Vårdgivares skydd för patientuppgifter

IMY:s vägledning om vad vårdgivare ska tänka på för att skydda uppgifter om patienter och följa patientdatalagen bygger på vår granskning av landstingens och regionernas hantering av patientuppgifter. Vi tar upp både goda exempel och sådant som behöver förbättras.

Behovs- och riskanalys

Vårdgivare ansvarar för att anställda enbart har den behörighet som krävs för arbetsuppgifterna och för en god och säker vård. Före beslut om anställdas behörighet ska ni göra en behovs- och riskanalys så att behörigheten blir rätt. En alltför omfattande eller felaktig behörighet riskerar att leda till en obefogad spridning av patientuppgifter.

Som ett underlag för den individuella behörighetstilldelningen ska vårdgivaren genomföra strukturerade behovs- och riskanalyser utifrån patientuppgifterna i informationssystemet. Det räcker inte att utgå från vilken yrkeskategori en viss anställd tillhör eller ge alla med viss typ av legitimation en och samma behörighetsprofil i informationssystemet.

Vad innebär begränsad behörighet?

Vår granskning visade på missuppfattningar om vad det innebär att vårdgivaren ska ”begränsa behörighet till vad som behövs för att anställda ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården”.

Det räcker inte att:

• utbilda personalen om när de får ta del av patientuppgifter enligt den inre sekretessen
• låta personalen underteckna sekretessförbindelser
• ge personalen instruktioner i form av policydokument, riktlinjer eller annat informationsmaterial
• informera om och genomföra loggkontroller
• att patienter har en lagstadgad rätt att spärra åtkomst till uppgifter om dem. 

Vårdgivaren måste ändå alltid göra en behovs- och riskanalys före tilldelningen av behörighet.

 

Utredning av obehörig åtkomst i samband med åtkomstkontroller

Åtkomsten till uppgifter om patienter som förs helt eller delvis automatiserat ska dokumenteras och kunna kontrolleras. Det är vårdgivarens ansvar, liksom att göra systematiska och återkommande kontroller av om någon obehörig kommer åt uppgifterna.

Reglerna i patientdatalagen om kontroll av åtkomst till patientuppgifter förtydligas i 4 kap. 9 § HSLF-FS 2016:40.
Läs vår checklista om systematisk logguppföljning 

Checklista – systematisk logguppföljning 

Det behöver finnas riktlinjer om vad som kan utgöra obehörig elektronisk åtkomst enligt reglerna om inre sekretess till de anställda som gör bedömningar i samband med loggkontroller.

Saknas riktlinjer riskerar vårdgivarna att åsidosätta den inre sekretessen. IMY har därför i tillsynsprojektet begärt in vårdgivarnas riktlinjer för att stötta anställda som utför loggkontrollerna.

Riktlinjer för loggkontroller

Tillsynsprojektet har visat att de flesta vårdgivare saknar eller har otillräckliga riktlinjer till anställda som utför loggkontrollerna, men det finns vårdgivare som gett bra vägledning. Det finns bland annat vägledningar som beskriver olika omständigheter som bör uppmärksammas särskilt vid kontrollerna.

Exempel:

• Avvikande mönster/åtkomst som bryter det ordinarie mönstret/frekvensen/rutinen. (IMY anser dock att vårdgivaren behöver ha en metod eller rutin för att ställa avvikande mönster i relation till vad vårdgivaren anser är ordinarie mönster.)
• Namn/släktskap som kan indikera privat samhörighet.
• Personer av medialt intresse.
• Patient med diagnos som kan väcka särskilt intresse.
• Lokal personkännedom som indikerar eller ger misstanke om intresse för information som sträcker sig utanför tillåtna ändamål.
• Läst egen journal, makas/makes eller sina barns journaler
• Lex Maria-anmälningar.
• Personer med skyddade personuppgifter.

Vissa vårdgivare kompletterar med frågor som den som utför loggkontrollen bör ställa till den anställda som blir kontrollerad.

Exempel:

• Varför har du sökt information om denna patient?
• Känner du patienten eller finns någon annan anknytning till patienten?
• Vilken information har använts och till vad?
• Känner du till bestämmelserna i patientdatalagen?

Kombinationen av omständigheter kan uppmärksammas särskilt och ett antal frågor som ska besvaras ger ett bra underlag för den som ska utreda om en åtkomst till patientuppgifter varit obehörig.

Allmänna synpunkter och rekommendationer

Vårdgivaren bör tydligt vägleda anställda så att de metodiskt och konsekvent kan utföra effektiva loggkontroller. Vårdgivarens rutiner för loggkontroll bör kunna svara på om den granskade åtkomsten till patientuppgifter varit befogad eller inte utifrån verksamhetens uppdrag, arbetssätt och organisation och med hänsyn till den anställdas arbetsuppgifter.

Vårdgivarna använder ofta begrepp som exempelvis avvikande mönster, olovlig tillgång, otillåten åtkomst och liknande utan att dessa förklaras. Det måste vara tydligt vad som menas om uttrycken används. De som utför loggkontroller måste ha gemensamma utgångspunkter för vad vårdgivaren uppfattar som obehörig åtkomst.

Vårdgivarna bör också vara tydligare med hur utredningsarbetet ska bedrivas, till exempel genom att ta fram ett antal frågor som ska besvaras vid granskningen. Åtkomsten behöver också sättas i relation till den anställdas arbetsuppgifter.

Sammanfattningsvis ansvarar vårdgivaren för att loggkontrollerna utförs systematiskt oavsett vem som utför dem. Det är varje vårdgivare som ansvarar för att det finns en samsyn i organisationen kring vad som ska kontrolleras, hur och när det görs och vad som ska bedömas utgöra en obehörig åtkomst av patientuppgifter.