Informationssäkerhet
Ledningssystem för informationssäkerhet är indelat i olika områden och innehåller Region Skånes samlade informationssäkerhetskrav.
Instruktionerna anger hur information ska hanteras. Alla användare och yrkeskategorier som hanterar information ska analysera hot och risker och vidta de skyddsåtgärder som krävs.
Instruktioner
- Riktlinjer för informationssäkerhet
-
Hantering av patientuppgifter
- Journalen
-
Patientsäkerhet och sekretess
Logg och loggranskning
Spärr
Skyddade personuppgifter
Informationen riktar sig till dig som är anställd hos en privat vårdgivare som är ansluten till Region Skånes system.
Informationen riktar sig till dig som är anställd hos en privat vårdgivare som är ansluten till Region Skånes system.
Information till dig som är anställd inom Region Skånes interna verksamheter finns på intranätet, sök på ”skyddade personuppgifter”.
I Region Skånes system kommer personnummer användas medan namn döljs och ersätts med den skyddsmarkering patienten har i folkbokföringsregistret.
På en patient med skyddad folkbokföring visas ”Skyddad folkbokföring” i namnfältet vid sökning i PASiS eller det lokala befolkningsregistret. Förändringen gäller även för patienter med sekretessmarkering i dessa system. Namnet ersätts då med ”Sekretessmarkering”.
För att hanteringen av patienter med skyddad folkbokföring ska fungera på ett patientsäkert sätt ska följande alltid ske:
- Patienten ska informeras i samband med besök
- Om det finns en journal upprättad på ett reservnummer sedan tidigare ska den slås samman med journal på personnummer
Läs mer i övergångsrutinen för privata rådgivare
-
Behandling av personuppgifter
-
Personuppgiftsbiträdesavtal (PUB-avtal)
Enheten för juridik och Region Skånes dataskyddsombud har gemensamt tagit ställning för att Region Skåne bör använda sig av Sveriges Kommuner och Regioners (SKR) PUB-avtalsmall.
Länkar för aktuell mall och vägledningar från SKR samt Region Skånes hjälptext och checklista avseende PUB-avtal:
-
IT-säkerhet
RSVPN
RSVPN är en tjänst för säker extern åtkomst till Region Skånes nät. Du kan läsa mer om RSVPN och hur du går tillväga för att logga in och använda RSVPN på sidan RSVPN.
Områden
-
Informationssäkerhetspolicy
Riktlinjer för informationssäkerhet i Region Skåne
Regionstyrelsen antog 2017-12-07 (§ 277) riktlinjer för informationssäkerhet.
- Riktlinjer för informationssäkerhet (pdf)
- Instruktion för tillämpning av riktlinje för informationssäkerhet (pdf)
I riktlinjerna står bland annat att informationssäkerhetsarbetet i Region Skåne syftar till att informationen ska vara:
- Tillgänglig – behörig användare ska få tillgång till den information som behövs för att utföra sina arbetsuppgifter
- Skyddad – informationen ska vara skyddad mot obehörig åtkomst
- Riktig – informationen ska vara skyddad mot förvanskning eller otillåten förändring
Säkerhetspolicy
Riktlinjerna ingår som en del i den övergripande säkerhetspolicyn för Region Skåne och gäller för all informationshantering.
-
Riskhantering
Krav på riskanalyser ställs i Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården.
Riskhantering är en grundläggande aktivitet inom informationssäkerhet för att verksamheten ska kunna skydda information och resurser på ett adekvat sätt.
-
Riskhantering för informationssystem
Vid riskhantering för informationssystem finns en metod som är en kombinerad informationsklassnings- och riskanalysmetod.
Syftet med riskhantering för informationssystem kan sammanfattas i följande punkter:
- Identifiera skyddsvärd information i informationssystemet
- Bedöma konsekvenser för verksamheten vid brister eller avsaknad av Konfidentialitet, Riktighet, Tillgänglighet och Spårbarhet
- Identifiera möjliga risker kopplat till informationssystemet
- Föreslå åtgärder för identifierade risker
-
Övriga riskanalyser
Exempel på andra analyser som också förekommer i Region Skåne.
RSA
Förebyggande risk- och sårbarhetsarbete ska bedrivas på alla nivåer i verksamheten och styrs av samordningsfunktion för RSA i Region Skåne.
Risk- och händelseanalyser
I Region Skåne genomförs dessa enligt nationell handbok "Riskanalys & Händelseanalys" för att identifiera och värdera risker, identifiera orsaker till dessa, ta fram åtgärder som eliminerar eller minskar riskerna eller mildrar konsekvenserna av negativa händelser.
Medicinsk teknik
Riskanalyser ska också genomföras inom medicinsk teknik avseende medicintekniska produkter och användning av dessa i Region Skånes miljö. Region Skånes ansvar för att bedöma risker som är förknippade med användning av produkten är extra viktigt när den ansluts i Region Skånes nätverk.
-
Riskhantering för informationssystem
-
Organisation av informationssäkerhets- och dataskyddsarbetet
Region Skåne är en organisation med cirka 36 000 anställda. I Region Skåne hanteras stora mängder information, varav en stor del omfattas av sekretess.
Säkerhetsarbete är en fortlöpande process. Syftet är att bygga upp och vidmakthålla en medveten och anpassad säkerhetsnivå. Informationssäkerheten ska vara organiserad med beaktande av detta för att bibehålla medborgarnas och patienternas förtroende för Region Skåne.
Informationssäkerhetsorganisation och dataskyddsorganisation
I Region Skåne finns en informationssäkerhetsorganisation som leds av informationssäkerhetschefen. Organisationens uppdrag är bland annat att leda, utveckla och följa upp informationssäkerhetsarbetet i regionen. Till hjälp i detta arbete används ledningssystem för informationssäkerhet.
Region Skåne har även en dataskyddsorganisation som leds av ett dataskyddsombud (DSO), vars uppgifter är reglerade i dataskyddsförordningen (DSF) art. 37-39. DSO har en slags myndighetsställning som Integritetsskyddsmyndighetens förlängda arm.
DSO ska självständigt och fristående gentemot ledning och förvaltningar se till att personuppgifter behandlas på ett lagligt och korrekt sätt samt påpeka eventuella brister. Med DSO följer att förteckning ska föras över personuppgiftsbehandlingar, se rubriken "Hantering av tillgångar".
Informationssäkerhetschefen har ett nätverk med informationssäkerhetssamordnare på förvaltningarna. DSO har ett nätverk med dataskyddssamordnare på förvaltningarna. I verksamheten ska finnas kontaktpersoner både för informationssäkerhets- och dataskyddsfrågor.
I dataskyddsorganisationen ingår även handläggare för registerutdrag dvs ärenden som kommer av DSF art. 15.
Informationssäkerhets- och dataskyddsorganisationerna samverkar med hela Region Skåne med målet att informationssäkerhet och dataskydd ska genomsyra alla processer.
Informationssäkerhetschef och DSO ingår i central prövningsinstans i Region Skåne även kallad KVB samt i nationella nätverk och samarbetsformer med bland annat andra landsting/regioner.
-
Personalsäkerhet
Erfarenheter visar att hotet mot informationssäkerheten ofta kommer inifrån den egna verksamheten och beror på bristande organisation som till exempel brister i ansvarsfördelning eller i kunskap. Hot kan emellertid också uppstå utanför verksamheten, från personer med anknytning till organisationen som exempelvis konsulter, praktikanter/studenter och leverantörer/företag.
-
Före anställning
Då personal anställs följs Region Skånes process för rekrytering.
Innan anställning ska vissa uppgifter kontrolleras. Det kan till exempel vara att personen har giltigt körkort om hen behöver ha det för att utföra sina arbetsuppgifter. Ett annat exempel är att kontrollera att legitimationen är utfärdad, inte är återkallad samt om det finns begränsningar i receptförskrivningsrätten för befattningar som omfattas av legitimationskrav.
Vid anställning ska anställda informeras om hur Region Skåne behandlar personuppgifter om anställda. Anställda som ska hantera sekretessbelagd information ska ta del av Sekretess inom hälso- och sjukvården.
Sekretess i hälso- och sjukvården
Vid anställning ska personal registreras i Skånekatalogen och därmed tilldelas HSA-ID. HSA-ID är en global unik identitet. Eventuella yrkestitlar läggs också in i Skånekatalogen samt kontaktuppgifter. För Skånekatalogen finns organisation och anvisningar/instruktioner för administration. Vissa uppgifter från Skånekatalogen är också tillgängliga i den nationella HSA-katalogen.
Vid anställning ska personal få ett e-tjänstekort (RS-kort). Detta är Region Skånes elektroniska ID-kort som används för att identifiera personal fysiskt och i IT-stöd.
Vid anställning ska personal få tillgång till de resurser och bli tilldelade de rättigheter som behövs för att kunna utföra sina arbetsuppgifter. Läs mer i avsnittet om styrning av åtkomst till information.
-
Under anställning
Medarbetare som hanterar känslig information är skyldiga att ta del av och följa gällande regelverk för informationssäkerhet. Bristande hantering, både avsiktlig men också oavsiktlig, hanteras på samma sätt som annan misskötsamhet som sker i anställningen.
Bristande informationshantering kan påverka anställningen. I allvarligare fall kan det medföra disciplinpåföljd eller andra arbetsrättsliga åtgärder. Följ dokumentet "Dataintrång - åtgärder vid misstanke om olovlig åtkomst" vid misstanke om att en medarbetare har tagit del av mer information än vad hen har rätt till.
Dataintrång - åtgärder vid misstanke om olovlig åtkomst (pdf)
Vårdgivaren ansvarar för att gällande författningar och interna regelverk finns tillgängliga.
Verksamhetschef/chef/arbetsledare ansvarar för att dennes personal blir informerad om gällande författningar och regelverk.
Medarbetare har ett egenansvar att följa gällande författningar och regelverk. Alla anställda ska vara uppmärksamma på om något misstänkt eller oförutsett inträffar dels i sin omgivning och dels i IT-stödet och kontakta platsansvarig respektive IT Servicedesk.
-
Avslut eller ändring av anställning
Då personal slutar eller ändrar sin anställning ansvarar närmaste chef för att de resurser, rättigheter och hjälpmedel som getts vid anställning tas bort eller ändras. Personal som slutar har också ett eget ansvar att så sker.
-
Före anställning
-
Hantering av tillgångar
Information är en av Region Skånes viktigaste tillgångar. Den är en förutsättning för att kunna bedriva verksamhet. Våra informationstillgångar ska därför hanteras och skyddas på ett tillfredsställande sätt mot de risker som förekommer.
Avbrott i tillgången till information kan vara kritiskt. Felaktig information kan ge allvarliga konsekvenser inom hälso- och sjukvården, kollektivtrafiken och inom Region Skånes övriga ansvarsområden.
Riktlinjer för tillgång till och utlämnande av patientinformation
Regionstyrelsen antog 2009-05-12 (§ 161) riktlinjer för tillgång till och utlämnande av patientinformation.
I riktlinjerna anges att Region Skåne ska utnyttja de möjligheter patientdatalagen ger för tillgång till patientinformation mellan vårdenheter inom det inre sekretessområdet mellan Region Skåne och vårdgivare som väljer att ingå i sammanhållen journalföring till patient genom direktåtkomst till delar av dennes journalinformation samt logguppgifter
Riktlinjer för tillgång till och utlämnande av patientinformation (pdf)
-
Ansvar för tillgångar
Personuppgiftsbehandlingar
Dataskyddsförordningen innehåller en skyldighet för den personuppgiftsansvarige att föra ett register över alla pågående personuppgiftsbehandlingar. Dataskyddsombudet (DSO) ansvarar för registret.
Registret baseras på ett underlag, anmälan om behandling av personuppgifter. Det innehåller uppgifter om i vilken verksamhet personuppgiftsbehandlingen används, vilken typ av uppgifter det är och för vilket ändamål de används med mera. Den som initierar en personuppgiftsbehandling ansvarar för att den anmäls.
Anmälan om behandling av personuppgifter (dsf.i.skane.se)
Genom denna anmälan har Region Skånes en översikt över vilka behandlingar av personuppgifter som finns.
Allmänna handlingar
Allmänna handlingar som inkommer eller upprättas i Region Skåne ska registreras i diariet. Dokument under pågående arbete definieras som arbetsmaterial och är inte allmän handling förrän arbetet är avslutat. Ansvarig tjänsteman har ett eget ansvar för att allmänna handlingar diarieförs.
Mer information om Allmänna handlingar i Region Skånes Arkivhandbok
Var och en har rätt att begära ut en allmän handling. Innan ett utlämnande ska det alltid göras en bedömning om handlingen omfattas av sekretess. Varje tjänsteman ansvarar för att ta emot och hantera en begäran om utlämnande.
Utrustning och applikationer/tjänster
I Region Skåne ska följande tillgångar finnas förtecknade:
- Utrustning anslutet till RS Net – PC, medicintekniska produkter, skrivare men även applikationer/tjänster ska finnas förtecknade. Ansvarig för att hålla förteckningen är den regionala IT-verksamheten. Förteckningen innehåller uppgifter om inom vilken verksamhet utrustningen och applikationen/tjänsten används samt ansvarig. För hantering av programvaror se Anvisning för programvarutillgångars hantering från anskaffning till avveckling.
- Medicintekniska produkter finns även förtecknade i inventariesystem oavsett om de är anslutna till RS Net eller inte. Ansvar för detta åvilar Medicinsk service. Förteckningen innehåller uppgifter om inom vilken verksamhet produkten används samt ansvarig.
-
Informationsklassning
Region Skånes informationstillgångar ska identifieras, klassificeras och ges en lämplig skyddsnivå. Detta med utgångspunkt i att de finns tillgängliga när de behövs (tillgänglighet), att de är korrekta (riktighet), att obehöriga inte kan få tillgång till dem (konfidentialitet) och att händelser i informationsbehandlingen kan spåras (spårbarhet).
Region Skånes verksamheter ska, utifrån återkommande risk- och sårbarhetsanalyser och inträffade incidenter, avgöra hur risker ska hanteras och vidta nödvändiga åtgärder för att upprätthålla rätt skyddsnivå för informationen.
För att uppnå målet med informationssäkerheten ska säkerhetsarbetet omfatta samtliga delar av administrativ respektive teknisk säkerhet.
-
Hantering av lagringsmedia
Mål: Att förhindra obehörigt avslöjande, förändring, borttagning eller förstörande av tillgångar samt avbrott i verksamhet.
Lagringsmedia som innehåller väsentlig information för verksamheten ska förvaras i utrymme som är konstruerade för det ändamålet. Lagringsmedia med känslig information får inte avlägsnas från utrymmet som är konstruerat för ändamålet utan annan skyddsmekanism. En annan skyddsmekanisk kan till exempel vara kryptering. Lagringsmedia och säkerhetskopior av dessa ska förvaras på geografiskt skilda platser.
Exempel på lagringsmedia är USB-minnen, hårddiskar och minneskort.
Avveckling/förstöring av informationsmedia
Gallringsbart material och informationsmedium som innehåller personuppgifter och som inte längre ska användas för sitt ändamål ska avvecklas/förstöras. Det ska avvecklas/förstöras på ett sådant sätt att uppgifterna inte kan återskapas eller komma i orätta händer. Dokumenterade rutiner ska finnas för detta. Detta gäller allt gallringsbart material och informationsmedium som innehåller personuppgifter oavsett om uppgifterna är av sekretessbelagd natur eller ej.
Fysiska/analoga media
Pappershandlingar som får gallras ska förstöras i dokumentförstörare eller hanteras som sekretessavfall. För gallring av röntgenbilder gäller särskilda anvisningar.
Digitala media
Det ska finnas en anvisning för avveckling av lagringsmedia som använts av Region Skåne. Lagringsmedia inkluderar band som används för säkerhetskopiering, hårddiskar, minneskort, flyttbara hårddiskar, CD och DVD, och annan media med beständig lagringskapacitet.
Anvisningen ska omfatta bland annat hur hårddiskar som använts i stationära och bärbara persondatorer, servrar, lagringskabinett, och skrivare ska hanteras vid avveckling. I de fall datamedia inte ägs av Region Skåne ska avtal med leverantör reglera hur avveckling av media hanteras.
Datorer som utrangeras överlåts ibland till utomstående. Det räcker med att reglera frågan om förstörande av informationen på hårddisken i avtalet med företaget om utrustningen överlämnas till ett företag som förstör eller tar till vara på delar. Överlåts dator till enskild bör programmets F-disk köras. Hårddisken bör därefter formateras så att informationens läsbarhet försvinner.
-
Ansvar för tillgångar
-
Styrning av åtkomst
Grundkrav på säkerhet i informationssystem är att informationen ska vara tillgänglig och skyddas mot sekretessförlust, obehörigt utnyttjande, obehörig ändring, förvanskning samt vara spårbar.
Enligt Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40) har hälso- och sjukvårdspersonal och andra befattningshavare följande ansvar:
- För att personliga lösenord och hjälpmedel för autentisering inte kan bli tillgängliga för andra.
- Datorer eller andra enheter som används för att hantera uppgifter
om patienter inte lämnas utan att uppgifterna är skyddade mot obehörig åtkomst. - Endast ta del av patientuppgifter om han eller hon deltar i vården av patienten och behöver uppgifterna för sitt arbete.
-
Aktörer
Patient
Identitetskontroll - legitimering (pdf)
Som unik identitet på patient utnyttjas personnummer. För personer som saknar personnummer används ett så kallat reservnummer. Se Identitetskontroll - legitimering. Regiongemensamma system ska göra kontroll av personnummer mot befolkningsregistret och/eller PASiS, se Befolkningsregistret inom Region Skåne, tillgång och användning.
Befolkningsregistret inom Region Skåne, tillgång och användning (pdf)
Om personnummer saknas ska gällande regler för användning av reservnummer i Region Skåne följas, se Identitetshantering för patient.
Identitetshantering för patient (pdf)
Patienten har rätt att spärra sin information så att åtkomst begränsas för personal utanför aktuell vårdenhet/vårdprocess. Detta tas upp i Anvisningar för spärrhantering av elektronisk patientinformation. Anvisningarna är generella och gäller oberoende av enskilda IT-stöd/system.
- Anvisningar för spärrhantering av elektronisk patientinformation inom vårdgivaren och vid sammanhållen journalföring (pdf)
- Spärra uppgifter i journal - blankett och informationsblad (skane.se)
Personal
Personal i Region Skåne ska vara unikt identifierad med identitet i form av HSA-ID från Nationell katalogtjänst HSA. HSA-ID är en global unik identitet, som byggs upp av beteckning för Sverige, Region Skånes organisationsnummer och ett unikt löpnummer. Identiteten verifieras elektroniskt med hjälp av e-tjänstekort. E-tjänstekort är Region Skånes elektroniska ID-kort.
Hälso- och sjukvårdspersonal får ta del av de patientuppgifter som är
nödvändiga för att utföra sitt arbete inom hälso- och sjukvård. Vad som ingår i arbetet bestäms ytterst av verksamhetschef. Läs mer under avsnittet om styrning av åtkomst till information.Utomstående parter
Med utomstående parter avses inhyrd personal, hälso- och sjukvårdsstuderande, externa vårdgivare och leverantörer. Dessa ska vara unikt identifierade på samma sätt som Region Skånes personal.
För utomstående parter som hanterar sekretessbelagd information ska Avtal om tystnadsplikt skrivas.
Inhyrd personal
För inhyrd personal gäller samma förfarande som för anställda i Region Skåne vid administration av åtkomst till information.
Hälso- och sjukvårdsstuderande
Hälso- och sjukvårdsstuderande behöver för sin utbildning tillgång till patientinformation i varierande grad och ges tillgång utifrån samma kriterier som för anställda och inhyrd personal. Se Instruktion om styrning av behörigheter för åtkomst till uppgifter om patienter.
Externa vårdgivare
Verksamhets- och organisationsförändringar inom Hälso- och sjukvård innebär en utveckling mot ökad samverkan. Därmed finns ett ökat behov av tillgång till information mellan vårdgivare. Med vårdgivare avses exempelvis kommun, privata vårdgivare med eller utan avtal med Region Skåne, andra regioner samt statliga verksamheter som bedriver hälso- och sjukvård.
Vid åtkomst till information mellan vårdgivare ska Riktlinjer för tillgång till patientuppgifter följas.
Riktlinjer tillgång till patientuppgifter (pdf)
Åtkomst till information mellan Region Skåne och andra vårdgivare ska vara särskilt reglerat i avtal om Sammanhållen journalföring.
Sammanhållen journalföring mellan Region Skåne och andra vårdgivare (pdf)
-
Åtkomst till information
All tillgång till Region Skånes information, ska styras med hjälp av administrativa och tekniska skyddsåtgärder.
Åtkomstadministration
Verksamhetschefen inom hälso- och sjukvården eller motsvarande chef i annan verksamhet ansvarar för tilldelning och avregistrering av behörigheter. Systemägaren ansvarar för behörighetstilldelning för leverantörer. Behörigheten ska vid varje tillfälle baseras på användarens arbetsuppgifter och organisatorisk tillhörighet. Innan en användare tilldelas behörigheter ska:
- En behovs- och riskbedömning göras
- Användaren ha tillräckliga kunskaper och utbildning
Styrning av behörigheter för åtkomst till uppgifter om patienter (pdf)
Hantering av patientuppgifter för kvalitetssäkring inom vård och behandling i Region Skåne (pdf)
All tilldelning av behörigheter ska dokumenteras och regelbundet följas upp. Detta ska även ske efter varje större organisations- eller systemförändring.
Åtkomst med utvidgade behörigheter, s k administratörsbehörigheter, ska begränsas till så få personer som möjligt.
Systemadministrativa arbetsuppgifter ska utföras av starkt autentiserad personal för att säkerställa spårbarhet. Teknisk personal bör vara starkt autentiserad.
Kvalitetsregister
Inom Region Skåne har vårdenhet som registrerar/rapporterar in till kvalitetsregister endast rätt till åtkomst till sina egna uppgifter och beroende på behörigheter även till andra vårdenheters uppgifter i registret.
Åtkomst till andra vårdgivares uppgifter i ett regionalt eller nationellt register kan endast ges i avidentifierad form. I de fall då Region Skåne är centralt personuppgiftsansvarig för ett regionalt eller nationellt kvalitetsregister har den av Region Skåne utsedd ansvarig för kvalitetsregistret tillgång till samtliga personuppgifter.
Åtkomstkontroll
Tillgång till IT-system ska styras med hjälp av åtkomstkontroll. Varje användares identitet ska verifieras, såväl personal som utomstående parter.
Stark autentisering
För åtkomst till patientuppgifter över öppna nätverk krävs stark autentisering enligt HSLF-FS 2016:40 Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården. Stark autentisering innebär att identiteten kontrolleras på två olika sätt.
I Region Skåne använder personalen eTjänstekort (RS-kort) och tillhörande SITHS certifikat för att uppfylla stark autentisering. Medborgare/patient samt utomstående parter använder e-legitimation tillsammans med en personlig säkerhetskod för att uppfylla stark autentisering.
Extern åtkomst
Fjärranslutning till IT-resurser på Region Skånes nätverk ska ske via särskild hänvisad tjänst för extern åtkomst. Se också anvisning för åtkomst till vårdtjänst via RSVPN.
Innan tjänsten används ska anställda och samverkansparter ska ta del av Ansvarsförbindelse.
Extern åtkomst - Ansvarsförbindelse (pdf)
Loggning och uppföljning
För att säkerställa att endast behöriga användare har åtkomst till viss information, ska åtkomst loggas och tilldelade rättigheter följas upp.
Loggning görs även med syfte för driftövervakning, felsökning, incidentspårning, för att ta fram statistik samt för uppföljning vid misstanke om brottsligt beteende.
Verksamhetschef inom hälso- och sjukvården eller motsvarande chef i annan verksamhet ansvarar för att följa upp loggar. Systemägaren ansvarar för uppföljning av åtkomsten för leverantörer.
Alla användare ska vara informerade om att loggning sker och på vilket sätt samt att uppföljning sker av loggningen.
Verksamhetschef/motsvarande chef ska vid misstanke agera enligt instruktion om åtgärder vid misstanke om olovlig åtkomst.
Dataintrång - åtgärder vid misstanke om olovlig åtkomst (pdf)
-
Kryptering
Sekretessbelagd information ska skickas med säker e-post. Det innebär att informationen är krypterad och signerad och att sändare och mottagare är säkert identifierade. Ärendemeningen krypteras inte och får därför inte innehålla några känsliga uppgifter eller information som omfattas av sekretess.
-
Fysisk och miljörelaterad säkerhet
Verksamheten ska ha en anpassad säkerhet beroende på vilken information och utrustning som hanteras. Detta ställer krav på att lås, dörrar, övrig byggnadskonstruktion, inbrottslarm mm anpassas till den säkerhetsnivå som bedömts nödvändig.
Säkrade utrymmen
Ett av målen är att förhindra obehörigt fysiskt tillträde, skador och störningar i organisationens lokaler och information.
Kritiska eller känsliga informationsbehandlingsresurser bör inrymmas i säkra utrymmen inom ett avgränsat skalskydd med lämpliga säkerhetsspärrar och tillträdeskontroller. De bör fysiskt skyddas mot otillåten åtkomst, skada och störning. Skyddets nivå bör stå i proportion till förekommande risker.
Skydd av utrustning
Ett annat mål är att förhindra förlust, skada, stöld eller skadlig påverkan på tillgångar och avbrott i organisationens verksamhet.
Utrustning bör skyddas mot fysiska hot och miljömässiga hot. Skydd av utrustning (även sådan som används utanför organisationens lokaler och vid bortflyttning av egendom) krävs för att minska risken för obehörig åtkomst av information och skydda mot förlust och skada.
Det bör också beaktas var utrustning installeras och hur den avvecklas. Särskilda åtgärder kan krävas för att skydda mot fysiska hot och för att skydda försörjningsutrustning, till exempel elförsörjning och kablage.
Tillträdesbegränsning
Ett mål är också att förhindra obehöriga att få tillgång till lokaler eller andra utrymmen dit de ej är behöriga. Detta gäller såväl Region Skånes egna lokaler som förhyrda.
Regionservice är ansvarig för fysiska skyddsåtgärder i Region Skåne och samverkar med funktionerna för IT, krisberedskap och säkerhet liksom företrädare för respektive verksamhet. Tillträdesbegränsning består i sina grunddelar av passersystem och RS-kortet.
Anvisningar för utförande ska följas. Därutöver har Region Skåne fastställt strategi och övergripande mål för fysisk säkerhet.
-
Driftsäkerhet
-
Driftsrutiner och ansvar
Mål: Att säkerställa korrekt och säker drift av informationsbehandlingsresurser.
Det ska finnas dokumenterade rutiner och instruktioner för hur driften av Region Skånes informationssystem sköts. Inom Region Skåne används ITIL (Information Technology Infrastructure Library) samt Verksamhetsstyrd styr- och förvaltningsmodell.
Det ska finnas en dokumenterad rutin för hantering av säkerhetsincidenter och funktionsfel. Det ska även finnas regler för delegering av resurser för incidentberedskap och ledning/åtgärder vid en inträffad incident. Denna rutin beskrivs närmare under rubriken Hantering av informationssäkerhetsincidenter.
Hantering av informationssäkerhetsincidenter
Det ska finnas driftdokumentation för varje informationssystem som minst omfattar:
- säkerhetskopiering
- återstarts- och återställningsrutiner
- hantering av revisionsspår och logginformation
Driftdokumentationen ska innehålla instruktioner om hur informationssystemet installeras och konfigureras. En kopia av driftdokumentationen ska förvaras skyddad och åtskild från driftstället. Driftsdokumentationen får alltså inte endast finnas lagrad på samma fysiska plats som informationssystemet.
Tjänstespecifika krav på innehållet i driftsdokumentation för varje informationssystem ska regleras i SLA.
Det ska finnas driftsdokumentation för samtliga Region Skånes informationssystem. Dokumentationen ska omfatta all utrustning som används av eller har påverkan på varje informationssystem.
