Innehåll
2 kap. 4 § SOSFS 2008:14
En vårdgivares tillämpning av en svensk standard för informationssäkerhet får inte ersätta dennes skyldighet att uppfylla kraven i dessa föreskrifter.
Att införa en standard i verksamheten kan vara en bra arbetsmetod för att säkerställa informationssäkerhetskraven. Svensk standard för informationssäkerhet är SS-ISO/IEC 27001:2006 som tillhandahåller en modell för ledningssystem för informationssäkerhet, och SS-ISO/IEC 27002:2005 som anger riktlinjer och allmänna principer för att initiera, införa, bibehålla och förbättra styrningen av informationssäkerheten i en organisation. Om vårdgivaren använder sig av en standard som modell för informationssäkerhetsarbetet kan den sedan användas som underlag för interna och externa uppföljningar av om rutinerna i verksamheten uppfyller säkerhetskraven.
Utöver de nämnda standarderna har en specifik standard för informationssäkerhet inom hälso- och sjukvården tagits fram: Hälso- och sjukvårdsinformatik – Ledningssystem för informationssäkerhet i hälso- och sjukvården baserat på ISO/IEC 27002 (ISO 27799:2008). Denna internationella standard specificerar ett antal detaljerade kontroller för att styra hälso- och sjukvårdsrelaterad informationssäkerhet. Den innehåller även goda exempel på riktlinjer för informationssäkerhet inom detta område.
2 kap. 4 § SOSFS 2008:14
En vårdgivares tillämpning av en svensk standard för informationssäkerhet får inte ersätta dennes skyldighet att uppfylla kraven i dessa föreskrifter.
Alla vårdgivare måste uppfylla kraven i föreskrifterna, även om de använder en standard i verksamheten.