BESLUT. Ärendet Egeninitierad verksamhetstillsyn av vårdgivarens informationssäkerhet



Relevanta dokument
Karolinska Universitetssjukhuset i Stockholm. Verksamhetstillsyn tillsyn av vårdgivarens informationssäkerhet

BESLUT : Dnr / UMEA. Arendet Egeninitierad verksamhetstillsyn av vardgivarensinformationssakerhet

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen

Patientdatalagen (PdL) och Informationssäkerhet

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun.

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Riktlinje för informationshantering och journalföring

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

PM 2015:127 RVI (Dnr /2015)

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen

4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Informationssäkerhet en patientsäkerhetsfråga. Maria Jacobsson Socialstyrelsen

Förslag till ändring föreskrifter om informationshantering och journalföring

I Central förvaltning Administrativ enhet

Vårdgivare. Ärendet. Skälen för beslutet BESLUT Dnr / (5) MediCheck AB Hälsingegatan 45 BV STOCKHOLM.

Hur skyddas patientens integritet? Vad säger lagar och författningar och hur fungerar det?

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Riktlinjer för dokumentation och informationshantering inom hälsooch sjukvårdens område i Nyköpings kommun

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

2 kap. Ansvar för informationssäkerhet. Vårdgivarens ansvar

BESLUT. Landstinget i Dalarna ska till Inspektionen för vård och omsorg (IVO) redovisa:

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Informationssäkerhet i patientjournalen

Riktlinjer för informationshantering och journalföring i hälso- och sjukvården i särskilt boende i Solna kommun

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

BESLUT. Region Gävleborg ska till Inspektionen för vård och omsorg (IVO) redovisa:

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

BESLUT. Tillsyn av personalkontinuitet, vakanser och en ökad rörlighet hos hälso- och sjukvårdspersonal inom primärvården vid landstinget i Uppsala.

Tillgång till patientuppgifter - krav på spärrar och aktiva val. Katja Isberg Amnäs Magnus Bergström Datainspektionen

Informationshantering och journalföring. nya krav på informationssäkerhet i vården

BESLUT. Nationell tillsyn av hälso- och sjukvården vid Region Halland sommaren

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

[7] TILLÄMPNINGSOMRÅDE Rutinen gäller för hälso- och sjukvårds dokumentation enligt patientdatalagen

Tillsyn - äldreomsorg

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Yttrande avseende förslag till Socialstyrelsens föreskrifter och allmänna råd om vårdgivares systematiska patientsäkerhetsarbete, dnr 4.1.

Bakgrund Inspektionen för vård och omsorg har under veckorna 24 och 25 granskat följande sjukhus inom Stockholms län:

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

VGR-RIKTLINJE FÖR ÅTKOMST TILL INFORMATION

Tillsyn - äldreomsorg

Styrning av behörigheter

Riktlinjer för logghantering, kontroll och åtkomst enligt Patientdatalagen (PDL) och SOSFS 2008:14 (Vodok och NPÖ)

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad:

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) behörighetsstyrning m.m. enligt patientdatalagen

Riktlinjer för informationshantering och journalföring i hälso- och sjukvården i särskilt boende i Solna kommun

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Riktlinjer för Informationshantering och journalföring i Hälso- och sjukvården. Norra närvårdsområdet Skaraborgs kommuner

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Verksamhetschef avseende hälso- och sjukvård inom elevhälsan

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) 4 kap. patientdatalagen m.m.

BESLUT. Avdelning öst Lars Asteborg Karolinska Universitetssjukhuset Chefläkaren STOCKHOLM

Redovisa vilka skillnader som finns beträffande hur verksamheterna bedrivs jämfört med hur de bedrevs innan

Juridik och informationssäkerhet

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

BESLUT. Tillsyn av psykiatriska akutmottagningen,

Vårdgivarens utseende av verksamhetschef för den medicinska och psykologiska delen av elevhälsan inom barn- och skolnämndens ansvarsområde

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

1(12) Dokumentation inom SoL, LSS och HSL. Styrdokument

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Kändisspotting i sjukvården

Socialstyrelsen Ansökan Tillsyn Datum Socialstyrelsens Dnr /2008 Region öst

BESLUT. Tillsyn av HVB barn och unga vid Båktorp skol- och familjebehandling i Nyköpings kommun

Avtal LK 09-0

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Posthantering och annan överföring av sekretessbelagd och integritetskänslig information

Tillsyn enligt personuppgiftslagen (1998:204) behörighetstilldelning, spärrar m.m enligt patientdatalagen.

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

BESLUT. inspektionenförvård och omsorg Dnr / (5)

Riktlinjer för hälso- och sjukvårdsdokumentation

Det föreslagna beslutet medför inga kända ekonomiska konsekvenser för kommunen.

Tillämpningsanvisningar för tillgång till och utlämnande av patientinformation

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande genom direktåtkomst

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

SOSFS 2005:12 (M) Ledningssystem för kvalitet och patientsäkerhet i hälso- och sjukvården. Socialstyrelsens författningssamling

Bakgrund Inspektionen för vård och omsorg har under veckorna 24 och 25 granskat följande sjukhus inom Stockholms län:

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

Transkript:

ii Socia Istyrelsen DRegion SydvästiSek4 Mikael Ramböl mikaetrarnbol@socialstyrelsen.se BESLUT 2011-06-15 Dnr 9.1-7139/2011 1(5) SU/Sahlgrenska Universitetssjukhuset Sjukhusdirektör Jan Eriksson Bruna stråket 21 413 45 Göteborg Vårdgivare Västra Götalandsregionen Sahlgrenska Universitetssjukhuset Göteborg Ärendet Egeninitierad verksamhetstillsyn av vårdgivarens informationssäkerhet Socialstyrelsens beslut Vårdgivaren ska vidta följande åtgärder: tillse att återrapportering från informationssäkerhetsansvarig till vårdgivaren sker enligt gällande författning. redogöra på vilket sätt vårdgivaren säkerställer att journalsystemets tillgänglighet, med avseende på drifien, lever upp till ställda krav över tiden. tillse att det finns rutiner för riskanalys avseende driften samt redovisa genomförd riskanalys avseende driften. säkerställa att överföring av patientuppg.fter via öppna nät sker enligt gällande författning. redovisa hur risk- och behovsanalys genomförs avseende begränsning av behörigheter utifrån en god och säker vård. tiilse att det finns rutiner för förändring, borttagning samt regelbunden uppföljning av behörigheter. redovisa kontinuitetsplan för Sahlgrenska Universitetssjukhuset. Redovisning av vidtagna åtgärder ska ha inkommit till Socialstyrelsen senast 2011-09-30. Om de krav som ställs inte uppfylls kan Socialstyrelsen komma att utfårda ett föreläggande med eller utan vite. o SOCIALSTYRELSEN Telefon 075-24730 00 Fax 031-778 19 30 N Box 53148 sociaistyreisenebsocialstyrelsen.se Org nr 202100-0555 I ; 400 15 GÖTEBORG wftiwsocialstyrelsen.se Plusgro 15616-6 Drakegatan 1

SOCIALSTYRELSEN 2011-06-15 Dur 9.1-7139/2011 2(5) Bakgrund Den 1 juli 2008 trädde patientdatalagen (2008:35) och Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hålso- och sjukvården i kraft. Dessa regelverk omfattar alla vårdgivare som hanterar patientuppgifter och ställer krav på att patientuppgiftema hanteras patientsäkert. Underlag Inspektion 2011 04 14-15 Dokumentgranskning av inhämtat material Inspektionsrapport Redovisning av tillsyn Mot ovanstäende bakgrund har Socialstyrelsen beslutat att genomföra en granskning av vårdgivarens informationssäkerhet. Tillsynen omfattar vårdgivarens ledning och styrning av infonnationssäkerheten samt hur informationssäkerhetskraven har applicerats på Sahlgrenska Universitetssjukhusets journalsystem Melior. Tillsynen inleddes med information och avisering om inspektion till vårdgivarna. En inspektionsrapport upprättades och kommunicerades med vårdgivaren enligt 7 kap 19 Patientsäkerhetslagen (2010:659). Resultatet av tillsynen återförs till vårdgivaren i form av skriftligt beslut. I Västra Götalandsregionen genomfördes inspektionen den 14-15 april 2011. Vårdgivarens yttrande Inspektionsrapporten har kompletterats i relevanta delar efter vårdgivarens yttrande: Joumalsystemet Melior är en utveckling i samverkan mellan Göteborgs stad och Siemens i början av 1990-talet, Västra Götalandsregionen har ett sarnägande av produkten med Siemens Healthcare Joumalsystemet har ca 30 000 användare i VG-regionen och inom Sahlgrenska Universitetssjukhuset finns det ca 15 000 användare Vid Sahlgrenska Universitetssjukhusets introduktionsutbildning for chefer tar man upp regelverket för informationssäkerhet. Systemförvaltningen för Melior var med som företrädare för verksamheten vid framtagandet av SLA-avtalet. Leverantören av Melior har åtkomst till databaser och dess tillhörande integrationer dygnet runt för support

SOCIALSTYRELSEN 2011-06-15 Dnr 9.1-7139/2011 3(5) Skälen för beslutet Tillämpliga bestämmelser 2 kap. Socialstyrelsens föreskrifter (SOSFS 2005:12) om ledningssystem för kvalitet och patientsäkerhet i hälso- och sjukvården 2 kap. Soctalstyrelsens föreskrifter (SOSES 2008:14) om informationshantering och journalföring i hälso- och sjukvården 6 kap. Patientdatalagen (2008:355) Socialstyretsens bedömning De handlingar som inkommit efter att förslaget till beslut har kommunicerats har inte medfört att bedömningen ändrats. Styming och ledning Vårdgivaren ska ge direktiv och säkerställa att det i verksamhetens ledningssystem för kvalitet och patientsäkerhet finns en dokumenterad informationssäkerhetspolicy. Socialstyrelsen konstaterar att vårdgivaren har en informationssäkerhetspolicy. Enligt författningen, 2 kap. 3 p 1-3 (SOSFS 2008:14) skall återapportering ske till vårdgivaren en gång per år. Återrapporteringen skall omfatta granskningar och skyddsåtgärder av större betydelse som gjorts i enlighet med informationssäkerhetspolicyn, samt riskanalyser och förbättringsåtgärder som vidtagits. Det framkom vid inspektionen att informationssäkerhetsansvariga rapporterar en gång per år till vårdgivaren men att återrapporteringen inte omfattar kraven i gällande författning. Socialstyrelsen noterade detta som en brist. Drift, incident och support Socialstyrelsen noterade att det finns avtalade servicenivåer (SLA) vad gäller tillgänglighet till systemet. Vid inspektionen noterades att den senasteriskanalysen avseende driften för Melior skedde 2007. Övergripande rutiner för riskanalys av driften verkar saknas. Uppföljning av SLA-avtalet skall enligt avtalet följas upp två gånger per år. Det är oklart hur man dokumenterat att detta är gjort. SLA-dokumentet är daterat 2007-06-29. Det är således oklart på vilket sätt vårdgivaren säkerställer att journalsystemets tillgänglighet, med avseende på driften lever upp till ställda krav över tiden. Öppna nät och sekretess Om en vårdgivare gör patientuppgifter tillgängliga över öppna nät måste detta göras på ett sådant sätt att ingen obehörig kan nå uppgiftema. 1 praktiken innebär detta bland annat att patientuppgifter måste överföras

SOCIALSTYRELSEN 2011-06-15 Dnr 9.1-7139/2011 4(5) genom en krypterad förbindelse eller genom att kryptera uppgifterna. Ett annat krav är att åtkomst till patientuppgifiema skall föregås av stark autentisering. Vid Socialstyrelsens inspektion framkom att vårdgivaren definierar sitt nätverk som öppet samt att kommunikation av uppgater i Melior sker okrypterat över nätverket vilket Socialstyrelsen noterade som en brist. Vid Sahlgrenska Universitetssjukhuset förekommer det att vissa patientuppgifter skickas externt via fax. Socialstyrelsen vill göra vårdgivaren uppmärksam på att telenätet ranas som ett öppet nät. Fax använder telenätet för sin kommunikation. Bestämmelserna om öppna nät gäller därför också överföring av patientuppgifter med hjälp av fax. Detta innebär att det kan vara svårt att överföra uppgifter via fax på ett sådant sätt som uppfyller föreskrifternas krav på säkerhet. Den vårdgivare som använder fax för sådana överföringar måste förvissa sig om att ingen obehörig kan nå patientuppgiftema. Socialstyrelsen noterade en faxrutin hos vårdgivaren som är känd bland personalen. Socialstyrelsen noterade vid inspektionen att det saknas stöd för låsning av journalanteckningar i aktuell version av Melior. Enligt uppgift kommer nästa version av Melior att hantera stöd för låsning av journalanteckning. Behörigheter Vårdgivaren ska ansvara för att det i ledningssystemet finns rutiner som säkerställer att hälso- och sjukvårdspersonalen och andra befattningshavares behörighet begränsas till vad som är nödvändigt för att ge en god och säker vård. Vid Socialstyrelsens inspektion franikom att personalen har behörighet till patientjournaler oavsett vart man arbetar inom Sahlgrenska Universitetssjukhuset. Det framkom inte vilken riskoch behovsanalys som ligger till grund för detta beslut. Vårdgivaren ska även ansvara för att det finns rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheterna. Socialstyrelsen kan konstatera att det finns övergripande dokumenterade rutiner på vårdgivamivå som styr villkoren för behörighetstilldelning, spärr för åtkomst samt för kontroll av åtkomst till patientuppgifter. Socialstyrelsen noterade dock att det saknas rutiner för förvaltning av behörigheter, det vill säga rutiner för förändring, borttagning samt regelbunden uppföljning av behörigheter. Det fanns en rutin för att få support då användarkontot låst sig eller då användaren exempelvis glömt sitt lösenord. Vid inspektionen noterades svagheter i denna rutin.

SOCIALSTYRELSEN 2011-06-15 Dnr 9.1-7139/2011 5(5) Kontinuitetsplan Socialstyrelsen noterade vid inspektionen att Sahlgenska Universitetssjukhuset saknar kontinuitetsplan. Brister Socialstyrelsen har vid sin tillsyn funnit följande brister som rör kvalitet och patientsäkerhet hos vårdgivaren: Brister i återrapportering av informationssäkerhetsarbetet Bristande egenkontroll/uppföljning av tillgänglighet Brister i övergripande rutiner för riskanalys av driften Brister vid överföring av patientuppgifter/okrypterat nätveric Brister i styrning/tilldelning/förvaltning av behörigheter Avsaknad av kontinuitetsplan Sahlgrenska Universitetssjuldnuset Beslut i detta ärende har fattats av sektionschefen Ralf Persson. I den slutliga handläggningen har utredaren Kerstin Risshytt deltagit. Inspektören Mikael Ramböl har varit föredragande. oc al yrelsen Ralf Persson Mikael Rannböl Kopia till: Chefläkaren Mats Tullberg Sahlgrenska Universitetssjukhuset Regionchefsläkaren Västra Götalandsregionen Regiondirektören Västra Götalandsregionen Säkerhetsdirektören Västra Götalandsregionen IT-direktören Västra Götalandsregionen