Landstingsstyrelsens beslut



Relevanta dokument
Landstingsstyrelsens beslut

Riktlinjer avseende åtgärder vid dataintrång

Dataintrång - åtgärder vid misstanke om olovlig åtkomst

Hur får jag använda patientjournalen?

Sekretess och tystnadsplikt

Rutin för loggning av HSL-journaler samt NPÖ

Sekretess, lagar och datormiljö

Logghantering för hälso- och sjukvårdsjournaler

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem

Riktlinje för informationshantering och journalföring

KVALITETSSYSTEM Socialförvaltningen

Kändisspotting i sjukvården

Riktlinjer för logghantering, kontroll och åtkomst enligt Patientdatalagen (PDL) och SOSFS 2008:14 (Vodok och NPÖ)

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun.

Monitorerares tillgång till Cosmic vid kliniska prövningar

Tillämpningsanvisningar för tillgång till och utlämnande av patientinformation

MAS Kvalitets HANDBOK för god och säker vård

Rutin för loggkontroll av åtkomst till hälso- och sjukvårdsdokumentation

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Rutin för loggkontroll och tilldelning av behörigheter i nationell patientöversikt (NPÖ) Rutinen gäller från fram till

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA

Riktlinjer för informationshantering och journalföring i hälso- och sjukvården i särskilt boende i Solna kommun

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Informationshantering och journalföring. nya krav på informationssäkerhet i vården

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

RIKTLINJE NATIONELLA PATIENT ÖVERSIKTEN (NPÖ)

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Riktlinjer för samtal med medarbetare beträffande loggranskning

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Stadsdelsnämnden godkänner förvaltningens tjänsteutlåtande som svar på skrivelsen. Leif Spjuth stadsdelsdirektör Ulla Cadwalader personalchef

Riktlinjer för hälso- och sjukvårdsdokumentation

4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun

Dokumentation och sekretess hos de medicinska delarna av elevhälsan Skolsköterskekongress 2012

Rutin för loggkontroll av åtkomst till hälso- och sjukvårdsdokumentation

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tystnadsplikt och sekretess i vården

Informationssäkerhet med logghantering och åtkomstkontroll av hälso- och sjukvårdsjournaler i Vodok och nationell patientöversikt (NPÖ)

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) 4 kap. patientdatalagen m.m.

[7] TILLÄMPNINGSOMRÅDE Rutinen gäller för hälso- och sjukvårds dokumentation enligt patientdatalagen

Patientdatalagen (PdL) och Informationssäkerhet

Riktlinjer för dokumentation och informationshantering inom hälsooch sjukvårdens område i Nyköpings kommun

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Det föreslagna beslutet medför inga kända ekonomiska konsekvenser för kommunen.

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Hälso- och sjukvårdsdokumentation

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Patientdatalagen. Juridik- och Upphandlingsstaben

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

ORGANISATIONSNUMMER: ADRESS: NORDENSKIÖLDSGATAN 14, GÖTEBORG

Sekretess i vården. Lars-Olof Tobiasson

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Riktlinjer för Informationshantering och journalföring i Hälso- och sjukvården. Norra närvårdsområdet Skaraborgs kommuner

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Sammanhållen journalföring 6 kap. patientdatalagen

Informationssäkerhet i patientjournalen

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Riktlinjer för informationshantering och journalföring i hälso- och sjukvården i särskilt boende i Solna kommun

Hantering av loggkontroller och intrång i journal- och passagesystem

Frågor och svar om sexuella övergrepp inom Svenska kyrkan

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Aktiva Val. Journalfilter i TakeCare

Hur kan vi arbeta med sekretessen på familjecentralen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Tillsyn - äldreomsorg

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post

Handläggningsordning för anmälan till personalansvarsnämnden. Fastställd av rektor

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

LOA Lag om offentlig anställning

Svensk författningssamling

MAS Riktlinje för logghantering gällande hälso- och sjukvårdsjournaler

Vägledande rutin för chefer om kontroll av hur arbetstagare använder kommunens IT-utrustning och ITresurser

Lag (1994:260) om offentlig anställning

Åtkomst till patientuppgifter

Sammanhållen journalföring

1(12) Dokumentation inom SoL, LSS och HSL. Styrdokument

Orosanmälan till socialtjänst vid misstanke om att barn far illa

Handläggningsordning för personalansvarsnämnden på Mälardalens högskola

Utbildning ST del 2. Maria Funk. Landstinget i Östergötland. Landstingsjurist. tel: epost: maria.funk@lio.se

Anvisning för e-tjänsten Journal via nätet

Riktlinjer för försäkringsföretagens utredningsverksamhet

AVTAL OM SAMMANHÅLLEN JOURNALFÖRING

Tillgång till patientuppgifter - krav på spärrar och aktiva val. Katja Isberg Amnäs Magnus Bergström Datainspektionen

HÄLSO- OCH SJUKVÅRDSDOKUMENTATION SAMT BEHANDLING AV PERSONUPPGIFTER

Loggrutin för Socialtjänsten, Karlsborgs kommun

Hantering av barn- och skolhälsovårdsjournaler Ersätter: 2005:23

Rubrik: Lag (1994:260) om offentlig anställning. 1 I denna lag finns särskilda föreskrifter om arbetstagare hos

RUTIN FÖR SEKRETESS INOM SOCIALTJÄNSTEN

Tystnadsplikt och sekretess i vården

H A N D L Ä G G A R E D A T U M D I A R I E N R AVTAL OM SAMMANHÅLLEN JOURNALFÖRING

Transkript:

Landstingsstyrelsen PROTOKOLL DATUM DIARIENR 2010-04-27 LS-LED10-285 101 Riktlinjer avseende åtgärder vid dataintrång Landstingsstyrelsens beslut 1. Riktlinjer avseende åtgärder vid dataintrång godkänns. Ärendebeskrivning Som en del av säkerhetspolicyn och den kommande informationssäkerhetspolicyn har bifogade riktlinjer tagits fram. I riktlinjerna beskrivs hur personalen ska förhålla sig till elektroniskt förda sekretessbelagda uppgifter i personregister, i första hand information i patientjournaler. Vidare anges åtgärder vid olovlig tillgång till sådana uppgifter, s.k. dataintrång. Riktlinjerna kompletteras av BMS rutinhandbok, Förhållningssätt vid misstänkt brottslighet i Landstinget Sörmland, Rutin vid misstanke om otillbörlig åtkomst, Rutin för kontroll av åtkomst till patientuppgifter samt information till anställda. Bilagor Riktlinjer avseende åtgärder vid dataintrång Protokollsutdrag till Samtliga förvaltningar Akten Landstinget Sörmland Repslagaregatan 19 611 88 Nyköping Fax 0155-28 91 15 Tfn 0155-24 50 00 E-post landstinget.sormland@dll.se ORG NR 232100-0032 Y:\Alla\Processer\Administration\Politiskt stöd\ls\2010\(04) April\ 101 Riktlinjer dataintrång\ 101 riktlinjer DATAINTRÅNG.doc Utskriftsdatum: 2010-05-24 SID 1(1) 15:45

Bilaga LS 101/10 DATUM 2010-04-27 DIARIENR Riktlinjer avseende åtgärder vid dataintrång 1. Bakgrund Patiendatalagen reglerar rätten till direktåtkomst i vårdregister och offentlighets- och sekretesslagen sekretess inom Hälso- och sjukvården. Landstinget Sörmlands förmåga att uppfylla patientdatalagens krav på informationssäkerhet är avgörande för allmänhetens förtroende för vår verksamhet. Det är därför viktigt att riktlinjerna är kända för all personal. Informationssäkerheten är den samlade effekten av organisatoriska, administrativa och tekniska åtgärder för att skydda informationen mot hot. Säkerhetspolicyn och den kommande informationssäkerhetspolicyn gäller för all informationshantering i landstinget. Detta dokument kompletteras av BMS rutinhandbok, Förhållningssätt vid misstänkt brottslighet i Landstinget Sörmland, Rutin vid misstanke om otillbörlig åtkomst, Rutin för kontroll av åtkomst till patientuppgifter samt information till anställda. 2. Dataintrång Den som olovligen, med egen eller annans behörighet, tar del av uppgifter i personregister, t.ex. elektroniskt förda patientanteckningar och annan vårdinformation gör sig skyldig till dataintrång och kan dömas till fängelse eller böter i högst två år. Brottsbalken (1962:700) 4 kap 9c Den som i annat fall än som sägs i 8 och 9 olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Om uppgifterna förs vidare till annan kan dataintrång även medföra brott mot offentlighets- och sekretesslagen. Landstinget Sörmland Repslagaregatan 19 611 88 Nyköping Fax 0155-28 91 15 Tfn 0155-24 50 00 E-post landstinget.sormland@dll.se SID 1(7)

3. Ansvar Verksamhetschef inom respektive verksamhet är ytterst ansvarig för informationssäkerheten men all personal har ett egenansvar. Varje chef ska agera konsekvent och det ska stå klart för alla att Landstinget Sörmland inte tolererar olovliga sökningar. Cheferna ansvarar för att kontinuerligt informera om landstingets förhållningssätt i dessa frågor. I Patientdatalagen (2008:355) 4 kap 1 regleras rätten till direktåtkomst i vårdregister. Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården. I 2 kap 20 Socialstyrelsens föreskrifter (SOSFS 2008:14) regleras informationshantering och journalföring i hälso- och sjukvården. Den hälso- och sjukvårdspersonal, entreprenör, uppdragstagare eller annan som arbetar för en vårdgivare eller som har slutit avtal med en vårdgivare ska 1) ansvara för att personliga lösenord och hjälpmedel för autentisering inte kan bli tillgängliga för obehöriga, 2) ansvara för att datorer och andra informationsbärare som har använts inte lämnas utan att patientuppgifterna är skyddade från obehörig åtkomst, och 3) endast ta del av patientuppgifter, om han eller hon deltar i vården av patienten eller av något annat ändamål som anges i 2 kap 4 och 5 Patientdatalagen (2008:355) behöver uppgifterna för sitt arbete inom hälso- och sjukvården. 4. Stickprovskontroller av loggar Verksamhetschef ansvarar för att loggningskontroller genomförs systematiskt och regelbundet, minst en gång per månad. Resultatet av kontrollerna ska dokumenteras. Se Rutin för kontroll av åtkomst till patientuppgifter. SID 2(7)

5. Åtgärder vid konstaterat dataintrång Vid misstanke om dataintrång ansvarar verksamhetschef för loggningskontroll, utredning och polisanmälan. 5.1 Utredning De faktiska omständigheterna kring förseelsen ska utredas inom förvaltningen. Verksamhetschefen kontaktar förvaltningens personalfunktion som stödjer linjeorganisationen i utredningen, samordnar kontakter med säkerhetsenhet, chefsläkare, fackliga organisationer m.fl. Förvaltningens personalfunktion stödjer också verksamhetschefen i de arbetsrättsliga bedömningarna. Som stöd i processen finns landstingsjuristen, personaldirektören, säkerhetschefen och stabschefen D-data. När utredning är gjord ska arbetstagaren konfronteras med utredningsmaterialet och få möjlighet att yttra sig och förklara det som hänt. 5.2 Straffrättsliga åtgärder Polisanmälan Konstaterat dataintrång ska som huvudregel alltid polisanmälas av verksamhetschefen. Arbetsgivaren lämnar då över till annan myndighet att avgöra om brott har begåtts. 5.3 Arbetsrättsliga åtgärder Alla arbetsrättsliga åtgärder ska föregås av kontakt med berörd förvaltningens personalfunktion och berörd personalorganisation. Vid den arbetsrättsliga bedömningen kan man ta till exempel ta hänsyn till motivet till intrånget, förekomsten av hotbild för patienten, hur uppgifterna sprids och graden av kränkning för patienten. Dataintrång som sker i ekonomiskt syfte, som medför att hotad persons identitet röjs med risk för personskada kan medföra avsked/uppsägning och anmälan görs till Socialstyrelsen. Dataintrång som skett i begränsat utbildningssyfte utan att någon spridning skett, bör medföra att personen skriftligen informeras om gällande regler men ytterligare SID 3(7)

arbetsrättsliga åtgärder får underlåtas. Patienten ska dock alltid underrättas oavsett bedömningen. Skriftlig varning Dataintrång är ett brott och kan följas av disciplinpåföljd i form av skriftlig varning, Allmänna bestämmelser (AB) 11 mom. 1. Innan disciplinpåföljd avgörs ska berörd arbetstagare ges tillfälle att yttra sig och lokal arbetstagarorganisation underrättas om den tilltänkta åtgärden. Organisationen har rätt till överläggning i frågan, AB 11 mom. 3. Disciplinförfarande får inte inledas eller fortsätta om förseelsen är polisanmäld, AB 11 mom. 2. Om polis eller åklagare avskriver ärendet eller om arbetstagaren frikänns på grund av att gärningen visserligen har begåtts men inte är brottslig, kan disciplinpåföljd trots det komma ifråga. Avstängning Förfarandet kring avstängning regleras i AB 10. Avstängning är en tillfällig åtgärd under utredning eller i avvaktan på att arbetsgivaren tar ställning till ett eventuellt beslut om disciplinpåföljd, uppsägning, avskedande, polisanmälan, omplacering, förflyttning eller annan åtgärd. Landstinget Sörmland har möjlighet att stänga av en arbetstagare om denne på sannolika skäl är misstänkt för eller bevisligen skyldig till svårare fel eller försummelse i arbetet, brott som kan medföra fängelse eller svårare förseelse utom anställning. Dataintrång är ett brott som kan medföra böter eller fängelse. Avstängning får ske för högst 30 kalenderdagar i sänder. Utreder poliseller åklagarmyndighet förseelsen gäller dock avstängningen till dess beslut i åtalsfrågan eller lagakraftvunnen dom meddelats. Förhandlingsskyldighet enligt 11 Medbestämmandelagen (MBL) finns vid längre avstängning än tillfällig. Uppsägning/avsked Arbetsgivaren kan även efter en anmälan till polis inleda eller fortsätta en arbetsrättslig utredning för att klarlägga om det finns grund för uppsägning eller avskedande. SID 4(7)

Om arbetstagaren nekar till brott kan arbetsgivaren varsla och underrätta enligt 30 Lagen om anställningsskydd (LAS) men vänta med uppsägning eller avsked till dess brottsligheten har prövats av domstol Om arbetstagaren erkänner brottet, måste arbetsgivaren inom två månader efter kännedom om erkännandet åberopa brottet som grund för uppsägning eller avsked enligt 7 och 18 LAS. Fattas beslutet om skriftlig varning innan anställningen har upphört kan beslutet verkställas därefter. Motsvarande gäller under uppsägningstid för händelse som har inträffat före uppsägningen. Förtroendemissbruk Dataintrång är olagligt men är också att betrakta som ett missbruk av förtroende där Landstinget Sörmland visat förtroende för sina arbetstagare som sedan utnyttjar detta för egen vinning och till skada för arbetsgivaren. En förutsättning för att arbetsgivaren vid förtroendemissbruk ska kunna avskeda/säga upp arbetstagaren är att denne är medveten om att arbetsgivaren inte accepterar beteendet. 5.4 Information till patient Patienten ska informeras om sin rätt att anmäla misstanke om dataintrång till Hälso- och sjukvårdens ansvarsnämnd (HSAN). Bifoga blankett i samband med underrättelse eller ange var patienten får tag på en anmälningsblankett. Vid konstaterat dataintrång ska alltid patienten/målsäganden underrättas om att dataintrång har skett. Den enskilde kan välja att själv polisanmäla händelsen, begära skadestånd av den som begått handlingen eller att väcka så kallat enskilt åtal. 6. Dokumenthänvisning BMS rutinhandbok Förhållningssätt vid misstänkt brottslighet i Landstinget Sörmland, http://insidan.dll.se/pagefiles/18429/nr%205%20- %20Förhållningssätt%20vid%20misstänkt%20brottslighet%20in om%20landstinget%20sörmland.pdf SID 5(7)

Rutin vid misstanke om otillbörlig åtkomst, http://insidan.dll.se/sv/styrandedokument/halsosjukvardsstaben/rutin-vid-misstanke-omotillborlig-atkomst/ Rutin för kontroll av åtkomst till patientuppgifter, http://insidan.dll.se/pagefiles/31790/rutin%20f%c3%b6r%20k ontroll%20av%20%c3%a5tkomst%20till%20patientuppgifter.p df 7. Exempel Exempel 1 En anställd går in i sitt barnbarns patientjournal och uppger vid utredningen att orsaken till läsandet i journalen varit oro och omsorg om barnbarnet. Enligt en av vårdnadshavarna har uppgifter från patientjournalen använts i samband med en vårdnadstvist, vilket påverkat vårdnadstvistens utgång. Tittandet i journalen utgör dataintrång och utlämnandet av uppgifterna utgör sekretessbrott. Observera att även om uppgifterna inte förs vidare har den anställde gjort sig skyldig till dataintrång. Exempel 2 En anställd inhämtar uppgifter ur en journal och diskuterar dessa på bussen hem med annan anställd. Någon som hört samtalet sprider uppgifterna till pressen, som publicerar i skandaliserande syfte. Inhämtandet av uppgifterna utgör dataintrång och utlämnandet av uppgifterna utgör ett sekretessbrott. Handlingen kan innebära att patientens yrkesmässiga karriär skadas och patienten lider också en ekonomisk skada av publiceringen. Exempel 3 En anställd inhämtar uppgifter från en patientjournal och sprider utan ont uppsåt uppgifterna i bekantskapskretsen. Det finns en hotbild och patienten har en skyddad adress. Tittandet i journalen innebär att dataintrång skett. Patienten är kränkt och känner rädsla för att hennes uppehållsort blir känd av personer som hotar henne. Hon känner ett minskat förtroende för sjukvården och drar sig för att söka vård, eftersom det kan innebära risker för henne. SID 6(7)

Exempel 4 En anställd tar ut uppgifter från en patientjournal och använder dessa i en rättegång, där den anställde är åtalad för brott mot patienten. Den anställde har tidigare haft en vårdrelation till målsäganden/patienten, men relationen är avslutad när den vårdanställde går in i journalsystemet och inhämtar journaluppgifter. Inhämtandet av uppgifter utgör således dataintrång. När uppgifterna sedan används i rättegången innebär det ett utlämnande av journaluppgifter utanför det inre sekretessområdet. (Ett utlämnande förutsätter att en av följande tre förutsättningar; lagstöd, menprövning eller patientens medgivande). Varken åklagare eller domstol har begärt att få ut journaluppgifterna dvs. lagstöd saknas. Uppgifterna är till men för patienten och någon sekretessprövning vid utlämnandet har inte skett. Patientens medgivande saknas. Utlämnandet är således ett sekretessbrott och strider mot 25 kap 1 Offentlighets- och sekretesslagen. Exempel 5 En sjuksköterska uppmanas av sin närmaste chef att i utbildningssyfte titta i andra journaler för att jämföra och lära sig hur man dokumenterar på ett korrekt sätt. Domstolen bedömde att gärningen utgjorde dataintrång även om gärningsmannen själv inte klassificerat sitt konkreta handlande som olovligt. Tingsrätten dömde till straffrättsligt ansvar. Hovrätten friade därför att sjuksköterskan hade en underordnad ställning och den felaktiga uppfattningen om hur journaler fick användas var spridd i organisationen i icke ringa omfattning. Uppföljning av patientärenden utan vårdsyfte när vårdrelationen är avslutad förutsätter att patientens samtycke inhämtats, eller att en skriftlig rutin finns upprättad av verksamhetschefen, innebärande rutinmässig uppföljning av patientärenden som ett led i kvalitetssäkringsarbetet. Av rutinen skall syfte och bakgrund med uppföljningen beskrivas. Exempel 6 En sjuksköterska tittar i sin egen journal för att ta reda på namnet på en medicin som hon inte kommer ihåg. Detta rubriceras som dataintrång. En patient har inte rätt att titta i sin egen journal utan att menprövning gjorts. SID 7(7)

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss