Mall f1 för datasäkerhetspolicy för verksamhetsenheter inom

Mall f1 för datasäkerhetspolicy för verksamhetsenheter inom hälso- och
sjukvård
xx DATASÄKERHETSPOLICY /
Godkänd xxxxxxxx . .2010
1. INLEDNING
Informationshanteringen stöder (organisationens namn) produktion av hälso- och
sjukvårdstjänster, och tjänsternas effektivitet hänger delvis på datahanteringen.
Datamaterialet innehåller uppgifter om patienter, anställda och verksamheten som ska
skyddas enligt lagstiftningen. Datahanteringen ska vara effektiv, felfri och säker.
Datasäkerhetspolicyn fastsäller de principer, ansvarsförhållanden samt åtgärder för
uppföljning och övervakning som verksamhetsenheten iakttar i implementeringen och
utvecklingen av datasäkerheten. Datasäkerhetspolicyn kompletteras av
datasäkerhets(planen) samt detaljerade föreskrifter och anvisningar.
2. OMFATTNING
Datasäkerhetspolicyn som fastställts av verksamhetsenhetens (styrelse/ledningsgrupp)
omfattar alla informationshanteringsuppgifter relaterade till verksamhetsenhetens
verksamhet.
Alla tjänsteinnehavare, medarbetare och förtroendepersoner i (organisationens namn)
samt användare av verksamhetsenhetens uppgifter och datasystem ska känna till denna
datasäkerhetspolicy och iaktta anvisningar och föreskrifter som utfärdats med stöd av
den. Aktörer, leverantörer och andra parter utanför verksamhetsenheten ska också
förbinda sig att iaktta denna datasäkerhetspolicy, nationella normer samt anvisningar
som villkor för behörigt tillträde till verksamhetsenhetens datasystem och datamaterialet
i dem.
3. DATASÄKERHET
Med datasäkerhet avses skyddande av hantering och arkivering av information.
Datasäkerhet omfattar informationens konfidentialitet, integritet, tillgänglighet,
användbarhet och ostridighet samt övervakningen av informationshanteringen.
Datasäkerheten omfattar en datasäkerhetsorganisation, informationshanterarnas rutiner,
metoder, verktyg och åtgärder för skyddandet av information, resurser allokerade till
arbetet samt datasäkerhetsegenskaper hos utrustningen och lokalerna.
Den datasäkerhet som är förenlig med den godkända datasäkerhetspolicyn ska
integreras i all verksamhet. Utvecklingen och administrationen av datasäkerheten är en
del av verksamhetsenhetens allmänna säkerhetsverksamhet, riskhantering och interna
kontroll.
4. DATASÄKERHETSARBETE
Datasäkerhetsarbetet handlar om planering och implementering av åtgärder för att
uppnå kriterierna för datasäkerheten. Målet med datasäkerhetsarbetet är att säkerställa
att de datasystem och datanät som är viktiga för verksamhetsenheten fungerar
oavbrutet, förhindrar att utomstående får tillgång till information och datasystem samt
förhindrar obehörig användning av dem, oavsiktlig eller avsiktlig förstörelse eller
förvrängning av information samt minimerar eventuella skador. Utöver att säkerställa
datahanteringen under normala förhållanden förbereder man sig inför hotsituationer som
avbryter verksamheten och återhämtningen från dem.
Verksamhetsenheten inom hälso- och sjukvård ansvarar även för planering och
implementering av skyddet för andra dokument som innehåller journalhandlingar och
patientuppgifter. På grund av detta ansvar implementerar verksamhetsenheten
datasäkerheten enligt rutinerna för en höjd datasäkerhetsnivå.
5. ORGANISERING OCH ANSVARSFÖRDELNING
Datasäkerheten leds och övervakas av (samkommunens) (styrelse/x).
(organisationens chef) fattar beslut om utvecklingsmålen för den övergripande
säkerheten för olika delområden i verksamhetsenheten samt om organiseringen,
resurserna och behörigheterna för dem samt utser en datasäkerhets- och en
dataskyddsansvarig. Ansvarig för datasäkerheten för patientuppgifter är (ledande
läkare/yrkesutbildad person inom hälso- och sjukvården som ansvarar för
verksamheten).
Datasäkerhetsansvarig ansvarar för det övergripande datasäkerhetsarbetet inom
verksamhetsenheten inom ramen för de resurser och behörigheter som beviljats av
verksamhetsenhetens ledning. Han eller hon ansvarar också för extern och intern
kommunikation om datasäkerhetsärenden på en allmän nivå. Dataskyddsansvarig
ansvarar för skyddet och övervakningen av verksamhetsenhetens personregister som
innehåller patientuppgifter.
Datasäkerhetsgruppen kommer med synpunkter på datasäkerheten för centrala
funktioner i verksamhetsenheten, och den tillsätts av (organisationens chef).
Datasäkerhetsgruppen behandlar riktlinjerna och anvisningarna för datasäkerheten
innan de föredras för ledningen för godkännande. Datasäkerhetsgruppen består av
(datasäkerhetsansvarig, dataskyddsansvarig, ansvariga för delområdenas
verksamhet, ansvariga och kontaktpersoner för patientregistret samt ansvariga
för patientdatasystemet).
Gruppmedlemmarnas uppgifter:
 Gruppmedlemmarna ansvarar för beredningen av ärenden relaterade till
datasäkerhetsprocessen inom sina ansvarsområden
 Datasäkerhetsansvarig ansvarar för fastställandet, bedömningen och




rapporteringen av verksamhetsenhetens datasäkerhetsnivå samt för den övriga
administrativa datasäkerheten och fungerar som ordförande för
datasäkerhetsgruppen. Han eller hon ansvarar för utarbetandet av
utvecklingsplaner för datasäkerheten, övervakningen av implementeringen,
främjandet av kunskapen om datasäkerhet och datasäkra rutiner i
verksamhetsenheten och i köpta tjänster samt för rapporteringen till ledningen
Den dataskyddsansvarige ansvarar för skyddet och övervakningen av
personregister samt den övriga driftsäkerheten och fungerar som
datasäkerhetsgruppens sekreterare
(Den person som ansvarar för delområdet för datateknik) ansvarar för
utrustningens och programvarans säkerhet
(Den person som ansvarar för delområdet för teknik) ansvarar för säkerheten för
lokalerna och utrustningstekniken.
(Den person som ansvarar för personalärenden) ansvarar för personalsäkerheten
 (Kontaktpersonen för patientregistret) ansvarar för säkerheten för datamaterialet
enligt arkivfunktionens uppgifter
 Representanterna för delområdena inom vårdtjänsterna kommer med
datasäkerhetssynpunkter baserade på det praktiska arbetet
Varje datasystem har en ägarenhet och en ansvarig person. Den ansvariga personen
för datasystemet ska bland annat definiera kraven på datasystemets funktion och
säkerhet (t.ex. kritiskhet, kontinuitetsplanering och säkerhetskopiering) samt bevilja och
övervaka användarrättigheter.
Enhetens chef ansvarar för anvisningar, kommunikation och övervakning i
datasäkerhetsärenden i den egna enheten.
Alla anställda vid verksamhetsenheten, alla som administrerar och använder
datasystem eller datanät ansvarar för sin del för datasäkerheten och iakttagandet av
datasäkerhetsanvisningarna. Varje person är skyldig att rapportera hot och avvikelser
relaterade till datasäkerheten till sin chef eller den datasäkerhetsansvarige.
6. IMPLEMENTERING AV DATASÄKERHETEN
Grunden för implementeringen av datasäkerheten är denna skriftliga
datasäkerhetspolicy som godkänts av (organisationens styrelse/ledningsgrupp etc.) och
som ges till kännedom för verksamhetsenhetens alla anställda och användare av
datasystemen.
Verksamhetsenhetens datasäkerhetsprinciper baserar sig på nationella, allmänna och
branschvisa kvalitetsstyrande och förpliktande författningar, anvisningar och standarder
för datasäkerhet, personregister, god informationshanteringssed och
informationskvalitet.
Ändringar i lagstiftningen och anvisningarna beaktas i utvecklingen av
verksamhetsenhetens datasäkerhet.
Implementeringen och administrationen av datasäkerheten beskrivs detaljerat i
datasäkerhetsplanen. Implementeringen av datasäkerheten ska basera sig på de krav
som verksamheten och tjänsterna samt respektive datamaterials och datasystems
säkerhetsklass ställer på informationshanteringens säkerhet, användbarhet, kvalitet och
verksamhetens kontinuitet samt bedömningen av risker relaterade till verksamheten.
Utredningen av kraven och riskbedömningen samt fastställandet av säkerhetsåtgärder
utifrån dem sker genom regelbundna säkerhetsanalyser.
Att uppnå målen med datasäkerheten är en fortlöpande process som sker genom
administrativa och tekniska lösningar. De beskrivs i datasäkerhetsplanen och vid behov i
separata utvecklingsplaner för datasäkerheten för driftsmiljön och enheterna. De
centrala utvecklingsåtgärderna genomförs som projekt för vilka en projektplan
utarbetats.
Användarnas beteende styrs genom användningsregler i datasäkerhetsplanen samt
fastställda och tillgängliga verksamhetsanvisningar och datasäkerhetsutbildning. Varje
användare undertecknar datasäkerhetsanvisningen för användare och
datasäkerhetsförbindelsen när han eller hon beviljas rätt att använda datasystem och
datamaterial enligt sina arbetsuppgifter.
7. UPPFÖLJNING OCH ÖVERVAKNING AV DATASÄKERHETEN
Användarna och administratörerna ska anmäla upptäckta brister i datasäkerheten,
missbruk relaterat till datasäkerheten eller misstänkta fall av brott mot datasäkerheten till
sin chef eller den datasäkerhetsansvarige.
Chefen för enheten ska övervaka implementeringen av datasäkerheten vid sin enhet.
Den datasäkerhetsansvarige följer upp och övervakar implementeringen av
datasäkerheten för sjukvårdsdistriktets datasystem och vidtar åtgärder för att rätta till
upptäckta brister i datasäkerheten.