Föredragningslista - komplett
Sammanträde med regionstyrelsen den 1 september 2015
Plats: Sessionssalen, Residenset, Vänersborg
Tid: Kl. 9.30–12.30
Inledande formalia
• Mötets öppnande
• Upprop
• Val av justerare
• Justeringsdatum
Beslutsärenden
Fullmäktigeärenden
1. Bildande av kommunalförbund för svenskt ambulansflyg Diarienummer RS 2148-2015
2. Säkerhetspolicy och riktlinjer för informationssäkerhet Diarienummer RS 129-2015
3. Fastställande av Tolkförmedling Västs avgifter för kopior av allmänna handlingar
Diarienummer RS 1203-2013
4. Överlämnande av allmänna handlingar till Stiftelsen Västergötlands museum
Diarienummer RS 1451-2015
5. Omfördelning av ansvar Vårdval Rehab - justering av budget 2016 Diarienummer RS 11-2015
Tillägg: Yrkande från M, FP, MP, C, KD
6. Yttrande över motion av Birgitta Losman med flera (MP) om nya resvanor även för förtroendevalda och chefer
Diarienummer RS 2690-2014
Tillägg: Tilläggsyrkande från M, FP, MP, C, KD
Postadress:
Regionens Hus 462 80 Vänersborg
Besöksadress:
Östergatan 1 Vänersborg
Telefon:
010-441 00 00
Webbplats:
www.vgregion.se
E-post:
post@vgregion.se
7. Yttrande över motion av Heikki Klaavuniemi med flera (SD) om att stödja UNHCR:s viktiga arbete
Diarienummer RS 449-2015 Yrkande från SD
Styrelseärenden
8. Utredning av hantering av statsbidrag Diarienummer RS 11-2015
9. Byggnation av parkeringsdäck vid Sahlgrenska Universitetssjukhuset, Mölndals sjukhus
Diarienummer RS 11-2015
10. Genomförandebeslut för fastighetsanpassning för ny 1,5T magnetresonanskamera och uppgradering av befintlig 1,5T magnetresonanskamera på Sahlgrenska Universitetssjukhuset, Östra sjukhuset
Diarienummer RS 11-2015 11. Översyn av Kultur i Väst
Diarienummer RS 1961-2015
12. Redovisning av uppdrag kring hantering av föreningsbidrag Diarienummer RS 1896-2014
13. Upphandling av leverantörer till Patos Diarienummer RS 2779-2015
14. Yttrande till kammarrätten i mål om laglighetsprövning Diarienummer RS 988-2014
15. Inbjudan till utvecklingsarbete om mänskliga rättigheter Diarienummer RS 2073-2014
Tillägg: Yrkande från V
16. Politisk styrgrupp för översyn av resursfördelningsmodell och utveckling av ersättningssystem
Diarienummer RS 2829-2015 Tillägg: Tjänsteutlåtande
17. Yttrande över ”Särskilda bestämmelser om undantag från trängselskatt i Backaområdet Göteborg, två modeller”
Diarienummer RS 1799-2015
18. Yttrande över ”En fondstruktur för innovation och tillväxt”
(SOU 2015:64)
Diarienummer RS 2249-2015 Länk till utredningen:
http://www.regeringen.se/contentassets/f5e311f2b3de45a5a8fc0b8fa6bd7e 9d/sou_2015_64_webb.pdf
19. Delegeringsärenden
Diarienummer RS 41-2015 20. Anmälningsärenden
Diarienummer RS 40-2015 21. Valärenden
Diarienummer RS 3-2015 22. Övriga frågor
Informationer
A. Information från presidiet i styrelsen för Kungälvs sjukhus, 9.30–10.00 B. Diskussion om regionstyrelsens eget arbete med riskanalys och plan för
intern kontroll/Christina Karlsson kl. 10.00–10.40
C. Alarmering och dirigering – SOS alarm, Eva Arrdal kl. 10.40–10.55 D. Information från regiondirektören, kl. 10.55–11.15
Johnny Magnusson Ordförande
Tänk på miljön
Res gärna kollektivt (www.vasttrafik.se ).
Tjänsteutlåtande Datum 2015-06-15
Diarienummer RS 2148-2015
Västra Götalandsregionen Koncernkontoret
Handläggare: Mats Kihlgren Telefon: 0736 88 93 94
E-post: mats.kihlgren@vgregion.se
Till Ägarutskottet
Bildande av kommunalförbund för svenskt ambulansflyg Förslag till beslut
Ägarutskottet föreslår att regionstyrelsen föreslår att regionfullmäktige beslutar följande:
1. Västra Götalandsregionen bildar kommunalförbundet Svenskt Ambulansflyg för att bedriva ambulansflyg inom Sverige tillsammans med Region Skåne, Landstinget Blekinge, Region Kronoberg, Landstinget i Kalmar län, Region Östergötland, Region Jönköping, Region Halland, Västra Götalandsregionen, Region Örebro, Landstinget i Värmland, Landstinget Västernorrland, Landstinget Västmanland, Landstinget i Sörmland, Landstinget Dalarna, Region Gävleborg, Region Gotland, Stockholms läns landsting, Landstinget i Uppsala län, Region Jämtland/Härjedalen, Västerbottens läns landsting och Norrbottens läns landsting.
2. Regionfullmäktige godkänner förslaget till förbundsordning för kommunalförbundet Svenskt Ambulansflyg.
3. Regionfullmäktige godkänner samverkansavtalet mellan kommunalförbundet och Västerbottens läns landsting om det medicinska ansvaret för kommunalförbundets verksamhet och att Västerbottens läns landsting därefter tecknar samverkansavtal med berörda landsting.
4. Regionfullmäktige godkänner att andelskapitalet i kommunalförbundet är en krona per innevånare, för Västra Götalandsregionen 1 632 012 kronor.
5. Regionfullmäktige beslutar att finansiera andelskapitalet inom moderförvaltningen.
6. Regionfullmäktige uppdrar till samverkansnämnden att nominera en ledamot och en ersättare till kommunalförbundets styrelse.
Sammanfattning av ärendet.
Kommunalförbundet Svenskt Ambulansflyg bildas för att administrera och sköta uppdraget med ambulansflygplanverksamheten inom Sverige och överta befintligt samverkansavtal mellan de 21 landstingen och Västerbotten från den 1 januari 2016. Den ordinarie driftsstarten av kommunalförbundet förväntas ske början
Postadress:
Regionens Hus 405 44 Göteborg
Besöksadress:
Lillhagsparken 5, Göteborg
Telefon:
010-441 00 00
Webbplats:
www.vgregion.se
E-post:
post@vgregion.se
2018. Under tiden fortsätter projektledning och uppbyggnaden av organisationerna så att verksamheten står redo vid ordinarie drifts start.
Fördjupad beskrivning av ärendet
Samverkansavtalet har slutits mellan Västerbottens läns landsting och Sveriges 21 landsting/regioner om gemensam upphandling av ambulansflygplan.
Upphandlingen pågår och tilldelningsbeslut förväntas ske första kvartalet 2016.
Upphandlingen avser drift av ambulansflygplan medan landstingen och regionerna genom kommunalförbundet skall i egen regi ansvara för den medicinsk tekniska utrustningen samt sjuksköterskor i flygplanen och en egen flygkoordineringscentral
Kommunalförbundet svenskt ambulansflyg avser att äga och finansiera de
upphandlade flygplanen. Kommunalförbundet skall inte sköta drift eller underhåll av planen utan tecknar avtal med operatör som reglerar förhållanden och ansvar för respektive part. Däremot kommer kommunalförbundet att inrätta en
beställnings/kontroll funktion gentemot avtalspart i syfte att garantera underhåll mm sköts enligt överenskommen mall och transportmyndigheters krav. Denna funktion säkerställer även att flygplanen behåller den skötsel och standard för säkerställande av restvärdet på flygplanen. Finansiering (om det behövs) Information om vilka kostnader förslaget medför och hur det i så fall ska finansieras
Process och tidplan för kommunalförbundets bildande
För att kommunalförbundet ska kunna starta och vara i drift till 1 januari 2016 krävs ett antal beslut sker i respektive landsting/region vid specifika tidpunkter enligt nedan.
1. Inriktningsbeslut från arbetsutskott alternativt landstings/regionstyrelse: Att godkänna föreslagen förbundsordning. Beslut senast 18 juni.
2. Beslut i landstings/regionfullmäktige: Att godkänna föreslagen förbundsordning.
Beslut senast 18 september.
3. Att utse 1 st fullmäktige ledamot till kommunalförbundets fullmäktige. Beslut senast 18 september.
4. Att i var och en av de 6 sjukvårdsregioner;
- Södra sjukvårdsregion - Östra Sjukvårdsregion - Västra Sjukvårdsregion
- Uppsala/Örebro sjukvårdsregion - Stockholms sjukvårdsregion - Norra sjukvårdsregion
Utse 1 st. ledamot och 1 st. ersättare i förbundsstyrelsen. I norra sjukvårdsregion utses 2 st. ledamöter och 2 st. ersättare. Vilket totalt blir 7 st. ledamöter och 7 st.
ersättare i förbundets styrelse. Beslut senast 23 oktober.
5. Att inbetala andelskapitalet 1 632 012:- (en krona per innevånare inom Västra Götalandsregionen) samt preliminär budget om 20 % av de ordinarie fasta kostnader enligt bilagda förteckning senast den 5 januari 2016.
Samverkansavtal
Samverkansavtalet reglerar bemanning och det medicinska ansvaret mellan kommunalförbundet och Västerbottens läns landsting
Prismodell för fördelning av förbundets fasta kostnader
Förbundets medlemmar är överens om att solidariskt finansiera den gemensamma driften av koordineringscentral, ordinarie sjuksköterskebemanning i flygplanen, anskaffning och underhåll av medicinteknisk utrustning samt administration.
Kostnaderna skall fördelas mellan medlemmarna utifrån yta (55 %) och invånarantal (45 %). Kostnaden utgår som en särskild avgift per påbörjat flyguppdrag. Avgiften är dock maximerad till 10 000 svenska kronor per
flygtimme. Överskjutande del av avgiften ska fördelas lika mellan övriga parter.
Avgiften debiteras såsom en preliminär avgift vid årets början till medlemmarna utifrån fjolårets volym flygtimmar per medlem och avräknas efter årets slut utifrån faktiskt antal flygtimmar.
Kostnaden för själva flygtjänsten (rörlig kostnad) fördelas utifrån antalet faktiska uppdrag och flugna timmar och faktureras från kommunalförbundet till
beställande part.
Kostander utöver flygtid för särskilda vårdteam (neonantal, ECMO och IVA) och organtransportger faktureras från den part som tillhandahåller teamet till
beställande part.
Beredning
Remissvar från i höstas om bildande av kommunalförbundet svenskt ambulansflyg och förbundsordning.
Inför förslag från styrgruppen för luftburen ambulanssjukvård om att bilda kommunalförbundet svenskt ambulansflyg med föreslagen förbundsordning, begärdes remissyttrande från samtliga landsting/regioner.
8 landsting/regioner svarade ja utan reservation. 11 st. svarade ja med reservation och 2 st. avböjde att svara respektive ville avvakta och utvärdera nuvarande samverkansavtal.
Koncernkontoret
Ann-Sofi Lodin Ann Söderström
Regiondirektör Hälso- och sjukvårdsdirektör
Bilagor:
1. Förslag till förbundsordning
2. Förslag till samverkansavtal mellan Kommunalförbundet svenskt Ambulansflyg och Västerbottens läns landsting
1 § Namn och säte
Kommunalförbundets namn är Kommunalförbundet Svenskt ambulansflyg.
Förbundet har sitt säte i Umeå.
2 § Medlemmar
Medlemmar i kommunalförbundet är landsting och regioner i Sverige enligt nedan.
Stockholms läns landsting, Landstinget i Uppsala län, Landstinget Sörmland, Region Östergötland, Region Jönköping, Region Kronoberg, Landstinget i Kalmar län, Region Gotland, Landstinget Blekinge, Region Halland, Västra Götalandsregionen, Landstinget i Värmland, Region Örebro, Landstinget Västmanland, Landstinget Dalarna, Landstinget Gävleborg, Landstinget Västernorrland, Region Jämtland Härjedalen, Västerbottens läns landsting, Norrbottens läns landsting, Region Skåne.
3 § Ändamål, uppgifter
Förbundets ändamål är att för medlemmarnas räkning tillhandahålla ambulansflyg.
Förbundets syfte är att effektivisera ambulansflyg för att öka patientnyttan och patientsäkerheten genom samordning av gemensamma resurser.
Det ankommer därvid på förbundet att bland annat:
- upphandla och samordna flygambulanstjänst,
- upphandla, äga och finansiera egna ambulansflygplan,
- samordna beställningar och genomförande av flygambulanstjänst genom tillhandahållande av flygcentral,
- samordna och effektivisera inköp och drift av medicinteknisk utrustning, - tillhandahålla sjukvårdspersonal, samt
- i övrigt följa därmed sammanhängande frågor för utveckling av den luftburna ambulanssjukvården i Sverige samt följa utvecklingen avseende
ambulanshelikopterverksamheten i Sverige.
4 § Organisation
Förbundet är ett kommunalförbund med förbundsfullmäktige och förbundsstyrelse, nedan kallat fullmäktige respektive styrelsen.
5 § Förbundsfullmäktige
Fullmäktige ska bestå av medlemmar i enlighet med §2. Varje medlem väljer en ordinarie ledamot och en ersättare som representant i fullmäktige.
Ordinarie fullmäktige sammankallas minst två gånger per år.
Fullmäktige ska besluta i följande ärenden:
- val av ledamöter och ersättare i styrelsen, - val av revisorer och revisorssuppleanter, - årsredovisning och ansvarsfrihet.
Ledamöter och ersättare väljs för en mandatperiod om fyra år räknat från och med den 1 april efter ett valår.När val av ledamöter och ersättare sker första gången ska det avse tiden från den 1 januari 2016 till den 1 april 2019.
Fullmäktige ska vid sitt första sammanträde under mandatperioden bland sina ledamöter utse en ordförande och två vice ordförande för resten av mandatperioden.
Vid förfall av en ledamot i fullmäktige ska denne alltid ersättas av en förtroendevald från den medlem som valt ledamoten.
Fullmäktige avgör om andra än ledamöter ska ha yttranderätt vid fullmäktiges sammanträden enligt kommunallagen kap 5 § 21.
6 § Beslut i Fullmäktige
Beslut i fullmäktige fattas med enkel majoritet.
Beslut om kommunalförbundets budget fattas med kvalificerad majoritet som är 2/3 av antalet avgivna röster.
7 § Arvodesbestämmelser
Arvoden till och andra ekonomiska förmåner till ledamöter och ersättare i fullmäktige och styrelsen samt till revisorerna och revisorssuppleanter ska bestämmas enligt de
ersättningsregler som gäller för förtroendevalda i det landsting där kommunalförbundet har sitt säte.
8 § Styrelse
Fullmäktige utser för samma mandattid som för fullmäktige en styrelse. Styrelsen ska bestå av minst sju ledamöter och sju ersättare. Varje sjukvårdsregion ska vara representerad i styrelsen med minst en ledamot och en ersättare. Lagen om proportionellt valsätt ska inte tillämpas vid val till styrelsen.
Styrelsen är ställföreträdare för fullmäktige i de ärenden där fullmäktige inte ska besluta enligt ovan.
Styrelsen utser firmatecknare och beslutsattestanter för kommunalförbundet. Styrelsen utser en förbundschef som har att leda verksamheten inom kommunalförbundet enligt styrelsens anvisningar.
Närvaro- och yttranderätt för utomstående vid styrelsens sammanträden avgörs av styrelsen enligt kommunallagen kap 6 § 19.
9 § Revisorer
Kommunalförbundet ska ha två revisorer och två revisorssuppleanter för granskning av förbundets verksamhet. Revisorerna väljs för samma mandatperiod som ledamöterna och ersättarna i fullmäktige.
Revisorerna ska avge revisionsberättelse till fullmäktige som beslutar om ansvarsfrihet för styrelsen. Denna ska också lämnas till varje förbundsmedlems fullmäktige senast före april månads utgång.
10 § Initiativrätt
Ärenden i fullmäktige får väckas av:
- ledamot i fullmäktige, - styrelsen, samt
- förbundsmedlem genom framställan av landstingsfullmäktige eller landstingsstyrelsen.
11 § Kungörelser och tillkännagivanden
Kommunalförbundets kungörelser, protokoll och andra tillkännagivanden ska anslås på kommunalförbundets officiella anslagstavla. Västerbottens läns landsting officiella anslagstavla är officiell anslagstavla för kommunalförbundet.
Tid och plats för budgetsammanträde ska kungöras på samtliga medlemmars officiella anslagstavlor samt på kommunalförbundets web-sida.
12 § Andelskapital
Varje medlem tillskjuter en (1) svensk krona per landstingsinvånare som andelskapital vid kommunalförbundets bildande. Kvotvärdet av detta ger medlemmens andel i
kommunalförbundet.
13 § Andel i tillgångar och skulder
Förbundsmedlemmarna har vid varje tidpunkt andel i kommunalförbundets tillgångar och skulder i förhållande förbundsmedlemmens andel av andelskapitalet.
Fördelningsgrunden gäller även för täckande av brist om förbundet skulle sakna medel att betala sina skulder i verksamheten samt vid skifte av förbundets behållna tillgångar eller skulder som föranleds av förbundets upplösning.
Kommunalförbundet ska debitera medlemmarna för utförda tjänster enligt självkostnadsprincipen.
Om årets kostnader inte täcks enligt andra stycket ska finansieringen av underskottet fördelas mellan förbundets medlemmar procentuellt i relation till värdet av nyttjade tjänster under året.
15 § Lån, borgen mm
Förbundet får uppta lån upp till ett belopp om sexhundramiljoner kronor ( 600 000 000 kronor)
Kommunalförbundet får inte uppta lån utöver 600 000 000 SEK, teckna borgen, garantier eller andra ansvarsförbindelser utan godkännande av samtliga förbundsmedlemmars fullmäktige.
Kommunalförbundet får inte bilda bolag, förvärva andelar i bolag, förvärva fast egendom eller motsvarande utan godkännande av samtliga förbundsmedlemmars fullmäktige.
16 § Styrning och insyn i förbundets ekonomi och verksamhet
Medlemmarna i kommunalförbundet, genom sina respektive styrelser, har rätt till insyn i kommunalförbundet.
Förbundet ska löpande tillställa förbundsmedlemmarna rapport om verksamhetens ekonomi och utveckling. Styrelsen ska, efter samråd med medlemmarna, fastställa en tidplan för förbundets arbete med budget, uppföljning av ekonomi och verksamhet, delårsrapporter och bokslut.
Styrelsen ska därutöver avlämna de rapporter över verksamheten som medlem i förbundet efterfrågar. Styrelsen svarar också, på eget initiativ, för att informera medlemmarna i förbundet om principiella händelser eller andra händelser av större vikt för förbundet eller någon av dess medlemmar. Innan beslut tas om avtal av större dignitet eller större
investeringar ska samråd ske med samtliga förbundsmedlemmar.
Om förbundsmedlemmarna inte är överens om avtal av större dignitet eller större investeringar ska beslut om dessa fattas med enkel majoritet i fullmäktige.
17 § Budget – årsredovisning
Fullmäktige ska årligen fastställa budget för förbundet. Budgeten ska innehålla en plan för såväl verksamheten och ekonomin under budgetåret som ekonomin under den kommande treårsperioden.
Förbundet ska samråda med förbundsmedlemmarna om budgetförslaget enligt plan för budgetarbetet och senast en månad före fullmäktiges sammanträde. Budgeten ska fastställas senast den 30 september före verksamhetsåret.
officiella anslagstavla och samtliga medlemmars officiella anslagstavlor.
Fullmäktige ska varje år upprätta bokslut/årsredovisning per den 31 december.
Prisberäkningsmodell för debitering av medlemmarna för utförda tjänster fastställs årligen i budgeten.
Fördelningsmodell av kommunalförbundets fasta kostnader (administration,
koordineringscentral, medicinsk teknik och egna sjuksköterskor mm) finns i bilaga 1. (tillägg) Den kostnad som ska fördelas samt takbeloppet fastställs årligen i samband med
budgetbeslutet för kommunalförbundet.
Fastställd budget ska publiceras på kommunalförbundets web-sida.
18 § Förbundskansli
Förbundet ska ha ett kansli med uppgift att under förbundsstyrelsen sköta förbundets administration och förbundets löpande verksamhet. Förbundskansliet har kontor i Umeå.
19 § Uppsägning och utträde
Kommunalförbundet är bildat på obestämd tid. En förbundsmedlem har rätt att utträda ur förbundet. Uppsägningstiden är tre år räknat från ingången av den månad då uppsägningen skedde.
Regleringen av de ekonomiska mellanhavandena mellan förbundet och den utträdande medlemmen bestäms i en överenskommelse mellan samtliga förbundsmedlemmar. Den ekonomiska regleringen ska ske utifrån de andelar i förbundets samlade tillgångar och skulder som gäller det år då medlemmen utträder ur förbundet, om inte annat avtalas mellan
förbundsmedlemmarna.
De kvarvarande medlemmarna antar de ändringar i förbundsordningen som behövs med anledning av utträdet.
20 § Likvidation och upplösning
Om medlemmarna inte kan enas om förutsättningarna för utträde när uppsägningstiden i 19 § är till ända, ska förbundet omedelbart träda i likvidation.
Likvidationen verkställs av styrelsen i egenskap av likvidator. Vid skifte av förbundets behållna tillgångar i anledning av likvidationen ska den i 11 § angivna fördelningsgrunden mellan medlemmarna tillämpas.
När förbundet har trätt i likvidation ska förbundets egendom i den mån det behövs för likvidationen förvandlas till pengar genom försäljning eller på annat lämpligt sätt.
Verksamheten får tillfälligt fortsätta om det behövs för en ändamålsenlig avveckling.
sin helhet med redovisning av skiftet av behållna tillgångar. Till berättelsen ska fogas redovisningshandlingar för hela likvidationen. Till slutredovisningen ska fogas styrelsens beslut om vilken av förbundets medlemmar som ska överta och vårda de handlingar som hör till förbundets arkiv.
När förvaltningsberättelsen och redovisningshandlingarna har delgetts samtliga förbundsmedlemmar, är förbundet upplöst.
21 § Tvister
Tvist mellan förbundet och en eller flera medlemmar ska, om parterna inte kan nå en frivillig uppgörelse, avgöras genom skiljeförfarande enligt lag (1999:116) om skiljeförfarande.
22 § Bildandet av förbundet
Förbundet är bildat när medlemmarnas fullmäktige har antagit förbundsordningen. Förbundet ansvarar för verksamheten enligt förbundsordningen från den 1 januari 2016.
23 § Ändringar av förbundsordningen
Ändringar eller tillägg till förbundsordningen ska antas av fullmäktige och fastställas av medlemmarnas landstingsfullmäktige.
Samverkansavtal mellan Kommunalförbundet Svenskt Ambulans- flyg och Västerbottens Läns Landsting
§ 1 Parter
Föreliggande samverkansavtal har tecknats mellan Kommunalförbundet Svensk Ambu- lansflyg och Västerbottens Läns Landsting.
§ 2 Avtalets syfte
Avtalet ska tydliggöra ansvars- och rollfördelning mellan Kommunalförbundet och Västerbot- tens Läns Landsting.
§ 3 Grundprinciper för ambulansflygverksamheten
• Kommunalförbundet bedriver ambulansflygverksamheten med säte i Umeå.
Västerbottens Läns Landsting förbinder sig att stödja kommunalförbundet både medi- cinskt och administrativt på sätt som regleras nedan.
§ 4 Parternas åtaganden
§ 4. 1 Västerbottens Läns Landstings (VLL) uppgifter och ansvar VLL är vårdgivare för verksamheten.
VLL ska förse kommunalförbundet med sjuksköterskor utifrån fastställd bemarming, antingen från den egna organisationen eller från andra medlemmar.
VLL svarar, efter samråd med övriga medlemmar, för kravspecifikation för medicinsk- teknisk utrustning i flygplanen.
• VLL svarar för administrativt stöd till kommunalförbundet i den mån inte kommunal- förbundet har egna resurser. Del kan vara både direkta insatser som ekonomi- och lö- neadministration eller konsultativa insatser i form av exempelvis juridisk rådgivning el- ler upphandlingsstöd.
§ 4.2 Kommunalförbundets uppgifter och ansvar
Kommunalförbundet ersätter VLL eller annan medlem för de personalkostnader som uppkommer i samband med tjänstgöring åt kommunalförbundet.
munalförbundets förfogande.
Kommunalförbundet svarar för eventuell specialutbildningen som krävs för att vård- personal ska kunna tjänstgöra inom ambulansflyget.
§ 5 Avtalstid och förändringar
Avtalet gäller tills vidare med en uppsägningstid av 12 månader.
Parterna ska under avtalstiden påtala behov av förändringar i avtalet. En uppföljning av av- talet ska ske inom tre år från ikraftträdandet.
För Kommunalförbundet:
2015-
Förbundschef
För Västerbottens Läns Landsting:
2015-
Landstingsdirektör
Tjänsteutlåtande Datum 2015-06-04
Diarienummer RS 129-2015 RS 1594-2013
Västra Götalandsregionen Koncernkontoret, enhet säkerhet Handläggare: Valter Lindström Telefon: 010-441 30 40
E-post: valter.lindstrom@vgregion.se
Till ägarutskottet
Säkerhetspolicy och riktlinjer för informationssäkerhet
Förslag till beslut
Ägarutskottet föreslår att regionstyrelsen föreslår att regionfullmäktige beslutar följande:
1. Regionfullmäktige antar Säkerhetspolicy för Västra Götalandsregionen.
2. Säkerhetspolicyn ersätter följande dokument: Policy för säkerhetsarbete i Västra Götalandsregionen (RF § 62/2008), Reglemente för
informationssäkerhet (RF § 124/2002) och Informationssäkerhetspolicy (fastställd av regiondirektören § 2/2000).
Regionstyrelsen beslutar, under förutsättning att regionfullmäktige antar Säkerhetspolicy för Västra Götalandsregionen, följande för egen del:
1. Regionstyrelsen antar Riktlinjer för informationssäkerhet i Västra Götalandsregionen.
2. Riktlinjer för informationssäkerhet ersätter Riktlinjer för informationssäkerhet (RS
§ 150/2009).
Sammanfattning av ärendet
Regionstyrelsen antog 2013-03-26 handlingsplan för förbättring av informationssäkerhet, RS 518-2011. Ett uppdrag i planen var att förstärka ägarstyrningen. Därför har en översyn och revidering av regelverket för informationssäkerhet genomförts.
I detta arbete har framkommit behov av en ny säkerhetspolicy för Västra Götalands- regionen. Säkerhetspolicyn är den viljeinriktning som regionfullmäktige beslutar. Den är styrande för allt säkerhetsarbetet och utgör grunden för ett systematiskt säkerhetsarbete som omfattar hela Västra Götalandsregionen.
Det framtagna förslaget till riktlinjer för informationssäkerhet är en uppdatering och anpassning till ny organisation och ny styrmodell för IS/IT och har tydligare fokus på säkerhetsprocesser och -aktiviteter. Riktlinjerna utgör grunden i ledningssystemet för informationssäkerhet (LIS) och är en konkretisering av säkerhetspolicyn i dessa delar.
Postadress:
Regionens Hus 462 80 Vänersborg
Besöksadress:
Östergatan 1 Vänersborg
Telefon:
010-441 00 00
Webbplats:
www.vgregion.se
E-post:
post@vgregion.se
Säkerhetspolicyn svarar mot de krav som ställs i Socialstyrelsens föreskrift, SOSFS 2008:14, att vårdgivaren ska ge direktiv och säkerställa att det i verksamhetens ledningssystem för kvalitet och patientsäkerhet finns en dokumenterad
informationssäkerhetspolicy.
De styrdokument på regionövergripande nivå (beslutade i regionfullmäktige och regionstyrelsen) gällande säkerhet som kommer att finnas när detta ärende beslutats är följande:
Regionfullmäktigebeslut:
• Säkerhetspolicy för Västra Götalandsregionen (förslag i detta ärende)
• Regional strategi för säkerhetsarbetet i Västra Götalandsregionens verksamheter 2013-2016 (regionfullmäktige 2013)
• Säkerhetspolicy för publikt nät i VGR (regionfullmäktige 2013)
• Krishanteringsplan (beslutas i regionfullmäktige för varje mandatperiod) Regionstyrelsebeslut:
• Riktlinjer för informationssäkerhet (förslag i detta ärende)
• Riktlinjer för hantering av personer med skyddade personuppgifter ( regionstyrelsen 2005)
• Riktlinjer för personsäkerhet (regionstyrelsen 2009)
• Ramverk och riktlinjer för säkerhetsarbetet (regionstyrelsen 2008)
Ett arbete har inletts för att dokumentera ett ledningssystem för koncernen Västra Götalandsregionen VGR. I detta arbete ingår en översyn av vilka regionövergripande styrdokument som ska finnas. Ovanstående styrdokument för säkerhet kommer att anpassas och inordnas i VGR:s ledningssystem, när struktur och form för detta har fastställts.
Fördjupad beskrivning av ärendet
Allmänt om säkerhet
VGR ska värna människor, egendom, verksamheter och miljö, samt grundläggande värden som demokrati, jämlikhet, rättvisa, integritet och förtroende, mot hot och risker. En förutsättning för detta är ett strukturerat säkerhetsarbete där alla verksamheter arbetar utifrån samma regelverk. Säkerhetspolicyn är grunden för detta.
Vissa säkerhetsområden kräver mer detaljerad styrning och detta sker i riktlinjer, beslutade av regionstyrelsen. Dessa kan kompletteras med rutiner, som beslutas på tjänstemannanivå och som mer i detalj reglerar de delar som kräver detta. Verksamhetsspecifika regelverk ska utgå från de regionala och innebära förtydligande av hur man arbetar i den egna verksamheten.
Informationssäkerhet
Ett område som kräver mer detaljerad styrning är informationssäkerheten. En av
förutsättningarna för en god kvalitét i VGR:s arbete är att information hanteras säkert och korrekt. Dels i förhållande till de lagar som reglerar verksamheten och dels för att det är en förtroendefråga, att invånarna kan vara trygga med att informationen hanteras korrekt.
Informationssäkerhet berör alla typer av information – muntlig, skriftlig, elektronisk – och alla olika sätt att hantera den på. Den ska tillvarata aspekterna tillgänglighet, riktighet, konfidentialitet och spårbarhet. Det är ett komplext område att reglera och regelverket blir därför tämligen omfattande. För att underlätta det praktiska arbetet kommer
säkerhetsenheten att ta fram riktad information till olika yrkeskategorier.
Beredning
Under framtagningen har löpande information och förankring skett i det regionala informa- tionssäkerhetsrådet. I tidigare versioner har materialet innefattat förslag till informations- säkerhetspolicy. Under arbetets gång har denna ersatts med förslag till revidering av säkerhetspolicy för VGR.
Förslaget har varit utsänt till alla nämnder, styrelser och bolagsstyrelser. 35 svar har inkommit. Synpunkterna har inarbetats i det slutliga förslaget. Förankring har också skett vid möten med de tre branschledningarna inom IS/IT.
Information har skett till regionstyrelsens MBL-grupp 27 april 2015.
Koncernkontoret
Ann-Sofie Lodin Regiondirektör
Johan Flarup
Chef koncernavdelning Ärendesamordning och kansli
Bilaga
• Säkerhetspolicy för Västra Götalandsregionen
• Riktlinjer för informationssäkerhet i Västra Götalandsregionen
Besluten skickas till
Samtliga nämnder, styrelser och bolagsstyrelser Ordförande branschledningar
IT-direktör Göran Ejbyfelt
Regionjurist och samordnare PuO-gruppen Mats Dahlbom Chef Kompetenscentrum Monica Ekström
Dokumenttyp
Säkerhetspolicy för Västra Götalands- regionen
Övergripande dokument Version
2.0
Dokumentansvarig
Valter Lindström, koncernsäkerhetschef
Kontaktperson Dnr
RS 129-2015
Beslutad av
Regionfullmäktige
Giltig från
2015-
Ersätter
Policy för säkerhetsarbete i Västra Götalandsregionen, RSK 636-2006.
Reglemente för informationssäkerhet, RSK 541-2000.
Informationssäkerhetspolicy, RSK 541-2000.
Kon cernko nto ret Enh et säkerh et
SÄKERHETSPOLICY FÖR
VÄSTRA GÖTALANDSREGIONEN
Västra Götalandsregionen ska värna människor, egendom, verksamheter och miljö, samt grundläggande värden som demokrati, rättvisa, integritet och för- troende. Invånarna ska känna trygghet i Västra Götalandsregionens verksam- heter och känna förtroende för att deras information skyddas och hanteras på rätt sätt.
Därför arbetar Västra Götalandsregionen (VGR) aktivt för att uppnå en god säkerhet. För detta krävs ett systematiskt säkerhetsarbete, som bygger på strukturerad riskhantering och ständiga förbättringar. En annan förutsättning är en tydlig styrning av säkerhetsarbetet, rätt skyddsåtgärder och att en avvägning också sker mellan säkerhet, effektivitet och ekonomi.
Som stöd för detta har VGR ett ledningssystem för säkerhet som är en del av det samlade led- ningssystemet för VGR.
Västra Götalandsregionen är en del av rikets krishanteringsorganisation. Samhällsviktig verk- samhet, som hälso- och sjukvård och dess stödfunktioner, teknisk infrastruktur, person- och godstransporter samt flöden av varor och tjänster får inte bryta samman. Det ska finnas god förmåga i VGR att hantera krissituationer. Den ska byggas på ordinarie verksamhetens krav på säkerhet och uthållighet och tydliggörs i Krishanteringsplan för Västra Götalandsregionen.
Säkerhetsarbetets mål
• Patienter, resenärer, besökare, studerande, medarbetare och förtroendevalda ska vara trygga i VGR:s lokaler och verksamheter.
• Rätt och riktig information ska nå rätt mottagare i rätt tid och vara skyddad för obehö- rig åtkomst och förstörelse.
• Att VGR och dess verksamheter ska vara robusta och ha god beredskap och förmåga att hantera kriser, extraordinära händelser och dess konsekvenser.
• Att VGR och dess verksamheter bedriver ett effektivt arbete mot oegentligheter och otillåten påverkan
• God säkerhetskultur och en gemensam säkerhetsprocess i VGR:s verksamheter ska underlätta samverkan i säkerhetsarbetet över organisatoriska gränser.
Principer för säkerhetsarbetet
Följande principer ska vara vägledande för säkerhetsarbetet:
Ansvarsprincipen Den som ansvarar under normala förhållanden ansvarar även under kris.
Närhetsprincipen Krisen ska hanteras där den inträffar och av närmast berörda.
Likhetsprincipen Innebär att en verksamhets lokalisering och organisation så långt som möjligt ska vara densamma under fred, kris och krig.
2
Ansvar
Regionfullmäktige Är ytterst ansvarig för säkerhetsarbetet i Västra Götalandsregionen. I detta ingår att fatta beslut om säkerhetspolicy.
Regionstyrelsen Fattar beslut om regionala riktlinjer. Ska utöva uppsikt över övriga nämnder och styrelser och kontinuerligt följa att ledningssystemet fyller sin funktion. Ansvarar för övergripande samordning av säker- hetsarbetet för verksamheter i egen regi. Regionstyrelsen företräder Västra Götalandsregionen som vårdgivare enligt kraven i patientdata- lagen och Socialstyrelsens föreskrifter.
Ledningens genomgång av säkerhetsläget sker regelbundet samt vid allvarliga säkerhetsincidenter.
Regiondirektör Ansvarar, på uppdrag av regionstyrelsen, för att leda, samordna, granska och följa upp säkerhetsarbetet i VGR. Ansvarar för att säker- hetsarbetet bedrivs ändamålsenligt och effektivt.
Nämnder, styrelser Ska säkerställa att säkerhetsarbetet sker inom ramen för arbetet med och bolagsstyrelser intern kontroll. Detta innebär bland annat att inrätta en funktion för sä-
kerhetsarbete, fastställa och följa upp plan för säkerhetsarbetet samt vara personuppgiftsansvarig enligt personuppgiftslagen och utse per- sonuppgiftsombud.
Förvaltningschef/VD Ansvarar för att säkerhetsarbetet initieras, samordnas och följs upp samt att denna policy och övriga dokument i ledningssystemet för sä- kerhet följs.
Alla medarbetare Ansvarar för att arbeta aktivt för ökad säkerhet och för att påpeka bris- ter i säkerheten till närmaste chef.
Genomförande
Utgångspunkten är att identifiera vad som är skyddsvärt för att verksamheten ska nå sina mål och att säkerställa att säkerhetsprocessens aktiviteter ingår i verksamhetens ledningssystem.
Kortfattat beskrivs säkerhetsprocessen:
Före Riskanalys/sårbarhetsanalys, riskvärdering, riskreduktion/kontroll, planera och öva.
Under Åtgärda det akuta läget, avvikelserapportering, aktivera krishantering.
Efter Återgång till normal verksamhet, orsaksanalys, lärande av händelsen, återkoppling till förberedande/förebyggande arbete.
Ett regionalt riskhanteringsråd ska samordna arbetet med risker av övergripande och gemen- sam karaktär.
En strategisk funktion i koncernkontoret ska ha det samlade ansvaret för de frågor som, strate- giskt eller på en övergripande nivå, måste hanteras före, under och efter en kris.
Den som anlitar entreprenörer, inhyrd personal, konsulter och leverantörer ska se till att dessa externa medarbetare i tillämpliga delar omfattas av ledningssystemet för säkerhet.
3
Inriktning och tillämpning
Ledningssystemet för säkerhet gäller alla Västra Götalandsregionens förvaltningar och majo- ritetsägda bolag samt avtalsparter, där det i avtalet anges att VGR:s regelverk ska följas. Det består på regional nivå av denna policy samt riktlinjer och rutiner. Allt säkerhetsarbete i VGR utgår från dessa dokument. Styrande dokument på lokal nivå ska utformas utifrån regionalt regelverk för säkerhet.
Denna policy med underliggande regelverk motsvarar också kraven på ledningssystem för informationssäkerhet utifrån Socialstyrelsens föreskrifter.
Information, kommunikation och utbildning
Extern och intern information är en viktig del i säkerhetsarbetet. VGR:s informationsfunkt- ioner ska aktivt verka för att initiera och understödja informationsinsatser för att förbättra sä- kerheten. Alla medarbetare ska utbildas om säkerhet. VGR:s chefsutbildningar ska omfatta säkerhetsarbete och säkerhetskultur.
Revision och granskning
Säkerhetsarbetet ska revideras varje år inom respektive nämnds, styrelses eller bolags verk- samhet. Resultatet ska redovisas i respektive årsredovisning, samt till regionstyrelsen enligt särskild anvisning.
Regiondirektören kan initiera oberoende granskning av säkerhets- eller informationssäker- hetsarbetet i VGR.
Personuppgiftsombudets uppgift är att självständigt se till att personuppgiftsansvarig alltid be- handlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed samt att ge- nomföra revision.
4
Dokumenttyp
RS-riktlinjer för informationssäkerhet för Västra Götalandsregionen
Övergripande dokument
Säkerhetspolicy för Västra Götalands- regionen
Version
2.0
Dokumentansvarig
Valter Lindström, koncernsäkerhetschef
Kontaktperson Dnr
RS 1594-2013
Beslutad av
Regionfullmäktige
Giltig från
2015-
Ersätter
Riktlinjer för informationssäkerhet, RSK 703-2006.
Kon cernko nto ret Säk erhets enh et en
RS-riktlinjer för
Informationssäkerhet
i Västra Götalandsregionen
RS 1594-2013
INNEHÅLLSFÖRTECKNING Innehåll
1 Övergripande information om ledningssystemet ... 4 Giltighet ... 4 Begreppet informationssäkerhet ... 5 Styrning, ledning och arbete med informationssäkerhet ... 6 Dokumentstruktur ... 7 2 Organisation av informationssäkerhetsarbetet ... 8 Mål ... 8 Utgångspunkt ... 8 Samordning och uppföljning ... 8 Övergripande informationssäkerhetsansvar ... 8 Verksamhetsansvar – roller och ansvar på förvaltningsnivå ... 9 Centrala roller ... 10 3 Styrning av informationstillgångar ... 11 Mål ... 11 Utgångspunkt ... 11 Märkning av handlingar ... 11 Informationsklassificering ... 11 3.4.1 Identifiera informationstillgångar ... 12 3.4.2 Identifiera legala krav ... 12 3.4.3 Klassificera information ... 12 Skyddsnivåer ... 12 3.5.1 Skyddsnivå i verksamhet ... 12 3.5.2 Skyddsnivå IS/IT-tjänster och fysiskt skydd ... 13 Säkerhetsdeklaration ... 13 4 Riskhantering ... 14 Mål ... 14 Utgångspunkt ... 14 Riskhantering ... 14 4.3.1 Uppföljning ... 15 Ansvar ... 15 Eskalering av hot och risker av regiongemensam karaktär ... 15 5 Personal och säkerhet ... 16 Mål ... 16 Utgångspunkt ... 16 Före anställning ... 16 5.3.1 Rekrytering av medarbetare ... 16 5.3.2 Sekretess ... 16 2
Under anställning ... 17 5.4.1 Regelbunden utbildning av alla medarbetare ... 17 5.4.2 Disciplinär process ... 17 Upphörande eller förändring av anställning ... 17 6 Fysisk säkerhet ... 18 Mål ... 18 Utgångspunkt ... 18 7 Utveckling av IS/IT-tjänster ... 19 Mål ... 19 Utgångspunkt ... 19 8 Kommunikation och drift ... 20 Mål ... 20 Utgångspunkt ... 20 9 Åtkomst till information ... 21 Mål ... 21 Utgångspunkt ... 21 10 Hantering av informationssäkerhetsincidenter ... 22 Mål ... 22 Utgångspunkt ... 22 Medarbetares skyldighet ... 22 Verksamhetsansvarigs skyldighet ... 22 IT-levererande parts skyldighet ... 22 Uppföljning av incidenter ... 23 Rapportering av händelser ... 23 11 Kontinuitetsplanering ... 24 Mål ... 24 Utgångspunkt ... 24 Arbetet med kontinuitetsplanering ... 24 Verksamhetens ansvar ... 24 Informationsägarens ansvar ... 25 Resursägarens ansvar ... 25 12 Uppföljning ... 26 Mål ... 26 Utgångspunkt ... 26 Uppföljning av efterlevnad ... 26 12.3.1 Personuppgiftsombudets granskningar ... 26 12.3.2 Revision av IT-säkerhet ... 26 12.3.3 Informations- och resursägarens uppföljning ... 26 12.3.4 Vårdgivarens uppföljning ... 26 Bilaga 1 - Termer och definitioner ... 28 3
1 ÖVERGRIPANDE INFORMATION OM LEDNINGS- SYSTEMET
Riktlinjerna för informationssäkerhet utgår från Säkerhetspolicy för Västra Götalandsre- gionen.
Enligt policyn är det övergripande målet för informationssäkerheten
”att rätt och riktig information ska nå rätt mottagare i rätt tid och vara skyddad för obehö- rig åtkomst och förstörelse”.
Informationssäkerhet handlar om att tillgodose krav på:
Tillgänglighet Möjlighet att utnyttja information efter behov i förväntad utsträckning och inom önskad tid.
Riktighet Skydd av informationen så att den är och förblir korrekt och fullstän- dig.
Konfidentialitet Informationen är tillgänglig endast för den som är behörig att ta del av och använda den.
Spårbarhet Möjlighet att i efterhand visa hur och av vem informationen har hante- rats.
Informationssäkerhet är teknikneutral och omfattar skydd av såväl muntlig, pappersbunden som digital information.
Giltighet
Denna riktlinje är beslutad av regionstyrelsen och utformad med stöd av Säkerhetspolicyn.
Den gäller således alla Västra Götalandsregionens förvaltningar och majoritetsägda bolag samt avtalsparter, där det i avtalet anges att regionens regelverk ska följas.
Denna riktlinje ersätter:
• Informationssäkerhetspolicy, RSK 541-2000, beslutad av regiondirektör Jan-Åke Björklund 4 april 2000
• Reglemente för informationssäkerhet, RSK 541-2000, beslutad av regionfullmäktige 7 maj 2002, § 124
• Riktlinjer för informationssäkerhet, RSK 703-2006, beslutade av regionstyrelsen 23 juni 2009, § 150
Koncernsäkerhetschefen ansvarar på regiondirektörens uppdrag för förvaltning och förslag till eventuell revidering av riktlinjerna för informationssäkerhet. Med hänsyn till verksamhetens art kan avvikelse från bestämmelserna göras efter samråd med koncernsäkerhetschefen.
4
Begreppet informationssäkerhet
Informationssäkerhet kan beskrivas som att tillgodose behov av att informationen är tillgäng- lig i förväntad utsträckning, förblir riktig och oförvanskad, är insynsskyddad så att den är åt- komlig endast för den som är behörig – konfidentialitet – samt att det finns spårbarhet i vem som haft åtkomst till och/eller förändrat informationen. Se de fyra övre begreppen i illustrationen bild 1.
För att uppnå de krav som ställs utifrån de fyra begreppen används olika former av skyddsåt- gärder, som tillsammans ska åstadkomma rätt informationssäkerhet. Se nedre delen av illust- rationen, bild 1.
Bild 1: Schematisk bild av det som ska skyddas samt skyddsåtgärder
Tillgänglighet Riktighet Konfidentialitet
Övervakning och kontroll
Spårbarhet
Administrativ säkerhet
Informationssäkerhet
Policy & ramverk
Revision och uppföljning Riktlinjer & rutiner
Teknisk säkerhet
Fysisk säkerhet IT-säkerhet
Datasäkerhet Kommunikationssäkerhet KRAV
ÅTGÄRDER
5
Styrning, ledning och arbete med informationssä- kerhet
För att uppnå en god informationssäkerhet krävs ett långsiktigt arbete, som bygger på ett sys- tematiskt säkerhetsarbete integrerat i det dagliga arbetet. Arbetet ska inkludera alla områden som hanterar informationstillgångar.
Regionledningen styr och följer upp arbetet med stöd av ett system som inkluderar mål, regel- verk, organisation och processer.
Inom ramen för Västra Götalandsregionens styr- och förvaltningsmodell för IS/IT ska det ge- nomföras säkerhetsaktiviteter vid beredning/projekt, utveckling, införande, förvaltning och avveckling av informationssystem.
Bild 2: Beskrivning av ledningssystemets komponenter och uppbyggnad
6
Dokumentstruktur
Regionala styrdokument i ledningssystemet för informationssäkerhet är policy och riktlinjer som är beslutade på politisk nivå. Till dessa finns VGR-riktlinjer och VGR-rutiner beslutade av koncernsäkerhetschef. Inom ramen för dessa kan objektägare – verksamhet och IT – ta fram och besluta om objektspecifika rutiner. För att säkerställa sammanhållen helhet i led- ningssystemet ska dessa kvalitetssäkras av säkerhetsstrategiska enheten före publicering.
Dessa regionala styrdokument finns samlat publicerade på intranätet.
Styrande dokumenten på lokal nivå utformas utifrån regionala styrdokument för informationssäkerhet.
Bild 3: Beskrivning av dokumenthierarki för regionens regelverk för informationssäkerhet
7
2 ORGANISATION AV INFORMATIONSSÄKERHETS- ARBETET
Mål
Organisationen ska ha ett högt riskmedvetande och informationssäkerhetsarbetet ska vara or- ganiserat, så att det finns ett tydligt ansvar och väl fungerande beredningsprocesser.
Utgångspunkt
Ansvar för informationssäkerhet följer ordinarie linjeansvar, vilket innebär att även informa- tionsägarskapet följer linjeansvaret. Inom VGR:s styr- och förvaltningsmodell för IS/IT föret- räder objektägare verksamhet informationsägaren.
Regelverkets krav på VGR IT och dess chef gäller i motsvarande grad andra organisationer inom VGR som bedriver IT-drift och utveckling, exempelvis Västtrafik
Informationssäkerhetsfrågor ska vara en integrerad del i berednings- och inköpsprocessen för IS/IT.
Samordning och uppföljning
Koncernsäkerhetschefen leder ett informationssäkerhetsråd, för samordning och uppföljning av regionens informationssäkerhetsfrågor. I rådet ingår sakkunniga med mandat att företräda sin förvaltning och relevanta experter.
Representanter från informationssäkerhetsrådet och personuppgiftsombuden ska delta i IS/IT- beredningen och granska informationssäkerhetsaspekten. Detta gäller såväl på förvaltnings- nivå som på regional nivå.
Utöver detta finns ett regionalt riskhanteringsråd, se punkt 4.5.
I kravställning av informationssäkerhet på nationella IS/IT-tjänster, ska denna grundas på verksamheternas behov. Koncernsäkerhetschefen ansvarar för att samordna med övriga lands- ting och regioner.
Övergripande informationssäkerhetsansvar
Regionfullmäktige
Se Säkerhetspolicy för Västra götalandsregionen Regionstyrelsen
Se Säkerhetspolicy för Västra götalandsregionen Regiondirektör
Se Säkerhetspolicy för Västra götalandsregionen Koncernsäkerhetschef
Enligt Socialstyrelsens föreskrifter ska vårdgivaren utse en eller flera som ansvarar för informationssä- kerheten. Detta ingår i koncernsäkerhetschefens uppdrag.
Personaldirektören
8
Ansvarar för att säkerhetskraven införs i personalhanteringsprocessen före, under och efter anställning.
Fastighetsdirektören
Ansvarar för att kraven på fysiskt skydd beaktas i byggnadsprocessen.
IS/IT-direktören
Ansvarar för att IT-säkerheten (teknisk säkerhet, ansvar och rutiner) motsvarar ställda krav.
Chef inköpsorganisation
Ansvarar för att informationsägarens säkerhetskrav beaktas i inköpsprocessen.
Verksamhetsansvar – roller och ansvar på förvalt- ningsnivå
Nämnder, styrelser och bolagsstyrelser
Se Säkerhetspolicy för Västra götalandsregionen Förvaltningschef
Ansvaret för tillämpning av ledningssystemets regelverk i den egna förvaltningen, utforma lo- kala regelverk och rapportera status på informationssäkerhetsarbetet till nämnd/styrelse.
Förvaltningschefen ska avsätta resurser för informationssäkerhetsarbetet och säkerställa att riskhanteringsprocessen blir en del av det lokala ledningssystemet.
Verksamhetschef/motsvarande
Ansvarar för informationssäkerhet inom egen verksamhet och ska verka för att arbetsmetoder som bidrar till en god informationssäkerhet används, samt att medarbetarna får utbildning i informationssäkerhet.
Medarbetare
Medarbetare ska ha förståelse för värdet av informationen och varför den ska skyddas. Detta innebär att medarbetaren ska få utbildning, som bidrar till en god säkerhetskultur och medve- tenhet om det egna ansvaret.
Alla medarbetare har ansvar att följa gällande regler avseende informationssäkerhet.
Personuppgiftsombud (PuO)
Har till uppgift att självständigt se till att den personuppgiftsansvarige behandlar personupp- gifter på ett lagligt och korrekt sätt och i enlighet med god sed samt genomföra revision.
Samordnare informationssäkerhet/motsvarande
Ansvarar för att samordna och följa upp informationssäkerhetsarbetet i den egna verksam- heten och rapportera direkt till förvaltningschefen. Hen ska aktivt bidra med kunskap och ak- tiviteter i samordning och uppföljning av det regiongemensamma informationssäkerhetsar- betet.
Samordnare IS/IT (SIS)
Samordnar förvaltningens kravställning på IS/IT och samverkar med samordnaren för inform- ationssäkerhet, så att informationssäkerhetskraven blir en del av förvaltningens samlade krav- bild på IS/IT.
9
Centrala roller
I kravställning och införande av informationssäkerhet i IS/IT-tjänster är informationsägare och resursägare centrala roller. Alla informationstillgångar ska ha en utsedd ägarföreträdare inom Västra Götalandsregionen.
Informationsägare – objektägare verksamhet
Ansvar som informationsägare följer linjeansvar. Informationsägaren ansvarar för den information som skapas och hanteras inom den egna verksamheten. När information ingår i objekt, enligt region- ens styr- och förvaltningsmodell för IS/IT, företräds informationsägaren i tillämpliga delar av objektä- gare verksamhet.
Resursägare – objektägare IT
Resursägare är den som äger teknik, infrastruktur eller IS/IT-tjänster. Inom regionens styr- och förvaltningsmodell för IS/IT är objektägare IT resursägare. I övriga fall ska en resursä- gare utses i respektive förvaltning.
I fortsättningen används begreppen informationsägare och resursägare i detta dokument.
Kontexten avgör om det är aktuellt inom en förvaltning alternativt inom VGR:s styr- och för- valtningsmodell för IS/IT.
10
3 STYRNING AV INFORMATIONSTILLGÅNGAR
Mål
All information och övriga informationstillgångar ska vara kopplade till en ägarföreträdare, som har ansvar för att informationen och resurserna klassificeras och skyddas på rätt sätt.
Utgångspunkt
Informationssäkerhetsarbetet ska ske utifrån generella säkerhetskrav (Säkerhetspolicy och Riktlinjer för informationssäkerhet) och de specifika säkerhetskrav som ställs av verksam- heten genom informationsklassificering.
Märkning av handlingar
Tryckfrihetsförordningen och Offentlighets- och sekretesslagen (2009:400) styr hur allmänna handlingar ska hanteras i offentlig verksamhet. Allmän handling ska lämnas ut på begäran, under förutsättning att den inte omfattas av sekretess.
I Västra Götalandsregionen används följande begrepp, förutom allmän handling, för hand- lingar:
• Utkast Minnesanteckning – bakgrundsmaterial som har tillkommit endast för ärendets beredning eller föredragning, dock inte till den del den tillför ärendet sakuppgift.
• Sekretessbelagd Handling som är sekretessbelagd med stöd av Offentlighets- och sekretesslagen
Informationsklassificering
Informationsägaren ska styra och skydda informationstillgångarna, med utgångspunkt från det värde informationen har för verksamheten. Informationsklassificering är därför en grundläg- gande aktivitet, för att kravställa skyddsåtgärder och skydda informationen på rätt sätt.
Inom regionens styr- och förvaltningsmodell för IS/IT företräder objektägare verksamhet också informationsägaren och är därmed ansvarig för att informationsklassificering görs ur ett verksamhetsperspektiv och blir en del av objektets dokumentation.
Övriga informationstillgångar, som inte tillhör ett objekt, hanteras inom respektive förvalt- ning.
Bild 4: Processbeskrivning av informationsklassificering
11
Behov av informationssäkerhet
Identifiera informationstillgångar
Identifiera legala krav
Klassificera information Förteckning av
informationstillgångar
Förteckning av informationstillgångar
med legala krav
3.4.1 Identifiera informationstillgångar
Första steget är att identifiera vilken information som hanteras inom avgränsningen för klassi- ficeringen. Utgångspunkten är verksamhetsperspektivet och vilken information som behövs/
produceras i verksamhetsprocessen/objektet. Även de resurser som krävs för att hantera in- formationen identifieras.
3.4.2 Identifiera legala krav
Nästa steg är att identifiera de legala krav som är tillämpliga för hanteringen av informationen och bedöma hur väl de uppfylls. Med legala krav avses lagkrav, föreskrifter och avtal.
3.4.3 Klassificera information
Klassificeringen av informationen bestäms utifrån det värde den har i verksamhetsprocessen och vilka krav på skydd verksamheten ställer utifrån följande begrepp:
• Tillgänglighet – möjlighet att utnyttja information efter behov i förväntad utsträck- ning och inom önskad tid
• Riktighet – skydd av information så att den är och förblir korrekt och fullständig
• Konfidentialitet – information är tillgänglig endast för den som är behörig att ta del av och använda den
• Spårbarhet – möjlighet att i efterhand visa hur och av vem information har hanterats Klassificeringen genomförs med stöd av VGR:s metod, se VGR-rutin för klassificering av in- formationstillgångar.
Klassificering ska som ett minimum genomföras/aktualiseras vid:
• Etablering av nya IS/IT-system
• Organisations-/processförändringar som kan påverka informationsbehandlingen
• Tekniska förändringar i infrastruktur eller programvaror, som kan påverka informa- tionsbehandlingen
• Om molntjänster eller outsourcing av funktioner eller IS/IT-tjänst övervägs
• Vid allvarliga händelser/incidenter
Skyddsnivåer
Informationsklassificeringen ska leda till funktionella säkerhetskrav på tekniken samt hante- ringsrutiner i verksamheten, som tillsammans uppfyller en säkerhetsnivå som motsvaras av klassificeringen – rätt säkerhet.
3.5.1 Skyddsnivå i verksamhet
Informationsägaren ansvarar för att det finns tydliga rutiner för hur informationen får hanteras i verksamheten.
Reglerna ska omfatta all behandling av information.
Regler och skyddsåtgärder ska omfatta olika typer av bärare av information som USB-min- nen, DVD-skivor, ljudinspelningar, fotografier, telefoner, läsplattor, pappersdokument, m.m.
12
3.5.2 Skyddsnivå IS/IT-tjänster och fysiskt skydd
Resursägaren ansvarar för att det finns tekniska lösningar och administrativa driftrutiner som motsvarar informationsägarens klassificering.
Resursägaren ansvarar för att skyddsåtgärder regelbundet uppdateras och finns med i avtal med extern leverantör av IS/IT-tjänst.
Säkerhetsdeklaration
För viss typ av IS/IT-tjänst/-funktion är informationsklassificering inte tillämpbart. Då är det lämpligare att genomföra en säkerhetsdeklaration. Syftet med denna är att deklarera vilken sä- kerhetsnivå tjänsten/funktionen levererar. Detta utgör ett underlag för styrning av använd- ningen. Se VGR-rutin för säkerhetsdeklaration.
Resursägaren och informationsägaren ansvarar för att fastställa säkerhetsdeklarationen och, om så behövs, kommunicera hanteringsrutiner.
13
4 RISKHANTERING
Mål
Risker som kan påverka Västra Götalandsregionens informationssäkerhet ska identifieras, analyseras och hanteras.
Utgångspunkt
Ramverket för säkerhet och perspektiven före–under–efter tillämpas såväl för informations- säkerhet som för annat säkerhetsarbete. Tyngdpunkten ligger på det förebyggande arbetet där riskhantering är en grundläggande aktivitet.
Allt säkerhetsarbete utgår från det som är skyddsvärt för VGR och medborgarna.
Riskhantering
Riskhantering är samordnade aktiviteter för att leda och styra en organisation med avseende på risk. Riskhanteringsprocessen i Västra Götalandsregionen är en generisk modell, som ska tillämpas av varje verksamhet och vara en del av beslutsunderlaget inför förändringar.
Bild 5: Schematisk bild av riskhantering
För genomförande av riskanalys se VGR-rutin för riskanalys.
Riskhantering ska som minimum genomföras vid:
• Etablering av nya IS/IT-system
• Organisations-/processförändringar som kan påverka informationsbehandlingen
• Tekniska förändringar i infrastruktur eller programvaror, som kan påverka infor- mationsbehandlingen
• Om molntjänster eller outsourcing av funktioner eller IS/IT-tjänst övervägs.
Organisationens strategier och mål Projektets mål och produkt
Riskanalys Definiera omfattning.
Identifiera riskerna.
Beskriva riskerna.
Riskreduktion/kontroll Fatta beslut.
Åtgärda.
Följa upp.
Riskvärdering Värdera om risken
kan tolereras.
Analysera alternativ.
Risk- bedömning
Risk- hantering
14
4.3.1 Uppföljning
För att kontrollera om effekten är den önskade ska genomförda aktiviteter och fattade beslut dokumenteras och följas upp.
Ansvar
Ansvaret för riskhanteringen följer linjen, vilket innebär att respektive förvaltning ska inte- grera riskhanteringsprocessen och dess aktiviteter i det egna ledningssystemet. Det ska tydligt framgå i vilka forum som beslut om åtgärder fattas.
I regionens styr- och förvaltningsmodell för IS/IT ansvarar respektive informations- och resursägare för att riskhanteringsprocessen genomförs, i samverkan med berörda verksam- heter. Samma beslutsvägar tillämpas som för övriga objektbeslut.
Eskalering av hot och risker av regiongemensam karaktär
Hot och risker som inte kan hanteras i linjen eller inom VGR:s styr- och förvaltningsmodell för IS/IT ska eskaleras till koncernsäkerhetschefen, för beredning i det regionala riskhante- ringsrådet och därefter beslut av regiondirektör alternativt beslut i lämplig politisk församling.
15
5 PERSONAL OCH SÄKERHET
Mål
Alla medarbetare som hanterar regionens informationstillgångar, ska ha kännedom om reg- ionens regelverk och tillräcklig kompetens för att kunna utföra sina arbetsuppgifter på ett sä- kert sätt.
Utgångspunkt
När begreppet medarbetare används avses även uppdragstagare och externa leverantörer.
Före anställning
5.3.1 Rekrytering av medarbetare
Kontroller ska ske i enlighet med Regionövergripande riktlinjer vid rekrytering, framtagna av Regionkansliets HR-strategiska avdelning.
Vid rekrytering eller befordran till särskilt informationssäkerhetskritiska arbetsuppgifter, ska flera och mer detaljerade kontroller övervägas.
Det ska i anställnings- eller arbetsvillkor vara tydligt vilken information som ägs av arbetsgi- varen och som inte får förstöras, kopieras eller röjas vid t.ex. avslutande av tjänst.
Vid anställning ska informeras om
• Hur och för vad den anställdes personuppgifter registreras
• Regler för datoranvändning
• Att arbetsgivaren kan genomföra kontroll vid misstanke om att den anställde bryter mot gällande regelverk och/eller lagstiftning
• Att kontroll kan ske i lokal pc, mobila enheter, hemmakataloger, e-postsystem loggar m.m.
5.3.2 Sekretess
Inom den offentliga sektorn är sekretess för de anställda reglerat i lag. Sekretessförbindelse är därför inte möjlig att använda, utan ersätts av en påminnelse om sekretess. Anställda ska skriva under att man mottagit påminnelse om sekretess. Anställda kan inte avkrävas någon tystnadsplikt utöver vad som anges i offentlighets- och sekretesslagen (SFS 2009:400) samt yttrandefrihetsgrundlagen (SFS 1991:1469).
Inom sjukvården ska det i påminnelse om sekretess anges, vilka regler som gäller för inre re- spektive yttre sekretess, för rätten att ta del av eller vidarebefordra patientuppgifter.
Personer som inte har en anställning i Västra Götalandsregionen, exempelvis studerande, kon- sulter och andra som använder regionens resurser för informationsbehandling, ska också in- formeras och skriva under sekretessförbindelse.
16
Under anställning
5.4.1 Regelbunden utbildning av alla medarbetare
Chef har ansvar för att alla medarbetare får utbildning och information inom området inform- ationssäkerhet, inklusive betydelsen av avvikelserapportering. Vid förändringar och tillägg av informationssäkerhetsregelverket, har varje chef ansvar för att de blir kända av medarbetarna.
5.4.2 Disciplinär process
Vid misstanke om brott mot gällande lagstiftning, ska närmaste chef och HR-avdelningen in- formeras och polisanmälan upprättas.
Vid misstanke om överträdelse av gällande regelverk inom Västra Götalandsregionen, ska detta hanteras på motsvarande sätt, med undantag för polisanmälan.
Upphörande eller förändring av anställning
Det ska på förvaltningsnivå finnas rutiner, som är utformade så att en persons tillgång till in- formation och data snabbt anpassas i samband med organisationsförändringar, förändrade ar- betsuppgifter eller upphörande av anställning. Se även kapitel 9, Åtkomst till information.
17
6 FYSISK SÄKERHET
Mål
Västra Götalandsregionens information samt övriga informationstillgångar, som exempelvis lokaler och den utrustning som används för informationshantering, ska skyddas på en nivå som identifierats genom informationsklassificering.
Utgångspunkt
Kraven på fysisk säkerhet finns beskrivna i VGR-riktlinje för fysisk säkerhet och ska tillämpas för alla lokaler där information hanteras, samt för all utrustning som används för informat- ionshantering. Information och utrustning ska skyddas på ett likvärdigt sätt, oavsett om den hanteras innanför eller utanför regionens lokaler. Utöver ovanstående riktlinje ska Arkiv- nämndens regler och rekommendationer iakttas för lokaler som förvarar arkivmaterial.
18
7 UTVECKLING AV IS/IT-TJÄNSTER
Mål
Informationssäkerhet ska beaktas under hela IS/IT-tjänstens livscykel.
Utgångspunkt
Vid anskaffning, utveckling, underhåll och avveckling av IS/IT-tjänster ska informationssä- kerhetskraven tillgodoses.
Kravställningen tar sin utgångspunkt från gällande regelverk, informationsägarens klassifice- ring och är en del av IS/IT-beredningen.
Kraven på utveckling av IS/IT-tjänster finns beskrivna i VGR-riktlinje för styrning av utveckl- ing, införande och förvaltning av IS/IT. Kraven ska även ställas på externa leverantörer som nyttjas vid utveckling, underhåll och avveckling av IS/IT-tjänster.
19
8 KOMMUNIKATION OCH DRIFT
Mål
Kommunikation och drift av IS/IT-miljö, system och tillhörande resurser ska ske utifrån fast- ställda rutiner för gemensam infrastruktur och de specifika säkerhetskrav som ställs av verk- samheten genom informationsklassificering.
Utgångspunkt
VGR:s verksamhet bygger på informationshantering i ett stort antal system, tjänster och resur- ser. För att få rätt nivå på säkerhet i denna helhet krävs tydlig ansvarsfördelning, eftersom sä- kerhetskraven från informationsägaren ska tas om hand av olika system- och resursägare.
Det ska finnas en IT-säkerhetsstrategi, som leder till en långsiktig säkerhetsarkitektur för VGR. Arkitekturen ska vara dokumenterad och följa regionens ledningssystem för informa- tionssäkerhet.
IS/IT-direktören ansvarar för att upprätta och förmedla en tjänsteportfölj med säkerhetsteknik, som matchar skyddsnivåerna enligt modellen för informationsklassificering. Skyddsnivåerna ska användas för både interna och externa system- och resursägare.
Kraven på drift och kommunikation finns beskrivna i VGR-riktlinje för drift och kommunikat- ion och ska tillämpas i drift och förvaltning av VGR:s informationsbehandlingsresurser. Kra- ven ska även ställas på externa leverantörer som används för drift, förvaltning och kommuni- kation.
20