Upplýsingaöryggisstefna Landspítala

Stefna Landspítala í öryggi upplýsinga lýsir áherslum spítalans á verndun og meðferð gagna/upplýsinga í vörslu og eigu Landspítala. Verja þarf þær upplýsingar sem Landspítali varðveitir fyrir öllum ógnum, innri og ytri, sem stafa af ásetningi, gáleysi eða slysni. Innleiðing og framkvæmd stefnunnar er grundvöllur að faglegum vinnubrögðum og er mikilvæg til að fullvissa starfsmenn Landspítala og notendur þjónustu spítalans, um heilindi og rétt vinnubrögð.

1. Umfang

Stefna um öryggi upplýsinga tekur til allra gagna/upplýsinga, í hvaða formi sem þau/þær eru og hvar sem þau/þær eru vistuð. Sérstök áhersla er lögð á: 

a. Heilbrigðisgögn; heilsufarsupplýsingar og lífsýni.

b.Persónulegar upplýsingar sem tengjast starfsmönnum Landspítala.

Stefna um öryggi upplýsinga tekur jafnframt til þess húsnæðis, búnaðar og kerfa, sem hýsa eða flytja gögn/upplýsingar, þ.m.t.. tölvuvélasalir, netþjónar, upplýsingakerfi, gagnagrunnar, kaplar, nettengibúnaður og fjarskiptaskápar.

Stefna um öryggi upplýsinga nær jafnframt til starfsmanna Landspítala og samningsbundinna samstarfsaðila sem hafa aðgang að umræddum gögnum/upplýsingum, s.s. verktaka eða þjónustuaðila.

2. Markmið

Markmið með stefnu um öryggi upplýsinga eru að:

a. Upplýsingar séu réttar og aðgengilegar þeim sem aðgangsheimild hafa.

b. Leynd upplýsinga og trúnaði sé viðhaldið, þar sem það á við. 

c. Upplýsingar sem fara um net Landspítala komist óskaddaðar til rétts viðtakanda.

d. Áhætta vegna vinnslu og varðveislu upplýsinga sé innan skilgreindra áhættumarka, í samræmi við áhættumat.

3. Leiðir að markmiðum 

Leiðir að ofangreindum markmiðum eru:

a. Að ávallt sé farið eftir þeim lögum, reglum og reglugerðum sem gerðar eru til starfsemi Landspítala um varðveislu, meðferð, verndun og skráningu heilbrigðisupplýsinga.

b. Að áætlanir séu gerðar um samfelldan rekstur, þeim viðhaldið og þær prófaðar til að tryggja öruggan rekstur og endurreisn kerfa.

c. Að frávik frá stefnu um öryggi upplýsinga séu rannsökuð og þeim fylgt eftir. 

d. Að vottun á starfsemi Heilbrigðis- og upplýsingatæknimála sé viðhaldið, samkvæmt ISO 27001. 

e. Að reglulega og með formlegum hætti, sé framkvæmt áhættumat á mikilvægum þáttum (e. Information assets) og þeim veikleikum sem geta stefnt þeim í hættu.

f. Að halda skrá yfir upplýsingaeignir og flokka þær eftir leynd, réttleika og tiltækileika.

g. Að afrit séu tekin af öllum gögnum og hugbúnaðarkerfum Landspítala.

h. Að fylgja og uppfylla alla samninga sem Landspítali er aðili að og varða öryggi upplýsinga.

i. Að ávallt sé farið eftir lögum og reglum Siðanefndar Landspítala, Persónuverndar og Vísindasiðanefndar, um meðferð umsókna um aðgengi að heilsufarsupplýsingum úr kerfum Landspítala, til að mynda til vísindarannsókna.

j. Að aðgengi að heilsufarsupplýsingum og upplýsingum um að lífsýni séu í samræmi við lög, reglugerðir og tilmæli, sem landlæknir og Landspítali hefur sett fram.

k. Að lögum, reglum og reglugerðum um heilbrigðisstofnanir sé fylgt sem og reglum Landspítala.

l. Að viðhalda gæðahandbókum með verklagsreglum og verkferlum vegna meðferðar upplýsinga og sjá til þess að starfsmenn og samstarfsaðilar fylgi þeim. 

m. Að starfsmenn fái þjálfun og fræðslu um öryggi upplýsinga.

n. Að tryggja verklag sem stuðlar að umbótum á sviði upplýsingaöryggis.

4. Ábyrgð

Ábyrgð við framkvæmd og viðhald stefnu um öryggi upplýsinga skiptist á eftirfarandi hátt:

a. Framkvæmdastjóri lækninga á Landspítala ber ábyrgð á öryggi sjúkraskrár á Landspítala.

b. Framkvæmdastjórn Landspítala ber ábyrgð á stefnu um öryggi upplýsinga og að hún sé endurskoðuð og rýnd reglulega.

c. Þróunarsvið ber ábyrgð á framkvæmd stefnu um öryggi upplýsinga varðandi allt sem snýr að rafrænum gögnum.

d. Yfirmenn Landspítala bera ábyrgð á því að starfsmenn þeirra fari eftir þeim reglum og tilmælum sem gilda um öryggi upplýsinga, meðferð heilsufarsupplýsinga, meðferð upplýsinga um lífsýni. Yfirmenn Landspítala bera einnig ábyrgð á því að viðhalda öryggisvitund meðal starfsmanna.

e. Öllum starfsmönnum ber að vinna samkvæmt stefnu um öryggi upplýsinga. Þeim ber að tilkynna öryggisfrávik og veikleika sem varða öryggi upplýsinga til gæða- og/eða öryggisstjóra síns sviðs, ef það á við, eða þeirra eininga sem fara með Heilbrigðis- og upplýsingatæknimál Landspítala, innan Þróunarsviðs. Starfsmönnum Landspítala ber, eftir fremsta megni, að tryggja að aðeins þeir sem hafa réttindi til, geti nálgast heilsufarsupplýsingar eða upplýsingar um lífsýni.

5. Viðurlög

Þeir sem ógna upplýsingaöryggi Landspítala af ásettu ráði, eiga yfir höfði sér málshöfðun eða aðrar viðeigandi lagalegar aðgerðir. Jafnframt eiga þeir á hættu, samkvæmt lögum um réttindi og skyldur starfsmanna ríkisins, áminningu eða, ef um endurtekin eða alvarleg brot er að ræða, brottvikningu úr starfi. 

Samþykkt af forstjóra Landspítala 23.janúar 2025