Vårdgivare ska logga aktiviteter i system som behandlar patientuppgifter. System och rutiner ska vara utformade så att vårdgivaren gör systematiska och återkommande kontroller av om någon medarbetare obehörigt kommer åt patientuppgifter.
Här följer en checklista som sammanfattar vad en vårdgivare bör tänka på när den ska utföra logguppföljning. Checklistan är en vägledning för att utveckla de rutiner och metoder som krävs för att säkerställa ett gott integritetsskydd. Checklistan baseras på patientdatalagen (2008:355) och Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40), samt på Integritetsskyddsmyndighetens tolkning av regelverket.
Checklista
Checklista
-
1
Informera personalen om att logguppföljning sker. Informera även om under vilka omständigheter personalen får ta del av patientuppgifter, om att personalen har ett eget ansvar att endast ta del av uppgifter som de behöver i arbetet och om vilka följderna av att olovligen ta del av patientuppgifter kan bli.
-
2
Kontrollera att de tekniska förutsättningarna för åtkomstkontroll och vilka krav som ställs på loggarna i 4 kap. 9 § i HSLF-FS 2016:40.
Av loggarna ska det framgå:
- vilka åtgärder som vidtagits med patientuppgifterna, till exempel om personal har läst, ändrat, lämnat ut, kopierat, upprättat eller skrivit ut vårddokumentation
- vid vilken vårdenhet åtgärderna har vidtagits
- vid vilken tidpunkt åtgärderna har vidtagits
- vem som har vidtagit åtgärder
- vilken patient åtgärderna avsåg.
-
3
Fastställ en skriftlig rutin för hur loggposterna följs upp och där urvalet av vilka loggposter som kontrolleras framgår. Det är till exempel lämpligt att kombinera systematik och viss slumpmässighet när loggposter väljs ut, och flera parametrar bör användas vid urvalet. Utred om det går att identifiera åtkomster där behörigheter skulle kunna användas på ett felaktigt sätt.
Man kan till exempel välja att kontrollera åtkomst:
- till en viss patients uppgifter
- som en viss anställd har haft
- som skett ett stort antal gånger avseende en viss patient
- på avvikande tider på dygnet
- till skyddade personuppgifter
- till uppgifter om barn
- till uppgifter om allmänt kända personer
- till uppgifter från vissa mottagningar eller medicinska specialiteter
- där spärrar forcerats eller där åtkomst skett över vårdenhetsgränser eller mellan vårdprocesser.
Rutinen ska beskriva omfattningen av logguppföljningen, det vill säga hur många loggposter ni ska kontrollera och med vilket tidsintervall. Eftersom det inte är enbart antalet loggposter som avgör kvaliteten finns det inget generellt svar på hur många loggposter som bör granskas vid varje tillfälle. Hänsyn måste tas till verksamhetens omfattning, antalet patienter och personal med behörighet och logguppföljningens urval och systematik. Det finns också tekniska hjälpmedel som kan underlätta logguppföljningen, som exempelvis logganalysverktyg.
-
4
Enligt Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40), ska logguppföljningarna dokumenteras. Dokumentationen bör utformas så att den kan utgöra ett underlag för att utvärdera rutinen för logguppföljning.