03Ansvar för informationssäkerhet – Informationssäkerhetspolicy

• 
• Skriv ut

Vad är informationssäkerhet?

Information kan förekomma i många former; den kan tryckas eller skrivas på papper, lagras elektroniskt, överföras med post eller med elektroniska hjälpmedel, visas på film eller yttras i en konversation. Informationen kan dock behöva ett godtagbart skydd oavsett vilken form den antar, eller hur den överförs eller lagras.

Inom hälso- och sjukvården måste patientuppgifter finnas tillgängliga där de behövs, och den som använder denna information måste också kunna lita på att den är korrekt. Därför måste det finnas skydd som hindrar att information försvinner och att den ändras oavsiktligt eller av någon obehörig person. Det kan innebära en allvarlig risk för patienten om vårdgivaren förlitar sig på felaktig information om honom eller henne. Informationssäkerhet i hälso- och sjukvården innebär även att obehöriga personer inte ska kunna få tillgång till patientuppgifter.

Ett informationssäkerhetsarbete är således arbetet med att uppnå önskad nivå av riktig, tillgänglig, spårbar samt sekretesskyddad information.

Vad är en informationssäkerhetspolicy?

Informationssäkerhetspolicyn är det övergripande dokument som anger mål och inriktning för samt styr verksamhetens arbete med informationssäkerhet. Informationssäkerhetspolicyn utgör verksamhetens gemensamma plattform för detta arbete.

För att kunna säkra informationen behöver varje verksamhet arbeta med att införa de säkerhetsåtgärder som krävs för att nå ledningens specifika säkerhets- och verksamhetsmål. Säkerhetsåtgärderna kan beskrivas i riktlinjer, processer, rutiner, organisationsstrukturer samt hård- och mjukvarufunktioner.

Alla vårdgivare ska ha en informationssäkerhetspolicy, även de som inte dokumenterar patientuppgifter elektroniskt (1 kap. 2 § Socialstyrelsens föreskrifter [SOSFS 2008:14] om informationshantering och journalföring i hälso- och sjukvården). 

Hur kan en informationssäkerhetspolicy utformas för vårdgivarens specifika verksamhet?

Vårdgivarens informationssäkerhetspolicy bygger på den specifika verksamhetens inriktning och organisation samt identifierade hot och risker. Vårdgivaren godkänner policyn samt ansvarar för att den publiceras och kommuniceras till alla anställda och relevanta externa parter (2 kap. 4 § Socialstyrelsens föreskrifter [2005:12] om ledningssystem för kvalitet och patientsäkerhet i hälso- och sjukvården. Se även SS-ISO/IEC 27002:2005 kap. 5.1.1).

Exempel på hur man kan utforma en informationssäkerhetspolicy finns att hämta i Vervas allmänna råd (VERVAFS 2007:2AR) till föreskrift om statliga myndigheters arbete med elektroniskt informationsutbyte, VERVAFS 2007:2. Informationssäkerhetspolicyn kan vara ett styrande dokument i ett ledningssystem för informationssäkerhet (LIS). Det finns två internationella standarder om informationssäkerhet: ISO/IEC 27001:2006 som kan användas som stöd för att utveckla ett sådant ledningssystem samt SS-ISO/IEC 27002:2005 som anger riktlinjer och allmänna principer för att initiera, införa, bibehålla och förbättra styrningen av informationssäkerheten i en organisation.

Utöver de ovan nämnda standarderna har en specifik standard för hälso- och sjukvården tagits fram när det gäller informationssäkerhet: Hälso- och sjukvårdsinformatik – Ledningssystem för informationssäkerhet i hälso- och sjukvården baserat på ISO/IEC 27002 (ISO 27799:2008). Denna internationella standard specificerar ett antal detaljerade kontroller för att styra hälso- och sjukvårdsrelaterad informationssäkerhet. Den innehåller även goda exempel på riktlinjer för informationssäkerheten inom detta område.

Om vårdgivaren har ett ledningssystem för informationssäkerhet ingår det i ledningssystemet för kvalitet och patientsäkerhet

Vad innebär tillgänglighet, riktighet, sekretess och spårbarhet vid hantering av patientuppgifter?

För att hantera patientuppgifter med god informationssäkerhet krävs ett heltäckande informationssäkerhetsarbete. Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården gäller främst hanteringen av patientuppgifter, men organisationens informationssäkerhetspolicy och arbete med informationssäkerhet måste ändå omfatta hela verksamheten.

Begreppen tillgänglighet, riktighet, sekretess och spårbarhet är centrala i arbetet för att nå god informationssäkerhet. Inom hälso- och sjukvården ställs följande krav på patientuppgifter:

• De ska vara tillgängliga som underlag för viktiga och i många fall tidskritiska beslut. Det säkerställs exempelvis genom avbrotts- och kontinuitetsplaner och stabila IT-system, kompletterat med goda rutiner för säkerhetskopiering. Avbrotts- och kontinuitetsplanerna ska säkerställa att verksamheten kan fortsätta att fungera även om IT-systemen störs eller slutar att fungera.
• Uppgifterna ska vara riktiga, det vill säga att de inte är förvanskade och därmed kan få personalen att fatta fel beslut om vården eller orsaka fel i någon annan vårdrelaterad aktivitet. 
• De ska vara skyddade från obehörig åtkomst. Detta ställer höga krav på att vårdgivaren har rutiner och system som förhindrar olovlig och obehörig åtkomst, utan att minska uppgifternas tillgänglighet.

Uppgifter ska vara spårbara. Vårdgivaren måste ha rutiner och system som tillåter att olovliga och felaktiga aktiviteter kan identifieras samt knytas till enskilda personer. Om det finns bra rutiner för spårbarhet som alla känner till är det färre som medvetet begår sådana handlingar.

Vad kan vårdgivaren tänka på när denne utser ansvarig(a) för informationssäkerhetsarbetet?

Det är viktigt att det finns ett tydligt utpekat ansvar för informationssäkerhetsarbetet samt att arbetet är ändamålsenligt och följer bestämmelserna i 28 § hälso- och sjukvårdslagen (1982:763) om att ledningen ska vara organiserad så att den tillgodoser hög patientsäkerhet, god kvalitet och främjar kostnadseffektivitet. Det är en fördel om personen med detta ansvar har en sådan ställning i organisationen att arbetet med informationssäkerheten verkligen kan utföras effektivt, det vill säga att den ansvariga har möjlighet och befogenhet att fullgöra uppgiften samt att ansvaret är känt och förankrat i verksamheten. Det är även önskvärt att den eller de som ska ansvara för informationssäkerhetsarbetet har en gedigen kompetens inom området.

Vårdgivaren bestämmer hur en verksamhet ska organiseras och bedrivas. Vårdgivaren utgår därför lämpligen utifrån verksamhetens storlek och inriktning för bedömningen av om ansvaret ska läggas på en eller flera personer. Vidare är det vårdgivaren som bestämmer vad en verksamhetschefs arbetsområde ska omfatta. Vårdgivaren är alltså fri att antingen utse särskilda personer som enbart arbetar med informationssäkerhet eller lägga ut uppgiften till en eller flera verksamhetschefer.

Vilka skyldigheter har den som vårdgivaren utser att ansvara för informationssäkerhetsarbetet?

Den eller de som ansvarar för informationssäkerhetsarbetet ska minst en gång om året till vårdgivaren rapportera vilka granskningar, skyddsåtgärder, riskanalyser och förbättringsåtgärder som gjorts under året. Det är lämpligt att den ansvarige samlar in och rapportera de IT-incidenter som har inträffat under året. Formen för rapporteringen får anpassas till verksamhetens utformning och storlek.

Ledningssystemet ska säkerställa att det finns rutiner för att identifiera och analysera riskerna i verksamheten, enligt 4 kap. 5 § Socialstyrelsens föreskrifter (SOSFS 2005:12) om ledningssystem för kvalitet och patientsäkerhet i hälso- och sjukvården. Enligt svensk standard (ISO/IEC 27002:2005) bör riskanalyserna omfatta bedömningar för att identifiera, kvantifiera och prioritera risker, och verksamheten bör även ta ställning till vilken risknivå som kan accepteras (riskacceptans). Med hjälp av riskanalysen kan ledningen sedan besluta om lämpliga åtgärder och prioriteringar. Det kan vara nödvändigt att bedöma risker och välja säkerhetsåtgärder ett antal gånger för att täcka olika delar av organisationen eller enskilda informationssystem.