Riktlinjer avseende åtgärder vid dataintrång

Relevanta dokument
Landstingsstyrelsens beslut

Landstingsstyrelsens beslut

Dataintrång - åtgärder vid misstanke om olovlig åtkomst

Hur får jag använda patientjournalen?

Sekretess och tystnadsplikt

Logghantering för hälso- och sjukvårdsjournaler

Rutin för loggning av HSL-journaler samt NPÖ

Riktlinje för informationshantering och journalföring

Rutin för loggkontroll av åtkomst till hälso- och sjukvårdsdokumentation

Sekretess, lagar och datormiljö

Kändisspotting i sjukvården

MAS Kvalitets HANDBOK för god och säker vård

Monitorerares tillgång till Cosmic vid kliniska prövningar

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem

KVALITETSSYSTEM Socialförvaltningen

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

Riktlinjer för logghantering, kontroll och åtkomst enligt Patientdatalagen (PDL) och SOSFS 2008:14 (Vodok och NPÖ)

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

Rutin för loggkontroll och tilldelning av behörigheter i nationell patientöversikt (NPÖ) Rutinen gäller från fram till

Riktlinjer för samtal med medarbetare beträffande loggranskning

Tillämpningsanvisningar för tillgång till och utlämnande av patientinformation

Riktlinjer för informationshantering och journalföring i hälso- och sjukvården i särskilt boende i Solna kommun

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun.

RIKTLINJE NATIONELLA PATIENT ÖVERSIKTEN (NPÖ)

Informationshantering och journalföring. nya krav på informationssäkerhet i vården

Rutin för loggkontroll av åtkomst till hälso- och sjukvårdsdokumentation

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA

[7] TILLÄMPNINGSOMRÅDE Rutinen gäller för hälso- och sjukvårds dokumentation enligt patientdatalagen

4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun

Riktlinjer för dokumentation och informationshantering inom hälsooch sjukvårdens område i Nyköpings kommun

ORGANISATIONSNUMMER: ADRESS: NORDENSKIÖLDSGATAN 14, GÖTEBORG

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Riktlinjer för hälso- och sjukvårdsdokumentation

Informationssäkerhet i patientjournalen

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Stadsdelsnämnden godkänner förvaltningens tjänsteutlåtande som svar på skrivelsen. Leif Spjuth stadsdelsdirektör Ulla Cadwalader personalchef

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen

Informationssäkerhet med logghantering och åtkomstkontroll av hälso- och sjukvårdsjournaler i Vodok och nationell patientöversikt (NPÖ)

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Riktlinjer för Informationshantering och journalföring i Hälso- och sjukvården. Norra närvårdsområdet Skaraborgs kommuner

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Frågor och svar om sexuella övergrepp inom Svenska kyrkan

Patientdatalagen. Juridik- och Upphandlingsstaben

Hälso- och sjukvårdsdokumentation

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Riktlinjer för informationshantering och journalföring i hälso- och sjukvården i särskilt boende i Solna kommun

Dokumentation och sekretess hos de medicinska delarna av elevhälsan Skolsköterskekongress 2012

Tystnadsplikt och sekretess i vården

Det föreslagna beslutet medför inga kända ekonomiska konsekvenser för kommunen.

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Hantering av loggkontroller och intrång i journal- och passagesystem

Svensk författningssamling

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Sammanhållen journalföring 6 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) 4 kap. patientdatalagen m.m.

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Sekretess i vården. Lars-Olof Tobiasson

Aktiva Val. Journalfilter i TakeCare

MAS Riktlinje för logghantering gällande hälso- och sjukvårdsjournaler

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Patientdatalagen (PdL) och Informationssäkerhet

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Regelverk avseende hantering av loggrapporter för vårdsystem samt åtgärder vid dataintrång

Åtkomst till patientuppgifter

1(12) Dokumentation inom SoL, LSS och HSL. Styrdokument

Sammanhållen journalföring

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Avtal LK 09-0

AVTAL OM SAMMANHÅLLEN JOURNALFÖRING

Hur kan vi arbeta med sekretessen på familjecentralen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Dokumentation Hälso- och sjukvård HSL

Studerandens möjligheter att ta del av och använda patientuppgifter

H A N D L Ä G G A R E D A T U M D I A R I E N R AVTAL OM SAMMANHÅLLEN JOURNALFÖRING

RUTIN FÖR SEKRETESS INOM SOCIALTJÄNSTEN

Tillgång till patientuppgifter - krav på spärrar och aktiva val. Katja Isberg Amnäs Magnus Bergström Datainspektionen

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Tillsyn - äldreomsorg

LOA Lag om offentlig anställning

Juridiska frågor och svar om försäkringsmedicinska utredningar rörande personuppgiftsbehandling och dokumentation

BESLUT. Datum Dnr Tillämpningsanvisningar om Rätt att ta del av patientuppgifter inom Region Skåne

NPÖ Nationell patientöversikt

Jens Larsson,

Sekretess inom hälso- och sjukvården (25 kap 1 )

Lag (1994:260) om offentlig anställning

Svensk författningssamling

Tystnadsplikt och sekretess i vården

Informationsöverföring och samtycke inom hälso- och sjukvård.

LÄS 1. Åtta sidor om sekretess (Socialstyrelsen) EE316B4AD438/10638/

Sökord i diariet: Sammanhållen Journalföring. Diarienummer: VON F 2017/ Sammanhållen journalföring

Transkript:

Dokumenttitel: Riktlinjer avseende åtgärder vid dataintrång Ämnesområde: Dokumenthantering och informationssäkerhet Nivå: Huvuddokument Författare: Anna Klippmark, Juridiska staben Dokumentansvarig: Administrativa enheten Beslutad av: Landstingsstyrelsen den 6 september, 155/11 Diarienummer: LS-LED11-477 Giltig från: 2011-09-06 Riktlinjer avseende åtgärder vid dataintrång 1. Bakgrund Patientdatalagen reglerar rätten till direktåtkomst i vårdregister och offentlighets- och sekretesslagen sekretess inom Hälso- och sjukvården. Landstinget Sörmlands förmåga att uppfylla patientdatalagens krav på informationssäkerhet är avgörande för allmänhetens förtroende för vår verksamhet. Det är därför viktigt att riktlinjerna är kända för all personal. Informationssäkerheten är den samlade effekten av organisatoriska, administrativa och tekniska åtgärder för att skydda informationen mot hot. Säkerhetspolicyn och informationssäkerhetspolicyn gäller för all informationshantering i landstinget. Detta dokument kompletteras av Användarinstruktioner för olika vård- system, Förhållningssätt vid misstänkt brottslighet i Landstinget Sörmland, Rutin vid misstanke om otillbörlig åtkomst, Rutin för kontroll av åtkomst till patientuppgifter, Rutin för styrning av behörigheter i vårdsystem, landstingets webbaserade utbildningar Sekretess och Tystnads- plikt/behörighet och Dataintrång samt information till anställda. 2. Dataintrång Den som olovligen, med egen eller annans behörighet, tar del av upp- gifter i personregister, t ex elektroniskt förda patientanteckningar och annan vårdinformation gör sig skyldig till dataintrång och kan dömas till böter eller fängelse i högst två år. Brottsbalken (1962:700) 4 kap 9c Den som i annat fall än som sägs i 8 och 9 olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Om uppgifterna förs vidare till annan kan dataintrång även medföra brott mot offentlighets- och sekretesslagen. 1

3. Ansvar Verksamhetschef inom respektive verksamhet är ytterst ansvarig för informationssäkerheten men all personal har ett egenansvar. Varje chef ska agera konsekvent och det ska stå klart för alla att Landstinget Sörmland inte tolererar olovliga sökningar. Cheferna ansvarar för att kontinuerligt informera om landstingets förhållningsätt i dessa frågor. All personal ska genomgå den webbaserade utbildningen Sekretess och Tystnadsplikt. Personal som tilldelas behörighet till elektroniskt system med patientuppgifter ska även genomgå utbildningen Behörighet och Dataintrång. I Patientdatalagen (2008:355) 4 kap 1 regleras rätten till direktåtkomst i vårdregister. Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården. I 2 kap 20 Socialstyrelsens föreskrifter (SOSFS 2008:14) regleras informationshantering och journalföring i hälso- och sjukvården. Den hälso- och sjukvårdspersonal, entreprenör, uppdragstagare eller annan som arbetar för en vårdgivare eller som har slutit avtal med en vårdgivare ska 1) ansvara för att personliga lösenord och hjälpmedel för autentisering inte kan bli tillgängliga för obehöriga, 2) ansvara för att datorer och andra informationsbärare som har använts inte lämnas utan att patientuppgifterna är skyddade från obehörig åtkomst, och 3) endast ta del av patientuppgifter, om han eller hon deltar i vården av patienten eller av något annat ändamål som anges i 2 kap 4 och 5 Patientdatalagen (2008:355) behöver uppgifterna för sitt arbete inom hälso- och sjukvården. 4. Stickprovskontroller av loggar Verksamhetschef ansvarar för att loggningskontroller genomförs systematiskt och regelbundet, minst en gång per månad. Resultatet av kontrollerna ska dokumenteras. Se Rutin för kontroll av åtkomst till patientuppgifter. 5.. Åtgärder vid konstaterat dataintrång Vid misstanke om dataintrång ansvarar verksamhetschef för loggningskontroll, utredning och polisanmälan. 5.1 Utredning De faktiska omständigheterna kring förseelsen ska utredas inom förvaltningen. Verksamhetschefen kontaktar förvaltningens personalfunktion som stödjer linjeorganisationen i utredningen, samordnar kontakter med säkerhetsenhet, chefsläkare, fackliga organisationer m.fl. Förvaltningens personalfunktion stödjer också verksamhetschefen i de arbetsrättsliga bedömningarna. Som stöd i processen finns informationssäkerhetsansvarig, landstingsjuristen, personaldirektören och säkerhetschefen. När utredning är gjord ska arbetstagaren konfronteras med utredningsmaterialet och få möjlighet att yttra sig och förklara det som hänt. 2

5.2 Straffrättsliga åtgärder Polisanmälan Konstaterat dataintrång ska som huvudregel alltid polisanmälas av verksamhetschefen. Arbetsgivaren lämnar då över till annan myndighet att avgöra om brott har begåtts. 5.3 Arbetsrättsliga åtgärder Alla arbetsrättsliga åtgärder ska föregås av kontakt med berörd förvaltnings personalfunktion och berörd personalorganisation. Vid den arbetsrättsliga bedömningen kan man till exempel ta hänsyn till motivet till intrånget, förekomsten av hotbild för patienten, hur uppgifterna sprids och graden av kränkning för patienten. Dataintrång som sker i ekonomiskt syfte, som medför att hotad persons identitet röjs med risk för personskada kan medföra avsked/uppsägning och anmälan görs till Socialstyrelsen. Dataintrång som skett i begränsat utbildningssyfte utan att någon spridning skett, bör medföra att personen skriftligen informeras om gällande regler men ytterligare arbetsrättsliga åtgärder får underlåtas. Patienten ska dock alltid underrättas oavsett bedömningen. Skriftlig varning Dataintrång är ett brott och kan följas av disciplinpåföljd i form av skriftlig varning, Allmänna bestämmelser (AB) 11 mom. 1. Innan disciplinpåföljd avgörs ska berörd arbetstagare ges tillfälle att yttra sig och lokal arbetstagarorganisation underrättas om den tilltänkta åtgärden. Organisationen har rätt till överläggning i frågan, AB 11 mom. 3. Disciplinförfarande får inte inledas eller fortsätta om förseelsen är polisanmäld, AB 11 mom. 2. Om polis eller åklagare avskriver ärendet eller om arbetstagaren frikänns på grund av att gärningen visserligen har begåtts men inte är brottslig, kan disciplinpåföljd trots det komma ifråga. Avstängning Förfarandet kring avstängning regleras i AB 10. Avstängning är en tillfällig åtgärd under utredning eller i avvaktan på att arbetsgivaren tar ställning till ett eventuellt beslut om disciplinpåföljd, uppsägning, av- skedande, polisanmälan, omplacering, förflyttning eller annan åtgärd. Landstinget Sörmland har möjlighet att stänga av en arbetstagare om denne på sannolika skäl är misstänkt för eller bevisligen skyldig till svårare fel eller försummelse i arbetet, brott som kan medföra fängelse eller svårare förseelse utom anställning. Dataintrång är ett brott som kan medföra böter eller fängelse. Avstängning får ske för högst 30 kalenderdagar i sänder. Utreder polis- eller åklagarmyndighet förseelsen gäller dock avstängningen till dess beslut i åtalsfrågan eller lagakraftvunnen dom meddelats. 3

Förhandlingsskyldighet enligt 11 Medbestämmandelagen (MBL) finns vid längre avstängning än tillfällig. Uppsägning/avsked Arbetsgivaren kan även efter en anmälan till polis inleda eller fortsätta en arbetsrättslig utredning för att klarlägga om det finns grund för uppsägning eller avskedande. Om arbetstagaren nekar till brott kan arbetsgivaren varsla och underrätta enligt 30 Lagen om anställningsskydd (LAS) men vänta med uppsägning eller avsked till dess brottsligheten har prövats av domstol. Om arbetstagaren erkänner brottet, måste arbetsgivaren inom två månader efter kännedom om erkännandet åberopa brottet som grund för uppsägning eller avsked enligt 7 och 18 LAS. Fattas beslutet om skriftlig varning innan anställningen har upphört kan beslutet verkställas därefter. Motsvarande gäller under uppsägningstid för händelse som har inträffat före uppsägningen. Förtroendemissbruk Dataintrång är olagligt men är också att betrakta som ett missbruk av förtroende där Landstinget Sörmland visat förtroende för sina arbetstagare som sedan utnyttjar detta för egen vinning och till skada för ar- betsgivaren. En förutsättning för att arbetsgivaren vid förtroendemissbruk ska kunna avskeda/säga upp arbetstagaren är att denne är medveten om att arbetsgivaren inte accepterar beteendet. 5.4 Information till patient Vid konstaterat dataintrång ska alltid patienten/målsäganden underrättas om att dataintrång har skett. Den enskilde kan välja att själv polisanmäla händelsen, begära skadestånd av den som begått handlingen eller att väcka så kallat enskilt åtal. 6. Dokumenthänvisning Användarinstruktioner för olika vårdsystem Förhållningssätt vid misstänkt brottslighet i Landstinget Sörmland, Förhållningssätt vid misstänkt brottslighet i Landstinget Sörmland Rutin vid misstanke om otillbörlig åtkomst Rutin för kontroll av åtkomst till patientuppgifter Rutin för styrning av behörigheter i vårdsystem ELLSA Effektivt lärande i Landstinget Sörmland, e-utbildningarna, Sekretess och Tystnadsplikt/Behörighet och Dataintrång. 4

7. Exempel Exempel 1 En anställd går in i sitt barnbarns patientjournal och uppger vid utredningen att orsaken till läsandet i journalen varit oro och omsorg om barnbarnet. Enligt en av vårdnadshavarna har uppgifter från patientjournalen använts i samband med en vårdnadstvist, vilket påverkat vårdnadstvistens utgång. Tittandet i journalen utgör dataintrång och utlämnandet av uppgifterna utgör sekretessbrott. Observera att även om uppgifterna inte förs vidare har den anställde gjort sig skyldig till dataintrång. Exempel 2 En anställd inhämtar uppgifter ur en journal och diskuterar dessa på bussen hem med annan anställd. Någon som hört samtalet sprider uppgifterna till pressen, som publicerar i skandaliserande syfte. Inhämtandet av uppgifterna utgör dataintrång och utlämnandet av uppgifterna utgör ett sekretessbrott. Handlingen kan innebära att patientens yrkesmässiga karriär skadas och patienten lider också en ekonomisk skada av publiceringen. Exempel 3 En anställd inhämtar uppgifter från en patientjournal och sprider utan ont uppsåt uppgifterna i bekantskapskretsen. Det finns en hotbild och patienten har en skyddad adress. Tittandet i journalen innebär att dataintrång skett. Patienten är kränkt och känner rädsla för att hennes uppehållsort blir känd av personer som hotar henne. Hon känner ett minskat förtroende för sjukvården och drar sig för att söka vård, eftersom det kan innebära risker för henne. Exempel 4 En anställd tar ut uppgifter från en patientjournal och använder dessa i en rättegång, där den anställde är åtalad för brott mot patienten. Den anställde har tidigare haft en vårdrelation till målsäganden/patienten, men relationen är avslutad när den vårdanställde går in i journalsystemet och inhämtar journaluppgifter. Inhämtandet av uppgifter utgör således dataintrång. När uppgifterna sedan används i rättegången innebär det ett utlämnande av journaluppgifter utanför det inre sekretessområdet. (Ett utlämnande förutsätter att en av följande tre förutsättningar; lagstöd, menprövning eller patientens medgivande). Varken åklagare eller domstol har begärt att få ut journaluppgifterna dvs. lagstöd saknas. Uppgifterna är till men för patienten och någon sekretessprövning vid utlämnandet har inte skett. Patientens medgivande saknas. Utlämnandet är således ett sekretessbrott och strider mot 25 kap 1 Offentlighets- och sekretesslagen. 5

Exempel 5 En sjuksköterska uppmanas av sin närmaste chef att i utbildningssyfte titta i andra journaler för att jämföra och lära sig hur man dokumenterar på ett korrekt sätt. Domstolen bedömde att gärningen utgjorde dataintrång även om gärningsmannen själv inte klassificerat sitt konkreta handlande som olovligt. Tingsrätten dömde till straffrättsligt ansvar. Hovrätten friade därför att sjuksköterskan hade en underordnad ställning och den felaktiga uppfattningen om hur journaler fick användas var spridd i organisationen i icke ringa omfattning. Uppföljning av patientärenden utan vårdsyfte när vårdrelationen är avslutad förutsätter att patientens samtycke inhämtats, eller att en skriftlig rutin finns upprättad av verksamhetschefen, innebärande rutinmässig uppföljning av patientärenden som ett led i kvalitetssäkringsarbetet. Av rutinen ska syfte och bakgrund med uppföljningen beskrivas. Exempel 6 En sjuksköterska tittar i sin egen journal för att ta reda på namnet på en medicin som hon inte kommer ihåg. Detta rubriceras som dataintrång. En patient har inte rätt att titta i sin egen journal utan att menprövning gjorts. 6