Regelverk avseende hantering av loggrapporter för vårdsystem samt åtgärder vid dataintrång

Transkript

1 Regelverk avseende hantering av loggrapporter för vårdsystem samt åtgärder vid dataintrång Loggrapporten är en allmän handling som omfattas av Offentlighets- och sekretesslagen och ska därmed sekretessprövas innan den lämnas ut. En loggrapport kan begäras av vem som helst, men det görs vanligtvis av en patient eller verksamhetschef. Begäran om utlämnande av en allmän handling ska alltid hanteras skyndsamt. Allmänt om loggning I alla system som innehåller patientuppgifter finns krav på spårbarhet. Detta sker inom landstinget genom att system som innehåller patientuppgifter eller andra personuppgifter loggar händelser kring dessa. Loggen ska vara så detaljerad att den kan användas för att utreda felaktig eller obehörig användning av personuppgifterna (spårbarhet). Det ska vara möjligt att i efterhand reda ut vilken information som användaren har haft tillgång till, vad som har gjorts och när det har gjorts. Objektägaren för respektive system ansvarar för att det finnas dokumenterade regler för vad som ska loggas. Loggarna ska sparas i minst tio år. Patientadministration och behovet av en central hantering På Landstinget i Uppsala län finns en central enhet, CESÅ, som hanterar utlämnande av loggrapporter och journalkopior samt även spärrar i journalen. De tillhör Patientadministrationen vid Landstingets resurscentrum. Patientadministrationen är en gemensam servicefunktion för patienter, landstingets vårdverksamhet och andra externa parter. Förutom CESÅ finns där funktioner för att hantera patientfakturor, sjukresor, asylsamordning, husläkarlistning och vårdgaranti. Det är viktigt att även framöver ha en central funktion som hanterar utlämnande av loggrapporter. Därigenom kan landstinget ha en enhetlig hantering av detta samt ett konsekvent informationsflöde till patienterna. Ansvariga för verksamhetsspecifika vårdsystem, som inte är landstingsövergripande ska tillse att egna rutiner finns för logguppföljning. Denna uppföljning ska då minst nå upp till nivån i detta regelverk. 1

2 Begäran om loggrapport från patient eller annan person Diarienummer CK En begäran om loggrapport kan till CESÅ ske skriftligen, muntligen eller via formulär på och Begäran från patient som inkommer till verksamhetschef eller av denne utsedd person skickas av denne vidare till CESÅ för handläggning. - Kostnaden för allmänna handlingar såsom journalkopior och loggrapporter utgår från Landstingsstyrelsens beslut I klartext innebär detta beslut följande: Sida 1-9 utlämnas kostnadsfritt Sida 10 kostar 100 kronor Sida 11 och över kostar 6 kr styck upp till maxbeloppet 500 kr (som innebär 77 sidor eller fler) - Framställan av loggrapporten görs av CESÅ. I de fall en mer detaljerad loggrapport krävs tas denna fram av EPJ förvaltning med hjälp av tekniker för det aktuella systemet. - Loggrapporten skickas per post till folkbokföringsadressen. Om patienten önskar få loggrapporten skickad till annan adress eller om innehållet bedöms känsligt ur ett integritetsperspektiv skickas den istället med rekommenderad post. - Allmänna frågor om loggrapportens utseende och innehåll ställs till CESÅ. Vid frågor som gäller vilka som har varit inne i en viss journal och varför hänvisas patienten till aktuell verksamhetschef. För vidare åtgärder gällande dataintrång se detta avsnitt. Begäran om loggrapport från verksamhetschef - En verksamhetschef kan begära loggrapport för personal som tillhör det egna verksamhetsområdet. En verksamhetschef kan även begära en loggrapport för en patient som vårdats inom det egna verksamhetsområdet. - Begäran ställs till CESÅ som handlägger denna. I de fall en mer utförlig logg krävs hänvisar CESÅ till lämplig person på EPJ förvaltning. Loggrapporten skickas sedan till verksamhetschefen sekretessmärkt via krypterad e-post. 2

3 Systematisk loggkontroll via regelbundna logguttag Diarienummer CK Som vårdgivare är Landstinget i Uppsala län skyldiga att med regelbundenhet utföra slumpmässiga loggkontroller för att på så sätt upptäcka eventuella dataintrång. Detta skall göras fyra gånger årligen. Urval av loggposter som ska kontrolleras - 100st slumpvist utvalda anställda. - Maximalt 50st av de anställda som under senaste året valt att häva en spärr satt av en patient. EPJ förvaltning ombesörjer att dessa loggrapporter tas ut och skickas till respektive divisions- /förvaltningschef för vidarebefordran till divisionens/förvaltningens verksamhetschefer tillsammans med följebrev. I de fall landstingets gemensamma logghantering av tekniska skäl inte innehåller loggar från vissa landstingsövergripande vårdsystem, inhämtas dessa loggar separat och inkluderas i den systematiska loggkontrollen. Det är verksamhetschefen själv, eller någon av verksamhetschefen utsedd person, som kontrollerar att ingen otillbörlig åtkomst skett. Loggrapportens tidsperiod ska vara så omfattande som möjligt men vald utifrån bedömningen att rapporten ska vara hanterbar för den som ska kontrollera. Kontrollen skall inte ske slentrianmässigt, utan med kreativitet och inlevelse av typen: - Var accessen rimlig med avseende på tiden för åtkomsten? - Hade personen i sin befattning, rimligtvis behov av göra åtkomsten? Om tiden för åtkomsten avviker från tiden för patientens vårdkontakt, kan frågan ställas om syftet med åtkomsten var annat än vård av patienten, exempelvis kvalitetssäkring eller framställan av statistik. Den som följer upp åtkomsterna förutsätts väl känna till bestämmelserna i Patientdatalagen (SFS 2008:355) gällande tillåten och otillåten åtkomst. Den som kontrollerar åtkomster förutsätts också i lämplig omfattning ha direktkontakt med närliggande enhets ansvarig för att bättre kunna avgöra en enskild individs åtkomst. När kontrollen är klar meddelas förvaltning EPJ att så skett. Resultatet av kontrollen lagras hos respektive verksamhetschef. Avvikelser hanteras enligt rutin om misstänkt dataintrång. 3

4 Extra loggkontroller som åligger verksamhetschefen Förutom att landstinget utför en systematisk loggkontroll har respektive verksamhetschef ansvar för att i följande situationer själv initiera en loggkontroll. - När vårdkontakten avslutas för en patient som har skyddade personuppgifter. - När en patient med högt nyhetsvärde vårdas inom verksamheten. Exempel kan vara politiker, artister eller andra offentliga personer där man kan anta att allmänhetens intresse är högt. - När en hotbild mot patienten identifierats. - När en anställd vårdats inom samma verksamhet som denne normalt arbetar inom. Loggkontrollen sker genom att verksamhetschefen från CESÅ begär ut aktuell loggrapport och kontrollerar denna. Avvikelser hanteras enligt rutin om misstänkt dataintrång. Privata vårdgivare som använder landstingets vårdsystem I de fall privata vårdgivare via avtal använder landstingets vårdsystem agerar landstinget personuppgiftsbiträde. Själva personuppgiftsansvaret ligger hos den privata vårdgivaren. I praktiken innebär detta att landstinget utför behandling av den privata vårdgivarens personuppgifter enligt dennes instruktioner. När det finns reglerat i avtal kan landstinget, på uppdrag av den privata vårdgivaren, hantera utlämnande av loggar till den privata vårdgivarens patienter. Den privata vårdgivarens patienter kan då vända sig till CESÅ med sin begäran. Den privata vårdgivaren har själv ansvar att loggkontroller görs gällande sin egen personal. Beställningar av loggrapporter görs till CESÅ. Tillgång till landstingets verktyg för logguttag kan ges till en privat vårdgivare om åtkomsten kan begränsas till endast den privata vårdgivarens personuppgifter. I annat fall hanterar CESÅ uttag av dennes loggar. 4

5 Åtgärd vid misstanke om dataintrång Denna rutin gäller hur misstänkta dataintrång. Misstanke kan uppkomma i samband med förfrågan från patient, alternativt i samband med slumpmässiga eller riktade logganalyser. Åtgärder 1. I de fall misstanke om dataintrång initierats av en patient begär verksamhetschefen ut loggrapporten från CESÅ för att säkerställa att den överrensstämmer med den rapport som grundat misstanken. 2. Om tveksamheter föreligger och en djupare och mer teknisk utredning krävs tar verksamhetschefen kontakt med EPJ förvaltning. 3. Verksamhetschefen går sedan, tillsammans med den anställde som misstänks för dataintrånget, igenom loggrapporten och diskuterar otydligheter. 4. Återkoppling sker därefter till den som initierat frågan. Om det fortfarande föreligger misstanke om dataintrång kontaktas jurist och personalavdelning. 5. Personalavdelningen håller sedan, tillsammans med jurist, ett protokollfört möte med den misstänkte där denne redogör för sin förklaring till loggmärket samt att landstinget redogör för sin handlingsplan i ärendet. 6. Anses misstanken efter detta möte vara stärkt eller om personen ifråga erkänt ska händelsen polisanmälas. Övrigt: Ärenden av denna typ skall hanteras med stor försiktighet och med alla inblandades integritet i fokus. Av hänsyn till den som står som misstänkt ska ärendet hanteras skyndsamt. Verksamhetschefen och övriga inblandade måste vara mycket restriktiva med vilka som blir involverade i ärendet och vara noga med att sekretessen inte bryts. Den misstänkte kan mycket väl vara helt oskyldig till det förmodade dataintrånget. Vårdgivaren ska aldrig agera domare i fall där ord står mot ord. Dessa fall lämnas till polis och åklagare som i sin tur beslutar om vilka åtgärder som ska vidtas. Fastställd av chefläkargruppen LUL mars 2013 Fredrik Rosenberg, informationssäkerhetsansvarig LUL 5