Systematisk logguppföljning

Checklista för hälso- och sjukvården

Denna checklista sammanfattar vad en vårdgivare bör tänka på när den ska utföra logguppföljning för att kunna kontrollera om någon obehörigen kommit åt patientuppgifter. Anledningarna till att vårdgivare behöver ha en systematisk logguppföljning är dels för att kunna kontrollera om någon som inte är behörig har kommit åt patientuppgifter, dels att avhålla personal från att läsa patientuppgifter som de inte behöver i sitt arbete.

Checklistan är en vägledning för vårdgivaren så att denne ska kunna utveckla de rutiner och metoder som författningarna kräver för att säkerställa ett gott integritetsskydd. Checklistan baseras på patientdatalagen (2008:355) och Socialstyrelsens föreskrifter om informationshantering och journalföring i hälso- och sjukvården (SOSFS 2008:14) samt på Datainspektionens tolkning av regelverket.

Informera personalen

Informera personalen om att logguppföljning sker. Det har en preventiv effekt. Personalen behöver informeras om det egna ansvaret, det vill säga under vilka omständigheter de får ta del av patientuppgifter och om följderna av att olovligen ta del av patientuppgifter.

Se till att ha de rätta tekniska förutsättningarna

Gå igenom de krav som ställs på loggarna och kontrollera att de tekniska förutsättningarna för åtkomstkontroll finns. Kraven framgår av bestämmelsen i 2 kap. 11 § i SOSFS 2008:14. Av loggarna ska det framgå:

  • Vilka åtgärder som vidtagits med patientuppgifterna, till exempel om personal har läst, ändrat, lämnat ut, kopierat, upprättat eller skrivit ut vårddokumentation
  • Vid vilken vårdenhet och vid vilken tidpunkt åtgärderna har vidtagits
  • Användarens och patientens identitet

Bestäm urval och omfattning och utforma en verkningsfull rutin

Bestäm hur urvalet av loggposterna ska gå till. Det är lämpligt att kombinera systematik och viss slumpmässighet när loggposter väljs ut. Utvärdera om det finns något sätt att välja ut och klassificera åtkomster där användarna kan tänkas använda sina behörigheter på ett felaktigt sätt. Använd gärna flera parametrar vid urvalet.

Man kan till exempel välja att kontrollera åtkomst:

  • Till en viss patients uppgifter
  • Som en viss anställd har haft
  • Som skett ett stort antal gånger avseende en viss patient
  • På avvikande tider på dygnet
  • Till skyddade personuppgifter
  • Till uppgifter om barn
  • Till uppgifter om allmänt kända personer
  • Till uppgifter från vissa mottagningar eller medicinska specialiteter
  • Där spärrar forcerats eller där åtkomst skett över vårdenhetsgränser eller mellan vårdprocesser

Bestäm med vilken omfattning (antal och tidsintervall) logguppföljningen ska ske. Eftersom det inte enbart är antalet loggposter vid logguppföljningen som avgör om kontrollen blir verkningsfull, finns det inget generellt svar på hur många loggposter som bör granskas vid varje tillfälle. Varje vårdgivare måste ta hänsyn till verksamhetens omfattning (antalet patienter och personal med behörighet) samt vilket urval och vilken systematik som används vid uppföljningen.

Formulera en skriftlig rutin för logguppföljning.

Det kan också vara lämpligt att vårdgivaren undersöker om det finns tekniska hjälpmedel som skulle kunna underlätta åtkomstkontrollen, som exempelvis logganalysverktyg.

Genomför kontrollerna

Följ rutinen och dokumentera resultatet av granskningen. Enligt SOSFS 2008:14 ska genomförda kontroller dokumenteras. Dokumentationen över de genomförda logguppföljningarna bör också utformas så att den kan utgöra ett underlag för utvärdering av rutinen.

Frågor & svar om patientdatalagen

Här har vi samlat några aktuella frågor och svar om patientdatalagen.

Dokument

Ladda ner som pdf

Informationen på denna sida finns även i pdf-format.