Loggningskontroll avseende personals åtkomst av elektroniska uppgifter i verksamhetssystemet Rutin för Äldreomsorgen, Individ- och familjeomsorgen, Funktionshinderverksamheten samt för privata utförare. Rutin för loggningskontroll av elektroniska uppgifter i verksamhetssystemet Sida 1
Ur Borås Stads Styr- och ledningssystem Verksamhetsorganisationen fastställer också de rutiner som krävs. Dessa ska beskriva hur och när olika händelser ska uträttas eller inträffa. Det ska framgå när rutinen senast reviderades, vem som har utarbetat den och vem som godkänt den Dokumentet framtaget av: Pernilla Carlén, Ann-Marie Lidberg, Catharina Hedén, Barbro Nilsson- Holmesten, Linda Bragde och Miriam Orlenius. Fastställt av och datum: Styrgrupp Äldreomsorg 2015-01-29 För revidering ansvarar: MAR/MAS/TÖS Reviderad: 2016-03-03 och beslutad av områdeschefer på kommungemensamt LSG Dokumentet gäller tills vidare Rutin för loggningskontroll av elektroniska uppgifter i verksamhetssystemet Sida 2
Inledning De sekretessbestämmelser som gäller vid behandling av personuppgifter inom socialtjänsten innebär ett mycket starkt skydd för personuppgifterna. Personuppgiftslagens regler, PuL, innebär att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna har samlats in, att de personuppgifter som behandlas skall vara adekvata och relevanta i förhållande till ändamålet med behandlingen. Fler personuppgifter än som är nödvändigt med hänsyn till ändamålet med behandlingen får inte behandlas, 9 1:sta st, punkterna d, e och f PuL. Behandling av personuppgifter är varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, 3 PuL. Syftet med personuppgiftslagen är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter, 1 PuL. Varje nämnd har ansvar att skydda de personuppgifter som behandlas inom den egna nämnden, 31 PuL. Endast den som är behörig har tillgång till uppgifterna och vem som har haft tillgång till uppgifterna ska gå att spåra i efterhand. Loggningskontroll skall regelbundet och systematiskt göras i syfte att förebygga, konstatera och beivra otillåten eller obefogad åtkomst till uppgifter ur det administrativa verksamhetssystemet. Det skall särskilt beaktas att personuppgifter som behandlas i systemet kan vara sekretessmarkerade genom folkbokföringsdatabasen, rutin skall finnas för hur dessa behandlas i det administrativa verksamhetssystemet. Loggrutinen ska ge möjlighet att särskilt kontrollera vilka som tagit del av information avseende sådan person. Systematisk loggning av personuppgifter Loggansvarig anställd på verksamhetssystemets support. Verksamhetssystemets support (servicedesk vård och omsorg) har ansvar för att loggar körs enligt rutin. En gång per månad körs totalt två loggar per förvaltning och för privata företag med lämplig fördelning på område 1, slumpmässigt utvalt datum vid varje tillfälle och period samt urval av personnummer. Loggarna körs på personer som är inskrivna inom Äldreomsorgen (ÄO), Individ och familjeomsorgen (IFO), Funktionshinderverksamheten (FH) Arbetslivsförvaltningen och/eller inom den kommunala hälso- och sjukvården i Borås Stad. I loggen går det att se typ av aktivitet, tidpunkt, personnummer på patient/brukare/klient, vilken vy som besökts och vad som gjorts där, vilken verksamhet, enhet och team, handläggare samt eventuell assistent, medhandläggare/medansvarig. Verksamhetssystemets support skapar loggarna på förvaltningsnivå och områdesnivå samt företagsnivå för att säkerställa att sekretessen bevaras. De numreras med förvaltning eller företag och ett löpnummer. De distribueras digitalt till den som förvaltningen eller företaget utsett skall vara loggmottagare på områdesnivå. Logglistan ska finnas ett förutbestämt datum som verksamhetssystemets support meddelat, varje månad. Loggmottagare i förvaltningen Det skall finnas en funktion/person utsedd i varje förvaltning på områdesnivå med ansvar för att ta emot loggar per område. Det kan innebära högst två loggmottagare i samma förvaltning. Loggmottagaren inom området tar emot loggarna digitalt och vidarebefordrar varje logg digitalt till den enhetschef som är ansvarig för den brukare/klient/patient som loggkörningen gäller. Enhetschefen ska kontrollera att den/de anställda som finns angivna på loggen har en vård/omsorgsrelation till brukaren och därmed behörighet att använda personuppgifterna. Rutin för loggningskontroll av elektroniska uppgifter i verksamhetssystemet Sida 3
Loggmottagaren inom området fyller i den digitala logglistan avseende vilka loggar som sänts och till vilka personer som varit mottagare på enhets/avdelnings nivå. Ansvarig chef i verksamheten/enhetschef Loggarna sänds till den enhetschef som har ansvar för den brukare som är berörd för vidare handläggning. Det innebär att kontrollera medarbetarens uppgifter mot behörighet. Det kan innebära att kontrollera tidsregistrering, arbetsschema och vård och omsorgsrelation till brukaren. Stämmer dessa, återsänds loggen till loggmottagaren med kommentar om resultat av kontrollen. Har en medarbetare överträtt sin behörighet skall åtgärder vidtas. Det innebär att kontakta personalenheten för fortsatt handläggning utifrån det personalrättsliga perspektivet. Överträdelsen skall också rapporteras som en risk för missförhållande(lex Sarah) och rutinen för rapportering av lex Sarah följs. Har brukare/klient/patient inte ett åtagande avseende insatser från Socialtjänstlagen rapporteras händelsen vidare som en risk för vårdskada enligt rutin till MAS/MAR. Det finns därmed flera olika åtgärder som skall vidtas när en medarbetare överträtt sina befogenheter. Se nedan en illustration hämtad från Socialstyrelsens handbok, bestämmelserna om lex Sarah. Samma handläggning gäller för lex Maria. Loggmottagare och ansvarig chef på privat företag Det skall finnas en funktion/person utsedd i företaget med ansvar för att ta emot loggar. Loggmottagaren tar emot loggarna digitalt. Om loggmottagaren är en annan person än ansvarig chef för den brukare/klient/patient som loggkörningen gäller ska loggarna vidarebefordras digitalt till den ansvariga. Chefen ska kontrollera att den/de anställda som finns angivna på loggen har en vård/omsorgsrelation till brukaren och därmed behörighet att använda personuppgifterna. Loggmottagaren fyller i den digitala logglistan avseende vem/vilka personer som mottagit loggarna på företaget. Genomgång av loggarna innebär att kontrollera medarbetarens uppgifter mot behörighet. Det kan innebära att kontrollera tidsregistrering, arbetsschema och vård och omsorgsrelation till brukaren. Stämmer dessa, återsänds loggen till loggmottagaren med kommentar om resultat av kontrollen. Har en medarbetare överträtt sin behörighet skall åtgärder vidtas. Det innebär att personalansvarig chef arbetar vidare utifrån det personalrättsliga perspektivet. Överträdelsen skall också rapporteras som en risk Rutin för loggningskontroll av elektroniska uppgifter i verksamhetssystemet Sida 4
för missförhållande(lex Sarah) och rutinen för rapportering av lex Sarah följs. Har brukare/klient/patient inte ett åtagande avseende insatser från Socialtjänstlagen rapporteras händelsen vidare som en risk för vårdskada enligt rutin till MAS/MAR. Det finns därmed flera olika åtgärder som skall vidtas när en medarbetare överträtt sina befogenheter. Se nedan en illustration hämtad från Socialstyrelsens handbok, bestämmelserna om lex Sarah. Samma handläggning gäller för lex Maria. Arkivering När loggen är kontrollerad av ansvarig enhetschef eller chef i privat företag för brukaren/klienten/patienten återsänds den till loggmottagaren som diarieför och arkiverar logglistan. Loggkörningar vid fördjupad granskning, vid behov eller vid misstanke om överträdelse/dataintrång Extra loggkörning Aktivitet per användare Det finns urvalsmöjligheter för att kunna söka aktiviteter i aktivitetsloggen som har att göra med att söka information om en person på utvalda eller alla användare. Sökningen sker på verksamhet, enhet, team, handläggare och assistent som hämtas från handläggningshistoriken för tiden då aktiviteten inträffade. Beställa en extra loggkörning kan göras vid misstanke om överträdelse av något slag. Denna kan beställas av funktioner med delegation för detta, till exempel ansvariga chefer, MAS/MAR/TÖS, rättshandläggare eller stadsjurist eller av brukaren själv. Rutin för loggningskontroll av elektroniska uppgifter i verksamhetssystemet Sida 5
Aktivitet per personnummer Kan köras på ett specifikt personnummer, vid en speciell tidpunkt och specifika aktiviteter Loggning på personnummer görs på myndighetssidan SoL/LSS/BAB och IFO. Vidare görs det även på verkställighet för SoL/LSS/HSL samt för utförare IFO i Viva UTF. Kan inte köras på Viva FAR/SAM då personnummer inte registreras där. Loggen får där istället köras per användare. Aktivitet per ärende Kan köras vid behov på en specifik klients personnummer inom IFO. Ärendegranskning Kan köras vid behov på ett förutbestämt antal ärenden på enheter inom IFO. Loggning på aktivitet kan ske för den senaste veckan, månaden, kvartalet, tertialen eller året. En samlad slumpmässigt utvald loggningen kan också ske på enstaka eller flera ärenden. Kontokontroll Kan köras vid behov. Söker dubbletter av följande kontotyper: Bankkonto, Personnummer (SUS), Plusgiro, Bankgiro. Kontrollerar av alla betalningar och alla konton. Varje post i filen hänvisar till en betalning utförd på ett konto som använts till utbetalningar till andra registerhållare (i andra ärenden). Bilaga Logglista som ifylls av loggmottagare i förvaltningen och ansvarig enhetschef Bilaga Kommunikationsplan Rutin för loggningskontroll av elektroniska uppgifter i verksamhetssystemet Sida 6