Patientsäkerhet vid distansarbeteförstudie

Relevanta dokument
Patientsäkerhet vid distansarbete. Granskning på uppdrag av Revisionskontoret i Region Skåne

I Central förvaltning Administrativ enhet

BESLUT. Ärendet Egeninitierad verksamhetstillsyn av vårdgivarens informationssäkerhet

Informationssäkerhet i patientjournalen

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

ORGANISATIONSNUMMER: ADRESS: NORDENSKIÖLDSGATAN 14, GÖTEBORG

Serviceresor - förstudie

Rutin för loggning av HSL-journaler samt NPÖ

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhet en patientsäkerhetsfråga. Maria Jacobsson Socialstyrelsen

BESLUT. Datum Dnr Tillämpningsanvisningar om Rätt att ta del av patientuppgifter inom Region Skåne

Det föreslagna beslutet medför inga kända ekonomiska konsekvenser för kommunen.

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Informationssäkerhet med logghantering och åtkomstkontroll av hälso- och sjukvårdsjournaler i Vodok och nationell patientöversikt (NPÖ)

Karolinska Universitetssjukhuset i Stockholm. Verksamhetstillsyn tillsyn av vårdgivarens informationssäkerhet

Riktlinjer för logghantering, kontroll och åtkomst enligt Patientdatalagen (PDL) och SOSFS 2008:14 (Vodok och NPÖ)

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA

Riktlinjer. Distansarbete

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Informationshantering och journalföring. nya krav på informationssäkerhet i vården

Distansarbete och tillfälligt hemarbete

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

[7] TILLÄMPNINGSOMRÅDE Rutinen gäller för hälso- och sjukvårds dokumentation enligt patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Hantering av loggkontroller och intrång i journal- och passagesystem

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Dataintrång - åtgärder vid misstanke om olovlig åtkomst

MAS Kvalitets HANDBOK för god och säker vård

Granskning av landstingets hantering av personuppgifter

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen

Rutin för loggkontroll och tilldelning av behörigheter i nationell patientöversikt (NPÖ) Rutinen gäller från fram till

Åtkomst till patientjournal för vårdens personal - blankett, Uppdrag att journalgranska

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post

Juridik och informationssäkerhet

Beredningen för integritetsfrågor

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Loggkontroll - granskning av åtkomst till patientuppgifter

VGR-RIKTLINJE FÖR ÅTKOMST TILL INFORMATION

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Avtal LK 09-0

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Regelverk avseende hantering av loggrapporter för vårdsystem samt åtgärder vid dataintrång

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Granskning av behörigheter till journalsystemet

Riktlinjer för distansarbete i hemmet

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Riktlinjer för distansarbete

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Systematiskt arbetsmiljöarbete, SAM, och uppgiftsfördelningen inom Västarvet

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

BESLUT. Instruktioner om styrning av behörigheter för åtkomst till uppgifter om patienter

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Rutin för loggkontroll av åtkomst till hälso- och sjukvårdsdokumentation

Styrning av behörigheter

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Policy för informationssäkerhet

PM 2015:127 RVI (Dnr /2015)

Logghantering för hälso- och sjukvårdsjournaler

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

Loggrutin för Socialtjänsten, Karlsborgs kommun

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Lekmannarevision 2017 Systematiskt arbetsmiljöarbete

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) 4 kap. patientdatalagen m.m.

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Koncernkontoret Enheten för säkerhet och intern miljöledning

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Informationssäkerhetspolicy inom Stockholms läns landsting

Tillämpningsanvisningar för tillgång till och utlämnande av patientinformation

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

1. Bakgrund. 2. Parter. 3. Definitioner

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

IT-Säkerhetsinstruktion: Förvaltning

Regler för distansarbete Allmänt om distansarbete

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun.

