Patientsäkerhet vid distansarbeteförstudie

Transkript

1 Revisionskontoret PM NR 4/2014 Patientsäkerhet vid distansarbeteförstudie Helena Olsson Augusti 2014 Postadress: Revisionskontoret, J A Hedlunds väg 5, Kristianstad Besöksadress: Ambulansvägen, Hus 19, Centralsjukhuset Kristianstad Telefon (växel): Fax: Organisationsnummer: Internet:

2 2 Innehållsförteckning 1. Sammanfattning Inledning Bakgrund och syfte Revisionskriterier Metod och genomförande Regionövergripande Iakttagelser Granskningsområden och resultat Gällande beslut, policys och riktlinjer inom området Iakttagelser Uppföljning av att distansarbete sköts på ett tillfredsställande sätt utifrån patientsäkerhet och sekretess Iakttagelser Slutsatser och bedömningar... 11

3 3 1. Sammanfattning Förstudiens övergripande frågeställning har varit att, utifrån ett patientperspektiv, bedöma om arbete vid distansarbete inom Region Skåne sker på ett sätt som uppfyller gällande beslut, policys och riktlinjer. Det är viktigt att redan inledningsvis poängtera att vissa beslut, policys och riktlinjer gäller oavsett om medarbetaren arbetar på sin ordinarie arbetsplats eller på distans. Enligt informationssäkerhetsansvarig i Region Skåne hade regionen år 2013 cirka 400 applikationer/it-stöd som innehöll patientuppgifter varav ca 45 st ingick i sammanhållen journalföring. Av dessa var det endast ca 8 st som uppfyllde Patientdatalagens krav fullt ut. Denna bakgrundsinformation ges för att få en förståelse för att oavsett om medarbetaren arbetade på sin ordinarie arbetsplats eller på distans uppfylldes inte den integritet och säkerhet för medborgarna som lagen förutsätter inom området patientsäkerhet. Under år 2013 saknade regionen även rutiner och stöd för enhetlig hantering och återrapportering av dataintrång. Den sammanfattande bedömningen av förstudien visar att beslut, policys och riktlinjer gällande distansarbete inom Region Skåne till viss del efterlevs då det görs en del kontroller och uppföljningar. Däremot görs det generellt sett ingen systematisk uppföljning av området som med klarhet kan visa om arbete på distans sköts på ett tillfredsställande sätt utifrån patientsäkerhet och sekretess. Vidare visar förstudien att back-up av data inte alltid ges på ett tillfredsställande sätt vare sig medarbetaren arbetar på sin ordinarie arbetsplats eller på distans. Vad gäller följsamheten till Policy och riktlinjer om distansarbete i Region Skåne för de intervjuade cheferna årligen samtal med medarbetarna vid utvecklingssamtal angående uppföljning av att Region Skånes policy och riktlinjer om distansarbete följs. Inga förnyade avtal mellan arbetsgivaren och arbetstagaren gällande distansarbete tecknas innan en utvärdering av distansarbetet är gjord. Vad gäller IT-säkerheten vid distansarbete använder Region Skåne sig av RSVPNanslutning (Region Skåne Virtual Private Network) som, enligt IT-ansvariga, ger en säker uppkoppling med tillhörande säker information och till och med enligt dem säkrare än att befinna sig internt. Förstudien visar likaså att kryptering av data sker mer tillfredsställande vid RSVPN-uppkoppling. I dagsläget förekommer, enligt förvaltningschefen för Patientnämndens kansli, inga ärenden hos Patientnämnden som direkt kan kopplas till området distansarbete och patientsäkerhet. I takt med att distansarbete ökar är det viktigt att tillse att roller och ansvar i organisationen gällande informationssäkerhets- och patientsäkerhetsarbete är fastställda och att noggranna riskanalyser genomförs innan förändringar sker. Utbildning och information är likaså viktiga faktorer för att få säkerhetsmedvetna medarbetare inom

4 4 Region Skåne. Vidare är det viktigt att tillse att likvärdig sekretess/patientsäkerhet utförs när extern part granskar och utför arbete på distans till Region Skåne. Förstudien föranleder en fördjupad granskning för att kunna säkerställa att arbete vid distansarbete sköts på ett tillfredsställande sätt, utifrån patientsäkerhet och sekretess, inom Region Skåne. Det vore även av vikt att granska området vad gäller distansarbete som utförs av extern part. Vidare är det av betydelse att granska hur tillförlitligt Region Skånes backup-system generellt sett är utifrån ett patientperspektiv, oavsett arbete på ordinarie arbetsplats eller på distans, samt att antalet IT-stöd/applikationer och dess säkerhet bör ses över. 2. Inledning 2.1 Bakgrund och syfte I det moderna samhället har en successiv förändring skett vad avser möjligheten för arbetstagare att, vid olika tillfällen, förlägga delar av sin arbetstid utanför den ordinarie arbetsplatsen. Revisorerna avser att genomföra en förstudie med det övergripande syftet att, utifrån ett patientperspektiv, granska om arbete vid distansarbete inom Region Skåne sker på ett sätt som uppfyller gällande beslut, policys och riktlinjer. De frågor som revisorerna vill ha belysta är: Vilka beslut, policys och riktlinjer finns gällande området? Hur sker uppföljning av att detta sköts på ett tillfredsställande sätt utifrån patientsäkerhet och sekretess? 2.2 Revisionskriterier Med revisionskriterier avses de bedömningsgrunder som bildar underlag för revisionens analyser, slutsatser och bedömningar. Följande revisionskriterier har använts i denna förstudie: Patientdatalagen 2008:355 Personuppgiftslagen PUL 1998:204 Policy och riktlinjer om distansarbete i Region Skåne Region Skånes informationssäkerhetspolicy Region Skånes policy för IT-säkerhet Extern åtkomst RSVPN ansvarsförbindelse för anställd i Region Skåne Anvisning gällande åtkomst till Vårdtjänst via RSVPN

5 5 Läkarförbundets avtal Huvudöverenskommelse om lön och allmänna anställningsvillkor samt rekommendation om lokalt kollektivavtal Metod och genomförande Förstudien har genomförts genom dokumentstudier och intervjuer med berörda medarbetare inom Region Skåne. Intervjuer har genomförts med informationssäkerhetschef, personuppgiftsombud, regional chefläkare, regional patientsäkerhetssamordnare, förvaltningschef för Medicinsk service, förvaltningschef för Patientnämndens kansli, läkare, divisionschef vid Helsingborgs Lasarett, enhetschef för de medicinska sekreterarna vid Helsingborgs Lasarett samt IT-ansvarig vid Skånevård Sund för Helsingborgs Lasarett. Rapporten är sakgranskad av berörda inom respektive område. Revisorskollegiets kontaktperson har varit Jana Lund och revisionskontorets projektledare för förstudien har varit Helena Olsson. 3. Regionövergripande 3.1 Iakttagelser Med distansarbete avses inom Region Skåne arbete som anställd utför regelmässigt för längre eller kortare tid från hemmet eller annan plats som överenskommes från fall till fall. Distansarbetsplatsen tillhör huvudarbetsplatsen organisatoriskt. Syftet med distansarbete är att öka flexibiliteten för medarbetare samt möjlighet både för medarbetaren och för arbetsgivaren att kombinera effektivitet med ett bidrag till en förbättrad miljö genom ett minskat antal arbetsresor. Att arbeta på distans ska vara frivilligt för medarbetaren och till nytta för både medarbetare och arbetsgivare. Distansarbetet i Region Skåne regleras mellan parterna genom Region Skånes kollektivavtal. Kollektivavtalet kompletteras med ett tidsbegränsat skriftligt avtal mellan chef och medarbetare. Beträffande distansarbete och givetvis även vid arbete på sin ordinarie arbetsplats är informationssäkerheten oerhört viktig. Informationen ska bl a vara tillgänglig, riktig, konfidentiell/skyddad för obehöriga samtidigt som den ska vara spårbar till ursprung och kunna följas upp. Nedanstående bild visar på såväl patientsäkerhet som patientintegritet/sekretess.

6 6 Källa: Schematisk bild över Region Skånes arbete gällande informationssäkerhet Extern åtkomst RSVPN är en tjänst som ger anställda och samverkansparter möjlighet att skapa en säker anslutning till Region Skånes nät från Internet. I tjänsten finns möjlighet att logga in via elektroniskt ID-kort alternativt med ett engångslösenord via SMS. Beroende på inloggningsmetod och datorns säkerhetsnivå ges åtkomst till olika system/resurser. Liksom tidigare ger inloggning med engångslösenord tillgång till färre system än inloggning med eid-kort. I Region Skåne förekommer distansarbete inom olika yrkeskategorier och bl a utför röntgenläkare och medicinska sekreterare arbete på distans. I och med möjligheten med RSVPN-anslutningen skapas större möjligheter att vara tillgänglig och enligt de intervjuade ger det ett förbättrat beslutsstöd vid distansarbete genom åtkomst till journalsystem och tillhörande databaser. Distansarbete kan teoretiskt ske genom telefonsamtal, videosamtal samt genom internetuppkoppling. Uppkoppling på detta sätt ställer naturligtvis större krav på att det inte finns möjlighet för obehöriga att ta del av konfidentiell information och enligt de intervjuade bär givetvis arbetsgivaren ansvar för att lagar, beslut och riktlinjer följs men de intervjuade påtalar också att arbetstagaren bär ett stort ansvar i att detta efterlevs och att ingen obehörig har möjlighet att ta del av informationen. Arbetstagaren måste givetvis följa samma regler såsom sekretessregler som gäller när de arbetar vid sin ordinarie arbetsplats.

7 7 4. Granskningsområden och resultat 4.1 Gällande beslut, policys och riktlinjer inom området Iakttagelser Enligt Patientdatalagen 2008:14 (kapitel 2 ansvar för informationssäkerhet) ska vårdgivaren ge direktiv och säkerställa att det i verksamhetens ledningssystem för kvalitet och patientsäkerhet finns en dokumenterad informationssäkerhetspolicy. Informationssäkerhetspolicyn ska säkerställa att: 1. patientuppgifter i vårdgivarens dokumentation är åtkomliga och användbara för den som är behörig (tillgänglighet), 2. patientuppgifterna är oförvanskade (riktighet), 3. obehöriga inte ska kunna ta del av patientuppgifterna (sekretess), och 4. det i sådana informationssystem som är helt eller delvis automatiserade är möjligt att i efterhand entydigt kunna härleda åtgärder till en identifierad användare (spårbarhet). Vidare ska vårdgivaren utse en eller flera personer som ska ansvara för informationssäkerhetsarbetet. Den eller de som har fått denna uppgift ska minst en gång om året rapportera till vårdgivaren vilka granskningar och skyddsåtgärder av större betydelse som har gjorts i enlighet med informationssäkerhetspolicyn, riskanalyser som har utförts avseende informationssäkerheten och förbättringsåtgärder som har vidtagits. Enligt Policy och riktlinjer om distansarbete i Region Skåne gäller följande: Arbetsuppgifter och arbetsmängd ska distansarbetaren komma överens om med sin chef. Uppgifterna ska vara noga specificerade vad gäller mål, direktiv och tidsplan. Arbetsuppgifter av direkt patientrelaterad karaktär där sekretesslagstiftning gäller ska noga övervägas om dessa är lämpliga för distansarbete. I samband med övervägandet bör kontakter tas med IT-säkerhetsansvariga för att kontrollera vilken säkerhet för sekretesskyddade uppgifter som kan erbjudas. Arbetsgivarens policy för IT-säkerhet ska följas på samma sätt som vid huvudarbetsplatsen. Arbetsgivaren ska instruera medarbetaren om vilka säkerhetsregler som medarbetaren är skyldig att följa. Arbetsgivaren ansvarar för att distansarbetaren har en trygg arbetsmiljö som inte ger upphov till några skador. Det innebär bl a att arbetsgivaren ansvarar för att utrustning och maskiner som lämnas ut till den anställde är säkra ur skyddssynpunkt. Medarbetaren å sin sida ska följa givna föreskrifter och iaktta den försiktighet som behövs för att förebygga ohälsa och olycksfall. För distansarbete gäller arbetsmiljölagens bestämmelser vilket innebär att skyddsombud ska ha möjlighet att utöva den tillsyn distansarbetet kräver samt arbetsgivaren ska även ha tillträde till arbetsplatsen dock efter överenskommelse.

8 8 Distansarbete förutsätter tydlig målstyrning och uppföljning då distansarbetet innebär stora förändringar för chef och medarbetare vilket innebär att arbetsformen distansarbete kontinuerligt ska följas upp och medarbetaren förbinder sig att delta i uppföljningen vilken bl a ska omfatta: för- och nackdelar för den enskilde och verksamheten den sociala situationen arbetsmiljö och arbetsbelastning möjligheter och problem i vad mån avtalet täcker in relevanta aspekter Inom Region Skåne är Regionstyrelsen personuppgiftsansvarig för all behandling av personuppgifter som sker i Region Skånes verksamheter. Enligt personuppgiftslagen/ PUL har Region Skåne utsett ett personuppgiftsombud som har till uppgift att se till att personuppgifter behandlas på ett lagligt och korrekt sätt. Socialstyrelsens och Datainspektionens krav på sekretess och patientsäkerhet ska givetvis också följas av Region Skåne. 4.2 Uppföljning av att distansarbete sköts på ett tillfredsställande sätt utifrån patientsäkerhet och sekretess Iakttagelser Genom att Region Skåne använder sig av RSVPN-anslutning ger det, enligt de intervjuade, en säker uppkoppling med tillhörande säker information. Däremot görs det generellt sett ingen systematisk uppföljning av området som med klarhet kan visa om arbete på distans sköts på ett tillfredsställande sätt utifrån patientsäkerhet och sekretess. Enligt de intervjuade förs det däremot årligen samtal med medarbetarna vid utvecklingssamtal angående uppföljning av att Region Skånes policy och riktlinjer om distansarbete följs. När det gäller de medicinska sekreterarna vid Helsingborgs lasarett görs årligen kontroller av deras hemarbetsplatser av såväl arbetsgivare som skyddsombud. Vid dessa tillfällen sker genomgång av all teknisk utrustning med tillhörande program och att arbetsmiljön är tillfredsställande. Deras avtal gällande distansarbete förlängs var 6:e månad och förlängs först efter utvärdering. Beträffande arbetstiden kan distansarbetet maximalt omfatta 3 dagar i veckan och enhetschefen påtalar vikten av att medarbetarna ska vara med på informations- och arbetsplatsträffar för att på så vis få ta del av viktig information och för att upprätthålla en hög patientsäkerhet. Produktionen vid distansarbete följs kontinuerligt upp. För närvarande anges produktionen i antal skrivna tecken och var och en av medarbetarna får sin egen statistik en gång per månad och resultatet utgör sedan ett diskussionsunderlag vid förlängning av avtal samt i samband med medarbetarsamtal. Detta arbetssätt ska enligt enhetschefen ses över efter sommaren för att eventuellt följa både skrivna minuter och journaler istället.

9 9 I journalsystemet Melior förkommer, enligt de intervjuade, ingen kryptering av data om medarbetaren arbetar på sin ordinarie arbetsplats. Däremot vid inloggning med RSVPNanslutning och vid distansarbete krypteras all data. Vare sig de medicinska sekreterarna arbetar på sin ordinarie arbetsplats eller vid distansarbetsplatsen sker loggning i Melior. Genom loggning registreras automatiskt hur varje behörig har använt sin access. Enhetschefen för de medicinska sekreterarna gör sedan stickprovsgranskning men menar samtidigt att det är ett detektivarbete. Om det saknas vårdrelation kan påföljd ske i disciplinär, straffrättslig eller arbetsrättslig ordning. Vidare lämnas information om att när obehörigt intrång upptäcks är det oftast via utomstående som begär ut logg från sin egen journal och detta sköts centralt inom Region Skåne. Generellt lämnas information om att back-up av data inte alltid ges på ett tillfredsställande sätt vare sig medarbetarna arbetar på sin ordinarie arbetsplats eller på distans. Vidare hävdas att det är en kostnadsfråga hur mycket pengar respektive verksamhetschef ska lägga på back-up av data. Enligt uppgift finns det tre olika versioner av backup och det som skiljer dem åt är hur ofta systemet utför back-up. Enligt Socialstyrelsens krav är det verksamhetschefen som bär det yttersta ansvaret för exempelvis digitala journaler och att verksamheten har en tillförlitlig back-up av data. När det gäller att granska röntgenbilder på distans och inte på sin ordinarie arbetsplats sker detta enligt de intervjuade i liten skala inom hela Region Skåne. För att få en uppfattning av antalet har exempelvis förvaltningen SUND 3 stationer med teknisk utrustning för hemgranskning och som vardera kostar ungefär kr. I och med RSVPN-anslutningen ger det, återigen enligt de intervjuade, en säker uppkoppling med säker information. Vidare ges information av de intervjuade läkarna att Region Skåne har tecknat avtal med TMC (Telemedicine Clinic) som är en extern part som utför röntgendistansgranskning till Region Skåne. Beträffande läkare och deras jourarbete utförs en del arbetsuppgifter på distans. Flera av uppkopplingarna sker för att ge beslutsstöd i akuthandläggning av strokepatienter. Distansbedömningen av Rädda hjärnan sker genom nationell uppkoppling vid namn Sjunet och kräver inte RSVPN-anslutning. Däremot måste mottagande personal på plats på akutmottagningen godkänna inkommande samtal och ser dessutom vilket IDnummer uppringande part har. Båda parterna ser varandra under hela samtalet på bildskärm och själva videosamtalet är krypterat. Enligt uppgift sker ingen systematisk uppföljning av denna typ av distansarbete som kan garantera ett tillfredsställande sätt utifrån patientsäkerhet och sekretess. Däremot för de intervjuade cheferna årligen samtal med medarbetarna vid utvecklingssamtal angående uppföljning av att Region Skånes policy och riktlinjer om distansarbete följs. Enligt IT-ansvariga är RSVPN till för att skapa en säker kontakt med Region Skånes nätverk när man befinner sig utanför dess område och innebär att man skapar en tunnel in till nätverket. Genom inloggning med elektroniskt ID-kort ger det en säker inloggning och access till nätverket och till och med enligt ansvariga säkrare än att befinna sig internt. RSVPN loggar de personer som accessar nätverket samt även tidpunkt och längd på inloggningen. Det är de enskilda applikationerna som loggar användandet oavsett om man arbetar i en applikation internt eller på distans. Uppföljning av sekretess och säkerhet sker i de enskilda applikationerna. Det finns dock inte, enligt ansvariga, några rutiner för uppföljning av RSVPN- loggarna idag.

10 10 Enligt de informationssäkerhetsansvariga inom regionen har Regionstyrelsen delegerat arbete gällande integritetsfrågor till Beredningen för integritetsfrågor, som i sin tur har till uppgift att leda arbetet med integritetsfrågorna i Region Skåne. Beredningen lämnar kontinuerligt över rapporter gällande det arbete som beredningen utför. År 2013 granskades bl a uppföljning av efterlevnad av anvisningar för logguppföljning och dataintrång. Uppföljningen visade hur förvaltningar följde vid tiden gällande anvisningar avseende loggkontroll av personals åtkomst till patientuppgifter och dataintrång. Uppdraget genomfördes i form av en enkät som riktades till och besvarades av informationssäkerhetsorganisationen på förvaltningarna. Rapporten till Beredningen för integritetsfrågor visade på stora olikheter och kvalitetsskillnader i vårdenheters genomförande av systematisk slumpmässig loggkontroll. Uppföljningen visade också att det saknades rutiner och stöd för enhetlig hantering och återrapportering av dataintrång. Utgående från de i uppföljningen påvisade bristerna tog enheten för informationssäkerhet fram nya regionala instruktioner för loggkontroll. I samarbete med Koncernstabens HR-enhet togs även fram nya regionala anvisningar för hantering av dataintrång. Samma år redovisade beredningen bl a nedanstående IT-inventering för Regionstyrelsen. Inventeringen visade vid det granskade tillfället att: 771 applikationer/it-stöd fanns i Region Skåne ca 400 av dessa applikationer bedömdes innehålla patientuppgifter ca 45 berördes av sammanhållen journalföring det fanns drygt 100 leverantörer av applikationer till Region Skåne Enligt informationssäkerhetsansvarig var IT- systemens följsamhet till Patientdatalagen vid det tillfället följande: ca 8 IT-stöd bedömdes uppfylla Patientdatalagens krav varav ett antal av dessa var nationella IT-stöd ca 10 ytterligare system uppfyllde Patientdatalagens krav under år 2013 resterande system uppfyllde inte Patientdatalagens krav Vidare ges information om att Regionstyrelsen var 6:e månad får en rapport om hur arbetet med dessa brister fortskrider. I den senaste rapporten redovisas en del förbättringar men det förekommer fortfarande brister. Enligt informationssäkerhetsansvarig fanns ett beslutsförslag till beredningen i april 2014 gällande Årlig rapport om informationssäkerhetsarbetet i Region Skåne Tyvärr blev ansvarig förhindrad att delta och redovisa ärendet vid mötet varför ärendet bordlades. Den fortsatta hanteringen av rapporten ska diskuteras framöver och vidare lämnas information om att Beredningen för integritetsfrågor upphörde I dagsläget förekommer, enligt förvaltningschefen för Patientnämndens kansli, inga ärenden hos Patientnämnden som direkt kan kopplas till området distansarbete och patientsäkerhet.

