strikt åtkmstkntrll, (ii) bimetrisk avläsning, (iii) videövervakning, (iv) redundant strömförsörjning från lika leverantörer, (v) extra batterier ch dieselgeneratrer, (vi) klimatkntrll, (vii) brandskydd ch -släckning. Micrsfts säkerhetsåtgärder för data ch nätverk innefattar: (i) säkerhetsbevakning, (ii) ht- ch sårbarhetshantering, (iii) åtkmstkntrll, fil-/dataintegritet, (iv) tvåfaktrs autentisering, (v) intrångsdetektering, (vi) malwareskydd (vii) edge-rutrar ch brandväggar Micrsft har 49 lika FIPS 140-2- certifikat för sina krypteringsfunktiner: Azure Trust Services krypterar data i vila; Frefrnt Prtectin fr Exchange skyddar data i rörelse. QualysGuard (söker sårbarheter) verifierar statusen på säkerhetsuppdateringar. Användaren måste implementera åtkmstkntrller sm verifierar användarens identitet på två lika sätt (d.v.s. två-faktrs autentisering), enligt Scialstyrelsens riktlinjer. Kntrll Windws Azure Active Directry erbjuder tvåfaktrs-autentisering. Utvecklare kan använda identifiering ch autentisering på applikatinsnivå via Windws Identity Fundatin. Micrsft erbjuder ckså (i) Active Directry Federatin Services 2.0 (en säkerhetsnyckeltjänst), ch (ii) Windws Azure Access Cntrl Services. Active Directry Organisatinal Units kntrllerar ch förhindrar behörigt ch avsiktligt infrmatinsutbyte via delade systemresurser.
4 En checklista för vårdrganisatiner i Sverige Område Källa Scenari Krav Micrsfts psitin Integritet kntrll över dina egen data Apteks- ch patientdatalagen Apteks- ch vårdgivare Åtkmstkntrll måste implementeras men det finns inga specifika krav på hur den ska utfrmas. Integritet Det är dina data. Du har kntinuerlig tillgång, du styr vem sm har tillgång ch vad de har för rättigheter. Du kan när sm helst ta brt dina data från mlnet utan att behöva underrätta Micrsft i förväg. Datalagring ch -behandling är lgiskt separerad mellan lika användare av samma tjänst med hjälp av strukturen ch funktinerna i Active Directry sm utvecklats specifikt för att bygga, hantera ch säkra miljöer för flera användare. Multitenant- arkitekturen garanterar att kunddata sm lagras i delade Office 365- datacenter inte kan tillgås av någn annan rganisatin. Organizatinal Units (OUs) i Active Directry kntrllerar ch förhindrar tillåtna ch avsiktliga infrmatinsöverföringar via delade systemresurser. Användarna isleras från varandra baserat på säkerhetsgränser ("sils") lgiskt separerade av Active Directry. Dedikerad arkitektur för endast en användare finns ckså att välja. Datatillgången måste kntrlleras regelbundet ch systematiskt; lggar på läsnivå krävs. QualysGuard granskar användarnas tillgång till system ch databaser. Windws Azure Diagnstics gör det möjligt att samla in mfattande diagnstiska uppgifter för att stödja felsökning av en tjänst. Den stödjer ett antal diagnstikfunktiner (t.ex. Windws Azure-lggar, Windws Event -lggar, IISlggar) I SQL Azure hanteras transaktinslggningen autmatiskt av SQL Azures infrastruktur: SQL Server Analytics and Reprting Services står till förfgande. SQL Azure Reprting är en mlnbaserad rapprteringstjänst sm bygger på SQL Azure Database, SQL Server ch SQL Server Reprting Services-tekniken Lggar måste sparas i 10 år ch den behöriga användaren måste, innan åtkmst, ta beslut m huruvida han eller hn har behörighet att tillgå viss infrmatin. Alla förändringar av en patientjurnal måste lggas. Infrmatinen måste lagras på ett sätt sm överensstämmer med den svenska persnuppgiftslagen, d.v.s. aktuell ch krrekt data. Se infrmatinen van m tillgång ch lggar. Micrsft respekterar din integritet; vi behandlar bara din infrmatin i den mån det krävs för att leverera den tjänst sm du har begärt. Vi analyserar inte dina data för att rikta marknadsföring mt dig ch ser den inte heller sm en prdukt att sälja vidare till andra. Vi använder inte dina data för att förbättra våra analyser.
5 En checklista för vårdrganisatiner i Sverige Område Källa Scenari Krav Micrsfts psitin Integritet - kntrll över dina egen data Apteksdatalagen Aptek Infrmatinsförfrågningar ska begränsas ch stå i relatin till receptet, enligt vad sm anges i apteksdatalagen. Vi behandlar bara dina data i den mån det krävs för att leverera den tjänst sm du har begärt, Micrsft analyserar inte dina data för att rikta marknadsföring mt dig för att förbättra våra analyser. Micrsfts företagsmln hålls lgiskt avskilt från privatpersners tjänster. Micrsft erbjuder möjligheten att lägga till autmatiserad plicybaserad mejlkryptering i Office 365 genm Micrsft FreFrnt Prtectin fr Exchange ch Micrsft Exchange Hsted Encryptin. Infrmatin måste raderas när den inte längre behövs för de gdkända syften sm anges i apteksdatalagen. Kunder kan när sm helst ta brt data från mlnet utan att behöva underrätta Micrsft i förväg. Infrmatinen måste antingen permanent annymiseras eller raderas på ett sådant sätt att den inte kan återskapas i efterhand. Patientdatalagen Vårdgivare Infrmatin sm är del av en patientjurnal får bara raderas m: Patienten begär det, ch/eller andra persner vars infrmatin är registrerad i jurnalen; Begäran har gdkänts av Scialstyrelsen Kunder kan när sm helst ta brt data från mlnet utan att behöva underrätta Micrsft i förväg. Micrsft använder bästa arbetssätt för brttagning av data ch en rensningslösning sm uppfyller NIST 800-88. Det finns gd anledning att radera infrmatinen; Det är uppenbart att infrmatinen inte behövs för vården av patienten; ch Det finns inga andra anledningar att behålla infrmatinen ur ett samhälleligt perspektiv. Registeransvarig bär ansvaret för att skyldigheterna uppfylls (men kan förstås delegera till någn annan att uppfylla kravet). Alla brttagningar måste antecknas (bl.a. infrmatin m vem sm tagit brt uppgiften ch när den tgs brt).
6 En checklista för vårdrganisatiner i Sverige Område Källa Scenari Krav Micrsfts psitin Rättning Patientdatalagen Vårdgivare Det måste finnas rutiner för att rätta, bevara, blckera ch srtera persnlig infrmatin. Det finns inga mer specifika instruktiner vad gäller de här kraven. Den registeransvarige har ansvar för att kraven uppfylls (men kan förstås delegera uppgiften till någn annan). Inbyggda funktiner hjälper kunder att möta de här skyldigheterna. Med Office 365:s ediscvery Center kan kunderna bevara ch hitta infrmatin över hela sin rganisatin. Regelansvariga kan identifiera, hålla ch analysera rganisatinens data från Exchange Online, SharePint Online ch Lync Online. Känslig infrmatin kan skyddas med Data Lss Preventin (DLP)-funktinen i Office 365. Exchange Online erbjuder inbyggd DLP sm kan sträckas för att stödja plicyer sm är viktiga för din verksamhet Organisering Klassificering Patientdatalagen Sekretesslagen Vårdgivare Vårdgivare All infrmatinsbehandling måste uppfylla krav på patientsäkerhet, gd kvalitet ch kstnadseffektivitet. Det finns inga mer specifika instruktiner gällande de här kraven. Infrmatin måste stämplas sm knfidentiell. Det är upp till kunden att avgöra vilken infrmatin sm ska hemligstämplas. Office 365 är själv kmpatibelt med många internatinella branschstandarder, t.ex. ISO/IEC 27001:2005, PCI, SSEA16 SOC1 Type II, EU Mdel Clauses ch FISMA. Vi rdnar externa granskningar ch certifieringar så att du kan lita på att våra tjänster är krrekt designade ch drivs med rigrösa säkerhetsåtgärder. Office 365 låter användarna behålla det ursprungliga dkumentfrmatet, vattenstämplar ch signaturer över alla lika enheter ch platser. Micrsft klassificerar infrmatin efter hur mycket den kan påverka verksamheten, ch användare kan använda Micrsfts metd för att klassificera sin infrmatin. Micrsft Online Services-standarderna ger vägledning för att klassificera materialet i lika säkerhetsklasser, ch implementerar sedan en standarduppsättning av säkerhets- ch integritetsattribut. Språk Patientdatalagen Vårdgivare Hälsinfrmatin ska generellt sett vara på svenska. Du kan själv ställa in visningsspråk för Office 365, Lync Online ch SharePint Online - alla på en gång. www.micrsft.cm/health