Informationssäkerhet med logghantering och åtkomstkontroll av hälso- och sjukvårdsjournaler i Vodok och nationell patientöversikt (NPÖ)

Relevanta dokument
Riktlinjer för logghantering, kontroll och åtkomst enligt Patientdatalagen (PDL) och SOSFS 2008:14 (Vodok och NPÖ)

Logghantering för hälso- och sjukvårdsjournaler

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

Sammanhållen journalföring med nationell patientöversikt (NPÖ)

MAS Riktlinje för logghantering gällande hälso- och sjukvårdsjournaler

Rutin för loggkontroll och tilldelning av behörigheter i nationell patientöversikt (NPÖ) Rutinen gäller från fram till

Informationssäkerhet i patientjournalen

Rutin för kontroll av loggar

RIKTLINJE NATIONELLA PATIENT ÖVERSIKTEN (NPÖ)

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen

MAS Kvalitets HANDBOK för god och säker vård

Riktlinje för informationshantering och journalföring

Riktlinjer för hälso- och sjukvård inom Stockholms stads särskilda boenden, dagverksamheter och dagliga verksamheter. Läkemedelshantering

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA

Rutin för loggning av HSL-journaler samt NPÖ

Riktlinjer för dokumentation och informationshantering inom hälsooch sjukvårdens område i Nyköpings kommun

Hur ska bra vård vara?

Utredning av vårdskador Rapportering av avvikelser, utredning av händelser och anmälan enligt lex Maria

[7] TILLÄMPNINGSOMRÅDE Rutinen gäller för hälso- och sjukvårds dokumentation enligt patientdatalagen

Kändisspotting i sjukvården

ORGANISATIONSNUMMER: ADRESS: NORDENSKIÖLDSGATAN 14, GÖTEBORG

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun.

Det föreslagna beslutet medför inga kända ekonomiska konsekvenser för kommunen.

Riktlinjer för Informationshantering och journalföring i Hälso- och sjukvården. Norra närvårdsområdet Skaraborgs kommuner

KVALITETSSYSTEM Socialförvaltningen

LAGAR OCH FÖRFATTNINGAR SOM STYR KOMMUNERNAS HÄLSO- OCH SJUKVÅRD, AVSEENDE ANSVARSFÖRHÅLLANDEN MELLAN VÅRDGIVARE (NÄMND), VERKSAMHETSCHEF OCH MAS/MAR

4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun

Hur får jag använda patientjournalen?

Riktlinjer för informationshantering och journalföring i hälso- och sjukvården i särskilt boende i Solna kommun

Loggrutin för Socialtjänsten, Karlsborgs kommun

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Patientdatalagen. Juridik- och Upphandlingsstaben

Informationshantering och journalföring. nya krav på informationssäkerhet i vården

Åtkomst till patientuppgifter

Samtycke vid direktåtkomst till sammanhållen journalföring

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem

Rutin för loggkontroll av åtkomst till hälso- och sjukvårdsdokumentation

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Informationssäkerhet en patientsäkerhetsfråga. Maria Jacobsson Socialstyrelsen

Journalföring inom hälso- och sjukvården och sekretess

Riktlinjer för informationshantering och journalföring i hälso- och sjukvården i särskilt boende i Solna kommun

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Patientdatalagen (PdL) och Informationssäkerhet

Riktlinje för hälso- och sjukvård i Uppsala kommun

Meddelandeblad. Mottagare: Nämnder och verksamheter i kommuner med ansvar för vård och omsorg, medicinskt ansvariga sjuksköterskor,

Riktlinjer för hälso- och sjukvårdsdokumentation

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Hantering av loggkontroller och intrång i journal- och passagesystem

Herman Pettersson Inspektör / Jurist. Karin Dahlberg Inspektör / Nationell ämnessamordnare för elevhälsa på IVO

1(12) Dokumentation inom SoL, LSS och HSL. Styrdokument

NPÖ Nationell patientöversikt

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Rutiner för f r samverkan

Rutin för loggkontroll av åtkomst till hälso- och sjukvårdsdokumentation

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Riktlinje för informationshantering och journalföring i Hälso- och Sjukvården, Norra Närvårdsområdet Skaraborgs kommuner

Loggkontroll - granskning av åtkomst till patientuppgifter

Beslutad av Magnus Johansson, vård- och omsorgsdirektör den 4 april 2016.

VERSION Ansvarig utgivare: Chefsjurist Eleonore Källstrand Nord

Tillämpningsanvisningar för tillgång till och utlämnande av patientinformation

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

SAMTYCKE TILL INFORMATIONSÖVERFÖRING

LEDNINGSSYSTEM FÖR SYSTEMATISKT KVALITETSARBETE, SOSFS 2011:9

HÄLSO- OCH SJUKVÅRDSDOKUMENTATION SAMT BEHANDLING AV PERSONUPPGIFTER

REGEL FÖR HÄLSO OCH SJUKVÅRD: ANSVAR, LEDNING, TILLSYN OCH UPPFÖLJNING AV HÄLSO- OCH SJUKVÅRD

Sökord i diariet: Sammanhållen Journalföring. Diarienummer: VON F 2017/ Sammanhållen journalföring

Riktlinje för sammanhållen journalföring, nationell patientöversikt, NPÖ

Nationell Patientöversikt (NPÖ) för en effektiv och säker vård inom vård- och omsorgsboende i Solna kommun

Samtycke vid direktåtkomst till sammanhållen journalföring

Tillgång till patientuppgifter - krav på spärrar och aktiva val. Katja Isberg Amnäs Magnus Bergström Datainspektionen

Kvalitetsledningssystem för Socialnämnden i Timrå kommun Utgångspunkter, ansvar och processer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

PM 2015:127 RVI (Dnr /2015)

Anvisning för journalföring i hälso- och sjukvård

Dokumentation Hälso- och sjukvård HSL

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Hälso- och sjukvårdsdokumentation

Hur gör vi action av juridiken

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Förtydliganden om begrepp för Pascal. Förtydliganden kring begrepp som används för att få åtkomst till Pascal

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Konferens om tandtekniska arbeten den 26 januari 2011

2 kap. Ansvar för informationssäkerhet. Vårdgivarens ansvar

Verksamhetschef avseende hälso- och sjukvård inom elevhälsan

Loggkontroll - granskning av åtkomst till patientuppgifter

Behovs- och riskanalys behörigheter i Procapita HSL

Lokala riktlinjer informationshantering och journalföring, inom elevhälsans medicinska och psykologiska delar, Alingsås Kommun

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Informationsöverföring och samtycke inom hälso- och sjukvård.

Kvalitetsledningssystem inom vård- och omsorgsförvaltningen

HKF 7531 HUDDINGE KOMMUNS FÖRFATTNINGSSAMLING

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

HÄLSO- OCH SJUKVÅRDSDOKUMENTATION SAMT HANTERING AV JOURNALUPPGIFTER

Socialstyrelsens föreskrifter f allmänna råd r d (SOFS 2011:9) om ledningssystem för f r systematiskt kvalitetsarbete. Träder i kraft 1 januari 2012

Hälso- och sjukvårdspersonal som arbetar i ideella föreningar

Transkript:

Riktlinjer för hälso- och sjukvård inom Stockholms stads särskilda boenden, dagverksamhet och daglig verksamhet Sida 0 (8) Vers. 2.0 Rev. 2018 Informationssäkerhet med logghantering och åtkomstkontroll av hälso- och sjukvårdsjournaler i Vodok och nationell patientöversikt (NPÖ) UPPRÄTTAD AV MEDICINSKT ANSVARIGA SJUKSKÖTERSKOR OCH MEDICINSKT ANSVARIGA FÖR REHABILITERING Upprättad 2016

Sida 1 (8) Innehåll 1. Inledning... 2 2. Syfte... 3 3. Ansvar... 3 3.1 Information till personal... 4 4. Egenkontroll av åtkomst till uppgifter... 4 4.1 Behörighet för loggkontroller i Vodok och NPÖ... 5 5. Metod för loggkontroller i Vodok och NPÖ... 5 5.1 Loggkontroll journaler i Vodok och NPÖ... 6 5.2 Loggkontroll användare i Vodok och NPÖ... 6 5.3 Sökmetod vid loggkontroll av journal och användare i Vodok. 6 5.4 Sökmetod vid loggkontroll av journal och användare i NPÖ... 7 5.5 Resultat utan anmärkning... 7 5.6 Resultat med avvikelse... 7 5.7 Resultat misstanke om olovligt intrång... 7 7. Andra riktade loggkontroller... 8 8. Arkivering... 8 Bilagor... 8

Sida 2 (8) 1. Inledning Informationssäkerhet är en del av det systematiska kvalitetsarbetet och ska genom ledningssystemet säkerställa att: 1. dokumenterade personuppgifter är åtkomliga och användbara för den som har behörighet (tillgänglighet), 2. patientens personuppgifter är oförvanskade (riktighet), 3. obehöriga inte ska kunna ta del av personuppgifterna (konfidentialitet), och 4. åtgärder kan härledas till en användare (spårbarhet). Begreppen tillgänglighet, riktighet, konfidentialitet och spårbarhet är centrala i arbetet för att nå en god informationssäkerhet. Denna riktlinje för informationssäkerhet genom logghantering och åtkomstkontroll av hälso- och sjukvårdsjournaler i Vodok och nationell patientöversikt (NPÖ) beskriver hur informationen ovan säkerställs. Riktlinjerna gäller för verksamheter inom Äldreomsorgen och Socialtjänsten i Stockholms stad. I patientdatalagen (PDL) och i Socialstyrelsens föreskrifter om journalföring och behandling av personuppgifter i hälso- och sjukvården regleras, bland annat vårdgivarens ansvar för logghantering och åtkomstkontroll till patientuppgifter vid elektronisk journalföring (Vodok) och sammanhållen journalföring (NPÖ). Personal har inte rätt att ta del av några uppgifter som rör en patient som de inte har en aktuell vårdrelation med. Patienten har rätt att få veta vem som läst i journalen. 4 kap. 3 Patientdatalagen, PDL (2008:355) Socialstyrelsen föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården Hälso- och sjukvårdens värdegrund Vården ska ges med respekt för alla människors lika värde. Patientens ska visas omtanke och patientens självbestämmande och integritet ska respekteras. Hälso- och sjukvårdspersonal ska utföra sitt arbete i överensstämmelse med vetenskap och beprövad erfarenhet. Vården ska så långt möjligt utformas och genomföras i samråd med patienten.

Sida 3 (8) Hälso- och sjukvårdspersonal är skyldig att bedriva ett systematiskt patientsäkerhetsarbete och ska arbeta förebyggande för att förhindra att patienten drabbas av eller riskerar att drabbas av vårdskada. 2. Syfte Syftet med logghantering och åtkomstkontroll är att granska att åtkomsten till patientuppgifter sker enligt gällande lagstiftning. Det sker genom att följa upp: sekretess/konfidentialitet, det vill säga att endast behöriga användare kommer åt journalinformationen, spårbarhet, det vill säga vem som läst eller gjort ändringar i journalen. 3. Ansvar I patientdatalagen framgår att vårdgivaren är skyldig att se till att åtkomst till uppgifter om patienter dokumenteras och kan kontrolleras. Det är verksamhetschefen enligt hälso- och sjukvårdslagen (HSL) som ansvarar för att säkerställa att personalen har rätt åtkomstbehörighet för sina arbetsuppgifter genom att tilldela, förändra och avsluta/ta bort behörigheter för legitimerad personal. Verksamhetschefen ansvarar även för egenkontroll av åtkomsten till patientuppgifter genom regelbundna och systematiska loggkontroller, dels av legitimerad personal, dels av patientjournaler. Verksamhetschefen kan överlåta till annan befattningshavare att utföra loggkontrollerna. Legitimerad hälso- och sjukvårdspersonal ansvarar för att personliga lösenord och hjälpmedel, till exempel SIHTS- kort för autentisering inte är tillgängliga för någon annan. Legitimerad hälso- och sjukvårdspersonal ansvarar också för att datorer som används för att hantera uppgifter om patienter inte lämnas utan att uppgifterna är skyddade mot obehörig åtkomst.

Sida 4 (8) 3.1 Information till personal Verksamhetschefen ansvarar för att all legitimerad personal informeras om att regelbundna loggkontroller görs i verksamheten. De ska också känna till att olovligt intrång är straffbart enligt bestämmelserna om dataintrång, vilket kan leda till böter eller fängelse i högst två år enligt brottsbalkens 4 kap. 9c. Informationen ska vara skriftlig och undertecknas av den anställde som bekräftelse på att hen tagit del av informationen och förstått vad den betyder. Se bilaga 1. Information till personal om informationssäkerhet och logghantering i Vodok och NPÖ. Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete Hälso- och sjukvårdslag (2017:30) 4 kap. 2 Brottsbalken 4 kap. 9c 4. Egenkontroll av åtkomst till uppgifter Egenkontroll av åtkomst till uppgifter ska göras systematiskt och återkommande. Varje journal i Vodok och varje användare ska kontrolleras minst en gång per år och resultatet av egenkontrollen ska dokumenteras. En gång per år ska verksamheten göra en utvärdering/en samlad bedömning av resultatet av loggkontrollerna. Utvärderingen/den samlade bedömningen ska dokumenteras. Av den samlade bedömningen ska det framgå hur ofta och i vilken omfattning egenkontrollerna gjorts. Den samlade bedömningen ska också innehålla en åtgärdsplan vid konstaterade brister, en tidsplan för när bristerna ska vara åtgärdade och vem som ansvarar. Utvärderingen/den samlade bedömningen ska ingå i den årliga patientsäkerhetsberättelsen. Verksamheten ska ha lokal rutiner som säkerställer hur logghantering och åtkomstkontroll görs i Vodok och NPÖ.

Sida 5 (8) 4.1 Behörighet för loggkontroller i Vodok och NPÖ Vodok Verksamhetschefen beslutar om vem eller vilka som ska ha behörighet för att kunna genomföra loggkontroller i Vodok. Aktuella roller är: Vodok. Enhetschef och Vodok. Verksamhetschef HSL. NPÖ Verksamhetschefen kan utse en person med behörigheten administratör för att kunna genomföra loggkontroller i NPÖ. Stadsdelens Ek- administratör lägger upp behörigheten administratör under aktuellt medarbetaruppdrag. De lokala rutinerna ska beskriva vem eller vilka som har behörighet att göra loggkontroller i Vodok och NPÖ, hur ofta stickprovskontroller av loggarna görs, omfattningen av loggkontrollerna, det vill säga hur många journaler och användare som kontrolleras varje gång, var loggkontrollerna och resultatet/den samlade bedömningen förvaras i verksamheten innan arkivering. 5. Metod för loggkontroller i Vodok och NPÖ Alla användare och alla patientjournaler i Vodok ska kontrolleras minst en gång per år. För att säkerställa att detta sker kan loggkontrollerna med fördel göras samma datum varje månad. Vid varje granskningstillfälle förs en logglista och ett protokoll över antalet granskade journaler, granskade användare med aktuella behörigheter, anmärkningar och åtgärder. Vid loggkontroller i NPÖ kontrolleras även att patientens samtycke är dokumenterat i hälso- och sjukvårdsjournalen och att användaren har en aktuell vårdrelation till patienten. Genomförda loggkontroller och resultatet ska dokumenteras på logglistan av den som granskat/kontrollerat loggarna. Loggarna granskas mot tjänstgöringslistan för att säkerställa att användare som varit inne i journalen varit i tjänst vid granskningstillfället. Om resultatet överensstämmer med tjänstgöringslista dokumenterar granskaren detta på logglistan utan anmärkning. Därefter tar verksamhetschef del av resultatet och signerar på logglistan.

Sida 6 (8) Om avvikelse påvisats dokumenteras detta på logglistan. Se rubrik 5.6 Resultat med avvikelse. 5.1 Loggkontroll journaler i Vodok och NPÖ Vid varje granskningstillfälle väljs ett antal journaler ut för loggkontroll. Se bilaga 2 Logglista- kontroll av loggar journaler. 5.2 Loggkontroll användare i Vodok och NPÖ Vid varje granskningstillfälle väljs ett antal användare ut för loggkontroll. Se bilaga 3 Logglista- kontroll av loggar användare. 5.3 Sökmetod vid loggkontroll av journal och användare i Vodok Gem Loggning är den sökning som används vid loggkontroller. Gem Loggning kan göras av personer med rollen Vodok enhetschef och Vodok Verksamhetschef HSL. Instruktionen finns i Lathund för enhetschef i Vodok för rollen Vodok Enhetschef och Vodok Verksamhetschef HSL. Lathunden ligger under Paraplyapplikationer/Dokumentation till vänster i inloggningsfönstret till Vodok. Klicka på Sök. Välj Gem Loggning. Bocka som standard för alla åtgärder i rutan Åtgärder. Välj för vilken period sökningen gäller. Välj vidare om du vill söka på personnummer (patientens personnummer), användare (ange användar- id), alla loggar eller för specifik organisation (organisationsknappen). Klicka på Sök. OBS! Det går att kombinera personnummer, användar- id och organisation för att få ett specifikt resultat. Sortera resultatet som vid en vanlig sökning genom att klicka på de olika rubrikerna. Välj de termer som ska ses genom fliken Termurval. Klicka på Rapporter (Skriv ut) för att kunna skriva ut resultatet av sökningen, Välj mellan utskrifterna Loggning eller Loggning enkel. Med utskriften Loggning fås alla värden i listan. Med utskriften Loggning enkel fås en rad per aktivitet/användare/patient/dag.

Sida 7 (8) 5.4 Sökmetod vid loggkontroll av journal och användare i NPÖ Verksamhetschefen eller utsedd administratör tar varje månad ut en loggrapport från Ineras Säkerhetstjänst. Logga in med e-tjänstekort på nedanstående länk https://sakerhetstjanst.inera.se/spadmin/ Välj medarbetaruppdrag Administration. Välj Hjälp i menyraden till vänster. Klicka på Användarhandbok. Instruktioner för hur loggrapporter tas fram i NPÖ beskrivs i kapitel 2.4 Loggrapport 5.5 Resultat utan anmärkning Om egenkontrollen av loggarna överensstämmer med tjänstgöringslista noterar verksamhetschefen detta på logglistan på följande vis: Utan anmärkning, datum, namnunderskrift och signatur. 5.6 Resultat med avvikelse Om egenkontrollen av loggarna inte överensstämmer med tjänstgöringslista noterar verksamhetschefen detta på logglistan med hänvisning till aktuell avvikelse. Verksamhetschefen tar reda på orsaken till avvikelsen. När orsaken till avvikelse klarlagts, dokumenterats och eventuella åtgärder vidtagits, dokumenteras detta på logglistan med datum och verksamhetschefens namnunderskrift. 5.7 Resultat misstanke om olovligt intrång Vid misstanke om olovligt intrång ska verksamhetschefen dokumentera detta på logglistan med hänvisning till aktuell avvikelse. Åtgärder som verksamhetschefen vidtagit ska framgå av kommentarerna. Verksamhetschefen ska även omgående informera medicinskt ansvarig sjuksköterska (MAS). Utredning görs av verksamhetschef i samråd med MAS, som granskar aktuella patienters dokumentation. Om misstanken om olovligt intrång kvarstår ska polisanmälan göras av verksamhetschefen. Utredningen lämnas på begäran till polisen. Respektive nämnd ska alltid underrättas vid misstanke av olovligt intrång.

Sida 8 (8) 6. Andra riktade loggkontroller Särskilda loggkontroller kan behöva göras, till exempel för externa användare, som mobilt team/jourpatrull, för enskild patient, till exempel kända personer, eller vid annan nära relation till patienten när ingen aktuell vårdrelation föreligger. 7. Arkivering Logglistor, protokoll över vilka journaler och användare som kontrollerats den aktuella perioden och utvärderingen/den samlade bedömningen ska arkiveras (bevaras) i stadsdelen. Vid avvikelser arkiveras även tjänstgöringslistor tillsammans med ovanstående. Bilagor 1. Information till personal om informationssäkerhet med logghantering och åtkomstkontroll i Vodok och NPÖ 2. Logglista- kontroll av loggar journaler 3. Logglista- kontroll av loggar användare

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss