• No results found

Lagförteckning informationssäkerhet

N/A
N/A
Info
Download
Protected

Academic year: 2022

Share "Lagförteckning informationssäkerhet"

Copied!
19
0
0

Loading.... (view fulltext now)

Download now ( 19 Page )

Full text

(1)

Lagförteckning informationssäkerhet

Omfattning

Lagförteckningen omfattar de lagar, förordningar och föreskrifter som verksamheterna inom Region Jämtland Härjedalen omfattas av. I lagförteckningen finns;

 En kort beskrivning av lagens/förordningens och föreskriftens innehåll, för lagstiftningen i sin helhet se www.lagrummet.se

 Hur lagen/förordningen och föreskriften ska tillämpas på Regionen Jämtland Härjedalens verksamheter.

 Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården;

HSLF-FS 2016:40,

 Vem som är ansvarig för att lagen/förordningen eller att föreskriften efterlevs.

Uppdatering

Lagförteckningen uppdateras 1 gång/år av regionjurist.

Lagefterlevnad

Checklista gällande lagefterlevnad fylls i en gång per år av chefer inom enheterna. Checklistan är kopplad till lagförteckningen.

(2)

Författning Kort beskrivning Tillämpning Ansvarig för efterlevnad Lag (2018:1174) om

informationssäkerhet för samhällsviktiga och digitala tjänster

Syftet med denna lag är att uppnå en hög nivå på säkerheten i nätverk och informationssystem för

1. samhällsviktiga tjänster inom sektorerna o energi,

o transport,

o bankverksamhet,

o finansmarknadsinfrastruktur, o hälso- och sjukvård,

o leverans och distribution av dricksvatten,

o digital infrastruktur, och 2. digitala tjänster.

Lagen gäller för

leverantörer av det slag som anges i bilaga 2 till NIS-direktivet och som tillhandahåller en

samhällsviktig tjänst, under förutsättning att

leverantören är etablerad i Sverige, att

tillhandahållandet av tjänsten är beroende av nätverk och

informationssystem och att en incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten (leverantörer av samhällsviktiga tjänster), och

juridiska personer som tillhandahåller en digital tjänst och som har sitt huvudsakliga

etableringsställe i Sverige

Regionstyrelsen Verksamhetschef

(3)

eller har utsett en företrädare som är

etablerad här (leverantörer av digitala tjänster).

MSBFS 2018:8 föreskrifter och allmänna råd om informationssäkerhet för leverantörer av samhällsviktiga tjänster

Kraven för leverantörer av samhällsviktiga tjänster beskrivs mer detaljerat i MSB:s föreskrifter om informationssäkerhet för leverantörer av samhällsviktiga tjänster.

I föreskrifterna beskrivs mer detaljerat hur leverantören går tillväga för att bedriva ett effektivt

informationssäkerhetsarbete där organisationens

kunskap om och resurser för att identifiera, införa och utvärdera ändamålsenliga och proportionerliga

organisatoriska och tekniska säkerhetsåtgärder för att säkerställa leveransen av den samhällsviktiga tjänsten.

Offentlighet- och sekretesslagen (2009:400)

Lagen innehåller bestämmelser om myndigheters och vissa andra organs handläggning vid registrering, utlämnande och övrig hantering av allmänna handlingar.

Tryckfrihetsförordningen, bestämmelserna om yttrandefrihet tillsammans med offentlighets- och sekretesslagen reglerar hur offentliga organ ska hantera allmänna handlingar och

Regionstyrelsen Verksamhetschef Alla medarbetare

(4)

villka uppgifter/handlingar som omfattas av

tystnadsplikt och sekretess.

Hälso- och

sjukvårdslagen, HSL (1982:763)

Hälso- och sjukvårdslagen, HSL är en ramlag, den anger huvudmålen för hälso- och sjukvårdens inriktning utan detaljer. Målet med lagen är en god hälsa och vård på lika villkor för alla.

Hälso- och sjukvårdslagen är till för att medicinskt förebygga, utreda och behandla sjukdomar och skador. De omfattar också sjuktransporter samt att ta hand om avlidna. Tandvård däremot omfattas av särskilda bestämmelser.

Sjukvården ska bedrivas så att den uppfyller kraven på god och säker vård. Detta innebär bl.a. att den ska

 vara av god kvalitet och tillgodose patientens behov av trygghet i vården och behandlingen

 vara lättillgänglig

 bygga på respekt för patientens

självbestämmande och integritet

 främja goda kontakter mellan patienten och hälso- och

sjukvårdsmedarbetar en

Verksamhetschef 29 a §

Verksamhetschefen ska säkerställa att patientens behov av trygghet,

kontinuitet, samordning och säkerhet i vården tillgodoses. Om det är nödvändigt för att tillgodose dessa behov, eller om en patient begär det, ska

verksamhetschefen utse en fast

vårdkontakt för patienten. Lag (2010:243).

30 §

Verksamhetschefen får uppdra åt sådana

(5)

befattningshavare inom verksamheten som har tillräcklig kompetens och erfarenhet att fullgöra enskilda ledningsuppgifter.

Lag (1996:787).

Verksamhetschefen ska svara för att verksamheten tillgodoser hög patientsäkerhet och god kvalitet av vården samt främjar

kostnadseffektivitet.

All berörd personal

Tandvårdslagen (1985:125)

Tandvårdslagen anger landstingens och de privata vårdgivarnas skyldigheter inom tandvården.

Tandvårdslagen är uppbyggd på samma sätt som hälso- och sjukvårdslagen.

Tillämpning se ovan

Verksamhetschef All berörd personal

Patientsäkerhetslag (2010:659)

Lagen syftar till att skapa en säkrare vård. Syftet med lagen är

Vårdgivare får ett tydligt ansvar att bedriva ett

Verksamhetschef ansvar att bedriva ett

(6)

att få ned antalet vårdskador, oavsett om bristerna beror på systemfel hos vårdgivaren eller på att vårdpersonalen har begått misstag.

systematiskt

patientsäkerhetsarbete och arbeta förebyggande för att förhindra vårdskador.

Vårdgivarna får också en skyldighet att utreda händelser som lett till eller hade kunnat leda till vårdskada.

systematiskt

patientsäkerhetsarbete, förebygga för att förhindra vårdskador och utreda såväl händelser som lett till en skada som händelser som skulle kunna ha lett till en skada.

Vårdgivaren ska ge patienterna och deras närstående möjlighet att delta i

patientsäkerhetsarbetet.

All berörd personal

Patientsäkerhetslagen 6 kapitel.

Dataskyddsförordningen

PUL ersattes i maj 2018 av Dataskyddsförordningen (DSF),EU förordning som blir direkt tillämplig som lag i

medlemstaterna. och syftar till att skydda den personliga

integriteten. Lagen preciserar villkor för att behandla

personuppgifter inom hälso- och sjukvården. Genom

patientdatalagen införs en laglig

DSF gäller all behandling av personuppgifter, oavsett om det avser text, bild eller ljud rörande fysiska personer som är i livet. Varje

nämnd/styrelse är

Personuppgiftsansvarig för behandling av personuppgifter som sker inom nämnden.

Varje nämnd är ansvarig för att utse ett Dataskyddsombud

Chef All personal

(7)

grund för att hantera

administration och dokumentation inom vården med hjälp av IT- stöd.

Med personuppgifter avses all information som kan hänföras till en levande fysisk person. Med behandling menas exempelvis insamling, registrering, lagring, sammanställning, bearbetning eller samkörning.

(DSO) som ska se till att personuppgifter inom regionen behandlas på ett korrekt och lagligt sätt.

Regionen har styrdokument för reglering av

personuppgiftshantering inom Region Jämtland Härjedalen.

Dessa ligger i Centuri, under Stöd, Service, Samverkan – Informationssäkerhet – Dataskyddsförordningen

Patientdatalagen, PDL (2008:355)

Patientdatalagen har till syfte att öka patientsäkerheten och skydda känsliga uppgifter. I lagen finns bestämmelser om vårdgivares behandling av personuppgifter inom hälso- och sjukvården samt

bestämmelser om skyldigheten att föra patientjournal. Här preciseras skyldigheten att föra journal inom hälso- och sjukvården. Till

journalhandlingar räknas de

Det är av stor vikt att

informationshanteringen inom hälso- och sjukvården är organiserad så att den

tillgodoser patientsäkerhet och god kvalitet och

kostnadseffektivitet Att säkerställa respekt för patienters och övriga registrerades integritet är prioriterat liksom arbetet med

I PDL ges vårdgivaren ett uttalat ansvar för behörighetsstyrning och loggning. Verksamhetschefen är den som tilldelar rättigheter för anställda och uppdragstagare.

Rättighetstilldelningen avser åtkomst till information både inom den egna enheten/egna

vårdprocessen och hos andra enheter inom den egna

vårdgivaren samt vid direktåtkomst

(8)

handlingar och anteckningar som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller vidtagna eller planerade vårdåtgärder. Tillgång till journaluppgifter ska den

medarbetare ha som är engagerad i vården av den enskilda patienten.

Lagen ger även möjlighet till så kallad sammanhållen journalföring som innebär att vårdgivare via elektroniska system kan ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare. Lagen anger de yrkesgrupper inom hälso- och sjukvården som är skyldiga att föra journal och vilka uppgifter som ska dokumenteras.

Varje anteckning i en journal ska innehålla uppgift om vem som svarar för anteckningen och dennes bekräftelse av att anteckningen är riktig (signering).

att säkerställa att inga obehöriga får tillgång till dokumenterade

personuppgifter.

till information hos annan

vårdgivare som deltar i system för sammanhållen journalföring.

Observera att det alltså inte är den som äger informationen som tilldelar rättigheter utan den som ansvarar för personer som söker information.

HSA används som

informationskälla och lagringsplats för behörighetsgrundande

egenskaper enligt PDL. I HSA anges vilka vårdgivare och vårdenheter som ryms inom organisationen.

Verksamhetschefens ansvar

- utarbetande av rutiner mot bakgrund av fastställd informationssäkerhetspolicy.

Verksamhetschefen ska inom ramen för vårdgivarens

ledningssystem för kvalitet och patientsäkerhet ansvara för 1. uppföljning av

patientuppgifternas kvalitet och ändamålsenlighet

(9)

2. att utdelade behörigheter för åtkomst till patientuppgifter är ändamålsenliga och förenliga med hälso- och sjukvårdspersonalens och andra befattningshavares aktuella arbetsuppgifter

(verksamhetschef som tilldelat behörighet för åtkomst ansvarar även för loggningskontrollen).

3. att hälso- och

sjukvårdspersonalen och andra befattningshavare är informerade om de bestämmelser som gäller för hantering av patientuppgifter, och 4. uppföljning av

informationssystemens användning genom regelbunden kontroll av loggarna. Den verksamhetschef som tilldelat behörighet för åtkomst ansvarar för loggningskontrollen.

All berörd personal

”Den hälso- och sjukvårdspersonal, uppdragstagare, entreprenör eller annan, som arbetar för en

(10)

vårdgivare eller som har slutit ett avtal med en vårdgivare ska 1. ansvara för att personliga lösenord och hjälpmedel för autentisering inte

kan bli tillgängliga för obehöriga 2. ansvara för att datorer och andra informationsbärare som har använts inte lämnas utan att patientuppgifterna är skyddade från obehörig åtkomst och 3. endast ta del av

patientuppgifter, om han eller hon deltar i vården av patienten eller av något annat ändamål som anges i 2 kap 4 och 5§ PDL behöver uppgifterna för sitt arbete inom hälso- och sjukvården. (2 kap 20§

SOSFS 2008:14) Lag (2017:612) om

samverkan vid utskrivning från sluten hälso- och sjukvård

I denna lag finns bestämmelser om 1. samverkan vid planering av insatser för enskilda som efter att de skrivits ut från sluten vård kan komma att behöva insatser från socialtjänsten, den kommunalt finansierade hälso- och sjukvården eller den landstingsfinansierade

(11)

öppna vården,

2. hur insatserna ska planeras för enskilda som efter utskrivning behöver insatser från flera berörda enheter inom de aktuella

verksamheterna, och

3. kommunens betalningsansvar för vissa utskrivningsklara

patienter.

Det som i denna lag sägs om landsting gäller även kommuner som inte ingår i ett landsting.

(12)

Författning Kort beskrivning Tillämpning Ansvarig för efterlevnad Patientdata-

förordning (2008:360)

Förordningen är ett komplement till Patientdatalagen, däri regleras att både Socialstyrelsen och DI kan efter samråd meddela föreskrifter inom patientdatalagens område.

Denna förordning tillämpas vid sådan behandling av

personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad och som regleras av patientdatalagen (2008:355). De uttryck och benämningar som används i lagen har samma betydelse i denna förordning.

(se PDL)

Socialstyrelsens föreskrifter om samverkan vid in- och utskrivning av patienter i sluten vård (SOSFS 2005:27)

Dessa föreskriver samverkan mellan sjukvården och

socialtjänsten innefattande att information som behövs för att planera patientens vård och omsorg finns tillgänglig och kan överföras mellan vårdgivare i samband med att patienten flyttar från en

vårdform till en annan.

Information som behövs för att planera patientens vård och omsorg ska finnas tillgänglig och kunna överföras mellan vårdgivare i samband med att patienten flyttar från en vårdform till en annan.

Verksamhetschef har ansvar för att det skapas rutiner. Berörd personal skyldighet följa upprättade rutiner.

Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och

Kompletterar Patientdatalagen med mer konkreta anvisningar

som komplement till Patiendatalagen.

Se ovan om PDL (Vårdgivaren och all berörd personal)

(13)

sjukvården;

HSLF-FS 2016:40

(14)

Författning Kort beskrivning Tillämpning Ansvarig för efterlevnad Offentlighets-

och sekretesslag (2009:400)

I offentlighet- och sekretesslagen (2009:400) finns regler om tystnadsplikt och sekretess inom den allmänna hälso- och

sjukvården.

Offentlighets- och sekretesslagen specificerar därför vilka av de allmänna handlingarna som ska beläggas med sekretess.

Sekretess råder mellan myndigheter och mellan olika verksamhetsgrenar inom samma myndighet. Vid

samverkan mellan enheter inom olika myndigheter och

verksamhetsgrenar finns regler om utlämnande av

sekretesskyddat material:

Samtycke: Den enskildes samtycke bryter sekretessen Samtycket kan vara skriftligt eller muntligt. I vissa fall är det inte möjligt att få samtycke.

Menprövning En

skadeprövning görs och det ska stå klart att den enskilde eller dennes närstående inte kommer lida men för utlämnande ska få ske.

Chef

All personal

Lag om

hälsodataregister (1998:543)

Lagen reglerar hälso- och

sjukvårdens skyldighet att årligen rapportera uppgifter om den öppna och slutna vården till

Epidemiologisk centrum (EPC) hos

Denna lag står över

bestämmelserna i offentlighet- och sekretesslagen.

Verksamhetschef All berörd personal

(15)

Socialstyrelsen.

Författning Kort beskrivning Tillämpning Ansvarig för efterlevnad

Tryckfrihets- förordningen, TF (1949:105) (OSL 2 kap.)

Här regleras offentlighetsprincipen, dvs. att offentlig myndighet

(landstinget) har skyldighet att lämna ut allmänna handlingar.

Lagen reglerar vilken typ av information hos myndigheterna som ska betraktas som allmänna handlingar och då enligt

huvudregeln vara tillgängliga, offentliga. För privata sektorn föreligger ingen generell skyldighet att lämna ut handlingar.

Vissa allmänna handlingar

innehåller dock känsliga uppgifter, exempelvis rörande rikets säkerhet eller den enskildes personliga förhållanden.

Rätten att taga del av allmänna handlingar får begränsas endast om det är påkallat med hänsyn till

1. rikets säkerhet eller dess förhållande till annan stat eller mellanfolklig organisation, 2. rikets centrala finanspolitik, penningpolitik eller

valutapolitik,

3. myndighets verksamhet för inspektion, kontroll eller annan tillsyn,

4. intresset att förebygga eller beivra brott,

5. det allmännas ekonomiska intresse,

6. skyddet för enskilds personliga eller ekonomiska förhållanden,

7. intresset att bevara djur- eller växtart.

Chef

All personal

(16)

Författning Kort beskrivning Tillämpning Ansvarig för efterlevnad Arkivlag

(1990:782)

Statliga myndigheters arkivhantering regleras

huvudsakligen genom arkivlagen, arkivförordningen samt Riksarkivets föreskrifter och allmänna råd (RA- FS och RA-MS). Reglerna vilar ytterst på tryckfrihetsförordningens bestämmelser om allmänhetens rätt att ta del av allmänna handlingar.

Arkivlagen anger allmänna riktlinjer för bevarande, gallring och

arkivering. Riktlinjer om bevarande/gallring av

patientjournaler finns till viss del i patientdatalagen (se ovan), samt i särskilda bestämmelser som utfärdas av arkivmyndigheten (=Landstingsstyrelsen)

I arkivlagen kan man läsa att en myndighets arkiv bildas av de allmänna handlingarna från myndighetens verksamhet.

Allmänna handlingar är eller blir, med andra ord,

arkivhandlingar hos en

myndighet. Att myndigheterna hanterar sina arkiv på ett riktigt sätt är därför en förutsättning för att rätten att ta del av allmänna handlingar ska kunna tillgodoses, nu och i framtiden.

Men av arkivlagen framgår det också att rätten att ta del av allmänna handlingar inte är det enda skälet till varför

myndigheternas arkiv ska bevaras, hållas ordnade och vårdas. Arkiven ska även tillgodose behovet av

information för rättskipningen, förvaltningen och forskningen.

Myndigheternas arkiv är även, som det uttrycks i arkivlagen

”en del av det nationella kulturarvet”, och det i sig är

Chef

All Personal

(17)

något att ta i beaktande i arkivhanteringen.

För att arkiven ska kunna tillgodose alla dessa behov behöver myndigheterna kunna bevara handlingarna för

framtiden. Det måste också gå att hitta handlingarna och att förstå innehållet i dem, även lång tid efter att de skapades.

Handlingarna behöver också värderas, så att de handlingar som inte behövs för

allmänhetens, rättskipningens, förvaltningens och forskningens behov, kan gallras. Hur all denna hantering av handlingar ska gå till hos statliga

myndigheter regleras huvudsakligen genom Riksarkivets föreskrifter och allmänna råd (RA-FS och RA- MS), med stöd i arkivlagen och arkivförordningen.

(18)

Författning Kort beskrivning Tillämpning Ansvarig för efterlevnad Arkivförordning

(1991:446)

Av arkivförordningen framgår att många handlingar blir

arkivhandlingar i samma ögonblick som de blir allmänna handlingar.

Se ovan

Brottsbalk (1962:700)

Rättslig reglering bidrar till informationssäkerhet genom att ställa krav på att vidta åtgärder men även genom att kriminalisera vissa handlingar. Många brott, som bedrägeri, begås idag ofta med hjälp av IT. Ett brott med uttrycklig koppling till IT är dataintrång. Ett annat brott är om man bryter mot sekretessen enligt Offentlighet- och sekretsslagen eller enligt

patientlagen, brott mot

tystnadsplikt regleras i 20 kap 3 § BrB.

Enligt brottsbalken 4 kap 9c§ är det förbjudet att olovligen bereda sig tillgång till en uppgift som är avsedd för

automatiserad behandling eller olovligen ändra, utplåna, blockera eller i register föra in en sådan uppgift. Det är heller inte tillåtet att olovligen

allvarligt störa eller hindra användningen av en sådan uppgift. Den som bryter mot detta kan dömas för dataintrång till böter eller fängelse i högst två år.

Ett annat brott är om man bryter mot sekretessen enligt Offentlighet- och sekretsslagen eller enligt patientlagen, brott mot tystnadsplikt regleras i 20 kap 3 § BrB.

Chef

All personal

(19)

References

Download now ( PDF - 19 Page - 191.82 KB )

Related documents

Information till ambulanspersonal i samband med transport till nästa vårdgivare

Information till ambulanspersonal i samband med transport till nästa vårdgivare.. (mer information kommer att finnas i LifeCare)

• Socialförsäkringsbalken § 19 Enlig paragrafen ska anpassningsbidrag motsvara kostnaden för åtgärder som behövs för att den försäkrade ska kunna bruka fordonet

Om metoden för montering av anordningen ska vara ett kriterium för att definieras som anpassning, behöver regelverket förtydligas och specificera vilken metod för montering som

invandrare behövs i vård och omsorg - Regional satsning – ett effektivt

En samverkansform för utbildningar inom vård och omsorg som skapar en struktur för lärande i samarbete med arbetslivet på.

Anställningsbevis Arbetstagareuppgifter

lönegrundande frånvaro (för vård av barn, vissa studier med mera) under intjänandeåret får, inom vissa gränser, tillgodoräkna sig semesterlön med samma procenttal också av

Enkätresultat företagens situation maj 2021 Sörmland

Detta gäller dock inte alla branscher, hotell- och restaurang uppger i högre grad en negativ utveckling i den här enkätomgången än i den förra (80 procent jämfört med 70

Enkätsvar företagens situation 2021-2020 Vingåkers kommun

Om möjligt redovisas resultat för båda mätperioderna... Företagets huvudsakliga verksamhet/branschtillhörighet

Svarsandelar företagens situation 2021 Vingåkers kommun

Hur stor risk tror du det finns att företaget kommer att varsla/säga upp personal inom de närmaste 6 månaderna på grund av

Patientens upplevelser av vård och rehabilitering i samband med en höftfraktur: En litteraturstudie

Resultatet visar patienterna kände oro för att inte kunna gå igen eller att bli beroende av rullstol vilket ligger i linje med Taylor, Barelli och Harding (2010) som i sin