Hardware, software og fysiske forhold
Opdateret software
Opdateret styresystem, kontorpakke, værktøjs- og udvidelsesprogrammer.
Windows11 kører med automatisk opdatering af styresystemet, og kræver en målrettet indsats, hvis man selv vil styre opdateringerne. Men det gælder ikke nødvendigvis for andre programmer på din pc! Opdateringer er utroligt vigtige, da de bl.a. er med til at lukke de huller, om hackere løbende finder og udnytter til at få adgang til din data.
Lav en fast rutine for opdateringer, og udpeg gerne en ansvarlig i klinikken, som jævnligt sikrer at det sker.
Brug evt. gratis-programmet PatchMyPC, som kontrollerer din pc for ca. 300 kendte programmer og kontrollerer om de er opdaterede. I programmet kan du også igangsætte en eventuel opdatering af de programmer, der er omfattet i PatchMyPC.
Bemærk at det ikke dækker ALLE programmer, så vær opmærksom på, om I bruger andre, I selv skal holde øje med.
Her kan du på PatchMyPC's hjemmeside læse mere og downloade programmet
Sikkerhedspakke og Firewall
Beskyttelsesprogrammer mod virus, spyware, spam phising og hackere.
Det er din udbyder, der understøtter alt dette og derfor kan du kontakte dem for at forhøre dig om, hvordan jeres pc'er og server er dækket.
Passwords
Forskellige, personlige og lange adgangskoder.
Mange har svært ved at huske et password som ligner dette: D2t%skMrZ39
Overvej i stedet sætninger eller sammensætninger af ord – gerne hvor enkelte bogstaver er byttet ud med tal: D3t3r3tFornuftigtKodeord
Jo længere jo bedre – alle password kan i princippet knækkes, men for hvert tegn tager det længere tid for hackeren/programmet. Det er derfor ikke så vigtigt som tidligere at skifte password jævnligt – gør det som udgangspunkt derfor kun, hvis du har mistanke om, at det er blevet kompromitteret.
Password-Lyskrydset
Lav et system for dig selv, som gør det lettere at huske dine passwords, men hvor du samtidig aldrig bruger det samme kodeord flere steder.
Overvej om dét password, du skal oprette, giver adgang til dine ”kronjuveler” (RØD), vigtige oplysning (GUL) eller oplysninger der uden stor skade kunne undværes (GRØN).
Hovedtanken er, at du laver en grundfrase til hver kategori og tilføjer noget ekstra per password. Grundfrasen skal være noget som giver mening for dig (– og ikke nødvendigvis for andre).
På den måde skal du ”kun” huske de 3 faser samt din regel for det ekstra du tilføjer. Se nogle (tænkte) eksempler nedenfor, hvor grundfrasen er markeret med kursiv:
Rød (f.eks. MitID):
- *1detteervigtigtformig!MitID
- *1987CykelturVestjyllandMitID
Gul (f.eks. Facebook, Instagram, email-konto):
- 2RetvigtigformigInstagram og 2RetvigtigformigFacebook
- FlagstangiminhaveInstagram og FlagstangiminhaveFacebook
- ElskerEM2024Instagram og ElskerEM2024Facebook
Grøn (f.eks. foreninger, indkøbssider):
-
3MindstvigtigtFloorball og 3MindstvigtigtMadklub
-
FloorballKageergodtformig og MadklubKageergodtformig
Backup
Sikkerhedskopi af lægesystem, Medarbejdersignaturer og fælles filer/drev.
Spørg din udbyder om de laver backup og hvad de laver backup af. Mange opdager ved indlæsning af backup efter nedbrud, at det kun er lægesystemet der tages backup af. Så hvis I bruger jeres fællesdrev meget, og har vigtige dokumenter liggende, så sørg for at få dette med i jeres backup-aftale.
Backup’en er kun nyttig, hvis den er taget OG hvis den virker og kan indlæses. Derfor anbefales, at I jævnligt får testet at jeres backup virker, ved at udbyder laver en testindlæsning. Det er ikke nok, at I får en mail tilsendt, hvor der står, at backup er udført. Kontakt jeres udbyder og bed dem om at teste jeres seneste bakcup – gerne årligt. De vil muligvis kræve betaling for dette, hvis ikke det indgår i jeres kontrakt, men prisen for flere dage eller måneders datatab er endnu højere, hvis uheldet er ude for jer.
Nysgerrige øjne og ører
Tages der højde for fortrolighed i klinikindretningen?
I jeres klinikindretning skal der tages særligt højde for fortrolighed, så personfølsomme oplysninger ikke kan opfanges af uvedkommende.
Tænk derfor over om andre patienter kan se data om eller overhøre samtaler med andre patienter. Forslag til tiltag kunne være:
- Skærmfiltre
- Musik i venteværelset
- Støj-afskærmninger
- Adskilt skranke og venteværelse.
Hvis der ikke er mulighed for at have skranken adskilt fra venteværelset, kunne en anden løsning være, at man på skranken har nogle sedler liggende, som patienten kan give/vise sekretæren/sygeplejersken i skranken, når der ønskes særlig fortrolighed. Efterfølgende kan man føre samtalen med patienten et andet sted i klinikken, hvor der er mere diskretion. - Læg papirer med bagsiden op.
HUSK at der ikke må ligge papirer med cpr.-nummer og personfølsomme oplysninger fremme, så nysgerrige øjne kan læse dem. Hvis ikke det kan undgås, at de ligger der, så læg dem altid med bagsiden opad. Sørg også gerne for at de bliver lagt i skuffer eller skabe med lås, når du tager hjem. - Fjern/gem oplysninger om din patient, inden du kalder ny patient ind.
Sørg for, at den næste patient ikke kan se oplysninger om tidligere patienter – hverken på det fysiske skrivebord eller på pc’en. I nogle lægesystemer ses/læses navn og/eller personnummer tydeligt på skærmen, også på lidt længere afstand. Fjern/gem den tidligere patient fra skærmen inden den nye kaldes ind. I nogle lægesystemer kan man via opsætning ændre på, hvilke oplysninger der ses og med hvor store bogstaver/tal, det står på skærmen. Kontakt din udbyder for hjælp til denne opsætning.
Fysisk adgang til servere og arbejdsstationer
Server
Datatab sker ikke kun på grund af ondsindet virus eller hackerangreb! Det sker også på grund af brand, vandskade, lynnedslag, strømnedbrud etc. Derfor skal I sikre jer at serveren som minimum er sikret:
- bag mindst 2 låse. Yderdøren med alarm gælder som den ene. Der findes både serverskabe og andre installationer, som kan bruges til at låse serveren fast, hvis ikke der er mulighed for separat serverrum.
- mod vandskader. F.eks. at serveren er løftet fra gulvet, hvis den står i et kælderrum med risiko for oversvømmelse.
- mod overophedning af serveren. Rummet serveren står i skal være ventileret, så der ikke bliver for varmt.
- med en UPS (Uninterruptible Power Supply). Denne enhed sikrer, at serveren får strøm og tid til at lukke rigtigt ned i tilfælde af strømnedbrud, så datatab ikke sker.
PC'er og velkomstskærm
Velkomstskærmen skal være ”låst” for at uvedkommende ikke kan komme ind på jeres server. Kontakt jeres udbyder, hvis I opdager, at det ikke er tilfældet. Skærmen står mange steder ude af syne for personalet.
USB-portene bør være lukkede eller blokerede på både på velkomstskærm og andre pc’er dér, hvor gæster i huset har mulighed for ubevogtet at få adgang til dem.
Privat brug af arbejdsstationer
Politik for anvendelse af Facebook, privat email m.m.
Hav en politik i klinikken for hvad der er tilladt at bruge klinikkens pc’er til:
- må man læse private e-mails?
- må man tjekke sociale medier såsom Facebook og Twitter?
- må man søge privat på internettet fx efter den næste ferie?
Arbejdsmail og relevante hjemmeside i relation til jeres arbejde er naturligvis tilladt.
Husk at være skeptisk og opmærksom over for brug af nye hjemmesider og husk at kigge efter hængelåsen i adresselinjen eller at der står https// i adresselinjen (URL’en) og ikke http//. Husk det på, at s’et kan stå for security/sikkerhed – det viser, at hjemmesiden har købt et certifikat, som bevis for, at det er en sikker hjemmeside.
Være opmærksom på, at når du downloader filer fra hjemmesider, så lægges de i en mappe i stifinder-systemet som hedder ”Overførsler”. For at sikre at filer og dokumenter slettes dér kan du sætte en ”Lagerassistent” til at slette med jævne intervaller. Se vores vejledning om Lagerassistenten.
Her finder du vores vejledning til Lagerassistenten på sundhed.dk
Lås din pc, når du går fra den
Dette gøres med tasterne [Windows] + [L]
Gør det konsekvent! Det bliver en vane med tiden.
Husk derfor at bruge passwords, som giver mening og ligger godt i fingrene. Jo længere jo bedre, men de skal også være til at huske og forholdsvist hurtige at indtaste, da den skal indtastes mange gange i løbet af dagen.
Afmeld ophørte medarbejdere
Den vigtigste afmelding er i MitID Erhverv. Tjek også eventuelle adgange lægesystemet, fmk-online.dk, sundhed.dk, E-mail m.m.
Hav en rutine for, hvordan I sikrer jer at fratrådte medarbejderes adgange deaktiveres eller slettes. Dette gælder også ved ændrede arbejdsforhold for eksisterende medarbejdere, som ikke længere har brug for en adgang/login.
Ingen CPR-nr. i e-mail og vedhæftede filer
Husk at slette i ”Slettet post” og ”Papirkurv”
Som afsender er det dig, der har ansvaret!
Hvis ikke I har tilkøbt et krypteringsprogram til jeres mail så er den IKKE sikker
– heller ikke selvom modtager siger at deres modtagermail er sikker. Det skal krypteres på jeres side.
Find andre kanaler til en sikker kommunikation (link til siden med sikker kommunikation), og ellers er det snail-mail evt. krydret med et USB-stick, som er åbnet og KUN bruges til det nærværende personfølsomme data. USB-stick krypteres i Windows11 og modtager skal have oplyst dekrypteringskoden.
Hvis du en gang i mellem bliver nødt til at have dokumenter med personfølsomme data liggende på din pc, så husk at få den slettet efter endt brug.
Når du sletter en fil på din pc, så slettes den som udgangspunkt ikke permanent, men overføres til din ’Papirkurv’ på computer-skrivebordet. Herfra vil den kunne gendannes med ganske få klik. Når du downloader filer fra internettet, ligger der en kopi i ’Overførsler’, indtil der sker en aktiv sletning – det kunne f.eks. være Patientfortegnelsen. Der er derfor stor risiko for, at du uforvarende kommer til at gemme GDPR-kritiske dokumenter på din computer, som hackere vil kunne udnytte.
Både mappen ’Papirkurv’ og mappen ’Overførsler’ er mapper på computeren, som vi alle burde rydde op i, men som vi sjældent får gjort. Med få klik kan du sætte din computer op til automatisk at slette filer i ’Papirkurv’ og ’Overførsler’. Funktionen hedder ’Lagerassistent’ i Windows10.
Datakonsulenterne har udarbejdet en trin-for-trin guide til opsætning af Lagerassistent i Windows10.
Her finder du datakonsulenternes vejledning til Lagerassistent på sundhed.dk
Indholdsansvarlig: SydKIP