meny

Hur förhindrar man obefogad spridning av patientuppgifter?

En vägledning om behovs- och riskanalys samt utredning av obehörig åtkomst för hälso- och sjukvården

Utöver de bestämmelser om sekretess och tystnadsplikt inom hälso- och sjukvården som följer av offentlighets- och sekretesslagen (2009:400) och patientsäkerhetslagen (2010:659) finns i patientdatalagen (2008:355) uttryckliga bestämmelser för att förhindra en obefogad spridning av uppgifter om patienter som behandlas elektroniskt. Datainspektionen har i ett tillsynsprojekt granskat samtliga landsting och regioner utifrån patientdatalagens bestämmelser. Inom ramen för tillsynsprojektet har Datainspektionen funnit både goda exempel och kommit med beslut om förbättringsåtgärder. Det här är en sammanställning av erfarenheterna från projektet.

Behovs- och riskanalys

En vårdgivare ska begränsa en användares behörigheter till vad som behövs för att användaren ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården och till vad som är nödvändigt för att ge en god och säker vård. Vårdgivarens beslut om tilldelning av behörighet ska föregås av en behovs- och riskanalys.

Behovs- och riskanalyser har en avgörande betydelse för en väl avvägd behörighetstilldelning. Om en vårdgivare inte har genomfört dessa analyser före tilldelningen av behörigheter, riskerar vårdgivaren att ha en alltför vidsträckt och grovmaskig eller till och med felaktig behörighetstilldelning, vilket leder till en obefogad spridning av patientuppgifter.

Allmänna bestämmelser om säkerhet vid behandling av personuppgifter återfinns i artikel 32 i dataskyddsförordningen. I 4 kap. patientdatalagen finns grundläggande bestämmelser om den så kallade inre sekretessen och elektronisk åtkomst inom en vårdgivares verksamhet. Det uttryckliga kravet på att vårdgivaren ska tilldela varje användare en individuell behörighet för åtkomst till patientuppgifter och att det ska föregås av en behovs- och riskanalys återfinns i 4 kap. 2 § Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40). Vad gäller behörighet att ta del av uppgifter inom hälso- och sjukvården är det viktigt att också följa relevanta sekretessbestämmelser i offentlighets- och sekretesslagen, men såsom angetts inledningsvis berörs vare sig den eller patientsäkerhetslagen vidare i detta sammanhang.

Med detta som bakgrund är det enligt Datainspektionen inte tillräckligt att en vårdgivare nöjer sig med att i allmänna ordalag uttrycka, till exempel i olika policydokument, att behovs- och riskanalyser ska genomföras. Istället har vårdgivaren ett ansvar för att strukturerade behovs- och riskanalyser faktiskt genomförs. Som ett underlag för den individuella behörighetstilldelningen, måste vårdgivaren därför genomföra och besluta en behovs- och riskanalys utifrån patientuppgifterna i informationssystemet som sådant och inte enbart nöja sig med att utgå ifrån vilken yrkeskategori en viss befattningshavare tillhör eller att alla med viss typ av legitimation ska ha en och samma behörighetsprofil i informationssystemet.

Goda exempel

En av de granskade vårdgivarna har på ett bra sätt beskrivit grunderna för en behovs- och riskanalys enligt följande.

[...]Det är inte tillåtet att ge vårdpersonal tillgång till all information i vårdinformationssystemen utan behörigheten ska baseras på det behov som varje yrkeskategori har i respektive verksamhet. Omfattningen av behörigheten ska baseras på en behovs- och riskanalys utifrån verksamhetens uppdrag. Behovs- och riskanalysens resultat ligger sedan till grund för den behörighetsprofil som används vid tilldelning av behörigheter för medarbetare inom verksamheten[...] Behovs- och riskanalysen ska [...] identifiera och förteckna verksamhetens uppdrag, de olika yrkeskategorierna som finns i verksamheten samt de uppdrag som medarbetarna har i verksamheten.[...] Risker som uppstår om medarbetare inom verksamheten inte har tillgång till relevant patientinformation ska identifieras och förtecknas i behovs- och riskanalysen och värderas enligt gällande rutin för riskanalys [...]. Vidare ska även risker relaterade till för bred/generös tillgång till vårdinformation identifieras och förtecknas i behovs- och riskanalysen på samma sätt som risker enligt ovan.[...]Behovs- och riskanalysen används för att tillse att de behörighetsprofiler som finns för respektive verksamhetsområde är korrekta.[...]

Ytterligare ett bra exempel är en behovs- och riskanalys som genomförts avseende en tidbok i huvudjournalsystemet. Dokumentet i fråga redovisar en analys av behoven av och riskerna med tillgång till tidboken, dels utanför det egna medicinska ansvaret, dels inom det egna medicinska ansvaret. Följande textavsnitt är ett exempel.

[...]Behovet av tillgång till andra enheters tidbok bedöms som liten. Det kan dock finnas personal som arbetar med länsövergripande verksamheter som har behov av att se tidboken över olika medicinska ansvar för samordning och sambokning. Här kan problem uppstå. Detta behöver utredas ytterligare.[...]

Allmänna synpunkter och rekommendationer

Datainspektionen har funnit att det finns missuppfattningar gällande vad det innebär att vårdgivaren ska begränsa behörighet till vad som behövs för att den anställde ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Regelefterlevnad på andra områden innebär inte att vårdgivaren kan låta bli att göra sådana begränsningar.

Att en vårdgivare till exempel utbildar personalen om när de får ta del av patientuppgifter enligt den inre sekretessen (och kanske även låter personalen underteckna sekretessförbindelser), ger personalen instruktioner i form av policydokument, riktlinjer eller annat informationsmaterial eller informerar om och genomför loggkontroller innebär inte att vårdgivaren kan förbise kraven på att behörighetstilldelning ska föregås av en reell behovs- och riskanalys. Att patienter har en lagstadgad rätt att spärra åtkomst till uppgifter om dem fråntar inte heller vårdgivaren från kravet på att genomföra behovs- och riskanalys.

Datainspektionen ger nedan några exempel på överväganden som lämpligen kan ingå vid en behovs- och riskanalys.

  • Vårdgivaren behöver tydliggöra och konkretisera befattningshavares olika uppdrag till omfattning och innehåll varvid följande tre perspektiv bör beaktas.
    • Definiera olika kategorier av personal utifrån den anställdes yrkeskategori, specifika uppdrag, arbetssätt och arbetsställe.
    • Utgå ifrån vilka faktiska arbetsuppgifter som förekommer eller ska tilldelas den anställde. Om all hälso- och sjukvårdspersonal uppges behöva generell åtkomst till patientuppgifter för att kunna utföra arbetsuppgifterna har någon individuell behörighetstilldelningen inte skett. Att utgå från typ av legitimation är inte heller tillräckligt för att uppfylla kravet på individuell tilldelning.
    • Fastställ behov av åtkomst till patientuppgifter hos olika slags verksamheter utifrån deras arbetssätt, omfattning och uppdrag.
  • Bedöm om det finns det vissa särskilt skyddsvärda patientuppgifter eller patientgrupper, utifrån vård/diagnos, patientens person såsom exempelvis vid skyddade personuppgifter och utifrån vårdenhet eller medicinsk specialitet.
  • Ställ frågan: När kan behov av patientrelaterade uppgifter tillgodoses av uppgifter som endast indirekt kan härledas till patienter?

Ovanstående överväganden behöver vårdgivaren också genomföra beträffande alla anställda som får del av patientuppgifter, det vill säga även de som arbetar med verksamhetsuppföljning, statistikframställning, central ekonomiadministration, teknisk drift eller andra arbetsuppgifter som inte primärt rör vården av patienter.

Utöver dessa punkter behöver vårdgivaren även analysera vad som kan krävas utifrån de särskilda omständigheterna i det enskilda fallet.

Utredning av obehörig åtkomst i samband med åtkomstkontroller

En vårdgivare ska se till att åtkomsten till sådana uppgifter om patienter som förs helt eller delvis automatiserat dokumenteras och att den kan kontrolleras. Vårdgivaren ska vidare göra systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter. Reglerna i patientdatalagen om kontroll av åtkomst till patientuppgifter förtydligas i 4 kap. 9 § HSLF-FS 2016:40. Datainspektionen har som ett stöd till vårdgivarna upprättat en checklista om systematisk logguppföljning (daterad oktober 2010). Dessa rekommendationer kompletterar checklistan.

Enligt Datainspektionen är loggkontroller inte verkningsfulla om inte vårdgivaren gett riktlinjer till de befattningshavare som gör bedömningar i samband med loggkontrollerna om vad som kan utgöra obehörig elektronisk åtkomst enligt reglerna om inre sekretess. Saknas sådana riktlinjer riskerar vårdgivarna att åsidosätta den inre sekretessen. Datainspektionen har därför i tillsynsprojektet efterfrågat vårdgivarnas riktlinjer för att stötta de befattningshavare som utför loggkontrollerna.

Goda exempel

Tillsynsprojektet har visat att de flesta vårdgivare saknar eller har otillräckliga riktlinjer till de befattningshavare som utför loggkontrollerna, men det finns också exempel på vårdgivare som gett bra vägledning. Det finns bland annat vägledningar som beskriver olika omständigheter som bör uppmärksammas särskilt vid kontrollerna. Nedan följer punkter som utgör bra exempel från vårdgivare.

  • Avvikande mönster/åtkomst som bryter det ordinarie mönstret/frekvensen/rutinen (Datainspektionen anser dock att vårdgivaren behöver ha en metod eller rutin för att ställa avvikande mönster i relation till vad vårdgivaren anser är ordinarie mönster).
  • Namn/släktskap som kan indikera privat samhörighet.
  • Personer av medialt intresse.
  • Patient med diagnos som kan väcka särskilt intresse.
  • Lokal personkännedom som indikerar eller ger misstanke om intresse för information som sträcker sig utanför tillåtna ändamål.
  • Läst egen journal, makas/makes eller sina barns journaler.
  • Lex Maria-anmälningar.
  • Personer med skyddade personuppgifter.

Vissa vårdgivare kompletterar med frågor som den som utför loggkontrollen bör ställa till den anställde som är föremål för loggkontrollen. Följande exempel på frågor förekommer.

  • Varför har medarbetaren sökt information om denna patient?
  • Känner medarbetaren patienten eller har denne någon annan anknyt-ning till patienten?
  • Vilken information har använts och till vad?
  • Känner medarbetaren till bestämmelserna i patientdatalagen?

Enligt Datainspektionen kan kombinationen av omständigheter att uppmärksamma särskilt och ett antal frågor som ska besvaras ge ett bra underlag för en befattningshavare som ska utreda om en åtkomst till patientuppgifter varit obehörig.

Allmänna synpunkter och rekommendationer

Vårdgivaren bör tydligt vägleda befattningshavare som utför loggkontroller för att de metodiskt och konsekvent ska kunna åstadkomma verkningsfulla loggkontroller. Vårdgivarens rutiner för loggkontroll bör kunna ge svar på om den granskade åtkomsten till patientuppgifter varit befogad eller inte utifrån den aktuella verksamhetens uppdrag, arbetssätt och organisation samt med beaktande av de arbetsuppgifter som vårdgivaren tilldelat den anställde.

Vårdgivarna använder i stor utsträckning begrepp som exempelvis avvikande mönster, olovlig tillgång, otillåten åtkomst och liknande uttryck utan att dessa förklaras ytterligare. Vårdgivarna behöver vara tydligare med vad som avses om sådana uttryck används. Det är viktigt att de befattningshavare som utför loggkontroller har gemensamma utgångspunkter för vad som enligt vårdgivarens uppfattning utgör obehörig åtkomst. Vårdgivarna bör också vara tydligare med hur utredningsarbetet ska bedrivas, till exempel genom att ta fram ett antal frågor som ska besvaras vid granskningen såsom beskrivs ovan. Åtkomsten behöver också sättas i relation till de arbetsuppgifter som vårdgivaren har tilldelat den anställde.

Sammanfattningsvis ansvarar vårdgivaren för att loggkontrollerna utförs på ett systematiskt sätt oavsett vilken befattningshavare som utför loggkontrollen. Det är varje vårdgivare som ansvarar för att det finns en samsyn i organisationen kring vad som ska kontrolleras, hur och när det ska ske och vad som ska bedömas utgöra en obehörig åtkomst av patientuppgifter.