Måste vi som vårdgivare ha en informationssäkerhetspolicy och vems är i så fall ansvaret att ta fram den? Vi är bara en liten verksamhet.