Datum Diarienr 2010-02-23 1464-2009 Folktandvården i Stockholms län AB Huvudkontoret Olivecronas väg 7 113 82 Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen konstaterar att Folktandvården i Stockholms län AB (härefter Folktandvården) i strid med 4 kap. 2 patientdatalagen (2008:355) och 2 kap. 6 Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården saknar rutiner för förändring, borttagning och regelbunden uppföljning av behörigheter. Vidare konstateras att Folktandvården, genom att varken genomföra eller ha rutiner för systematisk och återkommande åtkomstkontroll, behandlar patientuppgifter i strid med kraven rörande åtkomstkontroll i 4 kap. 3 patientdatalagen och 2 kap. 11 SOSFS 2008:14. Datainspektionen förutsätter att Folktandvården snarast - tar fram och inför rutiner för förändring, borttagning och regelbunden uppföljning av behörigheter, samt - tar fram och inför rutiner för systematisk och återkommande åtkomstkontroll. Folktandvården ska senast den 30 april 2010 lämna en skriftlig redogörelse till Datainspektionen för vad arbetet med att rätta till dessa brister har resulterat i. Ärendet avslutas, men kommer att följas upp. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
Bakgrund Datainspektionen genomförde den 28 oktober 2009 en inspektion av Folktandvårdens personuppgiftsbehandling på Eastman Allmäntandvård, Dalagatan 11, Stockholm. Under inspektionen framkom bl.a. följande. Folktandvården har ca 2000 anställda fördelat på 90 mottagningar och ett huvudkontor i Stockholms län. Eastman Allmäntandvård har ca 20 anställda och 12 000 patienter. Samtliga Folktandvårdens mottagningar använder det elektroniska patientjournalsystemet T4. Systemet är ett kombinerat journaloch administrativt system. T4 körs i SLL-net och drift av systemet sker i Folktandvårdens egen regi. Varje mottagning har sin egen databas, separerad från övriga mottagningars databaser. Behörighetsstyrning Folktandvården har en rutin för tilldelning av behörigheter i T4( Åtkomstnivåer i T4 ). All personal arbetar i T4 och behörigheterna är uppdelade i olika åtkomstnivåer, framtagna med utgångspunkt för vad varje användare behöver ha tillgång till för att kunna utföra sitt arbete. Utifrån dokumentet Åtkomstnivåer i T4 tilldelar arbetsledaren på respektive mottagning individuella behörigheter till samtliga användare på mottagningen. Samtliga användare har individuella användarnamn och lösenord för inloggning i T4. Eftersom varje mottagning har sin egen databas kan användarna endast ta del av de patientuppgifter som finns på den egna mottagningen. För att kunna ta del av uppgifter på andra mottagningar krävs att användaren har tilldelats en behörighet av arbetsledaren på den andra mottagningen. Om sådan behörighet har tilldelats kan användaren ta del av uppgifterna efter att ha gjort en separat inloggning i den mottagningens databas. Det finns ingen dokumenterad rutin för uppföljning, förändring och borttagning av behörigheterna. Åtkomstkontroll All aktivitet i T4 loggas, t.ex. att en användare läst, skrivit eller skrivit ut något. Av loggarna framgår det vilken användare som gjorde vad, när och med vilken patients uppgifter. Loggarna gallras inte, utan sparas för all framtid. Folktandvården gör inga systematiska och återkommande kontroller (loggkontroll) av åtkomsten till uppgifter i T4. Det finns inga dokumenterade rutiner för åtkomstkontroll. I dagsläget sker åtkomstkontroll endast på Sida 2 av 5
förekommen anledning efter initiativ från respektive klinikchef. Genomförda åtkomstkontroller dokumenteras inte. Det finns inte heller någon rutin för detta. Folktandvården bedriver ett arbete med att utveckla åtkomstkontrollen. En del av arbetet handlar om att ta fram ett verktyg för att underlätta åtkomstkontrollen. En annan del av arbetet handlar om att ta fram rutiner för hur en systematiskt och återkommande loggkontroll ska ske. Datainspektionens bedömning Behörighetsstyrning Av 4 kap. 2 patientdatalagen (2008:355) följer att vårdgivaren ska bestämma villkor för tilldelning av behörigheter samt att behörigheterna ska begränsas till vad som behövs för att användaren ska kunna fullgöra sina arbetsuppgifter. Detta kompletteras sedan av bestämmelserna i 2 kap. 6 Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården. Av denna bestämmelse framgår följande. - Det ska finnas rutiner som säkerställer att behörigheter begränsas till vad som behövs för en god och säker vård. - Varje användare ska tilldelas en individuell behörighet. - Beslut om tilldelning av behörighet ska föregås av en behovs- och riskanalys. - Det ska finnas rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheterna. I ärendet har framkommit att Folktandvården har en rutin för tilldelning av behörigheter, som utgår ifrån vad användaren behöver ha tillgång till för att utföra sitt arbete. Vidare har framkommit att Folktandvården saknar rutiner för förändring, borttagning och regelbunden uppföljning av behörigheterna. Att följa upp utdelade behörigheter för att exempelvis kontrollera att behörigheterna är förenliga med användarnas aktuella arbetsuppgifter är centralt ur ett integritetsperspektiv. Det handlar inte bara om att se till att ta bort behörigheter när användare slutar vid en mottagning, utan även om att anpassa behörigheterna efter användarnas aktuella behov. Att en användare får nya eller förändrade arbetsuppgifter, såväl tillfälligt som permanent, är exempel på omständigheter som kan komma att påverka en tidigare utdelad behörighet. En sådan uppföljning ger ökade förutsättningar för att ha ändamålsenliga och individuellt anpassade behörigheter. Sida 3 av 5
Mot bakgrund av ovanstående konstaterar Datainspektionen att Folktandvården, i strid med 4 kap. 2 patientdatalagen och 2 kap. 6 Socialstyrelsens nämnda föreskrift, saknar rutiner för förändring, borttagning och regelbunden uppföljning av behörigheter. Datainspektionen förutsätter att Folktandvården snarast vidtar åtgärder för att rätta till dessa brister. Folktandvården ska senast den 30 april 2010 lämna in en skriftlig redogörelse till Datainspektionen för vad arbetet med att ta fram och införa dessa rutiner har resulterat i. Åtkomstkontroll Åtkomstkontroll handlar delvis om att kontrollera att ingen obehörig tagit del av information i ett IT-system. En sådan kontroll sker vanligtvis med hjälp av de åtkomstloggar som genereras när en användare vidtar åtgärder i ITsystemet, t.ex. läser eller skriver. För tandvårdens del följer av 4 kap. 3 patientdatalagen att åtkomst till patientuppgifter ska dokumenteras och kunna kontrolleras samt att vårdgivaren ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt patientuppgifterna. Detta kompletteras sedan av bestämmelsen i 2 kap. 11 Socialstyrelsens nämnda föreskrifter. Av denna bestämmelse framgår att vårdgivaren ska ansvara för att det finns rutiner som säkerställer att - det av loggarna framgår vilka åtgärder som har gjorts med uppgifterna, - det av loggarna framgår vid vilken vårdenhet och vid vilken tidpunkt åtgärderna har vidtagits, - användarens och patientens identitet framgår av loggarna, - systematiska och återkommande stickprovskontroller av loggarna görs, - genomförda kontroller av loggarna dokumenteras, och - loggarna sparas i minst tio år. I ärendet har framkommit att all aktivitet i T4 loggas och att det av loggarna framgår vilken användare som gjorde vad, när och med vilken patients uppgifter. Vidare sparas loggarna tills vidare. Mot denna bakgrund konstaterar Datainspektionen att Folktandvården har goda förutsättningar för att utföra åtkomstkontroll. Någon systematisk och återkommande åtkomstkontroll sker emellertid inte, utan kontroller sker endast på förekommen anledning. Inte heller dokumenteras de åtkomstkontroller som väl görs. Mot bakgrund av ovanstående konstaterar Datainspektionen att Folktandvården behandlar patientuppgifter i strid med kraven på åtkomstkontroll i 4 kap. 3 patientdatalagen och 2 kap. 11 Socialstyrelsens nämnda föreskrift. Folktandvården är medveten om detta och bedriver ett Sida 4 av 5
arbete med att utveckla åtkomstkontrollen. Datainspektionen förutsätter att Folktandvården fortsätter arbetet med att ta fram och införa rutiner för systematisk och återkommande åtkomstkontroll. Vidare förutsätter Datainspektionen att Folktandvården i övrigt iakttar de krav som ställs på åtkomstkontroll, exempelvis rörande dokumentation av loggkontroll och bevarande av loggar. Folktandvården ska senast den 30 april 2010 lämna en skriftlig redogörelse till Datainspektionen för vad arbetet med att ta fram och implementera rutiner för en systematisk och återkommande åtkomstkontroll har resulterat i. Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet skall ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholms län för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Patrik Sundström Sida 5 av 5