Tilldelning av behörighet till uppgifter – för vårdgivare
Ni som vårdgivare ansvarar för att enskilda, som anställda eller andra som arbetar hos vårdgivaren, enbart har den behörighet att komma åt uppgifter om patienter som hen behöver för att kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Innan ni beslutar om anställdas behörighet ska ni göra en behovs- och riskanalys så att behörigheten blir rätt. En alltför omfattande eller felaktig behörighet riskerar att leda till en obefogad spridning av patientuppgifter.
Gör en behovs- och riskanalys innan behörigheter delas ut
Ni ska klarlägga vilka behov av uppgifter som finns för att kunna utföra arbetsuppgifter i hälso- och sjukvården samt vilka behov av uppgifter som finns för olika verksamheter och yrkeskategorier. Ni ska också identifiera de risker som möjligheten till åtkomst kan medföra för skyddet av patienters personliga integritet. Risker vid åtkomst till skyddade personuppgifter ska särskilt beaktas.
Det räcker inte att utgå från vilken yrkeskategori en viss anställd tillhör eller ge alla med en viss typ av legitimation en och samma behörighetsprofil i informationssystemet.
Om behoven av åtkomsten och de risker som åtkomsten kan medföra förändras, ska behovs- och riskanalysen revideras.
Vad innebär begränsad behörighet?
Ni som vårdgivare måste alltid göra en behovs- och riskanalys före tilldelningen av behörighet. Det är bara när ni har gjort en behovs- och riskanalys som ni kan uppfylla kravet på att begränsa behörigheten till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården.
Det är otillräckligt att:
- utbilda personalen om när de får ta del av patientuppgifter enligt den så kallade inre sekretessen
- låta personalen underteckna sekretessförbindelser
- ge personalen instruktioner i form av policydokument, riktlinjer eller annat informationsmaterial
- informera om och genomföra loggkontroller
- att patienter har en lagstadgad rätt att spärra åtkomst till uppgifter om dem.
Goda exempel om grunderna för behovs- och riskanalys
Exempel 1
ExempelDetta är enligt IMY ett bra exempel på en vårdgivares beskrivning av grunderna för en behovs- och riskanalys:
[...]Det är inte tillåtet att ge vårdpersonal tillgång till all information i vårdinformationssystemen utan behörigheten ska baseras på det behov som varje yrkeskategori har i respektive verksamhet. Omfattningen av behörigheten ska baseras på en behovs- och riskanalys utifrån verksamhetens uppdrag. Behovs- och riskanalysens resultat ligger sedan till grund för den behörighetsprofil som används vid tilldelning av behörigheter för medarbetare inom verksamheten[...]
Behovs- och riskanalysen ska [...] identifiera och förteckna verksamhetens uppdrag, de olika yrkeskategorierna som finns i verksamheten samt de uppdrag som medarbetarna har i verksamheten.[...]
Risker som uppstår om medarbetare inom verksamheten inte har tillgång till relevant patientinformation ska identifieras och förtecknas i behovs- och riskanalysen och värderas enligt gällande rutin för riskanalys [...].
Vidare ska även risker relaterade till för bred/generös tillgång till vårdinformation identifieras och förtecknas i behovs- och riskanalysen på samma sätt som risker enligt ovan.[...]
Behovs- och riskanalysen används för att tillse att de behörighetsprofiler som finns för respektive verksamhetsområde är korrekta.[...]
Exempel 2
ExempelEtt annat bra exempel är en behovs- och riskanalys som genomförts för en tidbok i huvudjournalsystemet. Dokumentet redovisar en analys av behoven av och riskerna med tillgång till tidboken, dels utanför det egna medicinska ansvaret, dels inom det egna medicinska ansvaret.
Följande textavsnitt är ett exempel:
[...]Behovet av tillgång till andra enheters tidbok bedöms som liten. Det kan dock finnas personal som arbetar med länsövergripande verksamheter som har behov av att se tidboken över olika medicinska ansvar för samordning och sambokning. Här kan problem uppstå. Detta behöver utredas ytterligare.[...]
Behovs- och riskanalys inom hälso- och sjukvården – en vägledning
IMY (då: Datainspektionen) genomförde under åren 2019–2020 tillsyn mot flera vårdgivare bland annat för att undersöka om behovs- och riskanalyser har föregått tilldelning av behörigheter i vårdgivarnas respektive journalsystem. Arbetet låg till grund för en vägledning om behovs- och riskanalys i hälso- och sjukvården. Observera att vägledningen är från år 2020 och att vissa bestämmelser har ändrats sedan dess.
Behovs- och riskanalys inom hälso- och sjukvården - en vägledning (pdf, 487 kB)
Rättsinformation
Fördjupa dig- Artikel 32 i GDPR Skyldighet att vidta lämpliga säkerhetsåtgärder
- 4 kap. 1–2 §§ Patientdatalagen Inre sekretess och tilldelning av behörighet för elektronisk åtkomst
- 4 kap. 1–2 b b §§ HSLF-FS 2016:40 Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården
- 25 kap. Offentlighets- och sekretesslagen (2009:400) Bestämmelser om sekretess för den offentliga vården
- 6 kap. 12–14 §§ patientsäkerhetslagen (2010:659) Bestämmelser om tystnadsplikt för den privata hälso- och sjukvården