Dataintegritet

Humana anger riktlinjer för medarbetarnas användning av IT och data. Detta för att skydda all data kopplat till våra kunder och klienter som vi arbetar med.

Definition

Det är också för att skydda medarbetares integritet. Då var och en kan agera utifrån de förutsättningar som gäller. I förlängningen är det även för att skydda Humanas IT-infrastruktur mot intrång eller läckage av data.

Detta hjälper oss att vårda Humanas varumärke. Med utgångspunkt från Humanas verksamhetsområden, och de affärsmässiga krav som Humanas ägare, kunder och övriga intressenter ställer. Följande regler gäller för medarbetarnas IT-användning.

Utöver detta gäller att säker hantering av all typ av information. Den information som är av stor betydelse för Humana och dess underliggande Affärsområden. Den information som utgör en viktig del av företagets totala säkerhetshantering. Data ska inte kunna förvanskas eller förloras och data skall alltid skyddas mot obehöriga.

Mål

Humana har definierat dessa punkter som extra viktiga målområden att efterleva. 

Detta krävs av varje enskild användare vid brukande av Humanas IT utrustning och systemstöd. Humanas mål är att ha en IT miljö med få incidenter och hög datasäkerhet. Det innebär att Humana då efterlever de lagar och regler som är gällande för Humanas typ av verksamhet.

  • Hantering av behörigheter och lösenord
  • Användande av E-post och internet i tjänst och privat
  • Användande av Mobila enheter
  • Licensering av programvaror
  • Sekretess och behandling av känslig information och personuppgifter

För att säkerställa god kvalitet och efterlevnad på alla nivåer innebär det att vi på Humana

Alltid måste ha detta i åtanke:

  • Vi är skyldig att hålla lösenord hemligt och att inte förvara det i klartext vid vår arbetsplats.
  • Humanas E-post och internetanslutning får användas privat endast om det inte innebär olägenhet för arbetsgivaren.
  • All utrustningen skall hållas under uppsikt. När den inte används ska den förvaras inlåst eller medtagas hem efter avslutad arbetsdag. Den måste då vara låst under inloggning.
  • Endast programvaror som är godkända av Humanas IT avdelning får installeras på datorer och övrig IT relaterad utrustning.
  • Information får ej göras tillgänglig eller avslöjas för personer utanför organisationen utan godkännande från ansvarig person/närmsta chef.
  • Inom Humana används endast hårdvara så som datorer, kopiatorer, skrivare och mobiltelefoner. De ska vara införskaffade genom Humanas beställningsrutiner och i linje med de specifikationer som finns i Humanas beställningsportal.
  • Information får inte vidarebefordras till privata enheter (mobiltelefoner, surfplattor och så vidare) eller privat e-post.
  • Information innehållandes personuppgifter får inte vidarebefordras till tredje part utan signerat biträdesavtal i enlighet med gällande lagstiftning
  • Information av känslig natur får inte vidarebefordras till tredje part utan sekretessavtal. Till exempel vid samarbete med extern part eller leverantör.

Humanas medarbetare ska alltid hanterar känslig data, eventuella företagshemligheter, Humanas egendom i dokument och applikationen med största försiktighet. Endast i den omfattning som arbetsuppgiften eller medarbetarens roll kräver.

Detsamma gäller även för övergripande IT-säkerhet. Så som fjärråtkomst hemifrån eller från annan arbetsplats utanför kontor eller verksamhet via Humanas VPN koppling.

Varje medarbetare och dess närmsta chefs ansvar för att rättigheter/åtkomst är korrekt informerad till IT-avdelningen.

Det ska ske på en korrekt nivå utifrån medarbetarens roll i Humanas organisation. Det innebär även att ha en korrekt åtkomst till dokument och stödsystem. Men även kunskap om var medarbetaren ska lagra material för att automatisk backup ska gälla.

Mått

Dessa mått och mätpunkter används av Humana. För att löpande följa upp och säkerställa god kvalitet, korrekt IT användande och datasäkerhet.

  • Månatlig uppföljning av supportärenden baserat på kategori och affärsområde. Detta innebär att Humana löpande kan säkerställa att problemområden lyfts upp och åtgärdas. Humana följer då även upp lösningsgrad och svarstid för konstant förbättring.
  • Månatlig uppföljning av driftssituation tillsammans med driftspartner och övriga inblandade parter. Detta innebär att upphandlad SLA efterlevs. Att eventuella drift eller säkerhetsrelaterade incidenter alltid behandlas på korrekt sätt och finns dokumenterade.
  • Årlig IT enkät kopplad till den övergripande personalenkäten. Humana kan då fokusera på upplevda problemområden och arbeta aktivt på hantering av dessa. Humana eftersträvar här konstant förbättring med mätbart resultat år till år.
  • Interna revisioner av datasäkerhet och efterlevnad kopplat till PUL, Patientdatalagen och GDPR. Humana genomför stickprov i de system som innehåller denna typ av information. Avvikelser hanteras enligt gällande riktlinjer. Målet är att avvikelser alltid skall vara få och Humana ska arbeta aktivt på att dessa ej är återkommande.

Större IT incidenter så som driftsavbrott och incidenter runt intrång eller datasäkerhet hanteras som en avvikelse. Allt utöver registreras som ett supportärende samt att de alltid ska registreras i Humanas avvikelsesystem.

Ansvar

Behörigheter och lösenord

För att kunna upprätthålla en bra IT-säkerhet är det viktigt att den enskilde anställde följer riktlinjer kring behörighetshanteringen.

  • Den anställde är skyldig att hålla lösenord hemligt och att inte förvara det i klartext vid sin arbetsplats.
  • Den anställde lånar inte ut lösenord till någon annan person eller avdelning.
  • Den anställde byter lösenord när så behövs eller på uppmaning från IT-avdelningen eller systemägare.
  • För felsökning av datorer och mjukvara som rör en specifik användare får personligt lösenord endast lämnas ut till IT-avdelningen.

Internet

Loggning sker av trafiken i brandväggar. Användandet av internet är ett område där säkerheten påverkas i mycket hög grad av användarens beteende.

Allmänt gäller att vid nedladdning av filer från Internet krävs att man har gott omdöme. Att endast hämtar in sådant material eller information som är relevant för arbetet. Att nedladdningen kommer från välrenommerade webbsiter.

Det är inte tillåtet att via Internet titta/lyssna på material av pornografisk, rasistisk eller nazistisk karaktär. Förbudet gäller också material som är diskriminerande eller har anknytning till kriminell verksamhet.  

Privat surfande ska överhuvudtaget ske i ringa omfattning och med omdöme. Detta gäller även om man har sin privata dator eller telefon med sig under arbetstid.

Vid misstanke om brott mot denna policy

Varje chef är ansvarig för att misstänkt brott mot denna policy anmäls till Humanas CIO. En medveten överträdelse av allvarlig art kan leda till skadeståndsanspråk och uppsägning. Är överträdelsen av en mycket allvarlig art kan detta leda till polisanmälan och åtal.

Humana som företag ska alltid se till att medarbetaren är medveten om gällande lagstiftning. De ska ha fått utbildning som gäller utifrån dess arbetsuppgifter. Vara väl insatt i de lagar och regler som de på en daglig basis förväntas följa.

  • Personuppgiftslagen (PUL) SFS 1998:204
  • Bokföringslagen
  • Socialtjänstlagen (SOL 2001:453)
  • Hälso- och sjukvårdslagen 2017:30
  • Patientsäkerhetslagen 2008:355
  • GDPR, EU´s dataskyddsförordning

Ansvarig för Humanas Dataintegritetspolicy

Ansvarig för denna policy är Humanas CIO i samråd med Humanas koncernledning.