Datasikkerhed i almen praksis
Gode råd
Opdateret software
Sæt dine pc'er til automatisk at opdatere styresystemet. Husk at vælge et opdateringstidspunkt, hvor pc'en sædvanligvis er tændt.
Søg også jævnligt efter opdateringer til kontorpakker, værktøjs- og udvidelsesprogrammer. Husk at opdatere på alle klinikkens pc'er.
Printere, routere, skærme og i det hele taget alt, som er forbundet til nettet/netværket, hvad enten det er kablet eller trådløst, skal også jævnligt opdateres. Det sker, at software ikke gør opmærksom på, at der findes nye opdateringer - man må for en sikkerheds skyld selv ind i menuen/indstillinger og søge efter disse.
Opdateringer kan indeholde både fejlrettelser, forbedringer i brugergrænseflade og øget datasikkerhed. Det er normalt ikke muligt helt at undgå ændringer i brugergrænsefladen, hvilket kan være ret så frustrerende, men altså nødvendigt af hensyn til datasikkerheden.
Hold øje med "end off life". Både soft- og hardware kan fungere fint herefter, men der modtages ikke længere opdateringer, og det er tid til at overveje ny-investering.
Sikkerhedspakke og Firewall
Anvend beskyttelsesprogrammer mod virus, spy- og ransomware, spam, phising. Få afklaret med din systemleverandør hvad han sørger for/kan tilbyde, og hvad du selv skal sørge for. Også beskyttelsesprogrammerne skal holdes opdaterede.
Den enkelte pc sikres fint med windows eget "Defender". Det er ikke absolut nødvendigt at investere i dyrere løsninger.
Passwords
Brug forskellige, personlige og lange adgangskoder. Hellere lange adgangskoder end korte kryptiske. Fx er "Der var engang 1 lille dreng som hed Ole Bole" meget bedre end "ghD67D".
Hvis klinikken har forskellige enheder, der har forbindelse til internettet, såsom internet-routere, kameraer, køleskabe, spirometre, EKG-apparater med mere, bør du sikre at standardpasswordet, som producenten leverede det med, er ændret. Hackere kender nemlig også disse og retter derfor angreb mod dem, fordi det er nemt.
Backup
Overvej hvilke data der skal sikres, så de kan genetableres. Sikkerhedskopi af lægesystemet er der ofte indgået aftale om med systemleverandøren, men husk også medarbejdersignaturer og fælles filer/drev. Systemleverandør tager typisk kun sikkerhedskopi af journalsystemet. Resten må du selv sørge for. Tjek ind imellem, at sikkerhedskopien findes, at den virker og at den opbevares forsvarligt, gerne på anden fysisk lokation.
Sikker Post
Opbevar ikke persondata andre steder end på serveren - ikke på klinikkens pc'er. Når det er nødvendigt at udveksle persondata med parter i sundhedsvæsenet, forsikringsselskaber o.lign. så gør det med sikker post, og slet derefter eventuelle lokale kopier.
Administratorrettigheder
Minimer antallet af brugerkonti med domæne- eller lokaladministratorprivilegier. Brugere med den slags privilegier skal bruge uprivilegerede konti til at tjekke mail og surfe på internettet.
Nysgerrige øjne og ører
Klinikindretningen skal tage højde for fortrolighed. Overvej evt. skærmfilter, som hindrer kig fra siden. Ved velkomstskærm, har man glemt sit sundhedskort og vil indtaste CPR nummer, så vises hele CPR nummer. Dette bør ændres så der vises **** i stedet for tal.
Fysisk adgang til servere og arbejdsstationer
Der skal være låst til serverrum, og adgang hertil bør begrænses til færrest mulige. Anden nødvendig adgang, f.eks. håndværkere, bør overvåges.
Usb-porte bør fysisk blokeres, hvor der er adgang til disse for uvedkommende. Bloker altid usb porte i venteværelser og lignende steder, og overvej om ikke også usb porte skal blokeres i konsultationslokaler. (Blokering bør foretages fysisk med såkaldte usb blockers). Vær også opmærksom på usb-porte i informations-skærme i venteværelset.
Trådløst netværk
Skal være krypteret med nyeste standard og sikret med lang adgangskode.
Skæg og snot for sig
Segmentér om muligt placeringen af persondata, så disse ikke er placeret på samme drev/server som jeres e-mail miljø.
Ved regelmæssigt hjemmearbejde kan det overvejes at anskaffe separat arbejds-pc, men kun hvis du har overskud til at holde denne opdateret.
Privat brug af arbejdsstationer
Klinikledelsen bør definere rammerne for anvendelse af Facebook, privat email m.m.
Lås din pc, når du går fra den
Du skal låse computeren eller disconnecte fra terminalen, når du forlader din arbejdsplads, selv for en kort periode. For eksempel med tasterne [Windows] + [L]
Afmeld ophørte medarbejdere
Klinikkens administrator skal slette MitID profiler via MitId erhverv (Log på via menu i øverste højre hjørne - brugere), men bør også af hensyn overblik/oprydning slette NemID på klinikkens pc'er og fjerne gamle sikkerhedskopier efter overgangen til MitID.
Desuden skal ophørte medarbejdere slettes i Lægesystemet og på www.fmk-online.dk, Sundhed.dk og i klinikkens E-mail-system.
Ingen CPR-nr. i e-mail og vedhæftede filer
Husk også at slette i ”Slettet post” og ”Papirkurv”
Tænk sikkerhed – naturlig skepsis
Vær ikke den lavthængende frugt.
Link
Læs også om Sikkerhed på mobile enheder
Indholdsansvarlig
Datakonsulent Karen Tvergaard
Mail: datakonsulent@rn.dk