Sekretess Tillgänglighet Riktighet Spårbarhet Introduktion till Informationssäkerhet Kompetens och ansvar Ledning Teknik Tillämpningsområde: Region Halland
INFORMATIONSSÄKERHET INNEHÅLLSFÖRTECKNING 1 INFORMATIONSSÄKERHET - INLEDNING 3 1.1 Policy för säkerhet och informationssäkerhet 3 1.2 Informationssäkerhet innebär: 3 Informationskvalitet 3 Tillgänglighet 4 Sekretess 4 Riktighet 4 Spårbarhet 4 Teknik 4 2 INFORMATION TILL DIG SOM MEDARBETARE - OM DINA PERSONUPPGIFTER 4 2.1 Register enligt personuppgiftslagen 4 2.2 Personuppgiftsansvarig 4 2.3 Personuppgiftsombud 5 2.4 Ditt ansvar - patientuppgifter 5 2.5 Loggregister och loggkontroll 5 2.6 Registrera med och utan samtycke 5 2.7 Uppgifter som loggas 6 2.8 Loggkontroll 6 2.9 Utdrag personuppgiftsregister 6 2.10 Rättelse 6 3 RUTINER FÖR ATT ANVÄNDA REGIONENS INFORMATIONSSYSTEM 6 3.1 Allmänt 6 3.2 Privat användning 7 Kontroll 7 3.3 Lagring av information och lagringsstruktur 7 3.4 Tjänstelegitimation 8 3.5 In- och utloggning från regionens nät (LHWAN) 8 3.6 Gruppinloggning till regionens nätverk (undantag) 9 Dok ID: Intr infosäk Fastställd av: Regiondirektören Sida 2 av 11
3.7 E-post 9 3.8 Internet 9 3.9 Dataintrång, brott mot tystnadsplikt och/eller sabotage it-system 9 3.10 Sekretess i folkbokföringen 9 3.11 Distansarbete 9 3.12 Offentlighetsprincipen 10 3.13 Sekretess och tystnadsplikt 10 3.14 Introduktion till Offentlighetsprincipen 11 3.15 Bilagor 11 Blanketter: Bilaga 1 Introduktion till informationssäkerhet Bilaga 2 Sekretess anställd kvittens 1 Informationssäkerhet - inledning Denna introduktion är en sammanfattning av de viktigaste delarna i kapitel Informationssäkerhet med rutiner. Kapitlet hör till område 3 i ledningssystemet och beskriver vad informationssäkerhet innebär och hur vi i regionen ska arbeta med det. Region Hallands informationssystem ska stödja verksamheten genom att förbättra möjligheterna till information och kommunikation, såväl inom verksamheten som i kontakterna med externa vårdgivare, myndigheter och andra intressenter. En förutsättning för att hälso-, sjuk- och tandvårdens samt övriga verksamheters krav på sekretess och allmän säkerhet ska vara tillgodosedda, är att alla användare följer detta regelverk. 1.1 Policy för säkerhet och informationssäkerhet Region Halland har en policy för säkerhet och informationssäkerhet. 1.2 Informationssäkerhet innebär: Informationskvalitet Kvaliteten på själva informationen är viktig för att få rätt resultat i verksamheten. Informationskvalitet innebär att informationen är: korrekt, komplett, registrerad/rapporterad i rätt tid, tillförlitlig, noggrann, har rätt detaljeringsgrad, inte är motstridig. Några principer för att uppnå informationskvalitet: Rätt från början (genom utbildning, manualer, valideringar av indata). Rätta vid källan Rätta så fort som möjligt (innan en ny information skapas baserad på den felaktiga.) Dok ID: Intr infosäk Fastställd av: Regiondirektören Sida 3 av 11
Återanvänd redan registrerad information för att minska onödig registrering och undvika registrering av motstridiga uppgifter. Informationskvalitet är en del i hantering av information. Andra viktiga begrepp för en säker informationshantering är: Tillgänglighet Informationen ska vara tillgänglig för behöriga användare, för att: personalen ska ha tillgång till information i rätt tid, när man behöver den. Sekretess Informationen ska vara skyddad för obehöriga, för att: värna om integritet (patienters, medarbetares, leverantörers med flera). Riktighet Informationen ska vara korrekt och oförvanskad. Det betyder att den inte får förändras av någon obehörig, av misstag eller på grund av funktionsbrist, för att: personalen ska ha rätt information för att kunna göra riktiga och säkra bedömningar. Spårbarhet Informationen ska kunna spåras till enskild användare, för att: ledningen ska kunna följa upp vem som har gjort vad, var och när. Teknik Tekniken ska säkra: att personalen får tillgång till, kan hantera och kommunicera information och att obehöriga inte får åtkomst. 2 Information till dig som medarbetare - om dina personuppgifter Under denna rubrik får du som anställd veta din rätt att enligt lag få information om hur arbetsgivaren hanterar dina personuppgifter, vem som är personuppgiftsansvarig, syftet med registren, med mera. 2.1 Register enligt personuppgiftslagen Personuppgifter behöver inte vara personnummer utan det räcker med att man kan härleda uppgifterna till en enskild individ och det gäller både patient och personal. Ett personuppgiftsregister är sökbart. Sökbara personregister får bara tas i bruk när de godkänts av personuppgiftsombudet. En personuppgiftsanmälan ska lämnas till personuppgiftsombudet. Se rutin: Personuppgifter. Se blankett: Personuppgiftsregister anmälan. 2.2 Personuppgiftsansvarig Regionstyrelsen är personuppgiftsansvarig för regionövergripande system, till exempel personal- och ekonomiregister, system för åtkomst till internet och system för att skicka e-post. Dok ID: Intr infosäk Fastställd av: Regiondirektören Sida 4 av 11
Respektive driftnämnd/styrelse är personuppgiftsansvarig för de system som används inom respektive nämndsområde. Regionstyrelsen och respektive driftnämnd/styrelse kan ha ett delat personuppgiftsansvar, till exempel journalsystemet VAS. 2.3 Personuppgiftsombud De personuppgiftsansvariga utser personuppgiftsombud som ska se till att lagens krav uppfylls. Personuppgiftsombudet godkänner ansökningar om att få upprätta nya register samt för förteckning över alla register som ska hanteras. Om du vill få information om vilka personuppgifter om dig som finns registrerade kan du begära detta skriftligt hos personuppgiftsombudet för din förvaltning. Det är också dit du ska vända dig för att begära rättelse av felaktig eller missvisande uppgift. Uppgifter om vilka som är personuppgiftsombud och mer om personuppgiftslagen finns på Lina/Administrativt stöd/juridik. 2.4 Ditt ansvar - patientuppgifter För att få ta del av patientuppgifter ska du ha tilldelats behörigheter av din chef. Du får lov att läsa och skriva i en patientjournal om du deltar i vården av patient eller av annat skäl behöver uppgifterna för ditt arbete inom hälso- och sjukvården. Att läsa journal på patient som man inte har vårdrelation med eller behövt uppgifterna i speciella uppdrag betraktas som dataintrång/sekretessbrott. Om loggkontroll visar att du olovligen tagit del av uppgifter kan det leda till polisanmälan eller arbetsrättslig åtgärd. Se rutin Misstanke om dataintrång, brott mot tystnadsplikt, it-sabotage. 2.5 Loggregister och loggkontroll När användare registrerar uppgifter i it-system skapas loggar som visar vem som gjort vad, var och när i ett loggregister. Loggregister är också personuppgiftsregister. För journalsystem är det lagstyrt att loggarna ska kontrolleras regelbundet. Syftet med att föra loggregister och kontrollera loggar i journalsystem och administrativa system är att obehöriga inte ska ha tillgång till patientuppgifter eller andra personuppgifter. Syftet med att föra loggregister och kontrollera loggar för besökare på internet är att säkra att du som anställd följer de regler som fastställts i rutin Internet och att samtidigt säkra kontrollen av teknik och säkerhet. 2.6 Registrera med och utan samtycke Enligt personuppgiftslagen är grunden för att få registrera personuppgifter att du lämnar ditt samtycke. Men undantag finns. Din arbetsgivare får registrera personuppgifter utan ditt samtycke när uppgifterna är nödvändiga för verksamheten. Detta kallas i lagen för intresseavvägning. Det vill säga att syftet med registreringen väger över. Ett exempel är personuppgifter i lönesystem. Dok ID: Intr infosäk Fastställd av: Regiondirektören Sida 5 av 11
2.7 Uppgifter som loggas Vad som loggas skiljer sig från system till system. Generellt sett är det följande uppgifter som loggas: Journalloggar: Användarnamn, arbetsplats, var i journalen, vad användaren gjort, datum, start- och stopptid. Internetloggar: IP-nummer, användarnamn, arbetsplats, internetadress, vilken sida som besökts, datum och tid. Passerkortsloggar: Efternamn, förnamn, arbetsplats, ingång, datum, klockslag, port. Administrativa loggar: Beroende på system till exempel användarnamn, datum, startoch stopptid, var i systemet. Systemadministratörsloggar: Beroende på system till exempel användarnamn, datum, start- och stopptid, var i systemet. 2.8 Loggkontroll Verksamhetschef eller motsvarande ansvarar för att kontroll av loggar i system genomförs, det vill säga den som har rätt att dela ut behörigheter har också skyldighet att se till att loggarna granskas. Loggar och dokumentation förvaras inlåst så att obehöriga inte kan få tillgång till uppgifterna. Loggar från journalsystem ska sparas i 10 år. Loggar från administrativa system ska sparas 2 år. Internetloggar sparas i tre månader. Dokumentationen av loggkontrollen sparas 2 år. 2.9 Utdrag personuppgiftsregister Du har rätt till ett kostnadsfritt registerutdrag en gång per år efter skriftlig ansökan till personuppgiftsombudet. Se rubrik Personuppgiftsombud ovan. 2.10 Rättelse Om felaktiga personuppgifter finns registrerade om dig har du rätt till rättelse. Du kan också ha rätt till rättelse om du anser att informationen varit otillräcklig, att personuppgifterna inte skyddas på lämpligt sätt eller att kontroller utförs utan att det finns lagligt stöd. Vänd dig till personuppgiftsombudet. 3 Rutiner för att använda regionens informationssystem 3.1 Allmänt Det är förbjudet att till regionens nät ansluta datorer, som inte ställts i ordning av ITservice. Misstanke om virus i program eller datafiler ska omedelbart rapporteras till IT- Service. Behov av att installera program eller tillägg till program lämnas till närmaste chef som tar upp det enligt systemförvaltningsmodellen pm 3. Städa skrivbord En arbetsplats ska lämnas städad från pappersdokument och andra media, till exempel USB och CD, som innehåller känslig information. Denna ska låsas in. Dok ID: Intr infosäk Fastställd av: Regiondirektören Sida 6 av 11
Städa skrivbord på datorn Spara inte dokument direkt på datorns skrivbord. All lagring av dokument ska göras i avsedda kataloger. Låsa dator När datorn lämnas utan uppsikt ska i första hand Ctrl/Alt/Delete = lås dator - funktionen användas. I andra hand kan en skärmsläckare aktiveras. Skärmsläckare ska vara lösenordsskyddad. Endast skärmsläckare som finns i Kontrollpanelen får användas. 3.2 Privat användning Informationen i våra it-system och lagringsenheter tillhör regionen och ska vara arbetsrelaterad. Lagring kostar och prestanda på system påverkas av storleken på lagrad information. G- och H-katalogerna upplevs ibland som privata men det är inte tillåtet att spara musikfiler, dokument av privat karaktär (till exempel foton) på något av regionens lagringsutrymmen. Kontroll Ledningen har rätt att få inblick i och kontrollera all information som är lagrad i regionens it-system. Ledningen kan därför när som helst kontrollera vad som finns lagrat i regionens lagringsutrymmen. Privat nyttjande av regionens lagringsutrymmen kan leda till arbetsrättsliga åtgärder. 3.3 Lagring av information och lagringsstruktur Patientinformation Patientinformation i form av journalhandling får inte sparas på någon av nedanstående kataloger utan endast i särskilda vårdsystem eller i undantagsfall (digitala bilder) på CD, se ovan under rubrik Lagring av elektronisk information. G-katalog Här sparas verksamhetsgemensamma dokument och filer. Patientinformation i form av journaluppgifter får inte sparas här. Säkerhetskopieras. Egen profil Den egna användarprofilen, (C) är maximerad till 100 MB. Här finns till exempel användarens egna inställningar i program, favoriter, e-postlåda med mera. Även sådant som sparats på datorns skrivbord finns här. Därför ska dokument inte sparas på skrivbordet av utrymmesskäl. Om profilen överstiger 100 MB kommer du inte att kunna logga ut innan profilen är anpassad till den storlek som gäller. En ikon visas då med text om att din profil har överstigits. Kontroll av profilstorlekar sker med automatik och övervakas av IT-avdelningen. H-katalog Här sparas dokument som man som användare själv kommer åt och som ingen annan har åtkomst till. Det är därför viktigt att bedöma vad som sparas här. Visst arbetsmaterial kan vara ett sådant exempel. När dokumentets status förändras så att fler kan behöva ha tillgång ska det flyttas över till G-katalogen. Patientinformation i form av journaluppgifter får inte sparas här. Bilder, musik och film får inte heller Dok ID: Intr infosäk Fastställd av: Regiondirektören Sida 7 av 11
sparas här. IT-service har befogenhet att radera dessa filtyper om de sparas på H. Chef ska kunna ha inblick i och kontrollera innehållet i H-katalog. Säkerhetskopieras. IT-avdelningen kontrollerar kontinuerligt hemkatalogens (H:) storlek via analysverktyg, där vissa filtyper kan urskiljas. Vid oproportionerligt stor (större än medelvärde) hemkatalog skickas meddelande till användare med kopia till närmaste chef. Användaren uppmanas rensa sin katalog eller förklara behovet av extra stor katalog. Detta behov ska godkännas av chefen. C-katalog Lokal hårddisk, ska inte användas för lagring av dokument. Säkerhetskopieras inte. Y-katalog Förvaltningsgemensam resurs. Här sparas gemensamma dokument, exempelvis från arbetsgrupper, som arbetar över klinik/avdelningsgränserna. Administreras av personal med särskild behörighet. Patientinformation i form av journaluppgifter får inte sparas här. Säkerhetskopieras. Sharepoint I Sharepoint kan lagras information som behöver delas av flera. Det handlar om deltagare i projekt, ledningsgrupper, nätverksgrupper etcetera. Patientinformation i form av journaluppgifter får inte sparas här. Bibliotek och mapp-struktur Biblioteksstrukturen ska vara uppbyggd utifrån hur verksamheten är organiserad, det vill säga arbetsområde och ämne. Mappar döpta med egennamn får inte förekomma. 3.4 Tjänstelegitimation Tjänstelegitimationen är ett personligt id-kort med elektroniska legitimationer som möjliggör en säker identifiering, och hantering av känslig information. Kortet talar om vem du är och vad du har behörighet till, det vill säga nyckeln till vad du får lov att göra. Se rutiner i ledningssystemet Tjänstelegitimation. 3.5 In- och utloggning från regionens nät (LHWAN) Användare ska logga in på nätverket med egen inloggningsidentitet (användarnamn och lösenord) alternativt med tjänstelegitimation. Identiteten, och resurser som hör till den är personliga. Lösenordet, som tillhör identiteten, ska hållas hemligt. Den som äger identiteten ansvarar för de aktiviteter som görs. Det är inte tillåtet att låna ut identiteten till någon annan. Tvingande lösenordsbyte tillämpas automatiskt varannan månad. Logga ut från nätverket efter avslutat arbetspass. Datorer i nätverk får inte stängas av - detta för att uppdateringar av antivirusprogram ska kunna göras snabbt och effektivt. En gång per vecka ska starta om dator - funktionen användas. Lösenord Dok ID: Intr infosäk Fastställd av: Regiondirektören Sida 8 av 11
Tvingande lösenordsbyte för tillgång till regionens nät tillämpas. Efter tre försök med felaktigt lösenord spärras man ut, men först får man en förvarning. Använt lösenord kan inte användas omgående igen - nya lösenord måste skapas vid sex lösenordsbyten innan det första kan användas på nytt. Ett lösenord måste innehålla minst sex tecken och får endast innehålla versaler/gemener A-Z och numeriska tecken 1-9. 3.6 Gruppinloggning till regionens nätverk (undantag) Gruppinloggning innebär att flera personer gemensamt använder en inloggningsidentitet. Gruppinloggning får undantagsvis tillämpas på de ställen där ett fåtal datorer används av flera personer. Var och en som loggar in ansvarar för sina egna aktiviteter. Gruppinloggning medger begränsad tillgång till funktioner i regionens nät. 3.7 E-post Se rutin E-post. 3.8 Internet Se rutin Internet. 3.9 Dataintrång, brott mot tystnadsplikt och/eller sabotage it-system Dataintrång, brott mot tystnadsplikt och/eller sabotage it-system kan leda till arbetsrättsliga åtgärder eller polisanmälan. Se rutin Misstanke om dataintrång, brott mot tystnadsplikt och/eller sabotage it-system. 3.10 Sekretess i folkbokföringen Uppgifter om personer i folkbokföringen, till exempel namn, adress och personnummer, är vanligtvis offentliga. I vissa fall är det viktigt att hindra att en normalt harmlös uppgift lämnas ut. Ett sådant fall kan vara när en person är utsatt för ett hot från någon annan och därför behöver skydda sin adress. Se rutin Sekretess i folkbokföringen. 3.11 Distansarbete Distansarbete ska regleras i avtal mellan närmaste chef och medarbetare. Det kan utföras på en arbetsdator från Region Halland. Distansarbete kan också ske via extern dator men då krävs en etablerad säkerhetslösning där man via en säkerhetsdosa (till exempel Citrix) erhåller ett inlogg med högre säkerhetsfaktor till regionens nätverk. Detta innebär att användaren via en så kallad tunnel arbetar direkt i regionens nätverk med programvara som finns installerad på server. Ingen information är möjlig att spara eller spåra lokalt på den dator som används för uppkopplingen. Programvara som finns lokalt på datorn går inte heller att använda under uppkopplingen förutom Internet explorer. Chef beslutar och beställer lösning via Lina/System/Servicedesk. Fasta och bärbara datorer som används för distansarbete ska: Förvaras på ett betryggande sätt och inte lämnas utan uppsikt. Dok ID: Intr infosäk Fastställd av: Regiondirektören Sida 9 av 11
Endast användas i tjänsten (gäller inte säkerhetsdosa). Endast innehålla program som installerats av IT-service (gäller inte dosa). Säkerhetskopieras enligt rutin på IT-service (gäller inte dosa). Utrustning ska omedelbart återlämnas om/när hemarbetet eller anställningen upphör. 3.12 Offentlighetsprincipen Tryckfrihetsförordningen är en av Sveriges grundlagar. Den ger medborgarna en unik insyn i all offentlig verksamhet, det brukar kallas offentlighetsprincipen. Det här ställer också särskilda krav på oss som är anställda i den offentliga sektorn. Vi måste se till att lagen följs, så att alla får möjlighet att utöva sina demokratiska rättigheter. Tryckfrihetsförordningen är en av våra viktigaste lagar och reglerar hur hanteringen av information ska ske hos en myndighet allt ifrån diarieföring till arkiv. Myndighet är i detta sammanhang politisk nämnd/styrelse i Region Halland och förvaltningsområde är myndighetsområde. Förvaltningslagen innehåller krav på service och handläggning. Diarieföring Om en inkommen eller upprättad handling är att betrakta som allmän handling ska den registreras omgående. Region Hallands ledningskanslier diarieför inkommande och utgående handlingar i diariesystemet Platina. Diariet kan liknas vid ett register över utgående, inkommande och upprättade handlingar. Med hjälp av diariet kan den egna personalen och allmänheten få reda på vilka allmänna handlingar som förvaras hos myndigheten. Det bör vara möjligt för varje ärende att få en samlad bild av handläggningsprocessen från initiering till beslut och expediering. Allmän handling - Cookie En cookie är den information som sänds från en besökt webbserver på internet till webbläsaren (den dator varifrån internet har nåtts). Webbläsaren sparar dessa elektroniska spår på datorns hårddisk. En cookie är en allmän handling. Regionstyrelsen har beslutat att en cookie får gallras efter 5 dagar. Gallringen görs av var och en själv. Se rutin Radering av cookies. Allmän handling - Spam Oönskad e-post, ett misstänkt Spam visas i inkorgen med Troligen SPAM i ämnesraden. Mottagaren bedömer om det är Spam eller inte. 3.13 Sekretess och tystnadsplikt Offentlighets- och sekretesslagen (SFS 2009:400) innehåller bestämmelser om sekretess i offentlig verksamhet. Huvudregeln är att alla allmänna handlingar är offentliga. Exempel på undantag är patientjournaler, som är allmänna men sekretessbelagda handlingar. För att skydda patienternas personliga integritet gäller sekretess inom hälso- och sjukvården för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden. Sekretess innebär att det är förbjudet att röja en uppgift, oavsett om man gör det Dok ID: Intr infosäk Fastställd av: Regiondirektören Sida 10 av 11
muntligt, skriftligt, genom att lämna ut/visa handlingar eller på annat sätt. Sekretess gäller inte, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående lider men. Sekretess kan även gälla andra handlingar som till exempel upphandlingsunderlag, personaladministrativa handlingar med uppgifter om enskilds personliga förhållanden, information inför facklig förhandling samt resultat av genomförda riskanalyser. Se Rutiner beskrivningar: Sekretess och samtycken i vården. 3.14 Introduktion till Offentlighetsprincipen I dokumentet Introduktion till Offentlighetsprincipen, Rutiner/beskrivningar i ledningssystemet finns mer information om allmänna handlingar, sekretess, diarieföring, arkivering med mera. Exempelvis finns där information om vilka allmänna handlingar som ska diarieföras och vilka allmänna handlingar som inte behöver diarieföras. 3.15 Bilagor Följande bilagor finns från nästa sida: Bilaga 1: Introduktion till informationssäkerhet - kvittens ( blankett) Bilaga 2 Sekretess anställd - kvittens (blankett) Dok ID: Intr infosäk Fastställd av: Regiondirektören Sida 11 av 11
Fastställd av: Regiondirektören Utfärdare: Nätverk ledningssystem Giltig fr o m: 2011-02-08 Område: 3 - Informationssäkerhet Utgåva: 6 Ersätter: 2010-01-04 Tillämpningsområde: Region Halland Introduktion till informationssäkerhet blankett Bilaga 1 (Bilaga till rutin/beskrivning Introduktion till informationssäkerhet) Jag har läst igenom, förstått och accepterat innehållet i rutin /beskrivning Introduktion till informationssäkerhet. Jag förbinder mig att fortsättningsvis ta del av förändringar och nyheter inom detta område. Mer information om informationssäkerhet med rutiner finns i ledningssystemet, framför allt i följande kapitel: Information, informationsklassning och säkerhetsnivåer i område 1 samt Informationssäkerhet i område 3. Datum:. Underskrift. Namnförtydligande. Personnummer
Fastställd av: Regiondirektören Utfärdare: Nätverk ledningssystem Giltig fr o m: 2011-05-09 Avsnitt 3 Informationssäkerhet Utgåva: 3 Ersätter: 2011-02-08 Vad innebär sekretess - tystnadsplikt? Bilaga 2 Tillämpningsområde: Region Halland Sekretess innebär att man inte får berätta eller lämna ut uppgifter om en patient till någon annan än den som deltar i patientens vård man har tystnadsplikt om vad man vet! Diskutera därför inte enskilds patients hälsa eller andra personliga förhållanden med någon som inte deltar i patientens vård eller behandling. Detta gäller även om han eller hon i sin tur också har tystnadsplikt. Sekretessen gäller även efter det att man har slutat arbeta inom hälso- och sjukvården livet ut. Det är inte självklart att uppgifter om patienten ska lämnas ut till anhöriga eller närstående. Fråga vad patienten själv vill eller kontrollera om det finns ett medgivande dokumenterat i journalen. Man ska inte ens tala om att patienten är inlagd på en vårdavdelning om det till exempel i journalen tydligt framgår att denna uppgift inte kan lämnas ut. Man har inte heller rätt att ta del av dokumenterad information om patienter om man inte deltar i vården av patienten eller på annat sätt behöver uppgifterna för att utföra sitt arbete. Undantag Undantag finns. I vissa fall är man skyldig att lämna ut uppgifter som egentligen är sekretessbelagda. Kontakta närmaste chef eller regionens jurister vid osäkerhet. Vilka uppgifter gäller sekretessen? Sekretessen gäller till exempel uppgifter om vem som är patient, den patientens sjukdom och behandling, patientens adressuppgifter, uppgifter om familjeförhållanden och andra sociala förhållanden, arbetsoförmåga, arbetsgivare med mera. Dessa uppgifter finns ofta i patientjournaler eller i anteckningar förda på annat sätt, men sekretessen gäller också sådant som patienterna eller deras närstående själva talat om för vårdpersonalen. För vem gäller offentlighets- och sekretesslagen? Inom hälso- och sjukvården gäller lagen för alla anställda, oavsett befattning och arbetsuppgifter. Sekretessen gäller också studerande och praktikanter. Brott mot tystnadsplikten Brott mot tystnadsplikten faller under allmänt åtal och kan ge böter eller fängelse i högst ett år. Kvittens Jag har läst och förstått vad som avses med sekretess och tystnadsplikt. Jag förbinder mig att ta del av dokumenterade uppgifter om en patient endast om jag deltar i vården av patienten eller om jag i mitt uppdrag av annat skäl behöver uppgifterna. Jag försäkrar också att jag inte obehörigen ska lämna ut till fysisk eller juridisk person den information som jag får kännedom om i mitt uppdrag inom Region Halland. Datum Namnunderskrift.. Namnförtydligande Personnummer