Beslut Diarienr 2014-05-07 578-2013 Äldrenämnden Karlskrona kommun Äldreförvaltningen 371 83 Karlskrona Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens beslut Äldrenämnden, Karlskrona kommun (nämnden) föreläggs att genomföra en dokumenterad behovs- och riskanalys enligt 2 kap.6 andra stycket andra meningen SOSFS 2008:14 1 för Procapita och andra informationssystem som innehåller vårddokumentation enligt 2 kap. 4 första stycket 1 och 2 patientdatalagen. Datainspektionen förutsätter att nämnden ser till att det i respektive system finns loggar i enlighet med 2 kap. 11 SOSFS 2008:14 att det finns skriftliga riktlinjer till befattningshavare som utför loggkontroller, så att dessa befattningshavare på ett systematiskt sätt kan kontrollera om någon har kommit åt patientuppgifter obehörigen enligt 4 kap. 3 första stycket andra meningen patientdatalagen. Ärendet avslutas, men kan komma att följas upp. Redogörelse för tillsynen Datainspektionen inledde under 2013 tillsyn för att granska om man inom den kommunala hälso-och sjukvården skyddar patientuppgifter genom att dels begränsa den elektroniska åtkomsten till patientuppgifter genom 1 Socialstyrelsens föreskrifter Informationshantering och journalföring i hälso- och sjukvården. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
behörighetsstyrning, dels genom loggar kontrollera om någon anställd obehörigen kommit åt patientuppgifter. Tillsynen genomfördes genom att 18 slumpvis utvalda Socialnämnder eller motsvarande (vårdgivare) skriftligen fått besvara frågor om det ovanstående. Nämnden svar inkom den 21 maj 2013. Nämnden beskriver i korthet sin verksamhet enligt följande. Karlskrona kommun bedriver hälso- och sjukvård i särskilt boende och hemsjukvård. I den hälso-och sjukvårdsverksamhet som nämnden bedriver används verksamhetssystemet Procapita och ett ytterligare system. I Procapita har 119 anställda åtkomst till uppgifter om 3938 patienter, varav 2530 aktuella. De kategorier av anställda som har åtkomst till patientuppgifter i Procapita är 82 sjuksköterskor, 19 arbetsterapeuter, 9 sjukgymnaster, 4 undersköterskor, 4 områdeschefer och 1 medicinsk ansvarig sjuksköterska. Skäl för beslutet Behovs- och riskanalys inför tilldelning av behörighet Vårdgivarens skyldigheter som rör behörighetsstyrning framgår av 4 kap. 2 patientdatalagen och 2 kap. 6 SOSFS 2008:14. Bestämmelserna kompletterar bestämmelsen om inre sekretess i 4 kap. 1 patientdatalagen samt omfattar även uppgifter om avlidna enligt 1 kap. 1 andra stycket. Datainspektionen har när det gäller behörighetsstyrning begränsat bedömningen till frågan om vårdgivaren har gjort en behovs- och riskanalys enligt 2 kap. 6 SOSFS andra stycket andra meningen som kan läggas till grund för tilldelningen av behörigheter enligt 4 kap. 2 patientdatalagen. På frågan om tilldelningen av behörigheter har föregåtts av en behovs- och riskanalys har nämnden hänvisat till en behovs- och riskanalys i dokumentet Riskanalys som getts in i ärendet. Nämnden har vidare uppgett att individuell behörighet har diskuterats, men inte ansågs möjligt på grund av att i stort sett samtlig hälso- och sjukvårdspersonal inom särskilt boende respektive ordinärt boende går in för varandra antingen schemalagt eller under sjukdom och ledigheter och att det skulle äventyra patientsäkerheten om åtkomsten skulle begränsas. Sida 2 av 6
Av dokumentet Riskanalys framgår att nämnden har beskrivit riskerna att personalen inte kommer åt information i Procapita och inte kan ge den vård som behövs, att obehöriga med en hög behörighet kan komma åt känslig information respektive att användarna bryter mot sekretessförbindelsen och begår sekretessbrott. De planerade åtgärder som anges är att användarna får en hög behörighet, att ny text skrivs in i sekretessförbindelsen om att det är olagligt att hämta information om de brukare som man inte utför insatser hos, samt att systematisk kontroll av loggarna ska göras. Datainspektionen gör följande bedömning En vårdgivare är enligt nu aktuella bestämmelser skyldig att begränsa en användares behörigheter till vad som behövs för att användaren ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården och till vad som är nödvändigt för att ge en god och säker vård. Vårdgivarens beslut om tilldelning av behörighet ska föregås av en behovs- och riskanalys. I propositionen 2007/08:126 Patientdatalag m.m. uttalar regeringen (s 148 f) att syftet med 4 kap. 2 patientdatalagen är att inpränta skyldigheten för den ansvariga vårdgivaren att göra aktiva och individuella behörighetstilldelningar utifrån analyser av vilken information olika personalkategorier och olika slags verksamheter behöver. Det framgår också att riskanalyser måste göras där man tar hänsyn till olika slags risker som kan vara förknippade med en alltför vid tillgänglighet avseende vissa slags uppgifter. Regeringen uttalar vidare att en mer vidsträckt eller grovmaskig behörighetstilldelning bör även om den skulle ha poänger utifrån effektivitetssynpunkt anses som en obefogad spridning av journaluppgifter inom en verksamhet och bör som sådan inte accepteras. I dokumentet Riskanalys har nämnden i korthet kommit fram till att användarna får hög behörighet mot att dessa får skriva på en sekretessförbindelse och att det genomförs en systematisk kontroll av loggarna. Nämnden har således genomfört vissa analyser, som dock inte har omfattat vilken information olika personalkategorier och olika slags verksamheter behöver. Vårdgivaren har inte heller beaktat riskerna med en hög behörighet. Det finns inget stöd för att, som nämnden gjort, uppväga riskerna genom kontroll av loggar samt information till personalen och/eller att personalen får skriva på en sekretessförbindelse. Datainspektionen konstaterar att vårdgivaren inte har gjort en sådan behovs- och riskanalys som avses i nu aktuella bestämmelser. Sida 3 av 6
Det är oklart om all hälso- och sjukvårdspersonal också kan läsa allt i patientjournalerna, men Nämnden har uppgett att det finns tre behörighetsnivåer i Procapita. Utifrån nämndens beskrivning förefaller hälso- och sjukvårdspersonal som tjänstgör på särskilt boende ha åtkomst till hela förvaltningen, medan personalen inom hemsjukvård endast har åtkomst till hemsjukvården. Nämnden har inte närmare motiverat varför all hälso- och sjukvårdpersonal behöver ha åtkomst till samtliga patientjournaler inom särskilt boenden respektive inom hemtjänsten. Enligt Datainspektionens mening kan det förhållandet att man går in för varandra antingen schemalagt eller under sjukdom och ledigheter inte i sig motivera att alla ska ha åtkomst till alla patientjournaler. Det har exempelvis betydelse om det är all personal som går in för varandra och hur frekvent det förekommer. Den som går in för någon annan behöver troligtvis inte heller ha ständig tillgång till alla patientjournaler. Behovet av åtkomst är rimligen inte heller detsamma för samtliga yrkeskategorier som arbetar i systemen. En generös behörighetstilldelning innebär ofta en obefogad spridning av personuppgifter. Det är inte tillräckligt att i efterhand kontrollera logglistor för att konstatera eventuella intrång (aa s. 239 f). Datainspektionen konstaterar därför att behovs- och riskanalyser har en avgörande betydelse för en väl avvägd behörighetstilldelning. Mot bakgrund av det ovanstående förelägger Datainspektionen nämnden att genomföra en dokumenterad behovs- och riskanalys enligt 2 kap. 6 andra stycket andra meningen SOSFS 2008:14 för Procapita och andra informationssystem som innehåller vårddokumentation enligt 2 kap. 4 första stycket 1 och 2 patientdatalagen. Loggkontroll Vårdgivarens skyldigheter som rör kontroll av elektronisk åtkomst till patientuppgifter framgår av 4 kap. 3 patientdatalagen och 2 kap. 11 SOSFS 2008:14. Bestämmelserna kompletterar bestämmelsen om inre sekretess i 4 kap. 1 patientdatalagen och omfattar även uppgifter om avlidna enligt 1 kap. 1 andra stycket. På frågan om det finns dokumentation om åtkomst (loggar) i respektive system har nämnden svarat ja. Nämnden har inte svarat på frågan om vilken information som framgår av loggarna, utan endast hänvisat till ett loggutdrag som getts in i ärendet. Av loggutdraget framgår dock inte att andra åtgärder än läst och sparat loggas. Sida 4 av 6
Enligt 4 kap. 3 första stycket patientdatalagen ska en vårdgivare se till att åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat dokumenteras och kan kontrolleras. Av loggarna ska framgå vilka åtgärder som har vidtagits med patientuppgifterna, vid vilken vårdenhet och vid vilken tidpunkt åtgärderna har vidtagits, samt användarens och patientens identitet. Detta framgår av 2 kap. 11 SOSFS 2008:14. Av loggen ska alltså framgå om anställda till exempel har läst, ändrat, kopierat, upprättat eller skrivit ut vårddokumentation. Det har inte framkommit att det finns sådana loggar i bland annat Procapita, som föreskrivs ovan. Datainspektionen förutsätter därför att nämnden ser till att det finns sådana loggar. När det gäller rutinerna för loggkontroll har Datainspektionen begränsat bedömningen till om nämnden har en dokumenterad rutin för logguppföljning samt om rutinen innebär att nämnden vägleder de befattningshavare som utför loggkontrollerna om vad som kan utgöra obehörig åtkomst enligt 4 kap. 3 första stycket andra meningen patientdatalagen. På frågan om det finns rutiner för logguppföljning har nämnden svarat ja, samt hänvisat till fyra dokument, bland annat Mall uppföljning intern kontroll Äldreförvaltning 2012. Enligt 4 kap. 3 första stycket andra meningen patientdatalagen ska vårdgivare göra systematiska och återkommande kontroller av om någon obehörigen kommer åt patientuppgifter. Regeringen har uttalat att vårdgivarna för att främja patientsäkerheten bör åläggas att systematiskt och fortlöpande företa kontroller av om obehörig åtkomst till uppgifter om patienter förekommer. Vidare uttalar regeringen att en sådan bestämmelse inte bara innebär att faktiska dataintrång med större säkerhet kommer att beivras, utan också bör få en starkt avhållande verkan på personal som, om risken för upptäckt är liten, kan frestas att olovligen läsa uppgifter (aa s. 149 f). Datainspektionen konstaterar att det finns en dokumenterad rutin för logguppföljning. Av dokumenten tycks nämnden ha gjort kontroller samt angett åtgärder som ska vidtas med anledning av kontrollen. Det framgår dock inte att befattningshavare som utför loggkontroller har fått vägledning exempelvis om i vilka situationer som fortsatta utredningar ska vidtas. Sida 5 av 6
Datainspektionen anser att loggkontrollerna inte blir verkningsfulla om det saknas riktlinjer till befattningshavare som utför loggkontroller om vad som kan utgöra obehörig elektronisk åtkomst. I sådant fall riskerar en vårdgivare att åsidosätta den inre sekretessen. Datainspektionen förutsätter därför att nämnden ser till att det finns skriftliga riktlinjer till befattningshavare som utför loggkontroller, så att dessa befattningshavare på ett systematiskt sätt kan kontrollera om någon har kommit åt patientuppgifter obehörigen enligt 4 kap. 3 första stycket andra meningen patientdatalagen. Ärendet avslutas, men kan komma att följas upp. Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet skall ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta beslut har fattats av tf enhetschefen Anna Hörnlund efter föredragning av juristen Katarina Högquist. Vid den slutliga handläggningen har även IT-säkerhetsspecialisten Magnus Bergström deltagit. Anna Hörnlund Katarina Högquist Kopia till: Personuppgiftsombudet Sida 6 av 6