Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Relevanta dokument
Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) 4 kap. patientdatalagen m.m.

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) behörighetsstyrning m.m. enligt patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Tillsyn - äldreomsorg

Tillsyn - äldreomsorg

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Sammanhållen journalföring 6 kap. patientdatalagen

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande genom direktåtkomst

Patientdatalagen (PdL) och Informationssäkerhet

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Sammanhållen journalföring 6 kap. patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillgång till patientuppgifter - krav på spärrar och aktiva val. Katja Isberg Amnäs Magnus Bergström Datainspektionen

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post

Riktlinjer för logghantering, kontroll och åtkomst enligt Patientdatalagen (PDL) och SOSFS 2008:14 (Vodok och NPÖ)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Försäkringskassan

Tillsyn enligt dataskyddsförordningen (EU) 2016/679 behörighetstilldelning, spärrar, m.m. enligt patientdatalagen

Rutin för loggning av HSL-journaler samt NPÖ

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem

Patientdatalagen. Juridik- och Upphandlingsstaben

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Logghantering för hälso- och sjukvårdsjournaler

Det föreslagna beslutet medför inga kända ekonomiska konsekvenser för kommunen.

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) behörighetstilldelning, spärrar m.m enligt patientdatalagen.

ORGANISATIONSNUMMER: ADRESS: NORDENSKIÖLDSGATAN 14, GÖTEBORG

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Styrning av behörigheter

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun

MAS Kvalitets HANDBOK för god och säker vård

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Rutin för loggkontroll och tilldelning av behörigheter i nationell patientöversikt (NPÖ) Rutinen gäller från fram till

Datainspektionens tillsyn av länsstyrelsernas elektroniska förvaltning

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun.

Tillsyn enligt dataskyddsförordningen (EU) 2016/679 behörighetstilldelning, spärrar, m.m. enligt patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Socialdemokraternas medlemsregister

Informationshantering och journalföring. nya krav på informationssäkerhet i vården

Riktlinje för informationshantering och journalföring

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Informationssäkerhet med logghantering och åtkomstkontroll av hälso- och sjukvårdsjournaler i Vodok och nationell patientöversikt (NPÖ)

Rutin för loggkontroll av åtkomst till hälso- och sjukvårdsdokumentation

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Kändisspotting i sjukvården

Riktlinjer för informationshantering och journalföring i hälso- och sjukvården i särskilt boende i Solna kommun

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande av patientuppgifter genom direktåtkomst till apoteksstuderande

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Transkript:

Datum Diarienr 2010-04-28 1650-2009 AB Previa Box 4080 171 04 Solna Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen konstaterar att AB Previa (härefter Previa) inte helt lever upp till kraven på behörighetsstyrning i 4 kap. 2 patientdatalagen (2008:355) och 2 kap. 6 Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården, eftersom Previa saknar rutiner för regelbunden uppföljning av behörigheter. Datainspektionen förutsätter att Previa inför rutiner för regelbunden uppföljning av behörigheterna. Datainspektionen förutsätter vidare att Previa utvärderar och fortsättningsvis utvecklar logguppföljningarna för att uppnå en verkningsfull åtkomstkontroll i enlighet med 4 kap. 3 patientdatalagen och 2 kap. 11 SOSFS 2008:14. Ärendet avslutas. Redogörelse för tillsynsärendet Datainspektionen genomförde den 19 november 2009 en inspektion av Previa. Syftet med inspektionen var att kontrollera efterlevnaden av bestämmelserna om behörighetsstyrning och åtkomstkontroll i 4 kap. patientdatalagen och i 2 kap. i SOSFS 2008:14. Under inspektionen framkom bl.a. följande. Previa har verksamhet på 70 orter. Verksamheten är organiserad i 24 distrikt. För varje distrikt finns en verksamhetschef i hälso- och sjukvårdslagens mening. Det finns cirka 1000 medarbetare. Previa använder journalsystemet QuidAgis, QA, som säljs av Miljödata i Karlskrona som även driftar systemet. Det finns 771 696 journaler i QA. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

Patienterna kan begära sekretess och då måste den som söker på patienten gå förbi ett sekretessfilter för att kunna läsa patientens vårddokumentation. Behörighetsstyrning Previa har en beställningsrutin för att tilldela användarkonton och aktiveringskoder till nyanställda och konsulter. Beställningen görs av personens distriktschef som mejlar informationen till personalavdelningen på huvudkontoret. Det finns en beställningsblankett för användarkonton, Beställningsblankett för användarkonton i Previas domän, vilken avser nytt konto, ändring av konto samt avslut av konto. Efter att beställningen hanterats av särskilt utsedda personer på huvudkontoret, får samma distriktschef ett mejl med en aktiveringskod. Chefen lämnar koden till den anställde som loggar in med ett tvingande lösenordsbyte. Tvingande lösenordsbyte sker var 90:e dag. Ett användarkonto avslutas om anställningen har ett slutdatum som lagts in i systemet. När en fast anställning upphör ligger oftast en uppsägningsblankett till grund för avslut, men distriktschefen kan också höra av sig till huvudkontoret. I våras gjorde Previa en avstämning av användarkonton med anledning av att beställningsrutinen ovan infördes. Hälso- och sjukvårdspersonalen är indelad i nio behörighetsgrupper. Behörighetens omfattning är fastlagd för grupperna som sådan och kan inte ändras för en viss person i gruppen. Analyser kring behoven har utgått från Previas befattningsbeskrivningar. I ärendet har efter inspektionen framkommit att det inte finns någon regelbunden uppföljning av behörigheter. Åtkomstkontroll I Previas handbok finns information om kontroll av åtkomst till patientuppgifter. Av loggen kan t.ex. utläsas att någon går förbi ett sekretessfilter. Att någon har gjort en utskrift kan inte utläsas av loggen. Logguppföljningar är en central funktion som sköts av centralt medicinskt ledningsansvarig. Regelbunden logguppföljning ska ske av anställda som går förbi sekretessfilter. Dessutom görs uppföljningar när misstanke om obefogad åtkomst förs fram. Annan regelbunden stickprovskontroll sker såvitt känt inte vid inspektionstillfället. Dokumentation av genomförda loggkontroller har skett i Excel. Det är inte känt vid inspektionstillfället hur kontrollerna rent faktiskt har genomförts eller vad som har dokumenterats, men uppfattningen är att det inte har hittats något anmärkningsvärt. Sida 2 av 5

Såvitt känt vid inspektionstillfället har loggarna inte gallrats. I ärendet har efter inspektionen framkommit att det av Previas logg går att utläsa vilka åtgärder som har vidtagits med patientuppgifterna. Det har vidare framkommit att det kvartalsvis genomförs systematiska och återkommande stickprovskontroller av Previas CML (centralt medicinskt ledningsansvarig läkare) och att kontrollerna omfattar alla sekretessmarkerade journaler samt journaler på ytterligare 10 slumpvis utvalda individer. Här kontrolleras om man har varit inne i en journal där man inte bedöms ha haft en behandlande relation till patienten. Utöver dessa kontroller genomförs kontroller om någon begär det. Det finns rutiner för dokumentation av genomförda åtkomstkontroller och loggarna sparas i en sekretesskyddad mapp under R:/(restricted) med namnet CML. Datainspektionens bedömning Behörighetsstyrning Det har framkommit att Previa saknar formaliserade rutiner för regelbunden uppföljning av behörighet. Av 4 kap. 2 patientdatalagen framgår att vårdgivaren ska bestämma villkor för tilldelning av behörigheter samt att behörigheterna ska begränsas till vad som behövs för att användaren ska kunna fullgöra sina arbetsuppgifter. Bestämmelsen kompletteras av 2 kap. 6 SOSFS 2008:14. När det gäller rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheterna, vill Datainspektionen framhålla följande. Om vårdgivaren har en skriftlig, fastställd rutin underlättas det pågående arbetet med behörighetstilldelning. Att följa upp utdelade behörigheter för att exempelvis kontrollera att behörigheterna är förenliga med användarnas aktuella arbetsuppgifter är centralt ur ett integritetsperspektiv. Det handlar inte bara om att se till att ta bort behörigheter när användare slutar vid en mottagning, utan även om att anpassa behörigheterna efter användarnas aktuella behov. Att en användare får nya eller förändrade arbetsuppgifter, såväl tillfälligt som permanent, är exempel på omständigheter som kan komma att påverka en tidigare utdelad behörighet. En sådan uppföljning ger ökade förutsättningar för att ha ändamålsenliga och individuellt anpassade behörigheter. Datainspektionen kan konstatera att Previa saknar formaliserade rutiner för regelbunden uppföljning av behörigheter. Datainspektionen förutsätter därför att Previa inför rutiner för regelbunden uppföljning av behörigheterna. Sida 3 av 5

Åtkomstkontroll Av 4 kap. 3 patientdatalagen framgår att åtkomst till patientuppgifter ska dokumenteras och kunna kontrolleras samt att vårdgivaren ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt patientuppgifterna. Bestämmelsen kompletteras av 2 kap. 11 i SOSFS 2008:14. Av regeringens proposition 2007/08:126 Patientdatalag m.m. s. 149 f framgår följande. För att främja patientsäkerheten bör vårdgivarna åläggas att systematiskt och fortlöpande företa kontroller av om obehörig åtkomst till uppgifter om patienter förekommer. Regeringen föreslår att detta uttryckligen föreskrivs som ett krav i patientdatalagen. En sådan bestämmelse innebär inte bara att faktiska dataintrång med större säkerhet kommer att kunna konstateras och beivras. Bestämmelsen bör också få en starkt avhållande verkan på personal som, om risken för upptäckt är liten, kan frestas att olovligen läsa uppgifter. Datainspektionen anser att rutinerna för åtkomstkontroll ska vara utformade på sådant sätt att de blir verkningsfulla i förhållande till den behandling av uppgifter som sker hos vårdgivaren. En förutsättning för detta är att berörd personal får tydlig information om logguppföljningarna och deras syfte. Vårdgivaren måste även kontinuerligt utvärdera rutinerna för åtkomstkontroll för att säkerställa att rutinerna är verkningsfulla. Datainspektionen anser att Previa har förutsättningar att åstadkomma en verkningsfull åtkomstkontroll. Datainspektionen förutsätter att Previa utvärderar och fortsättningsvis utvecklar logguppföljningarna för att uppnå en verkningsfull åtkomstkontroll i enlighet med 4 kap. 3 patientdatalagen och 2 kap. 11 SOSFS 2008:14. Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagande ska ha kommit in till Datainspektionen senast tre veckor från den dag ni fick ta del av beslutet. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Maria Bergdahl Sida 4 av 5

Kopia till: Personuppgiftsombudet, AB Previa, Box 4080, 171 04 Solna Sida 5 av 5

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss