Beredningen för integritetsfrågor

Transkript

1 1. 1. Beredningen för PROTOKOLLSUTDRAG 1 (1) 43 Uppföljning av efterlevnaden av anvisningar för logguppgifter och dataintrång Diarienummer Beredningens beslut Beredningen för föreslår regionstyrelsen följande. Regionstyrelsen lägger rapporten till handlingarna. Sammanfattning Under 2013 har ett arbete pågått inom ramen för beredningen för kring efterlevnaden av logganalys enligt PDL. Detta resulterade i att en förstudie gjorts avseende möjligheten att erbjuda ett system för att följa upp och stödja verksamheten i det här arbetet. Förstuden visar att ett sådant verktyg skulle öka efterlevnaden och öka patientintegriteten. Genom samverkan med ett antal andra landsting kan detta ske på ett integrerat och effektivt sätt under I ärendet finns följande dokument 1. Beslutsförslag Enklare förstudie av logganalysverktyg 3. Regionstyrelsens beslut , 127 Vid protokollet Henrik Bergman Besöksadress: Skånehuset, J A Hedlunds väg Telefon (växel): Fax:

2 1. 1. Beredningen för BESLUTSFÖRSLAG Dnr (2) Beredningen för Uppföljning av efterlevnaden av anvisningar för logguppgifter och dataintrång Ordförandens förslag Beredningen för föreslår regionstyrelsen följande. Regionstyrelsen lägger rapporten till handlingarna. Sammanfattning Under 2013 har ett arbete pågått inom ramen för beredningen för kring efterlevnaden av logganalys enligt PDL. Detta resulterade i att en förstudie gjorts avseende möjligheten att erbjuda ett system för att följa upp och stödja verksamheten i det här arbetet. Förstuden visar att ett sådant verktyg skulle öka efterlevnaden och öka patientintegriteten. Genom samverkan med ett antal andra landsting kan detta ske på ett integrerat och effektivt sätt under I ärendet finns följande dokument 1. Beslutsförslag Enklare förstudie av logganalysverktyg 3. Regionstyrelsens beslut , 127 Beskrivning av ärendet Regionstyrelsen beslutade , 127, att ge regiondirektören i uppdrag att införa verktyg för logganalys som stödjer, underlättar och förbättrar verksamheters systematiska och återkommande stickprovskontroller av loggar, samt verka för att arbetet med centralisering av loggar fortskrider. H:\Beredning för \131204\Dagordning\Ärende U2 BIF_Beslutsförslag Niklas CZ.docx Postadress: Organisationsnummer: Besöksadress: Telefon (växel): Fax:

3 2 (2) Beredningen för ska rapportera senast till regionstyrelsen förstudie med förslag på utformning av logganalys samt statusrapport hur centralisering av loggar fortskrider. En förstudie har genomförts avseende möjligheten att erbjuda ett system för att följa upp och stödja verksamheten i det här arbetet. Förstuden visar att ett sådant verktyg skulle öka efterlevnaden och öka patientintegriteten. Genom ett verktygstöd ökar efterlevnaden av logguppföljning markant och tidsåtgången för verksamheten minskar. I slutändan innebär detta en ökad integritet och trygghet för våra patienter i takt med att mer och mer av vår verksamhet blir integrerad mellan olika IT-stöd. Genom samverkan med ett antal andra landsting kan detta ske på ett integrerat och effektivt sätt under Beredningen för initierade hösten 2012 en övergripande kontroll av hur Region Skånes följer gällande regelverk vid loggkontroll av personals åtkomst till patientuppgifter och hantering kring dataintrång. Arbetet rapporterades till beredningen i maj 2013 och har resulterat i att Region Skåne tagit fram nya gemensamma instruktioner för loggkontroll. Enligt de nya anvisningarna för loggkontroll ska alla förvaltningar och vårdenheter inom Region Skåne genomföra regelbunden loggkontroll på samma sätt avseende omfattning, urval, rapportering och uppföljning. Implementering av loggkontroll i enlighet med de nya anvisningarna pågår i verksamheten. Vidare har anvisningar avseende hantering av dataintrång uppdaterats. I de nya anvisningarna fastläggs att det är verksamhetschef som ansvarar för utredningen vid misstanke om dataintrång. På förvaltningar ska finnas en stödfunktion med utsedda personer som ska bistå verksamhetschefen vid utredning kring dataintrång. Konstaterade dataintrång ska rapporteras till förvaltningschef som beslutar om polisanmälan. Anders Åkesson Ordförande Region Skåne

4 1 (5) Förstudierapport logganalysverktyg 1 Bakgrund Idag hanteras uppföljningen av loggar manuellt enligt en fastställd rutin. Ett antal av loggarna väljs ut slumpmässigt och skall granskas varje månad. Vid uppföljning har det visat sig att det finns brister i spårbarheten kring hur uppföljning skett. I och med detta har en förstudie gjorts med syfte att analysera ett systemstöd. 2 Analys En genomgång har skett över hur Sveriges andra landsting hantera sin logg uppföljning. Efter genomgång av de systemstöd som används så konstaterades vid ett SLIT-möte (Sverige landstings ITansvariga) att SLL hade det verktyg (SALa) som var mest utbyggt även om de var byggt för att fungera tillsammans med Takecare som journalsystem. Ett studiebesök sattes upp och en genomgång har gjorts av deras lösning tillsammans av IT, Informationssäkerhet och medicinskt ansvariga. Efter studiebesöket så beslöts att den bästa lösningen för Region Skåne är att tillsammans SLL vidareutveckla SLL s logganalysverktyg. SALa är ett system, framtaget för att tillmötesgå de förhöjda kraven på säkerhet som Datainspektionen ställer gällande patienters information. Systemet granskar journalöppningsloggar från journalsystemet TakeCare enligt ett anpassningsbart regelverk. Regelverket är uppsatt för att påvisa överträdelser. Systemet har ett enkelt gränssnitt där användaren går igenom och behandlar loggar över användaraktiviteter som färgmarkerats enligt grad av överträdelse. SALa används idag av SLSO - Stockholms läns sjukvårdsområde och Landstinget Dalarna.

5 2 (5) 3 Funktionalitet Analys Signering Kontrasignering Historik 3.1 Analys Analysen körs en gång per månad. Vårdgivare och patienter på enheten som ska ingå i analysen slumpas fram och de förbestämda regler som gäller för enheten appliceras på berörda loggöppningar. 3.2 Signering Användare med rollen signerare i systemet har tillgång till denna vy. Signeraren väljer vilken spärrgrupp, enhet, period och användare denna vill signera för och presenteras då med journalöppningar att ta ställning till. Vilka användare som finns tillgängligt är de som slumpats fram analysen. Journalöppningarna presenteras som Röda,Orange och Gröna. Röda journalöppningar är de som har en allvarlig anmärkning medan Orange har mindre allvarliga anmärkningar och Gröna är de som inte har några allvarliga anmärkningar. I listan med journalöppningar som skapas har man möjlighet att få detaljerad information genom att klicka på informations-symbolen till vänster.

6 3 (5) I nuläget finns det i systemet fem anmärkningstyper per journalöppning. Anmärkningstyperna är Patient, Kontakt enhet, Kontakt grupp, Dokument användare och Dokument enhet. Patientkriterierna rör patientens ålder, huruvida patienten är anställd eller om journalöppnaren öppnat sin egen journal. Enhets- och Gruppkriterierna kontrollerar om patienten vårdats på den enhet respektive grupp som journalöppningen ägt rum på inom bestämda tidsramar. Dokumentkriterierna kontrollerar huruvida journalöppnaren fört dokument på användaren respektive om enheten har dokument på patienten. Signeraren bedömer journalöppningen och väljer lämplig åtgärd i listan. Det finns även möjlighet för signeraren att lägga till en kommentar till journalöppningen. Signeraren avslutar genom att klicka på knappen signera som då markerar alla journalöppningar som har en åtgärd som signerade. Signerade journalöppningar tas bort från resultatsidan. 3.3 Kontrasignering Användare med rollen kontrasignerare har tillgång till denna vy. Kontrasigneraren väljer spärrgrupp, enhet, period och användare på samma sätt som i signeringsvyn. Endast perioder och användare där det finns signerade journalöppningar som inte blivit kontrasignerade är valbara.

7 4 (5) När en användare väljs hämtas en listan med journalöppningar att kontrasignera för användaren i den aktuella perioden. Kontrasigneraren har i den här vyn stöd av vad signeraren bedömt för åtgärd och kan även läsa eventuella anteckningar signeraren adderat till journalöppningen. Kontrasigneraren tar det slutgiltiga beslutet angående journalöppningen och har även möjlighet att lägga till en anteckning. Efter att kontrasigneraren beslutat om åtgärd hamnar journalöppningen under fliken historik. 3.4 Historik I vyn historik kan användaren på samma sätt som för vyerna signering och kontrasignering välja spärrgrupp, enhet, period och användare.

8 5 (5) Resultat-listan visar då journalöppningar för den aktuella användaren i den aktuella perioden som blivit signerade och kontrasignerade. Behörig användare ser vilka beslut och slutsatser som fattats gällande den valda användarens journalöppningar samt även eventuella anteckningar från signerare och kontrasignerare. 3.5 Översikt Det finns en översikt tillgänglig i alla vyer som på ett enkelt sätt visar hur många journalöppningar som finns kvar att signera eller kontrasignera på en enhet eller för en användare om vald. Systemet har även inbyggt funktioner för att meddela signerare / kontrasignerare att det finns journalöppningar som ännu inte signerats / kontrasignerats. 4 Kostnader Den totala kostnaden kan delas upp i ett antal block. 1. Anpassning SALA för att kunna köras mot nationellt ramverk. Tillsammans med SLL har de anpassningar som behöver göras specificerats och en detaljerings arbete är startat med syfte att ta fram tidsplaner och exakta kostnader. Eftersom ett antal andra landsting/regioner också är intresserade så kommer detta att göras som ett samverkansprojekt mellan flera landsting. 2. Anpassning av Region Skånes journalsystem för att följa nationellt loggramverk. 3. Utbilda verksamheten. Enligt SLL har detta gått smidigt och kan göras med elearning.