IT-sikkerhedsvejledning for sygehuse

Størrelse: px
Starte visningen fra side:

Download "IT-sikkerhedsvejledning for sygehuse"

Transkript

1 IT-sikkerhedsvejledning for sygehuse København, 17. juli 2002

2 INDLEDENDE DEL Forfatter: Sundhedsstyrelsen Udgiver: Sundhedsstyrelsen Ansvarlig institution: Sundhedsstyrelsen Copyright: Sundhedsstyrelsen Tryk: Buchs Grafiske A/S, Randers Distribution: J.H. Schultz Information A/S Emneord: Informationssikkerhed; Datasikkerhed; IT-sikkerhedspolitik; Fortrolighed; Sporbarhed; Driftssikkerhed; Dataintegritet; Elektronisk Patientjournal; Autentifikation; Kryptering Sprog: Dansk Pris: 0,- dog betales ekspeditionsgebyr URL: Version: 1.0 Versionsdato: Format: pdf-fil Elektronisk ISBN: Den trykte versions ISBN: For yderligere oplysninger rettes henvendelse til: Sundhedsstyrelsen Islands Brygge 67 Postboks København S Tlf Publikationen kan hentes elektronisk på eller bestilles trykt hos: J. H. Schultz Information A/S, Albertslund, tlf , Side 2

3 INDLEDENDE DEL Indholdsfortegnelse 1 INDLEDENDE DEL BAGGRUND Grundlag Den aktuelle situation efterår FORMÅL INDHOLD OG AFGRÆNSNINGER MÅLGRUPPER LÆSEVEJLEDNING INFORMATIV DEL IT-SIKKERHED HELBREDSOPLYSNINGER MV BEHANDLING AF DATA PERSONDATA OG ANONYMISERING/PSEUDONYMISERING DATABASE IT-SIKKERHEDENS BESTANDDELE LOVFASTSATTE KRAV TIL SIKKERHED TRUSLER MOD IT-SIKKERHEDEN SIKKERHEDSREVISION STANDARDISERING OG CERTIFICERING VEJLEDENDE DEL ORGANISATION Risikoanalyse IT-sikkerhedspolitik IT-sikkerhedsorganisation Ansvarsplacering IT-sikkerhedsforskrifter Administration af brugerautorisering Uddannelse Kontrol med sikkerheden Trusler og risici Andre sikkerhedsrelaterede temaer TEKNIK Adgangsbegrænsning Logning af brugeradfærd IT-infrastrukturen EPJ sammenlignet med papirbaseret journal Udveksling af personhenførbare informationer Personlig identifikation Sammenkobling af forskellige IT-systemer Sundhedsportaler Hjemmearbejdspladser Fysisk og driftmæssig sikring af edb-materiel OVERSIGT OVER ANVISNINGER ORDLISTE REFERENCER Side 3

4 INDLEDENDE DEL Side 4

5 INDLEDENDE DEL 1 INDLEDENDE DEL IT er ved at vinde indpas på de danske sygehuse. Især indførelsen af EPJ (Elektronisk Patientjournal) er til debat. Der bliver naturligt nok fokuseret meget på funktionaliteten i IT-systemerne, men Sundhedsstyrelsen har også de seneste år fået en række forespørgsler om, hvorledes man skal håndtere IT-sikkerheden. Denne vejledning indeholder Sundhedsstyrelsens anvisninger på, hvorledes lovgivningens krav på området opfyldes, og hvorledes der i øvrigt kan opretholdes en passende sikkerhed omkring den daglige brug af IT på de danske sygehuse. Desuden beskrives dele af et tilgrænsende emneområde vedr. håndtering af patienters samtykke til videregivelse af information. Denne vejledning er en revision af den oprindelige vejledning af Ændringerne er af redaktionel karakter, bl.a. er der flere henvisninger til lovgivning mv. 1.1 Baggrund Med præsentationen i december 1999 af Sundhedsministeriets National strategi for IT i sygehusvæsenet blev der afstukket en ramme for samordnet udvikling af sygehusenes IT-anvendelse i de nærmest kommende år. Strategien sætter først og fremmest fokus på koordinering af den hastigt voksende udbredelse af elektroniske patientjournaler (EPJ) samt på den øgede anvendelse af elektronisk informationsudveksling mellem sundhedssektorens parter. Desuden omfatter strategien en række mere generelle forhold, hvis betydning kommer til at fremstå i ændret form som følge af den ny teknologi. Herunder bl.a. organisation, uddannelse, kvalitetssikring og sikkerhed. Sikkerhed har altid haft stor betydning for den information, der anvendes ved sygehusenes patientbehandling: sikkerhed for, at korrekte og fuldstændige patientoplysninger er til rådighed på de rette steder og tidspunkter for de personer, der skal bruge dem sikkerhed for, at oplysningerne ikke bringes til uvedkommendes kendskab. Emnet har imidlertid fået styrket aktualitet, fordi der knytter sig helt anderledes sikkerhedsproblemer til elektronisk informationsbehandling, end der gør til papirbaseret. I strategien tages der højde for dette forhold ved udpegning af to initiativer: Initiativ 4G. Udredningsarbejde vedrørende juridiske sikkerhedsaspekter. En juridisk belysning af lovgivningen bag den del af sikkerhedsforholdene omkring sygehusenes IT-anvendelse, der især vedrører fortrolighed, sårbarhed og informationskvalitet af patientoplysninger. Som resultat heraf er af en arbejdsgruppe under Sundhedsministeriet udarbejdet en Redegørelse om patientrettigheder i forbindelse med indførelse af elektroniske patientjournaler (EPJ) m.v.. Denne redegørelse er indgået som en del af det baggrundsmateriale, nærværende vejledning er baseret på. Side 5

6 INDLEDENDE DEL Initiativ 4H. Vejledning vedrørende tekniske og organisatoriske sikkerhedsløsninger. Udarbejdelse af en vejledning med praktisk orienterede anbefalinger vedrørende tekniske og organisatoriske sikkerhedsløsninger ved brug af EPJ og elektronisk kommunikation af patientdata. Nærværende vejledning er udarbejdet i henhold til initiativ 4H af Sundhedsstyrelsen i samarbejde med Carl Bro, IT & Telekommunikation Grundlag Denne vejledning bygger bl.a. på en foranalyse med en informationsindsamling, der har omfattet en litteratursøgning, der har givet omkring 120 referencer (bøger og web-sider) en interviewrunde på sygehusene, hvor interviewgruppen, der bestod af 8 personer, var bredt sammensat, så de relevante interesseområder som patient, sygehusejer, IT-professionelle og det sundhedsfaglige personale på flere niveauer samt flere geografiske områder af Danmark var repræsenteret. et leverandørspørgeskema, hvor 9 ud af 16 leverandører af IT-systemer til danske sygehuse har besvaret en række spørgsmål vedr. deres systemer. Fra litteratursøgningen kan fremhæves følgende referencer, som det strategiske og det standardiseringsmæssige grundlag især hviler på: National strategi for IT i sygehusvæsenet (se ref. 1) Norm for edb-sikkerhed, DS og DS (se ref. 2) Code of practice for information security management, ISO/IEC (se ref. 3) og BS :2000 (se ref. 4). I afsnit 2.7 gennemgås det lovgivningsmæssige grundlag Den aktuelle situation efterår 2001 Det IT-sikkerhedsmæssige miljø på de fleste sygehuse kan karakteriseres ved: Personalegrupperne - i IT-mæssig forstand brugergrupperne - er meget forskellige såvel mht. arbejdsopgaver som mht. brugen af IT og adgang til data, herunder patientdata Der er løbende en forholdsvis høj udskiftning af personale samt brug af vikarer mv. i de store brugergrupper Historisk har sygehusene ikke en tradition for intensiv brug af IT til kliniske formål. Dette betyder bl.a., at brugernes IT-uddannelse og -færdigheder er på meget forskelligt og uspecifikt niveau Forholdet til IT-leverandører på sygehusene er generelt således, at der ikke er tale om en eneansvarlig hovedleverandør, men derimod mange leverandører, der hver har et ansvar for en delopgave / et delområde. Hovedansvaret for IT-miljøet ligger således hos sygehusene selv Elektronisk kommunikation med omverdenen sker dels via Internet-opkobling (generel kommunikation med samt adgang til www mv.) og dels via målrettede kommunikationssystemer, fx det grønne system Side 6

7 INDLEDENDE DEL Konkrete, detaljerede retningslinier for dataorganisering og adgang til data håndteres typisk af IT-afdelingen på det enkelte sygehus Der er ikke i dag specificeret eller generelt indarbejdet procedurer omkring datasikkerheds-kvalitetsvurdering eller sikkerheds-audits De fysiske adgangsforhold på sygehusene er karakteriseret ved generelt åben adgang for personer udefra, fx patienter og besøgende. Svarene på de spørgeskemaer, der er udsendt til 16 danske leverandører af IT-systemer til sygehusene, har givet supplerende baggrundsinformation om, hvilke tekniske muligheder systemerne i dag tilbyder mht. IT-sikkerhed, samt hvilke muligheder der kan forventes at være til rådighed i de kommende år. 1.2 Formål IT-sikkerhedsvejledningens primære sigte er at vejlede om, hvorledes sygehusene kan opfylde lovkravene vedrørende datasikkerhed og i øvrigt opnå en tilfredsstillende sikkerhed omkring deres IT-systemers patientdata. Dens sekundære formål er at give en kort introduktion til de særlige problemer, der knytter sig til opbevaring og behandling af data på elektronisk form. 1.3 Indhold og afgrænsninger LPR, cancer dødsårsags - register - etc. og EPJ Ekstern EPJ PAS Laboratorie system Booking system Produktionsstøttesystemer Figur 1 Vejledningens afgrænsning Denne vejledning retter sig mod alle danske sygehuse, altså også privathospitaler. De ITsikkerhedsmæssige problemstillinger i primærsektoren er ikke omfattet, men nogle af vejledningens anvisninger vil sandsynligvis tillige være relevante for denne sektor. Side 7

8 INDLEDENDE DEL Vejledningen omfatter ikke alle IT-systemer på sygehuse, men kun de systemer, der indeholder patientdata. Økonomisystemer, personaleadministrative systemer og andre rent administrative systemer er derfor ikke omfattet. Der er taget udgangspunkt i sikkerheden omkring de elektroniske patientjournaler, hvilket medfører, at der ofte er valgt en sprogbrug, der primært relaterer til EPJ. Imidlertid gælder vejledningen fuldt ud andre systemer, der indeholder patientdata fx laboratoriesystemer, patientadministrative systemer og de kliniske databaser. Håndtering af data vedr. sygehuses personale berøres kun, hvor udtræk af oplysninger vedr. patientbehandling fx kan bruges til måling eller vurdering af medarbejderes præstationer. 1.4 Målgrupper Målgrupperne for nærværende vejledning er: Sygehusejerne, herunder sundhedsforvaltningerne Sygehusledelserne Sygehusenes sikkerhedsansvarlige Sygehusenes IT-personale Sundhedspersoner m.fl. på sygehuse Sygehusenes administrative personale IT-leverandørerne. Patienterne bliver i tiltagende grad brugere af informationen, men de opfattes ikke som en målgruppe for vejledningen, da de ikke har del i ansvaret for opretholdelse af informationssikkerheden på sygehusene. 1.5 Læsevejledning Denne vejledning er tilstræbt meget konkret for at gøre den mest mulig egnet som grundlag for sygehuses tiltag for IT-sikkerhed. Vejledningen er struktureret med to hoveddele, en informativ del og en vejledende del. Den informative del sætter scenen ved at gennemgå de vigtigste termer, de bagvedliggende love, trusler og risici. Den vejledende del gennemgår en række typiske problemstillinger og giver anvisninger på, hvorledes disse IT-sikkerhedsmæssigt bør håndteres. Anvisningerne er kategoriseret som organisatoriske eller tekniske, en inddeling, som i enkelte tilfælde ikke kan gøres entydig. Alle anvisninger er gentaget i et selvstændigt kapitel for at lette overblikket over de tiltag, der skal tages stilling til, men det er vigtigt, at anvisningerne forstås ud fra den ledsagende tekst, hvor hver enkelt anvisning er beskrevet i sammenhæng. Side 8

9 INDLEDENDE DEL I anvisningerne er ordene skal og bør brugt i følgende betydning: skal angiver et retligt krav, en direkte afledning deraf eller et efter Sundhedsstyrelsens vurdering nødvendigt sikkerhedsniveau. bør angiver en bestemt fremgangsmåde, som giver et sikkerhedsniveau, der anbefales af Sundhedsstyrelsen. Data angiver et lavt abstraktionsniveau, typisk selve indholdet i et databasefelt. Vha. data dannes information, som er noget, man forstår, fx indholdet i et databasefelt kombineret med viden om, hvad feltet skal beskrive. Information og oplysning er synonymer. Se endvidere ordlisten vedr. brugen af ordene data, information og oplysning. Side 9

10 INFORMATIV DEL 2 INFORMATIV DEL 2.1 IT-sikkerhed Sikkerhed i forbindelse med informationer vedrører bl.a. de foranstaltninger, der skal til for at opretholde den nødvendige fortrolighed, som ikke mindst i sundhedsvæsenet er vigtig at opretholde. Begrebet informationssikkerhed omfatter imidlertid fire selvstændige dimensioner, nemlig fortrolighed, tilgængelighed til information, informationskvalitet (integritet) og sporbarhed af de foretagne transaktioner. Fortrolighed Data om legitime brugere Adgangskontrol Sporbarhed Logning Systembrug Uafviselighed (Dataintegritet) Sikkerhedsdimensioner Tilgængelighed Arbejdspladser (antal og placering) Driftsikkerhed Svartider Brugerflade Integration Funktionalitet Informationskvalitet Præsentation Indhold (integritet, validitet) Figur 2 De fire dimensioner i informationssikkerhed Såfremt man begrænser sig til at anskue sikkerheden angående informationer, der findes i elektroniske informationssystemer, taler man om IT-sikkerhed, der således er underbegreb til informationssikkerhed. Selv om de grundlæggende sikkerhedsbehov er de samme for papirbaserede og elektroniske systemer, er de praktiske foranstaltninger til opretholdelse af et ønsket sikkerhedsniveau forskellige. Der er derfor god mening i at beskæftige sig med IT-sikkerhed alene. Principielt er der forskel i abstraktionsniveau mellem data og information, jf. slutningen af afsnit 1.5, men da der egentlig ikke er forskel på at varetage sikkerheden vedr. elektronisk information og vedr. de data, som informationen bygger på, benyttes i denne vejledning udtrykket IT-sikkerhed som hovedregel og med mindre andet er nævnt synonymt med datasikkerhed. IT-sikkerhed dækker altså de fire sikkerhedsdimensioner vedr. behandling af elektronisk registrerede helbredsoplysninger. Side 10

11 INFORMATIV DEL 2.2 Helbredsoplysninger mv. Efter Patientretsstillingsloven omfatter helbredsoplysninger mv. alle fortrolige oplysninger vedr. en patient, dvs. såvel oplysninger om helbredsforhold, øvrige rent private forhold og andre fortrolige oplysninger (herunder oplysning om, hvor der er registreret oplysninger om en persons helbredsforhold). 2.3 Behandling af data I sammenhæng med IT-sikkerhed anvendes betegnelsen behandling (af data) i den videst tænkelige betydning - ligesom i Persondataloven. Ved behandling forstås således ikke blot, at data fx registreres, ændres, slettes eller kopieres, men tillige at de fx læses eller flyttes (videregives). Har man skaffet sig adgang til data, har man derfor også behandlet dem. Udtrykket behandling (af data), som henviser til Persondatalovens definition, må ikke forveksles med (patient-)behandling, som henviser til sundhedsfaglige ydelser i bred forstand, fx undersøgelse, medicinering, operation, pleje eller rehabilitering. I vejledningen fremgår ordets betydning af sammenhængen eller ved brugen af udtrykket patientbehandling. 2.4 Persondata og anonymisering/pseudonymisering De data, på hvis behandling denne IT-vejledning tager sigte, er data vedr. personoplysninger, som i Persondatalovens betydning er defineret således: Enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede). Ved udtrykket identificerbar person skal forstås en person, der direkte eller indirekte kan identificeres, bl.a. ved et identifikationsnummer eller et eller flere elementer, der er særlige for en given persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet. Omfattet af begrebet personoplysninger er herefter oplysninger, som kan henføres til en fysisk person, selv om dette forudsætter kendskab til personnummer, registreringsnummer eller lignende særlige identifikationer som fx løbenummer. Omfattet vil ligeledes bl.a. være oplysninger, som foreligger i form af billede, personens stemme, fingeraftryk eller genetiske kendetegn. Det er uden betydning, hvorvidt identifikationsoplysningen er alment kendt eller umiddelbart tilgængelig. Også de tilfælde, hvor det kun for den indviede vil være muligt at forstå, hvem en oplysning vedrører, er omfattet af definitionen. Det er med andre ord tilstrækkeligt, at der i forbindelse med behandlingen er etableret en ordning med et løbenummer eller lignende, fx medlemsnummer eller journalnummer. Er fx navn eller adresse erstattet af en kode, der kan føres tilbage til den oprindelige individuelle personoplysning, vil der stadigvæk være tale om en personoplysning. Krypterede oplysninger er dermed også omfattet, sålænge nogen kan gøre oplysningerne læsbare og dermed identificere de personer, som oplysningerne vedrører. Oplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke længere kan identificeres, er ikke omfattet af definitionen. Ved afgørelsen af, om en person er identificerbar, skal alle de hjælpemidler, der med rimelighed kan tænkes bragt i anvendelse for at identificere den pågældende enten af den dataansvarlige eller af enhver anden person, tages i betragtning. Side 11

12 INFORMATIV DEL Anonymisering foreligger således først, når det ikke på nogen måde for nogen som helst er muligt at henføre data til en bestemt person. Bemærk, at dette i nogle tilfælde er et mere vidtgående krav end fjernelse af navn og CPR-nummer. Pseudonymisering vil sige, at almindelig personidentificerende information som fx navn og CPR-nummer erstattes med et løbenummer, en kode, krypteres eller lignende, hvilket for den indviede relativt let tillader identifikation af den pågældende person. Med denne type midler opnås altså ikke anonymisering i Persondatalovens forstand. 2.5 Database Betegnelsen databaser er, med mindre andet eksplicit er nævnt, benyttet om de databaser, som hører til de systemer, der er nævnt i afgrænsningen i afsnit 1.3. Som eksempler på sådanne databaser (eller systemer med databaser) kan nævnes: EPJ PAS Klinisk kvalitetsdatabase Laboratoriesystem, incl. blodbank Bookingsystem. 2.6 IT-sikkerhedens bestanddele IT-sikkerheden, som ønskes opretholdt omkring patienters helbredsoplysninger, angår grundlæggende datas tilgængelighed, fortrolighed, integritet og sporbarhed af datatransaktioner. Betydningen af disse begreber kan illustreres ved, at de omfatter sikkerheden for tilgængelighed fortrolighed integritet sporbarhed at en nærmere angivet gruppe af sundhedspersoner med flere (herunder lægesekretærer, socialrådgivere, og andre, der har fået uddelegeret arbejdsopgaver vedr. patienter) på rette tid og sted har adgang til de oplysninger, som patienten har givet samtykke til, at de må bruge at andre, som ikke bør have adgang til at behandle disse oplysninger, forhindres heri at data er, hvad de giver sig ud for at være, det vil sige, at de ikke er ændret (evt. slettet), uden at dette klart fremgår at det kan dokumenteres, hvem der har indført, set, ændret, slettet eller på anden måde behandlet data Disse aspekter af IT-sikkerhed rummer de samme indbyrdes modsætningsforhold, som kendes fra sygehusenes daglige behandling og pleje af patienter. Den skal være effektiv (kræver tilgængelighed til data) med minimal patientrisiko (kræver integritet af data) og skal samtidig gennemføres med respekt for patientens privatsfære (kræver fortrolighed omkring data), og reglerne for omgang med data skal kunne håndhæves (kræver sporbarhed). Side 12

13 INFORMATIV DEL Der er et modsætningsforhold mellem krav om tilgængelighed til information og opretholdelse af fortrolighed. Det er generelt således, at højere grader af fortrolighed giver mindre tilgængelighed, men dette forhold påvirkes af det pågældende informationssystems teknologi. Jo bedre udviklet denne er, jo bedre tilgængelighed kan man få samtidig med opretholdelsen af den krævede fortrolighed. Således er der god grund til at antage, at hensynene til både fortrolighed og tilgængelighed tilgodeses bedre i et EPJ-system end i et papirbaseret journalsystem. Opretholdelse af datas integritet berøres ikke af en samtidig opretholdelse af fortrolighed. Heller ikke tilgængelighed udgør i sig selv nogen trussel mod datas integritet, når blot regler, procedurer og tekniske forhold er korrekt udformet, og når brugerne af data besidder de fornødne viden- og holdningsmæssige forudsætninger for at kunne behandle data korrekt. IT-sikkerhed beror således på et samspil mellem organisatoriske, tekniske og uddannelsesmæssige forhold. 2.7 Lovfastsatte krav til sikkerhed Det lovgivningsmæssige grundlag for krav til sygehusenes IT-sikkerhed, for så vidt angår datasikkerheden omkring patienters helbreds- og øvrige personoplysninger, udgøres af Patientretsstillingsloven (se ref. 6), Persondataloven (se ref. 7) og Lægeloven (se ref. 8). Dette grundlag er yderligere konkretiseret ved følgende bekendtgørelser, cirkulærer og vejledninger: Sundhedsstyrelsens cirkulære om lægers pligt til at føre ordnede optegnelser (journalføring) (se ref. 9) Sundhedsstyrelsens vejledning om lægers journalføring (se ref. 10) Sundhedsstyrelsens vejledning om information og samtykke og om videregivelse af helbredsoplysninger m.v. (se ref. 11) Justitsministeriets bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (se ref. 12) Datatilsynets vejledning om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (se ref. 13). Desuden foreligger en sammenfatning af de i lovgrundlaget indeholdte regler med konsekvens for patienternes rettigheder i form af Redegørelse om patientrettigheder i forbindelse med indførelse af Elektroniske Patient Journaler (EPJ) (se ref. 14). Sundhedsministeriet har ultimo maj 2001 anmodet sygehusmyndighederne om, at redegørelsens (initiativ 4G, se afsnit 1.1) anvisninger lægges til grund i forbindelse med indførelse af elektroniske patientjournaler mv. 2.8 Trusler mod IT-sikkerheden Risikoanalyser anvendes til at undersøge og vurdere de trusler, som en virksomheds systemer er udsat for, så man på grundlag heraf kan bestemme de krav, der skal opfyldes for at beskytte dem og de indeholdte data. Dansk Standard har udarbejdet standarden Risikoanalyse: Kvalitetskrav og terminologi, DS 85 (se ref. 5), hvori det beskrives, hvorledes en detaljeret risikoanalyse kan gennemføres. Side 13

14 INFORMATIV DEL I afsnit bliver risikoanalyser nøjere omtalt, men for at sætte scenen gives her en række eksempler på tilskyndelser til misbrug og andre trusler, som elektroniske informationssystemer på sygehuse er udsat for: Hacking Elektronisk industrispionage Afpresningsforsøg Videnskabelig uredelighed Fejlregistrering og utilsigtede hændelser Jagten på den gode historie Ildsvåde og vandskade Elektriske forstyrrelser Hærværk I afsnit bliver de her nævnte trusler nærmere omtalt, og der gives anvisninger på imødegåelse. 2.9 Sikkerhedsrevision Sikkerhedsrevision vil sige en kritisk gennemgang af IT-sårbarheder og planlagte og gennemførte sikkerhedsforanstaltninger, incl. disses funktion. Den udføres af IT-revisorer og resulterer i en revisionsrapport, der vurderer, om det ønskede niveau for IT-sikkerhed er nået Standardisering og certificering Den generelle udbredelse af Internet har betydet, at der de senere år er kommet yderligere fokus på sikkerheden omkring anvendelsen af IT. Dette har fx ført til, at standardiseringsorganerne har udarbejdet standarder/normer for dette område bl.a. med henblik på, at virksomheder kan blive certificeret efter disse standarder i lighed med kvalitetscertificering i henhold til ISO På IT-sikkerhedsområdet findes i dag den internationale standard Informationsteknologi Regelsæt for styring af informationssikkerhed, ISO (se ref. 3), der for praktiske formål er identisk med forløberen, den britiske standard BS 7799 (se ref. 4). Endvidere findes den danske Norm for edb-sikkerhed, DS 484 (se ref. 2), der er delt i to afsnit, nemlig del 1: Basale krav og del 2: Skærpede krav. DS 484 tager ligeledes udgangspunkt i BS Som ved kvalitetssikring efter ISO 9000 fokuserer ISO på, at sikkerheden reelt lever op til de krav, som virksomheden selv har sat sig. Disse krav skal være baseret på en reel vurdering af det sikkerhedsbehov, som omverdenen forventer. De valgte sikkerhedstiltag skal svare til dette behov, og de skal fungere effektivt i dagligdagen. Sikkerhedsstyringssystemet minder på mange måder om et kvalitetsstyringssystem, mht. indførelse, dokumentation, dokumentstyring og registreringer. Grundlaget er blot et andet, nemlig en risikoanalyse og valg af sikkerhedsniveau. Side 14

15 INFORMATIV DEL De detaljerede krav til opfyldelse af ISO omfatter fastlæggelse af sikkerhedspolitik, sikkerhedsorganisation, sikkerhedsklassifikation af områder og værdier, sikkerhed i forbindelse med personale, fysisk og bygningsmæssig sikkerhed, styring af kommunikation og drift, styring af adgang, systemudvikling og vedligeholdelse, styring af nedbrudsrisiko samt overensstemmelse mellem praksis og gældende regler. Som det ses af denne liste omfatter ISO således en række elementer, der er relevante i forbindelse med IT-sikkerhed på sygehuse. Standarden kan derfor benyttes som checkliste, også selv om sygehuset ikke umiddelbart har planer om at blive sikkerhedscertificeret. Certificering i henhold til DS 484 eller BS 7799 standarderne er en omfattende proces, som organisationen ofte ikke selv har ressourcer til at gennemføre. Selv om certificering ikke er målet, så skal organisationen igennem mange af de samme overvejelser i forbindelse med indførelser/udvidelse af nye IT-systemer dels fordi de giver nye arbejdsrutiner og dels fordi de rummer nye risici. Side 15

16 3 VEJLEDENDE DEL Lovgivningen bag sikkerhedskravene til behandling af patientoplysninger er: for det første Patientretsstillingslovens (se ref. 6) krav om, at sundhedspersoners videregivelse af helbredsoplysninger som hovedregel kun må finde sted efter patientens forudgående samtykke for det andet Persondatalovens (se ref. 7) fastlæggelse af registreredes rettigheder samt krav om sikkerhedsforanstaltninger i forbindelse med behandling af personoplysninger. Disse lovkrav tager primært sigte på at beskytte patienters ret til fortrolighed og aktindsigt ved behandling af oplysninger om deres helbredsmæssige og øvrige private forhold. Patientretsstillingslovens krav er teknologiuafhængige, dvs. de skal opfyldes, uanset hvilken teknologi der anvendes ved behandling af oplysningerne. Sundhedsministeriets arbejdsgruppe vedrørende juridiske sikkerhedsaspekter har i sin redegørelse især belyst problemstillingerne omkring følgende forhold i relation til indførelse af EPJ: patienters krav på, at sundhedspersonerne tager tavshed om patienters helbredsforhold og andre private forhold i agt patienters krav på, at reglerne om videregivelse af helbredsoplysninger efterleves (samtykke til videregivelse m.v.) patienters ret til underretning om, at der indsamles oplysninger om vedkommende patienters ret til berigtigelse af fejl patienters ret til aktindsigt (indsigtsret). For samtlige forhold gælder, at opfyldelsen af patienternes rettigheder stiller funktionelle krav til EPJ-systemerne. Det er derimod kun de to førstnævnte forhold, der rummer egentlige ITsikkerhedsmæssige problemstillinger, og hvis varetagelse derfor vil blive omtalt i nærværende vejledning. De sikkerhedstiltag, som sygehusene bør forholde sig til, kan kategoriseres i organisatoriske og tekniske, hvilket de følgende hovedafsnit afspejler. Der vil naturligvis altid være en række grænsetilfælde, som fx funktionalitet i et IT-systems brugergrænseflade. I de fleste af disse tvivlstilfælde er emnet behandlet som organisatorisk. På strategisk niveau er der følgende opgaver vedr. IT-sikkerheden: 1. Beslutning om: målsætning for IT-sikkerheden metoder og ressourcer til opnåelse af målsætningen (incl. vægtning mellem ressourceforbrug til organisatoriske opgaver, fx holdningsbearbejdende undervisning) og til tekniske opgaver (fx køb og drift af hardware og software) placering af beføjelser og ansvar. 2. Opfølgning på trufne beslutningers gennemførelse. 3. Sikring af den nødvendige sikkerhedsdokumentation I Figur 3 ses princippet for sikkerhedsdokumentation. Side 16

