Mall f2: bilaga till datasäkerhetspolicyn för kommunen som administrerar verksamhetsenheten inom hälso- och sjukvård BILAGA AV VERKSAMHETSENHETEN INOM HÄLSO- OCH SJUKKVÅRD TILL xx KOMMUNS DATSÄKERHETSPOLICY Godkänd XXXXXXXXXX . .2010 1. INLEDNING Informationshanteringen stöder (organisationens namn) produktion av hälso- och sjukvårdstjänster, och tjänsternas effektivitet hänger delvis på datahanteringen. Datamaterialet innehåller uppgifter om patienter, anställda och verksamheten som ska skyddas enligt lagstiftningen. Datahanteringen ska vara effektiv, felfri och säker. Bilagan om kommunens datasäkerhetspolicy avseende hälso- och sjukvården fastsäller i synnerhet de principer, ansvarsförhållanden samt åtgärder för uppföljning och övervakning som gäller verksamhetsenheten inom hälso- och sjukvård och som verksamhetsenheten iakttar i implementeringen och utvecklingen av datasäkerheten. Bilagan om hälso- och sjukvårdens datasäkerhetspolicy kompletteras av (utvecklingsplanen för datasäkerheten i sektorn och) detaljerade föreskrifter och anvisningar för hantering av patientuppgifter. 2. OMFATTNING Datasäkerhetspolicyn som fastställts av (verksamhetsenheten/kommunens styrelse/ledningsgrupp) omfattar i synnerhet datahanteringsuppgifter i verksamhetsenheten. Alla tjänsteinnehavare, medarbetare och förtroendepersoner i (organisationens namn) samt användare av verksamhetsenhetens uppgifter och datasystem ska känna till denna datasäkerhetspolicy och iaktta anvisningar och föreskrifter som utfärdats med stöd av den. Aktörer, leverantörer och andra parter utanför verksamhethetsenheten ska också förbinda sig att iaktta (namn) kommuns datasäkerhetspolicy och denna bilaga om verksamhetsenhetens datasäkerhetspolicy, nationella normer samt anvisningar som villkor för behörigt tillträde till den kommunala verksamhetsenhetens datasystem och datamaterialet i dem. 3. DATASÄKERHETSARBETE VID VERKSAMHETSENHETEN INOM HÄLSO- OCH SJUKVÅRD (Om det finns en motsvarande beskrivning i kommunens datasäkerhetspolicy behövs inte följande i denna bilaga: Med datasäkerhet avses skyddande av hantering och arkivering av information. Datasäkerhet omfattar informationens konfidentialitet, integritet, tillgänglighet, användbarhet och ostridighet samt övervakningen av informationshanteringen. Datasäkerhetsarbetet handlar om planering och implementering av åtgärder för att uppnå kriterierna för datasäkerheten. Datasäkerhetsarbetet vid verksamhetsenheten inom hälso- och sjukvård utgör en del av kommunens datasäkerhetsarbete. Datasäkerheten omfattar en datasäkerhetsorganisation, informationshanterarnas rutiner, metoder, verktyg och åtgärder för skyddandet av information, resurser allokerade till arbetet samt datasäkerhetsegenskaper hos utrustningen och lokalerna. Den datasäkerhet som är förenlig med den godkända datasäkerhetspolicyn ska integreras i all verksamhet. Utvecklingen och administrationen av datasäkerheten är en del av verksamhetsenhetens allmänna säkerhetsverksamhet, riskhantering och interna kontroll. 4. DATASÄKERHETSARBETE Målet med datasäkerhetsarbetet vid verksamhetsenheten inom hälso- och sjukvård är att säkerställa att de datasystem och datanät som är viktiga för verksamhetsenheten fungerar oavbrutet, förhindrar att utomstående får tillgång till information och datasystem samt förhindrar obehörig användning av dem, oavsiktlig eller avsiktlig förstörelse eller förvrängning av information samt minimerar eventuella skador. Utöver att säkerställa datahanteringen under normala förhållanden förbereder man sig inför hotsituationer som avbryter verksamheten och återhämtningen från dem. Verksamhetsenheten inom hälso- och sjukvård ansvarar i synnerhet för planering och implementering av skyddet för andra dokument som innehåller patientjournaler och patientuppgifter. På grund av detta ansvar implementerar verksamhetsenheten datasäkerheten enligt rutinerna för en höjd datasäkerhetsnivå. 5. ORGANISERING OCH ANSVARSFÖRDELNING Datasäkerheten leds och övervakas av (kommunstyrelsen). (Den högsta yrkesutbildade personen inom hälso- och sjukvården/den yrkesutbildade person inom hälso- och sjukvården i kommunens hälsoväsende eller social- och hälsoväsende som ansvarar för hälso- och sjukvården) ansvarar för delområdet för patientdatasäkerheten och fattar beslut om mål, organisering, resurser och behörigheter relaterade till utvecklingsverksamheten, den externa och interna kommunikationen om patientdataskyddet i verksamhetsenheten eller kommunen samt utnämner den dataskyddsansvarige inom hälso- och sjukvården. Kommunens datasäkerhetsansvarig ansvarar för utvecklingen av datasäkerheten, övervakningen av implementeringen, främjandet av kunskapen om datasäkerhet och datasäkra rutiner vid verksamhetsenheten och köpta tjänster samt rapporteringen inom ramen för de resurser och behörigheter som kommunens ledning beviljat. Han eller hon ansvarar också för allmän extern och intern kommunikation om datasäkerhetsärenden vid verksamhetsenheten. Den dataskyddsansvarige ansvarar för implementeringen, uppföljningen och övervakningen av dataskyddet för verksamhetsenhetens patientuppgifter inom ramen för de resurser och behörigheter som verksamhetsenhetens ledning beviljat. Datasäkerhetsgruppen kommer med synpunkter på datasäkerheten för centrala funktioner i verksamhetsenheten, och den tillsätts av (samma som i början av stycket). Datasäkerhetsgruppen behandlar riktlinjerna och anvisningarna för datasäkerheten innan de föredras för ledningen för godkännande. Datasäkerhetsgruppen består av kommunens datasäkerhetsansvarig, verksamhetsenhetens dataskyddsansvarig, ansvariga för delområdenas verksamhet, ansvariga och kontaktpersoner för patientregistret samt ansvariga för patientdatasystemet. Gruppmedlemmarnas uppgifter: Gruppmedlemmarna ansvarar för beredningen av ärenden relaterade till datasäkerhetsprocessen inom sina ansvarsområden Kommunens datasäkerhetsansvarig ansvarar för fastställandet, bedömningen och rapporteringen av verksamhetsenhetens datasäkerhetsnivå samt för den övriga administrativa datasäkerheten och fungerar som ordförande för datasäkerhetsgruppen. Verksamhetsenhetens dataskyddsansvarig ansvarar för skyddet och övervakningen av personregister som innehåller patientuppgifter samt den övriga driftsäkerheten och fungerar som datasäkerhetsgruppens sekreterare (Den person som ansvarar för delområdet för datateknik) ansvarar för utrustningens och programvarans säkerhet (Den person som ansvarar för delområdet för teknik) ansvarar för säkerheten för lokalerna och utrustningstekniken. (Den person som ansvarar för personalärenden) ansvarar för personalsäkerheten (Kontaktpersonen för patientregistret) ansvarar för säkerheten för datamaterialet enligt arkivfunktionens uppgifter Representanterna för delområdena inom vårdtjänsterna kommer med datasäkerhetssynpunkter baserade på det praktiska arbetet Varje datasystem har en ägarenhet och en ansvarig person. Den ansvariga personen för datasystemet ska bland annat definiera kraven på datasystemets funktion och säkerhet (t.ex. kritiskhet, kontinuitetsplanering och säkerhetskopiering) samt bevilja och övervaka användarrättigheter. Enhetens chef ansvarar för anvisningar, kommunikation och övervakning i datasäkerhetsärenden i den egna enheten. Alla anställda vid verksamhetsenheten, alla som administrerar och använder datasystem eller datanät ansvarar för sin del för datasäkerheten och iakttagandet av datasäkerhetsanvisningarna. Varje person är skyldig att rapportera hot och avvikelser relaterade till datasäkerheten till sin chef eller den datasäkerhetsansvarige. 6. IMPLEMENTERING AV DATASÄKERHETEN Grunden för implementeringen av datasäkerheten är en skriftlig datasäkerhetspolicy som godkänts av kommunen (kommunstyrelsen) och denna bilaga till den, som ges till kännedom för verksamhetsenhetens alla anställda och användare av datasystemen. Verksamhetsenhetens datasäkerhetsprinciper baserar sig på nationella, allmänna och branschvisa kvalitetsstyrande och förpliktande författningar, anvisningar och standarder för datasäkerhet, personregister, god informationshanteringssed och informationskvalitet. Ändringar i lagstiftningen och anvisningarna beaktas i utvecklingen av verksamhetsenhetens datasäkerhet. Implementeringen och administrationen av datasäkerheten beskrivs detaljerat i kommunens (datasäkerhetsplan). Vad gäller patientuppgifter styrs användarnas beteende genom branschvisa anvisningar för hantering av information, handlingsregler, regler och utbildning i datasäkerhet. Dessutom ska användarna iaktta de allmänna användningsregler som ingår i kommunens datasäkerhetsplan, de fastställda och tillgängliga handlingsanvisningarna samt den gemensamma utbildningen i datasäkerhet för branscherna. Varje användare undertecknar datasäkerhetsanvisningen för användare och datasäkerhetsförbindelsen när han eller hon beviljas rätt att använda datasystem och datamaterial enligt sina arbetsuppgifter. 7. UPPFÖLJNING OCH ÖVERVAKNING AV DATASÄKERHETEN Användarna och administratörerna ska anmäla upptäckta brister i datasäkerheten, missbruk relaterat till datasäkerheten eller misstänkta fall av brott mot datasäkerheten till sin chef eller den datasäkerhetsansvarige. Chefen för enheten ska övervaka implementeringen av datasäkerheten vid sin enhet. Verksamhetsenhetens dataskyddsansvarig följer upp och övervakar implementeringen av datasäkerheten för verksamhetsenhetens datasystem och vidtar åtgärder för att rätta till upptäckta brister i datasäkerheten.