Loggkontroll - granskning av åtkomst till patientuppgifter



Relevanta dokument
Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem

Rutin för loggning av HSL-journaler samt NPÖ

Rutin för loggkontroll av åtkomst till hälso- och sjukvårdsdokumentation

Rutin för loggkontroll av åtkomst till hälso- och sjukvårdsdokumentation

Loggkontroll - granskning av åtkomst till patientuppgifter

ORGANISATIONSNUMMER: ADRESS: NORDENSKIÖLDSGATAN 14, GÖTEBORG

Råd Kontroll av åtkomst till patientuppgifter - loggranskning

MAS Kvalitets HANDBOK för god och säker vård

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA

Hantering av loggkontroller och intrång i journal- och passagesystem

KVALITETSSYSTEM Socialförvaltningen

Beslutad av Magnus Johansson, vård- och omsorgsdirektör den 4 april 2016.

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

Dataintrång - åtgärder vid misstanke om olovlig åtkomst

Riktlinjer för logghantering, kontroll och åtkomst enligt Patientdatalagen (PDL) och SOSFS 2008:14 (Vodok och NPÖ)

Rutin för loggkontroll och tilldelning av behörigheter i nationell patientöversikt (NPÖ) Rutinen gäller från fram till

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Det föreslagna beslutet medför inga kända ekonomiska konsekvenser för kommunen.

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Informationshantering och journalföring. nya krav på informationssäkerhet i vården

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Rutin för kontroll av loggar

Logghantering för hälso- och sjukvårdsjournaler

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Riktlinjer för samtal med medarbetare beträffande loggranskning

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Riktlinje för informationshantering och journalföring

Informationssäkerhet med logghantering och åtkomstkontroll av hälso- och sjukvårdsjournaler i Vodok och nationell patientöversikt (NPÖ)

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun.

Patientdatalagen. Juridik- och Upphandlingsstaben

RIKTLINJE NATIONELLA PATIENT ÖVERSIKTEN (NPÖ)

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillämpningsanvisningar för tillgång till och utlämnande av patientinformation

Tillgång till patientuppgifter - krav på spärrar och aktiva val. Katja Isberg Amnäs Magnus Bergström Datainspektionen

Patientdatalagen (PdL) och Informationssäkerhet

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Hur får jag använda patientjournalen?

Regelverk avseende hantering av loggrapporter för vårdsystem samt åtgärder vid dataintrång

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

[7] TILLÄMPNINGSOMRÅDE Rutinen gäller för hälso- och sjukvårds dokumentation enligt patientdatalagen

Riktlinjer för dokumentation och informationshantering inom hälsooch sjukvårdens område i Nyköpings kommun

4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Riktlinjer för informationshantering och journalföring i hälso- och sjukvården i särskilt boende i Solna kommun

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) 4 kap. patientdatalagen m.m.

Informationssäkerhet i patientjournalen

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Riktlinjer för hälso- och sjukvårdsdokumentation

Sammanhållen journalföring och Nationell Patientöversikt i Västra Götalandsregionen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Rutiner för f r samverkan

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Sammanhållen journalföring 6 kap. patientdatalagen

Loggrutin för Socialtjänsten, Karlsborgs kommun

Sekretess, lagar och datormiljö

Lokala riktlinjer informationshantering och journalföring, inom elevhälsans medicinska och psykologiska delar, Alingsås Kommun

Riktlinjer för informationshantering och journalföring i hälso- och sjukvården i särskilt boende i Solna kommun

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande genom direktåtkomst

RÅD Checklista för avtal rörande sammanhållen journalföring

Åtkomst till patientuppgifter

Hälso- och sjukvårdsdokumentation

Bättre överblick, ännu bättre vård.

Nationell Patientöversikt (NPÖ) för en effektiv och säker vård inom vård- och omsorgsboende i Solna kommun

RUTINER FÖR LOGGNING I PROCAPITA

Kändisspotting i sjukvården

Tillsyn - äldreomsorg

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Riktlinje för hälso- och sjukvård i Uppsala kommun

Dokumentation Hälso- och sjukvård HSL

Bättre överblick ännu bättre vård. Sammanhållen journalföring ger nya möjligheter för vården att få ta del av dina uppgifter

Bättre överblick, ännu bättre vård. Sammanhållen journalföring. Nya möjligheter för vården att få ta del av dina uppgifter.

RUTIN FÖR LOGG KONTROLL

Patrik Sundström, huvudsekreterare Utredningen om rätt information i vård och omsorg. Utredningen om rätt information i vård och omsorg

Patientdatalag. Patientdatautredningens huvudbetänkande SOU 2006:82 Patientdatautredningen

Bättre överblick, ännu bättre vård. Bättre helhet. Sammanhållen journalföring. Nya möjligheter för vården att få ta del av dina uppgifter.

Tillsyn enligt personuppgiftslagen (1998:204) behörighetsstyrning m.m. enligt patientdatalagen

1 (5) 7 oktober RÅD Signering, bekräftelse, låsning

Kvalitetsledningssystem inom vård- och omsorgsförvaltningen

Frågor och svar. Att ta del av, använda och utbyta uppgifter i hälso- och sjukvård och socialtjänst

Riktlinje för hälso- och sjukvårdsdokumentation

Nationell patientöversikt en lösning som ökar patientsäkerheten

Rutin Loggkontroll i Viva

SAMTYCKE TILL INFORMATIONSÖVERFÖRING

BÄTTRE ÖVERBLICK GER ÄNNU BÄTTRE VÅRD

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Sammanhållen journalföring

Information till dig som patient. Patientjournalen - för säkrare vård. Information om Sammanhållen journal och om Nationell Patientöversikt

Riktlinje gällande egenvård. Utfärdare/handläggare Anne Hallbäck, MAS Margareta Oswald, MAR

Övergripande rutin i samband med vård under eget ansvar - Egenvård för barn över sju år och vuxna enligt SOSFS 2009:6

Transkript:

MAS 2013 10.3. Informationssäkerhet. Rutiner och Riktlinjer Loggkontroll - granskning av åtkomst till patientuppgifter Inledning Den nya regleringen ger ökade möjligheter för åtkomst till patientdata inom en vårdgivares ansvarsområde och även mellan vårdgivare. Samtidigt ställs tydligare krav på att det finns spårbarhet och kontroll över vem som haft åtkomst till uppgifterna. En av de stora utmaningarna för vårdgivare är att motsvara den nivå på skydd av patientens integritet som lagstiftningen sätter upp. Det gäller främst krav på spårbarhet, uppföljning och möjlighet att ge patient del av uppgifterna med sådan tydlighet, att denne kan avgöra om felaktig åtkomst har förekommit eller ej. Dessutom har patienten fått möjligheter att själv välja att spärra vald information, inom en vårdgivare och även mellan vårdgivare och till kvalitetsregister. Detta stärkta integritetsskydd förväntas uppväga lagstiftningens möjlighet att, under angivna former, dela information med andra vårdgivare. Denna riktlinje utgår från Datainspektionens vägledning för loggkontroll http://www.datainspektionen.se/lagar-och-regler/patientdatalagen/systematisklogguppfoljning/ Legala förutsättningar Patientdatalagen (SFS 2008:355) gäller sedan 1 juli 2008 och ersätter den tidigare patientjournallagen och vårdregisterlagen. Ändringar har också införts i sekretesslagen. Vidare har Socialstyrelsen gett ut nya föreskrifter som rör informationshantering och journalföring (SOSFS 2008:14). I patientdatalagen regleras bland annat de möjligheter en patient har att styra åtkomst till vårddokumentation, både inom en vårdgivare och också där åtkomst möjliggjorts mellan vårdgivare. Specifikt regleras det som gäller direktåtkomst via sammanhållen journalföring. För vårdgivare bestämmer lagen förutsättningarna för tillgång till vårdinformation och, till skillnad från tidigare skrivning, regleras nu möjligheter att via direktåtkomst dela vårddokumentation med andra vårdgivare. Vårdgivare ska självmant, regelbundet och kvalitetssäkrat granska personalens åtkomst till patientens information med syfte att säkerställa att bara den personal som har rätt att ta del av uppgifter, har haft åtkomst till dessa. Grunden för åtkomst till patientinformation är att behov av uppgiften finns för vård eller annan arbetsuppgift. Ansvaret för uppföljning av åtkomst till patientinformation och behörighetstilldelning är direkt kopplat till rollen verksamhetschef. Uppföljning ur patientens perspektiv Patienten ska känna stor förvissning om att vårdgivaren säkerställer att integritetsfrågan hanteras på ett ur både lagstiftningskrav och patientens önskemål korrekt sätt.

Vårdgivaren säkerställer att tillgången till information är behovsreglerad med individuell tillgångsprövning, och att den åtkomst som har skett är föremål för uppföljning. Denna systematiska uppföljning sker automatiskt och metodiskt. Patienten har rätt att själv ta del av den åtkomst till information som har förekommit, för att trygga vetskapen om att ingen som inte har haft direkt behov av uppgifter har tagit del av dessa. Patienten har även rätt att spärra tillgång till information, både inom vårdgivarens enheter och i de fall vårdgivaren tillämpar sammanhållen journalföring. Syfte Loggningskontroll ska säkerställa vårdgivarens trovärdighet gentemot patienter. Granskning ska göras i den omfattningen att den avhåller från otillbörlig åtkomst till patientinformation. Loggen ska hålla en sådan kvalité att arbetsgivaren ska kunna vidta arbetsrättsliga åtgärder samt polisanmäla vid dataintrång. Loggen är samtidigt ett verktyg som kan fria anställd från misstanke om dataintrång. Ansvar Verksamhetschefen har det direkta ansvaret för såväl att tilldela som att kontrollera behörigheter. Principen är att den som har rätt att utdela behörigheter också har en skyldighet att kontrollera loggarna. I ansvaret ligger också att de anställda ska ha fått information om gällande regler för åtkomst till patientuppgifter och att rutinen för loggningskontroll är känd. Verksamhetschefen kan delegera handläggningen till annan person inom vårdenheten. Vid delegering ska läggas vikt vid utförarens noggrannhet och denne ska ha en ställning i organisationen som innebär god personkännedom om enhetens personal. Rutinen ska säkerställa att även utsedda granskare och verksamhetschefen själv granskas av överställd personal. Loggarna ska omfatta all åtkomst dvs. även administrativ och teknisk personal ingår. Ansvaret för att loggningskontrollera åtkomst för personal som inte hör till någon verksamhetschef, faller på den som har ansvaret för att tilldela personen behörigheter. Personuppgiftsombud och patientnämnd kan på uppdrag från patient eller personal, ställa frågor om åtkomsten till patientinformation varit relevant och skett inom ramen för verksamhetschefens riktlinjer för åtkomst och behörighetstilldelning. Omfattning Kravet på loggningskontroll avser åtkomst inom vårdgivarens inre sekretessområde och direktåtkomst vid sammanhållen journalföring. Kravet omfattar alla typer av patientdata. Loggningskontroll ska göras i den omfattningen att den är förebyggande och meningsfull. Detta uppnås genom en kombination av i huvudsak fyra skäl att göra loggningskontroll. systematisk stickprovskontroll Utöver den systematiska stickprovskontrollen ska loggranskning utföras: vid särskild händelse eller misstanke efter nödöppning på patientens begäran om utdrag av sin logg Systematisk stickprovskontroll Ett slumpmässigt urval av personalen ska med regelbundna tillfällen loggningskontrolleras,

rekommenderas att 10 % personal kontrolleras per månad, t.ex. uppdelat på 1-2 gång/månad. Den personal som slumpats fram granskas under en 24 timmarsperiod genom att all åtkomst till patientuppgifter visas upp. Följande kriterier är förslag på vad den som granskar loggen bör vara uppmärksam på; - avvikande mönster/åtkomst som bryter det ordinarie mönstret/frekvensen/rutinen - namn/släktskap som kan indikera privat samhörighet - personer av medialt intresse, lokalt och nationellt - patient med diagnos som kan väcka särskilt intresse - lokal personalkännedom som indikerar eller ger misstanke om intresse för information som sträcker sig utanför tillåtna ändamål Kontroll vid särskild händelse eller misstanke Verksamhetschefen (arbetsgivaren) är skyldig att initiera loggningskontroll om det finns skäl att misstänka att dataintrång har skett. Det kan också finna skäl att kontrollera loggen för en speciellt sekretesskänslig patient eller vårdepisod. Om man vid sådan kontroll uppmärksammar tveksam åtkomst av användare som hör till annan verksamhetschef så ska detta följas upp av den som tilldelat behörigheten. Kontroll efter nödöppning De aktiva val som föregår nödöppning eller forcering av spärr ska loggas. Det är lämpligt att sådan åtkomst granskas av verksamhetschef eller delegerad handläggare snarast. En obligatorisk loggranskning av nödöppningar är viktigt både ur ett integritetsperspektiv och för den kvalitetsgranskning som verksamhetschefen utför. Patientens rätt till kopia av loggen Patienten har rätt att få en kopia av sin logg. Dessa uppgifter ska vara så tydligt utformade att patienten kan bedöma om åtkomsten till patientuppgifterna varit befogade eller inte. Detta förutsätter att de aktörer som har haft tillgång till informationen är angivna på ett sådant sätt att bedömningen blir verkningsfull. Det innebär att hälso- och sjukvårdspersonals identitet och yrkesroll/tillhörighet syns i patientens logginformation i normalfallet. Om vårdnadshavare begär kopia av logg för barn bör, med hänsyn till stigande mognad och insikt hos barnet, en men prövning göras. Rutiner vid patientförfrågan om logginformation Det ska finnas information på lämpliga ställen om vart patienten vänder sig för att få en kopia av loggen. Patient kan ställa fråga direkt till klinik/enhet, personuppgiftsombud, patientnämnd eller myndighetsbrevlåda. Det är lämpligt och praktiskt för både vården och patienten att det finns ett formulär som kan användas. Med hjälp av detta kan förfrågan preciseras så att patienten får det denne efterfrågar. Det kan också vara lämpligt att ta en direktkontakt med patienten för att säkerställa tillgång till annan relevant information och om så önskas hjälpa patienten med att avgränsa till de enheter som patienten avser. Patienten bör få svar skyndsamt eftersom loggar utgör en allmän handling. I normalfallet sker utlämnandet i pappersform. Uppgifterna skickas till patienten på dennes folkbokföringsadress eller kan lämnas ut direkt om patienten har legitimerat sig. De logguppgifter som lämnas till patient bör även lämnas till verksamhetschef för kännedom.

Loggutdraget ska vara utformat så att det ger patienten en klar uppfattning om åtkomsten till dennes patientuppgifter. Patientens fråga om vem som har sett information är ibland baserad på en specifik händelse eller uppgift, där patienten upplever att någon har information som inte patienten bedömer ska vara tillgänglig. I sådant fall ska, på patientens begäran, analys ske av den berörda medarbetaren och dennes tillgång. Personuppgiftsombudet ska vara patientens stöd och skapa rutiner för att patientförfrågan hanteras rätt i vårdgivarens organisation. Patientens kostnad för loggutdrag Respektive vårdgivare beslutar om det ska tas ut avgift och nivån på denna. En rekommendation är att kostnaden hålls så låg att den inte innebär hinder för patienten att få utdrag. Patienten är en resurs för vårdgivaren i dennes granskning av loggar. Nödvändiga funktioner Tillgång till logg och logganalysverktyg ska regleras med individuell behörighetstilldelning och begränsas till de som har ett särskilt uppdrag att granska loggar. Utöver patientens och användarens identitet ska det i klartext framgå vilka åtgärder (läsa/skriva/ändra/signera/kopiera/utskrift) som vidtagits med patientuppgifterna, vilken vårdenhet som vidtagit åtgärderna och tidpunkten för detta. Hos vårdgivaren ansvarig roll i systemförvaltningsstruktur, säkerställer att nödvändig funktionalitet för uppföljning finns exempelvis aktiva val och forcering av spärr, och förser verksamhetschefen med nödvändigt stöd för loggranskning i respektive vårdsystem. Den aktuella informationstexten /informationsinnehållet ska inte visas i loggen. Dokumentationskrav Loggranskning ska resultera i dokumentation som omfattar Urvalet, grunden för urvalet (anmodan, eget urval, förekommen aktivitet etc) och resultat med kommentar. Om ingen otillbörlig åtkomst upptäcks rapporterar granskare till verksamhetschef med bifogat underlag löpande. Resultatet sparas enligt gällande arkivbestämmelser medan loggarna ska bevaras i 10 år. Om otillbörlig åtkomst misstänks eller bekräftas Om otillbörlig åtkomst misstänks ha förekommit ska underlag för detta lämnas verksamhetschefen i anslutning till upptäckten. Utredningen ska säkerställa detaljnivå och informationsinnehållet för läst vårdinformation. Vårdgivare måste säkerställa att respektive vårdsystem har interna loggar på detaljnivå. Denna, i samråd med av vårdgivaren beslutade instanser, avgör vidare handläggning. Vid misstanke om otillbörlig åtkomst, ska loggranskning alltid genomföras. Det är viktigt, både för patienten och vårdgivaren, att misstanke om missbruk följs upp och utreds. Det kan även vara aktuellt att göra en fördjupad loggranskning av en medarbetare. Medarbetaren ska kontaktas och få möjlighet att förklara skälen till aktuell loggförekomst. Inför ett sådant samtal ska medarbetaren informeras om möjligheten att ta med en facklig representant. Vid samtalet bör följande frågor besvaras: 1. Varför har medarbetaren sökt information om denna patient? 2. Känner medarbetaren patienten eller har någon annan anknytning med patienten privat? 3. Vilken information har använts och till vad? 4. Av vilken anledning har medarbetaren valt att bryta mot bestämmelserna i

Patientdatalagen? Vid bekräftad misstanke om dataintrång ska verksamhetschefen även informera berörd patient. Planering och genomförande Vårdgivarens systematiska uppföljning måste inrymmas i uppdraget till verksamhetschef och därmed ingå i de prioriterade uppgifter som vårdgivaren ålägger verksamhetschef. Att på förhand sätta upp volymkrav i förhållande till patientmängd och verksamhetens omfattning innebär inte att syftet med uppföljning med automatik säkerställs. Verksamhetschef måste ta ställning till vad en planerad granskning innebär för just den verksamheten. Vilken typ av patientdata hanteras, vilka överväganden ingick i den individuella behörighetstilldelningen (bredare behörighet ger ökat krav på uppföljning), vilka urval ger bäst möjlighet till hög sannolikhet för upptäckt av intrång finns nödvändig information och underlag för att stödja uppföljningen. Verksamhetschefen kan ange omfattning och resultat av granskningsaktiviteter för enheten i sin verksamhetsberättelse. Ett av de viktigaste syftena med uppföljning är att den är känd av berörd personal. Varje medarbetare med tillgång till patientinformation ska se denna granskning som ett naturligt inslag i vårdgivarens arbete samt att det medför en förebyggande effekt. Logginformation och kontroll har även en viktig uppgift i att undanröja misstanke om felaktig åtkomst. Logguppgifter kan förväntas lika ofta eller kanske oftare fria från misstanke än bekräfta sådan. Tillgång till logguppgifter kan som informationsmängd även innebära att en detaljerad bild av patienten kan framkomma. Detta ska ingå i den riskbedömning som föregår tillgång till logginformation. Stickprovskontroll. Personal ska slumpmässigt väljas ut varje månad för kontroll. Ett riktmärke är 10 % av personalen. Kontrollen kan delas upp på flera tillfällen under månaden. Personal som slumpats fram ska granskas under minst 24 timmar. Kontrollera loggutdragen utifrån exempelvis följande punkter: - Tidpunkter (t ex avvikande klockslag, utanför enhetens öppethållande, utanför personalens schema) - Patientrelation/uppdrag (t ex patienter som inte är inskrivna på enheten, eller inte har besök bokat/registrerat.) - Utförd aktivitet (där det framgår från loggutdrag - läsning är av större intresse, vid övriga aktiviteter såsom skriva, signera är patientrelation mer självklar) - Avvikande mönster (åtkomst som bryter det ordinarie mönstret/frekvensen/rutinen) - Namn/släktskap (åtkomst som indikerar privat samhörighet istället för patientrelation) - Patienter av medialt intresse (åtkomst som indikerar nyfikenhet istället för patientrelation) - Patient med diagnos som kan väcka särskilt intresse (åtkomst som indikerar nyfikenhet istället för patientrelation) - Patient som är lokalt känd på vårdenhet eller inom vårdgivaren såsom personal/före detta personal (åtkomst som indikerar nyfikenhet istället för patientrelation) - Forcerade spärrar/nödöppningar (där det framgår från loggutdrag)

Riktad kontroll. Riktad kontroll ska göras både utifrån personals och patients identitet och ska göras vid de tillfällen då någon av följande företeelser inträffar Misstanke om obehörig åtkomst (t ex särskild händelse, lokalt känd patient, specifik diagnos eller på initiativ av patient). Vid forcering/nödöppning av spärr. Granska loggutdragen för att kontrollera om någon obehörig har tagit del av patientuppgifter. Ta hjälp av punkterna under stickprovskontroll ovan. Granskningsprotokoll för systematisk stickprovskontroll Ett protokoll som dokumenterar att granskning har skett ska föras på en särskild blankett och arkiveras inom verksamheten. Granskningsprotokoll för systematisk stickprovskontroll. All loggranskning ska dokumenteras. Protokollet ska kunna uppvisas vid uppföljningen av loggkontroller som sker i samband med kvalitetstillsyn. Granskningsprotokollet sparas på enheten i 10 år. - Granskningsresultat- ingen misstanke om obehörig åtkomst till dokumentationssystemet Visar uppföljningen av loggkontrollen ingen misstanke om obehörig åtkomst till vårdinformation noteras detta i rapporten för kvalitetstillsynen. - Granskningsresultat - behov av vidare utredning Bedöms något som oklart tar verksamhetschefen kontakt med den användare det gäller. Bedöms det efter utredning inte finnas någon misstanke om obehörig åtkomst till vårdinformation kan ärendet dokumenteras och avslutas. Om inte en godtagbar förklaring kan lämnas ska ärendet hanteras som ett arbetsrättsligt. Visar analysen att det varit ett faktiskt dataintrång eller olovlig läsning ska ställningstagande till arbetsrättsliga åtgärder övervägas. Stöd för detta regleras i Allmänna bestämmelser (AB01) och kan t ex innebära avstängning med eventuellt avsked, varning med disciplinpåföljd eller enskilda samtal. Som disciplinpåföljd kan vara behörighetsbegränsningar och riktade loggkontroller under viss tid. Om överträdelsen bedöms så allvarlig att den kan strida mot svensk lagstiftning, ska ärendet polisanmälas av verksamhetschefen. Vid ett faktiskt dataintrång eller olovlig läsning ska detta dokumenteras i en rapport och verksamhetschefen ska kontrollera att verksamhetens rutiner instruktioner, information samt förekommande utbildning är tydliga och kända hos alla medarbetare. Regelverk SOSFS 2008:14 Informationshantering och journalföring i hälso- och sjukvården SOSFS 2005:12 Ledningssystem för kvalitet och patientsäkerhet i hälso- och sjuk-vården SOSFS 2008:355 Patientdatalagen SOSFS 1982:763 Hälso- och sjukvårdslagen SOSFS 1997:8 Socialstyrelsens allmänna råd om verksamhetschef inom hälso- och sjukvård Bilaga. Protokoll för loggkontroll

Loggkontroll Granskningsprotokoll för stickprovskontroll Dat Enhet Jan Antal granskade journaler Antal granskade användare Antal användare med ändamålsenlig behörighet Anmärkningar och åtgärder Sign 1 Sign 2 Feb Mar Apr Maj Juni Juli Aug Sep Okt Nov Dec Loggkontroll görs av enhetschef 1 g/månad och signeras under Sign 1. HSL ansvarig chef signerar i kolumnens Sign 2, beslutar om åtgärder och lämnar protokollet tillbaka till enhetschef alla månader förutom december då protokollet lämnas till MAS. Bjurholm 20 HSL ansvarig enhetschef

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss