Patientsäkerhet vid distansarbete. Granskning på uppdrag av Revisionskontoret i Region Skåne

Patientsäkerhet vid distansarbete Granskning på uppdrag av Revisionskontoret i Region Skåne Tina Burgerhout Noura Nilback Frida Sporrong Helseplan Stadsgården 10 116 45 Stockholm Tel 08-410 408 00 helseplan.se

Innehåll Sammanfattning och slutlig bedömning...3 1. Inledning...6 1.1. Bakgrund och syfte... 6 1.2. Definition och avgränsning... 6 1.3. Revisionsfrågor... 8 1.4. Metod och urval... 8 1.4.1. Dokumentgranskning... 8 1.4.2. Webbenkäter... 9 1.4.3. Intervjuer... 9 1.5. Revisionskriterier... 10 1.6. Projektorganisation... 10 2. Revisionsfrågorna och dess besvarande...10 2.1. Yrkesgrupper och arbetsuppgifter som görs på distans... 10 2.1.1. Iakttagelser... 11 2.2. Uppföljning av distansarbete... 15 2.2.1. Iakttagelser... 15 2.2.2. Bedömning... 17 2.3. IT-stöd, back-up och kryptering av data... 17 2.3.1. Iakttagelser... 18 2.3.2. Bedömning... 19 2.4. Risker vid distansarbete... 20 2.4.1. Iakttagelser... 20 2.4.2. Bedömning... 22 2.5. Extern part som utför arbete på distans... 22 2.5.1. Iakttagelser... 23 2.5.2. Bedömning... 24 2.6. Miljöer där arbete på distans utförs... 25 2.6.1. Iakttagelser... 25 2.6.2. Bedömning... 25 3. Övergripande frågeställning...26 Bilaga 1 - Intervjuförteckning 2

Sammanfattning och slutlig bedömning Övergripande frågeställning: Sker arbete vid distansarbete inom Region Skåne utifrån patientsäkerhetsperspektivet på ett sätt som uppfyller gällande beslut, policys och riktlinjer? Gällande policys och riktlinjer för distansarbete inkluderar idag inte patientsäkerhetsperspektivet på ett sätt som är tydligt för chefer och medarbetare och därmed är detta en aspekt av distansarbetet som i många fall inte diskuteras, avtalas eller följs upp. Granskningen visar att respektive medarbetare är ansvarig för det arbete som utförs enligt patientsäkerhetslagen oavsett var arbetet förläggs samt att säker inloggning och säkra dataöverföringsmetoder används vid distansarbete. Det går dock inte med tillgänglig information att dra några säkra slutsatser kring huruvida distansarbete sker på ett patientsäkert sätt. Vilka yrkesgrupper arbetar på distans, vilka arbetsuppgifter utförs på distans och i vilken utsträckning? Vår bedömning är att en fullständig kartläggning över i vilken utsträckning distansarbete förekommer inom Region Skåne inte går att utföra med den information som finns tillgänglig. De indikationer som gått att få genom statistik och enkäter visar att distansarbete sker i många yrkeskategorier och att den vanligast förekommande vårdgivande yrkeskategori inom Region Skåne som utför arbete på distans är läkare. Vår bedömning är att de arbetsuppgifter som utförs på distans inom Region Skåne är varierande och förekommer cirka en till tre gånger i veckan. Vanligast förekommande utförda arbetsuppgifter är administrativa arbetsuppgifter; både sådana som innehåller patientrelaterad information och sådana som inte gör det. Hur sker uppföljning av att gällande beslut, policys och riktlinjer inom området följs och att arbete på distans sköts på ett tillfredsställande sätt utifrån patientsäkerhet och sekretess? Finns det enhetliga rutiner? och Vad består uppföljningen i och hur ofta sker kontroller? Vilken/vilka enheter inom regionen, centralt och lokalt, är ansvariga för kontrollerna? Är kontrollerna tillräckliga i omfattning, innehåll och antal och har de fokus på patientsäkerhet och sekretess? Vår bedömning är att det inte sker regelmässiga kontroller av distansarbete i tillräcklig utsträckning. Granskningen visar att det enligt policyn ska vara den distansarbetandes närmaste chef som följer upp distansarbetet men att det varierar om och hur uppföljning av distansarbetet sker. Det finns ingen tydlig indikation på att de som har uppföljning rörande beslut, policys och riktlinjer också är de som har tecknat ett avtal för distansarbete. Vår bedömning är också att det inte förekommer kontroller av det mindre regelmässiga distansarbete som många medarbetare har möjlighet till via RSVPN-abonnemang. För denna typ av distansarbete har vi inte heller funnit några formella krav utifrån vilka uppföljning kan ske. I den mån uppföljning sker är det oftast dokumentet policy och riktlinjer för distansarbete som ligger till grund för vad som följs upp. I denna policy nämns sekretess som en aspekt men patientsäkerhet finns inte med. Vår bedömning är att det för Region Skånes verksamheter inte finns tillräckligt enhetliga rutiner kring uppföljning. I de fall uppföljning äger rum anger respondenter att uppföljning görs säger att det görs cirka en gång i halvåret. 3

Vår rekommendation är att Region Skåne skapar tydliga policys och riktlinjer för alla former av distansarbete för att möjliggöra uppföljning av allt distansarbete. Även patientsäkerhet bör betraktas som relevant och innefattas i denna policy. Hur tillses att ett användbart IT-stöd finns? Hur fungerar back-up och kryptering av data? Vi bedömer att det finns ett användbart IT-stöd för personer som arbetar på distans eftersom dessa har tillgång till samma system och information som om de satt på sin ordinarie arbetsplats inom Region Skånes nätverk. För säkerhetsfrågor när det gäller IT-stöd, dataöverföring och lagring ansvarar en IT-säkerhetsansvarig och en informationssäkerhetschef. Arbetsgivaren ansvarar för att förse distansarbetsplatsen med IT-utrustning. Vår bedömning utifrån intervjuer är att uppkoppling via RSVPN på distans är säker när informationen är krypterad. Vi bedömer att det inte finns någon särskild brist rörande back-up kopplat specifikt till distansarbete. Vi noterar dock att det finns kritik mot att endast tre backupversioner finns om inte verksamheten agerar för att fler versioner ska sparas. Vi rekommenderar en fördjupad studie rörande back-up av data generellt för att få en bild av om data sparas på ett sätt som säkerställer patientsäkerheten vid eventuellt datorhaveri och utifrån denna föreslå eventuella förändringar. Vilka risker finns vid distansarbete med patientuppgifter? och Vem bär ansvar för eventuella risker och hur fördelas dessa mellan olika parter? Vår bedömning är att de största riskerna vid distansarbete ligger i hur patientrelaterad information hanteras av den enskilde medarbetaren. Oberoende om arbetet skett på distans eller ej är det allvarligt ur sekretess- och i förlängningen även ur patientsäkerhetssynpunkt om patientinformation i vissa fall skickas via okrypterad mail. Vi rekommenderar att de tekniska möjligheterna att enkelt och i vissa fall automatiskt skicka data till externa servrar eller mailkonton bör undersökas närmare. Vår bedömning utifrån enkätsvaren är att det finns olika uppfattning om vem som står som ansvarig för patientsäkerhet och sekretessrisker inom Region Skåne. Vi rekommenderar att det görs ett tydliggörande från Regionens sida kring vad som gäller för att upprätthålla sekretess och patientsäkerhet vid distansarbete. Hur tillförsäkras likvärdig och hög patientsäkerhet/sekretess när extern part granskar och utför arbete på distans till Region Skåne? Vår bedömning är att likvärdig och hög patientsäkerhet och sekretess tillförsäkras genom de krav som ställs av Region Skåne på extern part vid utförande av arbete på distans och de rutiner som finns för uppföljning av dessa. Bedömningen görs utifrån att Region Skåne för dessa ändamål har upprättat särskilda avtal. Vår bedömning är också utifrån intervjuer att en likvärdig och hög patientsäkerhet och sekretess gäller ur ett IT-säkerhetsperspektiv när extern part granskar eller utför arbetsuppgifter på distans. Det faktum att det finns en ansvarig person på hälso- och sjukvårdsavdelningen som har till uppgift att granska och följa upp avtal med extern part bidrar till en tillförsäkrad likvärdig och hög patientsäkerhet och sekretess. För att de avtal som upprättats med extern part verkligen ska följas 4

upp förutsätts dock att det finns tillräckligt med tid och tydliga rutiner för denna avtalsuppföljning något som tidigare granskningar har visat har brustit i nuvarande organisation för avtalsuppföljning. Var utförs distansarbete, det vill säga i vilken miljö görs arbetet och uppfyller denna miljö krav på patientsäkerhet? Vår bedömning är att distansarbete inom Region Skåne främst utförs i miljöer som faller inom Region Skånes policys och riktlinjer. Dessa miljöer är som beskrivet i till exempel hemmet eller i annan kontorsmiljö. Vår bedömning är att distansarbete som utförs så som det definierats i Region Skånes policy och riktlinjer kan anses leva upp till kraven om sekretess. Denna bedömning utgår ifrån att Region Skåne bistår med utrustning för att distansarbetaren ska kunna leva upp till krav om sekretess. Det framkommer i granskningen att distansarbete även sker i offentliga miljöer. Vi kan inte utifrån granskningen bedöma om detta arbete innefattar patientuppgifter. Vi gör bedömningen att det är viktigt för Region Skåne att i policy eller riktlinje samt utbildning tydliggöra på vilket sätt patientsäkerheten och sekretessen ska upprätthållas vid arbete på distans i olika miljöer. 5

1. Inledning 1.1. Bakgrund och syfte I det moderna samhället har en successiv förändring skett vad avser möjligheten för arbetstagare att förlägga delar av sin arbetstid utanför den ordinarie arbetsplatsen. Denna förändring grundar sig i nya IT-möjligheter som möjliggör arbete utanför den ordinarie arbetsplatsen. Region Skånes revisorer har uppmärksammat området under 2014 i en förstudie med utgångspunkt från frågor gällande patientsäkerhet och sekretess. Det övergripande syftet med denna granskning är att utifrån patientsäkerhetsperspektivet granska om arbete vid distansarbete inom Region Skåne sker på ett sätt som uppfyller gällande beslut, policys och riktlinjer. Granskningen berör all hälso- och sjukvård inom Region Skåne. Vi kommer härutöver komma med impulser till förbättringar om gjorda iakttagelser under granskningen visar på behov därav. 1.2. Definition och avgränsning I Region Skånes policy för distansarbete görs följande definition av vad som är distansarbete: Arbete som anställd utför regelmässigt för längre eller kortare tid från hemmet eller annan plats som överenskommes från fall till fall. Distansarbetsplatsen tillhör huvudarbetsplatsen organisatoriskt. Policyn upprättades 2005 som en del av kollektivavtal mellan berörda fackförbund och Region Skåne. Syftet var att reglera regelmässigt distansarbete där Regionen har arbetsmiljöansvar för arbetsplatsen. IT-utvecklingen hade skapat möjligheter att distansarbeta och därmed skapat ett behov för att reglera detta. Samtidigt var policyn ett sätt för Region Skåne att profilera sig som en modern arbetsplats som möjliggör distansarbete. I och med att policyn ligger som en del i kollektivavtal med flera fackförbund måste förändringar i policyn förhandlas individuellt med respektive fackförbund. Detta har lett till att policyn inte har uppdaterats sedan 2005. Det pågår nu diskussioner med fackförbunden om att policyn ska tas bort ur kollektivavtalet och att Region Skåne istället ensidigt ska förbinda sig gentemot fackförbunden att ha en policy på området. På detta sätt blir löpande uppdateringar av policyn mer hanterbara. I samband med att denna förändring genomförs kommer policyn uppdateras och vissa delar kommer att strykas. I policyn finns det en hänvisning till gällande sekretesslagstiftning. Under rubriken Omfattning anges: Arbetsuppgifter av direkt patientrelaterad karaktär där sekretesslagstiftning gäller ska noga övervägas om dom är lämpliga för distansarbete. I samband med övervägandet bör kontakter tas 6

