Mall f1 för datasäkerhetspolicy för verksamhetsenheter inom hälso- och sjukvård xx DATASÄKERHETSPOLICY / Godkänd xxxxxxxx . .2010 1. INLEDNING Informationshanteringen stöder (organisationens namn) produktion av hälso- och sjukvårdstjänster, och tjänsternas effektivitet hänger delvis på datahanteringen. Datamaterialet innehåller uppgifter om patienter, anställda och verksamheten som ska skyddas enligt lagstiftningen. Datahanteringen ska vara effektiv, felfri och säker. Datasäkerhetspolicyn fastsäller de principer, ansvarsförhållanden samt åtgärder för uppföljning och övervakning som verksamhetsenheten iakttar i implementeringen och utvecklingen av datasäkerheten. Datasäkerhetspolicyn kompletteras av datasäkerhets(planen) samt detaljerade föreskrifter och anvisningar. 2. OMFATTNING Datasäkerhetspolicyn som fastställts av verksamhetsenhetens (styrelse/ledningsgrupp) omfattar alla informationshanteringsuppgifter relaterade till verksamhetsenhetens verksamhet. Alla tjänsteinnehavare, medarbetare och förtroendepersoner i (organisationens namn) samt användare av verksamhetsenhetens uppgifter och datasystem ska känna till denna datasäkerhetspolicy och iaktta anvisningar och föreskrifter som utfärdats med stöd av den. Aktörer, leverantörer och andra parter utanför verksamhetsenheten ska också förbinda sig att iaktta denna datasäkerhetspolicy, nationella normer samt anvisningar som villkor för behörigt tillträde till verksamhetsenhetens datasystem och datamaterialet i dem. 3. DATASÄKERHET Med datasäkerhet avses skyddande av hantering och arkivering av information. Datasäkerhet omfattar informationens konfidentialitet, integritet, tillgänglighet, användbarhet och ostridighet samt övervakningen av informationshanteringen. Datasäkerheten omfattar en datasäkerhetsorganisation, informationshanterarnas rutiner, metoder, verktyg och åtgärder för skyddandet av information, resurser allokerade till arbetet samt datasäkerhetsegenskaper hos utrustningen och lokalerna. Den datasäkerhet som är förenlig med den godkända datasäkerhetspolicyn ska integreras i all verksamhet. Utvecklingen och administrationen av datasäkerheten är en del av verksamhetsenhetens allmänna säkerhetsverksamhet, riskhantering och interna kontroll. 4. DATASÄKERHETSARBETE Datasäkerhetsarbetet handlar om planering och implementering av åtgärder för att uppnå kriterierna för datasäkerheten. Målet med datasäkerhetsarbetet är att säkerställa att de datasystem och datanät som är viktiga för verksamhetsenheten fungerar oavbrutet, förhindrar att utomstående får tillgång till information och datasystem samt förhindrar obehörig användning av dem, oavsiktlig eller avsiktlig förstörelse eller förvrängning av information samt minimerar eventuella skador. Utöver att säkerställa datahanteringen under normala förhållanden förbereder man sig inför hotsituationer som avbryter verksamheten och återhämtningen från dem. Verksamhetsenheten inom hälso- och sjukvård ansvarar även för planering och implementering av skyddet för andra dokument som innehåller journalhandlingar och patientuppgifter. På grund av detta ansvar implementerar verksamhetsenheten datasäkerheten enligt rutinerna för en höjd datasäkerhetsnivå. 5. ORGANISERING OCH ANSVARSFÖRDELNING Datasäkerheten leds och övervakas av (samkommunens) (styrelse/x). (organisationens chef) fattar beslut om utvecklingsmålen för den övergripande säkerheten för olika delområden i verksamhetsenheten samt om organiseringen, resurserna och behörigheterna för dem samt utser en datasäkerhets- och en dataskyddsansvarig. Ansvarig för datasäkerheten för patientuppgifter är (ledande läkare/yrkesutbildad person inom hälso- och sjukvården som ansvarar för verksamheten). Datasäkerhetsansvarig ansvarar för det övergripande datasäkerhetsarbetet inom verksamhetsenheten inom ramen för de resurser och behörigheter som beviljats av verksamhetsenhetens ledning. Han eller hon ansvarar också för extern och intern kommunikation om datasäkerhetsärenden på en allmän nivå. Dataskyddsansvarig ansvarar för skyddet och övervakningen av verksamhetsenhetens personregister som innehåller patientuppgifter. Datasäkerhetsgruppen kommer med synpunkter på datasäkerheten för centrala funktioner i verksamhetsenheten, och den tillsätts av (organisationens chef). Datasäkerhetsgruppen behandlar riktlinjerna och anvisningarna för datasäkerheten innan de föredras för ledningen för godkännande. Datasäkerhetsgruppen består av (datasäkerhetsansvarig, dataskyddsansvarig, ansvariga för delområdenas verksamhet, ansvariga och kontaktpersoner för patientregistret samt ansvariga för patientdatasystemet). Gruppmedlemmarnas uppgifter: Gruppmedlemmarna ansvarar för beredningen av ärenden relaterade till datasäkerhetsprocessen inom sina ansvarsområden Datasäkerhetsansvarig ansvarar för fastställandet, bedömningen och rapporteringen av verksamhetsenhetens datasäkerhetsnivå samt för den övriga administrativa datasäkerheten och fungerar som ordförande för datasäkerhetsgruppen. Han eller hon ansvarar för utarbetandet av utvecklingsplaner för datasäkerheten, övervakningen av implementeringen, främjandet av kunskapen om datasäkerhet och datasäkra rutiner i verksamhetsenheten och i köpta tjänster samt för rapporteringen till ledningen Den dataskyddsansvarige ansvarar för skyddet och övervakningen av personregister samt den övriga driftsäkerheten och fungerar som datasäkerhetsgruppens sekreterare (Den person som ansvarar för delområdet för datateknik) ansvarar för utrustningens och programvarans säkerhet (Den person som ansvarar för delområdet för teknik) ansvarar för säkerheten för lokalerna och utrustningstekniken. (Den person som ansvarar för personalärenden) ansvarar för personalsäkerheten (Kontaktpersonen för patientregistret) ansvarar för säkerheten för datamaterialet enligt arkivfunktionens uppgifter Representanterna för delområdena inom vårdtjänsterna kommer med datasäkerhetssynpunkter baserade på det praktiska arbetet Varje datasystem har en ägarenhet och en ansvarig person. Den ansvariga personen för datasystemet ska bland annat definiera kraven på datasystemets funktion och säkerhet (t.ex. kritiskhet, kontinuitetsplanering och säkerhetskopiering) samt bevilja och övervaka användarrättigheter. Enhetens chef ansvarar för anvisningar, kommunikation och övervakning i datasäkerhetsärenden i den egna enheten. Alla anställda vid verksamhetsenheten, alla som administrerar och använder datasystem eller datanät ansvarar för sin del för datasäkerheten och iakttagandet av datasäkerhetsanvisningarna. Varje person är skyldig att rapportera hot och avvikelser relaterade till datasäkerheten till sin chef eller den datasäkerhetsansvarige. 6. IMPLEMENTERING AV DATASÄKERHETEN Grunden för implementeringen av datasäkerheten är denna skriftliga datasäkerhetspolicy som godkänts av (organisationens styrelse/ledningsgrupp etc.) och som ges till kännedom för verksamhetsenhetens alla anställda och användare av datasystemen. Verksamhetsenhetens datasäkerhetsprinciper baserar sig på nationella, allmänna och branschvisa kvalitetsstyrande och förpliktande författningar, anvisningar och standarder för datasäkerhet, personregister, god informationshanteringssed och informationskvalitet. Ändringar i lagstiftningen och anvisningarna beaktas i utvecklingen av verksamhetsenhetens datasäkerhet. Implementeringen och administrationen av datasäkerheten beskrivs detaljerat i datasäkerhetsplanen. Implementeringen av datasäkerheten ska basera sig på de krav som verksamheten och tjänsterna samt respektive datamaterials och datasystems säkerhetsklass ställer på informationshanteringens säkerhet, användbarhet, kvalitet och verksamhetens kontinuitet samt bedömningen av risker relaterade till verksamheten. Utredningen av kraven och riskbedömningen samt fastställandet av säkerhetsåtgärder utifrån dem sker genom regelbundna säkerhetsanalyser. Att uppnå målen med datasäkerheten är en fortlöpande process som sker genom administrativa och tekniska lösningar. De beskrivs i datasäkerhetsplanen och vid behov i separata utvecklingsplaner för datasäkerheten för driftsmiljön och enheterna. De centrala utvecklingsåtgärderna genomförs som projekt för vilka en projektplan utarbetats. Användarnas beteende styrs genom användningsregler i datasäkerhetsplanen samt fastställda och tillgängliga verksamhetsanvisningar och datasäkerhetsutbildning. Varje användare undertecknar datasäkerhetsanvisningen för användare och datasäkerhetsförbindelsen när han eller hon beviljas rätt att använda datasystem och datamaterial enligt sina arbetsuppgifter. 7. UPPFÖLJNING OCH ÖVERVAKNING AV DATASÄKERHETEN Användarna och administratörerna ska anmäla upptäckta brister i datasäkerheten, missbruk relaterat till datasäkerheten eller misstänkta fall av brott mot datasäkerheten till sin chef eller den datasäkerhetsansvarige. Chefen för enheten ska övervaka implementeringen av datasäkerheten vid sin enhet. Den datasäkerhetsansvarige följer upp och övervakar implementeringen av datasäkerheten för sjukvårdsdistriktets datasystem och vidtar åtgärder för att rätta till upptäckta brister i datasäkerheten.