Inngangur
Stefna Sjúkrahússins á Akureyri í upplýsingaöryggi lýsir áherslum framkvæmdastjórnar á upplýsingavernd og örugga meðferð gagna og upplýsinga í vörslu og eigu sjúkrahússins. Verja þarf upplýsingaeignir sjúkrahússins og notenda þjónustu þess fyrir öllum ógnum, innri og ytri, af ásetningi, vegna óhappa eða af slysni. Fagleg vinnubrögð eru lykillinn að árangri og til marks um það er þessi stefna um upplýsingaöryggi sett. Innleiðing og framkvæmd stefnunnar er mikilvæg til að fullvissa starfsmenn og notendur þjónustu sjúkrahússins um heilindi og rétt vinnubrögð í rekstri stofnunarinnar.
Umfang
Upplýsingaöryggisstefnan nær til umgengni og vistunar allra gagna og upplýsinga hjá SAk, sem og samstarfs- og þjónustuaðila, í hvaða formi sem þær eru og hvar sem þær eru vistaðar. Sérstök áhersla er lögð á:
a) Heilsufarsupplýsingar og upplýsingar um lífsýni.
b) Upplýsingar sem eru eign sjúkrahússins og bundnar eignarrétti eða háðar hugverkarétti.
c) Persónugreinanlegar upplýsingar sem tengjast sjúklingum.
d) Persónulegar upplýsingar er tengjast starfsmönnum.
Upplýsingaöryggisstefnan tekur jafnframt til þess húsnæðis, búnaðar og kerfa, sem hýsa eða flytja gögn og upplýsingar, þ.e. tölvusalir, netþjónar, upplýsingakerfi, gagnagrunnar, kaplar, nettengibúnaður og fjarskiptaskápar. Þannig einsetur sjúkrahúsið sér að verja upplýsingar gegn innri og ytri ógnum hvort sem þær eru vísvitandi eða óviljandi. Stefnan nær jafnframt til starfsmanna og samningsbundinna samstarfsaðila sem hafa aðgang að umræddum gögnum og upplýsingum, s.s. verktaka eða þjónustuaðila.
Markmið
Markmiðin með upplýsingaöryggisstefnunni eru að:
a) Upplýsingar séu réttar og aðgengilegar þeim sem aðgangsheimildir hafa þegar þörf er á.
b) Trúnaði sé viðhaldið þegar við á.
c) Trúnaðarupplýsingar séu óaðgengilegar óviðkomandi og séu tryggilega varðar gegn skemmdum, eyðingu eða uppljóstrun til þeirra sem hafa ekki aðgangsrétt, hvort sem það er af ásetningi eða kæruleysi (vangá).
d) Upplýsingar sem fara um net komist til rétts viðtakanda óskaddaðar, á réttum tíma og þess sé gætt að þær fari ekki til óviðkomandi.
e) Áhætta vegna vinnslu, varðveislu og miðlunar á upplýsingum sé innan skilgreindra áhættumarka og í samræmi við áhættumat.
Leiðir að markmiði
Leiðir að ofangreindum markmiðum eru að:
a) Ávallt sé farið eftir þeim lögum, reglum og reglugerðum sem gerðar eru til starfseminnar um varðveislu, meðferð, verndun og skráningu heilbrigðisupplýsinga.
b) Áætlanir séu gerðar um samfelldan rekstur, þeim sé viðhaldið og þær prófaðar.
c) Frávik, brot eða grunur um veikleika í upplýsingaöryggi séu tilkynnt, rannsökuð og þeim fylgt eftir.
d) Halda skrá yfir upplýsingaeignir og flokka þær eftir mikilvægi leyndar, réttleika og tiltækileika.
e) Reglulega og með formlegum hætti, sé framkvæmt áhættumat sem nær til upplýsingaeigna og veikleikum sem geta stefnt þeim í hættu.
f) Stjórna áhættu innan skilgreindra marka með því að hanna, innleiða og starfrækja formlegt stjórnkerfi upplýsingaöryggis samkvæmt ISO/IEC 27001
g) Örugglega séu til rétt og nýuppfærð, tryggilega varðveitt afrit af gögnum og hugbúnaðarkerfum.
h) Fylgja og uppfylla alla samninga sem SAk er aðili að og varða upplýsingaöryggi.
i) Viðhalda gæða- og öryggishandbók með verklagsreglum og verkferlum vegna meðferðar upplýsinga og sjá til þess að starfsmenn og samstarfsaðilar fylgi þeim.
j) Allir starfmenn fái þjálfun og fræðslu um öryggiskerfi stofnunarinnar sem og öryggi upplýsinga og ábyrgð þeirra vegna þessara og tengdra þátta.
k) Aðgengi að heilsufarsupplýsingum og upplýsingum um lífssýni séu í samræmi við lög, reglugerðir og tilmæli, sem Landlæknir og SAk hafa sett fram.
l) Fylgt sé öllum lögum, reglugerðum og reglum sem heilbrigðisstofnanir lúta. Þess skal sérstaklega gætt að vanda úrlausnir mála þar sem árekstrar kunna að verða milli ákvæða í mismunandi lögum og reglugerðum, t.d. upplýsingalögum og lögum um persónuvernd. Sjá skjalið Hlíting við lög og reglugerðir – stefna.
m) Ávallt sé farið eftir lögum og reglum siðanefndar SAk, Persónuverndar og Vísindasiðanefndar, þegar sótt er um að fá aðganga að heilsufarsupplýsingum úr kerfum sjúkrahússins, til að mynda til vísindarannsókna.
n) Framkvæmdar verða úttektir á stefnu og verklagsreglum upplýsingaöryggis. Þær taka ekki einungis til ákveðinna atvika heldur til allra þátta í öryggismálum. Úttektir skulu skilgreindar og samþykktar af Upplýsingaöryggisnefnd.
Ábyrgð
Ábyrgð við framkvæmd og viðhald upplýsingaöryggisstefnu skiptist á eftirfarandi hátt:
a) Forstjóri ber ábyrgð á upplýsingaöryggisstefnunni og að hún sé endurskoðuð og rýnd reglulega af óháðum aðila með formlegum hætti. Endurmeta skal þá hættu sem steðjað getur að þeim upplýsingakerfum sem eru í notkun og innihalda persónuupplýsingar, sem og öðrum kerfum og gagnasöfnum sem tengjast þeim. Í kjölfar slíks endurmats og endurskoðunar er öryggisstefnan uppfærð og samþykkt formlega, auk þess sem stefnan og hugsanlegar breytingar á henni eru kynntar starfsfólki og samstarfsaðilum.
b) Framkvæmdastjóri lækninga ber ábyrgð á öryggi sjúkraskrár.
c) Forstöðumaður tölvu- og upplýsingatæknideildar, ber ábyrgð á framkvæmd upplýsingaöryggisstefnunnar og beitir til þess viðeigandi stöðlum og vinnuferlum.
d) Allir starfsmenn tölvu- og upplýsingatæknideildar bera ábyrgð á að þeim vinnuferlum sé fylgt, sem eiga að tryggja framkvæmd upplýsingaöryggisstefnunnar. Samstarfsaðilar, verktakar og birgjar bera ábyrgð á að samningsbundnum vinnuferlum sem eiga að tryggja að framkvæmd stefnunnar sé fylgt.
e) Forstöðumenn bera ábyrgð á því að starfsmenn þeirra fari eftir þeim reglum og tilmælum sem gilda um öryggi upplýsinga, meðferð heilsufarsupplýsinga og meðferð upplýsinga um lífssýni. Þeir bera einnig ábyrgð á að viðhalda öryggisvitund meðal starfsmanna.
f) Öllum starfsmönnum ber að vinna samkvæmt upplýsingaöryggisstefnunni. Þeim ber að tilkynna öryggisfrávik og veikleika sem varða upplýsingaöryggi til starfsmanna tölvu- og upplýsingatæknideildar svo og upplýsingaöryggisstjóra.
Vottun
Stefnt er að vottun stjórnkerfis upplýsingaöryggis sem byggir á staðlinum ÍST ISO/IEC 27001:2017 fyrir árslok 2019.
Viðurlög
Þeir sem ógna upplýsingaörygginu af ásettu ráði eiga yfir höfði sér málshöfðun eða aðrar viðeigandi lagalegar aðgerðir. Brot getur, samkvæmt lögum um réttindi og skyldur starfsmanna ríkisins, varðað áminningu eða, ef um endurtekin eða alvarleg brot er að ræða, brottvikningu úr starfi.
Samþykki
Þannig staðfest af framkvæmdastjórn 26.09 2019.
Tilvísanir
Upplýsingaöryggisstefna þessi er unnin í samræmi við lög um vinnslu persónuupplýsinga nr. 90/2018, lög um sjúkraskrá nr. 55/2009 og byggir jafnframt á reglum Persónuverndar um leyfisgilda vinnslu persónuupplýsinga nr. 811/2019. Einnig á hún sér stoð í ÍST 27001 sér í lagi neðangreindum köflum:
4. Stjórnkerfi upplýsingaöryggis,
ISO-27001:2017 - 4.4 Stjórnkerfi upplýsingaöryggis - Information security management system,
ISO-27001:2017 - 5.1 Forysta og skuldbindingar - Leadership and commitment,
ISO-27001:2017 - 5.2 Stefna - Policy,
ISO-27001:2017 - 6.2 Upplýsingaöryggismarkmið og áætlanir um að ná þeim - Information security objectives and planning to achieve them,
ISO-27001:2017 - A 18.1.3 Verndun á skrám Protection of records,
ISO-27001:2017 - A 18.1.4 Friðhelgi og vernd á persónugreinanlegum upplýsingum - Privacy and protection of personally indentifialble information,
ISO-27001:2017 - A 18.2.3 Hlíting við öryggisstefnur og staðla – Compliance with security policies and standards,
ISO-27001:2017 - A 7.2.3 Agaferli- Disciplinary process,
