ii Socia Istyrelsen DRegion SydvästiSek4 Mikael Ramböl mikaetrarnbol@socialstyrelsen.se BESLUT 2011-06-15 Dnr 9.1-7139/2011 1(5) SU/Sahlgrenska Universitetssjukhuset Sjukhusdirektör Jan Eriksson Bruna stråket 21 413 45 Göteborg Vårdgivare Västra Götalandsregionen Sahlgrenska Universitetssjukhuset Göteborg Ärendet Egeninitierad verksamhetstillsyn av vårdgivarens informationssäkerhet Socialstyrelsens beslut Vårdgivaren ska vidta följande åtgärder: tillse att återrapportering från informationssäkerhetsansvarig till vårdgivaren sker enligt gällande författning. redogöra på vilket sätt vårdgivaren säkerställer att journalsystemets tillgänglighet, med avseende på drifien, lever upp till ställda krav över tiden. tillse att det finns rutiner för riskanalys avseende driften samt redovisa genomförd riskanalys avseende driften. säkerställa att överföring av patientuppg.fter via öppna nät sker enligt gällande författning. redovisa hur risk- och behovsanalys genomförs avseende begränsning av behörigheter utifrån en god och säker vård. tiilse att det finns rutiner för förändring, borttagning samt regelbunden uppföljning av behörigheter. redovisa kontinuitetsplan för Sahlgrenska Universitetssjukhuset. Redovisning av vidtagna åtgärder ska ha inkommit till Socialstyrelsen senast 2011-09-30. Om de krav som ställs inte uppfylls kan Socialstyrelsen komma att utfårda ett föreläggande med eller utan vite. o SOCIALSTYRELSEN Telefon 075-24730 00 Fax 031-778 19 30 N Box 53148 sociaistyreisenebsocialstyrelsen.se Org nr 202100-0555 I ; 400 15 GÖTEBORG wftiwsocialstyrelsen.se Plusgro 15616-6 Drakegatan 1
SOCIALSTYRELSEN 2011-06-15 Dur 9.1-7139/2011 2(5) Bakgrund Den 1 juli 2008 trädde patientdatalagen (2008:35) och Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hålso- och sjukvården i kraft. Dessa regelverk omfattar alla vårdgivare som hanterar patientuppgifter och ställer krav på att patientuppgiftema hanteras patientsäkert. Underlag Inspektion 2011 04 14-15 Dokumentgranskning av inhämtat material Inspektionsrapport Redovisning av tillsyn Mot ovanstäende bakgrund har Socialstyrelsen beslutat att genomföra en granskning av vårdgivarens informationssäkerhet. Tillsynen omfattar vårdgivarens ledning och styrning av infonnationssäkerheten samt hur informationssäkerhetskraven har applicerats på Sahlgrenska Universitetssjukhusets journalsystem Melior. Tillsynen inleddes med information och avisering om inspektion till vårdgivarna. En inspektionsrapport upprättades och kommunicerades med vårdgivaren enligt 7 kap 19 Patientsäkerhetslagen (2010:659). Resultatet av tillsynen återförs till vårdgivaren i form av skriftligt beslut. I Västra Götalandsregionen genomfördes inspektionen den 14-15 april 2011. Vårdgivarens yttrande Inspektionsrapporten har kompletterats i relevanta delar efter vårdgivarens yttrande: Joumalsystemet Melior är en utveckling i samverkan mellan Göteborgs stad och Siemens i början av 1990-talet, Västra Götalandsregionen har ett sarnägande av produkten med Siemens Healthcare Joumalsystemet har ca 30 000 användare i VG-regionen och inom Sahlgrenska Universitetssjukhuset finns det ca 15 000 användare Vid Sahlgrenska Universitetssjukhusets introduktionsutbildning for chefer tar man upp regelverket för informationssäkerhet. Systemförvaltningen för Melior var med som företrädare för verksamheten vid framtagandet av SLA-avtalet. Leverantören av Melior har åtkomst till databaser och dess tillhörande integrationer dygnet runt för support
SOCIALSTYRELSEN 2011-06-15 Dnr 9.1-7139/2011 3(5) Skälen för beslutet Tillämpliga bestämmelser 2 kap. Socialstyrelsens föreskrifter (SOSFS 2005:12) om ledningssystem för kvalitet och patientsäkerhet i hälso- och sjukvården 2 kap. Soctalstyrelsens föreskrifter (SOSES 2008:14) om informationshantering och journalföring i hälso- och sjukvården 6 kap. Patientdatalagen (2008:355) Socialstyretsens bedömning De handlingar som inkommit efter att förslaget till beslut har kommunicerats har inte medfört att bedömningen ändrats. Styming och ledning Vårdgivaren ska ge direktiv och säkerställa att det i verksamhetens ledningssystem för kvalitet och patientsäkerhet finns en dokumenterad informationssäkerhetspolicy. Socialstyrelsen konstaterar att vårdgivaren har en informationssäkerhetspolicy. Enligt författningen, 2 kap. 3 p 1-3 (SOSFS 2008:14) skall återapportering ske till vårdgivaren en gång per år. Återrapporteringen skall omfatta granskningar och skyddsåtgärder av större betydelse som gjorts i enlighet med informationssäkerhetspolicyn, samt riskanalyser och förbättringsåtgärder som vidtagits. Det framkom vid inspektionen att informationssäkerhetsansvariga