Rutin Åtkomstkontroll

Nedanstående rutin för åtkomstkontroll är beslutad i omsorgsförvaltningens ledningsgrupp 2020-12-03

Allmänt

Kontrollen ska ske regelbundet enligt rutin, samt vid misstanke om olovlig läsning/användning. På förteckningen med loggar som lämnas ut till granskaren ska informationen begränsas så att den är tillräcklig för att granskaren ska kunna avgöra om användaren varit inne lovligt eller inte. Vid behov av förtydligande eller för att bekräfta misstanke om olovlig läsning så kan granskaren få ut den totala loggen med alla typer av aktiviteter, tidpunkter och vilka systemdelar man varit inne i samt få hjälp med att tolka informationen.

Systematisk stickprovskontroll

Loggutdrag/ aktivitetslogg ska göras under den första veckan i månaden på en slumpvis utvald dag för respektive enhet. Lägg in påminnelse i Outlook. Enhetschef SoL/ LSS är ansvarig för att ta fram aktivitetslogg, enligt instruktion i bifogat dokument nedan, och gå igenom loggutdraget och göra en notering i anteckning i Evolution (utan anmärkning/ med anmärkning).

Tillägg rutin åtkomstkontroll HSV, myndighetsenheten och Hemgångsstödsteamet

Då systemet inte kan särskilja respektive enhetschefs personal inom Hälso- och sjukvård, myndighetsenheten och inom hemgångsstödsteamet behöver rutinen anpassas för att möjliggöra en rimlig belastning för enhetschefer inom nämnda verksamheter ovan, i samband med kontroll av loggutdrag.

Enhetschef inom ovanstående enheter väljer slumpmässigt ut 10 % av sin personal. Skickar namn och användarnamn till systemförvaltares brevlåda i Lifecare meddelande, den första veckan i månaden.

Systemförvaltare tar ut loggutdrag enligt beställning på en slumpvis dag och skickar loggutdraget till respektive enhetschef via Lifecare meddelande. Därefter hanteras loggutdraget enligt beskrivning i rutin.

Vid patient/kunds begäran om loggutdrag

En patient/kund kan begära ett loggutdrag över vilka som haft tillgång till dennes journal. I samband med att loggutdraget överlämnas/skickas i rekommenderat brev till patienten/kunden ska åtkomstkontrollen göras för den tidsperiod som angivits av patienten/kunden. I loggen syns vilken enhet och tidpunkt någon tagit del av journalen. Begäran samt utlämning dokumenteras i journalen.

Kontroll vid misstanke om obehörig åtkomst till vårdinformation

Vid misstanke om obehörig åtkomst till vårdinformation ska åtkomstkontroll omedelbart ske. Är misstanken riktad mot en specifik användare ska kontrollen ske för den tidsperiod som misstanken omfattar.

Andra riktade åtkomstkontroller

Exempel på anledning till riktade åtkomstkontroller av medarbetare kan vara släktrelationer eller annan nära relation till patienten/kunden men där ingen aktuell vårdrelation till patient/kunden föreligger.

Personer med sekretessbelagda uppgifter på adress och telefonnummer ska åtkomstkontrolleras mer frekvent.

Det kan även finnas skäl att granska loggen för en viss patient/kund om det rör sig om en offentlig person eller att det finns en patient/kund som är involverad i en händelse som kan bli massmedialt uppmärksammad.

Granskningsresultat - ingen misstanke om obehörig åtkomst till dokumentationssystemet

Visar uppföljningen av åtkomstkontrollen ingen misstanke om obehörig åtkomst till vårdinformation noteras detta i fältet anteckningar i Evolution.

Granskningsresultat - behov av vidare utredning

Bedöms något som oklart tar närmsta chef kontakt med den personal det gäller.

Bedöms det efter utredning inte finnas någon misstanke om obehörig åtkomst till vårdinformation ska ärendet dokumenteras och avslutas. Det ska dokumenteras och utredas vidare med hjälp av mall loggavvikelse. Den finns i Evolution.

Visar analysen att det varit ett faktiskt dataintrång eller olovlig läsning ska ställningstagande till arbetsrättsliga åtgärder vidtas. Verksamhetschef ska kontaktas. Om överträdelsen bedöms så allvarlig att den kan strida mot svensk lagstiftning, ska ärendet polisanmälas av verksamhetschefen.

Kontroll av journalloggningar som levererats via Lifecare meddelande 

En journal- loggning kan kontrolleras med hjälp av följande frågor: 

  • Har medarbetaren arbetsuppgifter/ behörighet som medger att hen har läst kunds/ patients journal?
  • Indikerar namnet på kunden/ patienten på privat samhörighet med medarbetaren?
  • Har medarbetaren läst sin egen/partners/barns journal?
  • Är kunden/ patienten en känd person och av medialt intresse?
  • Är kunden/ patienten känd för medarbetaren, exempelvis en arbetskamrat eller granne?
  • Har kunden/ patienten en medicinsk diagnos som väcker särskilt intresse?
  • Har medarbetaren läst kunds/patientens journal utanför sin arbetstid? 

Riktad kontroll av journallogg

Om svaret är ja på någon av ovanstående frågor i punktlistan bör en riktad och mer omfattande kontroll av journalloggningen omedelbart genomföras. En riktad kontroll av journal- loggningen bör också göras om en kund begär journalutdrag eller vid misstanke om att en medarbetare obehörigen läst journaluppgifter.

 

  • Report errors on page

    For other questions to the municipality, please use this form.

    * Mandatory if you want a reply

    What you send to the municipality becomes common record.