Informationssäkerhet en patientsäkerhetsfråga Maria Jacobsson Socialstyrelsen
Syftet med patientdatalagen tillgodose patientsäkerhet och god kvalitet samt främja kostnadseffektivitet patienters och övriga registrerades integritet respekteras obehöriga ska inte få tillgång till patientuppgifter 1 kap. 2 PDL
Syftet med en patientjournal..bidra till en god och säker vård av patienten...en informationskälla för patienten uppföljning och utveckling av verksamheten, tillsyn och rättsliga krav, uppgiftsskyldighet enligt lag, samt forskning 3 kap. 2 PDL
Informationssäkerhet = patientsäkerhet
Hur står det då till med informationssäkerheten i vården?
Analys LexMaria 2009 Brister i diagnostik och fel vid läkemedelsbehandling Bristande informationsöverföring och kommunikation Brister när det gäller datateknik, dokumentation eller andra IT-relaterade problem orsakade under perioden 51 lex Maria-anmälningar. I fem av dessa fall hade patienten avlidit.
Samtliga lex Maria-anmälningar 2010 Identifierar ett hundratal anmälningar där IT på olika sätt orsakat skada eller risk för patienternas säkerhet Exempel: En vecka utan tillgång till journalsystemet. Fel dos räknas fram för mediciner. Pågående hjärtbehandling störs av IT-driftsproblem I cirka 30 procent av anmälningarna har incidenterna medfört allvarlig skada eller sjukdom. Undersökning av konsultföretaget Transcendent Group
Vad såg tillsynen 2011? Informationssäkerhetspolicyn saknas eller används inte Vårdgivarna får inga lägesrapporter Journalsystemen förändras utan tillräckliga krav på säkerhet Verksamheten har dålig beredskap för störningar Vårdgivarna har för lite kontroll över personalens behörigheter Verksamhetschefernas ansvar är otydliga
En översyn av SOSFS 2008:14 en mer komplett normering Tydliggöra vårdgivarens ansvar för säker upphandling, införande, användning, kontinuitetsplanering, utveckling och utfasning Förtydliga kraven på en ändamålsenlig och strukturerad dokumentation gemensam informationsstruktur Öka bevarandetid för tandvårdsjournaler Harmonisering med SOSFS 2011:9 Färdiga i augusti 2013
Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av patientuppgifter i hälso- och sjukvården; 1 kap. Tillämpningsområde och definitioner 2 kap. Ledningssystem 3 kap. Vårdgivarens ledningssystem för informationssäkerhet 4 kap. Vårdgivarens informationssystem 5 kap. Vårdgivarens ansvar för åtkomst till patientuppgifter 6 kap. Vårdgivarens ansvar för en ändamålsenlig och strukturerad journalföring 7 9 kap
3 kap. Vårdgivarens ledningssystem för informationssäkerhet Ledningssystem för informationssäkerhet 1 Vårdgivaren ska ansvara för att det i verksamhetens ledningssystem för systematiskt kvalitetsarbete ingår ett ledningssystem för informationssäkerhet som säkerställer att 1. patientuppgifter i vårdgivarens dokumentation är åtkomliga och användbara för den som är behörig (tillgänglighet), 2. patientuppgifterna är oförvanskade (riktighet), 3. obehöriga inte ska kunna ta del av patientuppgifterna (sekretess), och 4. det i sådana informationssystem som är helt eller delvis automatiserade är möjligt att i efterhand entydigt kunna härleda åtgärder till en identifierad användare (spårbarhet). Allmänna råd Följande svenska standarder för informationssäkerhet bör användas då ledningssystemet byggs upp: Ledningssystem för informationssäkerhet Krav (SS-ISO/IEC 27001:2006 fastställd 2006-01-19), Riktlinjer för styrning av informationssäkerhet (SS-ISO/IEC 27002:2005 fastställd 2005-08-12).
3 kap. Vårdgivarens ledningssystem för informationssäkerhet Patientsäkerhetsberättelsen 7 Enligt 3 kap. 10 patientsäkerhetslagen (2010:659) ska vårdgivaren senast den 1 mars varje år upprätta en patientsäkerhetsberättelse. Patientsäkerhetsberättelsen ska utöver vad som anges i patientsäkerhetslagen innehålla uppgifter om 1. uppföljningar och förbättringsåtgärder av större betydelse som har gjorts enlighet med ledningssystemet för informationssäkerhet, 2. risk- och sårbarhetsanalyser som har utförts avseende informationssäkerheten samt resultatet från dessa, 3. vilka händelser som till följd av användningar av informationssystem som hanterar patientuppgifter har medfört eller hade kunnat medföra vårdska som har förekommit i verksamheten under året, 4. resultatet från test avseende tillförlitligheten av skydd mot olovlig åtkoms vårdgivarens datornätverk och informationssystem som hanterar patientuppgifter, och 5. resultatet från egenkontrollen av hur dokumentationen i patientjournalern görs och hur patientuppgifter hanteras.
4 kap. Vårdgivarens informationssystem Upphandling och utveckling av informationssystem Kontinuitetsplanering Säkerhetskopiering av patientuppgifter Fysiskt skydd av informationssystem Användning av öppna nät Användning av flyttbart medium för automatiserad behandling
6 kap. Vårdgivarens ansvar för en ändamålsenlig och strukturerad journalföring identifiera, beskriva och fastställa de vårdprocesser som behövs för att erbjuda en god och säker vård journalföringen är strukturerad så att den utgår från de fastställda vårdprocesserna i de informationssystem som hanterar patientuppgifter använda de termer som är publicerade i Socialstyrelsens termbank. de vårdgivare som använder Snomed CT ska använda den gällande versionen, som finns publicerad på Socialstyrelsens webbplats använda de klassifikationer och andra kodverk som Socialstyrelsen kräver för rapportering till hälsodataregister.
Välkommen att ställa frågor i Levande verkstad