KVALITETSSYSTEM Socialförvaltningen

Relevanta dokument
Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem

Rutin för loggning av HSL-journaler samt NPÖ

Rutin för loggkontroll av åtkomst till hälso- och sjukvårdsdokumentation

Rutin för loggkontroll av åtkomst till hälso- och sjukvårdsdokumentation

Regelverk avseende hantering av loggrapporter för vårdsystem samt åtgärder vid dataintrång

MAS Kvalitets HANDBOK för god och säker vård

Rutin för loggkontroll och tilldelning av behörigheter i nationell patientöversikt (NPÖ) Rutinen gäller från fram till

ORGANISATIONSNUMMER: ADRESS: NORDENSKIÖLDSGATAN 14, GÖTEBORG

Hantering av loggkontroller och intrång i journal- och passagesystem

Loggkontroll - granskning av åtkomst till patientuppgifter

Riktlinjer för logghantering, kontroll och åtkomst enligt Patientdatalagen (PDL) och SOSFS 2008:14 (Vodok och NPÖ)

Beslutad av Magnus Johansson, vård- och omsorgsdirektör den 4 april 2016.

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

Loggkontroll - granskning av åtkomst till patientuppgifter

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA

Informationssäkerhet med logghantering och åtkomstkontroll av hälso- och sjukvårdsjournaler i Vodok och nationell patientöversikt (NPÖ)

Logghantering för hälso- och sjukvårdsjournaler

Riktlinjer för samtal med medarbetare beträffande loggranskning

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

Dataintrång - åtgärder vid misstanke om olovlig åtkomst

Riktlinje för informationshantering och journalföring

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun.

Riktlinjer för hälso- och sjukvårdsdokumentation

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Hälso- och sjukvårdsdokumentation

Informationshantering och journalföring. nya krav på informationssäkerhet i vården

Riktlinjer för informationshantering och journalföring i hälso- och sjukvården i särskilt boende i Solna kommun

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Riktlinjer för dokumentation och informationshantering inom hälsooch sjukvårdens område i Nyköpings kommun

4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Rutin för kontroll av loggar

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

RIKTLINJE NATIONELLA PATIENT ÖVERSIKTEN (NPÖ)

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Råd Kontroll av åtkomst till patientuppgifter - loggranskning

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Det föreslagna beslutet medför inga kända ekonomiska konsekvenser för kommunen.

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

RUTINER FÖR LOGGNING I PROCAPITA

Patientdatalagen. Juridik- och Upphandlingsstaben

Informationssäkerhet i patientjournalen

Tillämpningsanvisningar för tillgång till och utlämnande av patientinformation

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

[7] TILLÄMPNINGSOMRÅDE Rutinen gäller för hälso- och sjukvårds dokumentation enligt patientdatalagen

Tillgång till patientuppgifter - krav på spärrar och aktiva val. Katja Isberg Amnäs Magnus Bergström Datainspektionen

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Patientdatalagen (PdL) och Informationssäkerhet

Sammanhållen journalföring och Nationell Patientöversikt i Västra Götalandsregionen

Riktlinjer för informationshantering och journalföring i hälso- och sjukvården i särskilt boende i Solna kommun

1(12) Dokumentation inom SoL, LSS och HSL. Styrdokument

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Juridiska frågor och svar om försäkringsmedicinska utredningar rörande personuppgiftsbehandling och dokumentation

Åtkomst till patientuppgifter

NPÖ Nationell patientöversikt

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Lokala riktlinjer informationshantering och journalföring, inom elevhälsans medicinska och psykologiska delar, Alingsås Kommun

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Dokumentation Hälso- och sjukvård HSL

MAS Riktlinje för logghantering gällande hälso- och sjukvårdsjournaler

Sekretess, lagar och datormiljö

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Nationell Patientöversikt (NPÖ) för en effektiv och säker vård inom vård- och omsorgsboende i Solna kommun

HÄLSO- OCH SJUKVÅRDSDOKUMENTATION SAMT HANTERING AV JOURNALUPPGIFTER

Tillsyn - äldreomsorg

Sammanhållen journalföring

Samtycke vid direktåtkomst till sammanhållen journalföring

Journalföring inom hälso- och sjukvården och sekretess

Riktlinje för hälso- och sjukvårdsdokumentation

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Samtycke vid direktåtkomst till sammanhållen journalföring

Loggrutin för Socialtjänsten, Karlsborgs kommun

Riktlinjer för Informationshantering och journalföring i Hälso- och sjukvården. Norra närvårdsområdet Skaraborgs kommuner

Dokumenthantering - legala förutsättningar och interna beslut

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen

Kändisspotting i sjukvården

HÄLSO- OCH SJUKVÅRDSDOKUMENTATION SAMT BEHANDLING AV PERSONUPPGIFTER

Gäller fr o m

Riktlinjer för Samtycke vid direktåtkomst till sammanhållen journalföring

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Utarbetad av P. Ludvigson Skapat datum

Med vård avses i denna lag även undersökning och behandling.

MAS Riktlinje för Samtycke vid direktåtkomst till sammanhållen journalföring

Sekretess och tystnadsplikt

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Information till legitimerade tandhygienister. Kvalitetssäkra patientjournalen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) 4 kap. patientdatalagen m.m.

Hur får jag använda patientjournalen?

Lokala rutiner vid hantering av rapporter och anmälningar enligt lex Sarah. En del av kvalitetsarbetet

Rapport enligt lex Sarah görs normalt på blanketten Blankett för rapport enligt lex Sarah.

Hantering av lex Sarah-ärenden aaa

Avtal LK 09-0

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Transkript:

Socialförvaltningen Dokumentnamn Nationell patientöversikt NPÖ; Loggranskning Utarbetad av Socialnämnden Petra Ludvigson Regelverk PDL/HSL Verksamhet Vård och omsorg Skapat datum 131111 Gäller fr.o.m. 131121 Version 1 Innehåll LOGGRANSKNING... 2 Omfattning... 3 Tillvägagångssätt systematisk stickprovskontroll... 3 Kontroll vid särskild händelse eller misstanke... 4 Kontroll efter nödöppning... 4 Kontroll på begäran av patienten... 4 Dokumentation... 4 Rapportering... 4 Åtgärder vid otillåten användning (dataintrång)... 4 Övrigt... 6 Exempel på polisanmälan... 7 Exempel på brev till patienten... 8 Sidan 1 av 9

LOGGRANSKNING KVALITETSSYSTEM I alla system som innehåller journalhandling finns krav på spårbarhet. Detta sker inom kommunen genom att system som innehåller journalhandlingar eller andra personuppgifter loggar händelser kring detta. Enligt Patientdatalagen definieras en journalhandling: Framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel och som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder. Behandlingshistorik (logg) ska finnas för att kontrollera åtkomsten till personregister enligt patientdatalagen (SFS 2008:355) samt föreskriften SOSFS 2008:14. Enligt föreskriften ska det, i respektive vårdgivarens ledningssystem, finnas rutiner som säkerställer att: 1. det av dokumentationen av åtkomsten (loggarna) framgår vilka åtgärder som har vidtagits med patientuppgifterna, 2. det av loggarna framgår vid vilken vårdenhet och vid vilken tidpunkt åtgärderna har vidtagits, 3. användarens och patientens identitet framgår av loggarna 4. systematiska och återkommande stickprovskontroller görs, 5. genomförda kontroller av loggarna dokumenteras och loggarna sparas i minst tio år Verksamhetschef** har det direkta ansvaret för såväl att tilldela som att kontrollera behörigheter inklusive kontroll av loggarna. I ansvaret ligger också att de anställda ska ha fått information om gällande regler för åtkomst till journalhandlingar och att instruktionen för loggningskontroll är känd. Vid nyanställning ska all berörd personal underteckna blanketten Ansvarsförbindelse sammanhållen journal Blanketten förvaras i personakten och följer medarbetaren under hela anställningen. Verksamhetschefen** kan delegera handläggningen kring logghantering till annan person inom vårdenheten. Vid delegering ska läggas vikt vid utförarens noggrannhet och denne ska ha en ställning i organisationen som innebär god kännedom om enhetens medarbetare. Loggarna ska omfatta all åtkomst, vilket innebär att även Sidan 2 av 9

verksamhetschefen själv, utsedda granskare samt administrativ- och teknisk personal ska granskas. Objektägaren, eller motsvarande, för respektive system ansvarar för att systemet har funktionalitet för att ta fram loggarna. Av loggarna ska framgå i klartext vilka åtgärder som vidtagits med patientuppgifterna, vilken vårdenhet som vidtagit åtgärderna och tidpunkten. Patientens och användarens identitet och uppdrag/ roll ska framgå. Omfattning Loggkontroller ska göras avseende vårdgivarens inre sekretessområde och direktåtkomst vid sammanhållen journalföring. Loggkontroller ska utföras: 1. som systematisk stickprovskontroll 2. vid riktad misstanke om otillbörlig aktivitet eller annan särskild händelse 3. efter nödöppning 4. på patientens begäran om utdrag av sin logg. Enligt Patientdatalagen definieras sammanhållen journalföring: Ett elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare. Tillvägagångssätt systematisk stickprovskontroll Samtliga medarbetare ska slumpmässigt kontrolleras minst 1 gång/ år. Kontroller bör ske varje månad. Ett slumpmässigt urval av patienter som har varit aktuella inom enheten den senaste månaden ska också kontrolleras. Särskilt bör uppmärksammas: sökningar på patienter där användaren inte har deltagit i vården samt patienter på andra vårdenheter personer med skyddad identitet personer av medialt intresse vissa inloggningsmönster såsom många journalöppningar inom ett visst tidsintervall eller vid ovanliga tider på dygnet. Sidan 3 av 9

anställda medarbetare och/ eller deras anhöriga KVALITETSSYSTEM avvikande mönster/ åtkomst som bryter det ordinarie mönstret/ frekvensen namn/ släktskap som kan indikera privat samhörighet patient med diagnos som kan väcka särskilt intresse Kontroll vid särskild händelse eller misstanke Enhetschefen* är skyldig att initiera loggningskontroll om det finns skäl att misstänka att dataintrång har skett. Kontroll efter nödöppning En journalhandling som har nödöppnats ska loggkontrolleras obligatoriskt och så snart som möjligt. En lokal rutin bör sättas upp för detta. På loggutdraget på vald patient ses under aktivitet: Nödöppning. Kontroll på begäran av patienten Loggkontroll ska utföras så snart som möjligt och patienten bör få svar skyndsamt. Utlämnandet ska ske i pappersform som skickas till patientens folkbokföringsadress eller kan lämnas ut direkt om patienten har legitimerat sig. Loggutdraget ska vara utformat så att det ger patienten en klar uppfattning om åtkomsten till dennes patientuppgifter varit befogad eller inte. Dokumentation Loggranskningen ska resultera i dokumentation som omfattar urvalet, grunden för urvalet (begäran, eget urval, förekommen aktivitet etc.) och resultat med kommentar. Resultatet och loggarna ska bevaras i 10 år enligt gällande arkivering- och gallringsplan. Rapportering Enhetschefen* ska ange omfattning och resultat av granskningsaktiviter för enheten i sin verksamhetsberättelse. Åtgärder vid otillåten användning (dataintrång) Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården. Sidan 4 av 9

När kontrollerna tyder på att ett dataintrång föreligger ska följande göras i tur och ordning: 1. Om hantering av loggkontroller ålagts annan person än enhetschefen ska enhetschefen snarast informeras 2. Enhetschefen* kontaktar den anställde för att informera om resultatet av logganalysen och för att kontrollera om det finns en naturlig förklaring till sökningarna. Vid samtalet bör följande frågor besvaras: - Varför har medarbetaren sökt information om denna patient? - Känner medarbetaren patienten eller har någon annan anknytning med patienten privat? - Vilken information har använts och till vad? - Av vilken anledning har medarbetaren valt att bryta mot bestämmelserna i Patientdatalagen? Anteckningar ska föras vid mötet. Den anställde ska ta del av det som antecknats vid mötet och bekräfta att innehållet överensstämmer med vad som har sagts vid mötet. 3. Om den anställde medger dataintrång, ska enhetschefen* överlämna ärendet till verksamhetschefen**. 4. Om den anställde inte medger dataintrång och misstankarna kvarstår, ska enhetschefen* kontakta loggansvarig för att verifiera att kontrollen är korrekt utförd och att resultatet inte har feltolkats. 5. Om misstankarna om dataintrång även kvarstår efter kontroll av loggansvarig ska enhetschefen* lämna över ärendet till verksamhetschefen**. 6. Verksamhetschefen** informerar den anställdes fackliga företrädare och kallar till ett möte med den anställde. Kommunens jurist ska medverka och mötet ska protokollföras. Den misstänkte ska redogöra för sin förklaring till loggmärket och kommunen ska redogöra för sin handlingsplan i ärendet, vilket vanligtvis innebär avstängning av medarbetaren tills adekvata åtgärder är beslutade. 7. Verksamhetschefen** ska polisanmäla ärendet och kontakta berörd patient för information om åtkomsten. Se exempel på polisanmälan och brev till patient. Detta för att vårdgivaren omöjligt kan förutse konsekvenserna för den enskilde patienten vid dataintrång. Patienten har både rätt och möjlighet att själv polisanmäla och att begära skadestånd av kommunen. Detta förutsätter kännedom. Sidan 5 av 9

8. Verksamhetschefen**, i samråd med enhetschefen* avgör om ytterligare arbetsrättsliga åtgärder ska vidtagas. Övrigt 9. Ärenden av denna typ ska hanteras med stor försiktighet och med alla inblandandes integritet i fokus. Verksamhetschefen och enhetschefen samt övriga inblandade måste vara mycket restriktiva med vilka som blir involverade i ärendet och vara noga med att sekretessen inte bryts. Den misstänkte kan vara oskyldig till det förmodade dataintrånget. *Enhetschef(personalansvarig på respektive arbetsplats/boende) **Verksamhetschef (för en eller flera vårdenheter inom kommunen) Kommuner har olika, kan vara Enhetschef och Avdelningschef. Högst ansvarig är kommunens förvaltningschef för vård och omsorg i kommunen Vårdgivare är kommunen Sidan 6 av 9

Exempel på polisanmälan [Kommu Loggotyp] [datum] [Diarienr] Polismyndigheten i Västmanland Box 9 721 03 Västerås Anmälan om misstänkt dataintrång [För-efternamn och personnummer], är anställd vid [kommun] som [yrke]. Vid loggranskning har det framkommit att [Namn] har loggat in i patientjournal under perioden [datum datum]. [Namn] har inte haft del i vården av patienten och har inte heller av något annat skäl haft behov av att logga in i patientens journal för att kunna sköta sitt arbete, jfr 4 kap.1 patientdatalagen (2008:355) [Fritext] [Kommun namn] önskar få uppgift om viken åklagare som kommer att handlägga ärendet. Kommunens kontaktpersoner är: Säkerhetsstrategi [namn, telefon nr eller e-postadress] Verksamhetschef [namn, telefon nr eller e-postadress] Enhetschef [namn, telefon nr eller e-postadress] Kommun namn [Verksamhet] [Namn] [Befattning] [sid 1/2] Sidan 7 av 9

Exempel på brev till patienten Underrättelse om misstänkt dataintrång i journal Det har framkommit att en anställd vid [Kommun] utan behörighet har öppnat (loggat in) i din journal. Att obehörigt ta del av patientinformation är ett brott. Kommunen har polisanmält detta som misstänkt dataintrång (1). Det finns inget som hindrar att du själv polisanmäler det inträffade. I så fall ska du ange att anmälan tidigare gjorts av [kommunen] och att polisens kontaktperson är [Namn] så att anmälningarna kan kopplas ihop hos polisen. Endast den vårdgivare som är direkt involverad i en patients behandling och behöver uppgifterna för att utföra sitt arbete, har rätt att ta del av journaluppgifter(2). Alla inloggningar i journalen listas i datasystement och behörighetskontroller sker(3). [Kommunen] ser mycket allvarligt på det inträffade och vi beklagar det. Du har rätt att begära skadestånd för den kränkning som skett av din personliga integritet(4). Du ska i så fall vända dig till undertecknad. Med vänlig hälsning [Kommun namn] [Verksamhet] [Namn] [Befattning] [Kontaktuppgifter] [sid 2/2] Sidan 8 av 9

(1)Om någon tar del av journalen av någon annan anledning kan det utgöra dataintrång vilket är ett brott som regleras i 4 kap. 9 c Brottbalken. (2)Av 4 kap.1 patientdatalagen (2008:355), PDL, framgår att den som arbetar hos en vårdgivare endast får ta del av journaluppgifter om han eller hon deltar i vården av en patient eller av annat skäl behöver uppgifterna i sitt arbete. Vårdgivare har enligt 4 kap. 3 PDL skyldighet att dokumentera och kontrollera åtkomsten till journalen. Detta görs genom att alla inloggningar i journalen kan loggas i datasystemet och kontroller sker. (4)[Kommun] upplyser dig om att du enligt 10 kap.1 PDL och 48 personuppgiftlagen (1998:204) har rätt att begära skadestånd för den kränkning som skett av din personliga integritet. Sidan 9 av 9

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss