Humana anger riktlinjer för medarbetarnas användning av IT och data för att skydda all data kopplat till våra kunder och klienter som vi arbetar med. 

Definition

Det är också för att skydda medarbetares integritet eftersom var och en då kan agera utifrån de förutsättningar som gäller och i förlängningen även skydda Humanas IT-infrastruktur mot intrång eller läckage av data. Genom detta hjälper vi till att vårda Humanas varumärke. Med utgångspunkt från Humanas verksamhetsområden och de affärsmässiga krav som Humanas ägare, kunder och övriga intressenter ställer gäller följande regler för medarbetarnas IT-användning.

Utöver detta gäller att säker hantering av all typ av information är av stor betydelse för Humana och dess underliggande Affärsområden och utgör en viktig del av företagets totala säkerhetshantering. Data ska inte kunna förvanskas eller förloras och data skall alltid skyddas mot obehöriga.

Mål

Humana har därför definierat dessa punkter som extra viktiga målområden att efterleva för att uppnå en god datasäkerhet och att god efterlevnad gällande detta krävs av varje enskild användare vid brukande av Humanas IT utrustning och systemstöd. Humanas mål är att ha en IT miljö med få incidenter och hög datasäkerhet vilket även innebär att Humana då efterlever de lagar och regler som är gällande för Humanas typ av verksamhet.

  • Hantering av behörigheter och lösenord
  • Användande av E-post och internet i tjänst och privat
  • Användande av Mobila enheter
  • Licensering av programvaror
  • Sekretess och behandling av känslig information och personuppgifter

För att säkerställa god kvalitet och efterlevnad på alla nivåer innebär det att vi på Humana

Alltid måste ha detta i åtanke:

  • Vi är skyldig att hålla lösenord hemligt och att inte förvara det i klartext vid vår arbetsplats.
  • Humanas E-post och internetanslutning får användas privat endast om det inte innebär olägenhet för arbetsgivaren.
  • All utrustningen skall hållas under uppsikt och när den inte används ska den förvaras inlåst eller medtagas hem efter avslutad arbetsdag, och då låst under inloggning.
  • Endast programvaror som är godkända av Humanas IT avdelning får installeras på datorer och övrig IT relaterad utrustning.
  • Information får ej göras tillgänglig eller avslöjas för personer utanför organisationen utan godkännande från ansvarig person/närmsta chef.
  • Inom Humana används endast hårdvara så som datorer, kopiatorer, skrivare och mobiltelefoner införskaffade genom Humanas beställningsrutiner och i linje med de specifikationer som återfinns i Humanas beställningsportal.
  • Information får inte vidarebefordras till privata enheter (mobiltelefoner, surfplattor osv) eller privat e-post.
  • Information innehållandes personuppgifter får inte vidarebefordras till tredje part utan signerat biträdesavtal i enlighet med gällande lagstiftning
  • Information av känslig natur får inte vidarebefordras till tredje part utan sekretessavtal, tex vid samarbete med extern part eller leverantör.

Utöver detta gäller att Humanas medarbetare alltid hanterar känslig data, eventuella företagshemligheter och Humanas egendom i dokument och applikationen med största försiktighet och endast i den omfattning som arbetsuppgiften eller medarbetarens roll kräver. Detsamma gäller även för övergripande IT-säkerhet så som fjärråtkomst hemifrån eller från annan arbetsplats utanför kontor eller verksamhet via Humanas VPN koppling.

Det åligger även varje medarbetare och dess närmsta chef att alltid se till att rättigheter/åtkomst är korrekt informerad till IT-avdelningen och på en korrekt nivå utifrån medarbetarens roll i Humanas organisation. Det innebär även att ha en korrekt åtkomst till dokument och stödsystem men även kunskap om var medarbetaren skall lagra material för att automatisk backup skall gälla.

Mått

Dessa mått och mätpunkter används av Humana för att löpande följa upp och säkerställa god kvalitet, korrekt IT användande och datasäkerhet.

  • Månatlig uppföljning av supportärenden baserat på kategori och affärsområde, detta innebär att Humana löpande kan säkerställa att problemområden lyfts upp och åtgärdas, Humana följer då även upp lösningsgrad och svarstid för konstant förbättring.
  • Månatlig uppföljning av driftssituation tillsammans med driftspartner och övriga inblandade parter, detta innebär att upphandlad SLA efterlevs och att eventuella drift eller säkerhetsrelaterade incidenter alltid behandlas på korrekt sätt och finns dokumenterade.
  • Årlig IT enkät kopplad till den övergripande personalenkäten, Humana kan då fokusera på upplevda problemområden och arbeta aktivt på hantering av dessa. Humana eftersträvar här konstant förbättring med mätbart resultat år till år.
  • Interna revisioner av datasäkerhet och efterlevnad kopplat till PUL, Patientdatalagen och GDPR genom att Humana genomför stickprov i de system som innehåller denna typ av information. Avvikelser hanteras enligt gällande riktlinjer och målet är att avvikelser alltid skall vara få och Humana skall arbeta aktivt på att dessa ej är återkommande.

Större IT incidenter så som driftsavbrott och incidenter runt intrång eller datasäkerhet hanteras som en avvikelse och utöver att registreras som ett supportärende skall de alltid registreras i Humanas avvikelsesystem.

Ansvar

 

Behörigheter och lösenord

För att kunna upprätthålla en bra IT-säkerhet är det viktigt att den enskilde anställde följer riktlinjer kring behörighetshanteringen.

  • Den anställde är skyldig att hålla lösenord hemligt och att inte förvara det i klartext vid sin arbetsplats.
  • Den anställde lånar inte ut lösenord till någon annan person eller avdelning.
  • Den anställde byter lösenord när så behövs eller på uppmaning från IT-avdelningen eller systemägare.
  • För felsökning av datorer och mjukvara som rör en specifik användare får personligt lösenord endast lämnas ut till IT-avdelningen.

Internet

Loggning sker av trafiken i brandväggar då internetanvändandet är ett område där säkerheten påverkas i mycket hög grad av användarnas beteende.

Allmänt gäller att vid nedladdning av filer från Internet krävs att man har gott omdöme och endast hämtar in sådant material eller information som är relevant för arbetet och kommer från välrenommerade websiter. Det är inte tillåtet att via Internet titta/lyssna på material av pornografisk, rasistisk eller nazistisk karaktär, förbudet gäller också material som är diskriminerande eller har anknytning till kriminell verksamhet.  

Privat surfande ska överhuvudtaget ske i ringa omfattning och med omdöme, detta gäller även om man har sin privata dator eller telefon med sig under arbetstid.

Vid misstanke om brott mot denna policy

Varje chef är ansvarig för att misstänkt brott mot denna policy anmäls till Humanas CIO och en medveten överträdelse av allvarlig art kan leda till skadeståndsanspråk och uppsägning. Är överträdelsen av en mycket allvarlig art kan detta leda till polisanmälan och åtal.

Humana som företag skall alltid se till att dess medarbetare är medvetna och har fått utbildning om gällande lagstiftning och att de utifrån sina arbetsuppgifter är väl insatta i de lagar och regler som de på en daglig basis förväntas följa.

  • Personuppgiftslagen (PUL) SFS 1998:204
  • Bokföringslagen
  • Socialtjänstlagen (SOL 2001:453)
  • Hälso- och sjukvårdslagen 2017:30
  • Patientsäkerhetslagen 2008:355
  • GDPR, EU´s dataskyddsförordning

Ansvarig för Humanas Dataintegritetspolicy

Ansvarig för denna policy är Humanas CIO i samråd med Humanas koncernledning.