Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Relevanta dokument
Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Tillsyn enligt personuppgiftslagen (1998:204) behörighetsstyrning m.m. enligt patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn - äldreomsorg

Tillsyn - äldreomsorg

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Sammanhållen journalföring 6 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) 4 kap. patientdatalagen m.m.

Patientdatalagen (PdL) och Informationssäkerhet

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande genom direktåtkomst

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Sammanhållen journalföring 6 kap. patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post

Tillsyn enligt dataskyddsförordningen (EU) 2016/679 behörighetstilldelning, spärrar, m.m. enligt patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillgång till patientuppgifter - krav på spärrar och aktiva val. Katja Isberg Amnäs Magnus Bergström Datainspektionen

Rutin för loggning av HSL-journaler samt NPÖ

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt dataskyddsförordningen (EU) 2016/679 behörighetstilldelning, spärrar, m.m. enligt patientdatalagen

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Riktlinjer för logghantering, kontroll och åtkomst enligt Patientdatalagen (PDL) och SOSFS 2008:14 (Vodok och NPÖ)

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande av patientuppgifter genom direktåtkomst till apoteksstuderande

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun.

Det föreslagna beslutet medför inga kända ekonomiska konsekvenser för kommunen.

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

MAS Kvalitets HANDBOK för god och säker vård

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Riktlinjer för hälso- och sjukvårdsdokumentation

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Riktlinjer för dokumentation och informationshantering inom hälsooch sjukvårdens område i Nyköpings kommun

Rutin för loggkontroll och tilldelning av behörigheter i nationell patientöversikt (NPÖ) Rutinen gäller från fram till

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Informationshantering och journalföring. nya krav på informationssäkerhet i vården

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Logghantering för hälso- och sjukvårdsjournaler

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

RIKTLINJE NATIONELLA PATIENT ÖVERSIKTEN (NPÖ)

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) behörighetstilldelning, spärrar m.m enligt patientdatalagen.

Behovs- och riskanalys behörigheter i Procapita HSL

Tillsyn enligt personuppgiftslagen (1998:204) hjälpmedelshanteringssystemet Sesam

Tillsyn enligt personuppgiftslagen (1998:204) 4 kap. patientdatalagen

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Rutin för loggkontroll av åtkomst till hälso- och sjukvårdsdokumentation

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Riktlinje för informationshantering och journalföring

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Informationssäkerhet i patientjournalen

Patientdatalagen. Juridik- och Upphandlingsstaben

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

ORGANISATIONSNUMMER: ADRESS: NORDENSKIÖLDSGATAN 14, GÖTEBORG

Informationssäkerhet med logghantering och åtkomstkontroll av hälso- och sjukvårdsjournaler i Vodok och nationell patientöversikt (NPÖ)

Riktlinjer för informationshantering och journalföring i hälso- och sjukvården i särskilt boende i Solna kommun

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå

Transkript:

Beslut Diarienr 2014-05-07 572-2013 Socialnämnden Emmaboda kommun Socialförvaltningen Box 54 361 21 Emmaboda Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens beslut Socialnämnden, Emmaboda kommun (nämnden) föreläggs att genomföra en dokumenterad behovs- och riskanalys enligt 2 kap. 6 andra stycket andra meningen SOSFS 2008:14 1 för Procapita Vård- och omsorg. Datainspektionen förutsätter att nämnden ser till att det finns loggar i Procapita Vård- och Omsorg i enlighet med 2 kap. 11 SOSFS 2008:14 att det finns skriftliga riktlinjer till befattningshavare som utför loggkontroller, så att dessa befattningshavare på ett systematiskt sätt kan kontrollera om någon har kommit åt patientuppgifter obehörigen enligt 4 kap. 3 första stycket andra meningen patientdatalagen Att de anställda får information om under vilka omständigheter som de får ta del av patientuppgifter. Ärendet avslutas, men kan komma att följas upp. Redogörelse för tillsynen Datainspektionen inledde under 2013 tillsyn för att granska om man inom den kommunala hälso-och sjukvården skyddar patientuppgifter genom att dels 1 Socialstyrelsens föreskrifter Informationshantering och journalföring i hälso- och sjukvården. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

begränsa den elektroniska åtkomsten till patientuppgifter genom behörighetsstyrning, dels genom loggar kontrollera om någon anställd obehörigen kommit åt patientuppgifter. Tillsynen genomfördes genom att 18 slumpvis utvalda Socialnämnder eller motsvarande (vårdgivare) skriftligen fått besvara frågor om det ovanstående. Nämnden svar inkom den 2o maj 2013. Nämnden beskriver i korthet sin verksamhet enligt följande. Emmaboda kommun bedriver kommunal hälso- och sjukvård och rehabilitering i särskilda boenden, daglig verksamhet och hemsjukvård. I den hälso-och sjukvårdsverksamhet som nämnden bedriver används Procapita Vård- och omsorg, som främst används till patientdokumentation. I Procapita Vård- och omsorg har 32 anställda åtkomst till uppgifter om 740 patienter. De kategorier av anställda som har åtkomst till patientuppgifter i Procapita Vård- och omsorg är Leg. sjuksköterska, Leg. sjukgymnast, Leg. Arbetsterapeut, Medicinsk ansvarig sjuksköterska, systemförvaltare, verksamhetschef enligt HSL samt enhetschef för Hälso- och sjukvårdsenheten. Skäl för beslutet Behovs- och riskanalys inför tilldelning av behörighet Vårdgivarens skyldigheter som rör behörighetsstyrning framgår av 4 kap. 2 patientdatalagen och 2 kap. 6 SOSFS 2008:14. Bestämmelserna kompletterar bestämmelsen om inre sekretess i 4 kap. 1 patientdatalagen samt omfattar även uppgifter om avlidna enligt 1 kap. 1 andra stycket. Datainspektionen har när det gäller behörighetsstyrning begränsat bedömningen till frågan om vårdgivaren har gjort en behovs- och riskanalys enligt 2 kap. 6 SOSFS andra stycket andra meningen som kan läggas till grund för tilldelningen av behörigheter enligt 4 kap. 2 patientdatalagen. På frågan om tilldelningen av individuella behörigheter har föregåtts av en behovs- och riskanalys, har nämnden svarat ja och uppgett att behovsanalysen visar att legitimerad personal som tjänstgör i Hälso- och sjukvårdsenheten måste ha tillgång till Hälso- och sjukvårdsjournalen. Sida 2 av 6

Nämnden har vidare uppgett att om den legitimerade inte har tillgång, kan han eller hon inte utföra sitt arbete och det kan uppstå risk för patienten. Det finns enligt uppgift olika behörighetskategorier utifrån kategorier av anställda. Datainspektionen gör följande bedömning En vårdgivare är enligt nu aktuella bestämmelser skyldig att begränsa en användares behörigheter till vad som behövs för att användaren ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården och till vad som är nödvändigt för att ge en god och säker vård. Vårdgivarens beslut om tilldelning av behörighet ska föregås av en behovs- och riskanalys. I propositionen 2007/08:126 Patientdatalag m.m. uttalar regeringen (s 148 f) att syftet med 4 kap. 2 patientdatalagen är att inpränta skyldigheten för den ansvariga vårdgivaren att göra aktiva och individuella behörighetstilldelningar utifrån analyser av vilken information olika personalkategorier och olika slags verksamheter behöver. Det framgår också att riskanalyser måste göras där man tar hänsyn till olika slags risker som kan vara förknippade med en alltför vid tillgänglighet avseende vissa slags uppgifter. Regeringen uttalar vidare att en mer vidsträckt eller grovmaskig behörighetstilldelning bör även om den skulle ha poänger utifrån effektivitetssynpunkt anses som en obefogad spridning av journaluppgifter inom en verksamhet och bör som sådan inte accepteras. Nämnden har uppgett att man har gjort en behovs- och riskanalys samt att det finns olika behörighetskategorier utifrån kategorier av anställda. Det har dock inte framkommit att nämnden har genomfört en dokumenterad behovs- och riskanalys, eller i vilken omfattning nämnden har analyserat vilken information olika personalkategorier och olika slags verksamheter behöver. Det har inte heller framkommit att nämnden har gjort riskanalyser och exempelvis beaktat riskerna med att låta legitimerad personal som tjänstgör i Hälso- och sjukvårdsenheten få tillgång till Hälso- och sjukvårdsjournalen. Nämnden har inte heller närmare motiverat varför all legitimerad personal behöver ha åtkomst till samtliga patientjournaler, mer än de annars inte kan utföra sitt arbete och det kan uppstå en risk för patienten. En generös behörighetstilldelning innebär ofta en obefogad spridning av personuppgifter (aa s. 240). Datainspektionen konstaterar därför att behovsoch riskanalyser har en avgörande betydelse för en väl avvägd behörighetstilldelning. Mot bakgrund av det ovanstående förelägger Datainspektionen nämnden att genomföra en dokumenterad behovs- och Sida 3 av 6

riskanalys enligt 2 kap. 6 andra stycket andra meningen SOSFS 2008:14 för Procaptia Vård- och omsorg. Loggkontroll Vårdgivarens skyldigheter som rör kontroll av elektronisk åtkomst till patientuppgifter framgår av 4 kap. 3 patientdatalagen och 2 kap. 11 SOSFS 2008:14. Bestämmelserna kompletterar bestämmelsen om inre sekretess i 4 kap. 1 patientdatalagen och omfattar även uppgifter om avlidna enligt 1 kap. 1 andra stycket. På frågan om det finns dokumentation om åtkomst (loggar) i Procapita Vårdoch omsorg har nämnden svarat ja. Nämnden har inte svarat på frågan om vilken information som framgår av loggarna, utan hänvisat till det loggutdrag som getts in i ärendet. Av loggutdraget framgår dock inte att vårdenhet och tidpunkt för åtgärderna loggas. Det framgår inte heller vilka åtgärder som loggas. Enligt 4 kap. 3 första stycket patientdatalagen ska en vårdgivare se till att åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat dokumenteras och kan kontrolleras. Av loggarna ska framgå vilka åtgärder som har vidtagits med patientuppgifterna, vid vilken vårdenhet och vid vilken tidpunkt åtgärderna har vidtagits, samt användarens och patientens identitet. Detta framgår av 2 kap. 11 SOSFS 2008:14. Av loggen ska alltså framgå om anställda till exempel har läst, ändrat, kopierat, upprättat eller skrivit ut vårddokumentation. Det har inte framkommit att det finns sådana loggar i Procapita Vård- och omsorg som föreskrivs ovan. Datainspektionen förutsätter därför att nämnden ser till att det finns sådana loggar. När det gäller rutinerna för loggkontroll har Datainspektionen begränsat bedömningen till om nämnden har en dokumenterad rutin för logguppföljning samt om rutinen innebär att nämnden vägleder de befattningshavare som utför loggkontrollerna om vad som kan utgöra obehörig åtkomst enligt 4 kap. 3 första stycket andra meningen patientdatalagen. På frågan om det finns rutiner för logguppföljning har nämnden svarat ja och gett in dokumentet Rutiner för loggning i Procapita VoO och IFO:s databas. Sida 4 av 6

Enligt 4 kap. 3 första stycket andra meningen patientdatalagen ska vårdgivare göra systematiska och återkommande kontroller av om någon obehörigen kommer åt patientuppgifter. Regeringen har uttalat att vårdgivarna för att främja patientsäkerheten bör åläggas att systematiskt och fortlöpande företa kontroller av om obehörig åtkomst till uppgifter om patienter förekommer. Vidare uttalar regeringen att en sådan bestämmelse inte bara innebär att faktiska dataintrång med större säkerhet kommer att beivras, utan också bör få en starkt avhållande verkan på personal som, om risken för upptäckt är liten, kan frestas att olovligen läsa uppgifter (aa s. 149 f). Nämnden har en dokumenterad rutin för logguppföljning. Av dokumentet framgår dock inte att befattningshavare som utför loggkontroller har fått vägledning, exempelvis om vad som kan utgöra misstanke om olovlig läsning. Datainspektionen anser att loggkontrollerna inte blir verkningsfulla om det saknas riktlinjer till befattningshavare som utför loggkontroller om vad som kan utgöra obehörig elektronisk åtkomst. I sådant fall riskerar en vårdgivare att åsidosätta den inre sekretessen. Datainspektionen förutsätter därför att nämnden ser till att det finns skriftliga riktlinjer till befattningshavare som utför loggkontroller, så att dessa befattningshavare på ett systematiskt sätt kan kontrollera om någon har kommit åt patientuppgifter obehörigen enligt 4 kap. 3 första stycket andra meningen patientdatalagen. På fråga om de anställda har fått information om vilka personuppgifter som de får ta del av, samt att loggning och logguppföljning görs, har nämnden svarat ja och gett in dokumentet Behörighetsregistrering. För att uppnå den preventiva effekten av logguppföljning behöver de anställda få information om under vilka omständigheter som de får ta del av patientuppgifter. Av dokumentet som nämnden hänvisat till framgår dock inte att personalen får sådan information. Datainspektionen förutsätter att nämnden ser till att de anställda får informationen om under vilka omständigheter som de får ta del av patientuppgifter. Ärendet avslutas, men kan komma att följas upp. Sida 5 av 6

Datainspektionen bifogar en sammanställning av tillsynen beträffande kommuner. Sammanställningen innehåller en övergripande redovisning av resultatet av tillsynen, tillämpliga rättsregler samt Datainspektionens vägledande information. Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet skall ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta beslut har fattats av tf enhetschefen Anna Hörnlund efter föredragning av juristen Katarina Högquist. Vid den slutliga handläggningen har även IT-säkerhetsspecialisten Magnus Bergström deltagit. Anna Hörnlund Katarina Högquist Kopia till: Personuppgiftsombudet Sida 6 av 6

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss