Datum Diarienr 2010-02-23 1333-2009 City Dental i Stockholm AB Box 16156 111 51 Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen konstaterar att City Dental i Stockholm AB (härefter Citydental) i strid med 4 kap. 2 patientdatalagen (2008:355) och 2 kap. 6 Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården saknar rutiner för behörighetsstyrning. Vidare konstateras att Citydental, genom att varken ha tekniska förutsättningar, genomföra eller ha rutiner för systematisk och återkommande åtkomstkontroll, behandlar patientuppgifter i strid med kraven rörande åtkomstkontroll i 4 kap. 3 patientdatalagen och 2 kap. 11 SOSFS 2008:14. Datainspektionen förutsätter att Citydental snarast - tar fram och inför en rutin som säkerställer att behörigheter begränsas till vad som behövs för en god och säker vård, och - tar fram och inför en rutin för förändring, borttagning och regelbunden uppföljning av behörigheterna, och - ser till att det finns tekniska förutsättningar för att genomföra åtkomstkontroll, samt - tar fram och inför rutiner för systematisk och återkommande åtkomstkontroll. Citydental ska senast den 30 april 2010 lämna en skriftlig redogörelse till Datainspektionen för vad arbetet med att rätta till dessa brister har resulterat i. Ärendet avslutas, men kommer att följas upp. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
Redogörelse för tillsynsärendet Datainspektionen genomförde den 1 oktober 2009 en inspektion av Citydentals personuppgiftsbehandling. Under inspektionen framkom bl.a. följande. Citydental startades år 2005 och har idag omkring 90 anställda. Personalen utgörs bl.a. av tandläkare, tandsköterskor, tandtekniker, laboratoriepersonal och receptionister. Citydental har tagit emot omkring 65 000 patienter på sin aktiva lista. Citydental använder patientjournalsystemet Almasoft, som är ett kombinerat journal- och administrativt system. För drift och support har Citydental anlitat företaget Safe Dental Partner AB, med vilka man har ett personuppgiftsbiträdesavtal. Behörighetsstyrning Citydental har vid inspektionen ingen dokumenterad rutin för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheterna i journalsystemet Almasoft. Det finns inte heller någon rutin som säkerställer att behörigheter begränsas till vad som behövs för en god och säker vård. Det görs ingen behovs- och riskanalys vid behörighetstilldelningen. Personalen har inte unika behörigheter, utan alla användare har samma läs- och skrivbehörighet till uppgifter i patientjournalsystemet. Behörigheter följs inte upp och tas heller inte bort. Personalen har inte individuella användarnamn och lösenord för inloggning i journalsystemet, utan istället tillämpas gruppinloggning. Efter inspekti0nen har Citydental sett över behörighetsstyrningen och tilldelat samtliga användare individuella användarnamn och lösenord. Användarnas behörigheter har även anpassats till vad användarens behov och arbetsuppgifter. Åtkomstkontroll Citydental gör inga systematiska och återkommande kontroller (loggkontroll) av åtkomsten till uppgifter i Almasoft. Citydental har sedan starten 2005 inte gjort någon kontroll av åtkomsten till uppgifter i journalsystemet. Vid tidpunkten för inspektionen var det oklart vilka uppgifter som återfinns i loggarna. I efterhand har Citydental informerat om att det inte finns några åtkomstloggar i journalsystemet, förutom vad gäller tidbokning och ekonomiska transaktioner. Samtidigt uppges att en version av Almasoft som ska uppnå full spårbarhet per inloggad användare är planerad att introduceras under perioden maj-juli 2010. Sida 2 av 5
Datainspektionens bedömning Behörighetsstyrning Av 4 kap. 2 patientdatalagen (2008:355) följer att vårdgivaren ska bestämma villkor för tilldelning av behörigheter samt att behörigheterna ska begränsas till vad som behövs för att användaren ska kunna fullgöra sina arbetsuppgifter. Detta kompletteras sedan av bestämmelserna i 2 kap. 6 Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården. Av denna bestämmelse framgår följande. - Det ska finnas rutiner som säkerställer att behörigheter begränsas till vad som behövs för en god och säker vård. - Varje användare ska tilldelas en individuell behörighet. - Beslut om tilldelning av behörighet ska föregås av en behovs- och riskanalys. - Det ska finnas rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheterna. I ärendet har framkommit att Citydental efter inspektionen vidtagit åtgärder för att tilldela användarna individuella behörigheter med utgångspunkt från användarens behov. Någon rutin för detta, d.v.s. en rutin som säkerställer att behörigheter begränsas till vad som behövs för en god och säker vård, har däremot inte tagits fram. Inte heller har Citydental rutiner för förändring, borttagning och regelbunden uppföljning av behörigheterna. I regelverket ställs tydliga krav på att personalens behörighet för elektronisk åtkomst till patientuppgifter ska begränsas till vad den enskilde användaren behöver för att kunna utföra sina arbetsuppgifter. Det ska även finnas rutiner som säkerställer detta. I propositionen Patientdatalag m.m. (SOU 2007/08:126) sid. 148f framför regeringen att syftet med bestämmelsen är att inpränta skyldigheten för den ansvarige vårdgivaren att göra aktiva och individuella behörighetstilldelningar utifrån analyser av vilken närmare information olika personalkategorier och olika slags verksamheter behöver. Att följa upp utdelade behörigheter för att exempelvis kontrollera att behörigheterna är förenliga med användarnas aktuella arbetsuppgifter är centralt ur ett integritetsperspektiv. Det handlar inte bara om att se till att ta bort behörigheter när användare slutar vid en mottagning, utan även om att anpassa behörigheterna efter användarnas aktuella behov. Att en användare får nya eller förändrade arbetsuppgifter, såväl tillfälligt som permanent, är exempel på omständigheter som kan komma att påverka en tidigare utdelad Sida 3 av 5
behörighet. En sådan uppföljning ger ökade förutsättningar för att ha ändamålsenliga och individuellt anpassade behörigheter. Mot bakgrund av ovanstående konstaterar Datainspektionen att Citydental i strid med 4 kap. 2 patientdatalagen (2008:355) och 2 kap. 6 Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården saknar rutiner för behörighetsstyrning. Datainspektionen förutsätter att Citydental tar fram och inför dels en rutin som säkerställer att behörigheter begränsas till vad som behövs för en god och säker vård, dels en rutin för förändring, borttagning och regelbunden uppföljning av behörigheterna. Citydental ska senast den 30 april 2010 lämna in en skriftlig redogörelse till Datainspektionen för vad arbetet med att ta fram och införa dessa rutiner har resulterat i. Åtkomstkontroll Åtkomstkontroll handlar delvis om att kontrollera att ingen obehörig tagit del av information i ett IT-system. En sådan kontroll sker vanligtvis med hjälp av de åtkomstloggar som genereras när en användare vidtar åtgärder i ITsystemet, t.ex. läser eller skriver. För tandvårdens del följer av 4 kap. 3 patientdatalagen att åtkomst till patientuppgifter ska dokumenteras och kunna kontrolleras samt att vårdgivaren ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt patientuppgifterna. Detta kompletteras sedan av bestämmelsen i 2 kap. 11 Socialstyrelsens nämnda föreskrifter. Av denna bestämmelse framgår att vårdgivaren ska ansvara för att det finns rutiner som säkerställer att - det av loggarna framgår vilka åtgärder som har gjorts med uppgifterna, - det av loggarna framgår vid vilken vårdenhet och vid vilken tidpunkt åtgärderna har vidtagits, - användarens och patientens identitet framgår av loggarna, - systematiska och återkommande stickprovskontroller av loggarna görs, - genomförda kontroller av loggarna dokumenteras, och - loggarna sparas i minst tio år. I ärendet har framkommit att Citydental i journalsystemet Almasoft, förutom vad gäller tidbokning och ekonomiska transaktioner, saknar loggar som möjliggör åtkomstkontroll. Citydental har såldes aldrig genomfört någon systematisk och återkommande åtkomstkontroll. Inte heller finns rutiner för detta. Vidare har framkommit att en ny version av journalsystemet, med full spårbarhet per inloggad användare, är planerad att introduceras i maj-juli 2010. Sida 4 av 5
Det är enligt Datainspektionen ytterst anmärkningsvärt att en vårdgivares journalsystem helt saknar åtkomstloggar som dokumenterar den aktivitet som sker med patientuppgifterna. Detta särskilt med tanke på att krav på dokumentation av aktivitet (loggar) och kontroll av aktiviteten (loggkontroll) har varit centrala beståndsdelar även i den lagstiftning och praxis som föregått patientdatalagen. I sammanhanget vill Datainspektionen poängtera att det i förhållande till patienterna alltid är vårdgivarens, i detta fall Citydentals, ansvar att vidta åtgärder för att försäkra sig om att det finns tekniska, organisatoriska och faktiska förutsättningar att leva upp till kraven på åtkomstkontroll. Mot bakgrund av ovanstående konstaterar Datainspektionen att Citydental behandlar patientuppgifter i strid med kraven rörande åtkomstkontroll i patientdatalagen och Socialstyrelsens föreskrifter. Datainspektionen förutsätter att Citydental snarast vidtar åtgärder för att rätta till dessa brister. När det gäller det pågående arbetet med att skapa förutsättningar för spårbarhet i journalsystemet utgår Datainspektionen ifrån att Citydental iakttar bestämmelserna i 2 kap. 11 SOSFS 2008:14, särskilt med avseende på vad som ska framgå av loggarna. Förutom att se till att det finns sådana tekniska förutsättningar för att genomföra åtkomstkontroll ska Citydental ta fram och införa rutiner för systematisk och återkommande åtkomstkontroll. Vidare förutsätter Datainspektionen att Citydental i övrigt iakttar de krav som ställs på åtkomstkontroll, exempelvis rörande dokumentation av loggkontroll och bevarande av loggar. Datainspektionen vill att Citydental senast den 30 april 2010 lämnar en skriftlig redogörelse till Datainspektionen dels för vilka tekniska åtgärder som vidtagits, dels för vad arbetet med att ta fram och implementera rutiner för en systematisk och återkommande åtkomstkontroll har resulterat i. I redogörelsen ska särskilt framgå vilka loggar som skapas av aktivitet i Almasoft. Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Inspektionen måste ha fått ert överklagande inom tre veckor från den dag ni fick ta del av beslutet, annars kan överklagandet inte prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholms län för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Patrik Sundström Sida 5 av 5