med IT-säkerhetsansvariga för att kontrollera vilken säkerhet för sekretesskyddade uppgifter som kan erbjudas. Policyn saknar dock en direkt vägledning kring hur information ska hanteras om arbete utförs på distans med patientrelaterad information. Det saknas även hänvisning till patientsäkerhetslagen. En stor del av det distansarbete som sker är dock mindre regelmässigt och sker utan att en arbetsplats i formell mening upprättas hos den anställde. Det kan istället exempelvis handla om att medarbetaren med hjälp av laptop eller telefon utför en del av dagens eller veckans arbete hemifrån. Region Skåne har ingen policy för denna typ av arbete och har inte reglerat vad som gäller vare sig från arbetsgivarens eller arbetstagarens sida. Region Skånes revisorers utgångspunkt för denna granskning och dess revisionsfrågor har varit distansarbete enligt policyn. Det har dock visat sig vara svårt att i utförda intervjuer och utifrån enkätsvar skilja på vilken typ av distansarbete som avses; distansarbete enligt policyn där distansarbetsplats i formell mening upprättats (grupp C i figur 1) eller annat arbete som sker utanför den ordinarie arbetsplatsen men som faller utanför gällande policy (grupp B i figur 1). Därför har vi i denna revision utvidgat begreppet distansarbete i vissa delar och kommer även att visa iakttagelser och dra slutsatser kring distansarbete som faller utanför policyns definitioner. Det bör noteras att skillnaden mellan dem i vissa fall är svår att göra. Figur 1 nedan beskriver fördelning av personer inom de sjukvårdande förvaltningarna som har möjlighet att arbeta på distans samt att det är möjligt att arbeta på distans med patientrelaterad information både regelmässigt och icke regelmässigt. A. Distansarbete (utan patientrelaterad information) B. Distansarbete som sker utan att det finns en formell distansarbetsplats, dvs distansarbete utanför policyn En del av dessa arbetar också med patientrelaterad information på distans C. Distansarbete som sker från formell distansarbetsplats, dvs distansarbete enligt policy Figur 1 Fördelning av personer inom de sjukvårdande förvaltningarna som har möjlighet att arbeta på distans samt att det är möjligt att arbeta på distans med patientrelaterad information både regelmässigt och icke regelmässigt 7

1.3. Revisionsfrågor Inom ramen för denna granskning besvaras följande frågor: 1. Vilka yrkesgrupper arbetar på distans, vilka arbetsuppgifter utförs på distans och i vilken utsträckning? 2. Hur sker uppföljning av att gällande beslut, policys och riktlinjer inom området efterlevs och att arbete på distans sköts på ett tillfredsställande sätt utifrån patientsäkerhet och sekretess? Finns det enhetliga rutiner? 3. Vad består uppföljningen i och hur ofta sker kontroller? Vilken/vilka enheter inom regionen, centralt och lokalt, är ansvariga för kontrollerna? Är kontrollerna tillräckliga i omfattning, innehåll och antal och har de fokus på patientsäkerhet och sekretess? 4. Hur tillses att ett användbart IT-stöd finns? Hur fungerar back-up och kryptering av data? 5. Vem bär ansvar för eventuella risker och hur fördelas dessa mellan olika parter? 6. Hur tillförsäkras likvärdig och hög patientsäkerhet/sekretess när extern part granskar och utför arbete på distans till Region Skåne? I tillägg till revisorernas frågor besvaras även följdfrågorna: 7. Var utförs distansarbete, det vill säga i vilken miljö görs arbetet och uppfyller denna miljö krav på patientsäkerhet? 8. Vilka risker finns vid distansarbete med patientuppgifter? 1.4. Metod och urval Granskningen har genomförts mellan oktober 2014 och januari 2015. Granskningen har genomförts utifrån fyra huvudområden som har bestått av dokumentgranskning, webbenkäter, intervjuer samt statistik. Dessa genomförandeområden beskrivs utförligare nedan. 1.4.1. Dokumentgranskning Relevanta styrande dokument såsom lagar, föreskrifter och Region Skånes policys inom området har granskats. Därutöver har vi även granskat arbetsbeskrivningar för anställda som arbetar på distans och rutinbeskrivningar som exempelvis dokumentation av skyddsombudens arbete avseende distansarbetsplatser. Dokumentation från uppföljningar av distansarbete och distansarbetsplatser har också att granskats. Exempel på avtal gällande distansarbete för extern part har undersökts i denna granskning. Även tidigare förstudie som genomförts under våren 2014 har utgjort underlag för granskningen. 8

1.4.2. Webbenkäter Två webbenkäter har använts i denna granskning. Den första enkäten har riktats till verksamhetschefer och klinikchefer på verksamheter i syfte att skapa en bild av hur utbrett distansarbetet är, vilken typ av arbete som sker på distans samt inom vilka yrkesgrupper distansarbete sker. Frågorna har även ställts om hur arbetet är organiserat, hur det utförs samt hur uppföljningen ser ut och genomförs. Denna enkät har också legat till grund för kartläggningen av ansvarsfördelning kring riskerna med distansarbete. Enkäten skickades ut till 229 verksamhetschefer och klinikchefer. Antalet respondenter uppgick till 110 varav 32 svarat att de har personalansvar över medarbetare som utför arbetsuppgifter på distans. Vi hänvisar i fortsättningen till denna enkät som chefsenkäten. I denna revision har vi fått tillgång till statistik på hur många medarbetare inom Region Skåne som har möjlighet att koppla upp sig till Region Skånes nät via RSVPN (Region Skåne Virtual Private Network) 1 samt vilka personalkategorier dessa tillhör. I chefsenkäten bad vi om kontaktuppgifter till personer som arbetar på distans. Till dessa skickades en enkät i syfte att få en tydligare inblick i hur distansarbetet är organiserat, hur tydligt regelverket kring distansarbetet är, hur uppföljning sker och vikten av patientsäkerheten för den enskilde medarbetaren som distansarbetar. Denna enkät har riktats till 34 personer och vi erhöll 12 svar. Vi hänvisar till denna enkät med benämning distansarbetarenkäten i den fortsatta framställningen. 1.4.3. Intervjuer Fördjupande intervjuer har genomförts med chefer och medarbetare som utför arbete på distans. Intervjuerna har fungerat som ett komplement till webbenkäterna. Syftet med dessa intervjuer har varit att fördjupa och besvara revisionens frågeställningar. Ett femtontal semistrukturerade djupintervjuer har genomförts. Intervjuer har även genomförts med representanter för centrala funktioner på olika nivåer om centrala riktlinjer, uppföljningar och hantering och fördelning av ansvar för risker. Intervjuer har bland annat skett med IT-funktionen, ansvariga för upphandling av externa leverantörer som utför distansarbete, chefläkare på förvaltningarna, inköpsdirektör, regional patientsäkerhetssamordnare, stabschef Medicinsk service, medicinteknisk chef Region Skåne med flera. Förteckning över personer som har intervjuats finns i bilaga 1. Totalt har 13 intervjuer genomförts med representanter för centrala funktionen 1 RSVPN är en teknisk lösning som möjliggör uppkoppling mot Region Skånes nät från annan plats. 9

1.5. Revisionskriterier Med revisionskriterier avses de bedömningskriterier som utgör grunden för revisionens analyser och slutsatser. Revisionskriterierna i detta uppdrag är: Patientdatalagen 2008:355 Personuppgiftslagen 1998:204 Patientsäkerhetslagen 2010:659 Offentlighets och sekretesslag (2009:400) Socialstyrelsens föreskrifter om ändring i föreskrifterna (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården Ledningssystem för systematiskt kvalitetsarbete (SOSFS 2011:9) Informationssäkerhet och hantering av patientinformation, riktlinjer. Regionsstyrelsen 2009-05-12 Dnr 0900521 Arbetsmiljölagen (1977:1160) Policy, riktlinjer och avtal/överenskommelser med personal om distansarbete i Region Skåne Region Skånes informationssäkerhetspolicy Region Skånes policy för IT-säkerhet Extern åtkomst RSVPN ansvarsförbindelse för anställd i Region Skåne Anvisning gällande åtkomst till Vårdtjänst via RSVPN Gällande kollektivavtal eller lokala överenskommelser med relevanta personalgrupper avseende distansarbete som reglerar sekretess, patientsäkerhet arbetsmiljö med flera relevanta områden. I övrigt följer Helseplan SKYREV:s riktlinjer för god redovisningssed. 1.6. Projektorganisation Kontaktperson från Revisionskontoret i Region Skåne var yrkesrevisor Helena Olsson och bitr. yrkesrevisor Åsa Nilsson samt förtroendevald revisor Jana Lund. Från Helseplan var Tina Burgerhout projektledare och konsulter var Noura Nilback och Frida Sporrong. 2. Revisionsfrågorna och dess besvarande 2.1. Yrkesgrupper och arbetsuppgifter som görs på distans Behandlar revisionsfråga 1 Vilka yrkesgrupper arbetar på distans, vilka arbetsuppgifter utförs på distans och i vilken utsträckning? 10

2.1.1. Iakttagelser Yrkesgrupper som arbetar på distans För att det ska vara möjligt att arbeta på distans med åtkomst till Region Skånes IT-system krävs att den anställde har tillgång till en RSVPN-uppkoppling. Detta är en tjänst som ger möjlighet att skapa en säker anslutning till Region Skånes nät via internet utanför ordinarie arbetsplats. 2 Från intervjuer framgår att RSVPN är en abonnemangstjänst. RSVPN beskrivs mer utförligt under avsnitt 2.3.1. I oktober 2014 fanns det enligt Region Skånes ekonomisystem 4050 anställda inom Region Skåne som hade ett RSVPN-abonnemang och därmed möjlighet att arbeta på distans. 3086 (76 procent) av dessa arbetar på någon av Region Skånes sjukvårdande förvaltningar. Figur 2 nedan visar antal personer per yrkesgrupp som har tillgång till RSVPN inom någon av de sjukvårdande förvaltningarna Region Skåne. Notera att grafen är bruten. Figur 2 Antal personer per yrkesgrupp inom utvalda enheter som har RSVPN-uppkoppling. Källa: Ekonomisystem oktober 2014 2 http://vardgivare.skane.se/it2/it-stod-och-tjanster-a-o/rsvpn/#18090 11

Figur 3 nedan visar hur stor andel av dem som har RSVPN-abonnemang som tillhör de olika yrkesgrupperna. Vi ser då att det är procentuellt flest läkare som har möjlighet att koppla upp sig och arbeta på distans. Sammanlagt utgör specialistkompetenta och icke specialistkompetenta läkare 45 procent av alla som har RSVPN-abonnemang. Därefter kommer sjukhustekniker som utgör knappt 19 procent, följt av medicinska sekreterare på drygt 7 procent. Figur 3 Andel personer per yrkeskategori (oavsett var inom Region Skåne anställningen är) som har RSVPN uppkoppling. Källa: Region Skånes ekonomisystem oktober 2014 Genom denna statistik har vi kunnat få information om hur många från olika yrkesgrupper som har möjlighet att arbeta på distans. Det finns däremot ingen förteckning av vilka av dessa som faktiskt utnyttjar möjligheten i vilken omfattning detta sker eller vilket arbete som utförs. Det finns inte heller en samlad bild på vilka av dessa som ses som distansarbetare enligt den definition som finns i Regions Skånes policy och riktlinjer för distansarbete. Vi skickade ut en enkät till chefer inom Region Skåne för att bland annat fånga upp detta. Cirka en tredjedel av respondenterna i enkäten uppgav att de hade medarbetare som utför arbete på distans. I denna enkät uppgav chefer som hade medarbetare som arbetar på distans att de vanligaste yrkeskategorierna är läkare, sjuksköterskor, medicinska sekreterare och administrativ personal. Dessa svar överensstämmer även med svaren från vår andra enkät, distansarbetarenkäten. Vi har dock noterat att många respondenter har angett samma svar på frågorna rörande vilken personal som arbetar regelmässigt på distans samt vilken personal som inte utför sådant arbete regelmässigt. Avtal, information och krav för att få arbeta på distans Enligt Region Skånes policy för distansarbete ska ett tidsbegränsat skriftligt avtal upprättas mellan chef och medarbetare för arbete som regelmässigt sker på distans. Från intervjuer framgår att det finns låg kännedom om att ett sådant särskilt avtal ska upprättas. 12

För att få en uppfattning om i vilken utsträckning distansarbetet formaliserats genom avtal ställde vi frågan både till chefer och medarbetare huruvida ett distansarbetsavtal har upprättats eller ej. Av svaren framgår att avtal tecknats för ungefär hälften av de medarbetare som arbetar på distans. Vi ser inget samband mellan fler tecknade distansarbetsavtal och större regelmässighet i distansarbetet. Av intervjuer har det dock framkommit att distansarbetet i många fall finns reglerat i anställningsavtal istället för i särskilt avtal. I många fall är anställningsavtal inte tidsbegränsade. 5 4 4 3 Hur ofta arbetar du på distans? 3 4 4 3 2 2 1 1 1 1 0 Regelbundet 4-5 Regelbundet 1-3 dagar i veckan dagar i veckan (hela arbetsdagar) (hela arbetsdagar) 4-5 gånger i veckan (ej hela arbetsdagar) 1-3 gånger i veckan (ej hela arbetsdagar) Annat (antal hela dagar per månad alternativt antal gånger (ej hela dagar) per månad Figur 4 Antal svarande per alternativ på frågan "Hur ofta arbetar du på distans?". Källa distansarbetarenkäten Respondenterna i distansarbetarenkäten svarar att det finns en stor variation i hur ofta man arbetar på distans. Vanligast är att arbete sker på distans cirka en till tre gånger per vecka. Resultatet presenteras i figur 4 ovan. När det gäller sekretessregler görs ingen skillnad på vid vilken arbetsplats arbetet utförs. Anställda i Region Skåne undertecknar i samband med anställningen ett anställningsavtal. I anställningsavtalet finns formuleringen: ( ) Region Skånes om tystnadsplikt/sekretess är mottagen av den anställde. Denna tystnadsplikt/sekretess gäller oavsett var arbetet utförs och samma regler gäller därför på en distansarbetsplats som på en arbetsplats inom Region Skånes lokaler. Arbetsuppgifter som utförs på distans För att få en bild av vilken typ av arbete som utförs på distans ställdes frågor kring detta i både chefsenkät och distansarbetarenkät samt i intervjuer. Respondenterna från båda enkäterna uppgav att det vanligaste är att de utför någon form av administrativt arbete på distans. I Figur 5 nedan presenteras hur svaren fördelade sig mellan givna alternativ i chefsenkäten. 13

Figur 5 Typ av arbete som utförs på distans. Notera att respondenterna kunde ange flera svarsalternativ. Grönt markerar att patientrelaterad information används. Källa: Chefsenkät I chefsenkäten angav respondenterna att arbete utan behov av patientrelaterat material är vanligast följt av administrativt arbete med patientrelaterat material. Utöver detta förekommer även främst forskning utan patientrelaterad information samt granskning av journal- och eller diagnostikmaterial som exempelvis röntgenbilder. Från medarbetarna som svarade på distansarbetarenkäten framkommer en liknande bild. Från intervjuer framkommer att sådant arbete som sker på distans mindre regelmässigt vanligen är att läsa och besvara mail som inte hunnits med under dagen. Här säger man att det oftast handlar om arbete som inte innehåller patientrelaterad information. 14

2.1.2 Bedömning Vår bedömning är att en fullständig kartläggning över i vilken utsträckning distansarbete förekommer inom Region Skåne inte går att utföra med den information som finns tillgänglig. Det finns inte någon samlad information över anställda som arbetar på distans inom Region Skåne. Det går däremot att uppskatta hur många som har möjlighet att utföra arbete på distans inom Region Skåne eftersom samtliga av dessa anställda har tilldelats ett RSVPN-abonnemang. Det är därmed inte bara de med särskilt distansarbetsavtal som arbetar på distans. I de fall distansarbete regleras i icke tidsbegränsade anställningsavtal kan inte detta anses fungera som en överenskommelse om distansarbete i enlighet med policyn eftersom policyn ställer krav på ett tidsbegränsat avtal. Vi ser i statistiken över vilka som har RSVPN-abonnemang att distansarbete sker i många yrkeskategorier. Vanligast förekommande vårdgivande yrkeskategori inom Region Skåne som utför arbete på distans är enligt statistiken läkare. Vår bedömning är att de arbetsuppgifter som utförs på distans inom Region Skåne är varierande och förekommer cirka en till tre gånger i veckan. Vanligast förekommande utförda arbetsuppgifter är administrativa arbetsuppgifter; både sådana som innehåller patientrelaterad information och sådana som inte gör det. Vi har dock inte gjort någon bedömning av om de arbetsuppgifter är lämpliga att att utföras på distans eller inte. 2.2. Uppföljning av distansarbete Behandlar revisionsfråga 2 Hur sker uppföljning av att gällande beslut, policys och riktlinjer inom området efterlevs och att arbete på distans sköts på ett tillfredsställande sätt utifrån patientsäkerhet och sekretess? Finns det enhetliga rutiner? och 3 Vad består uppföljningen i och hur ofta sker kontroller? Vilken/vilka enheter inom regionen, centralt och lokalt, är ansvariga för kontrollerna? Är kontrollerna tillräckliga i omfattning, innehåll och antal och har de fokus på patientsäkerhet och sekretess? 2.2.1. Iakttagelser Hur ofta, ansvar, omfattning och uppföljning gentemot beslut, policys och riktlinjer Enligt Region Skånes policydokument för distansarbete ska distansarbetet kontinuerligt följas upp av närmste chef. Medarbetaren förbinder sig genom distansarbetsavtalet att delta i uppföljningar vilka enligt policy och riktlinjer för distansarbete bland annat ska omfatta: 15

För- och nackdelar för den enskilde och verksamheten Den sociala situationen Arbetsmiljö och arbetsbelastning Möjligheter och problem I vad mån avtalet täcker in relevanta aspekter 3 Dokumentet Policy- och riktlinjer för distansarbete hänvisar till sekretessregler men nämner inte patientsäkerhet vid distansarbete. Exempel på distansarbetsavtal som tecknats med personal inom Region Skåne har studerats i denna granskning. Det finns för samtliga av dessa en särskild klausul om att och hur uppföljning av distansarbete ska ske. Det finns däremot inte angivet i dessa avtal hur ofta eller i vilket sammanhang dessa uppföljningar ska ske. Det bör noteras att ovanstående inte täcker in den personal som arbetar på distans utan avtal. I intervjuer och enkäter med personal med och utan avtal framkommer följande om uppföljning: I de fall uppföljning sker enligt rutin sker detta vanligen en till två gånger per år. I några få fall har uppföljning fler än fyra gånger per år angetts. Uppföljning sker vanligen i samband med medarbetarsamtal eller vid förlängning av avtalet. Uppföljning kan även ske genom kontroll av att medarbetarens distansarbetsplats stämmer med det som överenskommits. Här beskrivs i intervju att det innan distansarbete inleds exempelvis kontrolleras att medarbetaren sitter skyddat från obehöriga, att inga otillåtna dokument förvaras oskyddat, att IT-system fungerar med mera. Distansarbetsplatsen har i vissa fall fotodokumenteras och uppföljning sker utifrån avtal eller överenskommelse och fotodokumentation i de fall sådan finns. Samtal med respektive medarbetare är det vanligaste förfarandet för att informera medarbetare som ska arbeta på distans om vilka beslut, policys och riktlinjer som finns rörande patientsäkerhet och sekretess. Medarbetare informeras genom exempelvis styrande dokument via e-post eller som publiceras på intranätet. Från chefsenkäten framkommer att uppföljning av efterlevnad av beslut, policys och riktlinjer rörande patientsäkerhet och sekretess inte alltid görs. En fjärdedel av respondenterna uppger att det inte sker någon uppföljning och en femtedel svarar även att de faktiskt inte vet om det sker någon uppföljning. I distansarbetarenkäten anger över hälften av respondenterna att de faktiskt inte vet om det sker någon uppföljning av hur beslut, policys och riktlinjer rörande patientsäkerhet och sekretess 3 Distansarbete Policy och riktlinjer Region Skåne 16

följs. Det finns ingen tydlig indikation på att de som har uppföljning rörande beslut, policys och riktlinjer också är de som har tecknat ett avtal för distansarbete. Enhetliga rutiner för uppföljning av arbete på distans I de fall uppföljning sker så varierar det huruvida det finns rutiner för hur dessa uppföljningar ska genomföras enligt resultatet i chefsenkäten. De respondenter som svarar att uppföljning endast delvis sker svarar nästintill samtliga att uppföljningar sker utan särskilda rutiner. Enligt de respondenter från chefsenkäten som anger att uppföljning inte sker beror detta vanligen på att det saknas rutiner och instruktioner för uppföljning. Några respondenter har även angett att det är svårt att veta vad man ska följa upp mot samt att man inte hinner göra uppföljningar. I distansarbetarenkäten finns det inte tillräckligt många svar rörande varför uppföljning saknas för att relevanta resultat ska kunna presenteras. 2.2.2. Bedömning Vår bedömning är att det inte sker regelmässiga kontroller av distansarbete i tillräcklig utsträckning. Vår bedömning är också att det för Region Skånes verksamheter inte finns tillräckligt enhetliga rutiner kring uppföljning. Denna bedömning görs utifrån de svar som har inkommit i både enkäter och intervjuer. I de fall uppföljning görs rutinmässigt anger respondenterna att det är vanligast förekommande att uppföljning sker en till två gånger om året. Vår bedömning är också att det inte förekommer kontroller av det mindre regelmässiga distansarbete som många medarbetare har möjlighet till via RSVPN-abonnemang. För denna typ av distansarbete har vi inte heller funnit några formella krav utifrån vilka uppföljning kan ske. Vår bedömning är att i de fall där uppföljning inte sker trots att det finns avtal om distansarbete beror det på avsaknad av kunskap eller på upplevd otydlighet om vad uppföljningarna bör behandla eller hur ofta uppföljningarna bör ske. Vår rekommendation är att Region Skåne skapar tydliga policys och riktlinjer för alla former av distansarbete och att i dessa tydliggöra att uppföljning av allt distansarbete ska ske. Detta kan ske genom en utvidgning av befintlig policy eller genom en ny policy eller ny riktlinje. I policyn eller riktlinjen ska det tydliggöras hur ofta och på vilket sätt uppföljningar ska eller bör ske för olika typer av distansarbete. Även patientsäkerhet bör betraktas som relevant och innefattas i denna policy. 2.3. IT-stöd, back-up och kryptering av data Behandlar revisionsfråga 4 Hur tillses att ett användbart IT-stöd finns? Hur fungerar back-up och kryptering av data? 17

2.3.1. Iakttagelser För säkerhetsfrågor när det gäller IT-stöd, dataöverföring och lagring ansvarar en ITsäkerhetsansvarig och en informationssäkerhetschef. IT-utrustning för distansarbete Samtliga medarbetare som arbetar på distans gör detta från Region Skånes datorer enligt enkätsvaren. I intervju framkommer att på datorerna kan användaren inte fritt installera andra program eftersom detta kräver administratörsbefogenhet. Ett fåtal uppger att medarbetarna också använder sig av egna datorer och annan utrustning som exempelvis mobiltelefoner. I de fall annan ITutrustning än Region Skånes egna datorer används ska tillgång till patientrelaterad information inte finnas däremot kan det finnas tillgång till mailkonto via webbmail. RSVPN ger således endast begränsad tillgång till information när den används på en dator som inte tillhör Region Skåne. Att tillgång till vad som finns i Regionens nät är begränsad är en förutsättning för att Regionen ska kunna vidmakthålla en kontroll över vilken datormiljö som används enligt intervjuade. Kryptering av data I intervjuer framkommer det att arbete per distans som kräver IT-utrustning eller tillgång till internet sker genom RSVPN. RSVPN är en så kallad tunnel som skickar krypterad information från användarens dator till Region Skånes servrar. En anställd som får RSVPN-access får ta del av en ansvarsförbindelse rörande RSVPN. Accessen gäller tills vidare. Säkerheten för information som skickas via RSVPN beskrivs i intervjuer vara mycket god. För att kunna arbeta med patientinformation på distans via dator krävs en Region Skåne-dator och en RSVPN-access. Inloggning sker antingen med hjälp av ett ID-kort (SITHS-kort) eller genom engångslösenord via sms. SITHS-kortet alternativt engångslösenordet måste vara utfärdat på den person som ska logga in. Vid inloggning med SITHS-kort ska enligt uppgift från intervjuer samma information kunna nås som vid arbete på ordinarie arbetsplats. Den separata inloggningen som krävs för att komma åt journalsystemet gäller även när man arbetar på distans. Den kortinloggning som krävs vid distansarbete saknas vid arbete i flera system när den anställde arbetar på sin ordinarie arbetsplats på sjukhuset. En inloggning med RSVPN loggas och ger möjlighet för Region Skåne att följa upp för att upptäcka avvikande mönster i inloggning. Dock framkom det redan i förstudien att det inte finns några rutiner för uppföljning av den loggning som görs av inloggning av RSVPN. Utbildning Det finns riktlinjer kring vad som gäller rörande hur uppkoppling mot Region Skåne sker rent tekniskt. Det saknas dock riktlinjer för eller information om hur arbetet bör gå till. Det är upp till varje enhet eller avdelning att bestämma vad som får utföras utanför den ordinarie arbetsplatsen. En intern utbildning inom mobilt arbete är under framtagande av Informationshanteringsavdelningen och Medicinsk service. Fokus kommer att bli vad anställda ska tänka på när de arbetar på distans. Back-up av data Back-up av data genomförs automatiskt varje natt vilket innebär att det dagen efter finns back-up på gårdagens data. Det finns alltid tre versioner av back-up som därmed täcker de tre senaste dagarna 18

