Juridik och informationssäkerhet

Relevanta dokument
Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Bilaga 1. Preliminär juridisk rapport

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Vägledning om molntjänster i skolan

Skolorna visar brister i att hantera personuppgifter

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Använd molntjänster på rätt sätt

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post

1. Bakgrund. 2. Parter. 3. Definitioner

Tillsyn - äldreomsorg

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillgång till patientuppgifter - krav på spärrar och aktiva val. Katja Isberg Amnäs Magnus Bergström Datainspektionen

Guide för säker behörighetshantering

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

MAS Kvalitets HANDBOK för god och säker vård

Svar från Datainspektionen på er begäran om samråd angående hälsoverktyg inom elevhälsovården

Säkerhet vid behandling av personuppgifter i forskning

Remiss avseende förslag till Socialstyrelsens föreskrifter och allmänna råd om ordination och hantering av läkemedel i hälso- och sjukvården m.m.

VGR-RIKTLINJE FÖR ÅTKOMST TILL INFORMATION

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Intern åtkomst till känsliga personuppgifter hos försäkringsbolag. Datainspektionens rapport 2010:2

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Riktlinjer informationssäkerhetsklassning

Riktlinje för informationshantering och journalföring

Hälso- och sjukvård i molnet

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

PM 2015:127 RVI (Dnr /2015)

Personuppgiftsbiträdesavtal samt fullmakt för Inera AB att teckna personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Frågor och svar. Att ta del av, använda och utbyta uppgifter i hälso- och sjukvård och socialtjänst

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Informationssäkerhetspolicy IT (0:0:0)

Kvalitetsregister & Integritetsskydd. Patrik Sundström, jurist SKL

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Modellavtal 2. Personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Fördjupning: Juridik vid införande av välfärdsteknik. Jeanna Thorslund, Jurist och Samordnare Informationssäkerhet, SKL Manólis Nymark, Jurist

Sekretess, lagar och datormiljö

Kändisspotting i sjukvården

DATASKYDD (GDPR) Del 4: Kärnverksamheterna

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Logghantering för hälso- och sjukvårdsjournaler

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Granskning av landstingets hantering av personuppgifter

Riktlinjer för logghantering, kontroll och åtkomst enligt Patientdatalagen (PDL) och SOSFS 2008:14 (Vodok och NPÖ)

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Rutiner för f r samverkan

ORGANISATIONSNUMMER: ADRESS: NORDENSKIÖLDSGATAN 14, GÖTEBORG

Informationssäkerhet en patientsäkerhetsfråga. Maria Jacobsson Socialstyrelsen

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

BESLUT. Ärendet Egeninitierad verksamhetstillsyn av vårdgivarens informationssäkerhet

Riktlinjer för dataskydd

Informationssäkerhet med logghantering och åtkomstkontroll av hälso- och sjukvårdsjournaler i Vodok och nationell patientöversikt (NPÖ)

Myndigheten för samhällsskydd och beredskaps författningssamling

AVTAL OM SAMMANHÅLLEN JOURNALFÖRING

Säker roll- och behörighetsidentifikation. Ulf Palmgren, SKL Webbseminarium

Informationshantering och journalföring. nya krav på informationssäkerhet i vården

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Bilaga 3 Personuppgiftsbiträdesavtal

Regler för lagring av Högskolan Dalarnas digitala information

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Personuppgiftsbiträdesavtal

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Trygghetsskapande teknik

Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Tillämpningsanvisningar för tillgång till och utlämnande av patientinformation

GDPR och molnet. Konferens SUNET Inkubator den 16 maj 2017

Riktlinjer för dokumentation och informationshantering inom hälsooch sjukvårdens område i Nyköpings kommun

Universitetet och Datainspektionen i Molnet

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem

I Central förvaltning Administrativ enhet

Sammanhållen journalföring

Herman Pettersson Inspektör / Jurist. Karin Dahlberg Inspektör / Nationell ämnessamordnare för elevhälsa på IVO

Meddelandeblad. Mottagare: Nämnder och verksamheter i kommuner med ansvar för vård och omsorg, medicinskt ansvariga sjuksköterskor,

Förklaringar till Nationellt regelverk för enskilds direktåtkomst till journalinformation

Transkript:

2 KAPITEL Juridik och informationssäkerhet Sammanfattning Information som hanteras i socialtjänstens hemtjänstverksamhet (hemtjänst) och i kommunal hälso- och sjukvård (hemsjukvård) innehåller känsliga uppgifter om enskildas personliga förhållanden och enskildas hälsotillstånd. Personuppgifterna omfattas till stor del av sekretess och tystnadsplikt och vid all hantering och lagring av sådan information ställs höga säkerhetskrav. När informationshanteringen sker med hjälp av IT-stöd kan riskerna öka och säkerhetsåtgärderna måste anpassas. Om informationen dessutom ska användas i verksamheter som har ett mobilt arbetssätt med surfplattor, bärbara datorer, mobiltelefoner eller andra handenheter, ökar riskerna ytterligare för att personuppgifterna kan spridas till obehöriga. Särskilda IT-säkerhetsåtgärder för att skydda uppgifterna måste därför vidtas. Denna vägledning sammanfattar de rättsliga krav som gäller för kommunal hemtjänst och hemsjukvård vid mobil informationshantering och innehåller även en översikt av vilka analyser verksamheten behöver göra för att säkerställa att lämpliga informations- och ITsäkerhetsåtgärder vidtas för att skydda de känsliga uppgifterna. Lagkrav för informationshanteringen Information om brukare, kunder och patienter inom såväl kommunal hemtjänst som hemsjukvård omfattas av sekretess och tystnadsplikt enligt offentlighets- och sekretesslagen (2009:400), OSL och för privat hälso- och sjukvård finns bestämmelser om tystnadsplikt i patientsäkerhetslagen (2010:656), PsL. Informationen betraktas även som känsliga uppgifter och informationsbehandling av personuppgifter inom hemtjänst och hemsjukvård är reglerade av mer eller mindre detaljerade lagar, förordningar och myndighetsföreskrifter. I stor utsträckning kan dock identiska säkerhetsåtgärder vidtas för att skydda personuppgifter oavsett om dokumentationen har uppstått efter hemtjänstomsorg eller efter hälso- och vårdinsatser. Denna vägledning är inte en komplett redovisning av samtliga dessa regler utan en sammanfattning med hänvisningar. Området är även föremål för en statlig utredning, 9

S 2011:13 Utredningen om rätt information i vård och omsorg 10, som hittills har överlämnat delbetänkandena Bättre behörighetskontroll (SOU 2012:42) och Rätt information - Kvalitet och patientsäkerhet för vuxna med nedsatt beslutsförmåga (SOU 2013:45). Huvudbetänkandet ska presenteras den 30 april 2014. Kommunal hemtjänst Hemtjänstens verksamhetsområde regleras huvudsakligen av Socialtjänstlagen (2001:453), SoL och dokumentation i personakter med IT-stöd regleras av Lag om behandling av personuppgifter inom socialtjänsten (2001:454), SoL-PuL samt av Förordning om behandling av personuppgifter inom socialtjänsten (2001:637). Dessa kompletteras av Personuppgiftslagen (1998:204), PuL när det gäller krav på att vidta lämpliga säkerhetsåtgärder för att skydda informationen. Hemsjukvården Kommunal hemsjukvård omfattas av Hälso-och sjukvårdslagen (1982:763), HSL, där ansvar och uppgifter beskrivs. Regler om dokumentation av patientuppgifter och behandling av sådana uppgifter med IT-stöd finns i Patientdatalagen (2008:355), PDL, som innehåller detaljerade bestämmelser om hur patientinformation får hanteras. Lagen kompletteras av Socialstyrelsens föreskrifter om informationshantering och journalföring i hälso- och sjukvården (SOSFS 2008:14), med tillhörande Handbok. Av 5 SOSFS framgår: Öppna nät 5 Om vårdgivaren använder öppna nät för att hantera patientuppgifter, ska denne ansvara för att det i ledningssystemet finns rutiner som säkerställer att: 1. Överföring av patientuppgifter görs på ett sådant sätt att ingen obehörig kan ta del av uppgifterna, och 2. åtkomst till patientuppgifter föregås av stark autentisering Även andra bestämmelser i SOFS samt som indirekt följer av författningar ovan ställer krav på hur IT-stöd för mobilt arbetssätt inom hemsjukvård samt hemtjänst måste vara utformade. Checklista och rekommendationerna som beskrivs i det följande baseras på dessa krav. Informations- och IT-säkerhet Ledningssystem Kraven på en verksamhet att arbeta med informations- och IT-säkerhet kommer från flera håll. Vissa krav kommer direkt från lagstiftning och andra författningar, som de refererade ovan. Andra krav härrör ur verksamhetens behov av att hålla en hög kvalitet och genom ett kontinuerligt och strukturerat arbete uppnå lämplig säkerhet. Det finns internationella standarder inom området, ISO 27000-serien innehåller en stor mängd krav på såväl rutiner som tekniska åtgärder. 10 http://www.sou.gov.se/sb/d/18347 10

Myndigheten för Samhällsskydd och Beredskap (MSB) tillhandahåller på en särskild webbplats; www.informationssakerhet.se ett metodstöd för införande av Ledningssystem för Informationssäkerhet (LIS). Metodstödet innehåller verktyg som stöd för ett systematiskt arbete med informationssäkerhet som behöver upprätthållas av såväl kommuner som landsting. LIS ska integreras med verksamhetens kvalitetsledningssystem 11. Mobilt arbetssätt och risker Dokumentation som lagras i verksamhetens IT-system skyddas av flera lager av säkerhetsåtgärder. Genom ett behörighetssystem ska varje medarbetare enbart kunna nå de uppgifter som behövs för arbetsuppgifterna. Informationen lagras med skydd mot både fysiskt intrång i serverutrymmen och med skydd mot dataintrång via de Internetanslutningar som finns. Vid mobilt arbetssätt ökar riskerna på flera sätt: Information om brukare, kunder och patienter kan lagras i en bärbar enhet som t ex en surfplatta, en laptop eller en smart telefon. Det måste därför finnas skydd mot att en obehörig som kommer över den bärbara enheten inte kan ta del av den lagrade informationen. Den som ska använda den mobila enheten måste vara lika väl identifierad som när medarbetaren arbetar inne på ett lokalkontor där det ofta finns både inpasseringskontroller och inloggning i IT-system. Motsvarande identifiering måste ske i den mobila enheten och ett enkelt lösenord är inte tillräckligt. För att kunna använda den mobila enheten måste information ofta kommuniceras över Internet. Om ingen särskild åtgärd vidtas är information som skickas och tas emot normalt okrypterad och det blir möjligt för obehöriga att snappa upp information utan att det märks. Man brukar jämföra detta med att skicka vykort. En annan risk är att den mobila enheten har utrustats med möjlighet att ansluta till verksamhetens interna IT-system. Utan krav på extra identifiering och inloggning skulle obehöriga kunna få åtkomst till dokumentationen i IT-systemet. Det kan även uppstå oönskad informationsspridning genom de applikationer som den mobila enheten är utrustad med där det t ex kan finnas inbyggda funktioner som gör att information sprids till andra enheter som är kopplade till samma konto. Informationssäkerhet 12 Syftet med informations- och IT-säkerhetsåtgärder är att säkerställa att den information som verksamheten behöver i sitt arbete har ett tillräckligt skydd utifrån verksamhetens behov och de krav som ställs i lagstiftningen. Man använder fyra kriterier för att bedöma information: - Riktighet - att vi kan lita på att informationen är korrekt och inte manipulerad eller förstörd - Konfidentialitet - att endast behöriga personer får ta del av den - Tillgänglighet - att den alltid finns när vi behöver den och - Spårbarhet - att det går att följa hur och när informationen har hanterats och kommunicerats 11 Socialstyrelsens föreskrifter och allmänna råd (SOSFS 20011:9) om ledningssystem för systematiskt kvalitetsarbete gäller såväl socialtjänst som hälso- och sjukvården. 12 Utförlig information och en mängd verktyg för arbete med informations- och IT-säkerhet finns på webbplatsen www.informationssakerhet.se. 11

Dessa fyra kriterier klassificeras därefter, man brukar använda sig av fyra olika nivåer, se bild 1. Då bedöms hur allvarligt det skulle vara för verksamheten om det t ex uppstod brister när det gäller Konfidentialitet och obehöriga skulle kunna ta del av informationen. Bild 1 All information som ska hanteras i ett verksamhetssystem bör vara klassificerade enligt denna modell, eller motsvarande modell som är införd i den egna verksamheten. De beslutade nivåerna ska gälla även om man inför ett mobilt arbetssätt till det redan införda verksamhetssystemet. Varje nivå ska vara kopplad till konkreta informations- och IT-säkerhetsåtgärder. När informationen har klassificerats behöver en risk- och sårbarhetsanalys göras där man undersöker vilka risker som kan uppstå vid en sådan informationshantering som ska ske med det nya arbetssättet. 12

Sammantaget innebär dessa bedömningar 13 att säkerhetskraven kan bestämmas till en lämplig nivå i förhållande till: de rättsliga krav som finns verksamhetskrav samt risker och sårbarheter som är förknippade med den tekniska lösningen och informationshanteringen i det aktuella fallet Checklista för mobilt arbetssätt Datainspektionen har i informationsskriften Mobila enheter Checklista för behandling av personuppgifter14 tagit upp följande punkter som minst bör övervägas innan ett mobilt arbetssätt införs: Gör en riskanalys För att så långt som möjligt skydda de uppgifter som behandlas måste den personuppgiftsansvarige, innan behandlingen påbörjas, genomföra en riskanalys. I analysen ska man identifiera vilka allmänna och särskilda risker som finns med behandlingen av integritetskänsliga personuppgifter i mobila enheter. Därefter gör man en analys av vilka tekniska och organisatoriska säkerhetsåtgärder som måste vidtas för att hantera dessa risker. Målet är att den personuppgiftsansvarige ska vara medveten om riskerna och ha kontroll över personuppgiftsbehandlingen. Utbilda och instruera användarna Ta fram skriftliga instruktioner om hur det är tillåtet att använda mobila enheter. Instruktionerna bör exempelvis omfatta information om: - hur personuppgifter får hanteras - vilka säkerhetsinställningar som ska användas - eventuella begränsningar för privat användning - vilka appar som är tillåtna att ladda ned - vilka konsekvenser otillåten användning kan medföra - Den ansvarige behöver också se till att anställda och uppdragstagare som använder sig av mobila enheter får löpande information om och utbildning i hur det är tillåtet att hantera enheterna. Tänk på behörighetsstyrningen För att minimera risken för spridning av integritetskänsliga personuppgifter är det viktigt att begränsa åtkomsten. Enbart den som har behov av uppgifterna för att fullgöra sitt uppdrag eller sina arbetsuppgifter ska få åtkomst. 13 Stöd för att genomföra analyserna finns i dokumentet Verksamhetsanalys som är en del av metodstödet Ledningssystem för Informationssäkerhet (LIS); http://www.informationssakerhet.se/banners/verksamhetsanalys.pdf 14 Maj 2013 13

Inför autentisering och kryptering Om integritetskänsliga personuppgifter är eller kan göras åtkomliga över öppet nät krävs att inloggning sker med stark autentisering som till exempel e-legitimation, engångslösenord eller liknande. Även inloggning till administrationsgränssnitt kräver stark autentisering. Integritetskänsliga personuppgifter som överförs eller kan göras åtkomliga i öppna nät ska skyddas genom exempelvis kryptering. Lagring på en mobil enhet Integritetskänsliga personuppgifter som lagras i en mobil enhet ska vara krypterade. Den ansvarige behöver även kontrollera att informationen som lagras i den mobila enheten inte oavsiktligt kopieras och lagras i så kallade molntjänster. När det inte längre är nödvändigt att lagra uppgifterna i de mobila enheterna ska de raderas. I den mån detta inte görs automatiskt ska det finnas skriftliga rutiner som stöd för den manuella hanteringen. Inför specifika säkerhetsåtgärder För att hantera säkerhetsriskerna behöver specifika säkerhetsåtgärder övervägas, t ex: - lösenordslås - automatisk låsning av enheten efter viss tids inaktivitet - centrala spärrfunktioner eller distansradering vid händelse av att den mobila enheten tappas bort eller blir stulen - central styrning av säkerhetsinställningar och begränsning för vilka appar som kan laddas ned Genomför logguppföljning Som vid all behandling av personuppgifter måste den personuppgiftsansvarige kunna kontrollera vem eller vilka som har haft åtkomst till personuppgifter via en mobil enhet. IT-systemen ska därför kunna generera loggar som regelbundet ska kontrolleras. Den personuppgiftsansvarige ska informera användarna om att loggar kontrolleras regelbundet. Begränsa åtkomsten till personuppgifter Personuppgifter ska bara vara tillgängliga mobilt när det verkligen behövs. Teckna ett personuppgiftsbiträdesavtal Den som använder sig av en tredje part, ett så kallat personuppgiftsbiträde, för behandling av personuppgifter ska teckna ett personuppgiftsbiträdesavtal med denna part. Avtalet ska bland annat innehålla instruktioner för biträdets personuppgiftsbehandling och vilka säkerhetsåtgärder biträdet ska vidta. Håll koll på tekniken För att den personuppgiftsansvarige ska ha möjlighet att vidta nödvändiga säkerhetsåtgärder vid användning av nya program och tjänster är det viktigt att ha kontinuerlig bevakning av utvecklingen på marknaden för mobila enheter och tjänster. 14

Ytterligare kontrollpunkter presenteras av MSB i Vägledning för säkrare hantering av mobila enheter, 2013 15. Råden är uppdelade i olika avsnitt: Rekommendationer för utformning av regelverk och rutiner. - Dessa utgörs av en sammanställning av frågeställningar som organisationen behöver ta ställning till. Till exempel rekommenderas att organisationen fastställer vilka tjänster som ska vara åtkomliga från den mobila enheten. Valet av vilka tjänster som de facto görs tillgängliga bör grundas på en riskanalys. Rekommenderade krav som bör ställas på användare. - Här ligger fokus på krav som enligt good practice bör ställas på användarna. Rekommendationer för utformning av tekniska skydd. - Dessa råd om skydd är konkreta och konsekvenserna av att göra avsteg från rekommendationerna bör analyseras noga. Införandet av tekniska skydd kan dock medföra kostnader vilka naturligtvis bör jämföras med förväntad nytta/effekt av investeringen. Vägledningen innehåller även ett avsnitt som berör särskilda frågor som uppstår när medarbetare arbetar med mobila enheter som inte tillhör arbetsgivaren, t ex när medarbetare använder privat smart telefon för arbetsrelaterad information. 15 https://www.msb.se/sv/produkter--tjanster/publikationer/publikationer-fran-msb/vagledning-for-sakrarehantering-av-mobila-enheter/ 15

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss