Öryggisstefna landlæknis
1. Tilgangur
Þessi upplýsingaöryggisstefna lýsir áherslu landlæknis á upplýsingavernd og örugga meðferð upplýsingaeigna Landlæknisembættisins. Verja þarf upplýsingaeignir Landlæknisembættisins fyrir öllum ógnum, innri og ytri, af ásetningi, vegna óhappa eða af slysni. Fagleg vinnubrögð eru lykillinn að árangri og til marks um það er þessi upplýsingaöryggisstefna sett. Innleiðing og framkvæmd stefnunnar er mikilvæg til þess að fullvissa starfsmenn Landlæknisembættisins, notendur þjónustu embættisins og landsmenn alla um heilindi og rétt vinnubrögð í rekstri stofnunarinnar. Framkvæmdastjórn Landlæknisembættisins styður við framkvæmd stefnunnar.
2. Umfang
Upplýsingaöryggisstefna tekur til umgengni og vistunar allra upplýsinga í vörslu Landlæknisembættisins á rafrænu formi, prentuðu, handskrifuðu eða í mæltu máli. Hér er átt við:
a) Upplýsingar frá notendum heilbrigðisþjónustunnar sem sendar eru Landlæknisembættinu vegna eftirlits og vöktunar, vinnslu heilbrigðistölfræði, kvartana o.fl.
b) Upplýsingar sem eru eign Landlæknisembættisins og bundnar eignarétti eða háðar hugverkarétti.
c) Persónulegar upplýsingar sem tengjast starfsmönnum Landlæknisembættisins.
Upplýsingaöryggisstefnan tekur jafnframt til húsnæðis og búnaðar þar sem upplýsingar eru meðhöndlaðar eða vistaðar sem og starfsmanna og samningsbundinna aðila sem hafa aðgang að upplýsingum.
3. Markmið
Markmið Landlæknisembættisins með upplýsingaöryggisstefnunni er að:
a) Upplýsingar séu réttar og aðgengilegar þeim sem aðgangsrétt hafa þegar þörf er á.
b) Leynd upplýsinga og trúnaði sé viðhaldið þegar við á. Trúnaðarupplýsingar séu óaðgengilegar óviðkomandi aðilum og varðar gegn skemmdum, eyðingu eða uppljóstrun til aðila sem hafa ekki aðgangsrétt hvort sem er af ásetningi eða vangá.
c) Upplýsingar sem fara um net komist til rétts viðtakanda óskaddaðar, á réttum tíma og þess sé gætt að þær fari ekki til annnarra.
d) Að áhætta vegna vinnslu (meðferðar) og varðveislu upplýsinga sé innan skilgreindra áhættumarka.
e) Alltaf séu til áreiðanleg og örugglega varðveitt afrit af gögnum og hugbúnaðarkerfum.
f) Fylgt sé öllum lögum og reglum sem snerta Landlæknisembættið (sjá viðauka B). Þess skal sérstaklega gætt að vanda úrlausnir mála þar sem árekstrar kunna að verða milli ákvæða í mismunandi lögum og reglugerðum, t.d. upplýsingalögum og lögum um persónuvernd.
g) Fylgja öllum samningum sem Landlæknisembættið er aðili að og varða upplýsingaöryggi.
h) Áætlanir séu gerðar um samfelldan rekstur, þeim sé viðhaldið og þær prófaðar.
i) Frávik, brot eða grunur um veikleika í upplýsingaöryggi séu tilkynnt og rannsökuð.
4. Leiðir að markmiði
Leiðir Landlæknisembættisins að ofangreindum markmiðum eru að:
a) Halda skrá yfir upplýsingaeignir og flokka þær eftir mikilvægi leyndar, réttleika og tiltækileika.
b) Greina reglulega með formlegu áhættumati verðmæti upplýsingaeigna, viðkvæmni þeirra og ógnir sem geta stefnt þeim í hættu.
c) Stjórna áhættu innan skilgreindra marka með því að hanna, innleiða og starfrækja formlegt stjórnkerfi upplýsingaöryggis samkvæmt ÍST ISO/IEC 17799 :2000.
d) Gera öryggishandbók (skipulagshandbók) með verklagsreglum og verkferlum vegna meðferðar upplýsinga og viðhalda henni.
e) Allir starfsmenn Landlæknisembættisins fái þjálfun og fræðslu varðandi upplýsingaöryggi og ábyrgð þeirra hvað varðar upplýsingaöryggi.
f) Allir starfmenn fylgi öryggishandbók.
5. Ábyrgð
Ábyrgð við framkvæmd og viðhald upplýsingaöryggisstefnu skiptist á eftirfarandi hátt:
a) Landlæknir ber ábyrgð á þessari upplýsingaöryggisstefnu og endurskoðar (rýnir) hana reglulega í samvinnu við framkvæmdastjórn.
b) Öryggisstjóri Landlæknisembættisins ber ábyrgð á framkvæmd upplýsingaöryggis-stefnunnar og beitir til þess viðeigandi stöðlum og vinnuferlum.
c) Allir starfsmenn Landlæknisembættisins bera ábyrgð á að þeim vinnuferlum sem eiga að tryggja framkvæmd upplýsingaöryggisstefnunnar sé fylgt. Samstarfsaðilar, verktakar og birgjar bera ábyrgð á að fylgt sé samningsbundnum vinnuferlum sem eiga að tryggja framkvæmd stefnunnar.
d) Öllum starfsmönnum Landlæknisembættisins ber að vinna samkvæmt upplýsinga-öryggisstefnunni. Þeim ber að tilkynna öryggisfrávik og veikleika sem varða upplýsingaöryggi. Þeir sem ógna upplýsingaöryggi Landlæknisembættisins af ásettu ráði eiga yfir höfði sér málshöfðun eða aðrar viðeigandi lagalegar aðgerðir.
6. Endurskoðun
Þessi stefna skal endurskoðuð árlega og oftar ef þörf krefur til þess að tryggja að hún samrýmist markmiðum með rekstri Landlæknisembættisins.
7. Samþykki
Með samþykkt þessarar upplýsingaöryggisstefnu fellur úr gildi upplýsingaöryggisstefna sem samþykkt var af framkvæmdastjórn Landlæknisembættisins í júní 2001.
Seltjarnarnes, 20. desember 2004
Sigurður Guðmundsson, landlæknir
Viðaukar
A. Fjarvinnustefna
Það er stefna landlæknis að vinnsla með viðkvæm gögn fari einungis fram innan veggja embættisins.
B. Lög og reglugerðir
Upplýsingaöryggisstefnan byggist m.a. á ákvæðum í lögum um heilbrigðisþjónustu, sóttvarnalögum, læknalögum, lögum um starfsréttindi heilbrigðisstétta, lögum um réttindi sjúklinga, lögum um persónuvernd og reglugerðum settum skv. ofangreindum lögum.
Uppfært 27. nóvember 2008