| Inventeringsmall/Registerförteckning GDPR - VGR som personuppgiftsbiträde |
|
|
|
|
| 1 | INFORMATION OM INVENTERINGSOBJEKTET |
|
| 1.1 | Ange ett namn som identifierar behandlingen/systemet etc (benämns i formuläret som inventeringsobjekt) Ange om det är en behandling eller ett system som benämns. Inventeringsobjektets namn | Namn |
| Datum | Dagens datum |
| 1.2 | System | Välj eventuellt system i listan System |
| 1.3 | Hanteras IT/MT-systemet inom ramen för IS/IT styr-modell? | Besvaras i de fall inventeringsobjektet avser ett system Ja/Nej/Vet ej |
| 1.4 | Ansvarigt IS/IT-objekt | Ange IS/IT objekt Ange |
|
|
|
| 2 | INFORMATION OM PERSONUPPGIFTSANSVARIG |
|
| 2.2 | Namn på personuppgiftsansvarig organisation | Namn |
| 2.3 | Personuppgiftsansvarig organisationsnummer | Orgnr |
| 2.4 | Adress personuppgiftsansvarig | Adress |
| 2.5 | Kontaktperson personuppgiftsansvarig | Namn/telefon |
| 2.6 | Dataskyddsombud (DSO) hos personuppgiftsansvarig | Namn |
| 2.7 | Kontaktuppgifter Dataskyddsombud | Adress/telefon |
|
|
|
| 3 | INFORMATION OM PERSONUPPGIFTSBITRÄDE (inom VGR) |
|
| 3.1 | Ange nämnd/styrelse som är personuppgiftsbiträde | Nämnd/styrelse i VGR |
| 3.2 | Systemansvarig eller annan kontaktperson | VGRID/e-post |
|
|
|
| 4 | BESKRIVNING AV INVENTERINGSOBJEKTET |
|
| 4.1 | Beskrivning av inventeringsobjektet | Beskriv vad inventeringsobjektet används till. Beskrivning |
| 4.2 | Ingår personuppgifter i inventeringsobjektet? | Personuppgifter är allt som direkt eller indirekt kan knytas till en viss fysisk person som är i livet. Det kan handla om namn, personnummer, telefonnummer, men även bilder, IP-nummer eller biometriska uppgifter Ja/Nej |
| 4.2.1 | Beskriv övergripande ändamålen så precist så möjligt. | Ange |
| 4.3 | Varifrån hämtas personuppgifterna? | Ange |
| 1. Från den personuppgiftsansvarige | Ja/Nej |
| 2. Direkt från den registrerade (för den personuppgiftsansvariges räkning) | Ja/Nej |
| 3. Annan | Ange |
| Vid alternativ 2 eller 3, beskriv varifrån uppgifter hämtas | Ange |
|
|
|
| 4.4 | Vilka kategorier av registrerade behandlas? | Välj kategori av personer som hanteras i inventeringsobjektet
|
| Anställda | Ja/Nej |
| Patienter | Ja/Nej |
| Anhöriga | Ja/Nej |
| Studerande | Ja/Nej |
| Invånare i VGR i övrigt | Ja/Nej |
| Annan kategori av registrerad, beskriv: | Om ingen av kategorierna ovan är tillämplig, ange egen här Ange |
|
|
|
| 3 | ANLITANDE AV UNDERBITRÄDEN OCH ANDRA EXTERNA MOTTAGARE |
|
| 3.1 | Hanteras IT-driften genom avtal med extern leverantör (underbiträde)? | Ja/Nej/Vet ej |
| 3.1.1 | Om ja, finns underbiträdesavtal? | Bifoga/diarienummer |
| 3.2 | Anlitas annat underbiträde för behandlingen? | Utöver offentlighetsprincipen, sker utlämnanden/ direktåtkomst/ exporter av personuppgifter till andra externa parter? Ja/Nej/Vet ej |
| 3.2.1 | Om ja, finns underbiträdesavtal? | Ange vilken/vilka mottagare som uppgifter lämnas ut till, har direktåtkomst till eller exporteras till utanför Region Skåne Bifoga/ange diarienummer |
| 3.3 | Lämnas uppgifterna ut till andra externa mottagare? | Ja/Nej/Vet ej |
| 3.3.1 | Om ja, har ett personuppgiftsbiträdesavtal tecknats? | Ja (bifoga avtal)/Nej/Vet ej |
| 3.3.2 | Namn på underbiträden | Ange vem eller vilka som är personuppgiftsbiträden Ange företagsnamn/namn på annan organisation |
| 3.3.3 | Underbiträdens organisationsnummer | Ange organisationsnummer |
| 3.3.4 | Ange övriga kategorier av mottagare dit uppgifter kan komma att lämnas ut | Ange land för fysisk lagring, vid osäkerhet kolla upp i avtal eller med leverantör Ange |
| 3.3.5 | Länder där personuppgifterna lagras fysiskt | Ange |
| 3.5 | Kommer uppgifterna att hanteras i ett land utanför EU/EES | Att ha åtkomst till uppgifterna räknas också som hantering/ behandling av personuppgifter Ja/Nej/Vet ej |
| 3.5.1 | Om ja, finns dokumentation av lämpliga skydddsåtgärder? (bifoga/ange diarienummer) | Ja/Nej/Bifogas/Diarienummer |
| 3.5.2 | Om Ja, finns samtycke för hantering utanför EU/EES? | Med samtycke avses att personer vars personuppgifter behandlas, har gett ett specifikt samtycke för hantering i land utanför EU/EES Ja/Nej/Vet ej |
| 3.5.3 | Finns legalt stöd för hantering utanför EU/EES? | Kontrollera avtal och vad det ges för legalt stöd i avtalet för att uppgifterna ska hanteras säkert trots överförande till ett tredje land Ja/Nej/Vet ej |
| 3.5.4 | Land utanför EU/EES? | Ange land |
| 3.5.5 | Organisation utanför EU/EES? | Ange namn och organisationsnummer |
|
|
|
| 4 | SPECIFICERING AV PERSONUPPGIFTER |
|
| 4.1 | Vilka personuppgifter behandlas i inventeringsobjektet? | Personuppgift är allt som direkt eller indirekt kan knytas till en viss fysisk person som är i livet
|
| Namn | Ja/Nej |
| Adress | Ja/Nej |
| Personnummer | Ja/Nej |
| E-post | Ja/Nej |
| Foto, video eller ljud | Ja/Nej |
| Telefonnummer | Ja/Nej |
| IP-adress | Ja/Nej |
| VGRID | Ja/Nej |
| Diagnos, uppgift om hälsa | Ja/Nej |
| Övrigt | Ja/Nej |
| 4.2 | Om övrigt, ange vilka: | Vilka andra personuppgifter behandlas i inventeringsobjektet? (Det går också att bifoga en fil) Ange |
|
|
|
| 5 | KÄNSLIGA PERSONUPPGIFTER |
|
| 5.1 | Behandlas någon av dessa särskilda kategorierna? |
|
| Genetiska, biometriska | Ja/Nej |
| Politiska åsikter | Ja/Nej |
| Hälsa och sexualliv | Ja/Nej |
| Medlemskap i fackförening | Ja/Nej |
| Religiös/filosofisk övertygelse | Ja/Nej |
| Ras/etniskt ursprung | Ja/Nej |
|
|
|
| 6 | Personuppgiftsbiträdesavtal mellan personuppgiftsansvarig och personuppgiftsbiträde |
|
| 6.1 | Finns personuppgiftsbiträdesavtal tecknat med den personuppgiftsansvarige? | Ja/Nej |
| 6.1.1 | Om ja, bifoga. | Bifoga |
| 6.1.2 | Finns rutin för att säkerställa att personuppgifter behandlas i enlighet med, och inte utöver, de instruktioner som har lämnas från den personuppgiftsansvarige? | Ja/Nej |
| 6.1.3 | Om ja, beskriv eller bifoga. | beskriv/bifoga |
|
|
|
| 7 | FORSKNING |
|
| 7.1 | Behandlas personuppgifter för forskningsändamål? | Ange om personuppgifterna används för forskning. D v s när verksamhet i VGR behandlar personuppgifter så som personuppgiftsbiträde åt annan organisation som är personuppgiftsansvarig vid forskningen så som exempelvis ett universitet. (Om Nej, gå vidare till avsnitt 8) Ja/Nej |
|
|
|
| 8 | INFORMATIONSSÄKERHETSÅTGÄRDER |
|
| 8.1 | Skyddas åtkomst till personuppgifter av system för behörighetskontroll? | Ja/Nej/vet ej |
| 8.2 | Finns behörighetsmodell så att behörighet kan avgränsas till vad som är lämpligt att användaren kan få tillgång till för att kunna utföra sina aktuella arbetsuppgifter? (kan behöva omformuleras) | Ja/Nej/Vet ej |
| 8.3 | Hur sker inloggning vid åtkomst till uppgifterna?
1 Användarid och lösenord
2 Tjänste-ID – certifikat + PIN (stark autentisering)
3 Tjänste-ID – Mifare + PIN (svag autentisering)
4 Annan inloggning | [1-3] |
| Vid alternativ "4". Beskriv inloggningsmetod. |
|
| 8.3.1 | Vid alternativ "2". Ja, med annan stark autentisering" beskriv vilken typ | Ange |
| 8.4 | Är personuppgifterna insynsskyddade (krypterade) mot obehörig åtkomst vid överföring på nätverk, eller vid annan transport? | Vid outsourcing, följ upp i avtal Ja/Nej/Vet ej |
| 8.5 | Loggas åtkomst till uppgifterna så att det framgår vad som görs, när och av vem? | Ja/Nej/Vet ej |
| 8.6 | Finns rutin för regelbunden logguppföljning/åtkomstkontroll i verksamheten? | Ja/Nej/vet ej |
| 8.7 | Bedöms IT-utrustningen som personuppgifterna lagras på vara skyddad mot obehörig fysisk åtkomst (skalskydd)? (Kan vara lämpligare med ett antal kryssalternativ. Det kan bli väldigt olika svar beroende på om system eller lagringsyta som används. | Vid outsourcing, följ upp i avtal Ja/Nej/vet ej |
| 8.8 | Är informationen krypterad i sin lagrade form? | Ja/Nej/Vet ej |
| 8.9 | Om någon av ovanstående saknas, ange skäl | Beskriv och motivera i de fall skyddsåtgärder inte har vidtagits. Vissa typer av uppgifter kräver samtliga åtgärder. Ange |
| 8.10 | Hanteras personuppgifterna pseudonymiserade? | Ja/Nej/Vet ej |
| 8.11 | Finns dokumenterade riktlinjer för hur användare ska använda informationen på ett säkert sätt utan risk för brister i konfidentialitet? | Kan tex vara instruktioner kring hur gemensamma ytor får användas Ja/Nej/Vet ej |
| 8.12 | Finns dokumenterade rutiner/instruktioner/utbildning till användare för att uppgifter för personer med skyddade personuppgifter hanteras på ett säkert sätt? | Tex hanteringen av reservnummer i journalsystem eller patientadministrativa system. Funktioner för att kunna hantera HR-system med sådan personal. (Kommer uppgifter från PASIS så hanteras detta via PASIS) Ja/Nej/Vet ej |
|
|
|
| 9 | UTGÅR |
|
|
|
|
| 10 | PATIENTDATALAGEN |
|
| 10.1 | Används inventeringsobjektet för sammanhållen journalföring? | Ja/Nej/Vet ej |
| 10.2 | Finns rutiner och stöd för sammanhållen journalföring? | Endast nödvändigt om flera vårdgivare ska kunna ha direktåtkomst till uppgifterna Ja/Nej/Ej tillämpligt |
|
|
|
| 11 | INCIDENTHANTERING |
|
| 11.1 | Finns rutin för att hantera informationssäkerhetsincidenter (i förhållande till den personuppgiftsansvarige)? | Allvarliga incidenterska kunna rapporteras inom 72 h efter upptäckt. Ja/Nej/Vet ej |
| 12.2 | Om ja, bifoga/ange diarienummer | bifoga/ange |
|
|
|
| 13 | HUR LÄNGE SKA BEHANDLINGEN PÅGÅ |
|
| 13.1 | Finns en plan för hur länge de olika kategorierna av personuppgifter ska lagras? | Ja/Nej/vet ej |
| 13.3 | Hur sker gallring (radering) av personuppgifter (t.ex. förstörelse, avidentifiering)? | Har informationsobjektet en gallringsfunktion som medger att data, metadata och dokumentfiler etc raderas permanent efter beslut av informationsägaren? Vid osäkerhet, fråga leverantör Ange |
|
|
|
|
|
|
| INVENTERING KLAR | Ja/Nej |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|