Skydda dina patienter med processer och rutiner

14 oktober, 2024

Uppskattad lästid: 3 min

Introduktion

Med tydliga processer och rutiner kan ni fokusera på att ge bästa möjliga vård, med vetskapen om att dina patienters personliga information är i säkra händer.

För aktörer inom vårdsektorn är informationssäkerhet inte bara en fråga om att följa lagar och regler – det handlar i slutändan om patientsäkerhet och patienternas förtroende. Att skydda patientdata och personuppgifter är en grundläggande del av en vårdverksamhets ansvar.

För mindre vårdaktörer kan det kännas utmanande att ha koll på alla regler och standarder – och framför allt veta hur man ska arbeta systematiskt med dessa. Kraven som ställs från bl.a. patienter, leverantörer, lagar och internationella direktiv och kan ibland upplevas övermäktiga. Det finns dock röda trådar att plocka upp och följa – bra ramverk och standarder att följa som säkerställer att era processer och rutiner möter de flesta kraven.

Du som läser detta hanterar förmodligen dagligen information och data som faller under bl.a. GDPR och PDL. Kanske ställs det även krav på att din organisation ska följa ISO27001*, eller NIS2**? Oavsett kraven ni har på er tror vi att du kan dra nytta av att läsa den här artikeln och använda den som en checklista för arbetet internt. Vi går igenom hur din organisation med enkla steg kan bygga upp ett bättre skydd för patientinformation, utan att ni behöver slå knut på er själva.

Definiera och dokumentera informationssäkerhetspolicys

ISO 27001 betonar vikten av att ha tydliga dokumenterade policys och rutiner för informationssäkerhet, för att konkretisera hur patientdata och personuppgifter ska hanteras och skyddas i alla led – från inhämtning till lagring och radering. Det är viktigt att ha rutin för att tillse att dessa dokument är uppdaterade och tydliga. Dessutom är det klokt att se över rutiner vid nyanställning – får nya kollegor rätt information om policys och rutiner så dessa verkligen efterlevs i praktiken?
Här ska sägas att antalet policys en vårdaktör kan ha på plats är många. Vi rekommenderar att försöka kombinera dem i den mån det går, men sen lägga krut på en tydlig rutin om hur de ska hållas levande – såväl när det kommer till uppdatering, som när det kommer till att informera om dem internt.

Nedan följer exempel på några av de viktigaste policys vi rekommenderar att man ser till att ha på plats. Notera att listan inte är fullständig utan utgör ett axplock.

Informationssäkerhetspolicy
Skapa en enkel, lättförståelig policy som beskriver hur ni skyddar patientdata och följer GDPR. Inkludera riktlinjer för hur journaldata samlas in, lagras, vilka säkerhetsåtgärder som används, samt hur radering ska ske. Inkludera även rutiner för backup och återställning, något som PDL ställer krav på.
Åtkomstkontrollpolicy
Enligt PDL måste vårdgivare ha system för att säkerställa att endast behörig personal har åtkomst till patientuppgifter. Definiera tydligt vilka medarbetare som har tillgång till patientdata och vilket ansvar de har för att skydda den. Använd ISO 27001 princip om ”minsta möjliga åtkomst” för att begränsa tillgången till endast de som behöver den.
Incidenthanteringspolicy
Policyn beskriver hur ni ska agera om en incident inträffar, ex. ett dataintrång eller oavsiktlig dataförlust. Den bör innehålla steg för identifiering, rapportering, eskalering, utredning och dokumentation av incidenter. Det är också viktigt att inkludera en plan för hur incidenter rapporteras till tillsynsmyndigheter.
Loggnings- och granskningspolicy
Krav enligt PDL: Enligt PDL måste alla vårdgivare föra loggar över vem som har haft tillgång till patientuppgifter. Denna loggning måste också kunna granskas regelbundet för att upptäcka obehörig åtkomst eller oegentligheter.
Sekretess & tystnadsplikt
Vårdgivare är enligt lag skyldiga att säkerställa att all personal som hanterar patientuppgifter är bunden av sekretess och tystnadsplikt. Det innebär att ni måste ha en policy som styr hur tystnadsplikten tillämpas inom verksamheten.

Läkare med stetoskop sitter bakom bärbar dator

Riskhantering – identifiera och hantera

Det är viktigt för vårdaktörer att regelbundet bedöma och hantera risker som kan påverka informationssäkerheten. För mindre aktörer kan detta göras genom att identifiera risker i två led; internt i era rutiner och system, samt externt i omvärlden. Därefter utvecklar ni åtgärder för att hantera era risker.

Riskbedömning
Genomför en enkel riskbedömning för att identifiera potentiella risker internt såsom förlorade enheter med känslig information, otillräcklig åtkomstkontroll, eller svaga lösenord. Gör samma sak med fokus utanför organisationen, ex över leverantörer, kommande lagar och regelverk, hotaktörer, och liknande (här finns analystjänster att ta hjälp av för att förenkla). Brainstorma i verksamheten för att försöka skaka fram så många risker som möjligt, och gallra därefter.
Åtgärdsplan
För varje identifierad risk – bedöm sannolikhet att risken inträffar, och konsekvens om så händer. Baserat på det väljer ni att acceptera risken eller skapa en åtgärdsplan för att hantera den. Det kan ex. handla om att införa multifaktorautentisering, förbättra säkerheten för mobila enheter eller se till att känsliga filer är krypterade.

Kontinuitetsplanering för att säkerställa verksamhetens drift

Kontinuitetsplanering handlar om att förbereda sig på det oväntade. För vårdaktörer är det särskilt viktigt att kunna fortsätta verksamheten och ha tillgång till kritiska journalsystem och patientdata, även vid större störningar som strömavbrott, cyberattacker eller tekniska haverier. Enligt ISO 27001 är en väldokumenterad och testad kontinuitetsplan en central del för att kunna hantera dessa situationer och snabbt återuppta verksamheten.

Identifiera kritiska system och processer
Identifiera vilka system och processer som är avgörande för att vårdinrättningen ska kunna fungera, exempelvis journalsystem, kommunikationssystem och patientbokning. Ställ frågor till era kritiska systemleverantörer och undersök hur deras rutiner ser ut gällande informationssäkerhet.
Skapa en kontinuitetsplan
Planen bör inkludera scenarier för de vanligaste potentiella incidenterna (t.ex. dataintrång, naturkatastrofer, systemhaverier) och fastställa hur ni kan fortsätta verksamheten under dessa förhållanden. Dokumentera rutiner för hur personalen ska agera och vilka steg som ska tas för att minimera störningar.
Backup-planer och alternativa lösningar
Definiera vilka alternativa lösningar som kan användas om era primära system går ner. Det kan till exempel vara att tillfälligt använda pappersjournaler eller att ha redundanta system för vissa funktioner. Säkerställ att kritiska data kan återställas från säkerhetskopior.
Testa och uppdatera kontinuitetsplanen
Genomför regelbundna tester för att säkerställa att planen fungerar som tänkt och att all personal vet vad de ska göra vid en incident. Kom ihåg att hålla den uppdaterad.

Kontinuerliga förbättringar och utbildning

Ett klokt och genomtänkt arbete med dataskydd och informationssäkerhet inkluderar kontinuerligt förbättringstänkande där processer och rutiner ständigt utvecklas. Detta måste inte göras svårare än det är, men se till att planera in tid för detta årligen eller vid behov.

Utbildning
Se till att personalen utbildas regelbundet i informationssäkerhet och GDPR. Fokus bör ligga på praktiska åtgärder som att känna igen phishingattacker, hantera känslig data säkert, och följa rutiner för incidentrapportering.
Revision och uppföljning
Genomför regelbundna revisioner av era säkerhetsrutiner för att säkerställa att de efterlevs och är effektiva. Följ upp incidenter för att identifiera förbättringsmöjligheter.
Säkerhetskultur
Skapa en kultur där informationssäkerhet är allas ansvar. Påminna om säkerhetsrutiner, uppmuntra personal att rapportera misstänkta händelser, och se till att bygga en tillåtande kultur där man pratar högt om misstag man gjort.

Sammanfattning

För vårdgivare är skyddet av patientdata avgörande för både patienternas integritet och verksamhetens trovärdighet. Genom enkla men strukturerade steg kan även mindre vårdaktörerutveckla robusta processer och rutiner som skyddar känslig information. Genom riskbedömning, strikta åtkomstkontroller, regelbunden utbildning och dokumentation kan ni bygga en säkerhetskultur som skyddar både er verksamhet och era patienter.

Med tydliga processer och rutiner på plats kan ni fokusera på det viktigaste – att ge bästa möjliga vård till era patienter, med vetskapen om att deras personliga information är i säkra händer.

*ISO27001 är en internationell standard för ledningssystem för informationssäkerhet som hjälper organisationer att skydda känslig information genom att hantera risker och implementera säkerhetsåtgärder.

**NIS2 är ett EU-direktiv som syftar till att stärka cybersäkerheten för kritiska sektorer genom att ställa krav på hantering av säkerhetsrisker och incidentrapportering, för att skydda viktig infrastruktur och tjänster inom EU. I Sverige prognostiseras det att träda i kraft under namnet Cybersäkerhetslagen, troligtvis i augusti 2015.

Cookie	Varaktighet	Beskrivning
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	session	The JSESSIONID cookie is used by New Relic to store a session identifier so that New Relic can monitor session counts for an application.

Cookie	Varaktighet	Beskrivning
_zcsr_tmp	session	Zoho sets this cookie for the login function on the website.
1e5a17c8ab	session	This cookie is set in relation to Zoho Campaigns
AnalyticsSyncHistory	1 month	No description
bscookie	1 year	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
li_gc	5 months 27 days	Used to store consent of guests regarding the use of cookies for non-essential purposes
ppwp_wp_session	30 minutes	ppwp_wp_session is a cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing the user's session on the website. The cookie is a session cookie and is deleted when all browser windows are closed.

Cookie	Varaktighet	Beskrivning
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_X8W3VDVR14	2 years	This cookie is installed by Google Analytics.
_gat_UA-112487526-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
utm_source	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.

Cookie	Varaktighet	Beskrivning
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
bcookie	1 year	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
d18efd344f	session	Collects information on user preferences and international with erb content. Used to promote relevant events or products. Session.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.
utm_medium	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.
ZCAMPAIGN_CSRF_TOKEN	session	No description available.
ZMEET_CSRF_TOKEN	session	No description available.