Vid förändringar av informationssystem i Region Skånes drift ska regler finnas för
- identifiering och registrering av viktiga ändringar
- planering och test av ändringar
- rutin för formellt godkännande av föreslagna ändringar
- driftdokumentation som i rimlig omfattning och grad ska vara fullständig och aktuell samt uppdateras vid förändringar
- beslut om tidpunkt för installation av nya programversioner (systemägaren beslutar)
- dokumentation av installation av nya programversioner
Test och utveckling av informationssystem inom Region Skåne ska ske åtskilt från driftsmiljö. Det vill säga i en särskild test- och utvecklingsmiljö. Data som används i test och utvecklingsmiljö ska skiljas från produktionsdata. Innan produktionsdata får användas för test och utveckling ska informationen granskas. Vid behov ska den förändras genom till exempel avidentifiering av personuppgifter.
Behörigheter ska sättas separat för test och utveckling, så att behörighet till ett informationssystems testmiljö inte automatiskt också ger behörighet till produktionsmiljö.
-
Skydd mot skadlig kod
Mål: Att säkerställa systemintegritet för programvara och riktighet i information.
Det ska finnas en automatiserad rutin för uppdatering av sårbarheter funna i operativsystem och applikationsprogram.
Det ska finnas rutiner för skydd mot skadlig programkod som:
- minst detekterar förekomsten av sådan
- kontinuerligt bevakar och implementerar nya uppdateringar
- gäller både för servrar och klienter
- startar skyddet automatiskt
Skydd mot skadlig programkod ska installeras på olika ställen i driftsmiljön för att uppnå ett så heltäckande skydd som möjligt. Det ska finnas skydd på datorer och om möjligt på kringutrustning.
Det ska finnas skydd på e-postservrar och i filter för nätverkstrafik (webbfilter). Det heltäckande skyddet bör koordineras så att inte en enda antivirusmotor används för skydd på samtliga nivåer.
En av de primära spridningsvägarna för skadlig kod är via nätverk. Det ska finnas en anvisning för vilken utrustning som får anslutas till Region Skånes nätverk, RSnet, samt vilken utrustning som får anslutas till annan utrustning som i sin tur är ansluten till nätverket.
I anvisningen ska beskrivas i vilken mån användare får installera program på utrustningen, samt vilket godkännande som krävs för att ansluta utrustning av olika typ till nätverket.
-
Säkerhetskopiering
Mål: Att bevara informationens och informationsbehandlingsresursers riktighet respektive systemintegritet samt tillgänglighet.
Det ska finnas en gemensam, dokumenterad, basnivå för säkerhetskopiering av information inom Region Skåne. Basnivån ska omfatta:
- intervallen för kopiering
- hur många generationer säkerhetskopior som ska finnas
- hur säkerhetskopior ska förvaras
- om och när kontroll av säkerhetskopiornas läsbarhet ska genomföras
Driftsdokumentationen för informationssystem ska innehålla krav på säkerhetskopiering. I dokumentationen ska ingå:
- vilken information som ska omfattas av säkerhetskopiering
- intervallen för kopiering
- hur många generationer säkerhetskopior som ska finnas
- hur säkerhetskopior ska förvaras
- om och när kontroll av säkerhetskopiornas läsbarhet ska genomföras
- hur och hur ofta test av att informationssystem kan återstartas från säkerhetskopior ska genomföras
Säkerhetskopior ska förvaras på plats geografiskt skild från driftstället. Utrustning som behövs för läsning av säkerhetskopia ska finnas på plats geografiskt skild från driftstället.
Källkod till egenutvecklade informationssystem, installations- och konfigurationsfiler för installation av i informationssystem ingående delar och driftsdokumentation ska säkerhetskopieras vid införande och vid förändring.
-
Driftsrutiner och ansvar
-
Kommunikationssäkerhet
-
Hantering av nätverkssäkerhet
Mål: Att säkerställa skyddet av information i nätverk och i tillhörande infrastruktur.
Region Skånes nätverk ska skyddas mot hot från omgivande nätverk med lämpliga skyddsmekanismer, såsom brandväggar och intrångsskydd.
Vid åsidosättande av skyddsmekanism ska riskanalys genomföras och dokumenteras. Det kan till exempel vara vid öppning i brandvägg. Riskanalysen ska ta hänsyn till den sammantagna skyddsnivån för nätverket som helhet. Penetrationstester av skyddsmekanismer ska genomföras vid förändringar där den dokumenterade riskanalys visat att det behövs.
Region Skånes nätverk ska vara segmenterat, det vill säga avdelat i olika segment med skyddsmekanismer, till exempel brandväggar.
Segmenteringen syftar till att dela upp nätverket för att underlätta återställande efter större virusangrepp. Den syftar även till att ge tillgång till skyddsmekanismer på nätverksnivå mellan olika system och mellan delar av samma system. Det kan till exempel vara mellan klienter och centrala servrar.
-
Informationsöverföring
Mål: Att bibehålla säkerheten för information och programvara som utbyts inom organisationen och med externa enheter.
Informationsutbyte äger rum när en part får tillgång till information som annan part förfogar över och avser inte endast traditionell meddelandeöverföring utan också åtkomst till information eller att distribution/hämtande av information sker via internet/intranät.
Vid allt informationsutbyte finns ett antal gemensamma hot och risker. Informationen kan bli förändrad eller förvanskad, tappas bort, dubbleras felaktigt, göras åtkomlig för obehörig, mottagning och sändning kan förnekas samt en avsändaradress kan vara felaktig.
Krav måste därför ställas på informationens:
- tillgänglighet – att behöriga användare ska få tillgång till den information som behövs för att utföra sina arbetsuppgifter och att skydd ska finnas mot förlust och fördröjning
- sekretess – att skydd ska finnas mot obehörig åtkomst
- riktighet/integritet – att skydd ska finnas mot förvanskning eller förändring
- spårbarhet – att möjlighet ska finnas att följa upp hur informationssystemet används.
Vid utbyte av information inom Region Skåne gäller de åtkomstregler som anges i kapitlet om Styrning av åtkomst. Vid överföring av patientuppgifter ska informationen vara krypterad om överföringen sker över öppet nätverk. Region Skånes nätverk som helhet definieras som ett öppet nätverk.
Krav på stark autentisering och kryptering gäller även vid utbyte av patientuppgifter mellan olika informationssystem samt mellan delar av samma informationssystem. Delar av Region Skånes nätverk kan betraktas som icke öppet nätverk under förutsättning att andra skyddsmekanismer som skyddar informationen finns på plats.
Vid utbyte av patientuppgifter mellan informationssystem och mellan delar av samma i informationssystem ska åtkomst ske med autentisering där identitet styrks med SITHS-certifikat.
Vid införande eller förändring av informationssystem ska riskanalys utifrån skyddsvärdet av den aktuella informationen genomföras. Om överföring av information sker via annat än Region Skånes nätverk ska det även göras en bedömning av den sammantagna skyddsnivån för Region Skånes nätverk som helhet vid riskanalysen.
-
Internet och e-post
Internet, e-post, telefoni såväl som digitala plattformar är arbetsredskap. Användningen ska följa gällande lagar och regelverk och ska ske på ett etiskt och korrekt sätt. Endast utrustning och tjänster som tillhandahålls av Region Skåne ska användas. Information som omfattas av sekretess ska hanteras på lagringsytor som är avsedda för denna typ av information. I yrkesutövningen ska den mejladress som tilldelats i tjänsten användas.
Reglerna om allmänna handlingar
Reglerna om allmänna handlingar inom Region Skåne gäller för e-post, fax och konventionell post. Det betyder att användare är skyldiga att hantera dessa enligt gängse postrutiner. Detta innebär att såväl inkommande som utgående e-postmeddelande, faxmeddelanden och post ska överlämnas till registrator för registrering eller hållas ordnade på annat sätt. Det gäller även i förekommande fall bifogade bilagor som uppfyller förutsättningarna för att kallas allmänna handlingar.
Arbetsgivaren kan ha rätt att ta del av uppgifter som finns i ett e-postmeddelande, faxmeddelande och post. Detta för att kunna fullgöra den rättsliga skyldigheten att lämna ut allmän handling.
Skicka sekretessbelagd information med säker e-post
Sekretessbelagd information ska skickas med säker e-post. Det innebär att informationen är krypterad och signerad och att sändare och mottagare är säkert identifierade. Ärendemeningen krypteras inte och får därför inte innehålla personuppgifter.
Hantering av e-post och bilagor
E-post och bilagor ska hanteras med försiktighet. Detta på grund av spridning av datorvirus. Bilagan ska inte öppnas och inte vidarebefordra vid misstanke om virus. Utrustning som används för åtkomst till Internet och för hantering av e-post och bilagor ska ha uppdaterat virusskydd.
Spårning
Användningen av Internet och e-post registreras med möjlighet att spåra aktiviteter under en begränsad tid. För Internet loggas användarens RSID, IP-adress, destinationsadress och tidpunkt. För e-post loggas avsändare, mottagare, tidpunkt och ärendemening.
Även nätverks/domäninloggning registreras. Loggningen görs för driftövervakning, för att ta fram statistik samt vid misstanke om brottsligt beteende eller användning som strider mot dessa regler.
-
Hantering av nätverkssäkerhet
-
Anskaffning, utveckling och underhåll av system
Då verksamheten har behov eller krav på förändring av systemstöd startar en process för utveckling. Det kan innefatta både utveckling av befintligt systemstöd, men också utveckling av nya systemstöd.
Informationssäkerhet och IT-säkerhet ska beaktas och byggas in under utvecklingsfasen av ett IT-stöd och ingå som krav vid upphandling.
Vid utveckling av nya tjänster som hanterar personuppgifter ska regler och krav för behandling av personuppgifter i Region Skåne följas. Personuppgiftsbehandling i Region Skåne innehåller en sammanställning av dessa regler och krav.
Personuppgiftsbehandling i Region Skåne - Sammanställning av regler och krav (pdf)
-
Leverantörsrelationer
Leverantörer/personuppgiftsbiträde
Leverantörer som sköter drift/underhåll av system/IT-tjänster/applikationer för Region Skånes räkning är personuppgiftsbiträde. Deras tillgång till regionens information innehållande personuppgifter ska regleras i tjänsteavtal och personuppgiftsbiträdesavtal.
Instruktion och mall för upprättande av Personuppgiftsbiträdesavtal
Hantering av tredjepartsleverantör av tjänster
Det ska finnas en anvisning för hur Region Skåne följer upp och granskar utomstående leverantörers tjänster. Vid förändringar i utförande av utomstående leverantörs tjänster ska en förnyad bedömning av risker med förändringen göras.
-
Hantering av informationssäkerhetsincidenter
Informationssäkerhetsincidenter ska fångas upp för användning i uppföljnings- och förbättringsarbete.
Incidenter och avvikelser
Det är viktigt i ett strukturerat säkerhetsarbete att kunna identifiera och lära av ofta förekommande eller större incidenter och avvikelser.
Region Skånes instruktion för hantering av informationssäkerhetsincidenter anger på vilket sätt Region Skåne ska hantera informationssäkerhetsincidenter utifrån den klassificering som görs.
Informationssäkerhetsincidenter - Instruktion (pdf)
För att rapportera avvikelser används ett regiongemensamt avvikelsehanteringssystem, AViC.
Incidenter fångas även upp i andra processer.
-
Informationssäkerhetsaspekter avseende hantering av verksamhetens kontinuitet
Region Skånes verksamhet är samhällsviktig. En sådan verksamhet ska planera för kontinuitet. Detta eftersom samhällsviktig verksamhet måste kunna upprätthållas även under allvarliga och extraordinära händelser. Funktion för krisberedskap och säkerhet leder och samordnar det regionala arbetet.
Verksamhetsansvariga för samhällsviktiga funktioner och verksamheter ansvarar för att kontinuitetsplanera den egna verksamheten.
Informationssäkerhetsaspekter
Respektive förvaltningschef/motsvarande ansvarar för kontinuitetsplanering i den egna verksamheten.
Verksamhetens krav på tillgänglighet för regiongemensamma informationssystem finns definierade i tillgänglighetsnivåer (SLA). Kontinuitetsplanering för IT-stöd förekommer i vissa Tjänste-SLA, exempelvis möjlighet att läsa journalinformation i ett läge då ordinarie journal inte är åtkomlig att arbeta i.
Tillgänglighetsnivåerna ska användas i verksamhetens kontinuitetsplanering.
Verksamheten ska ha reservrutiner för att kunna hantera allvarliga händelser, störningar och andra oplanerade avbrott. Funktionsförvaltare för IT-stöd ska bistå verksamheten med alternativa lösningar.
-
Efterlevnad
Myndigheters verksamheter regleras av lagar och föreskrifter. Dessa påverkar krav som ställs på informationshanteringen i IT-stöd såväl som i pappersburen form. I detta ledningssystem är de rättsliga kraven i huvudsak inriktade på hur sekretessbelagd/känslig information ska hanteras och skyddas.
-
Granskningar av informationssäkerhet
Granskning av informationssäkerhets-, IT-säkerhets- och personuppgiftsfrågor utövas på olika nivåer.
Extern nivå
Integritetsskyddsmyndigheten, IMY
IMY är tillsynsmyndighet för hantering av personuppgifter enligt dataskyddsförordningen samt även patientdatalagen och kontrollerar att regler om åtkomst, information till de registrerade samt säkerhetsåtgärder följs.
IMY samverkar med Inspektionen för vård och omsorg avseende informationssäkerhetsansvaret för informationshanteringen inom hälso- och sjukvården.
Inspektionen för vård och omsorg, IVO
IVO är tillsynsmyndighet för patientsäkerhet inklusive informationssäkerhet i vården samt journaldokumentation. Grunder i tillsynen finns i Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40) och Socialstyrelsens föreskrifter och allmänna råd om ledningssystem för systematiskt kvalitetsarbete (SOSFS 2011:9).
IVO samverkar med IMY enligt ovan.
Region- och förvaltningsnivå
Revisionen
Region Skånes revisorer har fullmäktiges uppdrag att årligen granska all verksamhet. Revisionens mål är att verka för ändamålsenlig verksamhet, hög effektivitet, god ordning samt korrekt redovisning. Läs mer om revisionen på www.skane.se/revisionen .
Informationssäkerhetsorganisationen
Informationssäkerhetschef ska en gång per år rapportera om händelser och åtgärder av större betydelse till regionstyrelsen. Förvaltningarnas informationssäkerhetssamordnare ska följa upp informationssäkerhetsarbetet inom förvaltningen.
Dataskyddsombudet och förvaltningarnas dataskyddssamordnare ska se till att uppföljningar görs så att personuppgifter behandlas korrekt enligt IMY:s krav.
En hjälp för att följa upp informationssäkerheten och hanteringen av personuppgifter är inrapporterade och sammanställda informationssäkerhetsrelaterade incidenter/avvikelser.
Verksamhetsnivå
Den interna tillsynen – i själva verket den viktigaste - genomförs av den egna verksamheten och är en ständigt pågående process som omfattar
- felanmälan av IT incidenter.
- avvikelserapportering av negativa händelser eller tillbud i vården men också rapportering av förbättringsförslag.
- att i verksamhetsuppföljningen beskriva vilka säkerhetsåtgärder som vidtagits.
-
Granskningar av informationssäkerhet
-
Om ledningssystemet för informationssäkerhet
Samverkan mellan verksamheter inom Region Skåne med hjälp av IT-stöd ökar. Det gör även behovet av samverkan med omvärlden. Hälso- och sjukvården förväntas samverka med privata vårdgivare, kommuner, andra regioner och myndigheter.
Patientdatalagen (2008:355) ger förutsättningar för samverkan, men ställer även krav. I Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40) preciseras kraven. Kraven innebär bland annat ett strukturerat arbete med informationssäkerhet.
Enligt Region Skånes riktlinjer för informationssäkerhet ska ett ledningssystem för informationssäkerhet finnas i Region Skåne som ett instrument för ett strukturerat arbete.
Ledningssystemet för informationssäkerhet utgår ifrån SIS standard Ledningssystem för informationssäkerhet SS-ISO/IEC 27001 samt Riktlinjer för informationssäkerhetsåtgärder SS-ISO/IEC 27002. För förklaringar av termer och begrepp inom området finns en terminologi för informationssäkerhet som SIS har tagit fram.Standarden och terminologin finns tillgänglig på Svenska institutet för standarders (SIS) webbsida.
Ledningssystemet fokuserar på informationshantering med IT-stöd, men det berör också manuell hantering. Ledningssystemet är uppdelat i ett antal områden. De sammanfattar vad som gäller avseende informationssäkerhet i Region Skåne.
Det innehåller också tillämpningsanvisningar, instruktioner, anvisningar och rutiner som konkretiserar krav inom respektive område.
Ledningssystemet för informationssäkerhet är ett levande instrument som utvecklas fortlöpande.