Beslut Diarienr 2014-05-07 575-2013 Omsorgsnämnden Gävle kommun 801 84 Gävle Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens beslut Datainspektionen förutsätter att Omsorgsnämnden, Gävle kommun (nämnden) ser till: Att det finns en dokumenterad behovs- och riskanalys enligt 2 kap. 6 andra stycket andra meningen SOSFS 2008:14 1 för Treserva och övriga informationssystem som innehåller vårddokumentation enligt 2 kap. 4 första stycket 1 och 2 patientdatalagen. Att det finns loggar i respektive system som gör det möjligt att utreda om åtkomsten till patientuppgifter har varit befogad. Att det finns en dokumenterad rutin för logguppföljning. Att det finns skriftliga riktlinjer till befattningshavare som utför loggkontroller, så att dessa befattningshavare på ett systematiskt sätt kan kontrollera om någon har kommit åt patientuppgifter obehörigen enligt 4 kap. 3 första stycket andra meningen patientdatalagen. Att anställda får information om under vilka omständigheter som de får ta del av patientuppgifter. Ärendet avslutas, men kan komma att följas upp. 1 Socialstyrelsens föreskrifter Informationshantering och journalföring i hälso- och sjukvården. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
Redogörelse för tillsynen Datainspektionen inledde under 2013 tillsyn för att granska om man inom den kommunala hälso-och sjukvården skyddar patientuppgifter genom att dels begränsa den elektroniska åtkomsten till patientuppgifter genom behörighetsstyrning, dels genom loggar kontrollera om någon anställd obehörigen kommit åt patientuppgifter. Tillsynen genomfördes genom att 18 slumpvis utvalda Socialnämnder eller motsvarande (vårdgivare) skriftligen fått besvara frågor om det ovanstående. Nämnden svar inkom den 28 maj 2013. Nämnden beskriver i korthet sin verksamhet enligt följande. Omvårdnadsnämnden bedriver hälso- och sjukvårdsverksamhet när det gäller hemsjukvård, äldreboenden, LSS-boenden, dagverksamheter och verksamheten för psykisk funktionsnedsättning. I de hälso-och sjukvårdsverksamheter som nämnden bedriver används fem system som innehåller uppgifter om patienter. I verksamhetsystemet Treserva har 2900 anställda åtkomst till uppgifter om 2800 patienter. De kategorier av anställda som har åtkomst till patientuppgifter i Treserva är, sjuksköterskor, sjukgymnaster, arbetsterapeuter,dietist, omvårdnadspersonal, verksamhetschefer för SoL- och LSS-verksamhet och HSL, och medicinsk ansvarig sjuksköterska. Skäl för beslutet Behovs- och riskanalys inför tilldelning av behörighet Vårdgivarens skyldigheter som rör behörighetsstyrning framgår av 4 kap. 2 patientdatalagen och 2 kap. 6 SOSFS 2008:14. Bestämmelserna kompletterar bestämmelsen om inre sekretess i 4 kap. 1 patientdatalagen samt omfattar även uppgifter om avlidna enligt 1 kap. 1 andra stycket. Datainspektionen har när det gäller behörighetsstyrning begränsat bedömningen till frågan om vårdgivaren har gjort en behovs- och riskanalys enligt 2 kap. 6 SOSFS andra stycket andra meningen som kan läggas till grund för tilldelningen av behörigheter enligt 4 kap. 2 patientdatalagen. På frågan om tilldelningen av individuella behörigheter har föregåtts av en behovs- och riskanalys, har Nämnden svarat Ja. Nämnden har bland annat Sida 2 av 6
uppgett att för varje yrkeskategori finns en eller flera olika profiler beroende på vilket behov som personalen har att komma åt viss information. I arbetet med att bygga enheter och profiler finns hela tiden behovs- och riskanalystänkande med. Enheter är lagda på lägsta nivå, dvs. en boendeenhet på ett äldreboende är en enhet. Den som jobbar på avdelning 1 har behörighet endast till avdelning 1. Utifrån Nämndens beskrivning finns olika behörighetsnivåer utifrån personalkategorier och enheter. Datainspektionen gör följande bedömning En vårdgivare är enligt nu aktuella bestämmelser skyldig att begränsa en användares behörigheter till vad som behövs för att användaren ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården och till vad som är nödvändigt för att ge en god och säker vård. Vårdgivarens beslut om tilldelning av behörighet ska föregås av en behovs- och riskanalys. I propositionen 2007/08:126 Patientdatalag m.m. uttalar regeringen (s 148 f) att syftet med 4 kap. 2 patientdatalagen är att inpränta skyldigheten för den ansvariga vårdgivaren att göra aktiva och individuella behörighetstilldelningar utifrån analyser av vilken information olika personalkategorier och olika slags verksamheter behöver. Det framgår också att riskanalyser måste göras där man tar hänsyn till olika slags risker som kan vara förknippade med en alltför vid tillgänglighet avseende vissa slags uppgifter. Regeringen uttalar vidare att en mer vidsträckt eller grovmaskig behörighetstilldelning bör även om den skulle ha poänger utifrån effektivitetssynpunkt anses som en obefogad spridning av journaluppgifter inom en verksamhet och bör som sådan inte accepteras. Nämnden har således genomfört analyser som har lett till att nämnden har begränsat användarnas behörigheter. Datainspektionen bedömer därför att det förefaller att finnas goda förutsättningar för en väl avvägd behörighetstilldelning hos nämnden. Det framgår dock inte att nämnden har en dokumenterad behovs- och riskanalys där analyserna också har omfattat vilken information som olika verksamheter behöver. Det framgår inte heller om nämnden i analyserna har tagit hänsyn till risker förenade med tillgänglighet avseende vissa slags uppgifter. Mot bakgrund av den avgörande betydelse som en behovs- och riskanalys har för en väl avvägd behörighetstilldelning förutsätter Datainspektionen att nämnden ser till att det finns en dokumenterad behovs- och riskanalys enligt 2 kap. 6 andra stycket andra meningen SOSFS 2008:14 för Treserva och Sida 3 av 6
andra informationssystem som innehåller vårddokumentation enligt 2 kap. 4 första stycket 1 och 2 patientdatalagen. Loggkontroll Vårdgivarens skyldigheter som rör kontroll av elektronisk åtkomst till patientuppgifter framgår av 4 kap. 3 patientdatalagen och 2 kap. 11 SOSFS 2008:14. Bestämmelserna kompletterar bestämmelsen om inre sekretess i 4 kap. 1 patientdatalagen och omfattar även uppgifter om avlidna enligt 1 kap. 1 andra stycket. På frågan om det finns dokumentation om åtkomst (loggar) i respektive system har Nämnden svarat ja när det gäller Treserva och två ytterligare system. På frågan om vilken information som framgår av loggarna, har Nämnden uppgett att man får fram om användaren har tittat, ändrat, skapat nya anteckningar etc, och hänvisat vidare till de loggutdrag från Preserva och två ytterligare system som getts in i ärendet. Av loggutdragen framgår dock inte när det gäller Preserva att patientens identitet och vårdenhet loggas, och i ett fall framgår inte vilka åtgärder loggas. Generellt framgår inte om åtgärder som att personal har lämnat ut, kopierat eller skrivit ut vårddokumentation loggas. För övriga system har vårdgivaren inte tillgång till loggar. Enligt 4 kap. 3 första stycket patientdatalagen ska en vårdgivare se till att åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat dokumenteras och kan kontrolleras. Av loggarna ska framgå vilka åtgärder som har vidtagits med patientuppgifterna, vid vilken vårdenhet och vid vilken tidpunkt åtgärderna har vidtagits, se 4 kap. 3 patientdatalagen och 2 kap. 11 SOSFS 2008:14. Av behandlingshistoriken ska alltså framgå till exempel om personal har läst, ändrat, lämnat ut, kopierat, upprättat eller skrivit ut vårddokumentation. Det har inte framkommit att det finns sådana loggar i ibland annat Treserva, som gör det möjligt att utreda om åtkomsten har varit befogad. Datainspektionen förutsätter därför att Nämnden ser till att det finns sådana loggar. När det gäller rutinerna för loggkontroll har Datainspektionen begränsat bedömningen till om nämnden har en dokumenterad rutin för logguppföljning samt om rutinen innebär att nämnden vägleder de befattningshavare som utför loggkontrollerna om vad som kan utgöra obehörig åtkomst enligt 4 kap. 3 första stycket andra meningen patientdatalagen. Sida 4 av 6
På frågan om det finns rutiner för logguppföljning har Nämnden svarat både ja och nej, eftersom en skriftlig rutin nyligen tagits fram och ännu inte hunnit implementerats i verksamheterna. Nämnden har gett in dokumentet Riktlinjer för loggkontroll. Enligt 4 kap. 3 första stycket andra meningen patientdatalagen ska vårdgivare göra systematiska och återkommande kontroller av om någon obehörigen kommer åt patientuppgifter. Regeringen har uttalat att vårdgivarna för att främja patientsäkerheten bör åläggas att systematiskt och fortlöpande företa kontroller av om obehörig åtkomst till uppgifter om patienter förekommer. Vidare uttalar regeringen att en sådan bestämmelse inte bara innebär att faktiska dataintrång med större säkerhet kommer att beivras, utan också bör få en starkt avhållande verkan på personal som, om risken för upptäckt är liten, kan frestas att olovligen läsa uppgifter (aa s. 149 f). Datainspektionen förutsätter att den dokumenterade rutinen för logguppföljning numera har implementerats i verksamheterna. Av dokumentet framgår dock inte att befattningshavare som utför loggkontroller har fått vägledning exempelvis om vad som kan utgöra misstanke om obehörig åtkomst, dataintrång, eller olovlig läsning. Datainspektionen anser att loggkontrollerna inte blir verkningsfulla om det saknas riktlinjer till befattningshavare som utför loggkontroller om vad som kan utgöra obehörig elektronisk åtkomst. I sådant fall riskerar en vårdgivare att åsidosätta den inre sekretessen. Datainspektionen förutsätter därför att nämnden ser till att det finns sådana skriftliga riktlinjer till befattningshavare som utför loggkontroller, så att dessa befattningshavare på ett systematiskt sätt kan kontrollera om någon obehörigen har kommit åt patientuppgifter obehörigen enligt 4 kap. 3 första stycket andra meningen patientdatalagen. På fråga om personalen har fått information om vilka personuppgifter som de får ta del av, samt att loggning och logguppföljning görs, har Nämnden svarat att information om spårbarhet och loggar ges alltid i samband med utbildning kring respektive system. Nämnden har vidare hänvisat till dokumentet Informationshantering och journalföring i kommunal hälso- och sjukvård och uppgett att det där bland annat finns information gällande loggkontroller. Sida 5 av 6
För att uppnå den preventiva effekten av logguppföljning behöver de anställda också få information om såväl att loggning och logguppföljning görs, som under vilka omständigheter som de får ta del av patientuppgifter. Av dokumentet, som inte förefaller vara riktad till anställda generellt, framgår således inte att de anställda får information om under vilka omständigheter som de får ta del av personuppgifter. Datainspektionen förutsätter därför att anställda också får sådan information. Ärendet avslutas, men kan komma att följas upp. Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet skall ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta beslut har fattats av tf enhetschefen Anna Hörnlund efter föredragning av juristen Katarina Högquist. Vid den slutliga handläggningen har även ITsäkerhetsspecialisten Magnus Bergström deltagit. Anna Hörnlund Katarina Högquist Kopia till: Personuppgiftsombudet Sida 6 av 6