Inom SLSO finns många viktiga informationstillgångar som är nödvändiga för den vård som bedrivs, t.ex. vårdsystem och patientinformation. Dessa tillgångar måste skyddas så att de finns tillgängliga när de behövs i vården av patienten.
Grundläggande säkerhet
En förteckning över alla viktiga informationstillgångar med utsedda ägare ska finnas inom SLSO.
Alla viktiga informationstillgångar ska informationsklassificeras enligt SLLs modell. Klassificeringen måste omprövas regelbundet, som en naturlig del i det kontinuerliga säkerhetsarbetet. En
anpassning av denna modell har tagits fram för SLSO Informationstillgångar inom SLSO ska märkas enligt klassificeringssystemet. Detta gäller för information i såväl fysisk som elektronisk form.
Hantering av olika typer av information ska ske enligt följande:
Patientuppgifter
Patientuppgifter ska hanteras enligt Patientdatalagen (2008:355) samt Socialstyrelsens föreskrifter (2008:14).
Personuppgifter
Hantering av personuppgifter ska ske i enlighet med Personuppgiftslagen (1998:204) och Patientdatalagen (2008:355) i de fall då personuppgifterna även är patientuppgifter. Vid insamlandet av personuppgifter ska den enskilde informeras om sina rättigheter.
Skyddade personuppgifter
Skyddade personuppgifter beslutas av skatteverket och innebär att personen lever under hot och måste skyddas.
Utlämnande av information
I rutiner för utlämnande av information ska det framgå vem eller vilka som har rätt att fatta beslut kring utlämnande. Före utlämnande ska en sekretessprövning göras.
Extern informationshantering
Då SLSOs information hanteras av tredjepart (t.ex. externa leverantörer) ska kraven avseende informationssäkerhet specificeras i avtal och avtal om personuppgiftsbiträde
Extern åtkomst till information
Vid tillgång till SLSOs information från miljöer utanför sjukvårdsområdet ska specifika krav ställas på autentisering och kryptering.
5 Patient/brukarinformation och integritet
För all information om patienten gäller hög sekretessklass och patientens integritet ska alltid beaktas och skyddas enlig gällande regelverk. Detta gäller alltid oberoende av situation och plats; i samtal med arbetskamrater, i väntrummet, vid köksbordet, sociala medier etc.. Patientens delaktighet när det gäller hanteringen av sin information ska stödjas.
Patientens/brukarens delaktighet
Patientdatalagen och andra lagar ger patienten möjlighet att medverka i informationssäkerhetsarbetet.
Patienten/brukaren kan
x välja att vara med i sammanhållen journalföring x spärra sin journalinformation
x ge samtycke till åtkomst av information över vårdgivargränser x kontrollera vilka som tagit del av informationen
x ge sitt samtycke till deltagande i olika register
x ge synpunkter på hur informationen bör hanteras. Synpunkterna ska alltid beaktas men informationssäkerheten får aldrig åsidosättas.
För patient/brukare under 18 år med tillräcklig mognadsgrad gäller samma regler. För övriga barn gäller inte detta. Vårdnadshavare kan inte besluta i frågor som rör barnets journal dvs har inte rätt att spärra journalinformation eller neka till åtkomst till sitt barns journal.
6 Personalresurser och informationssäkerhet
Alla medarbetare (inklusive konsulter, uppdragstagare, tillfälligt anställda och studenter) måste förstå sitt ansvar att skydda information och patientens/brukarens integritet. Därför ska alla medarbetare inom SLSOs verksamheter utbildas och fortlöpande informeras om
informationssäkerhet.
Grundläggande säkerhet
SLSO ska genom riktlinjer, anvisningar, rutiner och checklistor tydliggöra ansvaret för hanteringen av information om SLSOs medarbetare.
För samtliga medarbetare gäller att kunskap om och tillämpningen av SLSOs riktlinjer krävs för att hantera informationssäkerheten på ett bra och effektivt sätt.
Chefen ska säkerställa att alla medarbetare i SLSO förstår sitt ansvar avseende informationssäkerheten. Säkerhetsansvaret ska tydliggöras vid anställning.
Alla medarbetare i sjukvårdsområdet ska ha den kunskap i informationssäkerhet som krävs för att kunna utföra sina arbetsuppgifter i enlighet med riktlinjerna och dess bilagor. Ansvaret för detta ligger på respektive chef. Utbildning och fortbildning inom informationssäkerhet ska ske
kontinuerligt.
Följs inte gällande säkerhetsregler kan det medföra arbetsrättsliga åtgärder/motsvarande för medarbetaren. Misstanke om brott ska polisanmälas.
7 Fysisk säkerhet
All information som hanteras inom SLSO måste skyddas fysiskt, oavsett medium. Enbart de personer som ska ha tillträde till våra lokaler ska få det.
Grundläggande säkerhet
Nivån på det fysiska skyddet ska baseras på genomförda riskanalyser och stå i proportion till
identifierade risker. Känslig information ska aldrig lämnas oskyddad. Utrustning som är känslig eller behandlar känslig information ska placeras så att möjligheten för obehöriga till tillträde minimeras och utformning av lämpliga skyddsåtgärder underlättas.
SLSOs verksamhetskritiska system och informationstillgångar (nivå 2 och högre) ska inrymmas i säkra utrymmen med lämpliga tillträdeskontroller dit endast behörig personal ges tillträde.
Med säkra utrymmen avses utrymmen som är speciellt utformade för att uppfylla högre krav på skal-och brandskydd samt tillgång till kontinuerlig försörjning av el skal-och kyla.
För säkra utrymmen ska, utifrån behov följande säkerhetsåtgärder vara uppfyllda:
x Tillträdeskontroller ska innefatta larm, bemannade receptioner och/eller datoriserade passagekontrollsystem med individuella passerkort och koder.
x Brandskydd så som brandlarm och anpassad släckutrustning ska finnas. Brännbart material får inte förvaras i serverhallar eller motsvarande.
x Klimatanläggning ska finnas för att kompensera för den överskottsvärme som utrustningen alstrar.
x Elektronisk utrustning ska skyddas mot elavbrott och andra störningar.
x Strömförsörjning av verksamhetskritisk utrustning och system ska vara avbrottsfri och ansluten till reservkraft. Tester ska regelbundet genomföras för att säkerställa att övergången till reservkraft fungerar.
Skydd av lagringsmedia
Det ska finnas regler och skyddsåtgärder för att motverka risker i samband med hantering av information utanför SLSOs egna lokaler. Detta innefattar bland annat bärbara datorer, mobiltelefoner, USB-minnen, pappersdokument etcetera.
Lagringsmedia som innehåller känslig information eller licensierade program ska fysiskt förstöras eller skrivas över på ett säkert sätt i samband med avveckling eller återanvändning. Det är inte tillräckligt att använda standardfunktioner för att radera data.
8 Styrning av kommunikation och drift
SLSOs verksamheter är beroende av data- och telesystem och den information som hanteras i dessa system.
Grundläggande säkerhet
Kommunikation
När information överförs genom data- eller telekommunikation, uppstår risker för avlyssning och förändring av den överförda informationen. Respektive systemägare/objektägare ansvarar för att analysera behovet av nödvändiga skyddsåtgärder relaterat till riskerna samt att dokumentera dessa på ett lämpligt sätt.
Respektive systemägare/objektägare som nyttjar nätverken ska definiera kraven på tillgänglighet och skyddsåtgärder vilka ska ligga till grund för val av nätverksinfrastruktur.
Patientinformation får aldrig överföras på ett sådant sätt att obehöriga kan ta del av informationen.
Detta innebär att överföring via öppna nät ska vara krypterade om inte SLSOs anvisningar medger undantag.
All utrustning som kopplas till sjukvårdsområdets och landstingets nät ska vara konfigurerade enligt definierad standard och det ska finnas instruktioner för hantering av sådan utrustning.
Drift
Produktions-, utvecklings-, test-, och utbildningsmiljöer ska vara separerade för system i klass 2 eller högre. Om det vid genomförd riskanalys bedömts inte vara nödvändigt kan undantag göras.
Säkerhetsreglerna för produktionsmiljöerna ska i relevanta delar även gälla för övriga miljöer.
Systemägaren/objektägaren ansvarar för att kravställa avseende driftsäkerheten. Följande områden omfattas: säkerhetsuppdateringar, förändringshantering, kapacitetsplanering, skydd mot skadlig kod, säkerhetskopiering och återläsning av data samt systemdokumentation.
Då SLSO köper tjänster eller förlägger drift av IT-system utanför SLSOs verksamhet ska samma regler avseende informationssäkerhet gälla som när driften hanteras i sjukvårdsområdets regi.
Kraven på informationssäkerhet ska definieras baserat på en riskanalys och regleras i avtalet mellan parterna. Systemägaren/objektägaren ansvarar för kravställning och uppföljning avseende det specifika systemet men samordning bör ske då drift av flera system sker hos samma leverantör.
9 Styrning av åtkomst till information
Åtkomst till informationen ska endast ges till de medarbetare som har ett faktiskt behov av
informationen för att patienten/brukaren ska få en god och säker vård. Rätt personer ska ha tillgång till rätt information vid rätt tidpunkt, utan att patientens/brukarens integritet kränks.
Grundläggande säkerhet
SLSOs informationssystem används av olika kategorier av medarbetare. Det ska finnas metoder för att kontrollera åtkomsten till information, system, nätverk och tjänster. Alla medarbetare i SLSO är ansvariga för att skydda SLSOs information i sitt dagliga arbete.
Åtkomst till information inom sjukvårdsområdets verksamheter ska kontrolleras genom administrativa och tekniska skyddsåtgärder.
Åtkomstadministration
För att säkerställa att endast behöriga informationsanvändare har tillgång till viss information ska åtkomsträttigheten godkännas av ansvarig person innan den delas ut. Åtkomsten ska vid varje tillfälle avgränsas till användarens aktuella behov utifrån arbetsuppgifter och organisatorisk
tillhörighet. Rutiner ska fastställas för hur beställning, registrering, förändring och avregistrering av åtkomsträttigheter ska genomföras.
Granskning av tilldelade åtkomsträttigheter ska genomföras regelbundet och åtgärder vidtas för att säkerställa att endast behöriga användare har åtkomst till respektive informationstillgång/system.
Loggning och övervakning
För att säkerställa att alla användaraktiviteter är spårbara ska loggning ske i alla system innehållande patientuppgifter och i alla verksamhetskritiska system.
Åtkomstkontroll
Alla användare måste identifieras och verifieras genom användarnamn och lösenord innan de kan få åtkomst till informationssystem. All åtkomst till patientinformation ska kräva stark autentisering.
Alla användare ska ha en unik identitet och alla konton ska vara spårbara till en fysisk person.
Respektive chef ansvarar för att åtkomstkontroll sker.
10 Anskaffning, utveckling och underhåll av system
SLSOs säkerhetskrav ska finnas med redan vid planeringen av inköp eller utveckling av system för att säkerställa att information hanteras på ett säkert sätt.
Grundläggande säkerhet
När system ska införas, upphandlas eller utvecklas ska informationssäkerhet (sekretess, riktighet, spårbarhet och tillgänglighet) beaktas. Det kräver ett strukturerat tillvägagångssätt och att kraven avseende informationssäkerhet är tydligt definierade.
Fullständig kunskap om verksamhetens krav och informationssäkerhetskrav är nödvändig om system ska kunna uppfylla dess avsedda syfte. Därför ska dessa krav och legala krav formellt
fastställas och behandlas som en del av införande/anskaffningsprocessen. Anskaffning/införande av system eller systemutveckling ska föregås av en riskanalys, vara godkända och beakta
x Myndighetskrav (lagar och författningar) x Patientsäkerhet och patientnytta
x Informationssäkerhet x Verksamhetsnytta
En instruktion och ett väldefinierat arbetssätt krävs när nya system eller utvecklade system-komponenter implementeras från utvecklings- och testmiljön in i produktionsmiljön. Endast formellt accepterade och godkända system eller systemkomponenter ska implementeras i produktionsmiljön.
För att upprätthålla en säker och tillförlitlig tillgång till information ska administration, drift och underhåll av IT-system ske på ett strukturerat och systematiskt sätt. Detta enligt en formaliserad och antagen modell för systemförvaltning. Systemägaren/objektägaren för respektive IT-system ansvarar för att kravställa avseende systemförvaltningen.
11 Hantering av informationssäkerhetsincidenter
Informationssäkerhetsincidenter är risker och avvikelser som påverkar eller kan komma att påverka säkerheten negativt. En incident kan antingen bero på ett avsiktligt eller ett oavsiktligt agerande som innebär att informationssäkerheten hotas genom t.ex. brott mot sekretessen, felaktighet i
information, driftavbrott eller brist på tillgång till information.
Grundläggande säkerhet
För att säkerställa att eventuella informationssäkerhetsincidenter får minimal påverkan på
verksamheten ska dessa rapporteras och handläggas som avvikelser. Avvikelsehanteringsprocessen ska säkerställa att avvikelser och svagheter relaterade till informationshantering blir hanterade på ett sådant sätt att lämpliga åtgärder kan vidtas på kort och lång sikt.
Alla medarbetare ska veta vad som räknas som en avvikelse samt var och hur dessa rapporteras.
Rapporterade avvikelser ska klassas mot en definierad skala utifrån potentiell påverkan på information, patienter/brukare och verksamheten.
12 Kontinuitetsplanering
Kontinuitetsplanering ska säkerställa verksamhetens kontinuitet; den robusta hälso- och
sjukvårdsverksamheten. Det innebär att verksamheten så långt möjligt ska kunna fortsätta även om t.ex. IT-system slås ut, en strömkabel grävs av eller byggnader brinner ned.
Kontinuitetsplaneringens mål
Målet med kontinuitetsplanering för SLSOs verksamheter är att säkerställa att eventuella avbrott i verksamhetsstödet inte får konsekvenser för liv och hälsa för enskilda individer. Kritiska
verksamheter ska kunna upprätthållas, på rimlig nivå, vid olika typer av katastrofsituationer, störningar och oplanerade avbrott. De delar av kontinuitetsplaneringen som berör katastrof- och beredskapssituationer ingå i sjukvårdsområdets övriga katastrofplanering.
Kontinuitetsplaneringens omfattning
När avbrott inträffar ska det finnas fastställda reservrutiner. Rutinerna kan vara såväl manuella som IT-baserade.
För att uppnå en god kontinuitet krävs en kombination av förebyggande och återställande skydd. När kontinuitetsplaner tas fram identifieras åtgärder som minskar risken för att avbrott ska inträffa. I verksamheter som är känsliga för avbrott bör mer fokus läggas på förebyggande åtgärder.
Det är viktigt att fastställa rätt nivå för varje verksamhet, d v s hur länge ett eventuellt stillestånd accepteras eller om verksamheten endast behöver fungera delvis under en tidsperiod. För att hitta rätt nivå måste riskanalyser genomföras och juridiska krav samt verksamhetens behov av tillgång till information dokumenteras. Kontinuitetsplanerna ska innefatta reservrutiner och övriga åtgärder som i förväg kan vidtas för att säkerställa verksamhetens kontinuitet.
Ansvar för kontinuitetsplanering
Sjukvårdshusdirektören är ansvarig för den övergripande kontinuitetsplaneringen.
Verksamhets/resultatenhetschefen har det övergripande ansvaret för att säkerställa att det genomförs analyser av verksamhetsprocessens viktiga delkomponenter samt att det skapas reservrutiner för att bedriva verksamheten vid en eventuell incident, vilket ska beskrivas i en
kontinuitetsplan. Planen ska också innehålla information om åtgärder för återgång till normal drift.
Systemägaren/objektägaren är ansvarig för att säkerställa att det finns en etablerad riskutvärdering och riskhantering på plats för systemet och att en avbrottsplan utvecklas och underhålls för
nödvändiga delar.
Anställda ska vara medvetna om det ansvar de har i den befintliga kontinuitetsplaneringen inom sina respektive områden.
Avdelningschef IT ansvarar för att kravställa att det upprättas avbrottsplaner avseende
infrastrukturen och dess tjänster. Dessa ska möta verksamhetens definierade krav på återstartstider.
CIO ansvarar för att ge stöd för implementering av informationssäkerhet i vårdstödjande system och åtgärdande av störningar i de IT-system som stödjer vårdverksamheten. Om verksamheten är beroende av en annan organisation som t.ex. en IT-leverantör måste även den vara involverad i arbetet.
Test och underhåll
Verksamhetens kontinuitetsplaner ska underhållas och testas regelbundet, minst årligen, för att säkerställa att de fungerar, är ändamålsenliga och fortfarande speglar verkligheten. Dessa test fungerar även som utbildnings- och kommunikationsinsats för berörda funktioner och roller.
13 Uppföljning
Uppföljning sker inom ramen för SLSOs internrevision/internkontroll.
Grundläggande säkerhet
Alla verksamhets/resultatenhetschefer ansvarar för att säkerställa att verksamheten sköts i enlighet med SLSOs riktlinjer.
Informationssäkerheten gällande viktiga verksamhetsprocesser, system och IT-miljön bör regelbundet genomgå oberoende granskningar. Resultatet av granskningar ska avrapporteras till sjukvårdsdirektören. Det ska finnas en tydlig process för att hantera eventuella avvikelser.
Utformningen, driften och användningen av informationssystem kan falla under lagstadgade, reglerande och avtalsenliga säkerhetskrav. Det åligger varje verksamhetsansvarig att säkerställa att gällande lagar, föreskrifter och regler följs i verksamheten.
Sjukvårdområdets informationssäkerhetssamordnare är ansvarig för förvaltning av dessa riktlinjer.
Granskning och uppdateringar ska genomföras årligen för att säkerställa att anvisningarna omfattar nya risker och hot samt att föreslagna säkerhetslösningar fortfarande är tillräckliga och relevanta.
Informationssäkerhetssamordnaren ska årligen sammanställa en rapport om arbetet med informationssäkerheten till sjukvårdsdirektören.