Hantering av loggkontroller och intrång i journal- och passagesystem

Relevanta dokument
Loggkontroll - granskning av åtkomst till patientuppgifter

Rutin för loggning av HSL-journaler samt NPÖ

Rutin för loggkontroll av åtkomst till hälso- och sjukvårdsdokumentation

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem

ORGANISATIONSNUMMER: ADRESS: NORDENSKIÖLDSGATAN 14, GÖTEBORG

Rutin för loggkontroll av åtkomst till hälso- och sjukvårdsdokumentation

Loggkontroll - granskning av åtkomst till patientuppgifter

Dataintrång - åtgärder vid misstanke om olovlig åtkomst

KVALITETSSYSTEM Socialförvaltningen

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA

MAS Kvalitets HANDBOK för god och säker vård

Logghantering för hälso- och sjukvårdsjournaler

Beslutad av Magnus Johansson, vård- och omsorgsdirektör den 4 april 2016.

Riktlinjer för logghantering, kontroll och åtkomst enligt Patientdatalagen (PDL) och SOSFS 2008:14 (Vodok och NPÖ)

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

Rutin för loggkontroll och tilldelning av behörigheter i nationell patientöversikt (NPÖ) Rutinen gäller från fram till

Det föreslagna beslutet medför inga kända ekonomiska konsekvenser för kommunen.

Informationssäkerhet med logghantering och åtkomstkontroll av hälso- och sjukvårdsjournaler i Vodok och nationell patientöversikt (NPÖ)

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Rutin för kontroll av loggar

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

RIKTLINJE NATIONELLA PATIENT ÖVERSIKTEN (NPÖ)

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Råd Kontroll av åtkomst till patientuppgifter - loggranskning

Regelverk avseende hantering av loggrapporter för vårdsystem samt åtgärder vid dataintrång

Patientdatalagen. Juridik- och Upphandlingsstaben

Hur får jag använda patientjournalen?

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Åtkomst till patientuppgifter

[7] TILLÄMPNINGSOMRÅDE Rutinen gäller för hälso- och sjukvårds dokumentation enligt patientdatalagen

Monitorerares tillgång till Cosmic vid kliniska prövningar

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

RUTINER FÖR LOGGNING I PROCAPITA

Riktlinje för informationshantering och journalföring

Sekretess och tystnadsplikt

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen

Riktlinjer för samtal med medarbetare beträffande loggranskning

Patientdatalagen (PdL) och Informationssäkerhet

Meddelandeblad. Mottagare: Nämnder och verksamheter i kommuner med ansvar för vård och omsorg, medicinskt ansvariga sjuksköterskor,

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Loggrutin för Socialtjänsten, Karlsborgs kommun

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Ökad personlig integritet för patienten

Informationssäkerhet i patientjournalen

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Riktlinjer för dokumentation och informationshantering inom hälsooch sjukvårdens område i Nyköpings kommun

Förvaltning Ägare Reviderat datum Sofia Öhrman

Anvisning för Journal via nätet

Nationell Patientöversikt (NPÖ) för en effektiv och säker vård inom vård- och omsorgsboende i Solna kommun

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

MAS Riktlinje för logghantering gällande hälso- och sjukvårdsjournaler

Granskning av behörigheter till journalsystemet

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun.

BESLUT. Datum Dnr Tillämpningsanvisningar om Rätt att ta del av patientuppgifter inom Region Skåne

Tillgång till patientuppgifter - krav på spärrar och aktiva val. Katja Isberg Amnäs Magnus Bergström Datainspektionen

RUTIN FÖR LOGG KONTROLL

Avtal LK 09-0

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) 4 kap. patientdatalagen m.m.

Förklaringar till Nationellt regelverk för enskilds direktåtkomst till journalinformation

BESLUT. Instruktioner om styrning av behörigheter för åtkomst till uppgifter om patienter

Informationshantering och journalföring. nya krav på informationssäkerhet i vården

Riktlinjer för informationshantering och journalföring i hälso- och sjukvården i särskilt boende i Solna kommun

Patientdatalagen - till skydd och nytta. Anne Olmarker, chefläkare Sahlgrenska Universitetssjukhuset

Kändisspotting i sjukvården

Åtkomst till patientjournal för vårdens personal - blankett, Uppdrag att journalgranska

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

NLL Medarbetarstöd vid vårdskada

Sammanhållen journalföring

4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun

Tillämpningsanvisningar för tillgång till och utlämnande av patientinformation

Beredningen för integritetsfrågor

Patientsäkerhetsberättelse Hélène Stolt Psykoterapi & Ledarskap AB

Hur skyddas patientens integritet? Vad säger lagar och författningar och hur fungerar det?

