Mall f2: bilaga till datasäkerhetspolicyn för kommunen som

Mall f2: bilaga till datasäkerhetspolicyn för kommunen som administrerar
verksamhetsenheten inom hälso- och sjukvård
BILAGA AV VERKSAMHETSENHETEN INOM HÄLSO- OCH SJUKKVÅRD TILL xx KOMMUNS
DATSÄKERHETSPOLICY
Godkänd XXXXXXXXXX . .2010
1. INLEDNING
Informationshanteringen stöder (organisationens namn) produktion av hälso- och
sjukvårdstjänster, och tjänsternas effektivitet hänger delvis på datahanteringen.
Datamaterialet innehåller uppgifter om patienter, anställda och verksamheten som ska
skyddas enligt lagstiftningen. Datahanteringen ska vara effektiv, felfri och säker.
Bilagan om kommunens datasäkerhetspolicy avseende hälso- och sjukvården fastsäller
i synnerhet de principer, ansvarsförhållanden samt åtgärder för uppföljning och
övervakning som gäller verksamhetsenheten inom hälso- och sjukvård och som
verksamhetsenheten iakttar i implementeringen och utvecklingen av datasäkerheten.
Bilagan om hälso- och sjukvårdens datasäkerhetspolicy kompletteras av
(utvecklingsplanen för datasäkerheten i sektorn och) detaljerade föreskrifter och
anvisningar för hantering av patientuppgifter.
2. OMFATTNING
Datasäkerhetspolicyn som fastställts av (verksamhetsenheten/kommunens
styrelse/ledningsgrupp) omfattar i synnerhet datahanteringsuppgifter i
verksamhetsenheten.
Alla tjänsteinnehavare, medarbetare och förtroendepersoner i (organisationens namn)
samt användare av verksamhetsenhetens uppgifter och datasystem ska känna till denna
datasäkerhetspolicy och iaktta anvisningar och föreskrifter som utfärdats med stöd av
den. Aktörer, leverantörer och andra parter utanför verksamhethetsenheten ska också
förbinda sig att iaktta (namn) kommuns datasäkerhetspolicy och denna bilaga om
verksamhetsenhetens datasäkerhetspolicy, nationella normer samt anvisningar som
villkor för behörigt tillträde till den kommunala verksamhetsenhetens datasystem och
datamaterialet i dem.
3. DATASÄKERHETSARBETE VID VERKSAMHETSENHETEN INOM HÄLSO- OCH SJUKVÅRD
(Om det finns en motsvarande beskrivning i kommunens datasäkerhetspolicy behövs
inte följande i denna bilaga: Med datasäkerhet avses skyddande av hantering och
arkivering av information. Datasäkerhet omfattar informationens konfidentialitet,
integritet, tillgänglighet, användbarhet och ostridighet samt övervakningen av
informationshanteringen.
Datasäkerhetsarbetet handlar om planering och implementering av åtgärder för att
uppnå kriterierna för datasäkerheten.
Datasäkerhetsarbetet vid verksamhetsenheten inom hälso- och sjukvård utgör en del av
kommunens datasäkerhetsarbete. Datasäkerheten omfattar en
datasäkerhetsorganisation, informationshanterarnas rutiner, metoder, verktyg och
åtgärder för skyddandet av information, resurser allokerade till arbetet samt
datasäkerhetsegenskaper hos utrustningen och lokalerna.
Den datasäkerhet som är förenlig med den godkända datasäkerhetspolicyn ska
integreras i all verksamhet. Utvecklingen och administrationen av datasäkerheten är en
del av verksamhetsenhetens allmänna säkerhetsverksamhet, riskhantering och interna
kontroll.
4. DATASÄKERHETSARBETE
Målet med datasäkerhetsarbetet vid verksamhetsenheten inom hälso- och sjukvård är
att säkerställa att de datasystem och datanät som är viktiga för verksamhetsenheten
fungerar oavbrutet, förhindrar att utomstående får tillgång till information och datasystem
samt förhindrar obehörig användning av dem, oavsiktlig eller avsiktlig förstörelse eller
förvrängning av information samt minimerar eventuella skador. Utöver att säkerställa
datahanteringen under normala förhållanden förbereder man sig inför hotsituationer som
avbryter verksamheten och återhämtningen från dem.
Verksamhetsenheten inom hälso- och sjukvård ansvarar i synnerhet för planering och
implementering av skyddet för andra dokument som innehåller patientjournaler och
patientuppgifter. På grund av detta ansvar implementerar verksamhetsenheten
datasäkerheten enligt rutinerna för en höjd datasäkerhetsnivå.
5. ORGANISERING OCH ANSVARSFÖRDELNING
Datasäkerheten leds och övervakas av (kommunstyrelsen). (Den högsta
yrkesutbildade personen inom hälso- och sjukvården/den yrkesutbildade person
inom hälso- och sjukvården i kommunens hälsoväsende eller social- och
hälsoväsende som ansvarar för hälso- och sjukvården) ansvarar för delområdet för
patientdatasäkerheten och fattar beslut om mål, organisering, resurser och behörigheter
relaterade till utvecklingsverksamheten, den externa och interna kommunikationen om
patientdataskyddet i verksamhetsenheten eller kommunen samt utnämner den
dataskyddsansvarige inom hälso- och sjukvården.
Kommunens datasäkerhetsansvarig ansvarar för utvecklingen av datasäkerheten,
övervakningen av implementeringen, främjandet av kunskapen om datasäkerhet och
datasäkra rutiner vid verksamhetsenheten och köpta tjänster samt rapporteringen inom
ramen för de resurser och behörigheter som kommunens ledning beviljat. Han eller hon
ansvarar också för allmän extern och intern kommunikation om datasäkerhetsärenden
vid verksamhetsenheten. Den dataskyddsansvarige ansvarar för implementeringen,
uppföljningen och övervakningen av dataskyddet för verksamhetsenhetens
patientuppgifter inom ramen för de resurser och behörigheter som
verksamhetsenhetens ledning beviljat.
Datasäkerhetsgruppen kommer med synpunkter på datasäkerheten för centrala
funktioner i verksamhetsenheten, och den tillsätts av (samma som i början av
stycket). Datasäkerhetsgruppen behandlar riktlinjerna och anvisningarna för
datasäkerheten innan de föredras för ledningen för godkännande.
Datasäkerhetsgruppen består av kommunens datasäkerhetsansvarig,
verksamhetsenhetens dataskyddsansvarig, ansvariga för delområdenas verksamhet,
ansvariga och kontaktpersoner för patientregistret samt ansvariga för
patientdatasystemet.
Gruppmedlemmarnas uppgifter:
 Gruppmedlemmarna ansvarar för beredningen av ärenden relaterade till
datasäkerhetsprocessen inom sina ansvarsområden
 Kommunens datasäkerhetsansvarig ansvarar för fastställandet, bedömningen och






rapporteringen av verksamhetsenhetens datasäkerhetsnivå samt för den övriga
administrativa datasäkerheten och fungerar som ordförande för
datasäkerhetsgruppen.
Verksamhetsenhetens dataskyddsansvarig ansvarar för skyddet och
övervakningen av personregister som innehåller patientuppgifter samt den övriga
driftsäkerheten och fungerar som datasäkerhetsgruppens sekreterare
(Den person som ansvarar för delområdet för datateknik) ansvarar för
utrustningens och programvarans säkerhet
(Den person som ansvarar för delområdet för teknik) ansvarar för säkerheten för
lokalerna och utrustningstekniken.
(Den person som ansvarar för personalärenden) ansvarar för personalsäkerheten
(Kontaktpersonen för patientregistret) ansvarar för säkerheten för datamaterialet
enligt arkivfunktionens uppgifter
Representanterna för delområdena inom vårdtjänsterna kommer med
datasäkerhetssynpunkter baserade på det praktiska arbetet
Varje datasystem har en ägarenhet och en ansvarig person. Den ansvariga personen
för datasystemet ska bland annat definiera kraven på datasystemets funktion och
säkerhet (t.ex. kritiskhet, kontinuitetsplanering och säkerhetskopiering) samt bevilja och
övervaka användarrättigheter.
Enhetens chef ansvarar för anvisningar, kommunikation och övervakning i
datasäkerhetsärenden i den egna enheten.
Alla anställda vid verksamhetsenheten, alla som administrerar och använder
datasystem eller datanät ansvarar för sin del för datasäkerheten och iakttagandet av
datasäkerhetsanvisningarna. Varje person är skyldig att rapportera hot och avvikelser
relaterade till datasäkerheten till sin chef eller den datasäkerhetsansvarige.
6. IMPLEMENTERING AV DATASÄKERHETEN
Grunden för implementeringen av datasäkerheten är en skriftlig datasäkerhetspolicy
som godkänts av kommunen (kommunstyrelsen) och denna bilaga till den, som ges till
kännedom för verksamhetsenhetens alla anställda och användare av datasystemen.
Verksamhetsenhetens datasäkerhetsprinciper baserar sig på nationella, allmänna och
branschvisa kvalitetsstyrande och förpliktande författningar, anvisningar och standarder
för datasäkerhet, personregister, god informationshanteringssed och
informationskvalitet.
Ändringar i lagstiftningen och anvisningarna beaktas i utvecklingen av
verksamhetsenhetens datasäkerhet.
Implementeringen och administrationen av datasäkerheten beskrivs detaljerat i
kommunens (datasäkerhetsplan).
Vad gäller patientuppgifter styrs användarnas beteende genom branschvisa anvisningar
för hantering av information, handlingsregler, regler och utbildning i datasäkerhet.
Dessutom ska användarna iaktta de allmänna användningsregler som ingår i
kommunens datasäkerhetsplan, de fastställda och tillgängliga handlingsanvisningarna
samt den gemensamma utbildningen i datasäkerhet för branscherna. Varje användare
undertecknar datasäkerhetsanvisningen för användare och datasäkerhetsförbindelsen
när han eller hon beviljas rätt att använda datasystem och datamaterial enligt sina
arbetsuppgifter.
7. UPPFÖLJNING OCH ÖVERVAKNING AV DATASÄKERHETEN
Användarna och administratörerna ska anmäla upptäckta brister i datasäkerheten,
missbruk relaterat till datasäkerheten eller misstänkta fall av brott mot datasäkerheten till
sin chef eller den datasäkerhetsansvarige.
Chefen för enheten ska övervaka implementeringen av datasäkerheten vid sin enhet.
Verksamhetsenhetens dataskyddsansvarig följer upp och övervakar implementeringen
av datasäkerheten för verksamhetsenhetens datasystem och vidtar åtgärder för att rätta
till upptäckta brister i datasäkerheten.