Lagförteckning informationssäkerhet
Omfattning
Lagförteckningen omfattar de lagar, förordningar och föreskrifter som verksamheterna inom Region Jämtland Härjedalen omfattas av. I lagförteckningen finns;
En kort beskrivning av lagens/förordningens och föreskriftens innehåll, för lagstiftningen i sin helhet se www.lagrummet.se
Hur lagen/förordningen och föreskriften ska tillämpas på Regionen Jämtland Härjedalens verksamheter.
Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården;
HSLF-FS 2016:40,
Vem som är ansvarig för att lagen/förordningen eller att föreskriften efterlevs.
Uppdatering
Lagförteckningen uppdateras 1 gång/år av regionjurist.
Lagefterlevnad
Checklista gällande lagefterlevnad fylls i en gång per år av chefer inom enheterna. Checklistan är kopplad till lagförteckningen.
Författning Kort beskrivning Tillämpning Ansvarig för efterlevnad Lag (2018:1174) om
informationssäkerhet för samhällsviktiga och digitala tjänster
Syftet med denna lag är att uppnå en hög nivå på säkerheten i nätverk och informationssystem för
1. samhällsviktiga tjänster inom sektorerna o energi,
o transport,
o bankverksamhet,
o finansmarknadsinfrastruktur, o hälso- och sjukvård,
o leverans och distribution av dricksvatten,
o digital infrastruktur, och 2. digitala tjänster.
Lagen gäller för
leverantörer av det slag som anges i bilaga 2 till NIS-direktivet och som tillhandahåller en
samhällsviktig tjänst, under förutsättning att
leverantören är etablerad i Sverige, att
tillhandahållandet av tjänsten är beroende av nätverk och
informationssystem och att en incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten (leverantörer av samhällsviktiga tjänster), och
juridiska personer som tillhandahåller en digital tjänst och som har sitt huvudsakliga
etableringsställe i Sverige
Regionstyrelsen Verksamhetschef
eller har utsett en företrädare som är
etablerad här (leverantörer av digitala tjänster).
MSBFS 2018:8 föreskrifter och allmänna råd om informationssäkerhet för leverantörer av samhällsviktiga tjänster
Kraven för leverantörer av samhällsviktiga tjänster beskrivs mer detaljerat i MSB:s föreskrifter om informationssäkerhet för leverantörer av samhällsviktiga tjänster.
I föreskrifterna beskrivs mer detaljerat hur leverantören går tillväga för att bedriva ett effektivt
informationssäkerhetsarbete där organisationens
kunskap om och resurser för att identifiera, införa och utvärdera ändamålsenliga och proportionerliga
organisatoriska och tekniska säkerhetsåtgärder för att säkerställa leveransen av den samhällsviktiga tjänsten.
Offentlighet- och sekretesslagen (2009:400)
Lagen innehåller bestämmelser om myndigheters och vissa andra organs handläggning vid registrering, utlämnande och övrig hantering av allmänna handlingar.
Tryckfrihetsförordningen, bestämmelserna om yttrandefrihet tillsammans med offentlighets- och sekretesslagen reglerar hur offentliga organ ska hantera allmänna handlingar och
Regionstyrelsen Verksamhetschef Alla medarbetare
villka uppgifter/handlingar som omfattas av
tystnadsplikt och sekretess.
Hälso- och
sjukvårdslagen, HSL (1982:763)
Hälso- och sjukvårdslagen, HSL är en ramlag, den anger huvudmålen för hälso- och sjukvårdens inriktning utan detaljer. Målet med lagen är en god hälsa och vård på lika villkor för alla.
Hälso- och sjukvårdslagen är till för att medicinskt förebygga, utreda och behandla sjukdomar och skador. De omfattar också sjuktransporter samt att ta hand om avlidna. Tandvård däremot omfattas av särskilda bestämmelser.
Sjukvården ska bedrivas så att den uppfyller kraven på god och säker vård. Detta innebär bl.a. att den ska
vara av god kvalitet och tillgodose patientens behov av trygghet i vården och behandlingen
vara lättillgänglig
bygga på respekt för patientens
självbestämmande och integritet
främja goda kontakter mellan patienten och hälso- och
sjukvårdsmedarbetar en
Verksamhetschef 29 a §
Verksamhetschefen ska säkerställa att patientens behov av trygghet,
kontinuitet, samordning och säkerhet i vården tillgodoses. Om det är nödvändigt för att tillgodose dessa behov, eller om en patient begär det, ska
verksamhetschefen utse en fast
vårdkontakt för patienten. Lag (2010:243).
30 §
Verksamhetschefen får uppdra åt sådana
befattningshavare inom verksamheten som har tillräcklig kompetens och erfarenhet att fullgöra enskilda ledningsuppgifter.
Lag (1996:787).
Verksamhetschefen ska svara för att verksamheten tillgodoser hög patientsäkerhet och god kvalitet av vården samt främjar
kostnadseffektivitet.
All berörd personal
Tandvårdslagen (1985:125)
Tandvårdslagen anger landstingens och de privata vårdgivarnas skyldigheter inom tandvården.
Tandvårdslagen är uppbyggd på samma sätt som hälso- och sjukvårdslagen.
Tillämpning se ovan
Verksamhetschef All berörd personal
Patientsäkerhetslag (2010:659)
Lagen syftar till att skapa en säkrare vård. Syftet med lagen är
Vårdgivare får ett tydligt ansvar att bedriva ett
Verksamhetschef ansvar att bedriva ett
att få ned antalet vårdskador, oavsett om bristerna beror på systemfel hos vårdgivaren eller på att vårdpersonalen har begått misstag.
systematiskt
patientsäkerhetsarbete och arbeta förebyggande för att förhindra vårdskador.
Vårdgivarna får också en skyldighet att utreda händelser som lett till eller hade kunnat leda till vårdskada.
systematiskt
patientsäkerhetsarbete, förebygga för att förhindra vårdskador och utreda såväl händelser som lett till en skada som händelser som skulle kunna ha lett till en skada.
Vårdgivaren ska ge patienterna och deras närstående möjlighet att delta i
patientsäkerhetsarbetet.
All berörd personal
Patientsäkerhetslagen 6 kapitel.
Dataskyddsförordningen
PUL ersattes i maj 2018 av Dataskyddsförordningen (DSF),EU förordning som blir direkt tillämplig som lag i
medlemstaterna. och syftar till att skydda den personliga
integriteten. Lagen preciserar villkor för att behandla
personuppgifter inom hälso- och sjukvården. Genom
patientdatalagen införs en laglig
DSF gäller all behandling av personuppgifter, oavsett om det avser text, bild eller ljud rörande fysiska personer som är i livet. Varje
nämnd/styrelse är
Personuppgiftsansvarig för behandling av personuppgifter som sker inom nämnden.
Varje nämnd är ansvarig för att utse ett Dataskyddsombud
Chef All personal
grund för att hantera
administration och dokumentation inom vården med hjälp av IT- stöd.
Med personuppgifter avses all information som kan hänföras till en levande fysisk person. Med behandling menas exempelvis insamling, registrering, lagring, sammanställning, bearbetning eller samkörning.
(DSO) som ska se till att personuppgifter inom regionen behandlas på ett korrekt och lagligt sätt.
Regionen har styrdokument för reglering av
personuppgiftshantering inom Region Jämtland Härjedalen.
Dessa ligger i Centuri, under Stöd, Service, Samverkan – Informationssäkerhet – Dataskyddsförordningen
Patientdatalagen, PDL (2008:355)
Patientdatalagen har till syfte att öka patientsäkerheten och skydda känsliga uppgifter. I lagen finns bestämmelser om vårdgivares behandling av personuppgifter inom hälso- och sjukvården samt
bestämmelser om skyldigheten att föra patientjournal. Här preciseras skyldigheten att föra journal inom hälso- och sjukvården. Till
journalhandlingar räknas de
Det är av stor vikt att
informationshanteringen inom hälso- och sjukvården är organiserad så att den
tillgodoser patientsäkerhet och god kvalitet och
kostnadseffektivitet Att säkerställa respekt för patienters och övriga registrerades integritet är prioriterat liksom arbetet med
I PDL ges vårdgivaren ett uttalat ansvar för behörighetsstyrning och loggning. Verksamhetschefen är den som tilldelar rättigheter för anställda och uppdragstagare.
Rättighetstilldelningen avser åtkomst till information både inom den egna enheten/egna
vårdprocessen och hos andra enheter inom den egna
vårdgivaren samt vid direktåtkomst
handlingar och anteckningar som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller vidtagna eller planerade vårdåtgärder. Tillgång till journaluppgifter ska den
medarbetare ha som är engagerad i vården av den enskilda patienten.
Lagen ger även möjlighet till så kallad sammanhållen journalföring som innebär att vårdgivare via elektroniska system kan ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare. Lagen anger de yrkesgrupper inom hälso- och sjukvården som är skyldiga att föra journal och vilka uppgifter som ska dokumenteras.
Varje anteckning i en journal ska innehålla uppgift om vem som svarar för anteckningen och dennes bekräftelse av att anteckningen är riktig (signering).
att säkerställa att inga obehöriga får tillgång till dokumenterade
personuppgifter.
till information hos annan
vårdgivare som deltar i system för sammanhållen journalföring.
Observera att det alltså inte är den som äger informationen som tilldelar rättigheter utan den som ansvarar för personer som söker information.
HSA används som
informationskälla och lagringsplats för behörighetsgrundande
egenskaper enligt PDL. I HSA anges vilka vårdgivare och vårdenheter som ryms inom organisationen.
Verksamhetschefens ansvar
- utarbetande av rutiner mot bakgrund av fastställd informationssäkerhetspolicy.
Verksamhetschefen ska inom ramen för vårdgivarens
ledningssystem för kvalitet och patientsäkerhet ansvara för 1. uppföljning av
patientuppgifternas kvalitet och ändamålsenlighet
2. att utdelade behörigheter för åtkomst till patientuppgifter är ändamålsenliga och förenliga med hälso- och sjukvårdspersonalens och andra befattningshavares aktuella arbetsuppgifter
(verksamhetschef som tilldelat behörighet för åtkomst ansvarar även för loggningskontrollen).
3. att hälso- och
sjukvårdspersonalen och andra befattningshavare är informerade om de bestämmelser som gäller för hantering av patientuppgifter, och 4. uppföljning av
informationssystemens användning genom regelbunden kontroll av loggarna. Den verksamhetschef som tilldelat behörighet för åtkomst ansvarar för loggningskontrollen.
All berörd personal
”Den hälso- och sjukvårdspersonal, uppdragstagare, entreprenör eller annan, som arbetar för en
vårdgivare eller som har slutit ett avtal med en vårdgivare ska 1. ansvara för att personliga lösenord och hjälpmedel för autentisering inte
kan bli tillgängliga för obehöriga 2. ansvara för att datorer och andra informationsbärare som har använts inte lämnas utan att patientuppgifterna är skyddade från obehörig åtkomst och 3. endast ta del av
patientuppgifter, om han eller hon deltar i vården av patienten eller av något annat ändamål som anges i 2 kap 4 och 5§ PDL behöver uppgifterna för sitt arbete inom hälso- och sjukvården. (2 kap 20§
SOSFS 2008:14) Lag (2017:612) om
samverkan vid utskrivning från sluten hälso- och sjukvård
I denna lag finns bestämmelser om 1. samverkan vid planering av insatser för enskilda som efter att de skrivits ut från sluten vård kan komma att behöva insatser från socialtjänsten, den kommunalt finansierade hälso- och sjukvården eller den landstingsfinansierade
öppna vården,
2. hur insatserna ska planeras för enskilda som efter utskrivning behöver insatser från flera berörda enheter inom de aktuella
verksamheterna, och
3. kommunens betalningsansvar för vissa utskrivningsklara
patienter.
Det som i denna lag sägs om landsting gäller även kommuner som inte ingår i ett landsting.
Författning Kort beskrivning Tillämpning Ansvarig för efterlevnad Patientdata-
förordning (2008:360)
Förordningen är ett komplement till Patientdatalagen, däri regleras att både Socialstyrelsen och DI kan efter samråd meddela föreskrifter inom patientdatalagens område.
Denna förordning tillämpas vid sådan behandling av
personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad och som regleras av patientdatalagen (2008:355). De uttryck och benämningar som används i lagen har samma betydelse i denna förordning.
(se PDL)
Socialstyrelsens föreskrifter om samverkan vid in- och utskrivning av patienter i sluten vård (SOSFS 2005:27)
Dessa föreskriver samverkan mellan sjukvården och
socialtjänsten innefattande att information som behövs för att planera patientens vård och omsorg finns tillgänglig och kan överföras mellan vårdgivare i samband med att patienten flyttar från en
vårdform till en annan.
Information som behövs för att planera patientens vård och omsorg ska finnas tillgänglig och kunna överföras mellan vårdgivare i samband med att patienten flyttar från en vårdform till en annan.
Verksamhetschef har ansvar för att det skapas rutiner. Berörd personal skyldighet följa upprättade rutiner.
Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och
Kompletterar Patientdatalagen med mer konkreta anvisningar
som komplement till Patiendatalagen.
Se ovan om PDL (Vårdgivaren och all berörd personal)
sjukvården;
HSLF-FS 2016:40
Författning Kort beskrivning Tillämpning Ansvarig för efterlevnad Offentlighets-
och sekretesslag (2009:400)
I offentlighet- och sekretesslagen (2009:400) finns regler om tystnadsplikt och sekretess inom den allmänna hälso- och
sjukvården.
Offentlighets- och sekretesslagen specificerar därför vilka av de allmänna handlingarna som ska beläggas med sekretess.
Sekretess råder mellan myndigheter och mellan olika verksamhetsgrenar inom samma myndighet. Vid
samverkan mellan enheter inom olika myndigheter och
verksamhetsgrenar finns regler om utlämnande av
sekretesskyddat material:
Samtycke: Den enskildes samtycke bryter sekretessen Samtycket kan vara skriftligt eller muntligt. I vissa fall är det inte möjligt att få samtycke.
Menprövning En
skadeprövning görs och det ska stå klart att den enskilde eller dennes närstående inte kommer lida men för utlämnande ska få ske.
Chef
All personal
Lag om
hälsodataregister (1998:543)
Lagen reglerar hälso- och
sjukvårdens skyldighet att årligen rapportera uppgifter om den öppna och slutna vården till
Epidemiologisk centrum (EPC) hos
Denna lag står över
bestämmelserna i offentlighet- och sekretesslagen.
Verksamhetschef All berörd personal
Socialstyrelsen.
Författning Kort beskrivning Tillämpning Ansvarig för efterlevnad
Tryckfrihets- förordningen, TF (1949:105) (OSL 2 kap.)
Här regleras offentlighetsprincipen, dvs. att offentlig myndighet
(landstinget) har skyldighet att lämna ut allmänna handlingar.
Lagen reglerar vilken typ av information hos myndigheterna som ska betraktas som allmänna handlingar och då enligt
huvudregeln vara tillgängliga, offentliga. För privata sektorn föreligger ingen generell skyldighet att lämna ut handlingar.
Vissa allmänna handlingar
innehåller dock känsliga uppgifter, exempelvis rörande rikets säkerhet eller den enskildes personliga förhållanden.
Rätten att taga del av allmänna handlingar får begränsas endast om det är påkallat med hänsyn till
1. rikets säkerhet eller dess förhållande till annan stat eller mellanfolklig organisation, 2. rikets centrala finanspolitik, penningpolitik eller
valutapolitik,
3. myndighets verksamhet för inspektion, kontroll eller annan tillsyn,
4. intresset att förebygga eller beivra brott,
5. det allmännas ekonomiska intresse,
6. skyddet för enskilds personliga eller ekonomiska förhållanden,
7. intresset att bevara djur- eller växtart.
Chef
All personal
Författning Kort beskrivning Tillämpning Ansvarig för efterlevnad Arkivlag
(1990:782)
Statliga myndigheters arkivhantering regleras
huvudsakligen genom arkivlagen, arkivförordningen samt Riksarkivets föreskrifter och allmänna råd (RA- FS och RA-MS). Reglerna vilar ytterst på tryckfrihetsförordningens bestämmelser om allmänhetens rätt att ta del av allmänna handlingar.
Arkivlagen anger allmänna riktlinjer för bevarande, gallring och
arkivering. Riktlinjer om bevarande/gallring av
patientjournaler finns till viss del i patientdatalagen (se ovan), samt i särskilda bestämmelser som utfärdas av arkivmyndigheten (=Landstingsstyrelsen)
I arkivlagen kan man läsa att en myndighets arkiv bildas av de allmänna handlingarna från myndighetens verksamhet.
Allmänna handlingar är eller blir, med andra ord,
arkivhandlingar hos en
myndighet. Att myndigheterna hanterar sina arkiv på ett riktigt sätt är därför en förutsättning för att rätten att ta del av allmänna handlingar ska kunna tillgodoses, nu och i framtiden.
Men av arkivlagen framgår det också att rätten att ta del av allmänna handlingar inte är det enda skälet till varför
myndigheternas arkiv ska bevaras, hållas ordnade och vårdas. Arkiven ska även tillgodose behovet av
information för rättskipningen, förvaltningen och forskningen.
Myndigheternas arkiv är även, som det uttrycks i arkivlagen
”en del av det nationella kulturarvet”, och det i sig är
Chef
All Personal
något att ta i beaktande i arkivhanteringen.
För att arkiven ska kunna tillgodose alla dessa behov behöver myndigheterna kunna bevara handlingarna för
framtiden. Det måste också gå att hitta handlingarna och att förstå innehållet i dem, även lång tid efter att de skapades.
Handlingarna behöver också värderas, så att de handlingar som inte behövs för
allmänhetens, rättskipningens, förvaltningens och forskningens behov, kan gallras. Hur all denna hantering av handlingar ska gå till hos statliga
myndigheter regleras huvudsakligen genom Riksarkivets föreskrifter och allmänna råd (RA-FS och RA- MS), med stöd i arkivlagen och arkivförordningen.
Författning Kort beskrivning Tillämpning Ansvarig för efterlevnad Arkivförordning
(1991:446)
Av arkivförordningen framgår att många handlingar blir
arkivhandlingar i samma ögonblick som de blir allmänna handlingar.
Se ovan
Brottsbalk (1962:700)
Rättslig reglering bidrar till informationssäkerhet genom att ställa krav på att vidta åtgärder men även genom att kriminalisera vissa handlingar. Många brott, som bedrägeri, begås idag ofta med hjälp av IT. Ett brott med uttrycklig koppling till IT är dataintrång. Ett annat brott är om man bryter mot sekretessen enligt Offentlighet- och sekretsslagen eller enligt
patientlagen, brott mot
tystnadsplikt regleras i 20 kap 3 § BrB.
Enligt brottsbalken 4 kap 9c§ är det förbjudet att olovligen bereda sig tillgång till en uppgift som är avsedd för
automatiserad behandling eller olovligen ändra, utplåna, blockera eller i register föra in en sådan uppgift. Det är heller inte tillåtet att olovligen
allvarligt störa eller hindra användningen av en sådan uppgift. Den som bryter mot detta kan dömas för dataintrång till böter eller fängelse i högst två år.
Ett annat brott är om man bryter mot sekretessen enligt Offentlighet- och sekretsslagen eller enligt patientlagen, brott mot tystnadsplikt regleras i 20 kap 3 § BrB.
Chef
All personal