Kontroll av åtkomst till uppgifter – för vårdgivare
Vårdgivare ska dokumentera varje användares åtkomst till uppgifter om en patient. Det kan ibland kallas för att logga åtkomsten till uppgifter. Vårdgivaren ska även ansvara för att det görs systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter. Det kan kallas för att göra åtkomstkontroller eller systematisk logguppföljning. System och rutiner behöver därför vara utformade för att möjliggöra detta.
Här följer en checklista som sammanfattar vad ni som vårdgivare bör tänka på när ni ska utföra sådan åtkomstkontroll. Checklistan är en vägledning för att utveckla de rutiner och metoder som krävs för att säkerställa ett gott integritetsskydd. Checklistan baseras på patientdatalagen (2008:355) och Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40), samt på Integritetsskyddsmyndighetens tolkning av regelverket.
Checklista
Kontroll av åtkomst till uppgifter – för vårdgivare
-
1
Informera
Informera personalen om att åtkomstkontroll sker. Informera även om under vilka omständigheter personalen får ta del av patientuppgifter, om att personalen har ett eget ansvar att endast ta del av uppgifter som de behöver i arbetet och om vilka följderna av att olovligen ta del av patientuppgifter kan bli.
-
2
Kontrollera
Kontrollera de tekniska förutsättningarna för åtkomstkontroll och vilka krav som ställs på loggarna i 4 kap. 9 a § i HSLF-FS 2016:40.
-
3
Fastställ rutin
Fastställ en skriftlig rutin för hur loggposterna följs upp. Det är vårdgivarens ansvar att både systematiska och återkommande stickprovskontroller av åtkomsten görs och att kontroller görs vid misstanke om obehörig åtkomst.
I rutinen bör urvalet av vilka loggposter som kontrolleras framgå. Flera parametrar bör användas vid urvalet av vilka loggposter som kontrolleras. Utred om det går att identifiera åtkomster där behörigheter skulle kunna användas på ett felaktigt sätt. Ni kan till exempel välja att kontrollera åtkomst:
- till en viss patients uppgifter
- som en viss anställd har haft
- som skett ett stort antal gånger avseende en viss patient
- på avvikande tider på dygnet
- till skyddade personuppgifter
- till uppgifter om barn
- till uppgifter om allmänt kända personer
- till uppgifter från vissa mottagningar eller medicinska specialiteter
- där spärrar forcerats eller där åtkomst skett över vårdenhetsgränser eller mellan vårdprocesser.
Rutinen bör beskriva omfattningen av åtkomstkontrollen, det vill säga hur många loggposter ni ska kontrollera och med vilket tidsintervall. Eftersom det inte är enbart antalet loggposter som avgör kvaliteten finns det inget generellt svar på hur många loggposter som bör granskas vid varje tillfälle.
Hänsyn måste tas till verksamhetens omfattning, antalet patienter och personal med behörighet och åtkomstkontrollens urval och systematik.
Det finns också tekniska hjälpmedel som kan underlätta åtkomstkontrollen, som exempelvis logganalysverktyg.
-
4
Dokumentera
Dokumentera era kontroller av loggarna, i enligt med Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40).