men tekniskt går det att utöka till minst 32 back-up-versioner. Verksamheter som önskar fler backupversioner sparade får betala en högre avgift för detta. Det är verksamhetschefen som är ansvarig för att tillräcklig backup sker på verksamhetens data. Systemet för back-up fungerar på samma sätt oavsett var arbetet förläggs rent fysiskt. Korrekt hantering av back-up förutsätter att de centrala systemen och lagringsplatserna för data används. Material som sparas lokalt på en dators hårddisk kan det inte göras back-up på. Vid intervjuer framkommer att back-up från maximalt tre dagar tillbaka kan vara för lite exempelvis vid långhelger. Om en eventuell förlust av data inte uppmärksammas inom tre dagar kommer den äldsta back-up som finns tillgänglig inte att innehålla saknad data. Det kan även finnas verksamheter som borde ha back-up mer än en gång per dag för att en eventuell förlust av data inte ska orsaka stora patientsäkerhetsrisker. Enligt intervjuade kan det finnas bristande kunskap hos verksamhetschefer både vad gäller vilken back-upfrekvens som krävs och vilket ansvar man som verksamhetschef har för att säkerställa tillräcklig back-up för verksamheten. 2.3.2. Bedömning Vi bedömer att det finns ett användbart IT-stöd för personer som arbetar på distans eftersom dessa har tillgång till samma system och information som om de satt på sin ordinarie arbetsplats inom Region Skånes nätverk. Detta gäller dock endast under förutsättning att en Region Skåne-dator används. För att komma åt informationen används RSVPN. En medarbetare som arbetar på distans via RSVPN har tillgång till samma system som när personen sitter på sin ordinarie arbetsplats. ITstödet kan således ses vara lika oavsett om det utförs som distansarbete eller ej. Vår bedömning utifrån intervjuer är att uppkoppling via RSVPN på distans är säker när informationen är krypterad. Eftersom vi inte har gjort någon teknisk granskning eller test av denna säkerhet baserar vi enbart slutsatsen på intervjusvar. Vi bedömer att det inte finns någon särskild brist rörande back-up kopplat specifikt till distansarbete. Hur ofta back-up ska göras är en fråga som inte hör till distansarbetesfrågan eftersom back-up av data görs på samma sätt oavsett om den anställde arbetar på distans eller inte. Vi noterar dock att det finns kritik mot att endast tre backupversioner finns om inte verksamheten agerar för att fler versioner ska sparas. Vi rekommenderar en fördjupad studie rörande back-up av data generellt för att få en bild av om data sparas på ett sätt som säkerställer patientsäkerheten vid eventuellt datorhaveri och utifrån denna föreslå eventuella förändringar 4. 4 Se även slutsats och rekommendationer kring back-up i granskning 7:2014 Granskning av IT - Uppföljning 19

Vi bedömer att det finns brister kopplade till IT-stödet men att dessa inte primärt är av teknisk karaktär. Vi har genom intervjuer fått information att det finns låg kännedom om hur RSVPN fungerar men även låg kännedom om andra IT-stöd och vad den anställde ska tänka på vid distansarbete. Vi noterar att det är planerat en utbildning på området och rekommenderar att denna utvärderas när den är klar för att kontrollera att den fyller det upplevda informationsgapet på området. Det är också viktigt att utbildningen anpassas till en eventuell ändrad eller utvidgad policy om en sådan skulle upprättas. 2.4. Risker vid distansarbete Behandlar revisionsfrågorna 5 och 8 Vem bär ansvar för eventuella risker och hur fördelas dessa mellan olika parter? och Vilka risker finns vid distansarbete med patientuppgifter? 2.4.1. Iakttagelser Risker rörande patientsäkerhet vid distansarbete (såväl datorarbete som telefon) Vi har för denna granskning inte funnit någon övergripande riskanalys gjord på distansarbete vare sig på central eller mer lokal nivå. De risker kopplade till distansarbete som framkom i enkäterna var en eller flera av följande: Brister i datasäkerhet kryptering med mera I enkäterna framkommer att många chefer och medarbetare ser risker kopplat till att data hanteras och skickas utanför Region Skånes nät. Det framkom en misstro mot den kryptering av data som sker vid distansarbete. I intervjuer med personer med kunskap om hur IT-lösningar som kryptering går till inom Region Skåne framkommer att den RSVPN-lösning som Region Skåne använder sig av krypterar informationen på ett säkert sätt. Brister i sekretess rörande var arbetet utförs (exempelvis möjlighet för obehöriga att höra eller läsa sekretessbelagd information då arbete sker exempelvis i offentliga miljöer) Få respondenter har svarat att arbete utförs i offentliga miljöer. Däremot sker arbete vid andra kontor utanför Region Skånes lokaler liksom på hemarbetsplatser. På sådana arbetsplatser kan det enligt respondenterna finnas en ökad risk att andra hör eller ser information som denne inte ska ha tillgång till. Respondenterna kan även ha tänkt på telefonsamtal som troligen oftare sker i offentliga miljöer. Låg eller ingen kännedom om beslut, policys och riktlinjer I intervju har man också sagt att det finns risker kopplade till avsaknad av utbildning och information kring hur den som distansarbetar bör bete sig. Detta särskilt med fokus på det tekniska perspektivet. Från intervjuer framkom även följande risker: 20

Patientuppgifter som skickas via mail I intervjuer har det framkommit att patientrelaterad information ska skickas via krypterad mail men att även okrypterad mail ibland används för detta ändamål. I vissa fall har intervjuade beskrivit att patientrelaterad information som skickats okrypterad inte har avidentifierats vilket enligt intervju inte får förekomma. Detta är dock inte specifikt kopplat till distansarbete utan sådana mail kan lika gärna skickas från ordinarie arbetsplats. Rent principiellt kan det vid sidan av mailtjänster även finnas teknisk möjlighet att använda så kallade molntjänster för att lagra och förmedla information. Sådana kräver i vissa fall inte någon aktiv åtgärd från användarens sida utan sker automatiskt exempelvis då mobiltelefoner synkas mot olika molntjänster. Samtliga dessa tekniska möjligheter ställer krav på användaren att förstå både hur patientinformation får hanteras och hur den tekniska utrustningen fungerar för att säkerställa att sekretess och patientsäkerhet upprätthålls. Det har dock inte framkommit i granskningen att molntjänster verkligen använts för att överföra eller lagra patientdata. Möjligheten och därmed risken finns enligt intervjuad. Lagring av information lokalt på datorn det vill säga inte på servern Information som sparas lokalt och inte har krypterats kan läsas om datorn används av obehörig till exempel vid stöld. Dock har respondenter i intervjuer sagt att denna risk borde likställas med information som sparas lokalt och utanför servern på den ordinarie arbetsplatsen. Låg kännedom om vad man behöver tänka på när man har tillgång till särskilda IT-lösningar Respondenterna anser att det skulle behövas information eller utbildning när medarbetare får tillgång till RSVPN, surfplatta och/eller mobiltelefon. Ansvar för eventuella risker samt korrekt IT-stöd Enligt Region Skånes Policy och riktlinjer för distansarbete ansvarar arbetsgivaren för den utrustning som krävs för att distansarbete ska kunna utföras. Arbetsgivaren är även ansvarig för service och åtgärder vid driftstörningar på utrustningen samt för att den medarbetare som arbetar på distans har en trygg arbetsmiljö som inte ger upphov till några skador. Distansarbetaren ansvarar för att följa givna riktlinjer för att förhindra ohälsa och olycksfall samt följa instruktioner beträffande utrustning. Svaren från de båda enkäterna stämmer till stor del men inte helt överens med dessa föreskrifter. En majoritet av respondenterna i chefsenkäten anger att verksamhetschef, enhetschef eller medarbetarens chef är ansvarig för att se till att korrekt IT-stöd finns. Cirka en fjärdedel ser att det är ett ansvar som åligger IT-enheten. Mycket få anger att det är medarbetarens ansvar. När det gäller ansvar för patientsäkerhet och sekretess är det enligt intervjuad patientsäkerhetssamordnare ingen skillnad på distansarbete jämfört med vilket annat arbete som helst. Respektive medarbetare som tillhör gruppen hälso- och sjukvårdspersonal är enligt patientsäkerhetslagen ansvarig för det arbete som utförs. Arbetsgivaren ska genom bland annat verksamhetschefen ansvara för att organisera verksamheten så att bland annat patientsäkerhet och sekretess kan uppfyllas enligt bland annat Hälso- och sjukvårdslagen och patientsäkerhetslagen. 21

I enkäterna framkommer att respondenterna upplever att det är ett delat ansvar för risker angående patientsäkerhet och sekretess. Bilden av vem som bär ansvar varierar dock. I chefsenkäten uppgav en klar majoritet att det är verksamhetschefens eller annan chef såsom enhetschefen som bär ansvaret för eventuella risker angående patientsäkerhet och sekretess. Fler än hälften uppgav att medarbetaren själv även bär ett ansvar för eventuella risker rörande patientsäkerhet och sekretess. Tittar man endast på svar från distansarbetarenkäten så anser ungefär hälften att IT-enheten har ett ansvar när det gäller patientsäkerhet och sekretess. Fler än ett svarsalternativ kunde ges på denna fråga. 2.4.2. Bedömning Vår bedömning utifrån enkätsvaren är att det finns olika uppfattning om vem som står som ansvarig för patientsäkerhet och sekretessrisker. Detta stärker oss i uppfattningen att det krävs ett tydliggörande från Regionens sida kring vad som gäller för att upprätthålla sekretess och patientsäkerhet vid distansarbete trots att samma regler är tillämpliga vid distansarbete som på ordinarie arbetsplats. Det är särskilt viktigt att medarbetaren görs medveten om att var och en är ansvarig för hur informationen hanteras både ur patientsäkerhets- och sekretessynpunkt. Vi bedömer utifrån enkätsvar och intervjuer att det finns bristande kunskap kring hur dessa regler ska tolkas vid distansarbete samt även låg kännedom om policys, riktlinjer och beslut gällande distansarbete. Till exempel brister det i kunskap hur RSVPN fungerar och vad som ska beaktas när arbete utförs utanför den ordinarie arbetsplatsen. Detta innebär en risk för missuppfattningar och att distansarbete inte utförs på ett sätt som överensstämmer med lagar och regler. Vi rekommenderar därför att policy eller riktlinjer tas fram och som tydliggör medarbetarens och chefens ansvar liksom utbildning i hur de hjälpmedel som erbjuds fungerar och vilken säkerhet de har. Vår bedömning är att de största riskerna vid distansarbete ligger i hur patientrelaterad information hanteras av den enskilde medarbetaren. Oberoende om arbetet skett på distans eller ej är det allvarligt ur sekretess- och i förlängningen även ur patientsäkerhetssynpunkt om patientinformation i vissa fall skickas via okrypterad mail. Vi rekommenderar att de tekniska möjligheterna att enkelt och i vissa fall automatiskt skicka data till externa servrar eller mailkonton bör undersökas närmare. Användandet av sådana tjänster bör även ingå i kommande policy och riktlinjer samt som del i utbildning framgent. Vad gäller back-up och kryptering så är det vår uppfattning att denna risk inte är så stor som den upplevs av chefer och medarbetare. Vid intervjuer med IT-ansvariga har det framkommit att krypteringen sker på ett säkert sätt och att gängse back-up-metoder används. 2.5. Extern part som utför arbete på distans Behandlar revisionsfråga 6 Hur tillförsäkras likvärdig och hög patientsäkerhet/sekretess när extern part granskar och utför arbete på distans till Region Skåne? 22

2.5.1. Iakttagelser I vissa fall tecknar Region Skåne avtal med en extern part som på distans utför arbete åt Region Skåne. De avtal som har genomgåtts inom denna granskning täcker områdena: Ambulanssjukvård mellersta Skåne Barn- och ungdomsmedicin Rehabilitering av patienter med tumörsjukdomar Teleradiologiska tjänster Tillgänglighet logopedinsatser I de externa avtal som granskats finns en struktur för vad och vem avtalet avser samt vilka krav som ställs på den externa leverantören. I de granskade avtalen återkommer nedanstående punkter i de flesta av avtalen: Kvalitet och utveckling Personuppgiftsbiträdesavtal / sekretess / patientsäkerhet IT-krav / tekniska krav Informationssäkerhet Granskning och/eller uppföljning I dessa avtal gentemot leverantörer anges såväl grundläggande principer kring hur information ska hanteras som mer detaljerat kring IT-säkerhet och patientsäkerhet. Vad gäller grundläggande principer återfinns en text om att verksamheten ska bedrivas utifrån hälso- och sjukvårdslagen, att verksamheten ska bedrivas enligt vetenskap och beprövad erfarenhet samt att ett ledningssystem för systematiskt kvalitetsarbete i enlighet med Socialstyrelsen ska finnas (enligt SOSFS 2011:9). Det ställs krav på kompetens hos leverantören om hur journal ska föras. Kraven handlar även till exempel om hur patientinformation ska hanteras och skyddas och i vissa fall framgår att Region Skånes styrande dokument ska användas. I särskilda fall finns också ytterligare specifika krav på leverantören exempelvis att leverantören ska skapa en rapport över interna avvikelser/rapporter/registrering vilken ska presenteras årligen för beställaren (Region Skåne) alternativt när beställaren så begär. Avvikelserapport rör medicinsk kvalitet och ändamålsenlighet. IT-säkerheten beskrivs i intervju med IT-enheten vara densamma som för dem som arbetar direkt från sjukhuset. Avtalen med externa leverantörer beskrivs behandla områden såsom sekretess, hur till exempel bilder och information skickas mellan parterna, att de medarbetare som arbetar för den externa parten ska vara godkända av Region Skåne samt hur material ska behandlas och raderas efter bedömning och användning. 23