rapporterar en gång per år till vårdgivaren men att återrapporteringen inte omfattar kraven i gällande författning. Socialstyrelsen noterade detta som en brist. Drift, incident och support Socialstyrelsen noterade att det finns avtalade servicenivåer (SLA) vad gäller tillgänglighet till systemet. Vid inspektionen noterades att den senasteriskanalysen avseende driften för Melior skedde 2007. Övergripande rutiner för riskanalys av driften verkar saknas. Uppföljning av SLA-avtalet skall enligt avtalet följas upp två gånger per år. Det är oklart hur man dokumenterat att detta är gjort. SLA-dokumentet är daterat 2007-06-29. Det är således oklart på vilket sätt vårdgivaren säkerställer att journalsystemets tillgänglighet, med avseende på driften lever upp till ställda krav över tiden. Öppna nät och sekretess Om en vårdgivare gör patientuppgifter tillgängliga över öppna nät måste detta göras på ett sådant sätt att ingen obehörig kan nå uppgiftema. 1 praktiken innebär detta bland annat att patientuppgifter måste överföras
SOCIALSTYRELSEN 2011-06-15 Dnr 9.1-7139/2011 4(5) genom en krypterad förbindelse eller genom att kryptera uppgifterna. Ett annat krav är att åtkomst till patientuppgifiema skall föregås av stark autentisering. Vid Socialstyrelsens inspektion framkom att vårdgivaren definierar sitt nätverk som öppet samt att kommunikation av uppgater i Melior sker okrypterat över nätverket vilket Socialstyrelsen noterade som en brist. Vid Sahlgrenska Universitetssjukhuset förekommer det att vissa patientuppgifter skickas externt via fax. Socialstyrelsen vill göra vårdgivaren uppmärksam på att telenätet ranas som ett öppet nät. Fax använder telenätet för sin kommunikation. Bestämmelserna om öppna nät gäller därför också överföring av patientuppgifter med hjälp av fax. Detta innebär att det kan vara svårt att överföra uppgifter via fax på ett sådant sätt som uppfyller föreskrifternas krav på säkerhet. Den vårdgivare som använder fax för sådana överföringar måste förvissa sig om att ingen obehörig kan nå patientuppgiftema. Socialstyrelsen noterade en faxrutin hos vårdgivaren som är känd bland personalen. Socialstyrelsen noterade vid inspektionen att det saknas stöd för låsning av journalanteckningar i aktuell version av Melior. Enligt uppgift kommer nästa version av Melior att hantera stöd för låsning av journalanteckning. Behörigheter Vårdgivaren ska ansvara för att det i ledningssystemet finns rutiner som säkerställer att hälso- och sjukvårdspersonalen och andra befattningshavares behörighet begränsas till vad som är nödvändigt för att ge en god och säker vård. Vid Socialstyrelsens inspektion franikom att personalen har behörighet till patientjournaler oavsett vart man arbetar inom Sahlgrenska Universitetssjukhuset. Det framkom inte vilken riskoch behovsanalys som ligger till grund för detta beslut. Vårdgivaren ska även ansvara för att det finns rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheterna. Socialstyrelsen kan konstatera att det finns övergripande dokumenterade rutiner på vårdgivamivå som styr villkoren för behörighetstilldelning, spärr för åtkomst samt för kontroll av åtkomst till patientuppgifter. Socialstyrelsen noterade dock att det saknas rutiner för förvaltning av behörigheter, det vill säga rutiner för förändring, borttagning samt regelbunden uppföljning av behörigheter. Det fanns en rutin för att få support då användarkontot låst sig eller då användaren exempelvis glömt sitt lösenord. Vid inspektionen noterades svagheter i denna rutin.
SOCIALSTYRELSEN 2011-06-15 Dnr 9.1-7139/2011 5(5) Kontinuitetsplan Socialstyrelsen noterade vid inspektionen att Sahlgenska Universitetssjukhuset saknar kontinuitetsplan. Brister Socialstyrelsen har vid sin tillsyn funnit följande brister som rör kvalitet och patientsäkerhet hos vårdgivaren: Brister i återrapportering av informationssäkerhetsarbetet Bristande egenkontroll/uppföljning av tillgänglighet Brister i övergripande rutiner för riskanalys av driften Brister vid överföring av patientuppgifter/okrypterat nätveric Brister i styrning/tilldelning/förvaltning av behörigheter Avsaknad av kontinuitetsplan Sahlgrenska Universitetssjuldnuset Beslut i detta ärende har fattats av sektionschefen Ralf Persson. I den slutliga handläggningen har utredaren Kerstin Risshytt deltagit. Inspektören Mikael Ramböl har varit föredragande. oc al yrelsen Ralf Persson Mikael Rannböl Kopia till: Chefläkaren Mats Tullberg Sahlgrenska Universitetssjukhuset Regionchefsläkaren Västra Götalandsregionen Regiondirektören Västra Götalandsregionen Säkerhetsdirektören Västra Götalandsregionen IT-direktören Västra Götalandsregionen