Karlsborgs kommun Dokumenttyp: Rutin Diarienummer: 20/2014 Beslutande: Socialchef Antagen: 2014-03-01 Giltighetstid: Tillsvidare Dokumentet gäller för: Socialnämnden Dokumentansvar:
2 av 5 Bakgrund och syfte Enligt Socialstyrelsens föreskrift SOFS 2008:14 skall verksamheter som behandlar vårdtagarens uppgifter, i ett helt eller delvis automatiserat informationssystem ha en dokumenterad informationssäkerhetspolicy för kvalitet och patientsäkerhet. Det grundläggande syftet med en säkrare informationshantering och journalföring är att tillgodose vårdtagarens intresse av en god och säker vård samt rätt till integritet. Vårdgivaren skall därför ansvara för att det i informationssystemet enligt 11 finns rutiner som säkerställer att: Det i dokumentationen av åtkomsten (loggarna) framgår vilka åtgärder som har vidtagits med patientuppgifterna Det i loggarna framgår vid vilken vårdenhet och vid vilken tidpunkt åtgärderna har vidtagits Användarens och patientens identitet framgår av loggarna Systematiska och återkommande stickprovskontroller av loggarna görs Genomförda kontroller av loggarna dokumenteras samt att Loggarna sparas i minst tio (10) år Vårdgivaren skall även enlig föreskrifterna utse en eller flera personer som skall ansvara för säkerhetsarbetet. Denne skall minst vid ett tillfälle per år rapportera följande till vårdgivaren: Vilka större granskningar och skyddsåtgärder som har gjorts Vilka riskanalyser som gjorts avseende informationssäkerheten samt Vilka förbättringsåtgärder som har vidtagits Ansvar och genomförande Socialtjänstens är tillika loggansvarig Loggningsrutin Loggning sker i systemet vid följande tillfällen: Individuell stickprovskontroll Vid särskild händelse, på uppdrag av Enhetschef, MAS eller Socialchef Vid önskemål från vårdtagare/brukare Tillvägagångssätt Individuell stickprovskontroll 20 registrerade vårdtagare/brukare och 25 användare i MagnaCura väljs slumpmässigt ut under en ettårsperiod och loggas. Längden på loggarna är två (2) dagar för vårdtagare/brukare och mellan två (2) och fem (5) dagar för användare, den längre perioden gäller för användare som arbetar mindre i systemet, detta för att få ihop tillräckligt mycket material för analys. Undantagna från loggning är, Systemförvaltare samt medicinskt ansvarig sjuksköterska. I dessa yrkesroller ligger full behörighet samt roller som
3 av 5 support eller granskning av innehåll, vilket ger en ohanterlig och resultatlös loggningslista. Analys Vårdtagare/brukare Loggen sänds i pappersversion till enhetschefen för den utvalda vårdtagaren/brukaren. I loggen kontrolleras att endast avsedd och behörig personal har haft åtkomst till den enskildes vårdinformation. Enhetscefen skriver ner kommentarer om resultatet och vilka eventuella åtgärder som har vidtagits. Därefter signeras dokumentet av enhetschefen, se bil. Inom en vecka sänds formuläret tillbaka till tillsammans med logglistorna. Användare Loggen sänds i pappersversion till användarens närmaste chef för kontroll. I loggen kontrolleras att den granskade användaren har varit inloggad på vårdtagare/brukare enligt avsedd behörighet. Chefen skriver ner kommentarer om resultatet och ev åtgärder som har vidtagits. Därefter signeras dokumentet av enhetschefen, se bil. Inom en vecka sänds formuläret tillbaka till tillsammans med logglistorna. Åtgärd Upptäckt av missbruk rapporteras. Felaktig behörighet meddelas systemansvarig för justering. Vid oaktsamhet eller tydligt missbruk tilldelas en skriftlig varning och vid upprepad oaktsamhet eller uppsåtligt missbruk följs 20 kap om tjänstefel i Brottsbalken (1962:700). Åtgärd noteras ned i det bifogade formuläret. I de fall där en behörighet har missbrukats och åtgärden leder till varning eller uppsägning dokumenteras detta och blir en offentlig handling. Uppföljning sammanställer den inkomna loggningsdokumentationen, dvs pappersutskrifterna av loggarna samt bilagan med enhetschefens signatur och åtgärd. En gång per år rapporterar sedan till förvaltningschefen vilka granskningar och åtgärder av större betydelse som har gjorts samt eventuella förbättringsåtgärder. Lagring Den samlade pappersdokumentationen, logglistor, bilaga samt annat material som rör en specifik logg arkiveras i tio (10) år på avsett ställe. Dokumentationen gallras efter gällande plan. Digitala kopior Loggarna sparas digitalt i MagnaCura till dess att de rensas. Rekommenderad tid är 2 år för att sedan raderas av systemansvarig. IT-avdelningen säkerhetskopierar enilgt kommunens IT-standard. Särskild händelse Vid misstanke om otillåten åtkomst av sekretessbelagda uppgifter kontaktar närmsta chef förvaltningschefen om loggning skall ske och för vidare diskussion om lämplig åtgärd. Dokumentationen skall sedan sändas till för sedvanlig arkivering. I de fall där en behörighet har missbrukats och åtgärden leder till en varning eller uppsägning dokumenteras detta och blir en offentlig handling. Önskemål från vårdtagare/klient/brukare Loggningsansvarig tar vid förfrågan ut logg till enskild när denne önskar se vilka som har haft åtkomst till dennes journal och övrig dokumentation. Uppgifter om utlämnande skall antecknas i personakten.
4 av 5 Bilaga 1 Följebrev till ansvarig chef Loggning Magna Cura Enligt 4 kap 3 Patientdatalagen (2008:355) är vi skyldiga att genomföra loggningar/kontroller för att säkerställa att de som använder Magna Cura gör det på rätt sätt. Fem gånger per år väljer vi slumpmässigt ut en vårdtagare och loggar vilka personer som varit inne och tagit dela av dokumentationen kring en viss vårdtagare/brukare/klient under en två-veckors-period. Detta för att kontrollera att endast personer som har en yrkesrelaterad relation med den enskilde återfinns i loggkontrollen. Du som chef får här en förteckning/logg över din/dina medarbetare som varit inne på en specifik vårdtagare under perioden XXXXXX-XXXXXX Detta ska godkännas av dig utifrån bestämmelserna i Offentlighets- och sekretesslagen (2009:400) samt Patientdatalagen. Kontrollera att personen/rna har behövt personuppgifterna för att kunna utföra sitt arbete; att personen/rna hade en yrkesrelaterad relation med den enskilde under aktuell period. Kryssa i rutan och skriv under med ditt namn samt datum nedan. Skicka tillbaka den undertecknade blanketten till mig tillsammans med logglistan. Hör gärna av dig om du har några frågor Med vänlig hälsning Pernilla Ekstrand 0505-171 37 Ο Jag har kontrollerat bifogade logglistor. Datum och namnteckning Namnförtydligande
5 av 5 Bilaga 2 Följebrev till medarbetare Loggning Magna Cura Enligt 4 kap 3 Patientdatalagen (2008:355) är vi skyldiga att genomföra loggningar/kontroller för att säkerställa att de som använder Magna Cura gör det på rätt sätt. Vi genomför totalt 11 loggningar per år och urvalet sker slumpmässigt. Den här gången har du,nn, blivit utvald. Här är en förteckning/logg över de bilder/sidor du varit inne på i Magna Cura under v XX. Att vara inloggad i MagnaCura är en del av Dina arbetsuppgifter då Du i och med Din anställning har en skyldighet att föra dokumentation gällande de vårdtagare/brukare som Du arbetar intill. Du skall kontrollera att du arbetat dessa dagar, för att säkerställa att det är just du som varit inloggad vid dessa tillfällen. Syftet är alltså att kontrollera att ingen annan använt din inloggning, eftersom inloggningen är personlig och inte får lånas ut. Om listorna är tomma betyder det att du inte varit inloggad under perioden. Kryssa i rutan och skriv under med ditt namn samt datum nedan. Skicka tillbaka påskriven blankett till mig tillsammans med logglistorna. Om listan är tom skriver du varför du inte varit inloggad, exempelvis om du var sjuk eller ledig under den vecka loggningen gjordes. Har Du några frågor är Du välkommen att höra av Dig till mig Tack för hjälpen Vänliga hälsningar Pernilla Ekstrand 0505-171 37 Ο Jag har kontrollerat bifogade logglistor. Datum och namnteckning Namnförtydligande