Journalsystem och informationssäkerhet

Landstingets revisorer Revisionsrapport Januari 2012 Bilaga nr 3c till överläggningar med landstingets revisorer den 19 januari 2012. mer text Journalsystem och informationssäkerhet Delrapport 3 Patientens integritetsskydd

Tjänsteställe, handläggare Revisionskontoret 11REV47 Innehållsförteckning 1 Bakgrund...1 2 Uppdraget...1 3 Revisionskriterier...2 4 Granskningsansvarig...2 5 Avgränsning, metod och urval...2 6 Resultat av granskningen...4 6.1 Behörighetstilldelning...4 6.1.1 Iakttagelser...4 6.2 Dokumentation och kontroll av elektronisk åtkomst...6 6.2.1 Iakttagelser avseende loggning...6 6.2.2 Iakttagelser avseende loggutdrag...7 6.2.3 Iakttagelser avseende loggkontroll...8 6.2.4 Iakttagelser avseende loggutdrag till patienter...10 6.3 Möjlighet för patienten att spärra sin journal...12 6.3.1 Iakttagelser...12 7 Revisionell bedömning...14

Tjänsteställe, handläggare Revisionskontoret 2012-01-19 11REV47 1 (15) Revisor Anders Emnegard Distribution 1 BAKGRUND Den 1 juli 2008 infördes patientdatalagen med en sammanhängande reglering av personuppgiftsbehandlingen inom hälso- och sjukvården. Reglerna är utformade i syfte att underlätta informationsutbyte mellan vårdgivare och mellan vårdgivare och patient men alltid med skyddet för patientens integritet som första prioritet. Enligt patientdatalagen ska informationshanteringen inom hälso- och sjukvården vara organiserad så att den tillgodoser patientsäkerhet och god kvalitet samt främjar kostnadseffektivitet. Personuppgifter ska utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras. Under 2010 slutfördes införandet av journalsystemet SYSteam Cross i landstingets verksamheter och insatserna har under 2011 övergått till förvaltning och vidareutveckling av systemet. Under oktober 2011 anslöt sig landstinget till Nationell Patientöversikt. Tjänsten gör det möjligt för behörig vårdpersonal att med patientens samtycke ta del av journalinformation som registrerats hos andra vårdgivare, t.ex. ett annat landsting eller en privat vårdgivare. Andra aktuella exempel på utvecklingen kring informationsutbyte inom vården är att landstinget sedan september 2011 kan skicka läkarintyg för sjukskrivning direkt och elektroniskt till Försäkringskassan samt tjänsten Mina vårdkontakter som är under införande, där patienter kan ha kontakt med sin vårdgivare via Internet. De fyra exemplen har sina legala förutsättningar i patientdatalagen. Landstingsrevisionens väsentlighets- och riskanalys, april 2011, ligger till grund för valet att göra en fördjupad granskning av systemförvaltning, informationshantering och journalföring i hälso- och sjukvården. 2 UPPDRAGET Syftet med granskningen är att bedöma om landstinget har vidtagit ändamålsenliga tekniska och organisatoriska åtgärder för att säkerställa patientsäkerhet och patientens integritet vid informationshantering och journalföring i hälso- och sjukvården. Postadress Besöksadress Telefon Telefax E-post Landstinget Västernorrland Storgatan 1, Härnösand 0611-800 00 0611-803 76 revision@lvn.se 871 85 HÄRNÖSAND

2012-01-19 11REV47 2 Utifrån syftet ska följande revisionsfrågor besvaras: Har Landstingsstyrelsen en ändamålsenlig ledning, styrning och kontroll över journalsystemet? Finns det ändamålsenliga rutiner och ett stöd i journalsystemet som säkerställer patientsäkerheten vid journalföring? Finns det ändamålsenliga rutiner och ett stöd i journalsystemet som säkerställer patientens integritet? Den fortsatta redovisningen är uppdelad i tre delrapporter: Delrapport 1 ledning, styrning och kontroll över journalsystemet Delrapport 2 patientsäkerhet vid journalföring Delrapport 3 patientens integritetsskydd 3 REVISIONSKRITERIER Med revisionskriterier avses de bedömningsgrunder som bildar underlag för revisionens analyser, slutsatser och bedömningar. Revisionskriterierna hämtas bland annat från lagar, interna regelverk, policyer och fullmäktigebeslut. Granskningens revisionskriterier utgörs huvudsakligen av: Kommunallag (1991:900), Hälso- och sjukvårdslag (1982:763), och Patientdatalag (2008:355), Socialstyrelsens föreskrifter: Informationshantering och journalföring i hälso- och sjukvården (SOSFS 2008:14), Reglementen och andra interna styrdokument, såsom riktlinjer, rutiner och anvisningar. 4 GRANSKNINGSANSVARIG Yrkesrevisor Anders Emnegard har svarat för granskningsarbetet. 5 AVGRÄNSNING, METOD OCH URVAL I denna delrapport ska följande revisionsfråga besvaras: Finns det ändamålsenliga rutiner och ett stöd i journalsystemet som säkerställer patientens integritet? Granskningen ska omfatta de system och rutiner som ska finnas till skydd för patientens integritet: begränsad behörighetstilldelning, systematisk loggkontroll samt möjligheten för den enskilde att få loggutdrag och spärra sina patientuppgifter för

2012-01-19 11REV47 3 andra vårdenheter och vårdgivare. Med ändamålsenligt stöd avses en teknisk funktionalitet i journalsystemet som svarar upp mot lagstiftningens krav och verksamhetens effektivitetskrav samt uppfattas som användbar. Granskningen är avgränsad till informationshantering och journalföring i SYSteam Cross vid de förvaltningar som bedriver hälso- och sjukvård, exklusive Rättspsykiatriska regionkliniken: Länssjukhuset Sundsvall-Härnösand Sollefteå sjukhus Örnsköldsviks sjukhus Hälsocentralerna Landstinget Västernorrland Granskningen har genomförts genom studier av beslut, riktlinjer, rutiner, rapporter med flera dokument i landstinget. Sex verksamheter har valts ut för intervjuer. Urvalet består av en specialistmottagning vid vardera sjukhus samt tre hälsocentraler. Intervjuer har genomförts med verksamhetschefer och medicinska sekreterare. Vidare har intervjuer genomförts med informationssäkerhetschefen och företrädare för systemförvaltningen av SYSteam Cross samt anställda vid IT drift och support. Samtliga uppgiftslämnare samt berörda förvaltningschefer har lämnats möjlighet att sakgranska rapporten. Hälso- och sjukvårdsnämnden respektive Folkhälso-, primärvårdsoch tandvårdsnämnden är ansvariga för respektive verksamheter som granskningen omfattar. Kommentar Nämnderna är ansvariga för journalhanteringen och integritetsskyddet vid respektive verksamheter, då dessa ansvarsområden är kopplade till vårdgivaransvaret. Enligt reglementena ska nämnderna fullgöra de uppgifter som landstinget enligt lagar och förordningar har i egenskap av vårdgivare. Det framgår också klart av patientdatalagen att varje myndighet som bedriver hälso- och sjukvård i ett landsting är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. 1 Nämnderna är sådana hälso- och sjukvårdsmyndigheter. Nämndernas vårdgivaransvar enligt patientdatalagen är inte beaktat i Landstingsstyrelsens reglemente. Enligt reglementet ska styrelsen fullgöra landstingets uppgifter inom personuppgiftslagen och patientdatalagen som helhet. Enligt uppgift har den närmare ansvarsför- 1 Patientdatalag (2008:355), 2 kap, 6

2012-01-19 11REV47 4 delningen mellan Landstingsstyrelsen och de två nya nämnderna utifrån denna lagstiftning inte utretts i samband med införandet av den nya förtroendemannaorganisationen. Vidare ansvarar Landstingsstyrelsen för utvecklingen av IT-system och tillhandahåller SYSteam Cross som ett gemensamt journalsystem för landstingets verksamheter. Nämnderna är därmed i viss utsträckning beroende av hur Landstingsstyrelsen fullgör sina åtaganden kring ledning, styrning och kontroll över journalsystemet (se delrapport 1). 6 RESULTAT AV GRANSKNINGEN 6.1 Behörighetstilldelning Vårdgivare ska bestämma villkor för tilldelning av behörigheter för elektronisk åtkomst till patientuppgifter. Behörigheten ska begränsas till vad som behövs för att personalen ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. 2 Bestämmelsen motsvarar delvis tidigare reglering i vårdregisterlagen men ställer tydligare krav på vårdgivaren i fråga om behörighetssystem m.m. Bestämmelsen är en del i regleringen av den inre sekretessen (inom en vårdgivare) men har även ett vidare syfte att respektera patienters integritet. 6.1.1 Iakttagelser En generell läs- och skrivbehörighet för journaler har tidigare tillämpats för journaler i SYSteam Cross, d.v.s. all vårdpersonal har haft tillgång till alla journaler i landstinget. I oktober 2009 infördes nya riktlinjer som innebär vissa besgränsningar för behörighetstilldelningen. Enligt riktlinjerna ska behörigheterna baseras på yrkesroll, vilket innebär att t.ex. alla läkare inom en verksamhet i grunden får samma behörighet. Rutinen bygger på att varje verksamhetschef fastställer vilka enheter (både den egna verksamheten och andra enheter/verksamheter inom landstinget) som respektive yrkesroll ska ha läs-/skrivbehörighet för. I princip är det sedan avstegen från normen i det enskilda fallet som fastställs av verksamhetschefen. Riktlinjerna för behörighetstilldelningen upphörde att gälla i april 2011. Nya riktlinjer har inte fastställts. Vid tiden för denna granskning pågick ett arbete att utveckla nya rutiner och systemstöd för tilldelning av behörigheter i vårdsystem. Landstingsstyrelsen 2 Patientdatalag (2008:355), 4 kap, 2

2012-01-19 11REV47 5 beslutade i december 2011 att anslå medel för ett nytt systemstöd för behörighetstilldelning i vårdsystem. Systemstödet uppges vara en förutsättning för att nya riktlinjer ska kunna fastställas. Det funkar inte att arbeta om man inte kommer in på allt. Verksamhetschef I landstingets system för styrdokument (Platina) har fastställda riktlinjer för behörighetstilldelningen kunnat återfinnas för tre av de sex granskade verksamheterna. Som ett exempel har en läkare vid en av de granskade hälsocentralerna läsbehörighet i samtliga verksamheter i landstinget. Det finns även exempel där verksamhetscheferna uppger att kvinnokliniker och psykiatrimottagningar undantagits vid behörighetstilldelningen av integritetsskäl. Vid en av hälsocentralerna uppger verksamhetschefen att läkarna tycker att läsbehörighet över hela landstinget är en klar förbättring jämfört med tiden med pappersjournaler, särskilt när de övertar patienter från en annan verksamhet i vårdprocessen. Ingen av de intervjuade verksamhetscheferna tror att det förekommer en otillbörlig användning av behörigheter. Två av verksamhetscheferna ger exempel där behörighetstilldningen inte fungerat inför helgjour med tillfälliga läkare. Det saknades möjlighet att åtgärda problemet, då landstinget inte tillhandahåller support under helger för sådana ärenden. I det ena fallet ansåg verksamhetschefen sig vara nödgad att låna ut sitt användarnamn och lösenord, i det andra fallet kontaktade verksamhetschefen den lediga supportpersonalen. Enligt de intervjuade har särskilda riskanalyser för behörighetstilldelningen varken genomförts på landstingsnivå, förvaltningsnivå eller på verksamhetsnivå. Informationssäkerhetschefen och företrädare för systemförvaltningen bedömer att landstinget ännu inte har systemstöd och rutiner för en behörighetstilldelning som fullt ut uppfyller intentionerna i lagstiftningen. Förutom tilldelning av behörigheter ansvarar vårdgivaren även för att det finns rutiner för förändring, borttagning och regelbunden uppföljning av behörigheterna. 3 Revisorernas granskning i slutet av 2009 visade att det inte genomfördes regelbundna uppföljningar av tilldelade behörigheter i de enskilda vårdsystemen. De intervjuade verksamhetscheferna bedömer att detta i huvudsak fungerar tillfredsställande idag avseende SYSteam Cross, då rutinerna är kopplade till Oktav. 4 Verksamhetscheferna får ett e-postmeddelande 3 Socialstyrelsens föreskrifter, SOSFS 2008:14, 2 kap, 6 4 Oktav är landstingets interna organisations- och verksamhetskatalog. Oktav innehåller uppgifter om organisation och personal. I Oktav finns kontaktinformation, organisationsstruktur och uppgifter om personers befattning och kompetens.

2012-01-19 11REV47 6 från IT drift och support cirka en månad innan en behörighet löper ut, med anledning av att anställningen eller uppdraget upphör. Verksamhetscheferna uppmanas där att vid behov förlänga den anställdes konto. Kommentar Vissa åtgärder har vidtagits för att begränsa behörighetstilldelningen. Informationssäkerhetschefen och företrädare för systemförvaltningen bedömer dock att landstinget ännu inte har systemstöd och rutiner för en behörighetstilldelning som uppfyller intentionerna i lagstiftningen. Det är inte ovanligt att vårdpersonal har direkt tillgång till i princip alla journaler i landstingets verksamheter. Känsliga uppgifter är lika enkelt åtkomliga för vårdpersonal som mindre känslig information. Det har inte genomförts riskanalyser till grund för behörighetstilldelningen. Vi bedömer att patientens integritet idag snarare skyddas av personalens medvetenhet om att de endast får ta del av patientuppgifterna om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården. 6.2 Dokumentation och kontroll av elektronisk åtkomst Vårdgivare ska dokumentera (logga) all elektronisk åtkomst till patientuppgifter. Vårdgivare ska också göra systematiska och återkommande kontroller om någon obehörigen kommit åt patientuppgifter. 5 Syftet med bestämmelsen är inte enbart att kunna konstatera eventuella faktiska sekretessbrott och vidta åtgärder mot dem utan även att ge en preventiv verkan mot sekretessbrott. 6 6.2.1 Iakttagelser avseende loggning Systemförvaltningen uppger att den elektroniska åtkomsten till patientuppgifterna i SYSteam Cross har loggats sedan start. I landstingets riskanalys 7 mars 2010 konstaterades dock att det var möjligt för anställda med administrationsrättigheter att inaktivera loggen. Systemförvaltningen uppger att möjligheten stänga av loggen åtgärdades efter riskanalysen. Bristen gällde tidigare versioner av systemet (Singel Cross) där lokala systemsamordnare vid enskilda kliniker kunde stänga av loggningen. Möjligheten brukades för att snabba upp systemet. 5 Patientdatalag (2008:355), 4 kap, 3 6 Proposition 2007/08:126, s. 150 7 Hot- och riskanalys Systeam Cross, 2010-03-18

2012-01-19 11REV47 7 Enligt Socialstyrelsens föreskrifter ska vårdgivaren säkerställa att loggarna sparas i minst tio år. Systemförvaltningen uppger att dokumentationen bevaras i systemet så länge landstinget använder systemet, det vill säga uppgifter rensas inte. Det har dock inte funnits någon plan eller beslut kring elektronisk arkivering av patientuppgifter och loggar. Det direkta behovet har bland annat uppstått genom att tidigare versioner av systemet som kördes lokalt på en enhet (Singel Cross) inte längre används. Patientinformationen och loggningen från den tiden tillhandahålls fortfarande men det finns inte någon slutlig lösning för att säkerställa åtkomst till den historiska informationen. Landstingsstyrelsen beslutade i december 2011 att anvisa medel för utvärdering av e-arkivlösning för vårdsystem. 6.2.2 Iakttagelser avseende loggutdrag Enligt Socialstyrelsens föreskrifter 8 ska vårdgivaren säkerställa att det framgår av loggarna vilka åtgärder som har vidtagits med patientuppgifterna, vid vilken vårdenhet och vid vilken tidpunkt åtgärderna har vidtagits, samt användarens och patientens identitet. Vid tiden för revisorernas tidigare granskning i slutet av 2009 pågick en utredning i landstinget kring vilken information loggarna borde innehålla. 9 Informationssäkerhetschefen har i mars 2011 tagit initiativ till ett uppföljningsmöte med verksamhetscheferna. Enligt utvärderingen får verksamhetscheferna inte tillräcklig information från loggutdragen för att kunna göra en säker bedömning om åtkomsten varit befogad, bland annat framgår det inte vilka uppgifter den anställde tagit del av, vad den anställde uträttat i journalen och vilken roll/anställning som personen hade vid det aktuella tillfället. Landstingsstaben IT har under 2011 låtit genomföra en förstudie i syfte att ta fram en teknisk lösning för att utöka loggning i nuvarande version av SYSteam Cross. 10 Enligt förstudien behöver loggningen i SYSteam Cross utökas för att svara mot kraven i patientdatalagen. Förändringar infördes i SYSteam Cross under november 2011 så att det ska framgå av loggutdragen vilka åtgärder som har vidtagits med patientuppgifterna. Övriga förändringar planeras att införas i samband med nästa version av systemet. 8 Socialstyrelsens föreskrifter, SOSFS 2008:14, 2 kap, 11 9 Ernst & Young, Patientjournaler och IT-säkerhet, 2010-01-18 10 SYSteam Medical System AB, Förstudierapport 2011-08-17

2012-01-19 11REV47 8 Systemförvaltningen uppger att funktionen för loggning och loggutdrag varierar i övriga vårdsystem som finns i drift i landstinget, både till det bättre och till det sämre. 6.2.3 Iakttagelser avseende loggkontroll Vårdgivaren ska säkerställa att det görs systematiska och återkommande stickprovskontroller av loggarna. Enligt Socialstyrelsen är det är nödvändigt att omfattningen av kontrollen står i relation till antalet logghändelser och att kontrollen baseras på en riskanalys som vårdgivaren genomför. 11 Enligt Datainspektionen bör vårdgivaren kombinera systematik och viss slumpmässighet när loggposter väljs ut. 12 Datainspektionens exempel på urvalsparametrar ansluter till Socialstyrelsens exempel på lämpliga områden för riskanalys. Med anledning av revisorernas tidigare granskning i slutet av 2009 angav Landstingsstyrelsen att en ny rutin för kontroll av loggarna skulle vara kommunicerad och införd före 2010-04-30. Nuvarande rutin för loggkontroll infördes i maj 2010. Rutinen för loggkontroll i vårdinformationssystem 13 gäller för samtliga verksamheter. Systematiska och regelbundna loggkontroller ska genomföras. En procent av de öppnade jornalerna ska slumpmäsigt väljas ut för loggkontroll varje månad. Målet är att omfattningen ska göra det sannolikt att varje användare blir granskad minst en gång per år. Det framgår inte att kontrollerna ska baseras på en riskanalys eller vilken systematik som ska tillämpas. Sedan juni 2010 har det varje månad genererats 200 loggutdrag genom ett slumpmässigt urval bland de öppnade journalerna. När rutinen infördes beräknades drygt en miljon journalöppningar genomföras under en månad. Anledningen till att omfattningen varit begränsad är de manuella inslagen i rutinen. Det är framförallt den manuella fördelningen av vart och ett av loggutdragen till respektive verksamhetschef som tagit tid. Enligt en rapport 14 från informationssäkerhetschefen har verksamhetscheferna återrapporterat sina bedömningar av loggutdragen i allt mindre omfattning. Under första halvåret 2011 har verksamhetscheferna återrapporterat i genomsnitt 113 av de 200 loggutdragen varje månad. Alla som arbetar med systemförvaltning av SYSteam Cross har en behörighet som ger tillgång till alla patientuppgifter för att kunna 11 Socialstyrelsen, Handbok för tillämpning av Socialstyrelsens föreskrifter SOSFS 2008:14 12 Datainspektionen, Systematisk logguppföljning, oktober 2010 13 Loggkontroll vårdinformationssystem, rutin/regel, 2010-05-03 14 Granskning av behörig åtkomst till patientuppgifter, 2011-10-04

2012-01-19 11REV47 9 utföra sitt dagliga arbete. Loggning sker på samma sätt som för vårdpersonal. Loggkontroll kan enligt ovanstående rutin initieras av verksamhetschefer. Vid en sådan fördjupad kontroll ska IT-personal påvisa vilket ärende som föranlett att en journal öppnats. Det finns inga särskilda rutiner för loggkontroll inom systemförvaltningen av SYSteam Cross. Enligt Socialstyrelsens föreskrifter är det verksamhetschefen som ansvarar för uppföljning av systemens användning genom regelbunden kontroll av loggarna. 15 Vid revisorernas tidigare granskning i slutet av 2009 upplevde verksamhetschefer att gällande rutin vara svår och alla intervjuade kände inte till rutinen. Det framgår av landstingets nuvarande rutin att ansvaret för kontroller ligger på verksamhetschefen, med stöd av en central handläggare för åtkomstkontrollärenden vid IT drift och support. Rutinen tillgängliggörs på intranätet. Handläggaren för åtkomstkontrollärenden bifogar också en länk till rutinen och annan information kring loggkontroll på intranätet i samband med att loggutdragen skickas med e-post till verksamhetschefen för kontroll. Samtliga verksamhetschefer i de granskade verksamheterna har mottagit loggutdrag för kontroll. De uppger att det saknas underlag i loggutdragen och i journalsystemet för att kunna göra en mer ingående analys. Verksamhetscheferna anser att det egentligen bara är möjligt att göra en allmän rimlighetsbedöming. Verksamhetschefen ansvarar för att varje användare infomeras om loggning och loggkontroll. Samtliga intervjuade medicinska sekreterare känner till att loggkontroller genomförs, men inte i vilken omfattning, enligt dem uppfattas loggkontrollen som en självklarhet av vårdpersonal. I ett fall har verksamhetschefen informerat om loggkontrollen vid en arbetsplatsträff. Enligt Socialstyrelsens föreskrifter ska vårdgivaren säkerställa att loggkontrollen dokumenteras. Det framgår av landstingets rutin för loggkontroll att all loggkontroll ska dokumenteras och arkiveras. Det framgår inte hur länge protokollen ska bevaras i arkiven. De protokoll som hittills har upprättats har dock sparats av handläggaren för åtkomstkontrollärenden. Informationssäkerhetschefen har tillsammans med handläggaren för åtkomstkontrollärenden följt upp och utvärderat rutinen under 2011 och lämnat rapport till styrelsen och nämnderna. Slutsatsen i 15 Socialstyrelsens föreskrifter, SOSFS 2008:14, 2 kap, 19

2012-01-19 11REV47 10 rapporten är att loggkontrollen behöver utvecklas och få en omfattning som motsvarar de krav som ställs på vårdgivaren. Landstingsstyrelsen beslutade i oktober 2011 att uppdra till landstingsdirektören att utreda möjliga verktyg för en effektiv granskning av behörig åtkomst till patientuppgifter. Verktyget ska kunna användas för systematiska kontroller i alla system där landstinget behandlar person- och patientuppgifter, inte enbart Systeam Cross. Nämnderna beslutade var för sig i november 2011 att uppdra till landstingsdirektören att säkerställa att verksamhetscheferna skyndsamt följer upp och kontrollerar resultatet av gjorda kontroller. 6.2.4 Iakttagelser avseende loggutdrag till patienter Vårdgivare ska på begäran kunna lämna information till en patient om den elektroniska åtkomst som förekommit till dennes patientuppgifter. 16 Enligt Socialstyrelsens föreskrifter ska det framgå från vilken vårdenhet och vid vilken tidpunkt någon tagit del av uppgifterna. Informationen ska vara utformad så att patienten kan bedöma om åtkomsten varit befogad eller inte. 17 För den patient som oroar sig för att någon obehörig läst journalen är bearbetade logglistor med förklaringar givetvis ett utmärkt verktyg att själv kunna konstatera om oron varit befogad eller inte. Ur propositionen Syftet med bestämmelsen är bland annat att ge en preventiv verkan mot sekretessbrott då vetskapen om patientens rätt att själv kontrollera åtkomsten torde ha en starkt avhållande verkan. Bestämmelsen infördes som ett komplement till utlämnande av logglistor med stöd av tryckfrihetsförordningen, då den inte är tillämplig för privata vårdgivare. 18 Vid revisorernas tidigare granskning konstaterades att det sällan händer att patienter begär att få ut loggutdrag och att de önskemål som inkommit hade tillgodosetts. Det fanns dock kliniker som upplevde att de inte fått tillräcklig information om rutinerna för sådana ärenden. Av styrelsens svar till revisorerna framgår inget specifikt om loggutdrag till patienter. Styrelsen redogör dock för arbetet med att utveckla riktlinjer, stöd till verksamhetschefer och information till verksamheterna. Landstingets rutin för loggkontroll redogör även för en rutin för loggutdrag till patienter. Den inbegriper att en särskild loggkontroll ska göras i samband med att utdraget skickas till patienten. Det framgår inte av rutinen hur utlämnadet är organiserat då begäran görs med stöd av 2 kap. tryckfrihetsförordningen. 16 Patientdatalag (2008:355), 8 kap, 5 17 Socialstyrelsens föreskrifter, SOSFS 2008:14, 2 kap, 12 18 Proposition 2007/08:126, s. 150

2012-01-19 11REV47 11 Enligt informationssäkerhetschefens rapport till styrelsen och nämnderna har totalt 21 loggutdrag beställts från patienter under perioden juni 2010-juli 2011, vilket motsvarar 1-2 loggutdrag per månad. Informationssäkerhetschefen bedömer att loggutdragen till patienten inte uppfyller kravet i patientdatalagen i det avseendet att patienten själv ska kunna bedöma om åtkomsten varit befogad eller inte. Kommentar De åtgärder som Landstingsstyrelsen har vidtagit efter revisorernas tidigare granskning har inneburit vissa förbättringar. Rutinen som infördes efter granskningen är till sin karaktär tydlig med ansvarsfördelning och beskrivning av de olika momeneten. Rutinen kommuniceras regelmässigt gentemot verksamhetschefer i samband med att de får loggutdrag för kontroll. Samtliga intervjuade verksamhetschefer har mottagit loggutdrag för kontroll. En rimlig förutsättning för att kontrollen ska ge en preventiv verkan mot sekretessbrott är att de anställda känner till bestämmelserna och omfattningen av loggkontrollerna. Samtliga intervjuade medicinska sekreterare känner till att loggkontroller genomförs, men inte i vilken omfattning. Vissa grundläggande brister som framkom vid den tidigare granskningen kvarstår. Under tiden för innevarande granskning har styrelsen tagit initiativ till åtgärder: Loggningen sparas i systemen så länge systemen är i drift. Det finns idag ingen implementerad lösning för arkivering av den historiska patientinformationen. Landstingsstyrelsen har i december 2011 beslutat att anvisa medel för provkörning och utvärdering av en e-arkivlösning för patientinformation. För närvarande utreds också ett särskilt system för hantering och arkivering av loggar. Loggutdragen bedöms inte klara de innehållsmässiga kraven. Bristerna har bland annat inneburit svårigheter för verksamhetschefer att bedöma loggutdragen. Loggutdragen till patienter bedöms inte heller uppfylla kravet i patientdatalagen. Systemförvaltningen har i november infört vissa förbättringar av loggutdragen, övriga förändringar planeras att införas i nästa version av systemet. Rutinen för kontroll av loggutdragen bygger enbart på slumpmässiga urval och omfattningen på kontrollen har varit begränsad. Landstingsstyrelsen har i oktober 2011 uppdragit till landstingsdirektören att utreda möjliga verktyg för en effektiv granskning av behörig åtkomst till patientuppgifter.

2012-01-19 11REV47 12 6.3 Mölighet för patienten att spärra sin journal Personuppgifter ska genast spärras i journalsystemet om patienten inte vill att uppgifterna ska vara tillgängliga för de som arbetar vid en annan vårdenhet eller inom en annan vårdprocess. Det samma gäller gentemot andra vårdgivare vid sammanhållen journalföring. 19 Möjligheten att spärra sina patientuppgifter är en del av patientens integritetsskydd. Vårdpersonal ska kunna se i systemet om det finns patientuppgifter vid en annan vårdenhet (eller vid en annan vårdgivare vid sammanhållen journalföring), men inte vid vilken vårdenhet. Det ska också framgå om uppgifterna är spärrade eller inte. 20 Särskilda villkor ska uppfyllas för att vårdpersonal i nästa steg ska få ta del av vidare uppgifter. 6.3.1 Iakttagelser Vid revisorernas tidigare granskning konstaterades brister kring möjligheten att spärra uppgifter i vårdsystemen, det saknades centrala rutiner för hur spärrar skulle hanteras och hanteringen av spärrar skilde sig mellan olika användare. Landstingsstyrelsen angav i sitt svar till revisorerna att en arbetsgrupp ansvarar för att ta fram ändamålsenliga rutiner. Vidare angavs att säkerhetstjänster som t.ex spärrning ännu inte var infört i något vårdsystem i något landsting. Landstingets nuvarande rutin för spärrhantering i SYSteam Cross och Nationell Patientöversikt (NPÖ) gäller från 2011-10-11. Rutinen som infördes i samband med att landstinget anslöt sig till NPÖ bygger på en central spärradministration inom landstinget. Den innehåller en beskrivning av de olika momenten i handläggningen och en processkarta. Vårdpersonalens roll är enligt rutinen att tillhandahålla spärrblanketten och i förekommande fall vidarebefordra patientens begäran. Verksamhetschefen har inget uttalat ansvar för någon del i rutinen. Det framgår inte heller hur ansvaret för patientinformation kring spärrar är fördelat. I samband med anslutningen till NPÖ och införandet av den nya rutinen producerades informationsmaterial till allmänheten och verksamheterna. Bland annat broschyren En säkrare vård 21 är enligt information på intranätet tänkt att finnas tillgänglig i receptioner, väntrum och på landstingets webbplats. 19 Patientdatalag (2008:355), 4 kap, 4 och 6 kap, 2 20 Socialstyrelsens föreskrifter, SOSFS 2008:14, 2 kap, 7-9 21 En säkrare vård med sammanhållen journalföring och Nationell Patientöversikt, oktober 2011

2012-01-19 11REV47 13 Fram till oktober 2011 registrerade mottagningarna en information i klartext i SYSteam Cross om att patienten önskade spärra sina patentuppgifter från en viss klinik. Denna möjlighet infördes i januari/februari 2009. Sedan oktober 2011 registrerar den centrala handläggaren uppgiften i den databas som patientuppgifterna ligger i. Därmed kommer en varningsbild upp på bildskärmen när någon önskar ta del av patientinformationen i just den databasen. Varningsbilden bedöms inte uppfylla kraven på en teknisk spärr i lagstiftningens mening (se nedan). Databasen motsvarar ungefär mottagning eller verksamhet i det här sammanhanget. Det finns drygt 50 databaser med patientuppgifter i SYSteam Cross vilket innebär att en totalspärr måste registreras i var och en av databaserna. Ett tiotal patienter har begärt att patientuppgifterna spärras under den första månaden efter införandet av rutinen. Parallellt har det också pågått ett arbete med att gå igenom den information om spärrar som registerats i personinfirmationen för 130 patienter i systemet sedan tidigare. Det uppges finnas ett frågetecken i vilken utsträckning vårdpersonal fortfarande registrerar klartextinformation enligt den gamla rutinen eftersom de har kvar behörigheten och den tekniska möjligheten att utföra den åtgärden. I de granskade verksamheterna har samtliga intervjuade vid hälsocentralerna kännedom om den nya rutinen. Vid specialistmottagningarna var kännedomen mer varierande bland de intervjuade. Genom centraliseringen av rutinen i oktober 2011 bedömer informationssäkerhetschefen och företrädare för systemförvaltningen att vissa förbättringar har kunnat uppnås. De bedömer dock att nuvarande systemstöd inte uppfyller patientdatalagens krav på en spärr. Enligt systemförvaltningen kommer den nya versionen av SYSteam Cross att uppfylla samtliga krav i pataientdatalagen avseende spärrar. Jag är medveten om att när en spärr är satt måste jag själv informera vårdpersonalen om min vårdhistorik, så att de kan ge mig en god och säker vård. Ur blanketten Spärr av uppgifter i patientjournal Informationen till allmänheten i broschyren och spärrblanketten 22 är orienterad kring sammanhållen journalföring. Det framgår inte att en spärr även kan gälla mellan vårdenheter inom samma vårdgivare. Det framgår inte heller att vårdpersonal ska kunna se i jornalsystemet att det finns både spärrade och öppna patientuppgifter vid en annan vårdenhet (eller vid en annan vårdgivare vid sammanhållen journalföring). 22 Blankett: Spärr av uppgifter i patientjournal

2012-01-19 11REV47 14 Kommentar Vissa förbättringar har uppnåtts i spärrhanteringen genom att en ny rutin infördes i oktober 2011. Den grundläggande bristen i systemstödet kvarstår dock, den varningsbild som numera kan genereras bedöms inte uppfylla kraven på en teknisk spärr. Enligt systemförvaltningen kommer den nya versionen av SYSteam Cross att uppfylla samtliga krav i pataientdatalagen avseende spärrar. Av informationen till patienten i spärrblanketten kan det framstå som att patienten ansvarig för att själv informera vårdpersonal om sin vårdhistorik när patientuppgifterna är spärrade. Ett sådant förfarande förutsätter att alla patienter har förståelse och insikt om sin hälsa, vård och behandling samt kan bedöma hur relevanta tidigare journaluppgifter vid andra enheter/kliniker är för aktuellt sjuktillstånd. Vi föreslår att blanketten revideras. 7 REVISIONELL BEDÖMNING Reglerna i patientdatalagen är utformade i syfte att underlätta informationsutbyte mellan vårdgivare och mellan vårdgivare och patient men alltid med skyddet för patientens integritet som första prioritet. Integritetsskyddet ska i huvudsak bestå av begränsad behörighetstilldelning, systematisk loggkontroll samt möjligheten för den enskilde att få loggutdrag och spärra sina patientuppgifter för andra vårdenheter och vårdgivare. Granskningen ska besvara följande revisionsfråga: Finns det ändamålsenliga rutiner och ett stöd i journalsystemet som säkerställer patientens integritet? Granskningen visar bland annat att: Det finns ännu inte ett systemstöd och rutiner för en begränsad behörighetstilldelning som uppfyller intentionerna i lagstiftningen. Det finns idag ingen implementerad lösning för arkivering av den historiska patientinformationen, däribland loggningen. Loggutdragen till stöd för verksamhetschefernas loggkontroll klarar inte de innehållsmässiga kraven. Bristerna har bland annat inneburit svårigheter för verksamhetschefer att bedöma loggutdragen. Loggutdragen till patienter bedöms inte heller uppfylla kravet i patientdatalagen.

Revisionskontoret, 871 85 Härnösand Tfn 0611-800 00 E-post: revision@lvn.se Webbplats: www.lvn.se