Add to collection(s) Add to saved
  1. Samhällsvetenskap
  2. Psykologi
  3. Utvecklingspsykologi

Årsrapport 2015, Informationssäkerhet

2016-02-11
Dnr RS 2016-156
1/4
Ledningsstaben
Moa Malviker Wellermark
Årsrapport 2015, Informationssäkerhet
Av Socialstyrelsens föreskrifter om informationshantering och journalföring i hälso- och sjukvården
(SOSFS 2008:14) framgår att regionen, såsom vårdgivare, ska utse en eller flera personer som ska
ansvara för informationssäkerhetsarbetet.
Den eller de som har fått denna uppgift ska minst en gång om året till vårdgivaren rapportera vilka
1. granskningar och skyddsåtgärder av större betydelse som har gjorts i enlighet med
informationssäkerhetspolicyn,
2. riskanalyser som har utförts avseende informationssäkerheten, och
3. förbättringsåtgärder som har vidtagits.
Granskningar och skyddsåtgärder
1. Anpassning av IT-stöd/IT-system så att de följer patientdatalagen och SOSFS 2008:14
Under 2015 har arbetet med att anpassa regionens IT-stöd så att de uppfyller patientdatalagens
krav fortsatt och detta kommer att fortsätta även under 2016.
Informationssäkerhetsansvarig har också sedan våren 2015 deltagit på regionens
upphandlingar då något ska upphandlas där patientuppgifter kommer att hanteras. Det är
regionens upphandlare som tar kontakt med informationssäkerhetsansvarig när detta blir
aktuellt.
2. Genomförd internrevision av hur många datorer som står olåsta i regionens olika verksamheter
Under slutet av 2015 genomfördes med hjälp av IT-samordnarna en internrevision där
informationssäkerhetsansvarig och IT-säkerhetsansvarig tittade på hur stor andel av regionens
datorer som står olåsta utan uppsikt. IT-samordnarna valde ut två avdelningar/enheter med
minst 10 stycken anställda och följde upp dessa en gång på förmiddagen och en gång på
eftermiddagen. Resultatet ifrån internrevisionen omfattar 28 enheter och visar att ca en tredje
del av de datorer som lämnats utan uppsikt har lämnats olåsta (32%).
Informationssäkerhetsansvarig och IT-säkerhetsansvarig ser dels behov av
informationsinsatser men även fortsatt utredning och arbete hur kortinloggningen kan bli
snabbare för användarna. Informationssäkerhetsansvarig och IT-säkerhetsansvarig kommer
att fortsätta följa det arbete som pågår.
Informationsinsatsen kommer dels att genomföras genom den webbutbildning som sedan
januari 2016 finns i kompetensportalen och dels genom att IT-samordnarna kommer att
Postadress
Telefon
Fax
E-post
Region Östergötland
581 91 Linköping
010-103 00 00
010-103 71 00
[email protected]
2/4
erbjudas möjlighet att Informationssäkerhetsansvarig och IT-säkerhetsansvarig kan komma ut
till aktuella enheter och informera.
3. Avvikelser
Kvalitén på de registrerade avvikelserna i Synergi upplevs som allt sämre av
informationssäkerhetsansvarig. Detta har lyfts till regionens säkerhetsgrupp då problemet bör
vara generellt för samtliga säkerhetsområden.
Antalet avvikelser som är kopplade till informationssäkerhetsområdet har minskat något under
2015 jämfört med 2014. Informationssäkerhetsansvarig har under året valt att följa upp vissa
av de registrerade olyckorna där adekvata åtgärder saknas.
4. RH-check
Antalet svarande på RH-check 5 informationssäkerhet har ökat med 30% ifrån 2014 till 2015.
Antalet positiva svar är högt på samtliga frågor även om det fortfarande finns potential att
förbättras.
Samtliga frågor på RH-check 5 informationssäkerhet
(ca 150 st. svarande enheter per fråga)
Andel ej
aktuellt
5.01 Får patienten information om hur hanteringen
av personuppgifter sker inom regionen (genom
t.ex. anslag eller informationsbroschyrer)?
5.02 Finns rutiner för att tillgodose att
medarbetarna har tillräckliga kunskaper om
personuppgiftslagen, patientdatalagen samt
offentlighets- och sekretesslagen? (beroende på
medarbetarnas arbetsuppgifter kan nivån på
tillräckliga kunskaper variera)
5.03 Finns rutiner som säkerställer att
medarbetare/studenter eller andra uppdragstagare
har undertecknat ett avtal om tystnadsplikt?
5.04 Är rutinen för att låsa, logga ut, ta ut etjänstekort eller stänga av datorn när den lämnas,
kända för medarbetarna?
5.05 Finns rutiner för att säkerställa att
behörigheter till IT-system och e-postadress tas
bort om medarbetare/studenter eller andra
uppdragstagare slutar?
5.06 Finns rutiner för att undvika att endast en
person har tillräcklig kompetens för
verksamhetsspecifika IT-system?
5.07 Finns rutiner för att tillgodose att
medarbetarna har tillräckliga kunskaper om Region
Östergötlands ledningssystem för
Informationssäkerhet?
5.08 Genomförs en behovs- och riskanalys innan en
behörighet i Region Östergötlands IT-stöd tilldelas?
Andel
JA
Andel
NEJ
13%
81%
7%
1%
96%
3%
0%
100%
0%
0%
99%
1%
0%
99%
1%
4%
90%
6%
5%
83%
11%
17%
77%
5%
3/4
Informationssäkerhetsansvarig och IT-säkerhetsansvarig har valt ut fråga 5.07 och 5.08 att följa upp
och då främst de enheter som valt att svara att dessa frågor inte är aktuella hos dem. Dessa
frågeställningar och krav bör vara aktuella hos samtliga av regionens enheter och därför planerar
informationssäkerhetsansvarig att ta en direktkontakt med dessa enheter för att stötta dem inom
dessa områden.
IT-säkerhetsansvarig kommer att följa upp vissa nej-svar (fördelat på samtliga frågor) där
kommentarerna som enheterna lämnat visar på behov av stöttning.
Frågor på RH-check 9 produktionsenhetsledning, rörande informationssäkerhet
(43 st. svarande enheter)
Andel ej
aktuellt
9.05 Om ni har något lokalt IT-system
där IT-drift/support utförs av någon
utanför Region Östergötland, finns
då ett skriftligt avtal med
leverantören som reglerar ansvar för
hantering av systemet och i systemet
ingående personuppgifter
(biträdesavtal)?
9.06 Har samtliga enheter rutiner som
säkerställer att medarbetares
introduktion omfattar information
om regionens ledningssystem för
informationssäkerhet?
Andel JA Andel NEJ
60%
40%
0%
12%
86%
2%
Det är inte inplanerat någon uppföljning på svaren på RH-check 9 produktionsenhetsledning. Det går
dock att konstatera att fler än produktionsenhetsledningarna besvarat RH-check 9 då antalet uppgår
till 43 st.
Riskanalyser
Informationssäkerhetsansvarig har deltagit i framtagande av behovs- riskanalys för behörigheter som
tagits fram tillsammans med flera av regionens IT-samordnare.
Informationssäkerhet ska vara en del i varje riskanalys som omfattar någon typ av påverkan på
tillgänglighet, riktighet, konfidentialitet och spårbarhet.
4/4
Förbättringsåtgärder
1. Gemensamt regelverk, G4
Informationssäkerhetsansvarig har tillsammans med företrädare för SLL, Skåne och VGR tagit
fram ett gemensamt regelverk för informationssäkerhet. Detta gemensamma regelverk har
arbetats in i regionens ledningssystem för informationssäkerhet.
2. Införd webbutbildning i kompetensportalen
Informationssäkerhetsansvarig har köpt in en webbutbildning för informationssäkerhet.
Webbutbildningen har fokus på hälso- och sjukvård men fungerar för alla medarbetare. Efter
avslutad webbutbildning ska medarbetaren ha en bra grund att hantera regionens information
på ett korrekt sätt.
Related documents
Öppna data och informationssäkerhet
Öppna data och informationssäkerhet
Uppdrag att undersöka förutsättningarna för en objektiv heltäckande
Uppdrag att undersöka förutsättningarna för en objektiv heltäckande
Politisk ledning
Politisk ledning
Vilken tur för jag har just sålt huset!
Vilken tur för jag har just sålt huset!
Ta facing exero eugait eugait, quisl et lorperit lum
Ta facing exero eugait eugait, quisl et lorperit lum
Verksamhetschef till Svensk Tennis Syd
Verksamhetschef till Svensk Tennis Syd
läkemedel 2004 – resumè - Västra Götalandsregionen
läkemedel 2004 – resumè - Västra Götalandsregionen
26 Ansökan om medfinansiering till projekt Plattform för
26 Ansökan om medfinansiering till projekt Plattform för
Policy för informationssäkerhet
Policy för informationssäkerhet
Namn - Cision
Namn - Cision
Homosexuella, bisexuella, trans- och
Homosexuella, bisexuella, trans- och
syrahämmande läkemedel för barn
syrahämmande läkemedel för barn
Policy kring lägerfond, 2016-2018
Policy kring lägerfond, 2016-2018
Att undervisa om informationssäkerhet
Att undervisa om informationssäkerhet
Informationssäkerhet – generella termer (Fredrik Björck
Informationssäkerhet – generella termer (Fredrik Björck
säkerhet vid energiföretag
säkerhet vid energiföretag
Download