Hoppa till innehåll på sidan
Vi guidar dig

Vårdgivares skydd för patientuppgifter

IMY:s vägledning om vad vårdgivare ska tänka på för att skydda uppgifter om patienter och följa patientdatalagen bygger på vår granskning av landstingens och regionernas hantering av patientuppgifter. Vi tar upp både goda exempel och sådant som behöver förbättras.

Behovs- och riskanalys

Vårdgivare ansvarar för att anställda enbart har den behörighet som krävs för arbetsuppgifterna och för en god och säker vård. Före beslut om anställdas behörighet ska ni göra en behovs- och riskanalys så att behörigheten blir rätt. En alltför omfattande eller felaktig behörighet riskerar att leda till en obefogad spridning av patientuppgifter.

Som ett underlag för den individuella behörighetstilldelningen ska vårdgivaren genomföra strukturerade behovs- och riskanalyser utifrån patientuppgifterna i informationssystemet. Det räcker inte att utgå från vilken yrkeskategori en viss anställd tillhör eller ge alla med viss typ av legitimation en och samma behörighetsprofil i informationssystemet.

Vägledning: Behovs- och riskanalys inom hälso- och sjukvården

1 december 2020

Pdf, 487 kB

Läs dokumentet (pdf, 487 kB)

Vägledning: Behovs- och riskanalys inom hälso- och sjukvården

1 december 2020

Pdf, 487 kB

Läs dokumentet (pdf, 487 kB)

Vad innebär begränsad behörighet?

Vår granskning visade på missuppfattningar om vad det innebär att vårdgivaren ska ”begränsa behörighet till vad som behövs för att anställda ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården”.

Det räcker inte att:

  • utbilda personalen om när de får ta del av patientuppgifter enligt den inre sekretessen
  • låta personalen underteckna sekretessförbindelser
  • ge personalen instruktioner i form av policydokument, riktlinjer eller annat informationsmaterial
  • informera om och genomföra loggkontroller
  • att patienter har en lagstadgad rätt att spärra åtkomst till uppgifter om dem. 

Vårdgivaren måste ändå alltid göra en behovs- och riskanalys före tilldelningen av behörighet.

Exempel 1

En av de granskade vårdgivarna har på ett bra sätt beskrivit grunderna för en behovs- och riskanalys:

[...]Det är inte tillåtet att ge vårdpersonal tillgång till all information i vårdinformationssystemen utan behörigheten ska baseras på det behov som varje yrkeskategori har i respektive verksamhet. Omfattningen av behörigheten ska baseras på en behovs- och riskanalys utifrån verksamhetens uppdrag. Behovs- och riskanalysens resultat ligger sedan till grund för den behörighetsprofil som används vid tilldelning av behörigheter för medarbetare inom verksamheten[...] Behovs- och riskanalysen ska [...] identifiera och förteckna verksamhetens uppdrag, de olika yrkeskategorierna som finns i verksamheten samt de uppdrag som medarbetarna har i verksamheten.[...] Risker som uppstår om medarbetare inom verksamheten inte har tillgång till relevant patientinformation ska identifieras och förtecknas i behovs- och riskanalysen och värderas enligt gällande rutin för riskanalys [...]. Vidare ska även risker relaterade till för bred/generös tillgång till vårdinformation identifieras och förtecknas i behovs- och riskanalysen på samma sätt som risker enligt ovan.[...]Behovs- och riskanalysen används för att tillse att de behörighetsprofiler som finns för respektive verksamhetsområde är korrekta.[...]

Exempel 2

Ett annat bra exempel är en behovs- och riskanalys som genomförts för en tidbok i huvudjournalsystemet. Dokumentet redovisar en analys av behoven av och riskerna med tillgång till tidboken, dels utanför det egna medicinska ansvaret, dels inom det egna medicinska ansvaret. Följande textavsnitt är ett exempel:
[...]Behovet av tillgång till andra enheters tidbok bedöms som liten. Det kan dock finnas personal som arbetar med länsövergripande verksamheter som har behov av att se tidboken över olika medicinska ansvar för samordning och sambokning. Här kan problem uppstå. Detta behöver utredas ytterligare.[...]

 

Utredning av obehörig åtkomst i samband med åtkomstkontroller

Åtkomsten till uppgifter om patienter som förs helt eller delvis automatiserat ska dokumenteras och kunna kontrolleras. Det är vårdgivarens ansvar, liksom att göra systematiska och återkommande kontroller av om någon obehörig kommer åt uppgifterna.