11 Slutsatser och bedömningar Den sammanfattande bedömningen av förstudien visar att beslut, policys och riktlinjer gällande distansarbete inom Region Skåne till viss del efterlevs då det görs en del kontroller och uppföljningar. Däremot görs det generellt sett ingen systematisk uppföljning av området som med klarhet kan visa om arbete på distans sköts på ett tillfredsställande sätt utifrån patientsäkerhet och sekretess. Vidare visar förstudien att back-up av data inte alltid ges på ett tillfredsställande sätt vare sig medarbetaren arbetar på sin ordinarie arbetsplats eller på distans. Vad gäller följsamheten till Policy och riktlinjer om distansarbete i Region Skåne för de intervjuade cheferna årligen samtal med medarbetarna vid utvecklingssamtal angående uppföljning av att Region Skånes policy och riktlinjer om distansarbete följs. Inga förnyade avtal mellan arbetsgivaren och arbetstagaren gällande distansarbete tecknas innan en utvärdering av distansarbetet är gjord. Vad gäller IT-säkerheten vid distansarbete använder Region Skåne sig av RSVPNanslutning (Region Skåne Virtual Private Network) som, enligt IT-ansvariga, ger en säker uppkoppling med tillhörande säker information och till och med enligt dem säkrare än att befinna sig internt. Förstudien visar likaså att kryptering av data sker mer tillfredsställande vid RSVPN-uppkoppling. I dagsläget förekommer, enligt förvaltningschefen för Patientnämndens kansli, inga ärenden hos Patientnämnden som direkt kan kopplas till området distansarbete och patientsäkerhet. I takt med att distansarbete ökar är det viktigt att tillse att roller och ansvar i organisationen gällande informationssäkerhets- och patientsäkerhetsarbete är fastställda och att noggranna riskanalyser genomförs innan förändringar sker. Utbildning och information är likaså viktiga faktorer för att få säkerhetsmedvetna medarbetare inom Region Skåne. Vidare är det viktigt att tillse att likvärdig sekretess/patientsäkerhet utförs när extern part granskar och utför arbete på distans till Region Skåne. Förstudien föranleder en fördjupad granskning för att kunna säkerställa att arbete vid distansarbete sköts på ett tillfredsställande sätt, utifrån patientsäkerhet och sekretess, inom Region Skåne. Det vore även av vikt att granska området vad gäller distansarbete som utförs av extern part. Vidare är det av betydelse att granska hur tillförlitligt Region Skånes backup-system generellt sett är utifrån ett patientperspektiv, oavsett arbete på ordinarie arbetsplats eller på distans, samt att antalet IT-stöd/applikationer och dess säkerhet bör ses över... Helena Olsson Yrkesrevisor Certifierad kommunal revisor