Datum Diarienr 2010-02-23 1646-2009 Praktikertjänst AB Adolf Fredriks Kyrkogata 9A 103 55 Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen konstaterar att Praktikertjänst AB (härefter Praktikertjänst), i strid med 4 kap. 2 patientdatalagen (2008:355) och 2 kap. 6 Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården, saknar rutiner för förändring och regelbunden uppföljning av behörigheter. Vidare konstateras att Praktikertjänst, genom att varken genomföra eller ha rutiner för systematisk och återkommande åtkomstkontroll, behandlar patientuppgifter i strid med kraven rörande åtkomstkontroll i 4 kap. 3 patientdatalagen och 2 kap. 11 SOSFS 2008:14. Datainspektionen förutsätter att Praktikertjänst snarast - tar fram och inför rutiner för förändring och regelbunden uppföljning av behörigheter, samt - tar fram och inför rutiner för systematisk och återkommande åtkomstkontroll. Praktikertjänst ska senast den 30 april 2010 lämna en skriftlig redogörelse till Datainspektionen för vad arbetet med att rätta till dessa brister har resulterat i. Ärendet avslutas, men kommer att följas upp. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
Bakgrund Datainspektionen genomförde den 19 november 2009 en inspektion av Praktikertjänsts (Tandvård) personuppgiftsbehandling, bl.a. på Tandläkarna Engstrand i Västerås. Under inspektionen framkom bl.a. följande. Verksamheten bedrivs av vårdgivaren Praktikertjänst AB genom tandvårdsmottagningar över hela landet. En genomsnittlig mottagning har ca 4 anställda, medan den största mottagningen har ca 20 anställda. Praktikertjänst har omkring 2-2,5 miljoner patienter. Varje mottagning inom Praktikertjänst har sin egen databas och server innehållande patientinformation. Det är inte tekniskt möjligt att ta del av någon annan mottagnings patientuppgifter. Opus Dental, som är ett kombinerat administrativt och journalföringssystem, har ca 4000 användare. Tandläkarna Engstrand är en mottagning i Västerås med 5 anställda. Antalet patienter är omkring 2000 st. Mottagningen använder journalsystemet Opus Dental. Behörighetsstyrning Praktikertjänst har en rutin för tilldelning av behörigheter i Opus Dental. I kvalitets- och ledningssystemet finns en automatisk funktion som tvingar till årliga uppdateringar av rutinerna. Varje användare tilldelas en individuell behörighet, där den verksamhetsansvarige har högre behörighet än övriga anställda. Åtkomsten till patientuppgifter sker genom inloggning med individuellt användarnamn och lösenord. Den verksamhetsansvarige lägger upp nya behörigheter i systemet och ansvarar för tilldelningen till användarna. Det finns även en rutin för borttagning av behörigheter när en anställd slutar vid mottagningen. Åtkomstkontroll Aktivitet i Opus Dental loggas, t.ex. att en användare läst, skrivit eller skrivit ut något. Av loggarna framgår det vilken användare som gjorde vad, när och med vilken patients uppgifter. Loggarna sparas i minst tio år. Praktikertjänst har inte genomfört någon åtkomstkontroll (loggkontroll) på förekommen anledning. Det görs inte heller några systematiska och Sida 2 av 5
återkommande kontroller av åtkomsten till uppgifter i Opus Dental. Det finns inga dokumenterade rutiner för åtkomstkontroll. Datainspektionens bedömning Behörighetsstyrning Av 4 kap. 2 patientdatalagen (2008:355) följer att vårdgivaren ska bestämma villkor för tilldelning av behörigheter samt att behörigheterna ska begränsas till vad som behövs för att användaren ska kunna fullgöra sina arbetsuppgifter. Detta kompletteras sedan av bestämmelserna i 2 kap. 6 Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården. Av denna bestämmelse framgår följande. - Det ska finnas rutiner som säkerställer att behörigheter begränsas till vad som behövs för en god och säker vård. - Varje användare ska tilldelas en individuell behörighet. - Beslut om tilldelning av behörighet ska föregås av en behovs- och riskanalys. - Det ska finnas rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheterna. I ärendet har framkommit att Praktikertjänst har en årligen uppdaterad rutin för tilldelning av behörigheter. Det är den verksamhetsansvarige på respektive mottagning som fattar beslut och tilldelar individuella behörigheter till samtliga användare. Det finns även en rutin för borttagning av behörigheter när en anställd slutar. Vidare har framkommit att Praktikertjänst saknar rutiner för förändring och regelbunden uppföljning av behörigheterna. Att följa upp utdelade behörigheter för att exempelvis kontrollera att behörigheterna är förenliga med användarnas aktuella arbetsuppgifter är centralt ur ett integritetsperspektiv. Det handlar inte bara om att se till att ta bort behörigheter när användare slutar vid en mottagning, utan även om att anpassa behörigheterna efter användarnas aktuella behov. Att en användare får nya eller förändrade arbetsuppgifter, såväl tillfälligt som permanent, är exempel på omständigheter som kan komma att påverka en tidigare utdelad behörighet. En sådan uppföljning ger ökade förutsättningar för att ha ändamålsenliga och individuellt anpassade behörigheter. Mot bakgrund av ovanstående konstaterar Datainspektionen att Praktikertjänst, i strid med 4 kap. 2 patientdatalagen och 2 kap. 6 Socialstyrelsens nämnda föreskrift, saknar rutiner för förändring och Sida 3 av 5
regelbunden uppföljning av behörigheter. Datainspektionen förutsätter att Praktikertjänst snarast vidtar åtgärder för att rätta till dessa brister. Praktikertjänst ska senast den 30 april 2010 lämna in en skriftlig redogörelse till Datainspektionen för vad arbetet med att ta fram och införa dessa rutiner har resulterat i. Åtkomstkontroll Åtkomstkontroll handlar delvis om att kontrollera att ingen obehörig tagit del av information i ett IT-system. En sådan kontroll sker vanligtvis med hjälp av de åtkomstloggar som genereras när en användare vidtar åtgärder i ITsystemet, t.ex. läser eller skriver. För tandvårdens del följer av 4 kap. 3 patientdatalagen att åtkomst till patientuppgifter ska dokumenteras och kunna kontrolleras samt att vårdgivaren ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt patientuppgifterna. Detta kompletteras sedan av bestämmelsen i 2 kap. 11 Socialstyrelsens nämnda föreskrifter. Av denna bestämmelse framgår att vårdgivaren ska ansvara för att det finns rutiner som säkerställer att - det av loggarna framgår vilka åtgärder som har gjorts med uppgifterna, - det av loggarna framgår vid vilken vårdenhet och vid vilken tidpunkt åtgärderna har vidtagits, - användarens och patientens identitet framgår av loggarna, - systematiska och återkommande stickprovskontroller av loggarna görs, - genomförda kontroller av loggarna dokumenteras, och - loggarna sparas i minst tio år. I ärendet har framkommit att aktivitet i Opus Dental loggas och att det av loggarna framgår vilken användare som gjorde vad, när och med vilken patients uppgifter. Vidare sparas loggarna i minst tio år. Mot denna bakgrund konstaterar Datainspektionen att Praktikertjänst har goda förutsättningar för att utföra åtkomstkontroll. Någon systematisk och återkommande åtkomstkontroll sker emellertid inte. Inte heller finns det några rutiner för detta. Mot bakgrund av ovanstående konstaterar Datainspektionen att Praktikertjänst behandlar patientuppgifter i strid med kraven på åtkomstkontroll i 4 kap. 3 patientdatalagen och 2 kap. 11 Socialstyrelsens nämnda föreskrift. Datainspektionen förutsätter att Praktikertjänst tar fram och inför rutiner för systematisk och återkommande åtkomstkontroll. Vidare förutsätter Datainspektionen att Praktikertjänst i övrigt iakttar de krav som ställs på åtkomstkontroll, exempelvis rörande dokumentation av loggkontroll Sida 4 av 5
och bevarande av loggar. Praktikertjänst ska senast den 30 april 2010 lämna en skriftlig redogörelse till Datainspektionen för vad arbetet med att ta fram och implementera rutiner för en systematisk och återkommande åtkomstkontroll har resulterat i. Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Inspektionen måste ha fått ert överklagande inom tre veckor från den dag ni fick ta del av beslutet, annars kan överklagandet inte prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholms län för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Patrik Sundström Sida 5 av 5