Cookies

På Vårdgivarguiden använder vi cookies för att webbplatsen ska fungera på bästa sätt för dig. Genom att surfa vidare godkänner du att vi använder cookies.

Läs mer om cookies

Informationen som din verksamhet äger och förvaltar har olika värde. Informationssäkerhet handlar om att anpassa skyddet efter värdet på informationen oavsett om den hanteras på papper eller digitalt.

Det som avgör hur viktig informationen är för verksamheten är de interna och externa kraven. Det vill säga

  • vilka lagar och föreskrifter som gäller
  • vad som skrivits och regleras i de avtal som tecknats
  • verksamhetens riktlinjer och policys.

Det är den högsta chefen som är juridiskt ansvarig för informationen. Det är den person som bär ansvar för att informationen hanteras på rätt sätt utifrån de lagar, föreskrifter och avtal som gäller för just den verksamheten. Det är ett ansvar som inte kan delegeras till någon annan så att säkerställa rätt hantering och skydd är viktigt.

Hur gör vi?

Här listas fem steg som är viktiga att följa när en verksamhet ska jobba med informationssäkerhet. De flesta aktiviteter kan gärna genomföras som workshops där följande funktioner kan delta:

  • några från ledningsgruppen
  • användare av berörda IT-system/informationstyp
  • någon som leder och dokumenterar mötet.

Se till att alla i gruppen känner sig inkluderade och fria till att bidra med sina egna tankar och tips.

1. Inventera


Första steget är att få en bild över vilken information ni äger och/eller förvaltar. Gör en informationsinventering för att ta reda på vilken information som är viktig inom en verksamhet.

Aktiviteten kan göras som en workshop. Om det är en liten verksamhet bör minst en från varje funktion/ansvarsområde ingå. Vid en större verksamhet är det bättre att utse en person som ska ansvara för att inventera informationen och sedan sammanställa den till ledningsgruppen.

Oftast finns det mesta i IT-system. Beskriv syftet med IT-systemet och vilken information det innehåller, till exempel personuppgifter, patientdata och personalakter.

Inventeringsdokumentet ska fortsätta förvaltas då information eller IT-system avvecklas och nya tillkommer. Se därför till att ta fram en process för att hålla listan aktuell. Att inventeringen görs efter din verksamhets behov är till stor hjälp när informationen sedan ska värderas.

2. Klassificera


Varje informationstyp/mängd ska nu värderas, det vill säga klassificeras. Värdet bestäms utifrån hur viktig informationen är för verksamheten.

Klassificeringen ger ett facit på vad det bör läggas resurser på att skydda och hur beroende verksamheten är av viss information. Att klassificera informationen går att göra på två sätt:

  1. Efter IT-system (databas eller applikation, till exempel personalsystem)
  2. Efter informationstyp (till exempel personuppgifter).

Klassificeringen sker sedan huvudsakligen utifrån tre säkerhetsaspekter:

  • Konfidentialitet
  • Riktighet
  • Tillgänglighet

Konfidentialitet

Viktig informationen måste skyddas från obehöriga. Exempel på information som har hög konfidentialitet är patientdata, skyddade personuppgifter eller del av personalakten som innehåller rehabiliteringsplan.Om obehöriga skulle komma åt konfidentiell information kan det leda till skada för individen, till exempel kränkning eller orsaka lidande. Det kan även skada förtroendet för verksamheten vilket skulle kunna leda till ekonomiska påföljder.

All information har inte lika hög konfidentialitet. Några exempel är den information vi vill sprida såsom innehåll på hemsidan eller i nyhetsbrev.

Riktighet

Det är viktigt att informationen inte förvanskas eller innehåller felaktigheter. Den information som används för att fatta beslut måste vara pålitlig. En läkare förlitar sig på labbsvar, en beslutsfattare på utredningar och statistik. Beslut som tas utifrån felaktig information kan orsaka skada för individen/patienten. Det kan även skada förtroendet för verksamheten vilket kan resultera i ekonomiska påföljder och problem att fullgöra sitt uppdrag. Publik information på hemsidan, som inte är konfidentiell, har högre klass när det gäller riktighet då fel information kan skada varumärket.

Tillgänglighet

Verksamheten ska kunna komma åt informationen när den behöver det. All information behöver inte vara tillgänglig dygnet runt. Här handlar det om att identifiera information som måste vara tillgänglig för att verksamhetens ska kunna fullfölja sitt uppdrag. Diskutera gärna hur länge ni klarar er om journalsystemet inte är tillgängligt. Hur länge klarar ni ett driftstopp?

Val av klassificeringsmodell

Det är viktigt att välja en klassificeringsmodell som passar den egna verksamhetens behov. På nätet finns det flera olika modeller. Skalan ska helst inte vara tre- eller femgradig för då riskerar allt att graderas i mitten. Klassificeringen ska väcka dialog kring känsligheten av informationen.

3. Riskanalys


När värdet på informationen klassificerats blir det lättare att prata risker och sårbarheter. Den aktiviteten kan göras vid en workshop. Avgörande för att resultatet/underlaget ska bli bra är att alla får chansen att bidra med de risker de kommer på. Gruppen bör bestå av samma personer som klassificerade informationen samt några som som är ansvariga för, eller kunniga om, IT-driften. Här gäller det att alla tänker hur de hanterar informationen i sin vardag och vilka risker de ser med den hanteringen.

För att underlätta utformandet av rätt skydd är det viktigt att beskriva hur risken skulle kunna orsaka eventuella lidande/skador för individen/verksamheten. Släpp fantasin fri!

Risker skulle kunna vara:

  • Kan vi drabbas av inbrott?
  • Kan någon stjäla lösenordet och logga in?
  • Kan någon ändra/förvanska informationen?
  • Kan praktikanter på HR hitta nyckeln till arkivlådan och läsa personalakter med rehabiliteringsplaner?
  • Kan vi få in ett mail med en länk som gör att när någon klickar på länken så krypteras hela databasen och ingen kommer åt informationen?

Om det finns risk att det inträffar beskriv hur det skulle påverka verksamheten.
Fundera på alla hot mot säkerhetsaspekterna konfidentialitet, riktighet och tillgänglighet. Tänk på att stress kan orsaka att någon gör fel, men även att bedragare utnyttjar våra empatiska sidor och på så sätt kommer åt informationen.

Analysera sedan de risker ni kommit på utifrån hur sannolikt det är att de inträffar och hur stora konsekvenserna skulle bli. Det är väldigt nyttigt att diskutera kring varje hot och risk som identifierats då det ger en uppfattning om hur skyddet bör utformas. Dokumentera riskanalysen då den är ett viktigt underlag till beslutsfattare (ledningsgruppen) när de ska fatta beslut om skyddsåtgärder.

Val av riskanalysmodell

Det är viktigt att välja en riskanalysmodell som passar den egna verksamhetens behov. På nätet finns det flera olika modeller. Skalan ska helst inte vara tre- eller femgradig för då riskerar allt att graderas i mitten. Analysen ska få er att diskutera vilka hot och risker som måste minimeras.

Exempel på riskmodell

Tillämpningsanvisning för hur verksamheter kan arbeta med riskhantering samt stegen för att genomföra riskbedömning och riskbehandling gällande informationssäkerhet.

4. Åtgärd av risker


Riskanalysen används som underlag för beslut om rätt skyddsåtgärder. Riskägaren är alltid den som har det juridiska ansvaret för informationen. Analys av hur starkt skyddet för informationen bör vara baseras även på de interna och externa krav verksamheten ska uppfylla för att fullgöra sitt uppdrag. Exempel på externt krav är GDPR/Dataskyddförordningen som i maj 2018 ersätter Personuppgiftslagen (PUL) vilken ställer högre krav på skyddet av personuppgifter. Ett annat exempel kan vara Hälso- och sjukvårdslagen som reglerar hur patientdata ska hanteras. Interna krav handlar om verksamhetens egna policys och riktlinjer.

Riskerna elimineras med hjälp av administrativa och tekniska säkerhetsåtgärder.

Administrativa säkerhetsåtgärder

Kan vara policys, riktlinjer, instruktioner och manuella rutiner. Fundera på vilka riktlinjer ni saknar för anställda vad gäller hantering av verksamhetens information. Vad gäller för dem som är på tjänsteresa eller arbetar hemifrån vid inloggning till er IT-miljö? Är det okej att skriva ned lösenordet på en post-it och klistra fast den på skärmen?

Tekniska säkerhetsåtgärder

Är de lösningar som finns för att skydda informationen, till exempel kryptering, backupper eller tvåfaktorinloggning. Nuförtiden ligger det mesta av vår information på servrar, databaser, diskar eller molnet. Den skyddsvärda informationen ska garanteras rätt skydd även när den flödar mellan olika system. Här bör en IT-säkerhetskunnig person rådfrågas. Går det att eliminera eller minimera några av de identifierade riskerna i riskanalysen med hjälp av tekniken? Till exempel genom spårbarhet med hjälp av loggning och återställning av backupp vid diskkrasch eller virus.

Alla risker som åtgärdas ska dokumenteras och de kvarvarande riskerna accepteras av riskägaren/informationsägaren. Riskanalys behöver göras vid alla större förändringar som kan utgöra ett hot mot konfidentialitet, riktigheten och tillgängligheten. En del av riskerna bedöms kanske inte som stora, men det kan vara bra att ta upp dem igen när nästa riskanalys genomförs. Nyttigt är att följa upp om riskerna återkommer och om sannolikheten och konsekvensen bedöms lika.

En dokumentation över riskåtgärder bör innehålla:

  • datum
  • vilka som deltog
  • vilka risker som identifierats
  • bedömning över sannolikheten och konsekvensen
  • om risken åtgärdats och hur.

5. Utbilda

Att kontinuerligt informera och utbilda om informationssäkerhet inom en verksamhet håller liv vid processer, rutiner och arbetssätt. Verksamhetsansvarig som lyckas hålla detta ämne levande, och som ständigt uppmuntrar till dialog kring frågorna, bidrar inte bara till att hålla informationen säker, riktig och uppdaterad. Den ser även till att risker identifieras, att patient- och personalakter inte hamnar i fel händer och att verksamhetens förtroende och goda rykte inte skadas.

Mer information