J8L Socialstyrelsen T/Region Nord'Sek2 Knster Lundstrdm knster.lundstromfoisocialsrvrelsen.se BESLUT 2011-06-1: Dnr 9.1-6676/2011 Vasterbottens lans landsting Landstingsdirektor Jonas Rastad 901 89 UMEA 1(5) Vardgivare Vasterbottens lans landsting Arendet Egeninitierad verksamhetstillsyn av vardgivarensinformationssakerhet Socialstyrelsens beslut Vardgivaren ska vidta foljande atgarder: Inom ledningssystemet ta fram en informationssakerhetspolicy Sakerstalla att arlig rapportering sker till vardgivaren av granskningar, riskanalyser och atgarder av storre betydelse avseende informationssakerheten Sakerstalla att aterlasningstester gors Sakerstalla att systematisk uppfoljning av behorigheter gors Redovisa tidplan for inforande av teknisk sparr i joumalsystemet. En riskanalys med koppling till patientsakerhetsrisker ska ligga till grand for framtagandet av tidplanen. Redovisa tidplan for inforande av loggar dar det framgar vilka at garder som har vidtagits med patientuppgifterna. En riskanalys med koppling till patientsakerhetsrisker ska ligga till grand for framta gandet av tidplanen. Sakerstalla att loggkontroller gors Redovisa analys over omfattningen av patientuppgifter som overfors via oppna nat utan kryptering Folja upp utbildningsaktiviteter vad galler SYSteam Cross Sakerstalla att kontinuitetsplanen fungerar Redovisning av vidtagna atgarder ska ha inkommit till Socialstyrelsen senast 2011-09-30. Om de krav som stalls inte uppfylls kan Socialsty relsen komma att utfarda ett forelaggande med eller utan vite. SOCIALSTYRELSEN Box 34 901 02 UMEA Nygatan 18-20 Telefon 075-247 30 00 socialstyrelsen@socialstyrelsen.se www.sociaistyrelsen.se Fax 075-247 32 52 Org nr 202100-0555 Plusgiro 15616-6
SOCIALSTYRELSEN 2011-06-13 Dnr 9.1-6676/2011 2(5) Bakgrund Den 1juli 2008 tradde patientdatalagen (2008:355) och Socialstyrelsens foreskrifter (SOSFS 2008:14) om informationshantenng och journalforing i halso- och sjukvarden i kraft. Dessa regelverk omfattar alia vardgivare som hanterar patientuppgifter och staller krav pa att patientuppgifterna hanteras pa ett sakert satt. Underlag Inspektion Dokument Inspektionsrapport Redovisning av tillsyn Mot ovanstaende bakgrund beslutade Socialstyrelsen attgenomfora en granskning avvardgivarens informationssakerhet. Tillsynen omfattar vardgivarens ledning och styrning av informationssakerheten samt hur informationssakerhetskraven har applicerats for joumalsystemet, SYSteam Cross. Tillsynen inleddes med information och avisering om in spektion till vardgivaren. Inspektionen genomfordes den 7-8 april 2011. Inspektionsrapport upprattades och kommunicerades med vardgivaren enligt 7kap 19 Patientsakerhetslagen (2010:659). Resultatet av tillsy nen aterfors till vardgivaren i form av skriftligt beslut. Vardgivarens yttrande Inspektionsrapporten harkompletterats i relevanta delar efter vardgiva rens yttrande. Skalen for besiutet Tiliampliga bestammelser 2 kap Socialstyrelsens foreskrifter (2005:12) om ledningssystem for kvalitet ochpatientsakerhet i halso- och sjukvarden. 2 kap Socialstyrelsens foreskrifter (SOSFS 2008:14) om informationshantering ochjournalforing i halso- och sjukvarden 6 kap Patientdatalagen (2008:355) Socialstyrelsens bedomning Styrning av informationssakerhet Vardgivaren ska ge direktiv och sakerstalla att det i verksamhetens led ningssystem for kvalitet och patientsakerhet firms en dokumenterad
SOCIALSTYRELSEN 2011-06-13 Dnr 9.1-6676/2011 3(5) informationssakerhetspoiicy. Informationssakerhetspolicyn ska vara det overgripande dokument som anger mal och inriktning for verksamhetens arbete med informationssakerhet. Socialstyrelsen konstaterar att Vasterbottens lans landsting saknar en dokumenterad informationssa kerhetspoiicy. Vardgivaren ska utse en eller flera personer som ska ansvara for informationssakerhetsarbetet. Den eller de som har fatt denna uppgift ska minst en gang om aret rapportera till vardgivaren vilka riskanalyser, granskningar samt skydds- och forba'ttringsatgarder avseende informa tionssakerheten som har genomforts. Socialstyrelsen konstaterar att nagon sadanrapportering inte har skett. Drift, incident och support Vardgivaren ska ansvara for hur ofta aterlasningstester ska goras. Soci alstyrelsen konstaterar att aterlasningstester, som enligt vardgivarens backup- rutin ska ske var sjatte manad, inte gors. Behorigheteroch atkomst till patientuppgifter Vardgivaren ska ha en rutin for forandring. borttagning och regelbunden uppfoljning av behorigheter. Verksamhetschefen ska ansvara for att utdelade behorigheter for atkomst till patientuppgifter ar andamalseniiga och forenliga med personalens aktuella arbetsuppgifter. Om en anvandare far nya arbetsuppgifter ska behorigheten foljas upp och forandras sa att den stammer overens med de nya arbetsuppgifterna. Social styrelsen konstaterar att systematisk uppfoljning av detta saknas. Vardgivaren ska ansvara for hur tillganglighet till sparrade patientupp gifter hanteras. I joumalsystemet hanteras sparrad informationen enligt fdljande. Om det finns sparrad information hos den vardenhet man valjer i systemet sakommer en varnings- och dialogruta upp. Valjer man att ga vidare visas en informationsrata. I denna finns en marketing "Sparrad" och det ska ha noterats vad patienten har begart ska sparras och vilka vardenheter som berors. Denna information visas hos alia vardenheter. Darefter kan man ga vidare och sevardenhetens information, exempelvis lakemedelslista, inklusive sadant som har skrivits in hos andra vardenheter, den delade lakemedelsinformationen fran andra vardenheter visas direkt. Hanteringen ar likadan vad galler vardenheter hos andra vardgiva re inom ramen for den sammanhallnajournalforingen. Socialstyrelsen konstaterar att sparren merar attbetrakta som enmarkering an som en teknisk sparr. Socialstyrelsens konstaterar ocksa att viss information, exempelvis lakemedelslista, artillganglig for anvandaren nar denne gar
SOCIALSTYRELSEN 2011-06-13 Dnr 9.1-6676/2011 4(5) in i en journal utan att anvandaren gjort ett aktivt val att se informationen for patienten ifraga. Loggning Vardgivaren ska ansvara for att det av loggarna framgar vilka atgarder som har vidtagits med patientuppgiftema och sakerstalla att systematiska och aterkommande stickprovskontroller av loggarna gors. Verksamhetschefen ska ansvara for kontroll av loggarna. Olika typer av kontroller kan goras och man kan delvis se anvandarnas aktiviteter. Sammanlagt ska dessa loggkontroller goras sa ofta att anvandarna kontrolleras cirka en gang per ar. Socialstyrelsen konstaterar att det bara delvis gar att se anvandarnas aktiviteter och art det firms en osakerhet om i vilken omfattning loggkontroller genomfors. Oppna nat Om en vardgivare gor patientuppgifter tillgangliga over oppna nat maste detta goras pa ett sadant satt att ingen obehorig kan ta del av uppgiftema. I praktiken innebar detta bland annat att patientuppgifter maste overfbras genom en krypterad forbindelse eller genom att kryptera uppgiftema. Vardgivaren definierar sitt natverk som oppet. Socialstyrelsen konstate rar att viss patientinformation, exempelvis vid kommunikation med andra vardgivare, inte ar krypterad. Faxning av patientuppgifter anvands bara som reservrutin. men Social styrelsen vill anda gora vardgivaren uppmarksam pa att telenatet raknas som ett oppet nat. Fax anvander telenatet for sin kommunikation. Darfor galler bestammelsema om oppna nat ocksa overforing av patient uppgifter med hjalp av fax. Detta innebar att det kan vara svart att overfbra uppgifter via fax pa ett sadant satt som uppfyller foreskriftemas krav pa sakerhet. Den vardgivare som anvander fax for sadana overforingar maste forvissa sig om att ingen obehorig kan na patientuppgif tema. Kontinuitet och personalens utbildning Vardgivaren ska ansvara for att patientuppgiftema ar atkomliga och anvandbara for den som ar behorig. Verksamhetschefema ska ansvara for uppfoljning ax patientuppgifternas kvalitet och andamalsenlighet. Ett arbete sker for att lakemedelslistoma i joumalsystemet ska vara helt korrekta. Det finns vissa problem i form av att man dubblerar ett preparat
SOCIALSTYRELSEN 2011-06-13 Dnr 9.1-6676/2011 5(5) m.m. vilket innebar brister i patientuppgiftemas kvahtet och andamalsenlighet. Ansvaret for att tillracklig utbildning i anvandning av joumalsyste met sker ligger pa verksamhetschefema. Socialstyrelsen konstaterar att en uppfoljning av om utbildningsaktivitetema gallande SYSteam Cross ar tillrackliga inte sker. Detfirms en rutin med kontinuitetsplan for oplanerade driftstopp for SYS team Cross, som har testats vid planerade driftstopp. Socialstyrelsen kon staterar att ingen strukturerad analys har skett av att kontinuitetsplanen sakerstaller att verksamheten fortsatter att fungera aven vid oplanerade driftstopp. Brister Socialstyrelsen har vid sin granskning funnit foljande brister som ror kvalitet och patientsakerhet. Brister vad galler informationssakerhetspoiicy Brister i rapportering till vardgivaren Brister vad galler aterlasningstester Brister i uppfoljning av behorigheter Brister i hantering av sparrade patientuppgifter Brister i loggar och kontroller av dessa Brister vid overforing av patientuppgifter via oppetnat Brister i uppfoljning av utbildningsaktiviteter Brister i uppfoljning av om kontinuitetsplanen fungerar Beslut i detta arende har fattats av sektionschefen Anne Vaher. Inspektoren Krister Lundstrom har varit foredraaande. For Socialstyrelsen Anne Vaher '6f~ " ^ Krister Lundstrom Kopia: G. Algers, systemagare for SYSteam Cross i VLL, via e-post.