1(12) Dokumentation inom SoL, LSS och HSL. Styrdokument

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Riktlinjer för hälso- och sjukvård inom Stockholms stads särskilda boenden, dagverksamheter och dagliga verksamheter. Läkemedelshantering

Riktlinjer för hälso- och sjukvårdsdokumentation

Syfte Behörig. in Logga 1(6)

Informationssäkerhet

Lokal lex Sarah-rutin Norrmalms stadsdelsförvaltning

Sammanhållen journalföring och Nationell Patientöversikt i Västra Götalandsregionen

Bättre överblick, ännu bättre vård.

Tillsyn - äldreomsorg

Riktlinjer för informationshantering och journalföring i hälso- och sjukvården i särskilt boende i Solna kommun

Avvikelsehantering för medicintekniska produkter

Förtydliganden om begrepp för Pascal. Förtydliganden kring begrepp som används för att få åtkomst till Pascal

Styrning av behörigheter

Ledningssystem för systematiskt kvalitetsarbete 2011:9

Riktlinje för hälso- och sjukvård i Uppsala kommun

Transkript:

Styrande dokument Regeldokument Anvisning Sida 1 (6) Hantering av loggkontroller och intrång i journal- och passagesystem Bakgrund Lagrum och styrande förutsättningar Patientdatalagen 2008:355 (PDL) HSLF-FS 2016:40 - Socialstyrelsens föreskrifter om journalföring och behandling i hälso- och sjukvården Handbok vid tillämpningen av Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling i hälso- och sjukvården Enligt PDL samt HSLF-FS 2016:40 är alla vårdgivare skyldiga att kontrollera åtkomst till patientuppgifter via loggranskning. Loggranskning ska bl. a säkerställa vårdgivarens trovärdighet gentemot patienterna. Kravet innebär också att varje journalsystem måste producera loggar som svarar mot kravet på loggkontroller. Om någon obehörig har berett sig tillgång till patientuppgifter kan denne dömas till dataintrång enligt 4 kap 9c i brottsbalken: Den som i annat fall än som sägs i 8 och 9 olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift. Syfte Patientdatalagen ger hälso- och sjukvårdspersonal möjlighet till åtkomst till patientuppgifter såväl inom Region Norrbotten som mellan vårdgivare. Detta ställer dock krav på spårbarhet och kontroll av vem som tar del av patientuppgifter. Uppföljning av loggar är viktigt för att tillgodose patientens integritet och för att upprätthålla förtroendet för hälso- och sjukvårdens hantering av patientuppgifter. Loggkontroll har också betydelse som preventiv åtgärd för att avhålla medarbetare från att ta del av patientuppgifter som de inte behöver för att utföra sina arbetsuppgifter. Roller och ansvarsfördelning Verksamhetschef ansvarar för tilldelning och uppföljning av behörigheter. Hen ska säkerställa att vårdenhetens medarbetare har åtkomst till den information som är nödvändiga för att utföra sina arbetsuppgifter. Verksamhetschefen ska säkerställa att det finns fungerande och kända loggrutiner för vårdenheten. Verksamhetschefen ansvarar för att loggkontroller genomförs och eskalerar ärenden till HR-chef vid misstanke om intrång. Kontrollerna och utfall ska dokumenteras.

Sida 2 (6) HR-chef ska vid misstanke om journalintrång samordna och vidta åtgärder enligt denna anvisning. HR-chef ska stötta sin divisions verksamhetschefer i ärenden som rör journalintrång. Medarbetare/Användare äger ansvaret att vara insatt i de lagar och regler som gäller vid journalåtkomst och förstå att det endast är tillåtet att ta del av de patientuppgifter som är nödvändiga för att utföra arbetsuppgiften. Patientkontoret ansvarar för att ta emot och genomföra de administrativa delarna gällande beställningar av alla journalloggar från såväl patient, dataskyddsombud och verksamhetschefer som beskrivs enligt denna anvisning. Informationssäkerhetsstrateg har behörighet att initiera centrala loggkontroller utifrån uppkomna händelser eller misstanke om intrång. Hen ska även stötta patientkontoret i framtagande av centrala rutiner och dokumentation som behövs i deras arbete för att utföra beställningsfunktionen av journalloggar. Informationssäkerhetsamordnare ska informeras av och stötta HR-chef om misstanke om journalintrång uppstår och ska vara delaktig i beslut om åtgärder. Informationssäkerhetssamordnare kan från verksamhetschef begära in förteckning över genomförda loggkontroller och dess utfall. Dataskyddsombud och patientnämnd kan på uppdrag av patient eller medarbetare ställa frågor till berörd verksamhetschef om specifik åtkomst till patientinformation varit relevant och skett inom ramen för verksamhetschefens riktlinjer för åtkomst och behörighetstilldelning. Objektägare för journalsystem säkerställer att objektet producerar loggar och har funktioner som innebär att loggkontroller kan göras utifrån denna anvisning. Säkerställer att det finns publicerad information om hur loggkontroll genomförs i systemet. Säkerhetssamordnare kan via delegation av verksamhetschef få uppdraget att genomföra riktad loggkontroll av passagesystem. Delegeringen ska vara dokumenterad. Den som handlägger loggkontroll ska löpande rapportera resultatet till verksamhetschef enligt lokalt framtagen rutin. De medarbetare som handlägger loggkontroll ska också följas upp. Verksamhetschef ansvarar för att detta genomförs.

Sida 3 (6) Handläggning av loggkontroll i journalsystem Tilldelning av behörigheter Behörighet till åtkomst i journalsystem tilldelas av verksamhetschef utifrån en bedömning av vilka patientuppgifter som den enskilde medarbetaren behöver för att kunna utföra sina arbetsuppgifter. Verksamhetschef är därför den som har ansvar för att genomföra loggkontroll. Omfattning Loggkontroll ska göras i den omfattningen att den är förebyggande och meningsfull. Detta uppnås genom att verksamhetschefen genomför både återkommande slumpmässiga och riktade kontroller av journalloggarna och att hen informerar verksamheten om att dessa genomförs. Informationen är viktig i preventivt syfte. Loggar och loggkontroller ska hålla en sådan kvalitet att landstinget ev kan vidta arbetsrättsliga åtgärder samt göra polisanmäla vid dataintrång. Kontroll av slumpmässigt utvalda medarbetare Verksamhetschef ska med regelbundenhet kontrollera loggar från slumpmässigt utvalda medarbetare. Kontrollen ska omfatta alla medarbetare som verkar på vårdenheter, även studenter och inhyrda medarbetare. Den medarbetare som slumpats fram granskas under en 24-timmarsperiod genom att all åtkomst till patientuppgifter granskas. Socialstyrelsens riktmärke säger att 10 procent av medarbetarna ska granskas varje månad. Denna kontroll kan delegeras (se nedan). Verksamhetschefernas loggar kontrolleras enligt ovan av närmast chef. Följande kriterier är förslag på vad den som granskar loggen bör vara uppmärksam på: Patientrelation/uppdrag (t ex patienter som inte är inskrivna på enheten, eller inte har besök bokat/registrerat.) Utförd aktivitet (Omfattande läsning i journaler kan behöva kontrolleras. Aktiviteter såsom skriva och signera kan indikera patientrelation) Forcerade spärrar/nödöppningar (där det framgår från loggutdrag) Tidpunkter (t ex avvikande klockslag, utanför enhetens öppethållande, utanför medarbetarens schema) Avvikande mönster/åtkomst som bryter det ordinarie mönstret/frekvensen/rutinen. Namn/släktskap som kan indikera privat samhörighet. Personer av medialt intresse, lokalt eller nationellt Patient med diagnos som kan väcka särskilt intresse Lokal personalkännedom som indikerar eller ger misstanke om intresse för information som sträcker sig utanför tillåtna ändamål Många journalöppningar utanför den egna verksamheten. Delegering I de fall då verksamhetschef väljer att delegera handläggningen av loggkontroll av slumpmässigt utvalda medarbetar ska delegeringen vara dokumente-

Sida 4 (6) rad. Den som handlägger loggkontroll ska löpande rapportera resultatet till verksamhetschef enligt lokalt framtagen rutin. Medarbetare som handlägger loggkontroll ska också följas upp. Verksamhetschef ansvarar för att detta genomförs. Riktad loggkontroll Verksamhetschef ansvarar för att genomföra riktad loggkontroll någon gång under året. Verksamhetschef äger ansvaret att utreda aktiviteter i journalanteckningar som skapats på den egna enheten. Om loggar härrör från användare på andra vårdenheter kan ytterligare verksamhetschefer behöva involveras. Riktad kontroll kan utgå från: Särskild händelse eller misstanke Personer av medialt intresse, lokalt eller nationellt Forcering/nödöppning av spärr Patientens begäran om utdrag av sin logg Se Loggutdrag till patient. Central loggkontroll Ett fåtal personer på central nivå har rätt att initiera loggkontroll med samma utgångspunkter som för riktad loggkontroll. Loggkontroller kan initieras av: Divisionschef Informationssäkerhetsstrateg Chefsläkare/chefstandläkare/länschef/närsjukvårdschef Logglistor ska via patientkontoret beställas hos VAS-leverantör eller motsvarande om annat journalsystem berörs. HR-chef för berörd verksamhet ska informeras om kontrollerna. Logglistorna ska skickas till respektive verksamhetschef för genomgång och bedömning. Dokumentation och rapportering All loggkontroll ska resultera i dokumentation som omfattar: uppgift om vem som beslutat om loggkontrollen, grunden för urvalet (begäran, eget urval, förekommen aktivetet etc), logglista plus uppgift om vem som granskat den Resultat med kommentar. Alla genomförda loggranskningar ska diarieföras i landstingets gemensamma diariesystem Ciceron.

Sida 5 (6) Handläggning vid misstanke om journalintrång Om en loggkontroll resulterar i (fortsatt) misstanke om journalintrång: Verksamhetschef (eller annan beställare) kontaktar sin divisions HR-chef. HR-chef kontaktar informationssäkerhetsstrateg för samråd och initierar skyndsamt en internutredning genom att: - överblicka omfång, ev utöka loggkontrollen - kontakta berörda verksamheter - beställa mer detaljerade logglistor via informationssäkerhetsstrateg. Berörd användare kontaktas och ges möjlighet att förklara skälen till aktuell loggförekomst. Kontakten tas i första hand av närmaste chef. Inför ett sådant samtal ska användaren informeras om möjligheten att ha med en facklig representant eller handledare. HR-chef och informationssäkerhetsstrateg i samråd med inblandade verksamhetschef/er beslutar om eventuell - polisanmälan (görs av verksamhetschef) - avvikelserapportering - IVO-anmälan - arbetsrättsliga åtgärder Om någon av ovanstående åtgärder vidtas ska HR-chef även informera berörd patient. Använd gärna denna brevmall. Man bör också överväga om en kontaktperson ska utses för eventuella frågor från media.

Sida 6 (6) Handläggning av loggkontroll i passagesystem Omfattning Loggkontroll av passagesystem ska endast genomföras vid särskild händelse eller misstanke. Riktad loggkontroll Säkerhetssamordnare ansvarar för att ta kontakt med berörd systemansvarig och beställa loggar. Dessa loggar hanteras inte av patientkontoret. Beställda loggar granskas av berörd verksamhetschef. Dokumentation och rapportering All loggkontroll ska resultera i dokumentation som omfattar: uppgift om vem som beslutat om loggkontrollen, grunden för urvalet (begäran, eget urval, förekommen aktivetet etc), logglista plus uppgift om vem som granskat den Resultat med kommentar. Alla genomförda loggranskningar ska diarieföras i regionens gemensamma diariesystem Ciceron. Handläggning vid fortsatt misstanke Om loggkontroll efter verksamhetschefs granskning resulterar i fortsatt misstanke: Verksamhetschef kontaktar sin divisions HR-chef. Berörd användare kontaktas och ges möjlighet att förklara skälen till aktuell loggförekomst. Kontakten tas i första hand av närmaste chef. Inför ett sådant samtal ska användaren informeras om möjligheten att ha med en facklig representant eller handledare. HR-chef och informationssäkerhetsstrateg i samråd med inblandade verksamhetschef/er beslutar om eventuell - polisanmälan (görs av HR-chef) - avvikelserapportering - IVO-anmälan - arbetsrättsliga åtgärder Om någon av ovanstående åtgärder vidtas ska HR-chef även informera berörd patient. Använd gärna denna brevmall. Man bör också överväga om en kontaktperson ska utses för eventuella frågor från media.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss