Styrning av behörigheter

Relevanta dokument
IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Granskning av behörigheter till journalsystemet

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Granskning av patientnämnden

Egenkontroll avseende riskhantering

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen

Informationshantering och journalföring. nya krav på informationssäkerhet i vården

Revisionsrapport egenkontroll avseende riskhantering fungerar egenkontrollen med verktyget RH-check på ett tillfredsställande sätt?

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun.

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun

Riktlinje för informationshantering och journalföring

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Kontroll av anställdas bisysslor

Hur gör vi action av juridiken

I Central förvaltning Administrativ enhet

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Kundfordringar en uppföljande granskning

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillgång till patientuppgifter - krav på spärrar och aktiva val. Katja Isberg Amnäs Magnus Bergström Datainspektionen

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Informationssäkerhet i patientjournalen

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Granskning av anställningar och avslut i lönesystemet och tilldelning av behörigheter till dokumentationssystem

Informationssäkerhet en patientsäkerhetsfråga. Maria Jacobsson Socialstyrelsen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) 4 kap. patientdatalagen m.m.

BESLUT. Ärendet Egeninitierad verksamhetstillsyn av vårdgivarens informationssäkerhet

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Privata vårdgivare förstudie

Hur skyddas patientens integritet? Vad säger lagar och författningar och hur fungerar det?

PM 2015:127 RVI (Dnr /2015)

Granskning av landstingets hantering av personuppgifter

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen

Revisionsrapport Granskning av kontroll av anställdas bisysslor. Landstingsstyrelsen tillstyrker landstingsfullmäktige BESLUTA

Revisionsrapport Kommunala kontokort Haparanda stad Bo Rehnberg Cert. kommunal revisor Martin Gandal

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Patientbemötande i vården. Landstinget i Östergötland. Revisionsrapport. Datum

Ledningssystem för systematiskt kvalitetsarbete SOSFS 2011:9

IT-säkerhet Externt och internt intrångstest

Patientdatalagen. Juridik- och Upphandlingsstaben

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Logghantering för hälso- och sjukvårdsjournaler

Patientdatalagen (PdL) och Informationssäkerhet

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

IT-säkerhet Internt intrångstest

Informationsöverföring. kommunikation med landstinget - uppföljande granskning

Sekretess, lagar och datormiljö

Journalföring i specialistvården

Avvikelsehantering och kunskapsåterföring - uppföljning

Riktlinjer för logghantering, kontroll och åtkomst enligt Patientdatalagen (PDL) och SOSFS 2008:14 (Vodok och NPÖ)

Journalföring. Revisionsrapport. LANDSTINGETS REVISORER Revisionskontoret

Generella IT-kontroller uppföljning av granskning genomförd 2012

Tillsyn - äldreomsorg

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Granskning av miljö- och hälsoskyddsnämndens interna kontroll avseende faktureringsrutiner

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Temagranskning Patientsäkerhet - sammanfattande rapport. Region Västmanland

Håbo kommuns förtroendevalda revisorer

Riktlinjer för dokumentation och informationshantering inom hälsooch sjukvårdens område i Nyköpings kommun

LANDSTINGET I VÄRMLAND Revisionskontoret Johan Magnusson. Bisysslor förstudie. Rapport 10-16

Revisionsrapport Miljöarbetet inom Region Östergötland

Granskning år 2015 av patientnämnden

Riktlinjer för informationshantering och journalföring i hälso- och sjukvården i särskilt boende i Solna kommun

Karolinska Universitetssjukhuset i Stockholm. Verksamhetstillsyn tillsyn av vårdgivarens informationssäkerhet

Journalföring i tandvården. Revisionsrapport. LANDSTINGETS REVISORER Revisionskontoret

Rätt intäkter - uppföljning

Folktandvårdens intäkter -uppföljning

IT-säkerhet Externt och internt intrångstest

Kontroll av legitimation vid anställning av läkare och sjuksköterskor

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem

[7] TILLÄMPNINGSOMRÅDE Rutinen gäller för hälso- och sjukvårds dokumentation enligt patientdatalagen

