Posthantering och annan överföring av sekretessbelagd och integritetskänslig information



Relevanta dokument
INSTRUKTION. Koncernkontoret. Enheten för informationssäkerhet. Datum: Dnr: Dokumentets status: Beslutad

Framtagande av mobil tjänst inom Region Skåne

ANVISNING. Koncernkontoret. Enheten för informationssäkerhet. Datum: Dnr: Dokumentets status: Beslutad

Inkoppling av annan huvudman för användning av Region Skånes nätverk - RSnet

Loggkontroll - granskning av åtkomst till patientuppgifter

Dataintrång - åtgärder vid misstanke om olovlig åtkomst

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post

Åtkomst till Vårdtjänst via RSVPN

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Riktlinjer för informationssäkerhet

Riktlinjer för informationsklassning

Programvarutillgångars hantering från anskaffning till avveckling

Rutin vid kryptering av e post i Outlook

Befolkningsregistret inom Region Skåne, tillgång och användning

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen

Koncernkontoret. Enheten för informationssäkerhet Loggkontroll - förutsättningar i ITstöden. Datum: Dnr:

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun.

Riktlinjer för informationssäkerhet

Anvisning för gemensamma konton, G-konto

4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun

IT riktlinjer vid användandet av Elektronisk post

BESLUT. Ärendet Egeninitierad verksamhetstillsyn av vårdgivarens informationssäkerhet

Riktlinjer för hälso- och sjukvårdsdokumentation

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Skatteverkets vägledning för hantering av skyddade personuppgifter i svensk förvaltning

Gemensamma anvisningar för informationsklassning. Motala kommun

TILLÄMPNING. Hudiksvalls kommun. och. hantering av skyddade personuppgifter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Riktlinjer för Informationshantering och journalföring i Hälso- och sjukvården. Norra närvårdsområdet Skaraborgs kommuner

Svar från Datainspektionen på er begäran om samråd angående hälsoverktyg inom elevhälsovården

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Riktlinjer för informationshantering och journalföring i hälso- och sjukvården i särskilt boende i Solna kommun

Hälso- och sjukvårdsdokumentation

RUTIN VID ANVÄNDNING AV SKYPE FOR BUSINESS

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

VGR-RIKTLINJE FÖR ÅTKOMST TILL INFORMATION

Informationssäkerhet i patientjournalen

Tillämpningsanvisningar för tillgång till och utlämnande av patientinformation

Frågor och svar. Att ta del av, använda och utbyta uppgifter i hälso- och sjukvård och socialtjänst

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Informationshantering och journalföring. nya krav på informationssäkerhet i vården

Juridik och informationssäkerhet

Journalföring inom hälso- och sjukvården och sekretess

HÄLSO- OCH SJUKVÅRDSDOKUMENTATION SAMT HANTERING AV JOURNALUPPGIFTER

SOCIALFÖRVALTNINGEN Rutin för hantering av skyddade personuppgifter

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

Informationssäkerhet, ledningssystemet i kortform

ANVISNING Säkerhetsuppdateringar för IT infrastruktur

Förslag till ändring föreskrifter om informationshantering och journalföring

Tillsyn - äldreomsorg

HÄLSO- OCH SJUKVÅRDSDOKUMENTATION SAMT BEHANDLING AV PERSONUPPGIFTER

Riktlinje för hantering av personuppgifter i e-post och kalender

[7] TILLÄMPNINGSOMRÅDE Rutinen gäller för hälso- och sjukvårds dokumentation enligt patientdatalagen

Riktlinje för informationshantering och journalföring

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Bilaga 3c Informationssäkerhet

Säker meddelandehantering (SMED) ersätter telefax

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Informationssäkerhetsanvisning

Stadsövergripande policy om skyddade personuppgifter med riktlinjer till nämnder och bolag

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem

Svenska Ryggregistrets SWESPINE rutiner vid avregistrering, rättelse eller radering samt information till registrerade

Riktlinjer för hantering av allmänna handlingar

POLICY FÖR E-ARKIV STOCKHOLM

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Koncernkontoret Området för informationsförsörjning och regionarkiv

Den lagstiftning som är tillämplig på skolhälsovårdsjournaler är:

Legitimerad hälso- och sjukvårdspersonal samt kuratorer inom den kommunala hälso- och sjukvården är skyldiga att föra journal.

Journalförstöring och rättelse av journal

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Rutin för handläggning av begäran om registerutdrag avseende personuppgifter ( manuell hantering)

Riktlinjer för hantering av skolhälsovårdsjournaler i Skövde kommun

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Riktlinjer för informationshantering och journalföring i hälso- och sjukvården i särskilt boende i Solna kommun

riktlinje modell plan policy program regel rutin strategi taxa för behandling av personuppgifter i socialnämndens dataregister ...

Viktigt förtydligande angående användningen av fråga-svarsfunktionen

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

RÅD Checklista för avtal rörande sammanhållen journalföring

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Mina meddelanden Förmedling av elektronisk post för myndigheter i Sverige

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen

1. Förvaltning:... Verksamhetsområde: Kontaktperson: Personregistrets benämning. 4. Hur sker information till de registrerade?

Sekretess, lagar och datormiljö

LOKAL ANVISNING till Vårdhandboken Dokumentnamn: Version: Dokumenttyp: Identifikation 3 Vårdrutin Utfärdande förvaltning: Sökord: Giltig fr.o.m.

PM 2015:127 RVI (Dnr /2015)

Sammanfattning av riktlinjer

Rutin för journalföring

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Transportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare;

1(12) Dokumentation inom SoL, LSS och HSL. Styrdokument

Juridiska förutsättningar för kommunikation i Poosty

Informationssäkerhet

POLICY FÖR E-ARKIV STOCKHOLM

Transkript:

Koncernkontoret Enheten för informationssäkerhet informationssakerhet@skane.se Datum: 2012-11-05 Dnr: Dokumentförvaltare: Enheten för informationssäkerhet Koncernkontoret Dokumentets status: Beslutat Dokumentid: Posthantering och annan överföring av sekretessbelagd och integritetskänslig information Dokumentformat: A4 Version: 1.0 Dokumenttyp: Anvisning Dokumentklass: Styrande dokument Ämne: Ledningssystem för informationssäkerhet ANVISNING Posthantering och annan överföring av sekretessbelagd och integritetskänslig information Sidan 1 av 5

Revisionshistorik Datum Ver. Namn Kommentar 2012-11-05 1.0 Enheten för Ny anvisning informationssäkerhet Sidan 2 av 5

Inledning Lagar, föreskrifter och myndigheter kräver att potentiellt sekretessbelagd information ska hanteras på ett säkert sätt. Med sekretessbelagd information avses t ex patientuppgifter, företagsuppgifter eller leverantörsuppgifter i upphandlingar. Även information som inte är sekretessbelagd kan vara mycket känslig då den berör en enskild person. Exempelvis kan uppgifter om anställds förhållanden eller andra personuppgifter upplevas som känsliga för den enskilde. Även uppgifter om många personer i samma register kan göra att uppgifterna behandlas såsom känsliga. För att kunna hantera känslig information på rätt sätt måste finnas en medvetenhet om säkerhetsoch sekretessrutiner hos användarna vid kommunicerande med informationen. Oavsett överföringsmetod ska fyra kriterier vara uppfyllda kontroll av adressat skydd vid överföring skydd vid mottagande rutiner för hur post/meddelanden tas om hand efter mottagandet. Legala krav Socialstyrelsens anvisningar till patientdatalagen, SOSFS 2008:14, föreskriver att den person som lämnar ut patientuppgifter (såväl i original som i kopia) ska försäkra sig om att endast rätt mottagare tar emot uppgifterna. Krav på säker hantering gäller oavsett om handlingar eller uppgifter, skickas eller överförs i pappersform, som vanlig post eller i digital form mellan personer eller funktioner. Digital överföring omfattar e-post, telefax, mobiltelefoni (till exempel sms och mms) samt annan media (t ex på CD eller över nätverk). I Region Skånes Riktlinjer för digitala medier och telefoni anges specifikt att funktionen säker e-post (kryptering och signering) ska vara installerad för att få kommunicera med sekretessbelagd information eller integritetskänsliga uppgifter. Rutinbeskrivningar Det åligger verksamhetschef/motsvarande att se till att dessa rutiner följs. Traditionell postgång När sekretessbelagda handlingar skickas via traditionell post, internt eller externt, ska sådana kuvert användas som inte går att se igenom. Avsändaren ska se till att kuverten är väl förslutna och har korrekt mottagaradress. för intern post Kontrollera alltid adressat mot Skånekatalogen. för extern post Extern post med sekretessbelagd och/eller integritetskänslig information till medborgare ska skickas som Rekommenderad eller Postförskott där brevet vid utlämnande kvitteras ut av mottagaren mot uppvisande av legitimation. Folkbokföringsadress ska som huvudregel användas, undantag kräver att mottagaren vid överenskommelsen om alternativ adress har legitimerat sig. Sidan 3 av 5

Externkuvert ska vara försedda med Region Skåne-logotyp och korrekt avsändaradress för det fall det kan bli fråga om att försändelsen kommer i retur. Särskilda anvisningar gäller för förmedlande av post till personer med skyddade personuppgifter via Skatteverkets förmedlingsuppdrag. Här får inte försändelse rekommenderas. Se anvisningar för Skyddade personuppgifter på www.skane.se/informationssakerhet / Ledningssystem. Ovanstående gäller handlingar i pappersform. Om informationen finns på digitalt media se avsnittet om Elektronisk överföring/utlämnande i digital form. Elektronisk överföring/utlämnade i digital form Vid överföring eller utlämnande av sekretessbelagd och integritetskänslig information i digital form (datafil, elektroniskt dokument, register etc.) ska denna vara skyddad mot insyn och endast läsbar av avsedd/behörig mottagare. Detta gäller oavsett hur informationen kommuniceras; om det sker som datafil över öppet nätverk, om den skickas på CD/USB i kuvert per vanlig post eller intern post, eller ligger på en bärbar dator. Överfört objekt ska hos mottagaren vara skyddat för obehörig åtkomst från öppet nätverk och endast åtkomligt för behörig användare genom stark autentisering och/eller genom dekryptering. Det digitala dataobjektet bör även vara signerat av avsändaren för att mottagaren med säkerhet ska kunna verifiera från vem det kommer och att det inte är förvanskat under transport. Det krävs dock inte att uppgifterna är krypterade om utlämnandet avser en enskild person och skickas till denne via traditionell postgång på digitalt media, exempelvis CD istället för på papper. Säkerheten med Rekommenderat brev eller Postförskott anses i detta fall tillräckligt. Rekommenderade metoder och verktyg för säker överföring finns som anvisning under rubriken IT-säkerhet i Ledningssystem för informationssäkerhet på www.skane.se/informationssäkerhet. E-post Med säker e-post avses funktioner där e-post skickas krypterat/insynsskyddat för obehöriga och där mottagaren säkert kan identifiera vem som är avsändaren. För säker e-post krävs att avsändare och mottagare har e-legitimation/siths. Se mer på www.skane.se/sakerepost. Som sagts ovan ska funktionen säker e-post användas för att få kommunicera sekretessbelagd information eller integritetskänsliga uppgifter. För rutiner och installation av funktionen säker e-post se www.skane.se/sakerepost. Telefax Överföring av fax sker över ett öppet nätverk vilket enligt SOSFS 2008:14 ställer krav på kryptering. Att realisera säker insynsskyddad överföring för fax är inte enkelt. Region Skåne avser därför att successivt avveckla användningen av fax. Telefax behövs fortfarande för att skicka patientuppgifter inom Region Skåne och mellan vårdgivare. Dock ska fax undvikas slentrianmässigt och endast användas när annan metod för överföring inte är tillämplig, till exempel vid behov att akut överföra patientuppgifter. Sidan 4 av 5

Överförs sekretessbelagt eller integritetskänsligt material via fax måste särskilda skyddsåtgärder vidtas. På faxens display ska kontrolleras att rätt mottagare ringts upp. Ett försättsblad, som anger till vem faxet är, varifrån det kommer och hur många sidor som sänds, ska alltid användas. I görligaste mån ska den information som sänds vara avidentifierad. Godkänd avidentifiering är t ex födelseår + kön. Den person som lämnar ut patientuppgifter ska försäkra sig om att endast rätt mottagare tar emot uppgifterna genom att ringa mottagaren i förväg. Detta för att verifiera att denne är på plats att ta emot fax, för att verifiera korrekt faxnummer och för att utväxla korrekt identitet i de fall avidentifiering är gjord. Faxapparaten ska vara placerad så att obehörig inte kan komma åt inkommet eller kvarglömt material. När hel eller delar av patientjournal sänds ska i enlighet med patientdatalagens krav alltid anteckning göras i journalen att uppgifter lämnats och till vem. 1 Mobiltelefoni inkl SMS/MMS Dataöverföring till och från mobiltelefoner (även SMS/MMS) sker över ett öppet nätverk och kräver därför att känsliga uppgifter överförs krypterade och endast läsbara för avsedd mottagare. Dock möjliggör Socialstyrelsen genom ändring i SOSFS 2008:14 att verksamheten under vissa villkor kan besluta om undantag från säkerhetskraven. Detta har möjliggjort att SMSpåminnelser under särskilda förutsättningar kan få skickas. Anvisning för SMS-påminnelser finns publicerat i Ledningssystem för informationssäkerhet på www.skane.se/informationssäkerhet. 1 SFS 2008:355 3 kap 11 Sidan 5 av 5

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss