Molntjänster från Microsoft En checklista för vårdorganisationer i Sverige



Relevanta dokument
Beskrivning av Metakatalog. Sundsvalls kommun

AppGate och Krisberedskapsmyndighetens basnivå för informationssäkerhet, BITS

Revisionsrapport 2010 Genomförd på uppdrag av revisorerna i Jönköpings kommun. Jönköpings kommun Granskning av användaradministrationen

EBITS Energibranschens Informations- & IT-säkerhetsgrupp

Cisco WebEx: Standardprogramfix den [[DATE]]

Systemdrift och Systemförvaltning Centrala verksamhetssystem Service Desk

Plus500CY Ltd. Säkerhets- och cookie policy

ShoreTel Communicator Överblick

Riktlinjer för informationssäkerhet. ver 1.0. Antagen av Kommunstyrelsen

Policy för personuppgiftshantering 2018 Antagen av styrelsen för PRO i Tullinge vid styrelsemötet Version 1.

Leverantörskvalificering

Integritetspolicy för givare

INFORMATIONSSÄKERHETSPOLICY

Integritetspolicy Bokförlaget Nona

Malltext Tredjepart- /Samarbetsavtal HSA och SITHS

13. Utvecklingssamtal hos IOGT-NTO

Vad är kompetens och vad är rätt kompetens?

Producenter: anvisning om hur checklistan för kontroll av planen för egenkontroll och hur denna omsätts i praktiken fylls i

Rockpanel / ROCKWOOL AB ( ROCKWOOL ) vill säkerställa din integritet online.

BRÅDSKANDE: SÄKERHETSMEDDELANDE Fel i WIZARD 2 Barcode ID Label # 023 Innehåll

Integritetspolicy. Senast uppdaterad i maj Vårt sekretessåtagande. Vi ska

Risk- och sårbarhetsanalys av SUNET Box för Karolinska Institutet

Rutin för domänvalidering. Verifiering av organisationer och ombud

Miljöavdelningen informerar om: Egenkontroll. på förskolor och skolor enligt Miljöbalken

Roller och funktioner

INTEGRITETSPOLICY. Uppgifter som samlas in när du använder våra tjänster

Kort användarmanual för Test och quiz i Mondo 2.0

Leverantörsbetalningar

Bilaga 1 Överföring av arbetsmiljöarbetsuppgifter till förvaltningschefen för skolförvaltningen, Enköpings kommun

Policy för personuppgiftshantering i Brf Näsbyallé

Praktiska råd vid upphandling av tekniska produkter och tjänster. Södra teatern

INTEGRITETSPOLICY ADJURE AB

Innehåller instruktioner för hur du ska fylla i mallen Egenkontroll för elinstallationsarbete som finns i EL-VIS Mall

Integrationshandledning eped - läkemedelsinstruktioner

Taxor och avgifter - Översiktlig granskning av den interna kontrollen

Svar på motion från Emil Broberg (V) m.fl Städning av vårdlokaler i egen regi (LiÖ )

LICENSVILLKOR FÖR PROGRAMVARA FRÅN MICROSOFT MICROSOFT DYNAMICS AX 2012 R2

FÅ DE TJÄNSTER DU BEHÖVER VAR DU ÄN ÄR

SITHS rekommendationer för internt revisionsarbete

Tips och råd till beställare som ska upphandla en kvalitetssäkrad pumpservice enligt LOU

Projektnamn: Vägledning för ett hälsosamt åldrande Seniorguiden. upprättades: Upprättad av: Namn Therese Räftegård Färggren och Anna Jansson

Användarhandbok Come&Go 2G 3.1

Kravställ IT system på rätt sätt

Förslag på samarbetsorganisation för gemensam plattform för nationellt digitalt folkbibliotek

Processbeskrivning fakturahantering

Rutin för utgivning av funktionscertifikat

Att ta emot internationella gäster på Vilda

Regler vid verksamhetsövergång och ägarbyte

1 (2) Landstingets revisorer Dnr REV/31/06

Barn och ungas delaktighet i samhällsvård

Ny fastighetsmäklarlag. Vitec Mäklarsystem

ABB Sverige har fattat beslut om att samtliga entreprenörer och konsulter skall certifieras i arbetsmiljöoch säkerhet

Bröstförstoring patient information Information till patient och närstående

Hur man skapar ett test i Test och quiz i Mondo 2.6

131 sidor. Den nya integritetslagen trädde i kraft i kraft den 25.5.

Riktlinje delegering, Falkenbergs kommun

SAMMANTRÄDES PROTOKOLL

Folkhälsoplan BRÅ- och Folkhälsorådet

Vi rekommenderar att du läser igenom integritetspolicyn för varje webbplats du besöker

Vad är molnet? Vad är NAV i molnet? Vem passar NAV i molnet för? Fördelar med NAV i molnet Kom igång snabbt...

Bilaga 4. Krav på bredbandsanslutning för offentliga digitala tjänster

Riktlinjer för individuell planering och dokumentation av genomförandet av insatser inom särskilda boenden i Töreboda Kommun

Riktlinje delegering, Falkenbergs kommun

Tjänstebeskrivning. Tjänsteöversikt. Omfattning för Copilot Optimize-tjänster. Co ilot Optimize CAA Omfattning

ARKIV DIGITAL - att släktforska i färg

IT-strategin ersätter tidigare IT-strategi från (CF /04).

Likabehandlingsplan / Plan mot kränkande behandling för Klippans Förskola

Samråd om översynen av EU:s handikappstrategi

Produktöversikt Boolware. SOFTWARE CORPORATION

MEDDELANDE OM LEDIG TJÄNST FÖR ATT UPPRÄTTA EN RESERVLISTA. It-expert (M/K)

Förskolan Västanvind

Mjukvaror och Tjänster. Hur kan du få ut mer av din printutrustning?

Investerings prospekt

Allmänna bestämmelser för Certifiering

Social dokumentation. Föreläsning med Katarina Lindblad, jur.kand.

Uppgifter som samlas in när du använder våra tjänster

Trygghetsplan för Lillhedens förskola Likabehandlingsplan och plan mot kränkande behandling

SAMVERKAN, ÖPPNA LOKALA BREDBANDSNÄT OCH PRISVÄRDA TJÄNSTER

Intern kontroll inom Försörjningsstöd

Plan mot diskriminering och kränkande behandling 2016

Fastställd av Ålands landskapsregering

FÖRKÖPSINFORMATION FÖR ALLRA TANDVÅRDSFÖRSÄKRING SKYDDA

Informationssäkerhetsinstruktion: Förvaltning (Infosäk F)

Installation av fiber och IPTV i Seraljen

Vi samlar enbart in personuppgifter direkt från den registrerade.

4.5. Sammanställning Psykiatriråd nummer 4

för ordinärt boende inklusive servicelägenheter i Varbergs kommun

Vattenfall Innovation Awards

Vi samlar enbart in personuppgifter direkt från den registrerade.

Linda Boson Uppdateringar baserat på Intervju med Jan A Svensson

4.4. Sammanställning Psykiatriråd nummer 3

ANVÄNDARMANUAL TEST OCH QUIZ för Mondo 2.0 Version 1

Vad behöver jag för att kunna använda de nya funktionerna?

Instruktion för köp av fondandelar i Enter AB:s ( fondbolaget ) fonder

Checklista förändringsledning best practice Mongara AB

Avsluta vår användning av personuppgifter för marknadsföring. Personuppgifter som användare lämnar ut till andra användare

Granskning av kommunens tillsyn av fristående förskolor

Systemförvaltning EPJ Receptförskrivning Cosmic

Riktlinjer för upphandling av konsulttjänster och entreprenader inom mark, anläggnings och byggsektorn

Delmarknad 4: Privatmarknaden. - Bilaga till PTS marknadsöversikt för innovatörer

Transkript:

Mlntjänster från Micrsft En checklista för vårdrganisatiner i Sverige Att börja använda mlntjänster inm sjukvården är inte längre en fråga m, utan frågan är snarare när. Men vilken mlnlösning ska man välja? Micrsft har sammanställt en checklista med sjukvårdsspecifika krav samt en allmän checklista för mlnanskaffning. Den här checklistan är till för att hjälpa dig i ditt val av mlntjänster för din vårdrganisatin men utgör inte juridiska råd. För att garantera att det lkala regelverket uppfylls bör du alltid söka berende juridisk rådgivning. Du kmmer att se att Micrsfts mlnlösningar är: Designade för att möta vårdrganisatiners behv av patientcentrerad samverkan, rbust säkerhet ch efterlevnad av lkala bestämmelser kring integritet ch hälsinfrmatin, såsm den svenska persnuppgiftslagen (PUL), den svenska apteksdatalagen, den svenska patientdatalagen ch Scialstyrelsens föreskrifter (SOSFS). Skapade för att ge den användarvänlighet ch prduktivitet sm krävs i vården för affärskritiska applikatiner samtidigt sm de ger beslutsfattare flexibilitet ch valfrihet. Micrsft vill vara din pålitliga mlnpartner ch vi är stlta över att just Micrsfts HealthVault är den plattfrm sm valdes för svenska medbrgares hälskntn av Aptekens Service AB 2013.

2 En checklista för vårdrganisatiner i Sverige Checklista för köp av mlntjänst Checklista Frågr att ställa Micrsfts svar Mln på dina villkr Erbjuder mlnleverantören flexibilitet ch valmöjligheter vad gäller lösningar för prduktivitet ch samarbete? Micrsfts prduktivitetsplattfrm består av ett antal lika tjänster ch paket sm kan installeras på plats, användas över nätet eller en kmbinatin av båda. En flexibilitet sm är erhört värdefull när din verksamhet förändras eller växer. Office 365 har erbjudanden med rätt funktiner till rätt pris för sjukvårdsanställda sm hittills haft lite eller ingen tillgång till innehålls- ch meddelandefunktiner, t.ex. sköterskr, deltidsanställda eller inhyrd persnal. Oavsett vad du har för behv ch avsett vad dina partner har för IT-kapacitet så kan Micrsft underlätta en övergång till mlnet på dina villkr, med den säkerhet ch flexibilitet du behöver. Det här gäller även m du ska integrera en nyförvärvad rganisatin med gammalmdiga prduktivitetsverktyg eller integrera privatmttagningar sm använder regelstridiga mlntjänster. Vårdrganisatiner jbbar fta med ansträngd budget. Micrsft ger dig alternativet att välja de mlnerbjudanden du behöver nu ch betala enligt en abnnemangsmdell. Strföretagsanpassad Har mlnleverantören erfarenhet av stra företag ch myndigheter inm sjukvårdssektrn? Micrsft har i över 20 år försett sjukvårdsrganisatiner med strföretagsanpassade prduktivitetslösningar sm förenklat kmmunikatin ch infrmatinsinhämtning. Erbjuder de lösningar för sina strföretagskunder sm skiljer sig från vad privatkunder får? Office 365 är mlnversinen av de lika välkända ch kraftfulla ch redan strföretagstestade Micrsft Exchange, SharePint, Lync ch Office Prfessinal Plus. Micrsfts Enterprise-mlnstjänster hålls lgiskt åtskilja från privatkunders nlinetjänster. Kan jag få användning för mina nuvarande investeringar i prgramvara ch utbildning? I Office 365 kan du dra nytta av att vara bekant med tidigare Micrsft-prdukter för att övergången till mlnet ska gå smidigare, utan brant inlärningskurva för användarna. Du kan lägga till Office 365 till ditt nuvarande företagsavtal, så att du kan flytta till mlnet ch samtidigt få användning för nuvarande Micrsftinvesteringar. Går det att märka infrmatin sm sekretessbelagd? Micrsft Office ch Office 365 låter dig behålla det ursprungliga dkumentfrmatet, vattenstämplar ch signaturer över alla enheter ch platser. Din persnal slipper den frustratin sm det innebär att förlra sådant när man använder mlntjänster riktade till knsumenter. Kmmer affärskritiska data ch tjänster vara tillgängliga ch stödjas dygnet runt? Vad händer m någt går fel? Office 365 erbjuder ett finansiellt uppbackat servicenivåavtal (SLA) med 99.9 % upptid, ch telefnsupprt dygnet runt.

3 En checklista för vårdrganisatiner i Sverige Område Källa Scenari Krav Micrsfts psitin Säkerhet ch åtkmstkntrll Apteks- ch patientdatalagen ch SOSFS Apteks- ch vårdgivare Infrmatinen måste lagras på ett sätt sm skyddar den från behörig åtkmst. Säkerhet Micrsft rganisatin, Glbal Fundatin Services (GFS), ansvarar för att tillhandahålla datacenter ch fysisk infrastruktur för Office 365 sm mlntjänst. Dess säkerhetsprcesser granskas regelbundet av externa revisrer. GFS har fått certifieringarna ISO 27001 ch EU Safe Harbr ch har klarat SSAE 16 SOC2 Type II. Office 365 uppfyller många internatinella branschstandarder, sm ISO/IEC 27001:2005, PCI, SSEA16 SOC1 Type II, EUs Standardkntraktsklausuler ch FISMA. Micrsfts fysiska säkerhetsåtgärder innefattar: (i) strikt åtkmstkntrll, (ii) bimetrisk avläsning, (iii) videövervakning, (iv) redundant strömförsörjning från lika leverantörer, (v) extra batterier ch dieselgeneratrer, (vi) klimatkntrll, (vii) brandskydd ch -släckning. Micrsfts säkerhetsåtgärder för data ch nätverk innefattar: (i) säkerhetsbevakning, (ii) ht- ch sårbarhetshantering, (iii) åtkmstkntrll, fil-/dataintegritet, (iv) tvåfaktrs autentisering, (v) intrångsdetektering, (vi) malwareskydd (vii) edge-rutrar ch brandväggar Micrsft har 49 lika FIPS 140-2- certifikat för sina krypteringsfunktiner: Azure Trust Services krypterar data i vila; Frefrnt Prtectin fr Exchange skyddar data i rörelse. QualysGuard (söker sårbarheter) verifierar statusen på säkerhetsuppdateringar. Användaren måste implementera åtkmstkntrller sm verifierar användarens identitet på två lika sätt (d.v.s. två-faktrs autentisering), enligt Scialstyrelsens riktlinjer. Kntrll Windws Azure Active Directry erbjuder tvåfaktrs-autentisering. Utvecklare kan använda identifiering ch autentisering på applikatinsnivå via Windws Identity Fundatin. Micrsft erbjuder ckså (i) Active Directry Federatin Services 2.0 (en säkerhetsnyckeltjänst), ch (ii) Windws Azure Access Cntrl Services. Active Directry Organisatinal Units kntrllerar ch förhindrar behörigt ch avsiktligt infrmatinsutbyte via delade systemresurser.

4 En checklista för vårdrganisatiner i Sverige Område Källa Scenari Krav Micrsfts psitin Integritet kntrll över dina egen data Apteks- ch patientdatalagen Apteks- ch vårdgivare Åtkmstkntrll måste implementeras men det finns inga specifika krav på hur den ska utfrmas. Integritet Det är dina data. Du har kntinuerlig tillgång, du styr vem sm har tillgång ch vad de har för rättigheter. Du kan när sm helst ta brt dina data från mlnet utan att behöva underrätta Micrsft i förväg. Datalagring ch -behandling är lgiskt separerad mellan lika användare av samma tjänst med hjälp av strukturen ch funktinerna i Active Directry sm utvecklats specifikt för att bygga, hantera ch säkra miljöer för flera användare. Multitenant- arkitekturen garanterar att kunddata sm lagras i delade Office 365- datacenter inte kan tillgås av någn annan rganisatin. Organizatinal Units (OUs) i Active Directry kntrllerar ch förhindrar tillåtna ch avsiktliga infrmatinsöverföringar via delade systemresurser. Användarna isleras från varandra baserat på säkerhetsgränser ("sils") lgiskt separerade av Active Directry. Dedikerad arkitektur för endast en användare finns ckså att välja. Datatillgången måste kntrlleras regelbundet ch systematiskt; lggar på läsnivå krävs. QualysGuard granskar användarnas tillgång till system ch databaser. Windws Azure Diagnstics gör det möjligt att samla in mfattande diagnstiska uppgifter för att stödja felsökning av en tjänst. Den stödjer ett antal diagnstikfunktiner (t.ex. Windws Azure-lggar, Windws Event -lggar, IISlggar) I SQL Azure hanteras transaktinslggningen autmatiskt av SQL Azures infrastruktur: SQL Server Analytics and Reprting Services står till förfgande. SQL Azure Reprting är en mlnbaserad rapprteringstjänst sm bygger på SQL Azure Database, SQL Server ch SQL Server Reprting Services-tekniken Lggar måste sparas i 10 år ch den behöriga användaren måste, innan åtkmst, ta beslut m huruvida han eller hn har behörighet att tillgå viss infrmatin. Alla förändringar av en patientjurnal måste lggas. Infrmatinen måste lagras på ett sätt sm överensstämmer med den svenska persnuppgiftslagen, d.v.s. aktuell ch krrekt data. Se infrmatinen van m tillgång ch lggar. Micrsft respekterar din integritet; vi behandlar bara din infrmatin i den mån det krävs för att leverera den tjänst sm du har begärt. Vi analyserar inte dina data för att rikta marknadsföring mt dig ch ser den inte heller sm en prdukt att sälja vidare till andra. Vi använder inte dina data för att förbättra våra analyser.

5 En checklista för vårdrganisatiner i Sverige Område Källa Scenari Krav Micrsfts psitin Integritet - kntrll över dina egen data Apteksdatalagen Aptek Infrmatinsförfrågningar ska begränsas ch stå i relatin till receptet, enligt vad sm anges i apteksdatalagen. Vi behandlar bara dina data i den mån det krävs för att leverera den tjänst sm du har begärt, Micrsft analyserar inte dina data för att rikta marknadsföring mt dig för att förbättra våra analyser. Micrsfts företagsmln hålls lgiskt avskilt från privatpersners tjänster. Micrsft erbjuder möjligheten att lägga till autmatiserad plicybaserad mejlkryptering i Office 365 genm Micrsft FreFrnt Prtectin fr Exchange ch Micrsft Exchange Hsted Encryptin. Infrmatin måste raderas när den inte längre behövs för de gdkända syften sm anges i apteksdatalagen. Kunder kan när sm helst ta brt data från mlnet utan att behöva underrätta Micrsft i förväg. Infrmatinen måste antingen permanent annymiseras eller raderas på ett sådant sätt att den inte kan återskapas i efterhand. Patientdatalagen Vårdgivare Infrmatin sm är del av en patientjurnal får bara raderas m: Patienten begär det, ch/eller andra persner vars infrmatin är registrerad i jurnalen; Begäran har gdkänts av Scialstyrelsen Kunder kan när sm helst ta brt data från mlnet utan att behöva underrätta Micrsft i förväg. Micrsft använder bästa arbetssätt för brttagning av data ch en rensningslösning sm uppfyller NIST 800-88. Det finns gd anledning att radera infrmatinen; Det är uppenbart att infrmatinen inte behövs för vården av patienten; ch Det finns inga andra anledningar att behålla infrmatinen ur ett samhälleligt perspektiv. Registeransvarig bär ansvaret för att skyldigheterna uppfylls (men kan förstås delegera till någn annan att uppfylla kravet). Alla brttagningar måste antecknas (bl.a. infrmatin m vem sm tagit brt uppgiften ch när den tgs brt).

6 En checklista för vårdrganisatiner i Sverige Område Källa Scenari Krav Micrsfts psitin Rättning Patientdatalagen Vårdgivare Det måste finnas rutiner för att rätta, bevara, blckera ch srtera persnlig infrmatin. Det finns inga mer specifika instruktiner vad gäller de här kraven. Den registeransvarige har ansvar för att kraven uppfylls (men kan förstås delegera uppgiften till någn annan). Inbyggda funktiner hjälper kunder att möta de här skyldigheterna. Med Office 365:s ediscvery Center kan kunderna bevara ch hitta infrmatin över hela sin rganisatin. Regelansvariga kan identifiera, hålla ch analysera rganisatinens data från Exchange Online, SharePint Online ch Lync Online. Känslig infrmatin kan skyddas med Data Lss Preventin (DLP)-funktinen i Office 365. Exchange Online erbjuder inbyggd DLP sm kan sträckas för att stödja plicyer sm är viktiga för din verksamhet Organisering Klassificering Patientdatalagen Sekretesslagen Vårdgivare Vårdgivare All infrmatinsbehandling måste uppfylla krav på patientsäkerhet, gd kvalitet ch kstnadseffektivitet. Det finns inga mer specifika instruktiner gällande de här kraven. Infrmatin måste stämplas sm knfidentiell. Det är upp till kunden att avgöra vilken infrmatin sm ska hemligstämplas. Office 365 är själv kmpatibelt med många internatinella branschstandarder, t.ex. ISO/IEC 27001:2005, PCI, SSEA16 SOC1 Type II, EU Mdel Clauses ch FISMA. Vi rdnar externa granskningar ch certifieringar så att du kan lita på att våra tjänster är krrekt designade ch drivs med rigrösa säkerhetsåtgärder. Office 365 låter användarna behålla det ursprungliga dkumentfrmatet, vattenstämplar ch signaturer över alla lika enheter ch platser. Micrsft klassificerar infrmatin efter hur mycket den kan påverka verksamheten, ch användare kan använda Micrsfts metd för att klassificera sin infrmatin. Micrsft Online Services-standarderna ger vägledning för att klassificera materialet i lika säkerhetsklasser, ch implementerar sedan en standarduppsättning av säkerhets- ch integritetsattribut. Språk Patientdatalagen Vårdgivare Hälsinfrmatin ska generellt sett vara på svenska. Du kan själv ställa in visningsspråk för Office 365, Lync Online ch SharePint Online - alla på en gång. www.micrsft.cm/health