Opdateret 12. september 2017

Regler om brug og sikkerhed

(Version 2.1 af 4. maj 2015)

1. Generelt
Reglerne om sikkerhed og ansvar ved brug af sundhedsdatanettet (SDN) er i form af denne informationssikkerhedspolitik fastsat af MedCom på vegne af de tilsluttede organisationer (de dataansvarlige) med hvem, der er indgået databehandleraftale, som fastlægger MedComs ansvar som databehandler. MedCom er ansvarlig for driften af SDN, og denne informationssikkerhedspolitik revideres og godkendes af SDN-sikkerhedsgruppen, som er et sikkerhedsforum sammensat af de dataansvarlige og MedCom. MedCom har efter udbud indgået aftale med NetDesign som driftsoperatør på SDN og har indgået underdatabehandleraftale med NetDesign.

Informationssikkerhedspolitikken og tilknyttede regler kan til enhver tid ændres af MedCom efter dialog med SDN-sikkerhedsgruppen. MedCom offentliggør de til enhver tid gældende regler på www.medcom.dk.

De tilsluttede organisationer på SDN har ved tilmelding til SDN forpligtet sig til at overholde reglerne og eventuelle senere ændringer heraf.

2. Informationssikkerhedspolitikkens formål
Sikker anvendelse af SDN fordrer, at alle tilsluttede organisationer (Brugeren) bidrager til at sikre dette.

Informationssikkerhedspolitikken må ikke udgøre en hindring for Sundhedsdatanettets tilgængelighed, da hospitaler, læger mv. altid skal kunne udveksle kritiske informationer, der i visse tilfælde kan have betydning for patienters helbred og overlevelse, på en sikker måde.

De data, der transmitteres via SDN, vil i mange tilfælde indeholde følsomme personoplysninger af helbredsmæssig karakter, som betyder, at Brugeren har et lovgivningsmæssigt og etisk ansvar for at beskytte disse i forhold til fortrolighed og sikkerhed.

Integriteten af de data, der transmitteres via SDN, skal så vidt muligt tillige sikres, da modtagerne af de transmitterede sundhedsoplysninger som led i deres arbejde træffer kritiske og livsvigtige beslutninger på baggrund af disse. Såfremt data ikke er pålidelige, vil dette skade tilliden til SDN og samarbejdet mellem de tilknyttede parter.

Det er et mål for SDN, at styringen af informationssikkerheden vedvarende vedligeholdes og forbedres der, hvor det findes nødvendigt, så SDN til enhver tid har tidssvarende tekniske og organisatoriske sikkerhedsforanstaltninger. 

3. Omfang og gyldighedsområde
Politikken gælder for alle tilsluttede enheder i SDN, såvel myndigheder, organisationer og private virksomheder med tilknytning til den danske sundhedssektor (Brugeren). Brugeren kan indføre skærpede kontroller, afhængigt af egne behov og risikoprofiler, men skal betragte målsætningerne i denne it-sikkerhedspolitik som minimumskrav til den lokale informationssikkerhed.

Politikken omfatter al trafik og informationer, som transmitteres på SDN.

Informationssikkerhedspolitikken henvender sig til alle ansatte hos Brugeren og relevante eksterne parter (eks. leverandører) med fysisk eller logisk adgang til Sundhedsdatanettet.

4. Risikovurdering og -håndtering
Målene i denne it-sikkerhedspolitik skal overholdes af Brugeren. Disse mål skal fastlægges på baggrund af periodiske vurderinger af forretningsmæssige informationssikkerhedsrisici, som MedCom gennemfører på vegne af og i samarbejde med de dataansvarlige.

Det skal gennem løbende risikovurderinger grundlæggende sikres, at de data og informationer, som SDN transmitterer, er tilgængelige og forbliver fortrolige, når de er vurderet som værende af fortrolig karakter og fremstår med korrekt indhold. Samtidig skal det sikres, at ressourcer til minimering af de identificerede risici prioriteres og allokeres til de områder, hvor SDN's brugere får den største værdi, i form af sikkerhed og kvalitet. Adgang til teknisk udstyr i knudepunktet logges og auditeres af MedCom.

MedCom fastlægger som følge heraf et sikkerhedsniveau med følgende mål, som skal opfyldes af Brugeren:

  • Der skal som minimum en gang årligt gennemføres it-risikovurderinger
  • Data skal beskyttes mod uautoriseret fysisk og logisk adgang
  • Data skal sikres mod tab af fortrolighed og integritet
  • Data skal ved transmission krypteres og beskyttes mod aflytning, kopiering, modifikation, fejlforsendelse og destruktion
  • Der skal implementeres passende procedurer til sporing af og beskyttelse af malware
  • Medarbejdere skal trænes for at sikre efterlevelse af denne informationssikkerhedspolitik
  • Der skal styres og følges op på leverandører til sikring af stabil og sikker drift
  • Der skal etableres it-beredskab, der sikrer fokuseret styring mod retablering af systemer og data, så vidt muligt samt nødplaner, der sikrer den fortsatte afvikling af forretningsprocesser
  • Der skal sikres efterlevelse af national lovgivning samt EU-direktiver, indtil de er omsat i dansk lovgivning. (Af relevant national lovgivning kan nævnes Persondataloven, sikkerhedsbekendtgørelsen og Sundhedsloven).
  • Den anerkendte standard for styring af informationssikkerhed, ISO/IEC 27001:2013 skal efterleves
  • Der skal gennemføres revurderinger af ledelsessystemet til styring af informationssikkerheden (ISMS) med henblik på vedvarende forbedring af ledelsessystemet og informationssikkerheden
  • Der skal gennemføres monitorering og rapportering af sikkerhedshændelser

For at understøtte disse intentioner skal der være beskrevet passende politikker, procedurer og eventuelt vejledninger. MedCom er ansvarlig herfor.

5. Sikkerhedsbevidsthed
Brugeren har et ansvar for at bidrage til at beskytte informationer og informationssystemer. Brugeren skal derfor over for medarbejdere hos Brugeren ved og igennem ders ansættelse orientere om det generelle sikkerhedsniveau samt de retningslinjer, som er specifikke for den enkelte medarbejders opgaver i relation til anvendelse af SDN. Det er et fælles mål, at der løbende følges op på sikkerhed, således at sikkerhedsbevidstheden hos medarbejderne vurderes, vedligeholdes og forbedres for at kunne opretholde det ønskede sikkerhedsniveau.

6. Dispensation fra informationssikkerhedspolitikken
Dispensation fra informationssikkerhedspolitikken og de tilhørende retningslinjer kan imødekommes på baggrund af en risikovurdering og eventuelt implementering af nødvendige kompenserende sikringsforanstaltninger. Dispensationer skal godkendes af SDN-sikkerhedsgruppen, inden handlingerne kan gennemføres. Dispensationerne skal dokumenteres. Der vil ikke kunne gives dispensation i strid med gældende lovgivning, herunder Sundhedsloven og Persondataloven.

7. Brud på informationssikkerheden
Brugerne skal sikre, at enhver medarbejder, der har mistanke om, eller kan konstatere brud på informationssikkerheden i relation til SDN, straks rapporterer dette til den lokale informationssikkerhedsansvarlige, eller nærmeste leder, som har ansvar for rapportering til MedCom

Overtrædelse af reglerne udgør en misligholdelse af "Betingelser for tilslutning til og brug af sundhedsdatanettet". Væsentlig misligholdelse af betingelserne giver MedCom ret til at ophæve Brugerens tilmelding til SDN.

Det anses som en væsentlig misligholdelse, såfremt en bruger ikke øjeblikkeligt orienterer MedCom om ethvert sikkerhedsbrud, der kommer til brugerens kundskab.

8. Godkendelse og kommunikation
Informationssikkerhedspolitikken gældende for anvendelsen af SDN godkendes af SDN-sikkerhedsgruppen og revuderes en gang om året på baggrund af opdaterede risikovurderinger.