17 IT-sikkerhedspolitik Strategisk niveau (de 4 sikkerhedsdimensioner) Retningslinier Retningslinier Retningslinier Taktisk niveau (evt.) Instrukser/procedurer Instrukser/procedurer Instrukser/procedurer Instrukser/procedurer Instrukser/procedurer Instrukser Operationelt niveau (risikostyring) Figur 3, Sikkerhedsdokumentation 3.1 Organisation Som det har været tilfældet på næsten alle arbejdspladser, bliver forskellige former for IT-systemer også indført på de danske sygehuse. Det gælder både administrative systemer til personaleadministration og bogholderi og det, man kunne kalde produktionssystemer, altså systemer som fx patientovervågning bookingsystemer (operationer/undersøgelser) elektroniske patientjournaler (EPJ) patientadministrative systemer (PAS) kliniske databaser laboratorieprøver blodbank billedbehandlings- og billedinformationssystemer. Indførelse af sådanne systemer berører sygehusets personale i varierende grad. For sundhedspersonalet betyder det i stadig højere grad daglig omgang med et eller flere af de nævnte systemer. Brugergrænsefladerne til de forskellige systemer varierer ofte meget, og det stiller i mange tilfælde krav til personalets forståelse af IT-systemer generelt. Mange sundhedsmedarbejdere har i dag ikke anden erfaring med IT end fra arbejdspladsen, hvor IT-systemer er hjælpeværktøjer til de daglige arbejdsopgaver. Arbejdsfordelingen på mange afdelinger er fx organiseret således, at lægesekretærer tager sig af alle IT-relaterede opgaver, mens lægen intet kendskab har til systemet. Side 17

18 I en situation med stor variation i brugernes IT-erfaringsniveau på sygehusene stilles der store krav til organiseringen af det arbejde, der udføres vha. IT-systemer. Dette gælder i særlig grad sikkerhedsforholdene omkring brugen af IT-systemer. De fleste sikkerhedsforanstaltninger vil af slutbrugere kunne opleves som barrierer i det daglige arbejde, og der kræves derfor et stort ledelsesengagement for at motivere brugere, fastlægge og fastholde passende sikkerhedsniveauer. Uanset om IT-systemernes drift varetages helt eller delvis af en ekstern part, stilles der samme krav til IT-sikkerheden Risikoanalyse De overordnede retningslinier for IT-sikkerheden på et sygehus kan reelt først formuleres, når der er gennemført en risikoanalyse, hvor følgende er belyst: Hvilke trusler kan sygehuset blive udsat for? Hvor stor er sårbarheden? Hvad er de mulige konsekvenser? Hvilke muligheder er der for at sikre den nuværende og den fremtidige informationsbehandling? Hvilke lovbestemte (evt. andre) forpligtelser skal opfyldes? Formålet med en risikoanalyse er bl.a. at give et kvalificeret grundlag til at allokere ressourcer de rigtige steder. Risikoanalysen skal identificere, hvilke trusler de forskellige IT-systemer er udsat for. Disse trusler kan være tilfældige, forsætlige og uforsætlige hændelser, som fx kan føre til: korruption, dvs. uautoriseret ændring af data tab af data eller andre ressourcer uautoriseret afsløring af data afbrydelse af driftsafvikling, herunder netværkskommunikation. Truslerne udgøres af hændelser, der kan inddeles i følgende hovedkategorier: Overlagt en bevidst handling, der er udført af en person. Overlagte, ondsindede handlinger vil ofte være kriminelle handlinger som fx ændring eller tyveri af helbredsoplysninger Utilsigtet en handling, der er udført af en person, og som forårsager en utilsigtet skade. Utilsigtede handlinger kan fx skyldes dårlige brugergrænseflader, eller at nogen bærer sig tåbeligt eller uovervejet ad Systemfejl en hændelse, der ikke direkte skyldes en menneskelig handling eller naturkatastrofe. Systemfejl kan fx skyldes programfejl, systemnedbrud eller strømafbrydelse Naturskabt en hændelse, som skyldes forhold i omgivelserne, og som mennesket kun har meget begrænset indflydelse på, fx naturkatastrofer. Flere af ovenstående trusler kan være interne såvel som eksterne trusler. Side 18

19 I afsnit 2.8 er nævnt nogle eksempler på IT-sikkerhedsmæssige trusler mod et sygehus. Dette er reelle trusler, som bør imødegås, så deres skadevirkning minimeres. Når de mulige trusler er identificeret, skal konsekvensen af eventuelle hændelser beskrives og vurderes. Konsekvensen kan kategoriseres således: Katastrofal større tab af kritisk informations integritet, tilgængelighed eller fortrolighed (medfører fx umiddelbart livs- eller førlighedstruende situationer) Kritisk tab af væsentlig informations integritet, tilgængelighed eller fortrolighed (medfører fx potentielt livs- eller førlighedstruende situationer) Skadelig hændelse, som giver generende skadevirkning for patienter eller medarbejdere Uskadelig ureglementeret hændelse uden særlige sikre skadelige konsekvenser. Ud fra overvejelserne af konsekvenserne, bør man vurdere systemernes sårbarhed ved at gennemgå følgende punkter for hver trussel og hvert system: Hvad kan der ske inden for det enkelte system, og hvilke trusler kan få indvirkning på det? Hvad er konsekvensen? Mistet tilgængelighed, pålidelighed eller fortrolighed til data Hvor ofte vil det ske? Sandsynligheden (skønnet hyppighed) for de enkelte hændelser kan vurderes som værende: meget sandsynlig, sandsynlig, mindre sandsynlig eller usandsynlig. Fortolkningen af disse sandsynligheder afhænger af den enkelte situation, men bør være veldefineret, fx angivet som antal hændelser pr. år. Ud fra konsekvens- og sandsynlighedsanalysen kan nedenstående Tabel 1 benyttes til at klassificere risikoen, udtrykt ved risikograden (lav, middel eller høj), for hver enkelt type af hændelse. Konsekvens Sandsynlighed Uskadelig Skadelig Kritisk Katastrofal Meget sandsynlig middel høj høj høj Sandsynlig lav middel høj høj Mindre sandsynlig lav lav middel høj Usandsynlig lav lav lav middel Det må herefter vurderes, om risikograden for hver enkelt hændelse er inden for det acceptable. Lav risiko Middel risiko Høj risiko Accepteres uden videre, men åbenbare risikoreducerende tiltag kan evt. vurderes. Risikoreducerende tiltag bør vurderes. Eventuelt bør yderligere analyse foretages. Ikke acceptabel risiko. Risikoreducerende tiltag skal identificeres og iværksættes med høj prioritet. Tabel 1 Risikodiagram med acceptkriterier Side 19

20 Risikoanalysens resultat skal indeholde en samlet vurdering af omkostninger (også ikkefinansielle) ved de enkelte hændelser, samt en stillingtagen til mulige sikkerhedsforanstaltninger til reduktion af sårbarheden over for de forskellige risici og disse foranstaltningers omkostninger. Sikkerhedsforanstaltninger bør i omfang og omkostninger tilpasses efter truslens og skadevirkningernes størrelse. Anvisning 1 Prioritering af risikoanalyse Gennemførelse af en risikoanalyse skal prioriteres højt, da det er en velegnet metode til at udarbejde et kvalificeret grundlag for en IT-sikkerhedspolitik. En risikoanalyse er således en omfattende opgave, som vil involvere deltagelse fra store dele af sygehusorganisationen. Da gennemførelse af en sådan proces endvidere ligger uden for det normale ekspertiseområde for en sygehusejer, anbefales brug af ekstern bistand både for at tilføre organisationen den fornødne viden, og fordi det i mange tilfælde vil være nyttigt, at nye øjne kigger på sagen. Da risikobilledet ændres med tiden, vil der være behov for at gennemføre en risikoanalyse med passende mellemrum. Anvisning 2 Ekstern hjælp til risikoanalyse Det skal overvejes i nødvendigt omfang at benytte ekstern ekspertise i forbindelse med gennemførelse af en risikoanalyse IT-sikkerhedspolitik En forudsætning for at opnå en ønsket grad af IT-sikkerhed er, at det som led i strategiudformningen på overordnet niveau overvejes, hvordan en samlet sikkerhedsløsning skal hænge sammen, dvs. hvordan de tekniske sikkerhedsforanstaltninger effektivt kædes sammen med administrative og organisatoriske forholdsregler. Udarbejdelse af en IT-sikkerhedspolitik bør være direkte afledt af sygehusets mission, værdier og strategi. Ansvaret og initiativpligten hertil påhviler sygehusejeren (fx med sundhedsforvaltningen som udførende led). IT-sikkerhedspolitikken skal overordnet fastlægge dels ønskede mål for IT-sikkerhedsniveau, dels den ønskede prioritering i forhold til andre væsentlige aktiviteter, dels retningslinier for reaktioner på sikkerhedsbrud samt de nødvendige organisatoriske rammer, herunder placering af ansvar. IT-sikkerhedspolitikken skal tillige give generelle retningslinier for udformning af kontroller, regler, procedurer og sikringsforanstaltninger, således at den overordnet udtrykker ledelsens forpligtende engagement. IT-sikkerhedspolitikken skal være tilgængelig og kendt af alle, som er involveret i arbejde, der har betydning for IT-sikkerheden. IT-sikkerhedspolitikken skal som minimum indeholde: definition af IT-sikkerheden og dens overordnede mål og omfang holdningsbearbejdning og motivation vedr. IT-sikkerhed hos medarbejdere målsætninger for datasikkerhed identificering af kritiske succesfaktorer for IT-processerne ansvarsplacering og organisering af IT-sikkerhedsopgaverne Side 20

21 sikkerhedsniveauer og foretrukne midler til imødegåelse af risici i henhold til risikovurderingen retningslinier for opfølgningsprocedurer og handlingsplaner/beredskabsplaner funktionsadskillelse af udvikling og drift imødegåelse af afhængighed af nøglepersoner udefra kommende forpligtelser/lovkrav krav til beskyttelse og brug af data, der er henførbare til medarbejdere fx overvågning og data om medarbejderes præstationer og resultater uddannelse af IT- og andre medarbejdere krav til en løbende ajourføring af den overordnede risikovurdering rutiner for rapportering af mistanke om sikkerhedskrænkelser beskrivelse af, hvordan politikken skal implementeres, håndhæves, dokumenteres og vedligeholdes. Anvisning 3 Udarbejdelse af IT-sikkerhedspolitik En sygehusejer skal udarbejde en IT-sikkerhedspolitik omfattende mål for IT-sikkerhedsniveau, prioritering af IT-sikkerhed i forhold til andre aktiviteter, retningslinier for reaktioner på sikkerhedsbrud samt organisatoriske rammer, herunder placering af ansvar. IT-politikken skal i hovedtræk tilkendegive af hvem, hvordan, hvornår og med hvilken ressourceindsats IT-sikkerhedspolitikken skal gennemføres IT-sikkerhedsorganisation Det findes formålstjenligt, at der etableres en formel IT-sikkerhedsorganisation, der er forankret hos sygehusejeren/forvaltningen. Denne IT-sikkerhedsorganisation kan evt. være en del af eller arbejde tæt sammen med den etablerede sikkerhedsorganisation på sygehuset. Uanset IT-sikkerhedsfunktionens organisatoriske placering kan det overvejes at lægge dens daglige arbejde i et IT-sikkerhedsudvalg med repræsentanter fra både de sundheds-, IT- og personalefaglige områder. En af IT-sikkerhedsudvalgets opgaver kan være at henføre alle IT-systemer til et antal sikkerhedskategorier på grundlag af en risikoanalyse. Kategoriseringen vil være værdifuld til afgørelse af, hvilke sikkerhedsforanstaltninger der bør sættes i værk for det enkelte system. Anvisning 4 Sikkerhedskategorisering af IT-systemer Alle IT-systemer bør kategoriseres på grundlag af en gennemført risikoanalyse. Ud over at fungere som fagligt referenceforum for IT-sikkerhedsfunktionen bør IT-sikkerhedsudvalget primært påtage sig opgaver af koordinerende art. Behovet for udvalgets eksistens skyldes navnlig de omfattende koordineringskrav pga. IT-sikkerhedens tværgående natur. Udvalgets beslutningskompetence bør derfor begrænses til at omfatte indstillinger, men ikke iværksættelse af egentlige foranstaltninger. De forslag, der indstilles af udvalget, bør i givet fald vedtages i de relevante organisatoriske enheder. Side 21

22 Sygehusejer Forvaltning IT-sikkerhed Personale IT Udvalg for IT-sikkerhed IT Sygehusledelse Sygehusledelse IT IT-sikkerhed IT IT-sikkerhed Personale Personale Afdeling Afdeling Afdeling Afdeling Afdeling Afdeling Figur 4 Eksempel på sygehuse med IT-sikkerhedsorganisation Ansvarsplacering Ansvaret for og beføjelserne til udarbejdelse og vedligeholdelse af IT-sikkerhedspolitik og ITsikkerhedsinstrukser skal fordeles i sygehusorganisationen. I Figur 4 er vist et simpelt organisationsdiagram for en typisk sygehusejers område, hvor de væsentligste organisationsenheder er nævnt. Sygehusejeren er den øverste ansvarlige instans for IT-sikkerheden på et sygehus. Ansvaret varetages ved at træffe beslutning om de nødvendige foranstaltningers iværksættelse træffe beslutning om afsættelse af de fornødne ressourcer til opgaven følge op på besluttede foranstaltningers gennemførelse. Sygehusledelserne har ansvaret for, at de besluttede IT-sikkerhedsforanstaltninger gennemføres på sygehusniveau, og rapporterer om deres virkning. Afdelingsledelserne har ansvaret for, at de besluttede IT-sikkerhedsforanstaltninger gennemføres inden for deres område. Herved kan det sikres, at slutbrugernes IT-anvendelse i forbindelse med patientbehandling og pleje sker, således at de opstillede sikkerhedskrav honoreres. Personaleledelsen skal bl.a. sikre at Side 22

23 at der for de enkelte medarbejderkategorier etableres de fornødne instruktions- og uddannelsesaktiviteter vedr. IT-sikkerhed, og at deltagelse i disse bliver tilbudt/pålagt de respektive medarbejdere at der etableres de fornødne procedurer i tilknytning til medarbejderes tiltræden, omflytning og fratræden med henblik på udlevering, ændring, hhv. inddragelse af adgangsrettigheder til sygehusets IT-systemer. Procedurerne skal sikre, at adgangsrettighederne til enhver tid modsvarer den enkelte medarbejders aktuelle rolle på sygehuset. IT-ledelsen har bl.a. ansvar for at: IT-systemerne indeholder de fornødne sikkerhedsfunktioner, der er specificeret IT-systemerne holdes i god og driftssikker stand driftsmæssige IT-sikkerhedsopgaver (sikkerhedskopiering af data, reaktion på alarmer vedr. sikkerhedsbrud etc.) bliver varetaget kompetent og i aftalt omfang. Ansvaret for tilrettelæggelse og koordinering af IT-sikkerhedsarbejdet samt for tilsyn med dets rette gennemførelse bør organisatorisk placeres som en funktion med direkte reference til sygehusledelsen (krav om tilgængelighed til IT-systemerne kan fx få indflydelse på vagtordninger hos IT-personalet). Denne funktion har brug for såvel sundhedsfaglig som IT-faglig kompetence, men bør ikke organisatorisk lægges under den IT- eller sundhedsfaglige ledelse, da der i så fald kunne rejses tvivl om dens faglige integritet. Krav af hensyn til IT-sikkerhed vil umiddelbart i mange situationer kunne opfattes af både ITog sundhedspersonalet som barrierer for det daglige arbejde. Derfor bør IT-sikkerhedsinstrukserne ikke udformes alene i IT- og sundhedsfagligt regi, men med deltagelse af en organisatorisk uafhængig part. Det overordnede ansvar bør af samme årsag placeres hos forvaltningen. I nedenstående skema er vist, hvorledes fordelingen af ansvaret mht. IT-sikkerhedsspolitik og IT-sikkerhedsinstrukser kan være. Ansvarsområde Sygehusejer Forvaltning Sygehusledelse Afdelingsledelse IT Personaleledelse IT-sikkerhedspolitik IT-sikkerhedsinstrukser, generelle/overordnede IT-sikkerhedsinstrukser, generelle/sygehusspecifikke IT-sikkerhedsinstrukser, afdelingsspecifikke IT-sikkerhedsinstrukser, IT-anvendelse IT-sikkerhedsinstrukser, personaleforhold x x x x x x Det politiske ansvar for IT-sikkerheden ligger således hos sygehusejeren. Ansvaret for instrukserne bør derimod af praktiske hensyn fordeles på de områder, hvor instrukserne primært skal anvendes, og hvor den faglige viden er til stede. Side 23

24 Leverandører af IT-systemer til sygehusene har over for køberen ansvaret for, at sikkerheden i deres produkter lever op til det aftalte. Dette har betydning for den samlede IT-sikkerhed på sygehusene, idet disse som systemkøbere nødvendigvis baserer en stor del af den tekniske sikkerhed på den sikkerhed, som leverandørerne har indbygget i deres systemer IT-sikkerhedsforskrifter For en sygehusejers område bør der eksistere flere niveauer af forskrifter for IT-sikkerhed. Der skal dels dokumenteres nogle overordnede mål for og anvisninger (en politik) på tilrettelæggelse af IT-sikkerheden, anvisninger som besluttes på strategisk niveau, og som gælder for alle i organisationen og for alle organisationens aktiviteter. Der er imidlertid også behov for at konkretisere IT-sikkerhedspolitikken i en række detaljerede anvisninger (instrukser) på kogebogsniveau for bestemte procedurer og udstyr. Sådanne instrukser udarbejdes af det relevante udførende niveau i overensstemmelse med IT-sikkerhedspolitikken. Normalt vil der kun sjældent være behov for ændringer i en sygehusejers IT-sikkerhedspolitik, mens selv mindre forandringer i organisationen, dens procedurer eller udskiftning af udstyr vil kræve opdatering af de dertil hørende instrukser. I store organisationer kan der meget vel være behov for et mellemniveau af sikkerhedsforskrifter, som fx detaljeret specificerer, hvilke områder, der skal foreligge instrukser for, og hvilke delmål, der skal nås med instrukserne. Vision Værdier Heraf udledes Strategi Politik for IT-sikkerhed Heraf udledes Instruks for Instruks for Instruks for Instruks for.. Rapport om.ṙapport om.ṙapport om.. Opfølgning på beslutninger Figur 5 Sikkerhedsdokumentation Eksempler på IT-sikkerhedsinstrukser i forbindelse med håndtering af patientdata på et sygehus er: tildeling af adgang til IT-systemerne (autorisering), herunder verifikation af brugers identitet Side 24

25 differentieret adgangsbegrænsning til informationer, dvs. adgang til de forskellige IT-systemer er afhængig af brugerens behov styring af og opfølgning på tildelte adgangstilladelser/autoriseringer backup af data og udstyr, herunder fungerende retablering brugerens anvendelse af personidentifikation, fx biometri eller krav til password og ændringsfrekvens af password procedurer for log on og log off, fx automatisk nedlukning af arbejdsstationer, hvis de har været ubenyttede i nærmere specificerede tidsrum hændelseslogning (hvad logges, hvor lang tid gemmes loggen, hvem har adgang til loggen, og hvorledes kontrolleres loggen for brug, der indikerer sikkerhedsbrud) overvågning af systemers anvendelse (fx konfigurering af alarmer ved bestemte hændelser) opfølgning på erkendte eller formodede afvigelser/sikkerhedsbrud sikkerhed ved elektronisk dataudveksling (hvilke data må udveksles, og hvilke skal krypteres) sikkerhed ved elektronisk post (fx må helbredsoplysninger ikke udveksles via ukrypteret ) uddannelse af personale, herunder informations- og instruktionsmateriale vedr. ITsikkerheden fysisk sikring af IT-systemerne, incl. kabler, krydsfelter mv. intern kontrol og revision af IT-systemer regler for pseudonymisering og anonymisering af patientdata hjemmearbejdspladser. For hver af disse instrukser er det hensigtsmæssigt, at der udpeges en ansvarlig. Ansvaret for en instruks indebærer dels, at instruksen bliver udarbejdet, men også at der foretages den fornødne revision, altså at instruksen ajourføres mindst én gang om året, og at den følges. Under både udarbejdelse og vedligeholdelse af instruksen skal den ansvarlige sikre, at den er i overensstemmelse med de retningslinier, som politikken på området anviser Beredskabsplaner En særlig type af instrukser samles i beredskabsplaner, der detaljeret specificerer reaktioner på interne og eksterne sikkerhedsbrud. Desuden omfatter beredskabsplaner detaljerede instrukser for genopretning efter driftsforstyrrelser (fysiske, fx strømafbrydelser, og logiske, fx virusangreb). Midlertidig journalføring kan fx foregå med sygehusets katastrofejournalsystem. Anvisning 5 IT-sikkerhedsinstrukser Der skal forefindes årligt opdaterede instrukser angående alle IT-systemer og procedurer, der er fælles for IT-systemerne. IT-sikkerhedsinstrukserne konkretiserer bestemmelserne i ITsikkerhedspolitikken og skal indeholde både en generel vejledning om, hvorledes IT-sikkerheden skal håndteres i dagligdagen, og detaljerede beskrivelser af, hvorledes implementering af hvert enkelt delelement i den samlede IT-sikkerhed skal foretages Administration af brugerautorisering For at regulere adgangen til patientoplysninger iht. kravene i lovgivningen skal IT-systemernes adgangskontrol baseres på den enkelte medarbejders autorisering til behandling af data. Side 25

26 Principper for autorisering bør være: Autorisering gives alene til data og funktioner, der er nødvendige for at varetage personens arbejdsopgaver Autorisering gives alene for perioder, hvor personen arbejdsmæssigt er tilknyttet den pågældende organisatoriske enhed (fx afdeling, klinik, skadestue eller ambulatorium) Tildeling af autorisering Autorisering af den enkelte ansatte bør besluttes på et organisatorisk niveau, der er umiddelbart foresat den ansatte ( nærmeste leder ) og i nært samarbejde med sygehusets personalefunktion. På basis af autoriseringen tildeles adgangsrettigheder til IT-systemer og data. Tilsvarende bør tilbagekaldelse af autoriseringen nøje afspejle omplaceringer, længerevarende fravær og fratræden. Også i disse situationer bør der være et nært samarbejde mellem relevante ledelsesniveauer og personalefunktion. Særligt bør autoriseringen overvejes ved længerevarende fravær (fx orlovsperioder > 1 måned) og i perioder, hvor opsigelse er givet og indtil fratræden. Man skal endvidere være opmærksom på, at IT-medarbejdere har udvidede adgangsrettigheder, og at de derfor ofte har adgang til alle data Typer af autorisering Der skal benyttes følgende typer af autorisering: Almindelig autorisering Omfatter adgang for sundhedspersoner m.fl. (fx også lægesekretærer) til data for de til den organisatoriske enhed (fx afdeling, klinik, skadestue, tværfagligt team, funktionsbærende enhed eller ambulatorium) knyttede patienter og til funktionaliteter, der behandler data for en enkelt patient ad gangen. Vikarer, der ansættes for en måned eller længere, gives almindelig autorisering. Autoriseringen skal kunne begrænses til en eller flere patienters data i overensstemmelse med patienters evt. krav om, at nærmere angivne sundhedspersoner nægtes adgang til deres helbredsoplysninger. Systemmæssigt kan adgangsbegrænsningen knyttes til de pågældende patientdata, så den kan gøres gældende for dele af en patients helbredsoplysninger, og så dens iværksættelse ikke kræver ændring i autoriseringsoplysningerne om hver enkelt sundhedsperson. Midlertidig autorisering (tilsyn og anden specialebistand) Autoriseringstypen bør normalt kun udstedes af det sundhedsfaglige personale på den organisatoriske enhed, hvortil patienten er knyttet, og tænkes benyttet, når der rekvireres sundhedsfaglig assistance fra en anden enhed. Denne autorisering har samme omfang mht. data og funktionaliteter som almindelig autorisering, men den er begrænset til et tidsrum, der er relevant for udførelsen af den tilsigtede assistance, fx et døgn eller en uge. Midlertidig autorisering kan gives døgnet rundt, og kan anvendes til korttidsvikarer. Side 26

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulæret omhandler organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

IT-sikkerhedspolitik. for. Gladsaxe Kommune

IT-sikkerhedspolitik. for. Gladsaxe Kommune IT-sikkerhedspolitik for Gladsaxe Kommune INDHOLD 1. IT-sikkerhedspolitik 1.1 Baggrund for IT-sikkerhedspolitikken 2. Begreber og definitioner 3. IT-sikkerhedspolitikken 3.1 Hovedmålsætninger med IT-sikkerhedspolitikken

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede Tillæg 3 1 1 IT-sikkerhedspolitik for Ballerup Kommune 1.1 Baggrund for IT-sikkerhedspolitikken Ballerup Kommune anvender på flere områder og i større omfang IT for at leve op til de krav, som borgere,

Læs mere

Regionernes politiske linje for informationssikkerhed

Regionernes politiske linje for informationssikkerhed Regionernes politiske linje for informationssikkerhed 1 / SUNDHEDSDATA I TRYGGE HÆNDER / Danske Regioner 2015 Regionernes politiske linje for informationssikkerhed Danske Regioner 2015 Layout: UHI, Danske

Læs mere

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009 1. Indledning It-anvendelsen i Faaborg-Midtfyn Kommune skal understøtte kommunens vision. Samtidig ønsker Faaborg- Midtfyn Kommune, at medarbejderne har en bevidst holdning til begrebet it-sikkerhed, hvor

Læs mere

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler Lovtidende A Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler I medfør af 199, stk. 12, og 373, stk. 4, i lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 911 af 4. august

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 (Draft) Side 1 af 9 Så ligger udkastet klar til den kommende version af ISO 9001. Der er sket en række strukturelle ændringer i form af standardens opbygning ligesom kravene er blevet yderligere

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

Vejledning til. Sikkerhedskvalitetsstyringssystem for driftsledelse

Vejledning til. Sikkerhedskvalitetsstyringssystem for driftsledelse Vejledning til Sikkerhedskvalitetsstyringssystem for driftsledelse 1 Forord Sikkerhedskvalitetsstyringssystem for drift af elforsyningsanlæg (SKS-driftsledelse) indeholder anvisninger på kvalitetsstyringsaktiviteter

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

TEMARAPPORT 2007: Sprogproblemer mellem sundhedspersonalet og fremmedsprogede patienter

TEMARAPPORT 2007: Sprogproblemer mellem sundhedspersonalet og fremmedsprogede patienter TEMARAPPORT 2007: Sprogproblemer mellem sundhedspersonalet og fremmedsprogede patienter 2007 DPSD Dansk Patientsikkerhedsdatabase Sprogproblemer mellem sundhedspersonalet og fremmedsprogede patienter Sundhedsstyrelsen

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af

Læs mere

INFORMATIONSSIKKERHED. - vejledning for sundhedsvæsenet

INFORMATIONSSIKKERHED. - vejledning for sundhedsvæsenet INFORMATIONSSIKKERHED - vejledning for sundhedsvæsenet 2008 Informationssikkerhed vejledning for sundhedsvæsenet Sundhedsstyrelsen Islands Brygge 67 2300 København S URL: http://www.sst.dk Kategori: Vejledning,

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

It-sikkerhedstekst ST5

It-sikkerhedstekst ST5 It-sikkerhedstekst ST5 Identificering af en fysisk person med henblik på udstedelse af faktorer til et personligt login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST5 Version

Læs mere

SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT

SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT BORGERRÅDGIVERENS EGEN DRIFT-UNDERSØGELSER INDHOLDSFORTEGNELSE 1. INDLEDNING 3 2. KONKLUSION OG SAMMENFATNING 4 3. KONSEKVENSER 6 4. FORSLAG, HENSTILLINGER

Læs mere

Juridiske retningslinjer for indsamling af patientdata til brug i opgaver og projekter

Juridiske retningslinjer for indsamling af patientdata til brug i opgaver og projekter Sygeplejerskeuddannelsens Ledernetværk Revideret senest den 14. juni 2013 Juridiske retningslinjer for indsamling af patientdata til brug i opgaver og projekter 1. Indledning Formålet med Sygeplejerskeuddannelsen

Læs mere

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes.

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes. Region Syddanmark Damhaven 12 7100 Vejle Sendt til kontakt@regionsyddanmark.dk 4. februar 2013 Vedrørende sikkerhedsbrist i Region Syddanmark Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

Digital Signatur OCES en fælles offentlig certifikat-standard

Digital Signatur OCES en fælles offentlig certifikat-standard Digital Signatur OCES en fælles offentlig certifikat-standard IT- og Telestyrelsen December 2002 Resumé Ministeriet for Videnskab, Teknologi og Udvikling har udarbejdet en ny fælles offentlig standard

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed

Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed December 2007 Rev. 1 Nov. 2006 Nov. 2006 Jan. 2007 Jan. 2007 DATE LEG BCM/MRP LEG LSO NAME Nov. 2006 DATE HEP/LEG NAME REV. DESCRIPTION

Læs mere

Vejledning om medicinadministration og patienters selvadministration af medicin mv.

Vejledning om medicinadministration og patienters selvadministration af medicin mv. Sundhedsstyrelsen 6. februar 1998 Vejledning om medicinadministration og patienters selvadministration af medicin mv. (Til læger, sygehuse, plejehjem og lignende institutioner samt hjemmepleje) 1. INDLEDNING

Læs mere

Risikoanalyse af implikationer for privatlivets fred

Risikoanalyse af implikationer for privatlivets fred Risikoanalyse af implikationer for privatlivets fred Appendiks 5 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Risikovurdering af implikationer for privatlivets fred...

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: DS/ISO 31000 Risikoledelse ISO 31000 - Risikoledelse Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: overordnede

Læs mere

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S Sendt til: mt@etikportalen.dk 14. marts 2013 Vedrørende behandling af personoplysninger hos Etik Portalerne ApS Datatilsynet Borgergade 28,

Læs mere

Navit sp/f. Del A Gennemførelse

Navit sp/f. Del A Gennemførelse Den Internationale Kode for Sikker Drift af Skibe og Forebyggelse af Forurening (International Safety Management-koden (ISM-koden)) Med rettelser gældende pr. 1. juli 2010 Del A Gennemførelse 1. Generelt

Læs mere

Sikkerhed i cloud computing

Sikkerhed i cloud computing Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter

Læs mere

It-sikkerhedstekst ST6

It-sikkerhedstekst ST6 It-sikkerhedstekst ST6 Registrering af en fysisk person med henblik på udstedelse af faktorer til et personligt login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST6 Version

Læs mere

Borgernes rettigheder ved anvendelse af video

Borgernes rettigheder ved anvendelse af video Borgernes rettigheder ved anvendelse af video I løbet af de seneste år er anvendelsen af video og tv blevet stadig mere udbredt på de danske veje. Video og tv anvendes i en række sammenhænge: Trafikinformation

Læs mere

It-sikkerhedstekst ST2

It-sikkerhedstekst ST2 It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version

Læs mere

Advokat (H), partner Anders Aagaard. Ledelsesansvar for IT-sikkerhed

Advokat (H), partner Anders Aagaard. Ledelsesansvar for IT-sikkerhed Advokat (H), partner Anders Aagaard Ledelsesansvar for IT-sikkerhed 1 AGENDA Ledelsens opgaver og ansvar Persondataforordningen Cases 2 Ledelsens opgaver og ansvar Selskabsloven hard law: SL 115: I kapitalselskaber,

Læs mere

IT sikkerhedspolitik. for. Fredericia Kommune

IT sikkerhedspolitik. for. Fredericia Kommune IT sikkerhedspolitik for Fredericia Kommune Side 1 af 17 Versionsstyring Versionsnummer Dato for version Ændring Årsag Ansvar 1.00 01.06.2013 Ny politik godkendt i byrådet PerToftdahl Side 2 af 17 Versionsstyring...

Læs mere

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup 14. maj 2012 Orientering om nye regler om private dataansvarliges anmeldelsespligt Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

Fart på it-sundhedsudviklingen?

Fart på it-sundhedsudviklingen? April 2007 - nr. 1 Baggrund: Fart på it-sundhedsudviklingen? Med økonomiaftalen fra juni 2006 mellem regeringen, Kommunernes Landsforening og Danske Regioner blev det besluttet at nedsætte en organisation

Læs mere

Vejledning om tandlægers journalføring

Vejledning om tandlægers journalføring Vejledning om tandlægers journalføring Formål med vejledningen Vejledningen knytter sig til Bekendtgørelse nr. 942 af 27. november 2003 om tandlægers pligt til at føre ordnede optegnelser (journalføring).

Læs mere

Datasikkerhedspolitik

Datasikkerhedspolitik Datasikkerhedspolitik Godkendt i Byrådet den 10.november 2008 1 Datasikkerhedspolitik Indhold 1. Indledning 2. Organisation og ansvarsfordeling 2.1 Ansvarsorganisation for datasikkerhed 2.2 Øverste og

Læs mere

It-sikkerhedstekst ST7

It-sikkerhedstekst ST7 It-sikkerhedstekst ST7 Overdragelse af faktorer ved udstedelse af et personligt login til en identificeret fysisk Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST7 Version 1 Februar

Læs mere

Regulativ for it-sikkerhed i Københavns Kommune

Regulativ for it-sikkerhed i Københavns Kommune Regulativ for it-sikkerhed i Københavns Kommune 2013 2. I medfør af 5 i Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som

Læs mere

Høringssvar til 2. version af akkrediteringsstandarder for sygehuse (DDKM)

Høringssvar til 2. version af akkrediteringsstandarder for sygehuse (DDKM) Høringssvar til 2. version af akkrediteringsstandarder for sygehuse (DDKM) Nedenstående indehold sendes til IKAS 8. februar 2012 via elektronisk skabelon 1. Danske Patienters kommentarer til Forståelighed

Læs mere

Identificering og imødegåelse af farer og risici

Identificering og imødegåelse af farer og risici dato 05.11.2012 Side 1 af 5 Identificering og imødegåelse af farer og risici Formål: At sikre, at risici bliver vurderet og at der tages passende forholdsregler til at imødegå ulykker og andre arbejdsmiljøbelastninger.

Læs mere

Databehandleraftale 2013

Databehandleraftale 2013 Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE

Læs mere

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 Udfordringer mht. persondata eksempler For mange brugere har adgang til

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

It-sikkerhed - ledelsens ansvar

It-sikkerhed - ledelsens ansvar Hvordan ser en sikkerhedskoordinator ud? It-sikkerhedsledelse er en profession. Af samme grunde, som man benytter medarbejdere med en regnskabsuddannelse i økonomifunktionen, skal man sikre sig, at it-sikkerhedskoordinatoren

Læs mere

Vejledning om sundhedspersoners tavshedspligt dialog og samarbejde med patienters pårørende

Vejledning om sundhedspersoners tavshedspligt dialog og samarbejde med patienters pårørende Sundhedsstyrelsen 2002 Vejledning om sundhedspersoners tavshedspligt dialog og samarbejde med patienters pårørende 1. Formålet med vejledningen Vejledningen redegør for de muligheder og begrænsninger,

Læs mere

Punkter som ikke synes relevante for det givne projekt besvares med: ikke relevant

Punkter som ikke synes relevante for det givne projekt besvares med: ikke relevant Modtagelseserklæring Modtagelseserklæring for AAU ITS Infrastruktur version 4. Anvendelse Modtagelseserklæringen skal anvendes i forbindelse med projekter drevet af PMO, AIU eller IFS. Projektlederen er

Læs mere

Indstilling Master i IT-sikkerhed. Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI

Indstilling Master i IT-sikkerhed. Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI Indstilling Master i IT-sikkerhed Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI Baggrund Med it i alting, Supply Change Management, netværksorganisationer og med systemer sammensat af kommunikerende

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09 Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede

Læs mere

NSP Servicevilkå r for Indirekte GW LEVERANDØR

NSP Servicevilkå r for Indirekte GW LEVERANDØR NSP Servicevilkå r for Indirekte GW LEVERANDØR Parter Denne aftale om at anvende den Nationale Serviceplatform (NSP) er indgået mellem Statens Serum Institut (SSI) v/national Sundheds-it (NSI) som systemansvarlig

Læs mere

IT Sikkerhedspolitik. for. Tønder kommune

IT Sikkerhedspolitik. for. Tønder kommune Udkast IT Sikkerhedspolitik for Tønder kommune Side 1 af 13 Indhold Version.... 3 Indledning... 4 Formålet med IT Sikkerhedspolitikken.... 4 Hvem er omfattet af IT Sikkerhedspolitikken.... 5 Ansvar og

Læs mere

Kvalitetsstyringssystemet for natur- og miljøområdet

Kvalitetsstyringssystemet for natur- og miljøområdet BORNHOLMS REGIONSKOMMUNE TEKNIK & MILJØ Skovløkken 4 3770 Allinge Analyserapport nr. 2 Kvalitetsstyringssystemet for natur- og miljøområdet Ledelsens evaluering 2009-2011. Telefon: 56 92 00 00 E-mail:

Læs mere

Lægeforeningen 2008 Trondhjemsgade 9, 2100 København Ø Tlf.: 3544 8500 www.laeger.dk

Lægeforeningen 2008 Trondhjemsgade 9, 2100 København Ø Tlf.: 3544 8500 www.laeger.dk 1 Lægeforeningen 2008 Trondhjemsgade 9, 2100 København Ø Tlf.: 3544 8500 www.laeger.dk Fremtidens sundheds-it Lægeforeningens forslag Lægeforeningen 3 Det danske sundhedsvæsen har brug for it-systemer,

Læs mere

Strategi for politiets indsats over for æresrelaterede forbrydelser

Strategi for politiets indsats over for æresrelaterede forbrydelser 22. januar 2007 POLITIAFDELINGEN Polititorvet 14 1780 København V Telefon: 3314 8888 Telefax: 3343 0006 E-mail: Web: rpcha@politi.dk www.politi.dk Strategi for politiets indsats over for æresrelaterede

Læs mere

Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S

Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S Customer Managed Hvorfor vælger man som kunde Cloud? Customer Customer No cloud (On-Premise)

Læs mere

Notat til Statsrevisorerne om beretning om problemerne med at udvikle og implementere Fælles Medicinkort. Februar 2015

Notat til Statsrevisorerne om beretning om problemerne med at udvikle og implementere Fælles Medicinkort. Februar 2015 Notat til Statsrevisorerne om beretning om problemerne med at udvikle og implementere Fælles Medicinkort Februar 2015 18, STK. 4-NOTAT TIL STATSREVISORERNE 1 Vedrører: Statsrevisorernes beretning nr. 24/2013

Læs mere

Instrukser for brug af it

Instrukser for brug af it it sikkerhed Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Forord................................................... 3 Resumé.................................................

Læs mere

Evaluering af Satspuljeprojektet Børne-familiesagkyndige til støtte for børn i familier med alkoholproblemer

Evaluering af Satspuljeprojektet Børne-familiesagkyndige til støtte for børn i familier med alkoholproblemer Sundhedsstyrelsen Evaluering af Satspuljeprojektet Børne-familiesagkyndige til støtte for børn i familier med alkoholproblemer Konklusion og anbefalinger September 2009 Sundhedsstyrelsen Evaluering af

Læs mere

Torben Waage www.kromannreumert.com/insights. Partner

Torben Waage www.kromannreumert.com/insights. Partner Torben Waage IT-SIKKERHEDEN SKAL OP PÅ LEDELSESNIVEAU Hvert år bliver der brugt milliarder af kroner på at beskytte digitale aktiver, så fortrolige informationer undgår at finde vej til offentligheden.

Læs mere

Betingelser for Netpension Firma Gældende pr. 15. november 2013

Betingelser for Netpension Firma Gældende pr. 15. november 2013 Betingelser for Netpension Firma Gældende pr. 15. Indledning I Betingelser for Netpension Firma finder I en beskrivelse af, hvad Netpension Firma er, og hvilke funktioner virksomheden har adgang til. Del

Læs mere

Proceduren Proceduren for en given vare eller varetype fastlægges ud fra:

Proceduren Proceduren for en given vare eller varetype fastlægges ud fra: Forudsætning for CE-mærkning En fabrikant kan først CE-mærke sit produkt og dermed få ret til frit at sælge byggevaren i alle EU-medlemsstater, når fabrikanten har dokumenteret, at varens egenskaber stemmer

Læs mere

Redegørelse vedrørende Finansrådets ledelseskodeks. Frøslev-Mollerup Sparekasse. Gældende fra regnskabsåret 2014

Redegørelse vedrørende Finansrådets ledelseskodeks. Frøslev-Mollerup Sparekasse. Gældende fra regnskabsåret 2014 Redegørelse vedrørende Finansrådets ledelseskodeks Frøslev-Mollerup Sparekasse Gældende fra regnskabsåret 2014 1 Indledning: Det fremgår nedenfor, hvorledes Frøslev-Mollerup Sparekasse forholder sig til

Læs mere

Domstolsstyrelsens årsberetning 2005 om persondataloven

Domstolsstyrelsens årsberetning 2005 om persondataloven Domstolsstyrelsen Administrationskontoret KFJ12188/Sagsbeh. KFJ J.nr. 2205-2006-1.2 11. januar 2006 Domstolsstyrelsens årsberetning 2005 om persondataloven Indhold: Domstolsstyrelsens tilsynsopgave s.

Læs mere

Men bare rolig - det er kun dig selv, din læge og sygehusene, som kan få et indblik i dine skavanker.

Men bare rolig - det er kun dig selv, din læge og sygehusene, som kan få et indblik i dine skavanker. Elektronisk journal Undervisningsbilag 3 til temaet: Loven, dine rettigheder og din e-journal Din helbreds-journal ligger på nettet Men bare rolig - det er kun dig selv, din læge og sygehusene, som kan

Læs mere

Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S

Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S Generelt Revisions- og Risikokomiteen er et udvalg under Bestyrelsen, der er nedsat i overensstemmelse med forretningsordenen for Bestyrelsen.

Læs mere

Persondataloven og sundhedsvidenskabelige forskningsprojekter

Persondataloven og sundhedsvidenskabelige forskningsprojekter Persondataloven og sundhedsvidenskabelige forskningsprojekter Fuldmægtig Signe Astrid Bruun Fuldmægtig Martin Nybye-Petersen Datatilsynet 9. januar 2014 Dagens Program Datatilsynets struktur og arbejdsopgaver

Læs mere

Forretningsorden for Espergærde gymnasium og HF s bestyrelse

Forretningsorden for Espergærde gymnasium og HF s bestyrelse Forretningsorden for Espergærde gymnasium og HF s bestyrelse Denne forretningsorden er fastsat i medfør af 18 i lov nr. 880 af 8.8 2011 om institutioner for almengymnasiale uddannelser og almen voksenuddannelse

Læs mere

Bilag 11. Kommunikation mellem flere SUP-databaser. Udkast af 12. juni 2003. Udarbejdet for. SUP-Styregruppen

Bilag 11. Kommunikation mellem flere SUP-databaser. Udkast af 12. juni 2003. Udarbejdet for. SUP-Styregruppen Kan med fordel udskrives på en farveprinter, idet figurerne er i farver. SUP-specifikation, version 2.0 Bilag 11 Kommunikation mellem flere SUP-databaser Udkast af 12. juni 2003 Udarbejdet for SUP-Styregruppen

Læs mere

Evaluering af den medicinske behandling i botilbud til sindslidende

Evaluering af den medicinske behandling i botilbud til sindslidende Evaluering af den medicinske behandling i botilbud til sindslidende Delrapport Resumé Regionshuset Århus Center for Kvalitetsudvikling Evaluering af den medicinske behandling i botilbud til sindslidende

Læs mere

Den danske kvalitetsmodel Arbejdsmiljø i Handicap, psykiatri og udsatte

Den danske kvalitetsmodel Arbejdsmiljø i Handicap, psykiatri og udsatte Den danske kvalitetsmodel Arbejdsmiljø i Handicap, psykiatri og udsatte Dansk Kvalitetsmodel Kort om kvalitetsmodellen Dansk kvalitetsmodel på det sociale område udfoldes i et samarbejde mellem Danske

Læs mere

STØRRE VALGFRIHED OG FLEKSIBILITET I BØRNE- OG UNGDOMSTANDPLEJEN

STØRRE VALGFRIHED OG FLEKSIBILITET I BØRNE- OG UNGDOMSTANDPLEJEN STØRRE VALGFRIHED OG FLEKSIBILITET I BØRNE- OG UNGDOMSTANDPLEJEN - implementering af lov om tandpleje 2006 Større valgfrihed og fleksibilitet i børne- og ungdomstandplejen - implementering af lov om tandpleje

Læs mere

Johnson Controls' Binding Corporate Rules (bindende virksomhedsregler)

Johnson Controls' Binding Corporate Rules (bindende virksomhedsregler) Johnson Controls' Binding Corporate Rules (bindende virksomhedsregler) Indhold 1. Introduktion 2. Område og anvendelse 3. Gennemsigtighed og underretning 4. Rimelig behandling og afgrænsning af formål

Læs mere

Sygepleje, ergoterapi og fysioterapi

Sygepleje, ergoterapi og fysioterapi Sammendrag af strategier Sygepleje, ergoterapi og fysioterapi Århus Sygehus 2005-2008 Forskning Evidensbasering og monitorering Dokumentation Århus Universitetshospital Århus Sygehus Virkeliggørelse af

Læs mere

PROfessiOnel RisikOstyRing med RamRisk

PROfessiOnel RisikOstyRing med RamRisk 4 Professionel risikostyring med ramrisk www.ramrisk.dk Risikostyring med RamRisk Rettidig håndtering af risici og muligheder er afgørende for enhver organisation og for succesfuld gennemførelse af ethvert

Læs mere

Andersen & Martini A/S

Andersen & Martini A/S Udkast til kommissorium for revisionsudvalget 1. Formål Revisionsudvalget udpeges af bestyrelsen til at bistå denne i udførelsen af bestyrelsens tilsynsopgaver. Revisionsudvalget overvåger: Effektiviteten

Læs mere

> hvidbog. Beskytter du dine kunders og dine egne data godt nok?

> hvidbog. Beskytter du dine kunders og dine egne data godt nok? > hvidbog Beskytter du dine kunders og dine egne data godt nok? HVAD BETYDER DET? DU ER ALDRIG FOR STOR TIL AT BLIVE HACKET ELLER FOR LILLE Går man ti år tilbage var teknologi knyttet tæt sammen med vores

Læs mere

BEREDSKAB OG SERVICE, PERSONALE, ØKONOMI RISIKOSTYRINGSPOLITIK FOR ODSHERRED KOMMUNE

BEREDSKAB OG SERVICE, PERSONALE, ØKONOMI RISIKOSTYRINGSPOLITIK FOR ODSHERRED KOMMUNE Risikostyring = tag vare på dit, mit og vores - og på dig, mig og os BEREDSKAB OG SERVICE, PERSONALE, ØKONOMI RISIKOSTYRINGSPOLITIK FOR ODSHERRED KOMMUNE 1 Indholdsfortegnelse Risikostyring... 3 Det er

Læs mere

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores It Revision & Rådgivning Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores kunder med. 2 Revision og rådgivning

Læs mere

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring

Læs mere

Bilag 1. Kravspecifikation

Bilag 1. Kravspecifikation Bilag 1 Kravspecifikation Indholdsfortegnelse 1. Indledning 1 2. Den nuværende organisering af 2 2.1 Kundens overordnede organisering 2 2.2 2 2.3 Kvalitetsstandarder 3 2.4

Læs mere

SecureAware Compliance Analysis Manual

SecureAware Compliance Analysis Manual SecureAware Compliance Analysis Manual Manualen beskriver brugen af SecureAware version 3 Dokument opdateret: november 2009 Om dette dokument Dette dokument er en vejledning i, hvordan du opretter compliance-checks.

Læs mere