Ansvarsutövande: Överförmyndarnämnden

Ansvarsutövande: Nämnden för arbetsmarknad, vuxenutbildning och integration Sundsvalls kommun

Kommunens ansvar för hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Intern kontroll i kommunen och dess företag. Sollefteå kommun

Produktionsplanering

Granskning av intern kontroll

Rutin för loggning av HSL-journaler samt NPÖ

Meddelandeblad. Mottagare: Nämnder och verksamheter i kommuner med ansvar för vård och omsorg, medicinskt ansvariga sjuksköterskor,

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA

Studerandens möjligheter att ta del av och använda patientuppgifter

ORGANISATIONSNUMMER: ADRESS: NORDENSKIÖLDSGATAN 14, GÖTEBORG

Ärende- och dokumenthantering

Granskning år 2012 av patientnämnden

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Ledning och styrning av sjukskrivningsprocessen

Ansvarsutövande: Lantmäterinämnden Sundsvalls kommun

Ansvarsutövande: Kommunstyrelsen Sundsvalls kommun

Löpande granskning av den interna kontrollen. vid Kostnämnden. Landstinget Västmanland. Revisionsrapport

Granskning av räddningstjänstens ITverksamhet

Transkript:

Revisionsrapport Styrning av behörigheter i journalsystem Landstinget i Östergötland Janne Swenson Kerem Kocaer Jens Ryning Eva Andlert, cert. kommunal revisor

Styrning av behörigheter i journalsystem Innehållsförteckning 1. Inledning... 1 1.1. Bakgrund... 1 1.2. Revisionsfråga... 1 1.3. Avgränsningar och metod... 1 1.3.1. Omfattning... 1 1.3.2. Avgränsningar... 2 1.3.3. Metod... 2 2. Granskningsresultat... 3 3. Sammanfattande revisionell bedömning... 4 Landstingets revisorer

1. Inledning 1.1. Bakgrund har av revisorerna i Landstinget i Östergötland fått i uppdrag att granska landstingets styrning av hälso- och sjukvårdspersonalens behörigheter Av patientdatalagen (2008:355) framgår att informationshantering inom hälso- och sjukvård ska vara organiserad så den tillgodoser patientsäkerhet. Dokumenterade personuppgifter ska hanteras och förvaras så att obehöriga inte kan få tillgång till dem. Vårdgivaren ska bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat. Sådan behörighet bör begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Vidare framgår att vårdgivaren ska göra systematiska återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter. Inom landstinget används flera olika IT-system. En väl fungerande behörighetsprocess som uppfyller gällande regelverk och föreskrifter är en förutsättning för att uppnå en god patientsäkerhet. Granskningen genomförs enligt revisionsplan 2014 som grundar sig på genomförd riskbedömning. Landstingsstyrelsen har det övergripande ansvaret för behörigheter. 1.2. Revisionsfråga Granskningen syftar till att bedöma om styrningen av hälso- och sjukvårdspersonalens behörigheter är ändamålsenlig och tillförlitlig. Utifrån syftet har följande revisionsfråga formulerats: Är landstingets styrning av behörigheter ändamålsenlig och tillförlitlig? För att besvara granskningens övergripande revisionsfråga har följande kontrollmål varit styrande för granskningen: Det finns en organisation för hantering av behörigheter. Det finns en fungerande behörighetsprocess. Det finns regelbunden kontroll/uppföljning av behörigheter. 1.3. Avgränsningar och metod 1.3.1. Omfattning En förstudie har genomförts under mars 2014 för att på ett övergripande plan kartlägga arbetet avseende behörighetsstyrning. Förstudien inleddes med att identifiera vilka IT-system som är högst prioriterade inom landstinget. Journalsystemet bedömdes vara högst prioriterat varför det valdes ut som målsystem för behörighetsgranskningen. Genom intervju med förvaltningsledare för landstingets objekt Pati- Landstingets revisorer 1 av 4

entjournalen erhöll information om journalsystemet och dess komponenter för att definiera omfattning och avgränsning för granskningen. 1.3.2. Avgränsningar Granskningen har avgränsats till modulerna Journal och Läkemedel i landstingets journalsystem. Granskningen har utgått från den information och dokumentation som erhållits från landstinget. 1.3.3. Metod Revisionskriterie är SOSFS 2008:14 Socialstyrelsens föreskrifter om informationshantering och journalföring i hälso- och sjukvården. Vidare bygger granskningen på :s metoder för behörighetsgranskning. Metoderna bygger på en bedömning av hur organisationer arbetar med bland annat informationssäkerhet, behörighetskontroll och teknisk konfiguration. Granskningen av behörighetsprocessen har genomförts i följande steg: Granskning av organisation, styrande dokument/rutiner och processer för behörigheter. En verifiering av tilldelning, förändring och borttagning av behörigheter i valda system. I förstudien identifierades ett antal roller som ansågs vara lämpliga för granskningen varpå intervjuer genomfördes med dessa nyckelpersoner. Granskningen har, i och med de intervjuade personernas olika roller, täckt in behörighetsstyrningen för de två modulerna Journal och Läkemedel i journalsystemet Cosmic. Underlaget från genomförda intervjuer har utgått från Socialstyrelsens föreskrifter 1 om informationshantering och journalföring i hälso- och sjukvården. Vi har gjort ett avsteg från beslutad projektplan rörande den verifiering av tilldelning, förändring och borttagning av behörigheter i journalsystemet som planerats. Anledningen till detta är att det under granskningen framkommit att det saknas relevant underlag för att kunna genomföra denna analys. Ett rapportutkast har distribuerats till de intervjuade personerna för sakgranskning samt till interna kvalitetsgranskare inom. Rapportutkastet har föredragits för landstingets säkerhetschef. 1 SOSFS 2008:14 Landstingets revisorer 2 av 4

2. Granskningsresultat Detaljerade iakttagelser har sammanfattats i en bilaga eftersom landstingets säkerhetschef bedömt att dessa kan utgöra en säkerhetsrisk och därmed bör sekretessbeläggas. Landstingets revisorer 3 av 4

3. Sammanfattande revisionell bedömning Är landstingets styrning av behörigheter ändamålsenlig och tillförlitlig? Vår sammanfattande bedömning är att landstingets styrning av behörigheter i journalsystemet inte är fullt ändamålsenlig och tillförlitlig. Utifrån de tre kontrollfrågor (avsnitt 1.2) som bedömningen har gjorts ifrån vill vi lyfta fram följande: Det finns en organisation för behörighetshantering avseende landstingets journalsystem. Organisationen är dokumenterad och roller och ansvar finns beskrivna. Dock finns en risk för bristande efterlevnad och styrning i eftersom intresset bland ansvariga chefer för behörighetsadministration är lågt. Vi anser därmed att ansvaret för behörighetshantering behöver kommuniceras och bli en mer prioriterad fråga i verksamheten. En bättre kommunikation mellan ansvariga behövs. Behörighetsprocessen för journalsystemet inom landstinget är inte fullt fungerande. Den systembrist vi identifierat är en av de primära anledningarna till detta då satta behörigheter i systemet följer med användare när ett nytt verksamhetsuppdrag tilldelas. Vidare saknas en definierad gemensam process i verksamheten och gemensamma rutiner som beskriver hur behörigheter i journalsystemet ska hanteras. Ett resultat av detta är att uppföljning av godkännande av tilldelad åtkomst till journalsystemet inte kan genomföras. Det finns även en risk att behörigheter till journalsystemets olika moduler är högre än nödvändigt. Då formella genomgångar av behörigheter sällan eller aldrig genomförs inom landstinget är vår bedömning att regelbunden uppföljning/kontroll av behörigheter i journalsystemet i dagsläget inte fungerar. Under granskningens intervjuer framkom att det finns en medvetenhet om identifierade problem samt att de vi intervjuat genomgående önskar att behörighetshanteringen för journalsystemet inom landstinget förbättras. Landstingets revisorer 4 av 4

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss