Regelverk avseende hantering av loggrapporter för vårdsystem samt åtgärder vid dataintrång

Relevanta dokument
KVALITETSSYSTEM Socialförvaltningen

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem

ORGANISATIONSNUMMER: ADRESS: NORDENSKIÖLDSGATAN 14, GÖTEBORG

Rutin för loggning av HSL-journaler samt NPÖ

Rutin för loggkontroll av åtkomst till hälso- och sjukvårdsdokumentation

Hantering av loggkontroller och intrång i journal- och passagesystem

Riktlinjer för logghantering, kontroll och åtkomst enligt Patientdatalagen (PDL) och SOSFS 2008:14 (Vodok och NPÖ)

Loggkontroll - granskning av åtkomst till patientuppgifter

Beslutad av Magnus Johansson, vård- och omsorgsdirektör den 4 april 2016.

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA

Rutin för loggkontroll av åtkomst till hälso- och sjukvårdsdokumentation

Rutin för loggkontroll och tilldelning av behörigheter i nationell patientöversikt (NPÖ) Rutinen gäller från fram till

MAS Kvalitets HANDBOK för god och säker vård

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

Avtal LK 09-0

Det föreslagna beslutet medför inga kända ekonomiska konsekvenser för kommunen.

Patientdatalagen (PdL) och Informationssäkerhet

Logghantering för hälso- och sjukvårdsjournaler

Dataintrång - åtgärder vid misstanke om olovlig åtkomst

Loggkontroll - granskning av åtkomst till patientuppgifter

Informationshantering och journalföring. nya krav på informationssäkerhet i vården

Riktlinjer för samtal med medarbetare beträffande loggranskning

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Patientdatalagen. Juridik- och Upphandlingsstaben

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Informationssäkerhet med logghantering och åtkomstkontroll av hälso- och sjukvårdsjournaler i Vodok och nationell patientöversikt (NPÖ)

Åtkomst till patientuppgifter

Kändisspotting i sjukvården

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Sekretess och tystnadsplikt

Förklaringar till Nationellt regelverk för enskilds direktåtkomst till journalinformation

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillämpningsanvisningar för tillgång till och utlämnande av patientinformation

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Ökad personlig integritet för patienten

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) 4 kap. patientdatalagen m.m.

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Tillsyn - äldreomsorg

Sekretess, lagar och datormiljö

[7] TILLÄMPNINGSOMRÅDE Rutinen gäller för hälso- och sjukvårds dokumentation enligt patientdatalagen

RUTIN FÖR LOGG KONTROLL

Tillsyn - äldreomsorg

Loggrutin för Socialtjänsten, Karlsborgs kommun

Rutin Loggkontroll i Viva

Koncernkontoret. Enheten för informationssäkerhet Loggkontroll - förutsättningar i ITstöden. Datum: Dnr:

Hur får jag använda patientjournalen?

Riktlinje för informationshantering och journalföring

Tillgång till patientuppgifter - krav på spärrar och aktiva val. Katja Isberg Amnäs Magnus Bergström Datainspektionen

Sammanhållen journalföring

RUTINER FÖR LOGGNING I PROCAPITA

Beredningen för integritetsfrågor

Monitorerares tillgång till Cosmic vid kliniska prövningar

MAS Riktlinje för logghantering gällande hälso- och sjukvårdsjournaler

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Nationell Patientöversikt (NPÖ) för en effektiv och säker vård inom vård- och omsorgsboende i Solna kommun

Rutin för kontroll av loggar

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen

RIKTLINJE NATIONELLA PATIENT ÖVERSIKTEN (NPÖ)

Åtkomst till patientjournal för vårdens personal - blankett, Uppdrag att journalgranska

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Riktlinjer för informationshantering och journalföring i hälso- och sjukvården i särskilt boende i Solna kommun

Riktlinjer avseende åtgärder vid dataintrång

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Juridiska frågor och svar om försäkringsmedicinska utredningar rörande personuppgiftsbehandling och dokumentation

Riktlinjer för hälso- och sjukvårdsdokumentation

Hälso- och sjukvårdsdokumentation

Råd Kontroll av åtkomst till patientuppgifter - loggranskning

Kvalitetsregister & Integritetsskydd. Patrik Sundström, jurist SKL

Landstingsstyrelsens beslut

Tystnadsplikt och sekretess i vården

Anvisning för Journal via nätet

Bättre överblick, ännu bättre vård.

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Informationssäkerhet i patientjournalen

Svevac - Beskrivning och tjänstespecifika villkor

Hantering av spärrar och annan information i samband med omorganisationer och verksamhetsrelaterade förändringar Underrubrik på titelsida

BÄTTRE ÖVERBLICK GER ÄNNU BÄTTRE VÅRD

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

AVTAL AVSEENDE SAMMANHÅLLEN JOURNALFÖRING

Riktlinjer för informationshantering och journalföring i hälso- och sjukvården i särskilt boende i Solna kommun

1(12) Dokumentation inom SoL, LSS och HSL. Styrdokument

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Sammanhållen journalföring och Nationell Patientöversikt i Västra Götalandsregionen

Rätt information på rätt plats i rätt tid (SOU 2014:23) remissvar till kommunstyrelsen

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Försäkringskassan

Bättre överblick, ännu bättre vård. Sammanhållen journalföring. Nya möjligheter för vården att få ta del av dina uppgifter.

regel plan policy program regel riktlinje rutin strategi taxa regler för hantering av socialförvaltningens allmänna handlingar ...

Transkript:

Regelverk avseende hantering av loggrapporter för vårdsystem samt åtgärder vid dataintrång Loggrapporten är en allmän handling som omfattas av Offentlighets- och sekretesslagen och ska därmed sekretessprövas innan den lämnas ut. En loggrapport kan begäras av vem som helst, men det görs vanligtvis av en patient eller verksamhetschef. Begäran om utlämnande av en allmän handling ska alltid hanteras skyndsamt. Allmänt om loggning I alla system som innehåller patientuppgifter finns krav på spårbarhet. Detta sker inom landstinget genom att system som innehåller patientuppgifter eller andra personuppgifter loggar händelser kring dessa. Loggen ska vara så detaljerad att den kan användas för att utreda felaktig eller obehörig användning av personuppgifterna (spårbarhet). Det ska vara möjligt att i efterhand reda ut vilken information som användaren har haft tillgång till, vad som har gjorts och när det har gjorts. Objektägaren för respektive system ansvarar för att det finnas dokumenterade regler för vad som ska loggas. Loggarna ska sparas i minst tio år. Patientadministration och behovet av en central hantering På Landstinget i Uppsala län finns en central enhet, CESÅ, som hanterar utlämnande av loggrapporter och journalkopior samt även spärrar i journalen. De tillhör Patientadministrationen vid Landstingets resurscentrum. Patientadministrationen är en gemensam servicefunktion för patienter, landstingets vårdverksamhet och andra externa parter. Förutom CESÅ finns där funktioner för att hantera patientfakturor, sjukresor, asylsamordning, husläkarlistning och vårdgaranti. Det är viktigt att även framöver ha en central funktion som hanterar utlämnande av loggrapporter. Därigenom kan landstinget ha en enhetlig hantering av detta samt ett konsekvent informationsflöde till patienterna. Ansvariga för verksamhetsspecifika vårdsystem, som inte är landstingsövergripande ska tillse att egna rutiner finns för logguppföljning. Denna uppföljning ska då minst nå upp till nivån i detta regelverk. 1

Begäran om loggrapport från patient eller annan person Diarienummer CK2013-0162 - En begäran om loggrapport kan till CESÅ ske skriftligen, muntligen eller via formulär på www.lul.se och www.minavardkontakter.se. Begäran från patient som inkommer till verksamhetschef eller av denne utsedd person skickas av denne vidare till CESÅ för handläggning. - Kostnaden för allmänna handlingar såsom journalkopior och loggrapporter utgår från Landstingsstyrelsens beslut 2010. I klartext innebär detta beslut följande: Sida 1-9 utlämnas kostnadsfritt Sida 10 kostar 100 kronor Sida 11 och över kostar 6 kr styck upp till maxbeloppet 500 kr (som innebär 77 sidor eller fler) - Framställan av loggrapporten görs av CESÅ. I de fall en mer detaljerad loggrapport krävs tas denna fram av EPJ förvaltning med hjälp av tekniker för det aktuella systemet. - Loggrapporten skickas per post till folkbokföringsadressen. Om patienten önskar få loggrapporten skickad till annan adress eller om innehållet bedöms känsligt ur ett integritetsperspektiv skickas den istället med rekommenderad post. - Allmänna frågor om loggrapportens utseende och innehåll ställs till CESÅ. Vid frågor som gäller vilka som har varit inne i en viss journal och varför hänvisas patienten till aktuell verksamhetschef. För vidare åtgärder gällande dataintrång se detta avsnitt. Begäran om loggrapport från verksamhetschef - En verksamhetschef kan begära loggrapport för personal som tillhör det egna verksamhetsområdet. En verksamhetschef kan även begära en loggrapport för en patient som vårdats inom det egna verksamhetsområdet. - Begäran ställs till CESÅ som handlägger denna. I de fall en mer utförlig logg krävs hänvisar CESÅ till lämplig person på EPJ förvaltning. Loggrapporten skickas sedan till verksamhetschefen sekretessmärkt via krypterad e-post. 2

Systematisk loggkontroll via regelbundna logguttag Diarienummer CK2013-0162 Som vårdgivare är Landstinget i Uppsala län skyldiga att med regelbundenhet utföra slumpmässiga loggkontroller för att på så sätt upptäcka eventuella dataintrång. Detta skall göras fyra gånger årligen. Urval av loggposter som ska kontrolleras - 100st slumpvist utvalda anställda. - Maximalt 50st av de anställda som under senaste året valt att häva en spärr satt av en patient. EPJ förvaltning ombesörjer att dessa loggrapporter tas ut och skickas till respektive divisions- /förvaltningschef för vidarebefordran till divisionens/förvaltningens verksamhetschefer tillsammans med följebrev. I de fall landstingets gemensamma logghantering av tekniska skäl inte innehåller loggar från vissa landstingsövergripande vårdsystem, inhämtas dessa loggar separat och inkluderas i den systematiska loggkontrollen. Det är verksamhetschefen själv, eller någon av verksamhetschefen utsedd person, som kontrollerar att ingen otillbörlig åtkomst skett. Loggrapportens tidsperiod ska vara så omfattande som möjligt men vald utifrån bedömningen att rapporten ska vara hanterbar för den som ska kontrollera. Kontrollen skall inte ske slentrianmässigt, utan med kreativitet och inlevelse av typen: - Var accessen rimlig med avseende på tiden för åtkomsten? - Hade personen i sin befattning, rimligtvis behov av göra åtkomsten? Om tiden för åtkomsten avviker från tiden för patientens vårdkontakt, kan frågan ställas om syftet med åtkomsten var annat än vård av patienten, exempelvis kvalitetssäkring eller framställan av statistik. Den som följer upp åtkomsterna förutsätts väl känna till bestämmelserna i Patientdatalagen (SFS 2008:355) gällande tillåten och otillåten åtkomst. Den som kontrollerar åtkomster förutsätts också i lämplig omfattning ha direktkontakt med närliggande enhets ansvarig för att bättre kunna avgöra en enskild individs åtkomst. När kontrollen är klar meddelas förvaltning EPJ att så skett. Resultatet av kontrollen lagras hos respektive verksamhetschef. Avvikelser hanteras enligt rutin om misstänkt dataintrång. 3

Extra loggkontroller som åligger verksamhetschefen Förutom att landstinget utför en systematisk loggkontroll har respektive verksamhetschef ansvar för att i följande situationer själv initiera en loggkontroll. - När vårdkontakten avslutas för en patient som har skyddade personuppgifter. - När en patient med högt nyhetsvärde vårdas inom verksamheten. Exempel kan vara politiker, artister eller andra offentliga personer där man kan anta att allmänhetens intresse är högt. - När en hotbild mot patienten identifierats. - När en anställd vårdats inom samma verksamhet som denne normalt arbetar inom. Loggkontrollen sker genom att verksamhetschefen från CESÅ begär ut aktuell loggrapport och kontrollerar denna. Avvikelser hanteras enligt rutin om misstänkt dataintrång. Privata vårdgivare som använder landstingets vårdsystem I de fall privata vårdgivare via avtal använder landstingets vårdsystem agerar landstinget personuppgiftsbiträde. Själva personuppgiftsansvaret ligger hos den privata vårdgivaren. I praktiken innebär detta att landstinget utför behandling av den privata vårdgivarens personuppgifter enligt dennes instruktioner. När det finns reglerat i avtal kan landstinget, på uppdrag av den privata vårdgivaren, hantera utlämnande av loggar till den privata vårdgivarens patienter. Den privata vårdgivarens patienter kan då vända sig till CESÅ med sin begäran. Den privata vårdgivaren har själv ansvar att loggkontroller görs gällande sin egen personal. Beställningar av loggrapporter görs till CESÅ. Tillgång till landstingets verktyg för logguttag kan ges till en privat vårdgivare om åtkomsten kan begränsas till endast den privata vårdgivarens personuppgifter. I annat fall hanterar CESÅ uttag av dennes loggar. 4

Åtgärd vid misstanke om dataintrång Denna rutin gäller hur misstänkta dataintrång. Misstanke kan uppkomma i samband med förfrågan från patient, alternativt i samband med slumpmässiga eller riktade logganalyser. Åtgärder 1. I de fall misstanke om dataintrång initierats av en patient begär verksamhetschefen ut loggrapporten från CESÅ för att säkerställa att den överrensstämmer med den rapport som grundat misstanken. 2. Om tveksamheter föreligger och en djupare och mer teknisk utredning krävs tar verksamhetschefen kontakt med EPJ förvaltning. 3. Verksamhetschefen går sedan, tillsammans med den anställde som misstänks för dataintrånget, igenom loggrapporten och diskuterar otydligheter. 4. Återkoppling sker därefter till den som initierat frågan. Om det fortfarande föreligger misstanke om dataintrång kontaktas jurist och personalavdelning. 5. Personalavdelningen håller sedan, tillsammans med jurist, ett protokollfört möte med den misstänkte där denne redogör för sin förklaring till loggmärket samt att landstinget redogör för sin handlingsplan i ärendet. 6. Anses misstanken efter detta möte vara stärkt eller om personen ifråga erkänt ska händelsen polisanmälas. Övrigt: Ärenden av denna typ skall hanteras med stor försiktighet och med alla inblandades integritet i fokus. Av hänsyn till den som står som misstänkt ska ärendet hanteras skyndsamt. Verksamhetschefen och övriga inblandade måste vara mycket restriktiva med vilka som blir involverade i ärendet och vara noga med att sekretessen inte bryts. Den misstänkte kan mycket väl vara helt oskyldig till det förmodade dataintrånget. Vårdgivaren ska aldrig agera domare i fall där ord står mot ord. Dessa fall lämnas till polis och åklagare som i sin tur beslutar om vilka åtgärder som ska vidtas. Fastställd av chefläkargruppen LUL mars 2013 Fredrik Rosenberg, informationssäkerhetsansvarig LUL 5

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss