Version 4.2 Informationssäkerhet Vid datorn på jobbet KUNSKAP – OCH SUNT FÖRNUFT Många av oss i Västra Götalandsregionen (VGR) ägnar stora delar av arbetstiden vid datorn. Datorn är ett viktigt verktyg som möjliggör arbetet, men som också ställer särskilda krav på säkerhet. För dig som använder dator och IT-system i arbetet finns det lagar, föreskrifter och regionala riktlinjer för informationssäkerhet1 som du måste känna till och följa. Detta både för din egen, arbetskamraternas och din verksamhets skull. Rutiner och förutsättningar varierar förstås beroende på var du arbetar. Ta reda på vad som gäller på din arbetsplats. Säkerhet bygger på både kunskap och sunt förnuft. I den här foldern hittar du information som gör ditt arbete vid datorn säkrare. DINA SKYLDIGHETER behöver data från bokföringen. Din närmaste chef ansvarar för att du får en avändaridentitet och att du tilldelas de behörigheter som du behöver för att kunna utföra dina arbetsuppgifter. Ditt personliga lösenord får du efter särskild ansökan. För de som arbetar med patientinformation finns ett övergripande beslut kring behörighetstilldelning3 som antagits av regionstyrelsen den 25 augusti 2009. Som datoranvändare är det viktigt att du har kunskap om att: Du är skyldig att informera dig om de föreskrifter som gäller när du använder datorn.1 Du är ansvarig för den information som du lagrar på datorn. Du får bara ta del av information och data som du behöver för att kunna utföra ditt arbete. Du ska rapportera brister, risker, funktionsfel och säkerhetsincidenter till närmaste chef eller via avvikelsesystemet MedControl. Du måste anmäla dataintrång2 eller misstanke om dataintrång till närmaste chef. VÅRDA DIN IDENTITET OCH DITT LÖSENORD Lösenord ska vara personliga. Har ditt lösenord blivit känt av någon annan ska det omgående bytas ut. Detta gäller också försa gången du får ett lösenord. Muntlig och skriftlig information om gällande regler får du av din chef, arbetsledare eller motsvarande. ATT TÄNKA PÅ NÄR DU ARBETAR VID DATORN Ditt VGR-id och ditt lösenord får aldrig vara identiska. Tänk på att inte använda lättgissade lösenord som till exempel för- eller efternamn, bilmärken och personnummer. Skriv inte ner lösenordet och byt det på det sätt som bestämts för varje system. Kom ihåg att du är själv skyldig att skydda dina lösenord. Om en otillåten åtgärd spåras till ditt VGR-id kan du hållas ansvarig, om det visar sig att du varit oaktsam eller har lånat ut ditt lösenord till en arbetskamrat. All användning av nätanslutna datorer registreras i loggfiler och kan granskas. Vid misstanke att föreskrifter och riktlinjer inte följs har arbetsgivaren rätt att undersöka din dator och kontrollera vilka system, webbplatser eller information du har tagit del av samt vilka filer och e-post som finns lagrade på datorn. ANVÄNDARIDENTITET OCH BEHÖRIGHET När du arbetar vid en dator ska du ha en egen användaridentitet, ett VGR-id, och ett personligt lösenord som aldrig får lånas ut. Alla VGR-id finns i registret Katalog i Väst, där alla identiteter är sökbara. Om du begär användarstöd från VGR IT kan det inträffa att den som lämnar support kan behöva ta kontroll över din dator. Du kan lämna ett sådant medgivande, men du ska via datorskärmen följa vilka åtgärder som vidtas. Behov av behörigheter är olika. Den som arbetar i sjukvården behöver behörigheter att komma åt patientdata och den som arbetar med ekonomisk redovisning 1 3 Riktlinjer för informationssäkerhet i Västra Götalandsregionen 2209-0708 ver 1.0 dnr RSK 703-2006. 2 Dataintrång är exempelvis när en anställd utan tillstånd och behörighet bereder sig tillgång till egen eller arbetskollegas dator, tillinformation eller förstör information. Regionövergripande villkor för behörighetstilldelning, spärr föråtkomst samt regler för kontroll av åtkomst till patientuppgifter 2009-06-23, ver 1.0 dnr RSK 771-2208 1 TJÄNSTE-ID+ KORT REGISTER FÖR PERSONUPPGIFTER Som anställd i regionen ska du ha ett personligt Tjänste-ID+ kort, som bland annat kan användas för identifiering i passagesystem. Personuppgifter är sådana uppgifter som kan knytas till en person. Inga sådana register får skapas innan kontakt tagits med personuppgiftsombudet i din förvaltning. Ett register kan vara ett personregister utan att innehålla just personnummer – det räcker med att man kan härleda uppgifter till en individ. Vid behandling av personuppgifter gäller personuppgiftslagen (PuL) och ändamålet med behandlingen ska vara: På sikt kommer detta kort att ersätta användaridentitet och lösenord för en säker inloggning till allt fler system. Kortet är en värdehandling och kan också användas som elektronisk legitimation, exempelvis för att deklarera och anmäla föräldrapenning. ELEKTRONISK POST Outlook är det e-postsystem som används i VGR och din e-post är ett arbetsverktyg, Offentlighetsprincipen och lagar som gäller för konventionell post tillämpas också för e-post. Det innebär bland annat att du är skyldig att bevaka din e-postlåda när du är i tjänst. Epost får inte heller ligga oläst vid frånvaro. Senare behandling får inte heller strida mot det ursprungliga ändamålet. Personuppgifter ska: Du får inte skicka sekretessbelagd information med epost, som exempelvis journaler eller annan patientinformation. Om du har ansvar för webbsidor, så måste du tänka på att uppgifter av privat karaktär eller fotografier inte får publiceras utan skriftligt samtycke. SKÄRM OCH SKRIVARE Du får däremot publicera arbetsrelaterade uppgifter om anställda på internet och intranät. Lika självklart som att du inte låter känslig information ligga framme på ditt skrivbord, lika naturligt är det att skydda informationen som finns i din dator. Placera därför din datorskärm så att ingen obehörig kan ta del av informationen. DET HÄR ÄR FÖRBJUDET Du får inte använda VGR:s tekniska utrustning för internetsurfing, om det inte ingår i arbetsuppgiften eller i annat legitimt forskningssammanhang. Går du ifrån din dator, som fler personer kan använda, ska du alltid logga av. Går du tillfälligt från din dator ska du logga av eller ”låsa” datorn (Ctrl + Alt + Del). Du får inte med hjälp av datorn installera, lagra, skriva ut, sprida, söka eller i övrigt ha befattning med material eller besöka internetsidor som innehåller: vara korrekta, relevanta och inte fler än nödvändiga vara riktiga och aktuella inte sparas längre än nödvändigt Vid behandling av personuppgifter inom hälso- och sjukvården gäller personuppgiftslagen (PuL) om det inte finns tillämpliga regler i i patientdatalagen (PDL). Alltså gäller PDL före PuL. PUBLICERING PÅ INTERNET särskilt och uttryckligt angivet bestämt redan vid insamlingens början Skrivare ska placeras där endast behörig personal kan ta del av utskriften. Utskrifter av dokument på gemensamma skrivare ska hämtas omgående, eftersom kvarglömda dokument kan komma i orätta händer. Du bör använda brevlådefunktion om sådan finns. pornografiskt material hot, förtal, våld, terror, rasism, hets mot folkgrupp uppmaning till droganvändning mobbing i form av bilder, texter och filer diskriminering på grund av kön, etnisk bakgrund, religion eller annat. TÄNK PÅ ATT SPARA – OCH VAR Säkerhetskopior tas varje dag på all information som sparas på centrala servrar i nätverket. Tänk på att spara ner viktiga dokument på serverutrymme och inte enbart på C-disken i din lokala dator. Observera att du inte får spara ner filer med privata filmer, bilder och ljud på VGR:s tekniska utrustning. Du får inte besöka webbplatser som erbjuder olika typer av spel, exempelvis poker, tips eller hästar. Du får inte blogga, chatta eller använda twitter om det inte är arbetsrelaterat. TEKNISK UTRUSTNING OCH PROGRAM Du får inte spara filer med privata filmer, bilder och ljud på din arbetsdator. All teknisk utrustning som ansluts till regionens nätverk och alla programvaror som används och installeras ska godkännas av VGR IT. Även om programvara är godkänd får den inte installeras av användaren själv. Den som bryter mot något av förbuden kan bli föremål för disciplinära åtgärder. 2 Detta ska göras av VGR IT. Risken är att du kan få in datavirus eller orsaka driftstörningar om du installerar okända program, skärmsläckare, skrivbordsteman, bakgrunder etc. Säkerheten är också viktig när du använder elektronisk överföring, som exempelvis fax, bilder och sms. När du skickar fax ska du tillämpa rutiner för säker fax. Datorn och dess innehåll tillhör arbetsgivaren. Användandet ska utgå från din förvaltnings eller verksamhets värdegrund. MOBIL UTRUSTNING OCH FLYTTBARA MEDIER Du som använder mobil utrustning, som exempelvis bärbar dator, handdator eller mobiltelefon, är själv ansvarig för att säkerhetskopiera all information som finns i det lokala minnet. Det är viktigt att även en bärbar dator ofta ansluts till VGR-nätet, för att ta emot uppdatering av bland annat virusskydd. INFORMATIONSSÄKERHET Informationen i din dator är ofta mer skyddsvärd än utrustningen som används för att bearbeta, överföra och lagra den med. Därför är informationssäkerhet så viktigt. Informationssäkerhet innebär att säkerställa information och data i alla dess former – som skriftlig, muntlig och elektronisk. Det är viktigt att informationen finns tillgänglig när den behövs, att den är korrekt, att obehöriga inte kan få tillgång till den och att händelser kan spåras. Det är lätt att förlora ett digitalt minne (exempelvis USB-minne) och tänk därför på hur du bäst skyddar information som finns i din dator och i din mobila utrustning. Tänk noga på att förvara datorer och mobila utrustningar på ett säkert sätt, eftersom de är särskilt stöldbegärliga. Informationssäkerheten kan illustreras med följande bild: TÄNK PÅ ATT RIKTIGHET Du får inte använda VGR:s tekniska utrustning till sådant som kan skada arbetsgivaren eller påverka din arbetsinsats negativt. På internet får du söka efter information som du behöver i ditt arbete. Vara korrekt och oförvanskad TILLGÄNGLIGHET Vara tillgänglig för användare SEKRETESS SPÅRBARHET Vara skyddad för obehöriga Kunna spåras till enskild användare HJÄLP TILL FÖR SÄKERHETS SKULL Reglerna och skyldigheterna i den här foldern är till för att skydda ditt arbete i Västra Götalandregionen. Om du har synpunkter på informationssäkerheten, hur den kan förändras och helst förbättras – ta då kontakt med oss på regionala säkerhetsfunktionen. Från ansvarigt håll ser vi regelbundet över informationssäkerheten medambitionen att göra den ännu bättre. MER INFORMATION Ytterligare information i säkerhetsfrågor får du på din förvaltningsintranätplats. Du kan också besöka regionala säkerhetsfunktionens intranätsplats intra.vgregion.se/sakerhet 3