1 Riktlinjer för hälso- och sjukvården Ansvarar för att riktlinjen blir känd: Respektive enhetschef Dokumentets namn: Granskning av loggar från verksamhetssystem och Nationell Patientöversikt Utfärdad av: Margaret Fritz Utfärdad: 2015-07-31 Giltig från: 2015-07-31 Reviderad: Klicka här för att ange text. Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ) Bakgrund Vårdgivaren måste enligt 4 kap. 3 patientdatalagen (2008:355) göra åtkomstkontroller för att säkerställa att personalen inte använder sina behörigheter på fel sätt genom att läsa, ändra eller ta bort information som de inte ska hantera. Vårdgivaren måste göra systematiska och återkommande kontroller om det förekommer någon obehörig åtkomst till patientuppgifterna. De som obehörigt bereder sig tillgång till uppgifter om patient/vårdtagare i en journal kan dömas till dataintrång vilket kan leda till böter eller fängelse, enligt brottsbalkens 4 kap. 9c. Inom en årsperiod ska samtliga legitimerade medarbetare och omvårdnadspersonal med tillgång till hälso- och sjukvårdsjournalen (ordinarie och vikarier) granskas. Ett antal legitimerade användare väljs slumpmässigt ut, vars loggar granskas. Enhetschefen, systemansvarig och medicinskt ansvarig sjuksköterska träffas en gång i kvartalet för stickprovskontroll och riktade kontroll för journalsystemet Treserva och NPÖ av loggar. Vårdgivaren ska ansvara för att det i ledningssystemet finns rutiner som säkerställer att: 1. Det av dokumentationen av åtkomsten (loggarna) framgår vilka åtgärder som vidtagits med patientuppgifterna. 2. Det av loggarna framgår vid vilken vårdenhet och vid vilken tidpunkt åtgärderna vidtagits. 3. Användarens och patientens identitet framgår av loggarna. 4. Systematiska och återkommande stickprovskontroller av loggarna görs. 5. Genomförda kontroller av loggarna dokumenteras. 6. Loggarna arkiveras i minst tio år.
2 7. Loggarna diarieförs. Loggkontroll Detta dokument beskriver hur och av vem dessa kontroller ska utföras av. I Staffanstorps kommun används: - Treserva, ett dokumentationssystem för insatser enligt hälso- och sjukvårdslagen (HSL) - Nationell patenöversikt (NPÖ) är en tjänst som gör det möjligt för legitimera vårdpersonal att med patientens samtycke ta del av journal information som regiterats i olika patientjournaler hos andra vårdgivare inom Sverige. Tilldelning av behörighet för elektronisk åtkomst Vårdgivaren ska bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om patienter som förts helt eller delvis automatiserat. Sådan behörighet ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Se rutin för Behörigheter inom Hälso- och sjukvården. Information till personal De anställda ska löpande informeras om regelverket och att kontroll och uppföljning av loggen sker systematiskt och kontinuerligt i verksamheten av närmsta chef. All hälso-och sjuvårdspersonal och omvårdnadspersonal med tillgång till hälso- och sjukvårds journal ska känna till att olovligt intrång är straffbart och kvalificeras som dataintrång. Personal har alltså inte rätt att ta del av några patientuppgifter om det inte finns ett arbestrelaterat pågående behov. Ansvar Verksamhetschefen ansvarar för att ta fram aktuella rutin om loggkontroll. Detta arbete utförs tillsammans med systemansvarig och medicinskt ansvarig sjuksköterska och är ett övergripande ansvar för att loggrutiner efterföljs. Systemägaren kan när som helst när situationen så påkallar, genomföra kontroller. Granskning Ansvar för genomgång av loggar: Enhetschef granskar personalen i sin verksamhet. MAS granska personal i utredningshänseende. Verksamhetschef för hälso- och sjukvården granskar övriga, till exempel MAS, systemadministratör med flera. Kontroller av loggar Enhetschefen, systemansvarig och medicinskt ansvarig sjuksköterska träffas en gång i kvartalet för loggkontroll. Systemadministratören tar fram loggkontroller från Treserva efter uppgifter av enhetschefen.
3 Vad kontrolleras Tjänstgöringslistan kontrolleras för att säkerställa att rätt/behörig användare varit inne i berörd patientjournal. Logg listan granskas så att ingen otillåten läsning skett. Granskningsprotokoll upprättas. Loggkontroll gäller all personal med tillgång till hälso- och sjukvårdjournalen, fast anställda och vikarier. Stickprovskontroller av loggar Medarbetar med mer än en arbetsplats ska granska på samtliga arbetsställen En gång i kvartalet ska ett antal användare inom respektive verksamhet slumpmässigt välja ut, vars loggar granskas. Samtlig fast personal ska loggas minst en gång om året. Riktade kontroller av loggar Det kan finnas skäl till att granska loggen för en viss patient/vårdtagare om det rör sig om en offentlig person om patienten vårdtagaren är involverad i en händelse som kan bli massmedialt uppmärksammats om personalen har en nära privat relation med patienten till exempel släkting, granne mm och inte har någon vårdkontakt med patienten när personalen har behörighet till mer än en verksamheter. Vid misstanke om obehörig åtkomst till vårdinformation från verksamhetssystemet ska loggkontroll omedelbart ske. Är misstanken riktad mot en specifik användare ska kontrollen ske för den tidsperiod som misstanken omfattar. Resultat utan anmärkning Då granskningen av logglistan överensstämmer med tjänstgöringslistan noterar enhetschefen detta på granskningsprotokoll i journallogg till exempel utan anmärkning med datum och namn underskrift. Resultat misstanke om olovligt intrång Misstanke om olovligt intrång noteras på granskningsprotokollets. Ansvarig chef för loggkontrollen utreder misstänkt intrång omgående. Bekräftat intrång rapporteras till verksamhetschefen för hälso- och sjukvård, för vidare åtgärder. Åtgärder som vidtagits av enhetschefen ska framgå. Olovligt intrång ska polisanmälas av enhetschefen/verksamhetschefen, utredningen lämnas som bilaga till polisen. Socialnämnd ska alltid underrättas vid olaga intrång.
4 Arkivering av loggkontroll Granskningsprotokollet arkiveras i Vård och omsorgs arkiv, efter varje granskning och förvaras i 10 år. Loggkontrollerna ska precenteras i verksamhetsberättelsen/ patientsäkerhetsberättelsen. Medicinska ansvarig sjuksköterska Medicinskt ansvarig sjuksköterska (MAS) kan utföra oanmälda och fördjupade logguppföljningar utifrån sina befattningar med ansvar att granska säkerhet och kvalitet samt anmälningsärenden. Enskild/patienten Den enskilde kan begära ut loggar som är kopplade till sin patientjournal. Begäran skickas till medicinskt ansvarig sjuksköterska. SYSTEMATISKA STICKPROVSKONTROLL FÖR NATIONELL PATIENTÖVERSIKT (NPÖ) Följer rutin för granskning av loggar i verksamheten med följande tillägg. Stickprovskontroller för NPÖ När urval har bestämts/slumpats tar systemadministratören fram en loggrapport från INERA Säkerhetstjänster gällande NPÖ. Enhetschefen granskar logglistan mot tjänstgöringslistan för att säkerställa att rätt/behörig användare varit inne i berörd patientjournal. Gruppen går igenom loggar och granskar så att ingen otillåtlig läsning skett. Granskningsprotokoll upprättas. Riktade kontroller för NPÖ Vid misstanke om obehörig åtkomst till vårdinformation från verksamhetssystemet eller från NPÖ ska loggkontroll omedelbart ske. Är misstanken riktad mot en specifik användare ska kontrollen ske för den tidsperiod som misstanken omfattar. Det kan även finnas skäl att granska loggen för en viss patient/vårdtagare om det rör sig om en offentlig person om patienten vårdtagaren är involverad i en händelse som kan bli massmedialt uppmärksammats
5 om personalen har en nära privat relation med patienten till exempel släkting, granne mm och inte har någon vårdkontakt med patienten när personalen har behörighet till mer än en verksamheter. uppgifter från vissa mottagningar eller medicinska specialiteter Gruppen går igenom loggar och granska så att ingen otillåten läsning skett. Regelverk Lagar och föreskrifter som ligger till grund för riktlinjerna: - SOSFS 2008:14 Socialstyrelsens föreskrifter om informationshantering och journalföring i hälso- och sjukvården. - SOSFS 2008:355 Patientdatalagen - SOSFS 2010:659 Patientsäkerhetslagen
6 Granskningsprotokoll journallogg utan anmärkning Enhet: Genomförd logg för perioden är utan anmärkning. Underskrift, granskande chef Datum Namnförtydligande
7 Vård och Omsorg Granskningsprotokoll journallogg Enhet Avser perioden Namn, personnummer/ användare Datum Kommentar/anmärkning Åtgärd.... Granskande chef... Namnförtydligande Datum