Introduktion till Informationssäkerhet



Relevanta dokument
Introduktion till Informationssäkerhet

IT-Policy Vuxenutbildningen

Syfte Behörig. in Logga 1(6)

För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare

Sammanfattning av riktlinjer

Monitorerares tillgång till Cosmic vid kliniska prövningar

Tyresö kommuns riktlinjer för hantering av e-post

1. Förvaltning:... Verksamhetsområde: Kontaktperson: Personregistrets benämning. 4. Hur sker information till de registrerade?

Informationssäkerhet, ledningssystemet i kortform

Ny i nätverket kontoansökan och information till tillfälliga användare

Hur får jag använda patientjournalen?

IT-säkerhetsinstruktion

ANVÄNDARHANDBOK. Advance Online

Informationssäkerhetsanvisning

Informationssäkerhet

Informationshantering och journalföring. nya krav på informationssäkerhet i vården

Sekretess, lagar och datormiljö

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

Information till nyanställda inom barn- och utbildningsförvaltningen

Härnösands kommun. Så använder Du. e-post i. Bestämmelser om e-post för kommunala förvaltningar och bolag. Antagna av kommunstyrelsen , 62.

Riktlinjer för informationssäkerhet

Dataintrång - åtgärder vid misstanke om olovlig åtkomst

IT riktlinjer vid användandet av Elektronisk post

Gäller från 1 januari 2007 Antagen av KF 246/2006. IT-säkerhetsinstruktion för användare

Vet du vad det står om dig? Om personuppgifter, patientjournalen, biobanker och nationella kvalitetsregister.

ANVÄNDARHANDBOK Advance Online

riktlinje modell plan policy program regel rutin strategi taxa för behandling av personuppgifter i socialnämndens dataregister ...

ORU /2016 Användning av IT-resurser - riktlinjer vid Örebro universitet

Regler för användning av Riksbankens ITresurser

Sekretess och tystnadsplikt

Antagen av kommunstyrelsen Reviderad

Policy för användande av IT

Tystnadsplikt och sekretess i vården

KVALITETSSYSTEM Socialförvaltningen

Syfte...1 Omfattning...1 Beskrivning...1

Logghantering för hälso- och sjukvårdsjournaler

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

Riktlinjer för logghantering, kontroll och åtkomst enligt Patientdatalagen (PDL) och SOSFS 2008:14 (Vodok och NPÖ)

Dessa riktlinjer utgör en del av kommunens Informations- och kommunikationsstrategi samt kommunens e-poststrategi och fastställs av Kommunstyrelsen.

Informationssäkerhet i patientjournalen

Kändisspotting i sjukvården

Hantering av loggkontroller och intrång i journal- och passagesystem

Handledning i informationssäkerhet Version 2.0

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser

Rutin för loggning av HSL-journaler samt NPÖ

Tillämpningsanvisningar för tillgång till och utlämnande av patientinformation

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.3

Informationssäkerhet med logghantering och åtkomstkontroll av hälso- och sjukvårdsjournaler i Vodok och nationell patientöversikt (NPÖ)

MAS Kvalitets HANDBOK för god och säker vård

Informationssäkerhetsinstruktion. medarbetare

VGR-RIKTLINJE FÖR ÅTKOMST TILL INFORMATION

Riktlinjer för användande av kommunens datorer och Internet för anställda och förtroendevalda i Laholms kommun

Riktlinjer för samtal med medarbetare beträffande loggranskning

INTRODUKTIONSRUTIN FÖR NYANSTÄLLD PERSONAL PÅ FÖRSKOLAN KARLAVAGNEN

Administrativ IT-säkerhetspolicy Version 1.0 Fastställd

Riktlinjer om e-post Dnr 1-202/2019. Gäller fr.o.m

Uppdaterad Dataskyddspolicy

Informationssäkerhetsinstruktion: Användare

Förteckning över personuppgifter som behandlas i C3 Connect

Sammanhållen journalföring

4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun

Riktlinjer för e-posthantering i Norrköpings kommun

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Så här behandlar vi dina personuppgifter

Kvalitetsregister & Integritetsskydd. Patrik Sundström, jurist SKL

Denna föreskrift riktar sig till anställda vid Stockholms universitet samt till personer som arbetar på uppdrag av universitetet.

DOKUMENTNAMN: IT-användarpolicy SKAPAT DEN: TYP AV DOKUMENT: Policy SENAST ÄNDRAT DEN:

Nationell Patientöversikt (NPÖ) för en effektiv och säker vård inom vård- och omsorgsboende i Solna kommun

Riktlinje för hantering av personuppgifter i e-post och kalender

RIKTLINJER FÖR SOCIALA MEDIER. Bakgrund. Syfte. Användning av sociala mediekanaler. Ansvar för publicering. Sida 1(5)

Malmö stads riktlinjer för sociala medier

Dokumentation Hälso- och sjukvård HSL

Det föreslagna beslutet medför inga kända ekonomiska konsekvenser för kommunen.

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Riktlinjer vid användning av e-post i

Riktlinje för hälso- och sjukvårdsdokumentation

Information om personuppgiftslagens tillämpning i Riksbanken

Informationssäkerhet för Sektor omsorg

VIKTIG INFORMATION!!!

Elektronisk informationssäkerhet. Riktlinjer för Användare - anställda och förtroendevalda. Eslövs kommun

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun.

Legitimerad hälso- och sjukvårdspersonal samt kuratorer inom den kommunala hälso- och sjukvården är skyldiga att föra journal.

Vägledande rutin för chefer om kontroll av hur arbetstagare använder kommunens IT-utrustning och ITresurser

Postadress Besöksadress Telefon Telefax E-post Norrköpings kommun Rådhuset

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem

HÄLSO- OCH SJUKVÅRDSDOKUMENTATION SAMT HANTERING AV JOURNALUPPGIFTER

Informationssäkerhetsinstruktion Mora, Orsa och Älvdalens kommuner

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Informationssäkerhetsinstruktion Användare: Elever (3:0:1)

RUTIN FÖR SEKRETESS INOM SOCIALTJÄNSTEN

Introduktion för förskollärare- och barnskötare elever

Information om personuppgiftsbehandling till studenter

Beslutad av Magnus Johansson, vård- och omsorgsdirektör den 4 april 2016.

Bilaga 1 - Handledning i informationssäkerhet

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA

Förklaringar till Nationellt regelverk för enskilds direktåtkomst till journalinformation

Dnr 2007/83 PS 004. Riktlinjer för elevernas IT användning i proaros skolverksamhet

Transkript:

Sekretess Tillgänglighet Riktighet Spårbarhet Introduktion till Informationssäkerhet Kompetens och ansvar Ledning Teknik Tillämpningsområde: Region Halland

INFORMATIONSSÄKERHET INNEHÅLLSFÖRTECKNING 1 INFORMATIONSSÄKERHET - INLEDNING 3 1.1 Policy för säkerhet och informationssäkerhet 3 1.2 Informationssäkerhet innebär: 3 Informationskvalitet 3 Tillgänglighet 4 Sekretess 4 Riktighet 4 Spårbarhet 4 Teknik 4 2 INFORMATION TILL DIG SOM MEDARBETARE - OM DINA PERSONUPPGIFTER 4 2.1 Register enligt personuppgiftslagen 4 2.2 Personuppgiftsansvarig 4 2.3 Personuppgiftsombud 5 2.4 Ditt ansvar - patientuppgifter 5 2.5 Loggregister och loggkontroll 5 2.6 Registrera med och utan samtycke 5 2.7 Uppgifter som loggas 6 2.8 Loggkontroll 6 2.9 Utdrag personuppgiftsregister 6 2.10 Rättelse 6 3 RUTINER FÖR ATT ANVÄNDA REGIONENS INFORMATIONSSYSTEM 6 3.1 Allmänt 6 3.2 Privat användning 7 Kontroll 7 3.3 Lagring av information och lagringsstruktur 7 3.4 Tjänstelegitimation 8 3.5 In- och utloggning från regionens nät (LHWAN) 8 3.6 Gruppinloggning till regionens nätverk (undantag) 9 Dok ID: Intr infosäk Fastställd av: Regiondirektören Sida 2 av 11

3.7 E-post 9 3.8 Internet 9 3.9 Dataintrång, brott mot tystnadsplikt och/eller sabotage it-system 9 3.10 Sekretess i folkbokföringen 9 3.11 Distansarbete 9 3.12 Offentlighetsprincipen 10 3.13 Sekretess och tystnadsplikt 10 3.14 Introduktion till Offentlighetsprincipen 11 3.15 Bilagor 11 Blanketter: Bilaga 1 Introduktion till informationssäkerhet Bilaga 2 Sekretess anställd kvittens 1 Informationssäkerhet - inledning Denna introduktion är en sammanfattning av de viktigaste delarna i kapitel Informationssäkerhet med rutiner. Kapitlet hör till område 3 i ledningssystemet och beskriver vad informationssäkerhet innebär och hur vi i regionen ska arbeta med det. Region Hallands informationssystem ska stödja verksamheten genom att förbättra möjligheterna till information och kommunikation, såväl inom verksamheten som i kontakterna med externa vårdgivare, myndigheter och andra intressenter. En förutsättning för att hälso-, sjuk- och tandvårdens samt övriga verksamheters krav på sekretess och allmän säkerhet ska vara tillgodosedda, är att alla användare följer detta regelverk. 1.1 Policy för säkerhet och informationssäkerhet Region Halland har en policy för säkerhet och informationssäkerhet. 1.2 Informationssäkerhet innebär: Informationskvalitet Kvaliteten på själva informationen är viktig för att få rätt resultat i verksamheten. Informationskvalitet innebär att informationen är: korrekt, komplett, registrerad/rapporterad i rätt tid, tillförlitlig, noggrann, har rätt detaljeringsgrad, inte är motstridig. Några principer för att uppnå informationskvalitet: Rätt från början (genom utbildning, manualer, valideringar av indata). Rätta vid källan Rätta så fort som möjligt (innan en ny information skapas baserad på den felaktiga.) Dok ID: Intr infosäk Fastställd av: Regiondirektören Sida 3 av 11

Återanvänd redan registrerad information för att minska onödig registrering och undvika registrering av motstridiga uppgifter. Informationskvalitet är en del i hantering av information. Andra viktiga begrepp för en säker informationshantering är: Tillgänglighet Informationen ska vara tillgänglig för behöriga användare, för att: personalen ska ha tillgång till information i rätt tid, när man behöver den. Sekretess Informationen ska vara skyddad för obehöriga, för att: värna om integritet (patienters, medarbetares, leverantörers med flera). Riktighet Informationen ska vara korrekt och oförvanskad. Det betyder att den inte får förändras av någon obehörig, av misstag eller på grund av funktionsbrist, för att: personalen ska ha rätt information för att kunna göra riktiga och säkra bedömningar. Spårbarhet Informationen ska kunna spåras till enskild användare, för att: ledningen ska kunna följa upp vem som har gjort vad, var och när. Teknik Tekniken ska säkra: att personalen får tillgång till, kan hantera och kommunicera information och att obehöriga inte får åtkomst. 2 Information till dig som medarbetare - om dina personuppgifter Under denna rubrik får du som anställd veta din rätt att enligt lag få information om hur arbetsgivaren hanterar dina personuppgifter, vem som är personuppgiftsansvarig, syftet med registren, med mera. 2.1 Register enligt personuppgiftslagen Personuppgifter behöver inte vara personnummer utan det räcker med att man kan härleda uppgifterna till en enskild individ och det gäller både patient och personal. Ett personuppgiftsregister är sökbart. Sökbara personregister får bara tas i bruk när de godkänts av personuppgiftsombudet. En personuppgiftsanmälan ska lämnas till personuppgiftsombudet. Se rutin: Personuppgifter. Se blankett: Personuppgiftsregister anmälan. 2.2 Personuppgiftsansvarig Regionstyrelsen är personuppgiftsansvarig för regionövergripande system, till exempel personal- och ekonomiregister, system för åtkomst till internet och system för att skicka e-post. Dok ID: Intr infosäk Fastställd av: Regiondirektören Sida 4 av 11

Respektive driftnämnd/styrelse är personuppgiftsansvarig för de system som används inom respektive nämndsområde. Regionstyrelsen och respektive driftnämnd/styrelse kan ha ett delat personuppgiftsansvar, till exempel journalsystemet VAS. 2.3 Personuppgiftsombud De personuppgiftsansvariga utser personuppgiftsombud som ska se till att lagens krav uppfylls. Personuppgiftsombudet godkänner ansökningar om att få upprätta nya register samt för förteckning över alla register som ska hanteras. Om du vill få information om vilka personuppgifter om dig som finns registrerade kan du begära detta skriftligt hos personuppgiftsombudet för din förvaltning. Det är också dit du ska vända dig för att begära rättelse av felaktig eller missvisande uppgift. Uppgifter om vilka som är personuppgiftsombud och mer om personuppgiftslagen finns på Lina/Administrativt stöd/juridik. 2.4 Ditt ansvar - patientuppgifter För att få ta del av patientuppgifter ska du ha tilldelats behörigheter av din chef. Du får lov att läsa och skriva i en patientjournal om du deltar i vården av patient eller av annat skäl behöver uppgifterna för ditt arbete inom hälso- och sjukvården. Att läsa journal på patient som man inte har vårdrelation med eller behövt uppgifterna i speciella uppdrag betraktas som dataintrång/sekretessbrott. Om loggkontroll visar att du olovligen tagit del av uppgifter kan det leda till polisanmälan eller arbetsrättslig åtgärd. Se rutin Misstanke om dataintrång, brott mot tystnadsplikt, it-sabotage. 2.5 Loggregister och loggkontroll När användare registrerar uppgifter i it-system skapas loggar som visar vem som gjort vad, var och när i ett loggregister. Loggregister är också personuppgiftsregister. För journalsystem är det lagstyrt att loggarna ska kontrolleras regelbundet. Syftet med att föra loggregister och kontrollera loggar i journalsystem och administrativa system är att obehöriga inte ska ha tillgång till patientuppgifter eller andra personuppgifter. Syftet med att föra loggregister och kontrollera loggar för besökare på internet är att säkra att du som anställd följer de regler som fastställts i rutin Internet och att samtidigt säkra kontrollen av teknik och säkerhet. 2.6 Registrera med och utan samtycke Enligt personuppgiftslagen är grunden för att få registrera personuppgifter att du lämnar ditt samtycke. Men undantag finns. Din arbetsgivare får registrera personuppgifter utan ditt samtycke när uppgifterna är nödvändiga för verksamheten. Detta kallas i lagen för intresseavvägning. Det vill säga att syftet med registreringen väger över. Ett exempel är personuppgifter i lönesystem. Dok ID: Intr infosäk Fastställd av: Regiondirektören Sida 5 av 11

2.7 Uppgifter som loggas Vad som loggas skiljer sig från system till system. Generellt sett är det följande uppgifter som loggas: Journalloggar: Användarnamn, arbetsplats, var i journalen, vad användaren gjort, datum, start- och stopptid. Internetloggar: IP-nummer, användarnamn, arbetsplats, internetadress, vilken sida som besökts, datum och tid. Passerkortsloggar: Efternamn, förnamn, arbetsplats, ingång, datum, klockslag, port. Administrativa loggar: Beroende på system till exempel användarnamn, datum, startoch stopptid, var i systemet. Systemadministratörsloggar: Beroende på system till exempel användarnamn, datum, start- och stopptid, var i systemet. 2.8 Loggkontroll Verksamhetschef eller motsvarande ansvarar för att kontroll av loggar i system genomförs, det vill säga den som har rätt att dela ut behörigheter har också skyldighet att se till att loggarna granskas. Loggar och dokumentation förvaras inlåst så att obehöriga inte kan få tillgång till uppgifterna. Loggar från journalsystem ska sparas i 10 år. Loggar från administrativa system ska sparas 2 år. Internetloggar sparas i tre månader. Dokumentationen av loggkontrollen sparas 2 år. 2.9 Utdrag personuppgiftsregister Du har rätt till ett kostnadsfritt registerutdrag en gång per år efter skriftlig ansökan till personuppgiftsombudet. Se rubrik Personuppgiftsombud ovan. 2.10 Rättelse Om felaktiga personuppgifter finns registrerade om dig har du rätt till rättelse. Du kan också ha rätt till rättelse om du anser att informationen varit otillräcklig, att personuppgifterna inte skyddas på lämpligt sätt eller att kontroller utförs utan att det finns lagligt stöd. Vänd dig till personuppgiftsombudet. 3 Rutiner för att använda regionens informationssystem 3.1 Allmänt Det är förbjudet att till regionens nät ansluta datorer, som inte ställts i ordning av ITservice. Misstanke om virus i program eller datafiler ska omedelbart rapporteras till IT- Service. Behov av att installera program eller tillägg till program lämnas till närmaste chef som tar upp det enligt systemförvaltningsmodellen pm 3. Städa skrivbord En arbetsplats ska lämnas städad från pappersdokument och andra media, till exempel USB och CD, som innehåller känslig information. Denna ska låsas in. Dok ID: Intr infosäk Fastställd av: Regiondirektören Sida 6 av 11

Städa skrivbord på datorn Spara inte dokument direkt på datorns skrivbord. All lagring av dokument ska göras i avsedda kataloger. Låsa dator När datorn lämnas utan uppsikt ska i första hand Ctrl/Alt/Delete = lås dator - funktionen användas. I andra hand kan en skärmsläckare aktiveras. Skärmsläckare ska vara lösenordsskyddad. Endast skärmsläckare som finns i Kontrollpanelen får användas. 3.2 Privat användning Informationen i våra it-system och lagringsenheter tillhör regionen och ska vara arbetsrelaterad. Lagring kostar och prestanda på system påverkas av storleken på lagrad information. G- och H-katalogerna upplevs ibland som privata men det är inte tillåtet att spara musikfiler, dokument av privat karaktär (till exempel foton) på något av regionens lagringsutrymmen. Kontroll Ledningen har rätt att få inblick i och kontrollera all information som är lagrad i regionens it-system. Ledningen kan därför när som helst kontrollera vad som finns lagrat i regionens lagringsutrymmen. Privat nyttjande av regionens lagringsutrymmen kan leda till arbetsrättsliga åtgärder. 3.3 Lagring av information och lagringsstruktur Patientinformation Patientinformation i form av journalhandling får inte sparas på någon av nedanstående kataloger utan endast i särskilda vårdsystem eller i undantagsfall (digitala bilder) på CD, se ovan under rubrik Lagring av elektronisk information. G-katalog Här sparas verksamhetsgemensamma dokument och filer. Patientinformation i form av journaluppgifter får inte sparas här. Säkerhetskopieras. Egen profil Den egna användarprofilen, (C) är maximerad till 100 MB. Här finns till exempel användarens egna inställningar i program, favoriter, e-postlåda med mera. Även sådant som sparats på datorns skrivbord finns här. Därför ska dokument inte sparas på skrivbordet av utrymmesskäl. Om profilen överstiger 100 MB kommer du inte att kunna logga ut innan profilen är anpassad till den storlek som gäller. En ikon visas då med text om att din profil har överstigits. Kontroll av profilstorlekar sker med automatik och övervakas av IT-avdelningen. H-katalog Här sparas dokument som man som användare själv kommer åt och som ingen annan har åtkomst till. Det är därför viktigt att bedöma vad som sparas här. Visst arbetsmaterial kan vara ett sådant exempel. När dokumentets status förändras så att fler kan behöva ha tillgång ska det flyttas över till G-katalogen. Patientinformation i form av journaluppgifter får inte sparas här. Bilder, musik och film får inte heller Dok ID: Intr infosäk Fastställd av: Regiondirektören Sida 7 av 11

sparas här. IT-service har befogenhet att radera dessa filtyper om de sparas på H. Chef ska kunna ha inblick i och kontrollera innehållet i H-katalog. Säkerhetskopieras. IT-avdelningen kontrollerar kontinuerligt hemkatalogens (H:) storlek via analysverktyg, där vissa filtyper kan urskiljas. Vid oproportionerligt stor (större än medelvärde) hemkatalog skickas meddelande till användare med kopia till närmaste chef. Användaren uppmanas rensa sin katalog eller förklara behovet av extra stor katalog. Detta behov ska godkännas av chefen. C-katalog Lokal hårddisk, ska inte användas för lagring av dokument. Säkerhetskopieras inte. Y-katalog Förvaltningsgemensam resurs. Här sparas gemensamma dokument, exempelvis från arbetsgrupper, som arbetar över klinik/avdelningsgränserna. Administreras av personal med särskild behörighet. Patientinformation i form av journaluppgifter får inte sparas här. Säkerhetskopieras. Sharepoint I Sharepoint kan lagras information som behöver delas av flera. Det handlar om deltagare i projekt, ledningsgrupper, nätverksgrupper etcetera. Patientinformation i form av journaluppgifter får inte sparas här. Bibliotek och mapp-struktur Biblioteksstrukturen ska vara uppbyggd utifrån hur verksamheten är organiserad, det vill säga arbetsområde och ämne. Mappar döpta med egennamn får inte förekomma. 3.4 Tjänstelegitimation Tjänstelegitimationen är ett personligt id-kort med elektroniska legitimationer som möjliggör en säker identifiering, och hantering av känslig information. Kortet talar om vem du är och vad du har behörighet till, det vill säga nyckeln till vad du får lov att göra. Se rutiner i ledningssystemet Tjänstelegitimation. 3.5 In- och utloggning från regionens nät (LHWAN) Användare ska logga in på nätverket med egen inloggningsidentitet (användarnamn och lösenord) alternativt med tjänstelegitimation. Identiteten, och resurser som hör till den är personliga. Lösenordet, som tillhör identiteten, ska hållas hemligt. Den som äger identiteten ansvarar för de aktiviteter som görs. Det är inte tillåtet att låna ut identiteten till någon annan. Tvingande lösenordsbyte tillämpas automatiskt varannan månad. Logga ut från nätverket efter avslutat arbetspass. Datorer i nätverk får inte stängas av - detta för att uppdateringar av antivirusprogram ska kunna göras snabbt och effektivt. En gång per vecka ska starta om dator - funktionen användas. Lösenord Dok ID: Intr infosäk Fastställd av: Regiondirektören Sida 8 av 11

Tvingande lösenordsbyte för tillgång till regionens nät tillämpas. Efter tre försök med felaktigt lösenord spärras man ut, men först får man en förvarning. Använt lösenord kan inte användas omgående igen - nya lösenord måste skapas vid sex lösenordsbyten innan det första kan användas på nytt. Ett lösenord måste innehålla minst sex tecken och får endast innehålla versaler/gemener A-Z och numeriska tecken 1-9. 3.6 Gruppinloggning till regionens nätverk (undantag) Gruppinloggning innebär att flera personer gemensamt använder en inloggningsidentitet. Gruppinloggning får undantagsvis tillämpas på de ställen där ett fåtal datorer används av flera personer. Var och en som loggar in ansvarar för sina egna aktiviteter. Gruppinloggning medger begränsad tillgång till funktioner i regionens nät. 3.7 E-post Se rutin E-post. 3.8 Internet Se rutin Internet. 3.9 Dataintrång, brott mot tystnadsplikt och/eller sabotage it-system Dataintrång, brott mot tystnadsplikt och/eller sabotage it-system kan leda till arbetsrättsliga åtgärder eller polisanmälan. Se rutin Misstanke om dataintrång, brott mot tystnadsplikt och/eller sabotage it-system. 3.10 Sekretess i folkbokföringen Uppgifter om personer i folkbokföringen, till exempel namn, adress och personnummer, är vanligtvis offentliga. I vissa fall är det viktigt att hindra att en normalt harmlös uppgift lämnas ut. Ett sådant fall kan vara när en person är utsatt för ett hot från någon annan och därför behöver skydda sin adress. Se rutin Sekretess i folkbokföringen. 3.11 Distansarbete Distansarbete ska regleras i avtal mellan närmaste chef och medarbetare. Det kan utföras på en arbetsdator från Region Halland. Distansarbete kan också ske via extern dator men då krävs en etablerad säkerhetslösning där man via en säkerhetsdosa (till exempel Citrix) erhåller ett inlogg med högre säkerhetsfaktor till regionens nätverk. Detta innebär att användaren via en så kallad tunnel arbetar direkt i regionens nätverk med programvara som finns installerad på server. Ingen information är möjlig att spara eller spåra lokalt på den dator som används för uppkopplingen. Programvara som finns lokalt på datorn går inte heller att använda under uppkopplingen förutom Internet explorer. Chef beslutar och beställer lösning via Lina/System/Servicedesk. Fasta och bärbara datorer som används för distansarbete ska: Förvaras på ett betryggande sätt och inte lämnas utan uppsikt. Dok ID: Intr infosäk Fastställd av: Regiondirektören Sida 9 av 11

Endast användas i tjänsten (gäller inte säkerhetsdosa). Endast innehålla program som installerats av IT-service (gäller inte dosa). Säkerhetskopieras enligt rutin på IT-service (gäller inte dosa). Utrustning ska omedelbart återlämnas om/när hemarbetet eller anställningen upphör. 3.12 Offentlighetsprincipen Tryckfrihetsförordningen är en av Sveriges grundlagar. Den ger medborgarna en unik insyn i all offentlig verksamhet, det brukar kallas offentlighetsprincipen. Det här ställer också särskilda krav på oss som är anställda i den offentliga sektorn. Vi måste se till att lagen följs, så att alla får möjlighet att utöva sina demokratiska rättigheter. Tryckfrihetsförordningen är en av våra viktigaste lagar och reglerar hur hanteringen av information ska ske hos en myndighet allt ifrån diarieföring till arkiv. Myndighet är i detta sammanhang politisk nämnd/styrelse i Region Halland och förvaltningsområde är myndighetsområde. Förvaltningslagen innehåller krav på service och handläggning. Diarieföring Om en inkommen eller upprättad handling är att betrakta som allmän handling ska den registreras omgående. Region Hallands ledningskanslier diarieför inkommande och utgående handlingar i diariesystemet Platina. Diariet kan liknas vid ett register över utgående, inkommande och upprättade handlingar. Med hjälp av diariet kan den egna personalen och allmänheten få reda på vilka allmänna handlingar som förvaras hos myndigheten. Det bör vara möjligt för varje ärende att få en samlad bild av handläggningsprocessen från initiering till beslut och expediering. Allmän handling - Cookie En cookie är den information som sänds från en besökt webbserver på internet till webbläsaren (den dator varifrån internet har nåtts). Webbläsaren sparar dessa elektroniska spår på datorns hårddisk. En cookie är en allmän handling. Regionstyrelsen har beslutat att en cookie får gallras efter 5 dagar. Gallringen görs av var och en själv. Se rutin Radering av cookies. Allmän handling - Spam Oönskad e-post, ett misstänkt Spam visas i inkorgen med Troligen SPAM i ämnesraden. Mottagaren bedömer om det är Spam eller inte. 3.13 Sekretess och tystnadsplikt Offentlighets- och sekretesslagen (SFS 2009:400) innehåller bestämmelser om sekretess i offentlig verksamhet. Huvudregeln är att alla allmänna handlingar är offentliga. Exempel på undantag är patientjournaler, som är allmänna men sekretessbelagda handlingar. För att skydda patienternas personliga integritet gäller sekretess inom hälso- och sjukvården för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden. Sekretess innebär att det är förbjudet att röja en uppgift, oavsett om man gör det Dok ID: Intr infosäk Fastställd av: Regiondirektören Sida 10 av 11

muntligt, skriftligt, genom att lämna ut/visa handlingar eller på annat sätt. Sekretess gäller inte, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående lider men. Sekretess kan även gälla andra handlingar som till exempel upphandlingsunderlag, personaladministrativa handlingar med uppgifter om enskilds personliga förhållanden, information inför facklig förhandling samt resultat av genomförda riskanalyser. Se Rutiner beskrivningar: Sekretess och samtycken i vården. 3.14 Introduktion till Offentlighetsprincipen I dokumentet Introduktion till Offentlighetsprincipen, Rutiner/beskrivningar i ledningssystemet finns mer information om allmänna handlingar, sekretess, diarieföring, arkivering med mera. Exempelvis finns där information om vilka allmänna handlingar som ska diarieföras och vilka allmänna handlingar som inte behöver diarieföras. 3.15 Bilagor Följande bilagor finns från nästa sida: Bilaga 1: Introduktion till informationssäkerhet - kvittens ( blankett) Bilaga 2 Sekretess anställd - kvittens (blankett) Dok ID: Intr infosäk Fastställd av: Regiondirektören Sida 11 av 11

Fastställd av: Regiondirektören Utfärdare: Nätverk ledningssystem Giltig fr o m: 2011-02-08 Område: 3 - Informationssäkerhet Utgåva: 6 Ersätter: 2010-01-04 Tillämpningsområde: Region Halland Introduktion till informationssäkerhet blankett Bilaga 1 (Bilaga till rutin/beskrivning Introduktion till informationssäkerhet) Jag har läst igenom, förstått och accepterat innehållet i rutin /beskrivning Introduktion till informationssäkerhet. Jag förbinder mig att fortsättningsvis ta del av förändringar och nyheter inom detta område. Mer information om informationssäkerhet med rutiner finns i ledningssystemet, framför allt i följande kapitel: Information, informationsklassning och säkerhetsnivåer i område 1 samt Informationssäkerhet i område 3. Datum:. Underskrift. Namnförtydligande. Personnummer

Fastställd av: Regiondirektören Utfärdare: Nätverk ledningssystem Giltig fr o m: 2011-05-09 Avsnitt 3 Informationssäkerhet Utgåva: 3 Ersätter: 2011-02-08 Vad innebär sekretess - tystnadsplikt? Bilaga 2 Tillämpningsområde: Region Halland Sekretess innebär att man inte får berätta eller lämna ut uppgifter om en patient till någon annan än den som deltar i patientens vård man har tystnadsplikt om vad man vet! Diskutera därför inte enskilds patients hälsa eller andra personliga förhållanden med någon som inte deltar i patientens vård eller behandling. Detta gäller även om han eller hon i sin tur också har tystnadsplikt. Sekretessen gäller även efter det att man har slutat arbeta inom hälso- och sjukvården livet ut. Det är inte självklart att uppgifter om patienten ska lämnas ut till anhöriga eller närstående. Fråga vad patienten själv vill eller kontrollera om det finns ett medgivande dokumenterat i journalen. Man ska inte ens tala om att patienten är inlagd på en vårdavdelning om det till exempel i journalen tydligt framgår att denna uppgift inte kan lämnas ut. Man har inte heller rätt att ta del av dokumenterad information om patienter om man inte deltar i vården av patienten eller på annat sätt behöver uppgifterna för att utföra sitt arbete. Undantag Undantag finns. I vissa fall är man skyldig att lämna ut uppgifter som egentligen är sekretessbelagda. Kontakta närmaste chef eller regionens jurister vid osäkerhet. Vilka uppgifter gäller sekretessen? Sekretessen gäller till exempel uppgifter om vem som är patient, den patientens sjukdom och behandling, patientens adressuppgifter, uppgifter om familjeförhållanden och andra sociala förhållanden, arbetsoförmåga, arbetsgivare med mera. Dessa uppgifter finns ofta i patientjournaler eller i anteckningar förda på annat sätt, men sekretessen gäller också sådant som patienterna eller deras närstående själva talat om för vårdpersonalen. För vem gäller offentlighets- och sekretesslagen? Inom hälso- och sjukvården gäller lagen för alla anställda, oavsett befattning och arbetsuppgifter. Sekretessen gäller också studerande och praktikanter. Brott mot tystnadsplikten Brott mot tystnadsplikten faller under allmänt åtal och kan ge böter eller fängelse i högst ett år. Kvittens Jag har läst och förstått vad som avses med sekretess och tystnadsplikt. Jag förbinder mig att ta del av dokumenterade uppgifter om en patient endast om jag deltar i vården av patienten eller om jag i mitt uppdrag av annat skäl behöver uppgifterna. Jag försäkrar också att jag inte obehörigen ska lämna ut till fysisk eller juridisk person den information som jag får kännedom om i mitt uppdrag inom Region Halland. Datum Namnunderskrift.. Namnförtydligande Personnummer

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss