Upplýsingaöryggisstefna SÁÁ
SÁÁ hagnýtir upplýsingatækni og upplýsingakerfi við varðveislu gagna og miðlun þeirra á sem hagkvæmastan hátt. Upplýsingakerfi SÁÁ innihalda viðkvæmar og í sumum tilvikum persónugreinanlegar upplýsingar sem ekki má nota í öðrum tilgangi en vegna starfsemi SÁÁ. Trúverðugleiki og hagsmunir aðila, sem tengjast málum er upplýsingarnar varða, gætu skaðast ef upplýsingarnar eru ónákvæmar, komast í rangar hendur eða eru ekki aðgengilegar þegar þeirra er þörf.
Afleiðingar þess að fyllsta öryggis sé ekki gætt gætu m.a. orðið eftirfarandi:
- Viðkvæm persónugreinanleg gögn geta komist í hendur óviðkomandi aðila
- Útgáfa á lyfseðlum gæti tafist eða stöðvast
SÁÁ leggur áherslu á mikilvægi meðferðar upplýsinga og upplýsingakerfa, þ.e.a.s. upplýsingaöryggi í heild sinni, í allri starfsemi sinni því hefur SÁÁ sett sér stefnu og skilgreint formlegt verklag vegna vinnu starfsmanna og þjónustuaðila við gögn og kerfi SÁÁ.
Öryggisstefnan nær til umgengni og vistunar allra gagna sem eru í vörslu hjá SÁÁ sem og samstarfs- og þjónustuaðila, hvort sem þær eru á rafrænu formi, prentuðu eða í mæltu máli. Þannig einsetur SÁÁ sér að verja upplýsingar gegn innri og ytri ógn hvort sem þær eru vísvitandi eða óviljandi.
Markmið með útfærslu og innleiðingu öryggiskerfis SÁÁ er að tryggja, ef skaði verður, áframhaldandi rekstur og lágmarka tjón með því að koma í veg fyrir eða lágmarka áhrif af atvikum sem geta truflað rekstur og þjónustu.
Stjórnendur sjá til þess að öryggisstefna SÁÁ sé endurskoðuð reglulega af óháðum aðila með formlegum hætti. Við þá endurskoðun er sú hætta sem steðjað getur að þeim upplýsingakerfum sem eru í notkun og innihalda persónuupplýsingar, sem og öðrum kerfum er tengjast þeim, endurmetin. Í kjölfar slíks endurmats og endurskoðunar er öryggisstefnan uppfærð og samþykkt formlega, auk þess sem stefnan og hugsanlegar breytingar á henni eru kynnt starfsfólki og samstarfsaðilum. Því er öryggisstefna SÁÁ byggð upp með tilliti til trúnaðar og réttleika og tiltækileika gagna.
SÁÁ leggur metnað í að tryggja trúnað og vernd þeirra persónuupplýsinga sem SÁÁ þarf að afla og vinna með í tengslum við starfsemi sína, þ.á.m. upplýsingar um sjúklinga, aðstandendur, starfsmenn, félags- og styrktaraðila og aðra viðskiptavini.
Persónuverndarstefnu þessari er ætlað að upplýsa þig um hvaða gögnum SÁÁ safnar, hvernig unnið er með slík gögn, hverjir hafa aðgang að gögnunum og hvernig þú getur nálgast frekari upplýsingar um persónuverndarmálefni SÁÁ.
Trúnaður
SÁÁ mun útfæra öryggiskerfi sín á þann veg að sem minnstar líkur séu á að því að utanaðkomandi aðilar fái aðgang að upplýsingum í heimildarleysi, þ.e. tryggja á sem bestan máta að einungis þeir aðilar sem til þess hafa heimild, hafi aðgang að upplýsingum.
Réttleiki gagna
SÁÁ vill tryggja að upplýsingar sem skráðar eru hjá honum á hverjum tíma, séu réttar og nákvæmlega skráðar. Að ónákvæmar, villandi, rangar eða úreltar upplýsingar séu leiðréttar, þeim eytt eða við þær aukið þegar slíkt uppgötvast og haldið verði uppi reglubundnu eftirliti í þeim tilgangi.
Aðgengi gagna
SÁÁ vill tryggja að upplýsingar sem skráðar eru í upplýsingakerfum séu aðgengilegar, þeim sem hafa heimild til notkunar á kerfunum, þegar þeirra er þörf. Jafnframt að kerfi og gögn sem kunna að eyðileggjast sé hægt að endurheimta með hjálp neyðaráætlunar og afrita sem geymd eru á öruggum stað. Til að uppfylla trúnað, réttleika og tiltækileika gagna tryggir SÁÁ að aðgangsheimildum notenda sé stýrt á formlegan og rekjanlegan hátt m.a. til að komast hjá sviksemi.
SÁÁ hefur skilgreint almenna öryggisþætti sem skýra ábyrgð aðila, markmið og tilgang stefnunnar sem og umfang hennar. Að auki hefur SÁÁ skilgreint sértæka öryggisþætti er lýsa nánar þeim öryggiskröfum sem SÁÁ hyggst mæta í öllum rekstri sínum. Þær sértæku öryggiskröfur ná m.a. til neðangreindra þátta:
Neyðarstjórnun og öryggisfrávik
Staðlar, lög og reglugerðir
Hugbúnaður
Skipulagning og samþykki kerfa
Útvistun
Trúnaðarheit
Meðferð búnaðar
Aðgangsöryggi
Gagnaöryggi – leynd og réttleiki gagna
Vernd gegn spillihugbúnaði
Neyðaráætlanir
Rekstraröryggi
Viðbrögð við öryggisfrávikum
Verklagsreglur
Fræðsla
Snjallsímar og spjaldtölvur
Förgun búnaðar og miðla
Handbók um öryggismál
Endurskoðun, áhættumat og innra eftirlit
Öryggisstefna verður endurskoðuð reglulega með formlegum hætti. Endurmeta skal þá hættu sem steðjað getur að þeim upplýsingakerfum sem eru í notkun hjá SÁÁ og innihalda persónuupplýsingar, sem og öðrum kerfum og gagnasöfnum sem tengjast þeim. Í kjölfar slíks endurmats og endurskoðunar skal uppfæra öryggisstefnu þessa og samþykkja formlega, auk þess sem stefnan og breytingar sem á henni kunna að vera gerðar, sé kynnt starfsfólki og samstarfsaðilum.
Lög og reglur
Öryggisstefna þessi tekur mið af lögum og reglugerðum um persónuvernd og meðferð persónuupplýsinga (sjá lög nr. 90/2018) og af öryggisstaðlinum ÍST 27001:2013. Öryggisstefnan er í fullu samræmi við reglur Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga.
Starfsmenn sem hafa aðgang að upplýsingum, sem og þeir samstarfsaðilar SÁÁ sem koma að rekstri upplýsingakerfa SÁÁ, skulu hafa aðgang að og þekkja til öryggisstefnu þessarar, ferla, reglna og handbókar um öryggi gagna sem snertir vinnu þeirra.
Um meðferð og viðbrögð við brotum á reglum þessum er vísað til laga sem og verk- og kjarasamninga.
Undir öryggisstefnu rita stjórn og framkvæmdastjóri SÁÁ.