Reglerna i patientdatalagen om kontroll av åtkomst till patientuppgifter förtydligas i 4 kap. 9 § HSLF-FS 2016:40.
Läs vår checklista om systematisk logguppföljning 

Checklista – systematisk logguppföljning 

Det behöver finnas riktlinjer om vad som kan utgöra obehörig elektronisk åtkomst enligt reglerna om inre sekretess till de anställda som gör bedömningar i samband med loggkontroller.

Saknas riktlinjer riskerar vårdgivarna att åsidosätta den inre sekretessen. IMY har därför i tillsynsprojektet begärt in vårdgivarnas riktlinjer för att stötta anställda som utför loggkontrollerna.

Riktlinjer för loggkontroller

Tillsynsprojektet har visat att de flesta vårdgivare saknar eller har otillräckliga riktlinjer till anställda som utför loggkontrollerna, men det finns vårdgivare som gett bra vägledning. Det finns bland annat vägledningar som beskriver olika omständigheter som bör uppmärksammas särskilt vid kontrollerna.

Exempel:

  • Avvikande mönster/åtkomst som bryter det ordinarie mönstret/frekvensen/rutinen. (IMY anser dock att vårdgivaren behöver ha en metod eller rutin för att ställa avvikande mönster i relation till vad vårdgivaren anser är ordinarie mönster.)
  • Namn/släktskap som kan indikera privat samhörighet.
  • Personer av medialt intresse.
  • Patient med diagnos som kan väcka särskilt intresse.
  • Lokal personkännedom som indikerar eller ger misstanke om intresse för information som sträcker sig utanför tillåtna ändamål.
  • Läst egen journal, makas/makes eller sina barns journaler
  • Lex Maria-anmälningar.
  • Personer med skyddade personuppgifter.


Vissa vårdgivare kompletterar med frågor som den som utför loggkontrollen bör ställa till den anställda som blir kontrollerad.

Exempel:

  • Varför har du sökt information om denna patient?
  • Känner du patienten eller finns någon annan anknytning till patienten?
  • Vilken information har använts och till vad?
  • Känner du till bestämmelserna i patientdatalagen?

Kombinationen av omständigheter kan uppmärksammas särskilt och ett antal frågor som ska besvaras ger ett bra underlag för den som ska utreda om en åtkomst till patientuppgifter varit obehörig.

Allmänna synpunkter och rekommendationer

Vårdgivaren bör tydligt vägleda anställda så att de metodiskt och konsekvent kan utföra effektiva loggkontroller. Vårdgivarens rutiner för loggkontroll bör kunna svara på om den granskade åtkomsten till patientuppgifter varit befogad eller inte utifrån verksamhetens uppdrag, arbetssätt och organisation och med hänsyn till den anställdas arbetsuppgifter.

Vårdgivarna använder ofta begrepp som exempelvis avvikande mönster, olovlig tillgång, otillåten åtkomst och liknande utan att dessa förklaras. Det måste vara tydligt vad som menas om uttrycken används. De som utför loggkontroller måste ha gemensamma utgångspunkter för vad vårdgivaren uppfattar som obehörig åtkomst.

Vårdgivarna bör också vara tydligare med hur utredningsarbetet ska bedrivas, till exempel genom att ta fram ett antal frågor som ska besvaras vid granskningen. Åtkomsten behöver också sättas i relation till den anställdas arbetsuppgifter.

Sammanfattningsvis ansvarar vårdgivaren för att loggkontrollerna utförs systematiskt oavsett vem som utför dem. Det är varje vårdgivare som ansvarar för att det finns en samsyn i organisationen kring vad som ska kontrolleras, hur och när det görs och vad som ska bedömas utgöra en obehörig åtkomst av patientuppgifter.

Regelverk om sekretess och personuppgifter inom hälso- och sjukvård

  • offentlighets- och sekretesslagen (2009:400) innehåller bestämmelser om sekretess och tystnadsplikt inom hälso- och sjukvården
  • patientsäkerhetslagen (2010:659)
  • patientdatalagen (2008:355) syftar till att förhindra en obefogad spridning av uppgifter om patienter som behandlas elektroniskt
  • artikel 32 i dataskyddsförordningen innehåller bestämmelser om skyldigheten att vidta lämpliga säkerhetsåtgärder.
  • 4 kap. patientdatalagen har grundläggande bestämmelser om den så kallade inre sekretessen och elektronisk åtkomst inom en vårdgivares verksamhet
  • 4 kap. 2 § Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40) innehåller ett uttryckligt krav på att vårdgivaren efter en behovs- och riskanalys ska tilldela varje användare en individuell behörighet för åtkomst till patientuppgifter.



Senast uppdaterad: 6 september 2021