14Ansvar för informationssäkerhet – Säkerhetskopiering

• 
• Skriv ut

Vad innebär säkerhetskopiering?

Säkerhetskopiering är en metod för att säkerställa att ingen information går förlorad om datorer eller andra informationsbärare går sönder, eller om något annat skulle påverka den lagrade informationen. Vanligtvis sker kopieringen genom att informationen kopieras över till band, men det finns även andra former av tekniska lösningar för detta ändamål.

Säkerhetskopieringen är ett viktigt moment för att säkerställa patientuppgifternas tillgänglighet, vilket är ett av de grundläggande begreppen inom informationssäkerhet.

Vilket ansvar har vårdgivaren när det gäller rutiner för säkerhetskopiering?

Uppgifter i en patientjournal får enligt 3 kap. 14 § patientdatalagen (2008:355) inte utplånas eller göras oläsliga i andra fall än de som är möjliga enligt reglerna för journalförstöring. Vårdgivaren är ansvarig för att patientuppgifterna kan bevaras i minst tio år enligt 3 kap. 17 § patientdatalagen.

Vårdgivarens ska ha rutiner för säkerhetskopiering som anger hur ofta informationen ska kopieras, hur länge kopiorna ska sparas samt hur ofta man ska göra återläsningstester. Det viktiga är att ingen information kan gå förlorad. En tumregel kan vara att ta kopior varje dag, helst nattetid när belastningen på systemen är lägre. Kopiorna måste bevaras under så lång tid som vårdgivaren bedömer att informationen måste kunna återskapas och så lång tid som olika författningar kräver. Återläsningstest gör man för att kontrollera kopiornas kvalitet och för att bedöma hur lång tid det tar att återställa informationen. Tidsfaktorn kan vara viktig beroende på verksamhetens inriktning. Det är lämpligt att åtminstone göra årliga tester, och för särskilt viktig information så ofta som till exempel varje kvartal. Hur ofta återläsningstester ska göras styrs lämpligen av resultaten från återkommande riskanalyser enligt 2 kap. 3 § Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården.

Vad kan rutinerna för säkerhetskopiering innefatta?

I ”Riktlinjer för styrning av informationssäkerhet (ISO/IEC 27002:2005) räknas följande punkter upp som lämpliga aktiviteter att genomföra vid säkerhetskopiering:

• Ta fram korrekta och fullständiga förteckningar över säkerhetskopior och dokumenterade återställningsrutiner.
• Anpassa säkerhetskopieringens omfattning och frekvens till organisationens krav, säkerhetskraven på den berörda informationen och hur kritisk informationen är för organisationens fortsatta drift.
• Förvara den säkerhetskopierade informationen på tillräckligt avstånd från det ordinarie driftsstället, så att båda inte skadas om det exempelvis skulle börja brinna på det ordinarie driftsstället.
• Ge den säkerhetskopierade informationen ett lämpligt fysiskt skydd och miljöskydd som stämmer med den gällande standarden på det ordinarie driftstället. Platsen där säkerhetskopiorna förvaras bör skyddas på samma sätt som det ordinarie driftstället.
• Regelbundet testa medierna för säkerhetskopior för att säkerställa att de är pålitliga i en akut situation.
• Regelbundet kontrollera och testa återställningsrutinerna för att säkerställa att de är verkningsfulla och att de kan utföras inom den tid som driftrutinerna anger för återhämtning.
• Skydda kopiorna genom kryptering i situationer där sekretessen är särskilt viktig.

Hur ska säkerhetskopiorna förvaras?

Patientuppgifter lagras vanligtvis i databaser och i fysiska servrar som är placerade i datorhallar eller motsvarande, beroende på verksamhetens storlek och omfattning. För mindre vårdgivare kan det röra sig om en vanlig dator som är placerad i anslutning till mottagningen. De säkerhetskopior som skapas enligt rutinerna som nämns i 2 kap. 16 § Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården ska inte förvaras tillsammans med originalinformationen, som vanligtvis finns i en server. Bestämmelsen innebär att säkerhetskopiorna inte ska förvaras i samma lokal utan flyttas till någon annan lämplig förvaring. Denna förvaring ska ha ett lämpligt skydd mot brand, vatten, obehörig åtkomst och annat som kan förstöra eller förändra kopiorna (ISO/IEC 27002:2005).