Karolinska Universitetssjukhuset i Stockholm. Verksamhetstillsyn tillsyn av vårdgivarens informationssäkerhet



Relevanta dokument
BESLUT. Ärendet Egeninitierad verksamhetstillsyn av vårdgivarens informationssäkerhet

BESLUT : Dnr / UMEA. Arendet Egeninitierad verksamhetstillsyn av vardgivarensinformationssakerhet

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

2 kap. Ansvar för informationssäkerhet. Vårdgivarens ansvar

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillgång till patientuppgifter - krav på spärrar och aktiva val. Katja Isberg Amnäs Magnus Bergström Datainspektionen

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen

PM 2015:127 RVI (Dnr /2015)

Riktlinje för informationshantering och journalföring

Tillsyn enligt personuppgiftslagen (1998:204) behörighetsstyrning m.m. enligt patientdatalagen

Informationssäkerhet en patientsäkerhetsfråga. Maria Jacobsson Socialstyrelsen

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun.

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Patientdatalagen. Juridik- och Upphandlingsstaben

Riktlinjer för logghantering, kontroll och åtkomst enligt Patientdatalagen (PDL) och SOSFS 2008:14 (Vodok och NPÖ)

Informationssäkerhet i patientjournalen

Tillsyn - äldreomsorg

Informationshantering och journalföring. nya krav på informationssäkerhet i vården

[7] TILLÄMPNINGSOMRÅDE Rutinen gäller för hälso- och sjukvårds dokumentation enligt patientdatalagen

Patientdatalagen (PdL) och Informationssäkerhet

Tillämpningsanvisningar för tillgång till och utlämnande av patientinformation

I Central förvaltning Administrativ enhet

Riktlinjer för informationshantering och journalföring i hälso- och sjukvården i särskilt boende i Solna kommun

Riktlinjer för dokumentation och informationshantering inom hälsooch sjukvårdens område i Nyköpings kommun

Styrning av behörigheter

ORGANISATIONSNUMMER: ADRESS: NORDENSKIÖLDSGATAN 14, GÖTEBORG

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem

Vårdgivare. Ärendet. Skälen för beslutet BESLUT Dnr / (5) MediCheck AB Hälsingegatan 45 BV STOCKHOLM.

BESLUT. Avdelning öst Lars Asteborg Karolinska Universitetssjukhuset Chefläkaren STOCKHOLM

BESLUT. Tillsyn av personalkontinuitet, vakanser och en ökad rörlighet hos hälso- och sjukvårdspersonal inom primärvården vid landstinget i Uppsala.

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande genom direktåtkomst

Hur skyddas patientens integritet? Vad säger lagar och författningar och hur fungerar det?

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Vårdgivarens utseende av verksamhetschef för den medicinska och psykologiska delen av elevhälsan inom barn- och skolnämndens ansvarsområde

Socialstyrelsen Ansökan Tillsyn Datum Socialstyrelsens Dnr /2008 Region öst

Riktlinjer för Informationshantering och journalföring i Hälso- och sjukvården. Norra närvårdsområdet Skaraborgs kommuner

BESLUT. Region Gävleborg ska till Inspektionen för vård och omsorg (IVO) redovisa:

Förslag till ändring föreskrifter om informationshantering och journalföring

Riktlinjer för hälso- och sjukvårdsdokumentation

Det föreslagna beslutet medför inga kända ekonomiska konsekvenser för kommunen.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) 4 kap. patientdatalagen m.m.

Bakgrund Inspektionen för vård och omsorg har under veckorna 24 och 25 granskat följande sjukhus inom Stockholms län:

BESLUT. Landstinget i Dalarna ska till Inspektionen för vård och omsorg (IVO) redovisa:

Informationssäkerhet med logghantering och åtkomstkontroll av hälso- och sjukvårdsjournaler i Vodok och nationell patientöversikt (NPÖ)

Tillsyn - äldreomsorg

RÅD Checklista för avtal rörande sammanhållen journalföring

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Logghantering för hälso- och sjukvårdsjournaler

Verksamhetschef avseende hälso- och sjukvård inom elevhälsan

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

Juridik och informationssäkerhet

Riktlinjer för informationshantering och journalföring i hälso- och sjukvården i särskilt boende i Solna kommun

Rutin för loggkontroll och tilldelning av behörigheter i nationell patientöversikt (NPÖ) Rutinen gäller från fram till

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Lokala riktlinjer informationshantering och journalföring, inom elevhälsans medicinska och psykologiska delar, Alingsås Kommun

Herman Pettersson Inspektör / Jurist. Karin Dahlberg Inspektör / Nationell ämnessamordnare för elevhälsa på IVO

Rutin för loggning av HSL-journaler samt NPÖ

Kändisspotting i sjukvården

1(12) Dokumentation inom SoL, LSS och HSL. Styrdokument

Bakgrund Inspektionen för vård och omsorg har under veckorna 24 och 25 granskat följande sjukhus inom Stockholms län:

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) behörighetstilldelning, spärrar m.m enligt patientdatalagen.

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Myndigheten för samhällsskydd och beredskaps författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad:

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Sammanhållen journalföring 6 kap. patientdatalagen

Anmälan enligt Lex Maria om problem med journalsystemet Take Care vid Karolinska Universitetssjukhuset i Stockholm, dnr K

Publicerad www socialstyrelsen se april

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn av åtgärder för skydd av behandlade. uppgifter i butiks- och återförsäljarledet.

Hälso- och sjukvårdsdokumentation

Transkript:

C" Socialstyrelsen BESLUT T/Region Öst/Sek3 Jörgen Maersk-Möller jorgen.maersk-moller@socialstyrelsen.se 2011-06-15 Dnr 9.1-6937/2011 1(8) Karolinska Universitetssjukhuset Sjukhusdirektören Birgir Jakobsson 171 76 Stockholm Vårdgivare Karolinska Universitetssjukhuset i Stockholm Ärendet Verksamhetstillsyn tillsyn av vårdgivarens informationssäkerhet Socialstyrelsens beslut Vårdgivaren ska vidta följande åtgärder: Styrning av informationssäkerhet Inom ledningssystemet ta fram en aktuell och för vårdgivaren specifik informationssäkerhetspolicy. Säkerställa att utsedd informationssäkerhetsansvarig(a) årligen lämnar rapport till vårdgivaren enligt 2 kap. 3 SOSFS 2008:14. Tillse att verksamhetscheferna får ett dokumenterat och samlat uppdrag kring informationssäkerhetsarbetet. Drift, incident och support Utreda sårbarheten i journalsysternstrukturen samt göra en åtgärdsplan för detta, för att kunna minska antalet driftsstopp. Säkerställa att rutin för säkerhetskopiering och återläsningstester uppfyller kraven i 2 kap. 16 SOSFS 2008:14 Ändringshantering Säkerställa att verksamhetens krav på belastning och prestanda tillgodoses vid ändringar av systemet innan ändringarna implementeras i verksamheten. Säkerställa att ändringar (både felrättning och nyutveckling) av vårdgivarens journalsystem Take Care sker på ett kontrollerat sätt. SOCIALSTYRELSEN 106 30 STOCKHOLM 0 (o S 611P1 Telefon 075-247 30 00 socialstyrelsen@socialstyrelsen.se www.socia I styrelsen.se Fax 075-247 32 52 Org nr 202100-0555 Plusgiro 15616-6

SOCIALSTYRELSEN 2011-06-15 Dnr 9.1-6937/2011 2(8) Fysiskt skydd och rundvandring Säkerställa att personalen kan hitta journalsystemets läskopia vid systemavbrott. Behörighet Förtydliga organisationen kring behörighetstilldelning så att det säkerställs att rätt person har rätt behörighet i systemet. Loggning Säkerställa att loggkontroller görs systematiskt och återkommande. Öppna nät Redovisa en mer skyndsam tidplan för införandet av lösningar som säkerställer kryptering och stark autentisering för patientuppgifter som kommuniceras över öppna nät. Kontinuitet och personalens utbildning Säkerställa att det finns rutiner för utbildning av personalen, såväl vad gäller läkernedelsmodul som när man behöver begära patientens samtycke innan man tar del av annan vårdgivares journalinnehåll. Med "säkerställa" menar Socialstyrelsen att man har en dokumenterad rutin, att rutinen är känd av berörd personal, att rutinen följs och att rutinen som sådan följs upp. Redovisningen av vidtagna åtgärder ska ha inkommit till Socialstyrelsen senast den 30 september 2011. Om de krav som ställs inte uppfylls kan Socialstyrelsen komma att utfårda ett föreläggande med eller utan vite. Bakgrund Den 1 juli 2008 trädde patientdatalagen (2008:355) och Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården i kraft. Dessa regelverk omfattar alla vårdgivare som behandlar patientuppgifter och ställer krav på att patientuppgifter hanteras patientsäkert. Underlag Inspektioner Dokument Inspektionsrapporter

SOCIALSTYRELSEN 2011-06-15 Dnr 9.1-6937/2011 3(8) Redovisning av tillsyn Mot ovanstående bakgrund har Socialstyrelsen beslutat att genomföra en granskning av vårdgivarens informationssäkerhet. Tillsynen omfattar vårdgivarens ledning och styrning av informationssäkerheten samt hur informationssäkerhetskraven har applicerats på Karolinska universitetssjukhus journalsystem, Take Care. Inspektion genomfördes den 7-8 april 2011. Med anledning av vittgående decentralisering av ansvaret för informationssäkerheten valde Socialstyrelsen att även intervjua verksamhetschefen på Reurnatologen (den 13 april) och verksamhetschefen på Njurmedicin (den 18 april). Inspektionsrapporter upprättades och kommunicerades med vårdgivaren och verksamhetscheferna enligt 7 kap 19 Patientsäkerhetslagen (2010:659). Resultatet av tillsynen återförs till vårdgivaren i form av skriftligt beslut. Vårdgivarens yttrande Inspektionsrapporterna har kompletterats efter vårdgivarens och verksarnhetschefernas yttranden. Skälen för beslutet Tillämpliga bestämmelser Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården Socialstyrelsens föreskrifter (SOSFS 2005:12) om ledningssystem för kvalitet och patientsäkerhet i hälso- och sjukvården Patientsäkerhetslag (2010:659) Hälso- och sjukvårdslag (1982:763) Patientdatalag (2008:355) Socialstyrelsens bedömning Styrning av informationssäkerhet Vid inspektionen stod det inte klart att Karolinska Universitetssjukhuset har ett eget uppdrag från Hälso- och sjukvårdsnämnden i Stockholm att utföra de uppgifter som åligger vårdgivaren. Socialstyrelsen har information i andra ärenden som tydliggör att Karolinska Universitetssjukhuset har detta uppdrag, varför Socialstyrelsen fortsättningsvis i

SOCIALSTYRELSEN 2011-06-15 Dnr 9.1-6937/2011 4(8) detta ärende vänder sig till styrelsen och sjukhusledningen för Karolinska Universitetssjukhuset såsom vårdgivare. Enligt 2 kap. 1 SOSFS 2008:14 ska vårdgivaren ge direktiv och säkerställa att det i verksamhetens ledningssystem för kvalitet och patientsäkerhet finns en dokumenterad informationssäkerhetspolicy. Vårdgivaren ska också säkerställa att ledningssystemet omfattar de rutiner som behövs för att uppfylla kraven på informationssäkerhet. Vårdgivaren har ingen egen informationssäkerhetspolicy, vilket Socialstyrelsen ser som en brist som behöver åtgärdas. Hos vårdgivaren saknas organisation för informationssäkerhet med tanke på uppgifter som i samlad form behöver tillställas vårdgivaren årligen enligt 2 kap. 3 SOSFS 2008:14. Socialstyrelsen konstaterar att ansvaret för informationssäkerhetsarbetet har delegerats till samtliga 70 verksamhetschefer i organisationen. Den återrapportering som ska ske från informationssäkerhetsansvariga till vårdgivaren med utgångspunkt i riskanalyser kopplade till informationssäkerhetsarbetet, granskningar och skyddsåtgärder i enlighet med informationssäkerhetspolicyn samt vidtagna förbättringsåtgärder sker inte på vårdgivarnivå eller från verksamhetscheferna till vårdgivaren. Detta är en brist som vårdgivaren behöver åtgärda. Enligt 3 kap. 1 SOSFS 2005:12 ska vårdgivaren ge direktiv och säkerställa att ledningssystemet för varje verksamhet är ändamålsenligt med mål, rutiner, metoder och vårdprocesser som säkerställer kvaliteten. Enligt 2 kap. 18 SOSFS 2008:14 ska de uppgifter som en vårdgivare har uppdragit åt eller tilldelat en viss verksamhetschef dokumenteras. Det finns i organisationen inget samlat styrdokument gällande informationssäkerhetsarbetet för de 70 verksamhetscheferna. Alla måste själva komma fram till egna rutiner, och verksamhetscheferna anser inte att de fått något uttalat och samlat uppdrag kring informationssäkerhetsarbetet. Detta är en brist som vårdgivaren behöver åtgärda. Drift, incident och support Vårdgivaren är skyldig att säkerställa tillgängligheten för patientuppgifter, eftersom riskerna för patientskada annars uppstår. Nuvarande databasstruktur har visat sig vara sårbar och lett till flertalet avbrott, avbrott som dessutom varat längre än de två timmar som vårdgivaren avtalat med leverantören av driften. Varje gång ett driftstopp sker innebär det en risk för patientsäkerheten eftersom journalhandlingarna då inte är fullt tillgängliga i realtid och inte heller går att dokumentera i. Flertalet av driftstoppen tycks bero på sårbarheter inbyggda i själva strukturen varför det är det troligt att även framtida avbrott sker. Att hänvisa till läskopia och reservrutiner är inte en tillräcklig lösning för att hantera de patientsäkerhetsrisker som driftstoppen ger upphov till när de sker upprepade gånger och med

SOCIALSTYRELSEN 2011-06-15 Dnr 9.1-6937/2011 5(8) långa stillestånd. Vårdgivaren bör utreda orsaken till driftstoppen samt göra en åtgärdsplan för dessa. Vårdgivaren ska ansvara för att det i ledningssystemet finns rutiner för säkerhetskopiering av patientuppgifter. Av rutinerna ska det framgå 1. med vilken periodicitet säkerhetskopieringen ska göras, 2. hur länge säkerhetskopiorna ska sparas, och 3. hur ofta återläsningstester ska göras. Socialstyrelsen har fått en beskrivning av hur ofta säkerhetskopiering ska tas men det är oklart vilka krav vårdgivaren ställer på hur länge dessa ska sparas samt vårdgivarens krav på hur ofta återläsningstester ska göras för att leva upp till vårdgivarens krav på patientsäkerhet.. Ändringshantering För att hantera patientuppgifter med god informationssäkerhet krävs ett heltäckande informationssäkerhetsarbete. Vid förändringar av systemet behöver vårdgivaren säkerställa patientuppgifternas tillgänglighet, riktighet, sekretess och spårbarhet för att nå en god informationssäkerhet. Vårdgivaren beställer ändringar av systemet från leverantören Profdoc, men man ställer inte krav på hur utvecklingen inklusive systemtester ska ske. Det är exempelvis tveksamt huruvida belastningstester verkligen sker, trots att det är centralt för att säkerställa att systemet kan fungera i den miljö och leva upp till kraven på prestanda som gäller för vårdgivarens verksamhet. Vårdgivaren måste säkerställa att verksamhetens krav på belastning och prestanda tillgodoses vid ändringar av systemet. Fysiskt skydd och rundvandring. Först efter 30 minuters inaktivitet i programmet släcks Take Care ned på datorn. Socialstyrelsen bedömer att tiden är lång och ökar risken för att obehörig användare kommer in i programmet. "Atlas - SLL:s gemensamma klientplattform" som är under införande kommer dock att kräva ny personlig inloggning i datorn redan efter fem minuters inaktivitet. Enligt 4 kap 3 SOSFS 2005:12 ska ledningssystemet säkerställa att det finns rutiner som tillgodoser att personalen har den kompetens som behövs för att utföra arbetsuppgiften. Socialstyrelsen såg under rundvandringen att personalen inte visste var läskopian fanns och således inte skulle kunna utföra sina arbetsuppgifter vid ett systemavbrott. Detta är en brist som vårdgivaren behöver åtgärda. Behörigheter Enligt 2 kap. 6 SOSFS 2008:14 ska vårdgivaren ansvara för att det

SOCIALSTYRELSEN 2011-06-15 Dnr 9.1-6937/2011 6(8) finns rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheterna. Ansvaret för behörighetshanteringen ligger på de 70 verksamhetscheferna. Stöd till verksamhetscheferna att ha kontroll över och hantera behörigheterna ges i form av möjlighet att ta ut listor på vilka som har behörighet. Det finns ingen automatisk koppling till andra system som avstämning kan göra emot exempelvis lönesystem. På njurmedicinska kliniken arbetar ca 320 personer, och vid senaste kontrollen fanns det utöver dessa 320 personer uppåt 500 personer med behörighet inom kliniken! Verksamhetschefen anser inte att det är möjligt för honom att hålla reda på vilka dessa 500 personer är och han har inte godkänt att de fått sina behörigheter. Man verkar med andra ord ha mycket stora behörigheter, många som kan tilldela behörighet och brister i kontrollen vilka det är. Det verkar vara möjligt att ge behörighet till personer på annan klinik än den egna. När det gäller begrepp kring behörighetstilldelning med mera finns det tre parallella spår de som lägger upp och tar bort spärrar, de som hanterar behörighet och kontaktpersoner. Begreppen kallas olika på njunnedicin kallar man användarhanterare för kontaktpersoner, centralt verkar en kontaktperson vara lokal systemförvaltare. Vårdgivaren beskriver sin organisation för spärrhantering som tydlig med delegationsordning och rutiner. Vårdgivaren behöver se till att det finns rutiner som säkerställer att rätt person har rätt behörighet i systemet. Detta gäller även när personal glömt bort sitt lösenord och behöver ett nytt. Sammanhållen journalföring Vid inspektionen av Njurmedicinska kliniken framkom att man inte kände till bestämmelsen att patienten ska samtycka innan man tar del av annan vårdgivares journalinnehåll. Detta visar brister i personalens kompetens se även stycket om personalens kompetens och utbildning. Loggning Åtkomstkontrollerna ska enligt 4 kap. 3 patientdatalagen görs systematisk och återkommande. Hur ofta det behöver göras beror dock på verksamhetens omfattning, antalet personer med åtkomst, hur behörigheterna delas ut och hur omfattande kontrollen är. Det är dock nödvändigt att kontrollerna görs så regelbundet och omfattande en så hög andel av logghändelserna att det blir en effektiv kontroll. Målet med kontrollen är enligt förarbetena till patientdatalagen att både upptäcka och att verka avhållande från intrång (prop. 2007/08:126 s. 150). Det är därför nödvändigt att omfattningen av kontrollen står i relation till antalet logghändelser och är baserad på en riskanalys som vårdgivaren genomför. När det gäller vissa kategorier av patientuppgifter är det lämpligt att särskilda riskanalyser görs för att bestämma vilken nivå av efterkontroll som är rimlig. Det kan ex-

SOCIALSTYRELSEN 2011-06-13 Dnr 9.1-6937/2011 7(8) empelvis gälla skyddade personuppgifter som är sekretessmarkerade, uppgifter om barn eller allmänt kända personer samt uppgifter från vissa mottagningar eller medicinska specialiteter. På Karolinska Universitetssjukhuset utförs ca 1400 stickprov per månad (20 per klinik). Med breddinförandet av Systematisk Logg Analys (SALA) kommer filtreringen av vilka loggar som tas ut att kunna förbättras. På en verksamhet hade inte verksamhetschefen behövt kontrollera någon logglista sedan han tillträdde sin tjänst augusti 2010. Socialstyrelsen vill veta hur vårdgivaren säkerställer att loggkontroller görs systematiskt och återkommande. Öppna nät Vårdgivaren definierar såväl SLL-net som Karolinska Universitetssjukhusets eget nät som öppna. Om en vårdgivare gör patientuppgifter tillgängliga över öppna nät måste detta, enligt 2 kap. 5 SOSFS 2008:14, göras på ett sådant sätt att ingen obehörig kan nå uppgifterna. I praktiken innebär detta bland annat att patientuppgifter måste överföras genom en krypterad förbindelse eller genom att kryptera uppgifterna. Åtkomsten till patientuppgifterna i ett öppet nät ska också föregås av stark autentisering. Idag lever inte vårdgivaren upp till kraven i ovanstående författning. Verksamheten har tagit fram en projektplan för införande av en standardiserad dataarbetsplats Atlas SLL:s gemensamma klientplattform. När dataarbetsplatsen förses med kortläsare och kryptering kommer den att uppfylla kraven enligt ovan. Målet är att ha genomfört Atlas projektet under 2012. Då ett mer exakt slutdatum inte är satt gör Socialstyrelsen tolkningen att projektet kan pågå till och med slutet på år 2012. Kraven på kryptering och stark autentisering har varit gällande i snart 3 år. Mängden patientuppgifter som kommuniceras är omfattande. Socialstyrelsen anser att genomförandet av Atlas projektet behöver få en högre prioritering av vårdgivaren och att en mer skyndsam genomförandeplan behöver tas fram. Planen för ett mer skyndsamt införande får inte i sig innebära ökade risker för patienterna. Som ett komplement till den uppdaterade genomförandeplanen ska en riskanalys med koppling till patientsäkerhetsrisker tas fram. Telenätet räknas som ett öppet nät. Faxar använder telenätet för sin kommunikation. Därför gäller bestämmelserna om öppna nät också överföring av patientuppgifter med hjälp av fax. Detta innebär att det kan vara svårt att överföra uppgifter via fax på ett sätt som uppfyller föreskrifternas krav på säkerhet. Den vårdgivare som använder fax för

SOCIALSTYRELSEN 2011-06-15 Dnr 9.1-6937/2011 8(8) sådana överföringar måste förvissa sig om att ingen obehörig kan nå patientuppgifterna. Kontinuitet och personalens utbildning Ansvaret för utbildning av personal i systemet Take Care ligger på verksamhetscheferna. Stöd ges centralt i form av videofilmer på intranetsidan. Chefläkaren har fattat beslut att all personal som ordinerar, bereder eller delar ut läkemedel ska utbildas i Take Cares läkemedelsmodul. Enligt beslutet är det verksamhetschefen som ansvarar för att så sker. Socialstyrelsen vill veta hur vårdgivaren säkerställer att verksamhetscheferna tagit fram rutiner för utbildning av personalen. Beslut i detta ärende har fattats av sektionschefen Lena Renman. I den slutliga handläggningen har inspektören Lars Asteborg deltagit. Jörgen Maersk-Möller har varit föredragande. För Socialstyrelsen ena Renman J rgen Maersk-Möller Kopia till: Chefläkaren Stefan Engqvist

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss