C" Socialstyrelsen BESLUT T/Region Öst/Sek3 Jörgen Maersk-Möller jorgen.maersk-moller@socialstyrelsen.se 2011-06-15 Dnr 9.1-6937/2011 1(8) Karolinska Universitetssjukhuset Sjukhusdirektören Birgir Jakobsson 171 76 Stockholm Vårdgivare Karolinska Universitetssjukhuset i Stockholm Ärendet Verksamhetstillsyn tillsyn av vårdgivarens informationssäkerhet Socialstyrelsens beslut Vårdgivaren ska vidta följande åtgärder: Styrning av informationssäkerhet Inom ledningssystemet ta fram en aktuell och för vårdgivaren specifik informationssäkerhetspolicy. Säkerställa att utsedd informationssäkerhetsansvarig(a) årligen lämnar rapport till vårdgivaren enligt 2 kap. 3 SOSFS 2008:14. Tillse att verksamhetscheferna får ett dokumenterat och samlat uppdrag kring informationssäkerhetsarbetet. Drift, incident och support Utreda sårbarheten i journalsysternstrukturen samt göra en åtgärdsplan för detta, för att kunna minska antalet driftsstopp. Säkerställa att rutin för säkerhetskopiering och återläsningstester uppfyller kraven i 2 kap. 16 SOSFS 2008:14 Ändringshantering Säkerställa att verksamhetens krav på belastning och prestanda tillgodoses vid ändringar av systemet innan ändringarna implementeras i verksamheten. Säkerställa att ändringar (både felrättning och nyutveckling) av vårdgivarens journalsystem Take Care sker på ett kontrollerat sätt. SOCIALSTYRELSEN 106 30 STOCKHOLM 0 (o S 611P1 Telefon 075-247 30 00 socialstyrelsen@socialstyrelsen.se www.socia I styrelsen.se Fax 075-247 32 52 Org nr 202100-0555 Plusgiro 15616-6
SOCIALSTYRELSEN 2011-06-15 Dnr 9.1-6937/2011 2(8) Fysiskt skydd och rundvandring Säkerställa att personalen kan hitta journalsystemets läskopia vid systemavbrott. Behörighet Förtydliga organisationen kring behörighetstilldelning så att det säkerställs att rätt person har rätt behörighet i systemet. Loggning Säkerställa att loggkontroller görs systematiskt och återkommande. Öppna nät Redovisa en mer skyndsam tidplan för införandet av lösningar som säkerställer kryptering och stark autentisering för patientuppgifter som kommuniceras över öppna nät. Kontinuitet och personalens utbildning Säkerställa att det finns rutiner för utbildning av personalen, såväl vad gäller läkernedelsmodul som när man behöver begära patientens samtycke innan man tar del av annan vårdgivares journalinnehåll. Med "säkerställa" menar Socialstyrelsen att man har en dokumenterad rutin, att rutinen är känd av berörd personal, att rutinen följs och att rutinen som sådan följs upp. Redovisningen av vidtagna åtgärder ska ha inkommit till Socialstyrelsen senast den 30 september 2011. Om de krav som ställs inte uppfylls kan Socialstyrelsen komma att utfårda ett föreläggande med eller utan vite. Bakgrund Den 1 juli 2008 trädde patientdatalagen (2008:355) och Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården i kraft. Dessa regelverk omfattar alla vårdgivare som behandlar patientuppgifter och ställer krav på att patientuppgifter hanteras patientsäkert. Underlag Inspektioner Dokument Inspektionsrapporter
SOCIALSTYRELSEN 2011-06-15 Dnr 9.1-6937/2011 3(8) Redovisning av tillsyn Mot ovanstående bakgrund har Socialstyrelsen beslutat att genomföra en granskning av vårdgivarens informationssäkerhet. Tillsynen omfattar vårdgivarens ledning och styrning av informationssäkerheten samt hur informationssäkerhetskraven har applicerats på Karolinska universitetssjukhus journalsystem, Take Care. Inspektion genomfördes den 7-8 april 2011. Med anledning av vittgående decentralisering av ansvaret för informationssäkerheten valde Socialstyrelsen att även intervjua verksamhetschefen på Reurnatologen (den 13 april) och verksamhetschefen på Njurmedicin (den 18 april). Inspektionsrapporter upprättades och kommunicerades med vårdgivaren och verksamhetscheferna enligt 7 kap 19 Patientsäkerhetslagen (2010:659). Resultatet av tillsynen återförs till vårdgivaren i form av skriftligt beslut. Vårdgivarens yttrande Inspektionsrapporterna har kompletterats efter vårdgivarens och verksarnhetschefernas yttranden. Skälen för beslutet Tillämpliga bestämmelser Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården Socialstyrelsens föreskrifter (SOSFS 2005:12) om ledningssystem för kvalitet och patientsäkerhet i hälso- och sjukvården Patientsäkerhetslag (2010:659) Hälso- och sjukvårdslag (1982:763) Patientdatalag (2008:355) Socialstyrelsens bedömning Styrning av informationssäkerhet Vid inspektionen stod det inte klart att Karolinska Universitetssjukhuset har ett eget uppdrag från Hälso- och sjukvårdsnämnden i Stockholm att utföra de uppgifter som åligger vårdgivaren. Socialstyrelsen har information i andra ärenden som tydliggör att Karolinska Universitetssjukhuset har detta uppdrag, varför Socialstyrelsen fortsättningsvis i
SOCIALSTYRELSEN 2011-06-15 Dnr 9.1-6937/2011 4(8) detta ärende vänder sig till styrelsen och sjukhusledningen för Karolinska Universitetssjukhuset såsom vårdgivare. Enligt 2 kap. 1 SOSFS 2008:14 ska vårdgivaren ge direktiv och säkerställa att det i verksamhetens ledningssystem för kvalitet och patientsäkerhet finns en dokumenterad informationssäkerhetspolicy. Vårdgivaren ska också säkerställa att ledningssystemet omfattar de rutiner som behövs för att uppfylla kraven på informationssäkerhet. Vårdgivaren har ingen egen informationssäkerhetspolicy, vilket Socialstyrelsen ser som en brist som behöver åtgärdas. Hos vårdgivaren saknas organisation för informationssäkerhet med tanke på uppgifter som i samlad form behöver tillställas vårdgivaren årligen enligt 2 kap. 3 SOSFS 2008:14. Socialstyrelsen konstaterar att ansvaret för informationssäkerhetsarbetet har delegerats till samtliga 70 verksamhetschefer i organisationen. Den återrapportering som ska ske från informationssäkerhetsansvariga till vårdgivaren med utgångspunkt i riskanalyser kopplade till informationssäkerhetsarbetet, granskningar och skyddsåtgärder i enlighet med informationssäkerhetspolicyn samt vidtagna förbättringsåtgärder sker inte på vårdgivarnivå eller från verksamhetscheferna till vårdgivaren. Detta är en brist som vårdgivaren behöver åtgärda. Enligt 3 kap. 1 SOSFS 2005:12 ska vårdgivaren ge direktiv och säkerställa att ledningssystemet för varje verksamhet är ändamålsenligt med mål, rutiner, metoder och vårdprocesser som säkerställer kvaliteten. Enligt 2 kap. 18 SOSFS 2008:14 ska de uppgifter som en vårdgivare har uppdragit åt eller tilldelat en viss verksamhetschef dokumenteras. Det finns i organisationen inget samlat styrdokument gällande informationssäkerhetsarbetet för de 70 verksamhetscheferna. Alla måste själva komma fram till egna rutiner, och verksamhetscheferna anser inte att de fått något uttalat och samlat uppdrag kring informationssäkerhetsarbetet. Detta är en brist som vårdgivaren behöver åtgärda. Drift, incident och support Vårdgivaren är skyldig att säkerställa tillgängligheten för patientuppgifter, eftersom riskerna för patientskada annars uppstår. Nuvarande databasstruktur har visat sig vara sårbar och lett till flertalet avbrott, avbrott som dessutom varat längre än de två timmar som vårdgivaren avtalat med leverantören av driften. Varje gång ett driftstopp sker innebär det en risk för patientsäkerheten eftersom journalhandlingarna då inte är fullt tillgängliga i realtid och inte heller går att dokumentera i. Flertalet av driftstoppen tycks bero på sårbarheter inbyggda i själva strukturen varför det är det troligt att även framtida avbrott sker. Att hänvisa till läskopia och reservrutiner är inte en tillräcklig lösning för att hantera de patientsäkerhetsrisker som driftstoppen ger upphov till när de sker upprepade gånger och med
SOCIALSTYRELSEN 2011-06-15 Dnr 9.1-6937/2011 5(8) långa stillestånd. Vårdgivaren bör utreda orsaken till driftstoppen samt göra en åtgärdsplan för dessa. Vårdgivaren ska ansvara för att det i ledningssystemet finns rutiner för säkerhetskopiering av patientuppgifter. Av rutinerna ska det framgå 1. med vilken periodicitet säkerhetskopieringen ska göras, 2. hur länge säkerhetskopiorna ska sparas, och 3. hur ofta återläsningstester ska göras. Socialstyrelsen har fått en beskrivning av hur ofta säkerhetskopiering ska tas men det är oklart vilka krav vårdgivaren ställer på hur länge dessa ska sparas samt vårdgivarens krav på hur ofta återläsningstester ska göras för att leva upp till vårdgivarens krav på patientsäkerhet.. Ändringshantering För att hantera patientuppgifter med god informationssäkerhet krävs ett heltäckande informationssäkerhetsarbete. Vid förändringar av systemet behöver vårdgivaren säkerställa patientuppgifternas tillgänglighet, riktighet, sekretess och spårbarhet för att nå en god informationssäkerhet. Vårdgivaren beställer ändringar av systemet från leverantören Profdoc, men man ställer inte krav på hur utvecklingen inklusive systemtester ska ske. Det är exempelvis tveksamt huruvida belastningstester verkligen sker, trots att det är centralt för att säkerställa att systemet kan fungera i den miljö och leva upp till kraven på prestanda som gäller för vårdgivarens verksamhet. Vårdgivaren måste säkerställa att verksamhetens krav på belastning och prestanda tillgodoses vid ändringar av systemet. Fysiskt skydd och rundvandring. Först efter 30 minuters inaktivitet i programmet släcks Take Care ned på datorn. Socialstyrelsen bedömer att tiden är lång och ökar risken för att obehörig användare kommer in i programmet. "Atlas - SLL:s gemensamma klientplattform" som är under införande kommer dock att kräva ny personlig inloggning i datorn redan efter fem minuters inaktivitet. Enligt 4 kap 3 SOSFS 2005:12 ska ledningssystemet säkerställa att det finns rutiner som tillgodoser att personalen har den kompetens som behövs för att utföra arbetsuppgiften. Socialstyrelsen såg under rundvandringen att personalen inte visste var läskopian fanns och således inte skulle kunna utföra sina arbetsuppgifter vid ett systemavbrott. Detta är en brist som vårdgivaren behöver åtgärda. Behörigheter Enligt 2 kap. 6 SOSFS 2008:14 ska vårdgivaren ansvara för att det
SOCIALSTYRELSEN 2011-06-15 Dnr 9.1-6937/2011 6(8) finns rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheterna. Ansvaret för behörighetshanteringen ligger på de 70 verksamhetscheferna. Stöd till verksamhetscheferna att ha kontroll över och hantera behörigheterna ges i form av möjlighet att ta ut listor på vilka som har behörighet. Det finns ingen automatisk koppling till andra system som avstämning kan göra emot exempelvis lönesystem. På njurmedicinska kliniken arbetar ca 320 personer, och vid senaste kontrollen fanns det utöver dessa 320 personer uppåt 500 personer med behörighet inom kliniken! Verksamhetschefen anser inte att det är möjligt för honom att hålla reda på vilka dessa 500 personer är och han har inte godkänt att de fått sina behörigheter. Man verkar med andra ord ha mycket stora behörigheter, många som kan tilldela behörighet och brister i kontrollen vilka det är. Det verkar vara möjligt att ge behörighet till personer på annan klinik än den egna. När det gäller begrepp kring behörighetstilldelning med mera finns det tre parallella spår de som lägger upp och tar bort spärrar, de som hanterar behörighet och kontaktpersoner. Begreppen kallas olika på njunnedicin kallar man användarhanterare för kontaktpersoner, centralt verkar en kontaktperson vara lokal systemförvaltare. Vårdgivaren beskriver sin organisation för spärrhantering som tydlig med delegationsordning och rutiner. Vårdgivaren behöver se till att det finns rutiner som säkerställer att rätt person har rätt behörighet i systemet. Detta gäller även när personal glömt bort sitt lösenord och behöver ett nytt. Sammanhållen journalföring Vid inspektionen av Njurmedicinska kliniken framkom att man inte kände till bestämmelsen att patienten ska samtycka innan man tar del av annan vårdgivares journalinnehåll. Detta visar brister i personalens kompetens se även stycket om personalens kompetens och utbildning. Loggning Åtkomstkontrollerna ska enligt 4 kap. 3 patientdatalagen görs systematisk och återkommande. Hur ofta det behöver göras beror dock på verksamhetens omfattning, antalet personer med åtkomst, hur behörigheterna delas ut och hur omfattande kontrollen är. Det är dock nödvändigt att kontrollerna görs så regelbundet och omfattande en så hög andel av logghändelserna att det blir en effektiv kontroll. Målet med kontrollen är enligt förarbetena till patientdatalagen att både upptäcka och att verka avhållande från intrång (prop. 2007/08:126 s. 150). Det är därför nödvändigt att omfattningen av kontrollen står i relation till antalet logghändelser och är baserad på en riskanalys som vårdgivaren genomför. När det gäller vissa kategorier av patientuppgifter är det lämpligt att särskilda riskanalyser görs för att bestämma vilken nivå av efterkontroll som är rimlig. Det kan ex-
SOCIALSTYRELSEN 2011-06-13 Dnr 9.1-6937/2011 7(8) empelvis gälla skyddade personuppgifter som är sekretessmarkerade, uppgifter om barn eller allmänt kända personer samt uppgifter från vissa mottagningar eller medicinska specialiteter. På Karolinska Universitetssjukhuset utförs ca 1400 stickprov per månad (20 per klinik). Med breddinförandet av Systematisk Logg Analys (SALA) kommer filtreringen av vilka loggar som tas ut att kunna förbättras. På en verksamhet hade inte verksamhetschefen behövt kontrollera någon logglista sedan han tillträdde sin tjänst augusti 2010. Socialstyrelsen vill veta hur vårdgivaren säkerställer att loggkontroller görs systematiskt och återkommande. Öppna nät Vårdgivaren definierar såväl SLL-net som Karolinska Universitetssjukhusets eget nät som öppna. Om en vårdgivare gör patientuppgifter tillgängliga över öppna nät måste detta, enligt 2 kap. 5 SOSFS 2008:14, göras på ett sådant sätt att ingen obehörig kan nå uppgifterna. I praktiken innebär detta bland annat att patientuppgifter måste överföras genom en krypterad förbindelse eller genom att kryptera uppgifterna. Åtkomsten till patientuppgifterna i ett öppet nät ska också föregås av stark autentisering. Idag lever inte vårdgivaren upp till kraven i ovanstående författning. Verksamheten har tagit fram en projektplan för införande av en standardiserad dataarbetsplats Atlas SLL:s gemensamma klientplattform. När dataarbetsplatsen förses med kortläsare och kryptering kommer den att uppfylla kraven enligt ovan. Målet är att ha genomfört Atlas projektet under 2012. Då ett mer exakt slutdatum inte är satt gör Socialstyrelsen tolkningen att projektet kan pågå till och med slutet på år 2012. Kraven på kryptering och stark autentisering har varit gällande i snart 3 år. Mängden patientuppgifter som kommuniceras är omfattande. Socialstyrelsen anser att genomförandet av Atlas projektet behöver få en högre prioritering av vårdgivaren och att en mer skyndsam genomförandeplan behöver tas fram. Planen för ett mer skyndsamt införande får inte i sig innebära ökade risker för patienterna. Som ett komplement till den uppdaterade genomförandeplanen ska en riskanalys med koppling till patientsäkerhetsrisker tas fram. Telenätet räknas som ett öppet nät. Faxar använder telenätet för sin kommunikation. Därför gäller bestämmelserna om öppna nät också överföring av patientuppgifter med hjälp av fax. Detta innebär att det kan vara svårt att överföra uppgifter via fax på ett sätt som uppfyller föreskrifternas krav på säkerhet. Den vårdgivare som använder fax för
SOCIALSTYRELSEN 2011-06-15 Dnr 9.1-6937/2011 8(8) sådana överföringar måste förvissa sig om att ingen obehörig kan nå patientuppgifterna. Kontinuitet och personalens utbildning Ansvaret för utbildning av personal i systemet Take Care ligger på verksamhetscheferna. Stöd ges centralt i form av videofilmer på intranetsidan. Chefläkaren har fattat beslut att all personal som ordinerar, bereder eller delar ut läkemedel ska utbildas i Take Cares läkemedelsmodul. Enligt beslutet är det verksamhetschefen som ansvarar för att så sker. Socialstyrelsen vill veta hur vårdgivaren säkerställer att verksamhetscheferna tagit fram rutiner för utbildning av personalen. Beslut i detta ärende har fattats av sektionschefen Lena Renman. I den slutliga handläggningen har inspektören Lars Asteborg deltagit. Jörgen Maersk-Möller har varit föredragande. För Socialstyrelsen ena Renman J rgen Maersk-Möller Kopia till: Chefläkaren Stefan Engqvist