Datainspektionens granskningar av integritetsskyddet inom vård och omsorg Erik Janzon Datainspektionen
Några utgångspunkter Lagstiftaren och EU vill ha integritet Digitala vinster & digitala risker Integritet ej motsatt patientsäkerhet Mycket kvar att göra, men mycket bra görs Justeringar kan göras av lagstiftaren
Regelverket Patientdatalagen (SFS 2008:355), PdL Proposition 2007/08:126 Patientdatalag m.m. Socialstyrelsens föreskrifter Informationshantering och journalföring i hälsooch sjukvården (SOSFS 2008:14) den senaste versionen. Socialstyrelsens webbhandbok (www.socialstyrelsen.se/patientdatalagen)
Datainspektionens tillsyn, bl.a. Behörighetsstyrning inom en vårdgivares verksamhet Åtkomstkontroll Spärrar Sammanhållen journalföring Nationella kvalitetsregister
Behörighetsstyrning Individuell behörighet för varje användare Den enskilde användarens behov avgör Varje beslut ska föregås av en behovs- och riskanalys Kom ihåg att följa upp behörigheter för att vid behov utvidga, begränsa eller ta bort Tekniska begränsningar krävs, det man inte har behov av ska man inte kunna ta del av
Åtkomstkontroll Åtkomst ska loggas Framgå av loggen vilken åtgärd som har vidtagits Vårdenhet och tidpunkt Användarens och patientens id Loggarna sparas i minst 10 år Systematiska och återkommande kontroller Kontrollerna dokumenteras
Checklista för hälso- och sjukvården finns på www.datainspektionen.se Systematisk logguppföljning Informera personalen Se till att ha de rätta tekniska förutsättningarna Bestäm urval och omfattning och utforma en verkningsfull rutin Genomför kontrollerna Utvärdera rutinen Utveckla rutinen
Om patienten väljer att spärra information Vad innebär en spärr? Ej elektroniskt åtkomliga/ej tillgängliga Omfattning av spärr Inre sekretess Sammanhållen journalföring Konsekvenser av spärr Inre sekretess Sammanhållen journalföring
Spärr-projektet Nationell tillsyn Spärrar i den inre sekretessen och den sammanhållna journalföringen Vad har vi sett? Fyra år efter att patientdatalagen trädde i krav, lever vårdgivarna fortfarande inte upp till lagens krav på spärrhantering.
Sammanhållen journalföring Handlar inte om en patient en journal Frihet för vårdgivare att bestämma omfattning Tillåtet endast för vårdändamål Varje vårdgivare är ansvarig för sina användare Patienten bestämmer Glöm inte bort barn och ungdomar Information till patienten innan Krav på innehåll och tillvägagångssätt
Projekt Sammanhållen journalföring Granskning av tre vårdgivare TakeCare, SYSTeam Cross och Cosmic. Fyra områden inspekterades: Vårdgivarens informationsskyldighet, Spärrar, och Behörighetsstyrning och åtkomstkontroll - inom ramen för den sammanhållna journalföringen.
Projekt Sammanhållen journalföring Vad såg vi? Informationsskyldigheten var bristfällig/fanns ingen information. Fanns endast delvis tekniskt fungerande spärrar. Ingen specifik/otillräcklig behörighetsstyrning Ingen specifik/otillräcklig åtkomstkontroll
WebCare Granskat hur SLL utbyter känsliga personuppgifter i hälso- och sjukvården och mellan vård och socialtjänst Utbytet mellan vård och socialtjänst sker på ett sätt som saknar stöd i lagen och måste upphöra Krävs författningsändringar alternativt anpassningar till nuvarande regler
IT-säkerhet vid kommunikation över nätet Patientuppgifter som överförs över öppet nät ska krypteras så att ingen obehörig kan ta del av uppgifterna Åtkomst till patientuppgifter över öppet nät ska föregås av stark autentisering Användarnamn och lösenord är inte tillräckligt vid åtkomst över öppet nät (t.ex. Internet, Sjunet)
e-postprojektet Granskat hur vårdgivare, socialnämnder och forskningshuvudmän utformat riktlinjerna för sina anställda när känsliga personuppgifter skickas via e-post Sätter fokus på frågan om öppna nät Resultat: De undersökta riktlinjerna är genomgående för otydliga. Framgår tex inte i vilka situationer det är olämpligt att använda e-post
Löstagbara media / mobila enheter I bärbara datorer och på löstagbara lagringsmedier ska patientuppgifter vara krypterade på ett sådant sätt att obehöriga inte kan ta del av uppgifterna. CD, diskett, USB-sticka, e-post
Nationella kvalitetsregister Får endast innehålla uppgifter som behövs för att utveckla och säkra vårdens kvalitet Uppgifterna får inte användas som beslutsstöd i det enskilda patientmötet Vårdgivare får endast ha direktåtkomst till egna uppgifter Centralt ansvarig måste vara en myndighet inom hälso- och sjukvården Åtkomst över öppet nät kräver stark autentisering
Datainspektionen Adress: Box 8114, 104 20 Stockholm Tel: 08-657 61 00 Fax: 08-652 86 52 E-post: datainspektionen@datainspektionen.se Webbplats: www.datainspektionen.se
Välkommen att ställa frågor i Levande verkstad