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

KVALITETSSYSTEM Socialförvaltningen

Sammanhållen journalföring

Bilaga 1. Preliminär juridisk rapport

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Transkript:

Revisionskontoret PM NR 4/2014 Patientsäkerhet vid distansarbeteförstudie Helena Olsson Augusti 2014 Postadress: Revisionskontoret, J A Hedlunds väg 5, 291 85 Kristianstad Besöksadress: Ambulansvägen, Hus 19, Centralsjukhuset Kristianstad Telefon (växel): 044-309 30 00 Fax: 044-309 31 63 Organisationsnummer: 23 21 00-0255 Internet: www.skane.se/revisionen

2 Innehållsförteckning 1. Sammanfattning... 3 2. Inledning... 4 2.1 Bakgrund och syfte... 4 2.2 Revisionskriterier... 4 2.3 Metod och genomförande... 5 3. Regionövergripande... 5 3.1 Iakttagelser... 5 4. Granskningsområden och resultat... 7 4.1 Gällande beslut, policys och riktlinjer inom området... 7 4.1.1 Iakttagelser... 7 4.2 Uppföljning av att distansarbete sköts på ett tillfredsställande sätt utifrån patientsäkerhet och sekretess... 8 4.2.1 Iakttagelser... 8 4.3 Slutsatser och bedömningar... 11

3 1. Sammanfattning Förstudiens övergripande frågeställning har varit att, utifrån ett patientperspektiv, bedöma om arbete vid distansarbete inom Region Skåne sker på ett sätt som uppfyller gällande beslut, policys och riktlinjer. Det är viktigt att redan inledningsvis poängtera att vissa beslut, policys och riktlinjer gäller oavsett om medarbetaren arbetar på sin ordinarie arbetsplats eller på distans. Enligt informationssäkerhetsansvarig i Region Skåne hade regionen år 2013 cirka 400 applikationer/it-stöd som innehöll patientuppgifter varav ca 45 st ingick i sammanhållen journalföring. Av dessa var det endast ca 8 st som uppfyllde Patientdatalagens krav fullt ut. Denna bakgrundsinformation ges för att få en förståelse för att oavsett om medarbetaren arbetade på sin ordinarie arbetsplats eller på distans uppfylldes inte den integritet och säkerhet för medborgarna som lagen förutsätter inom området patientsäkerhet. Under år 2013 saknade regionen även rutiner och stöd för enhetlig hantering och återrapportering av dataintrång. Den sammanfattande bedömningen av förstudien visar att beslut, policys och riktlinjer gällande distansarbete inom Region Skåne till viss del efterlevs då det görs en del kontroller och uppföljningar. Däremot görs det generellt sett ingen systematisk uppföljning av området som med klarhet kan visa om arbete på distans sköts på ett tillfredsställande sätt utifrån patientsäkerhet och sekretess. Vidare visar förstudien att back-up av data inte alltid ges på ett tillfredsställande sätt vare sig medarbetaren arbetar på sin ordinarie arbetsplats eller på distans. Vad gäller följsamheten till Policy och riktlinjer om distansarbete i Region Skåne för de intervjuade cheferna årligen samtal med medarbetarna vid utvecklingssamtal angående uppföljning av att Region Skånes policy och riktlinjer om distansarbete följs. Inga förnyade avtal mellan arbetsgivaren och arbetstagaren gällande distansarbete tecknas innan en utvärdering av distansarbetet är gjord. Vad gäller IT-säkerheten vid distansarbete använder Region Skåne sig av RSVPNanslutning (Region Skåne Virtual Private Network) som, enligt IT-ansvariga, ger en säker uppkoppling med tillhörande säker information och till och med enligt dem säkrare än att befinna sig internt. Förstudien visar likaså att kryptering av data sker mer tillfredsställande vid RSVPN-uppkoppling. I dagsläget förekommer, enligt förvaltningschefen för Patientnämndens kansli, inga ärenden hos Patientnämnden som direkt kan kopplas till området distansarbete och patientsäkerhet. I takt med att distansarbete ökar är det viktigt att tillse att roller och ansvar i organisationen gällande informationssäkerhets- och patientsäkerhetsarbete är fastställda och att noggranna riskanalyser genomförs innan förändringar sker. Utbildning och information är likaså viktiga faktorer för att få säkerhetsmedvetna medarbetare inom

4 Region Skåne. Vidare är det viktigt att tillse att likvärdig sekretess/patientsäkerhet utförs när extern part granskar och utför arbete på distans till Region Skåne. Förstudien föranleder en fördjupad granskning för att kunna säkerställa att arbete vid distansarbete sköts på ett tillfredsställande sätt, utifrån patientsäkerhet och sekretess, inom Region Skåne. Det vore även av vikt att granska området vad gäller distansarbete som utförs av extern part. Vidare är det av betydelse att granska hur tillförlitligt Region Skånes backup-system generellt sett är utifrån ett patientperspektiv, oavsett arbete på ordinarie arbetsplats eller på distans, samt att antalet IT-stöd/applikationer och dess säkerhet bör ses över. 2. Inledning 2.1 Bakgrund och syfte I det moderna samhället har en successiv förändring skett vad avser möjligheten för arbetstagare att, vid olika tillfällen, förlägga delar av sin arbetstid utanför den ordinarie arbetsplatsen. Revisorerna avser att genomföra en förstudie med det övergripande syftet att, utifrån ett patientperspektiv, granska om arbete vid distansarbete inom Region Skåne sker på ett sätt som uppfyller gällande beslut, policys och riktlinjer. De frågor som revisorerna vill ha belysta är: Vilka beslut, policys och riktlinjer finns gällande området? Hur sker uppföljning av att detta sköts på ett tillfredsställande sätt utifrån patientsäkerhet och sekretess? 2.2 Revisionskriterier Med revisionskriterier avses de bedömningsgrunder som bildar underlag för revisionens analyser, slutsatser och bedömningar. Följande revisionskriterier har använts i denna förstudie: Patientdatalagen 2008:355 Personuppgiftslagen PUL 1998:204 Policy och riktlinjer om distansarbete i Region Skåne Region Skånes informationssäkerhetspolicy Region Skånes policy för IT-säkerhet Extern åtkomst RSVPN ansvarsförbindelse för anställd i Region Skåne Anvisning gällande åtkomst till Vårdtjänst via RSVPN

5 Läkarförbundets avtal Huvudöverenskommelse om lön och allmänna anställningsvillkor samt rekommendation om lokalt kollektivavtal 2013-05-08 2.3 Metod och genomförande Förstudien har genomförts genom dokumentstudier och intervjuer med berörda medarbetare inom Region Skåne. Intervjuer har genomförts med informationssäkerhetschef, personuppgiftsombud, regional chefläkare, regional patientsäkerhetssamordnare, förvaltningschef för Medicinsk service, förvaltningschef för Patientnämndens kansli, läkare, divisionschef vid Helsingborgs Lasarett, enhetschef för de medicinska sekreterarna vid Helsingborgs Lasarett samt IT-ansvarig vid Skånevård Sund för Helsingborgs Lasarett. Rapporten är sakgranskad av berörda inom respektive område. Revisorskollegiets kontaktperson har varit Jana Lund och revisionskontorets projektledare för förstudien har varit Helena Olsson. 3. Regionövergripande 3.1 Iakttagelser Med distansarbete avses inom Region Skåne arbete som anställd utför regelmässigt för längre eller kortare tid från hemmet eller annan plats som överenskommes från fall till fall. Distansarbetsplatsen tillhör huvudarbetsplatsen organisatoriskt. Syftet med distansarbete är att öka flexibiliteten för medarbetare samt möjlighet både för medarbetaren och för arbetsgivaren att kombinera effektivitet med ett bidrag till en förbättrad miljö genom ett minskat antal arbetsresor. Att arbeta på distans ska vara frivilligt för medarbetaren och till nytta för både medarbetare och arbetsgivare. Distansarbetet i Region Skåne regleras mellan parterna genom Region Skånes kollektivavtal. Kollektivavtalet kompletteras med ett tidsbegränsat skriftligt avtal mellan chef och medarbetare. Beträffande distansarbete och givetvis även vid arbete på sin ordinarie arbetsplats är informationssäkerheten oerhört viktig. Informationen ska bl a vara tillgänglig, riktig, konfidentiell/skyddad för obehöriga samtidigt som den ska vara spårbar till ursprung och kunna följas upp. Nedanstående bild visar på såväl patientsäkerhet som patientintegritet/sekretess.

6 Källa: Schematisk bild över Region Skånes arbete gällande informationssäkerhet Extern åtkomst RSVPN är en tjänst som ger anställda och samverkansparter möjlighet att skapa en säker anslutning till Region Skånes nät från Internet. I tjänsten finns möjlighet att logga in via elektroniskt ID-kort alternativt med ett engångslösenord via SMS. Beroende på inloggningsmetod och datorns säkerhetsnivå ges åtkomst till olika system/resurser. Liksom tidigare ger inloggning med engångslösenord tillgång till färre system än inloggning med eid-kort. I Region Skåne förekommer distansarbete inom olika yrkeskategorier och bl a utför röntgenläkare och medicinska sekreterare arbete på distans. I och med möjligheten med RSVPN-anslutningen skapas större möjligheter att vara tillgänglig och enligt de intervjuade ger det ett förbättrat beslutsstöd vid distansarbete genom åtkomst till journalsystem och tillhörande databaser. Distansarbete kan teoretiskt ske genom telefonsamtal, videosamtal samt genom internetuppkoppling. Uppkoppling på detta sätt ställer naturligtvis större krav på att det inte finns möjlighet för obehöriga att ta del av konfidentiell information och enligt de intervjuade bär givetvis arbetsgivaren ansvar för att lagar, beslut och riktlinjer följs men de intervjuade påtalar också att arbetstagaren bär ett stort ansvar i att detta efterlevs och att ingen obehörig har möjlighet att ta del av informationen. Arbetstagaren måste givetvis följa samma regler såsom sekretessregler som gäller när de arbetar vid sin ordinarie arbetsplats.

7 4. Granskningsområden och resultat 4.1 Gällande beslut, policys och riktlinjer inom området 4.1.1 Iakttagelser Enligt Patientdatalagen 2008:14 (kapitel 2 ansvar för informationssäkerhet) ska vårdgivaren ge direktiv och säkerställa att det i verksamhetens ledningssystem för kvalitet och patientsäkerhet finns en dokumenterad informationssäkerhetspolicy. Informationssäkerhetspolicyn ska säkerställa att: 1. patientuppgifter i vårdgivarens dokumentation är åtkomliga och användbara för den som är behörig (tillgänglighet), 2. patientuppgifterna är oförvanskade (riktighet), 3. obehöriga inte ska kunna ta del av patientuppgifterna (sekretess), och 4. det i sådana informationssystem som är helt eller delvis automatiserade är möjligt att i efterhand entydigt kunna härleda åtgärder till en identifierad användare (spårbarhet). Vidare ska vårdgivaren utse en eller flera personer som ska ansvara för informationssäkerhetsarbetet. Den eller de som har fått denna uppgift ska minst en gång om året rapportera till vårdgivaren vilka granskningar och skyddsåtgärder av större betydelse som har gjorts i enlighet med informationssäkerhetspolicyn, riskanalyser som har utförts avseende informationssäkerheten och förbättringsåtgärder som har vidtagits. Enligt Policy och riktlinjer om distansarbete i Region Skåne gäller följande: Arbetsuppgifter och arbetsmängd ska distansarbetaren komma överens om med sin chef. Uppgifterna ska vara noga specificerade vad gäller mål, direktiv och tidsplan. Arbetsuppgifter av direkt patientrelaterad karaktär där sekretesslagstiftning gäller ska noga övervägas om dessa är lämpliga för distansarbete. I samband med övervägandet bör kontakter tas med IT-säkerhetsansvariga för att kontrollera vilken säkerhet för sekretesskyddade uppgifter som kan erbjudas. Arbetsgivarens policy för IT-säkerhet ska följas på samma sätt som vid huvudarbetsplatsen. Arbetsgivaren ska instruera medarbetaren om vilka säkerhetsregler som medarbetaren är skyldig att följa. Arbetsgivaren ansvarar för att distansarbetaren har en trygg arbetsmiljö som inte ger upphov till några skador. Det innebär bl a att arbetsgivaren ansvarar för att utrustning och maskiner som lämnas ut till den anställde är säkra ur skyddssynpunkt. Medarbetaren å sin sida ska följa givna föreskrifter och iaktta den försiktighet som behövs för att förebygga ohälsa och olycksfall. För distansarbete gäller arbetsmiljölagens bestämmelser vilket innebär att skyddsombud ska ha möjlighet att utöva den tillsyn distansarbetet kräver samt arbetsgivaren ska även ha tillträde till arbetsplatsen dock efter överenskommelse.

8 Distansarbete förutsätter tydlig målstyrning och uppföljning då distansarbetet innebär stora förändringar för chef och medarbetare vilket innebär att arbetsformen distansarbete kontinuerligt ska följas upp och medarbetaren förbinder sig att delta i uppföljningen vilken bl a ska omfatta: för- och nackdelar för den enskilde och verksamheten den sociala situationen arbetsmiljö och arbetsbelastning möjligheter och problem i vad mån avtalet täcker in relevanta aspekter Inom Region Skåne är Regionstyrelsen personuppgiftsansvarig för all behandling av personuppgifter som sker i Region Skånes verksamheter. Enligt personuppgiftslagen/ PUL har Region Skåne utsett ett personuppgiftsombud som har till uppgift att se till att personuppgifter behandlas på ett lagligt och korrekt sätt. Socialstyrelsens och Datainspektionens krav på sekretess och patientsäkerhet ska givetvis också följas av Region Skåne. 4.2 Uppföljning av att distansarbete sköts på ett tillfredsställande sätt utifrån patientsäkerhet och sekretess 4.2.1 Iakttagelser Genom att Region Skåne använder sig av RSVPN-anslutning ger det, enligt de intervjuade, en säker uppkoppling med tillhörande säker information. Däremot görs det generellt sett ingen systematisk uppföljning av området som med klarhet kan visa om arbete på distans sköts på ett tillfredsställande sätt utifrån patientsäkerhet och sekretess. Enligt de intervjuade förs det däremot årligen samtal med medarbetarna vid utvecklingssamtal angående uppföljning av att Region Skånes policy och riktlinjer om distansarbete följs. När det gäller de medicinska sekreterarna vid Helsingborgs lasarett görs årligen kontroller av deras hemarbetsplatser av såväl arbetsgivare som skyddsombud. Vid dessa tillfällen sker genomgång av all teknisk utrustning med tillhörande program och att arbetsmiljön är tillfredsställande. Deras avtal gällande distansarbete förlängs var 6:e månad och förlängs först efter utvärdering. Beträffande arbetstiden kan distansarbetet maximalt omfatta 3 dagar i veckan och enhetschefen påtalar vikten av att medarbetarna ska vara med på informations- och arbetsplatsträffar för att på så vis få ta del av viktig information och för att upprätthålla en hög patientsäkerhet. Produktionen vid distansarbete följs kontinuerligt upp. För närvarande anges produktionen i antal skrivna tecken och var och en av medarbetarna får sin egen statistik en gång per månad och resultatet utgör sedan ett diskussionsunderlag vid förlängning av avtal samt i samband med medarbetarsamtal. Detta arbetssätt ska enligt enhetschefen ses över efter sommaren för att eventuellt följa både skrivna minuter och journaler istället.

9 I journalsystemet Melior förkommer, enligt de intervjuade, ingen kryptering av data om medarbetaren arbetar på sin ordinarie arbetsplats. Däremot vid inloggning med RSVPNanslutning och vid distansarbete krypteras all data. Vare sig de medicinska sekreterarna arbetar på sin ordinarie arbetsplats eller vid distansarbetsplatsen sker loggning i Melior. Genom loggning registreras automatiskt hur varje behörig har använt sin access. Enhetschefen för de medicinska sekreterarna gör sedan stickprovsgranskning men menar samtidigt att det är ett detektivarbete. Om det saknas vårdrelation kan påföljd ske i disciplinär, straffrättslig eller arbetsrättslig ordning. Vidare lämnas information om att när obehörigt intrång upptäcks är det oftast via utomstående som begär ut logg från sin egen journal och detta sköts centralt inom Region Skåne. Generellt lämnas information om att back-up av data inte alltid ges på ett tillfredsställande sätt vare sig medarbetarna arbetar på sin ordinarie arbetsplats eller på distans. Vidare hävdas att det är en kostnadsfråga hur mycket pengar respektive verksamhetschef ska lägga på back-up av data. Enligt uppgift finns det tre olika versioner av backup och det som skiljer dem åt är hur ofta systemet utför back-up. Enligt Socialstyrelsens krav är det verksamhetschefen som bär det yttersta ansvaret för exempelvis digitala journaler och att verksamheten har en tillförlitlig back-up av data. När det gäller att granska röntgenbilder på distans och inte på sin ordinarie arbetsplats sker detta enligt de intervjuade i liten skala inom hela Region Skåne. För att få en uppfattning av antalet har exempelvis förvaltningen SUND 3 stationer med teknisk utrustning för hemgranskning och som vardera kostar ungefär 240 000 kr. I och med RSVPN-anslutningen ger det, återigen enligt de intervjuade, en säker uppkoppling med säker information. Vidare ges information av de intervjuade läkarna att Region Skåne har tecknat avtal med TMC (Telemedicine Clinic) som är en extern part som utför röntgendistansgranskning till Region Skåne. Beträffande läkare och deras jourarbete utförs en del arbetsuppgifter på distans. Flera av uppkopplingarna sker för att ge beslutsstöd i akuthandläggning av strokepatienter. Distansbedömningen av Rädda hjärnan sker genom nationell uppkoppling vid namn Sjunet och kräver inte RSVPN-anslutning. Däremot måste mottagande personal på plats på akutmottagningen godkänna inkommande samtal och ser dessutom vilket IDnummer uppringande part har. Båda parterna ser varandra under hela samtalet på bildskärm och själva videosamtalet är krypterat. Enligt uppgift sker ingen systematisk uppföljning av denna typ av distansarbete som kan garantera ett tillfredsställande sätt utifrån patientsäkerhet och sekretess. Däremot för de intervjuade cheferna årligen samtal med medarbetarna vid utvecklingssamtal angående uppföljning av att Region Skånes policy och riktlinjer om distansarbete följs. Enligt IT-ansvariga är RSVPN till för att skapa en säker kontakt med Region Skånes nätverk när man befinner sig utanför dess område och innebär att man skapar en tunnel in till nätverket. Genom inloggning med elektroniskt ID-kort ger det en säker inloggning och access till nätverket och till och med enligt ansvariga säkrare än att befinna sig internt. RSVPN loggar de personer som accessar nätverket samt även tidpunkt och längd på inloggningen. Det är de enskilda applikationerna som loggar användandet oavsett om man arbetar i en applikation internt eller på distans. Uppföljning av sekretess och säkerhet sker i de enskilda applikationerna. Det finns dock inte, enligt ansvariga, några rutiner för uppföljning av RSVPN- loggarna idag.

10 Enligt de informationssäkerhetsansvariga inom regionen har Regionstyrelsen delegerat arbete gällande integritetsfrågor till Beredningen för integritetsfrågor, som i sin tur har till uppgift att leda arbetet med integritetsfrågorna i Region Skåne. Beredningen lämnar kontinuerligt över rapporter gällande det arbete som beredningen utför. År 2013 granskades bl a uppföljning av efterlevnad av anvisningar för logguppföljning och dataintrång. Uppföljningen visade hur förvaltningar följde vid tiden gällande anvisningar avseende loggkontroll av personals åtkomst till patientuppgifter och dataintrång. Uppdraget genomfördes i form av en enkät som riktades till och besvarades av informationssäkerhetsorganisationen på förvaltningarna. Rapporten till Beredningen för integritetsfrågor visade på stora olikheter och kvalitetsskillnader i vårdenheters genomförande av systematisk slumpmässig loggkontroll. Uppföljningen visade också att det saknades rutiner och stöd för enhetlig hantering och återrapportering av dataintrång. Utgående från de i uppföljningen påvisade bristerna tog enheten för informationssäkerhet fram nya regionala instruktioner för loggkontroll. I samarbete med Koncernstabens HR-enhet togs även fram nya regionala anvisningar för hantering av dataintrång. Samma år redovisade beredningen bl a nedanstående IT-inventering för Regionstyrelsen. Inventeringen visade vid det granskade tillfället att: 771 applikationer/it-stöd fanns i Region Skåne ca 400 av dessa applikationer bedömdes innehålla patientuppgifter ca 45 berördes av sammanhållen journalföring det fanns drygt 100 leverantörer av applikationer till Region Skåne Enligt informationssäkerhetsansvarig var IT- systemens följsamhet till Patientdatalagen vid det tillfället följande: ca 8 IT-stöd bedömdes uppfylla Patientdatalagens krav varav ett antal av dessa var nationella IT-stöd ca 10 ytterligare system uppfyllde Patientdatalagens krav under år 2013 resterande system uppfyllde inte Patientdatalagens krav Vidare ges information om att Regionstyrelsen var 6:e månad får en rapport om hur arbetet med dessa brister fortskrider. I den senaste rapporten 2014-03-27 redovisas en del förbättringar men det förekommer fortfarande brister. Enligt informationssäkerhetsansvarig fanns ett beslutsförslag till beredningen i april 2014 gällande Årlig rapport om informationssäkerhetsarbetet i Region Skåne 2013. Tyvärr blev ansvarig förhindrad att delta och redovisa ärendet vid mötet varför ärendet bordlades. Den fortsatta hanteringen av rapporten ska diskuteras framöver och vidare lämnas information om att Beredningen för integritetsfrågor upphörde 2014-06-30. I dagsläget förekommer, enligt förvaltningschefen för Patientnämndens kansli, inga ärenden hos Patientnämnden som direkt kan kopplas till området distansarbete och patientsäkerhet.

11 4.3 Slutsatser och bedömningar Den sammanfattande bedömningen av förstudien visar att beslut, policys och riktlinjer gällande distansarbete inom Region Skåne till viss del efterlevs då det görs en del kontroller och uppföljningar. Däremot görs det generellt sett ingen systematisk uppföljning av området som med klarhet kan visa om arbete på distans sköts på ett tillfredsställande sätt utifrån patientsäkerhet och sekretess. Vidare visar förstudien att back-up av data inte alltid ges på ett tillfredsställande sätt vare sig medarbetaren arbetar på sin ordinarie arbetsplats eller på distans. Vad gäller följsamheten till Policy och riktlinjer om distansarbete i Region Skåne för de intervjuade cheferna årligen samtal med medarbetarna vid utvecklingssamtal angående uppföljning av att Region Skånes policy och riktlinjer om distansarbete följs. Inga förnyade avtal mellan arbetsgivaren och arbetstagaren gällande distansarbete tecknas innan en utvärdering av distansarbetet är gjord. Vad gäller IT-säkerheten vid distansarbete använder Region Skåne sig av RSVPNanslutning (Region Skåne Virtual Private Network) som, enligt IT-ansvariga, ger en säker uppkoppling med tillhörande säker information och till och med enligt dem säkrare än att befinna sig internt. Förstudien visar likaså att kryptering av data sker mer tillfredsställande vid RSVPN-uppkoppling. I dagsläget förekommer, enligt förvaltningschefen för Patientnämndens kansli, inga ärenden hos Patientnämnden som direkt kan kopplas till området distansarbete och patientsäkerhet. I takt med att distansarbete ökar är det viktigt att tillse att roller och ansvar i organisationen gällande informationssäkerhets- och patientsäkerhetsarbete är fastställda och att noggranna riskanalyser genomförs innan förändringar sker. Utbildning och information är likaså viktiga faktorer för att få säkerhetsmedvetna medarbetare inom Region Skåne. Vidare är det viktigt att tillse att likvärdig sekretess/patientsäkerhet utförs när extern part granskar och utför arbete på distans till Region Skåne. Förstudien föranleder en fördjupad granskning för att kunna säkerställa att arbete vid distansarbete sköts på ett tillfredsställande sätt, utifrån patientsäkerhet och sekretess, inom Region Skåne. Det vore även av vikt att granska området vad gäller distansarbete som utförs av extern part. Vidare är det av betydelse att granska hur tillförlitligt Region Skånes backup-system generellt sett är utifrån ett patientperspektiv, oavsett arbete på ordinarie arbetsplats eller på distans, samt att antalet IT-stöd/applikationer och dess säkerhet bör ses över... Helena Olsson Yrkesrevisor Certifierad kommunal revisor

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss