• No results found

[FÖRESKRIFT 2/2015, BILAGA 1, DNR THL/1305/ /2014] [MALL FÖR PLAN FÖR EGENKONTROLL] [Egenkontrollobjektets namn] PLAN FÖR EGENKONTROLL

N/A
N/A
Protected

Academic year: 2022

Share "[FÖRESKRIFT 2/2015, BILAGA 1, DNR THL/1305/ /2014] [MALL FÖR PLAN FÖR EGENKONTROLL] [Egenkontrollobjektets namn] PLAN FÖR EGENKONTROLL"

Copied!
9
0
0

Loading.... (view fulltext now)

Full text

(1)

[FÖRESKRIFT 2/2015, BILAGA 1, DNR THL/1305/4.09.00/2014]

[MALL FÖR PLAN FÖR EGENKONTROLL]

[Egenkontrollobjektets namn]

PLAN FÖR EGENKONTROLL

[Datum och eventuella uppgifter om version]

[Vem som utarbetat planen]

[Eventuella anteckningar om godkännande]

Föråldrad

(2)

Innehåll

1 Inledning ... 3

2 Föremålet för planen ... 3

3 Allmänna informationssäkerhetsrutiner ... 4

4 Gemensamma informationssäkerhetsrutiner för användarmiljön och flera system ... 5

5 Allmänna rutiner för uppföljning av behörigheter, behörighetshantering och användning ... 6

6 Informationssäkerhetsrutiner för användning av Kanta-tjänsterna... 7

7 Informationssystem ... 8

8 Informationssystemspecifika anvisningar och planer ... 8

Föråldrad

(3)

[Som bilaga till denna föreskrift finns en dokumentmall, som är avsedd att stödja utarbe- tandet av planer för egenkontroll i objekt som omfattas av egenkontrollen. Dokumentmal- lens uppbyggnad och dess detaljerade innehåll är inte bindande, utan dokumentet är in- formativt. I den egentliga planen ska beskrivas alla omständigheter enligt föreskriften som är relevanta för egenkontrollobjektet. Föreskriften innehåller noggrannare krav som gäller flera punkter i dokumentmallen.

Planens slutliga uppbyggnad och innehåll ska utformas på ett sätt som är ändamålsenligt för dem som använder planen och till exempel de omständigheter i föreskriften som inte kan tillämpas i egenkontrollobjektets verksamhet kan nämnas i en bilaga till planen. Det är också möjligt att komplettera planen med andra omständigheter som är väsentliga för ob- jektet.

Utifrån planens innehåll eller andra dokument som det hänvisas till i planen ska vid behov kunna verifieras ]

1 Inledning

Tillhandahållare av social- och hälsovårdstjänster, apotek och självständiga yrkesutövare, Folkpensionsanstalten samt producenter av Kanta-förmedlingsservice ska utarbeta en plan för egenkontroll. (Föreskrift 2/2015,THL/1305/4.09.00/2014). Med hjälp av planen upprätthålls och utvecklas organisationens informationssäkerhet och dataskydd.

[Tillhandahållare av hälso- och sjukvårdstjänster som redan har anslutit sig till Kanta- tjänsterna har gjort en självauditering av informationssäkerheten innan de anslöt sig. Pla- nen för egenkontroll utgör en fortsättning på självauditeringen och kommer att ersätta den.]

[Vid behov beskrivs de auditeringar och kontroller som gjorts innan planen för egenkontroll utarbetades]

[I planen för egenkontroll hänvisas alltid när det är möjligt till befintliga anvisningar och do- kument som ska upprätthållas separat. Det väsentliga är att det med hjälp av länkar eller uppgifter i planen framgår var man kan hitta dokumentationen eller verifiera att kraven är uppfyllda. Om det inte finns eller går att få annan färdig dokumentation, är det möjligt att beskriva de helheter och tillvägagångssätt som krävs direkt i planen för egenkontroll.]

2 Föremålet för planen

Denna plan för egenkontroll omfattar:

[I detta stycke redogörs för den aktör eller de aktörer som berörs av denna plan för egen- kontroll (tillhandahållare av social- och/ eller hälso- och sjukvårdstjänster, apotek och självständiga yrkesutövare, Folkpensionsanstalten samt producenter av Kanta-

förmedlingsservice).]

Föråldrad

(4)

[Beskrivning av hur planen utnyttjas när informationssystem används, när användningen övervakas, vid anskaffningar och i utvecklingsarbete samt av beslut som eventuellt hänför sig till detta]

[Förfaranden för uppföljning av genomförandet av planen för egenkontroll]

3 Allmänna informationssäkerhetsrutiner

[Uppdaterade beskrivningar av följande eller hänvisningar till uppdaterade beskrivningar:]

[Hänvisning till en separat informationssäkerhetspolicy som eventuellt ska iakttas samt uppgifter om rutiner för att se över och utveckla den

[Allmänna uppgifter om informationssäkerhetsansvar, organisering, uppföljning och över- vakning av informationssäkerheten samt informationssäkerhetsansvariga]

Utbildning, anvisningar och användarerfarenhet samt uppföljning av dessa

[Eventuella hänvisningar till separata planer för uppföljning av utbildning och/eller kompe- tens och användarerfarenhet]

[Hur säkerställs det att personalen har fått utbildning i användning av informationssystem, behandling av patient- och klientuppgifter samt dataskydds- och informationssäkerhetsfrå- gor. Dessutom ska det beskrivas hur man följer och upprätthåller personalens kompetens och erfarenhet.]

Utbildning och introduktion i verksamhetsmodeller

[Hur ombesörjs tillvägagångssätt och utbildningsplaner som hänför sig till introduktion och utbildning i verksamhetsmodellerna samt hur följs fullföljandet av utbildningen och intro- duktionen (t.ex. intyg eller uppgifter som ska upprätthållas om deltagande i utbildning).]

Utbildning i användningen av informationssystem

[Hur ombesörjs tillvägagångssätt och utbildningsplaner som hänför sig till utbildning i an- vändningen av informationssystem samt hur följs fullföljandet av utbildningen och inlär- ningen (t.ex. intyg eller uppgifter som ska upprätthållas om deltagande i utbildning).]

Tillräcklig erfarenhet

[Hur säkerställs och verifieras den erfarenhet som krävs för att använda de klient- och / eller patientdatasystem som används. Erfarenhet som användningen kräver kan vid behov erhållas även genom utbildning eller introduktion, om användaren inte har använt systemet tidigare eller har ringa erfarenhet. I fråga om nödvändig introduktion kan vid behov hänvi- sas till rutinerna i punkten ”Utbildning i användningen av informationssystem”. Hur är handledningen av användarna ordnad.]

Föråldrad

(5)

Anvisningar och utbildning om behandlingen av patientuppgifter

[Hur anvisningarna om behandling av patientuppgifter och om utbildning i behandlingen av patientuppgifter för de anställda hos tillhandahållarna av tjänster samt upprätthållandet av personalens kunskaper är dokumenterade och kan verifieras]

4 Gemensamma informationssäkerhetsrutiner för användarmil- jön och flera system

[Var följande uppgifter står att få, eller beskrivningar som en del av planen:]

Förfaranden i fel- och problemsituationer

[Hur går man till väga för att reda ut fel och problem, vid behov olika fel- och problemsitu- ationer separat (problem med nätet eller telekommunikationerna, problem i anslutning till användning av systemen, hantering av iakttagna eller realiserade informationssäkerhets- eller dataskyddshot eller problem osv.). Ansvar i fel- och undantagssituationer]

[Anmälan om betydande avvikelser som iakttagits i fråga om uppfyllandet av väsentliga krav på system av klass A eller klass B till tillverkaren av informationssystemet]

[Anmälan om betydande avvikelse i system av klass A eller klass B till Valvira, om avvikel- sen medför betydande risk för patientsäkerheten]

Hantering av och tillgång till bruksanvisningar för systemen

[Hur hanteringen av bruksanvisningar för klient- och / eller patientdatasystemen och till- gången till anvisningarna samt personalens introduktion i anvisningarna generellt är do- kumenterad och kan verifieras. Rutiner för hantering, uppdatering och distribution av till- verkarnas anvisningar.]

[Hur uppdaterade och tillräckliga bruksanvisningar fås eller skaffas från producenten av informationssystemtjänsten]

[Hur uppdatering och distribution av bruksanvisningar sker i samband med program och versionsuppdateringar samt andra ändringar.]

[Hur säkerställs och verifieras att informationssystemen används i enlighet med tillverka- rens anvisningar eller så att dessa tillämpas eller kompletteras på ändamålsenligt sätt.]

Allmänt om installation och underhåll av systemen

[i kapitel 8 finns en plats för systemspecifika omständigheter, om de avviker från de rutiner som specificeras här]

[Allmänt om roller och ansvar vid installation, underhåll och uppdatering av systemen]

Föråldrad

(6)

[Allmänt om den yrkesskicklighet och sakkunskap som underhållsuppgifterna kräver]

[Förfaranden för ändringshantering, testning och godkännande av system]

Säkerhet hos lokaler, arbetsstationer, lagringsmedier och utskrifter [Fysiska lokaler som ska skyddas och skyddsrutiner för dem]

[Placering och låsning av arbetsstationer och skyddande av dem mot obehöriga]

[Skyddande av arbetsstationer mot virus och skadegörande program]

[Rutiner för att skydda mobila enheter och miljöer, hantering av PIN-koder, hantering av SIM-kort, programmässigt skydd]

[Installering av periferiprogram i arbetsstationer, servrar och mobila enheter]

[Säkerhet i fråga om utskrifter och rutiner för säker hantering av utskrifter]

[Externa lagringsenheter och lagringsmedier]

Andra rutiner i användningsmiljön.

[Allmänna stödtjänster i användningsmiljön]

[Telekommunikationsoperatörer och ansvar och avtal som hänför sig till informationssä- kerheten hos telekommunikationerna]

[Fjärranslutningar och informationssäkerheten hos dem]

[Trådlösa nät och routrar och informationssäkerheten hos dem]

5 Allmänna rutiner för uppföljning av behörigheter, behörig- hetshantering och användning

[Uppdaterade beskrivningar av följande eller hänvisningar till uppdaterade beskrivningar:]

[i kapitel 8 finns en plats för systemspecifika omständigheter, om de avviker från de rutiner som specificeras här]

Användargrupper

Föråldrad

(7)

[Var finns dokumentation om de användargrupper som använder klient- och/eller patient- datasystem. I fråga om aktörer som ska anslutas till Kanta-tjänsterna ska även användar- gruppernas behörigheter till Kanta-tjänsterna vara dokumenterade.]

Rutiner för uppföljning av behörighetshantering och användning

[Rutiner för ansökan om, beviljande, uppföljning, ändring, översyn / säkerställande och fråntagande av behörigheter]

[Rutiner för identifiering och verifiering av användare]

[Rutiner för uppföljning av hanteringen och användningen av loggar]

[Verksamhetsmodell när lagstridig behandling av klient- eller patientuppgifter upptäcks]

[Erhållande och anskaffande av FPAs logguppgifter för genomförande av uppföljningen och tillsynen]

6 Informationssäkerhetsrutiner för användning av Kanta- tjänsterna

[Uppdaterade beskrivningar av följande eller hänvisningar till uppdaterade beskrivningar:]

[Det är också möjligt att beskriva dessa omständigheter i samband med motsvarande punkter i tidigare kapitel eller systemspecifikt (kapitel 8)]

[Säkerställande av krav som förutsätts för en informationssäker användning av riksomfat- tande tjänster]

[Genomförande av de identifierings- och verifieringslösningar som Kanta-tjänsterna förut- sätter]

[Genomförande av de certifikatlösningar som Kanta-tjänsterna förutsätter (olika typer av certifikat)]

[Hantering av de behörigheter som Kanta-tjänsterna förutsätter och koppling av dem till arbetstagarnas arbetsroller]

[Uppföljning av användningen av Kanta-tjänsterna]

[Genomförande av behörighetshantering som gäller Kanta-tjänsterna]

[Åtskiljande av socialvårdens och hälso- och sjukvårdens dokument och olika register]

[Förutsättande av överensstämmelseintyg för informationssystem och förmedlingsservice som ska kopplas till Kanta-tjänsterna]

Föråldrad

(8)

[Verksamhet och ansvar i en situation där överensstämmelseintyget för ett system som är i användning återkallas för viss tid eller helt, i en situation där överensstämmelseintyget be- gränsas eller i en situation där användningen av informationssystemet förbjuds]

7 Informationssystem

[Till exempel hänvisning till en uppdaterad informationssystemsportfölj som ska underhål- las, eller en förteckning för system som ska användas]

Informationssystem som ska kopplas till Kanta-tjänsterna (klass A) -system, version, leverantör, kontaktuppgifter, överensstämmelseintyg -system, version, leverantör, kontaktuppgifter, överensstämmelseintyg Andra system som behandlar klient- eller patientuppgifter (klass B) -system, version, leverantör, kontaktuppgifter

-system, version, leverantör, kontaktuppgifter

Andra informationssystem, som ska beaktas med tanke på skydd av känsliga klient- och patientuppgifter

-system, version, leverantör, kontaktuppgifter

8 Informationssystemspecifika anvisningar och planer

[Hänvisningar till systemspecifika beskrivningar eller systemspecifika underavsnitt i detta dokument. I de olika punkterna kan i tillämpliga delar användas liknande beskrivningar som i motsvarande avsnitt i tidigare stycken. Endast system som inverkar på behandlingen av klient- eller patientuppgifter, informationssäkerheten och dataskyddet]

8.1 System X (hör till klass A)

-system, version, leverantör, kontaktuppgifter -användningsändamål

-användargrupper -bruksanvisningar

-uppdatering och distribution av anvisningarna -förfaranden i fel- och problemsituationer -systemspecifika stödtjänster

-ansvar för och krav på installation och underhåll

-tillvägagångssätt och ansvar i fel- och undantagssituationer -behörighetshantering i systemet

-identifiering i systemet -loggar

-låsning av systemet

Föråldrad

(9)

-säkerställande av uppgifterna i överensstämmelseintyg för system som ska kopplas till Kanta

-uppgifter om systemet i Valviras register 8.2 System Y (hör till klass B)

-system, version, leverantör, kontaktuppgifter -användningsändamål

-användargrupper -bruksanvisningar

-uppdatering och distribution av anvisningarna -förfaranden i fel- och problemsituationer -systemspecifika stödtjänster

-ansvar för och krav på installation och underhåll

-tillvägagångssätt och ansvar i fel- och undantagssituationer -behörighetshantering i systemet

-identifiering i systemet -loggar

-låsning av systemet

-uppgifter om systemet i Valviras register 8.2 System Y (annat system)

-system, version, leverantör, kontaktuppgifter -användningsändamål

-användargrupper

[i nödvändiga och tillämpliga delar]:

-bruksanvisningar

-uppdatering och distribution av anvisningarna -förfaranden i fel- och problemsituationer -systemspecifika stödtjänster

-ansvar för och krav på installation och underhåll

-tillvägagångssätt och ansvar i fel- och undantagssituationer -behörighetshantering i systemet

-identifiering i systemet -loggar

-låsning av systemet

Föråldrad

References

Related documents

Egenkontrollprogrammet ska innehålla de mo- ment i din verksamhet som har betydelse för att du ska kunna producera säkra livsmedel och riktig information till konsumenterna..

Kontaktpersonen deltar i möten kring uppgörande och uppföljning av personens IP/genomförandeplan. Kontaktpersonen informerar personer som deltar i vården av servicetagaren

Kyrkslätt kommun: Kirkkoharju-Skolan Eeva-Liisa Hemming eeva-liisa.hemming@kirkkonummi.fi Vem ansvarar för egenkontrollen avseende nutrition och livsmedelshygien, var finns planen för

För att garantera att personalen har behövlig kunskap gällande dataskydd och behandling av person uppgifter finns följande information på intranätet: webbaserad GDPR-kurs,

Enhetens plan för hygienservice styr för sin del säkerställandet av hygiennivån, planen uppdateras av enhetens chef tillsammans med enhetens städare. Personalen

Exemplet bygger på antagandet att kunden utnyttjat krediten genom kortköp i svenska kronor, har 30 räntefria dagar och inte är skyldig att betala andra avgifter eller andra

Den assistansberättigade eller dennas intressebevakare är ansvarig för den assistansberättigades läkemedelsbehandling och vårdinsatser.Läkemedelsbehandling och vårdtjänster

Läroplanen för förskola (Lpfö 98) innehåller mål för arbetet med barns inflytande samt riktlinjer för föräldrarnas delaktighet. Järfälla kommun har satt mål för