meny

Systematisk logguppföljning

Checklista för dig som är vårdgivare

Alla vårdgivare ska ha systematisk logguppföljning, vilket betyder att de ska logga aktiviteter i systemen där patientinformation behandlas. Systemen ska vara utformade för att kontrollera att bara personal som har rätt behörighet kommer åt patientuppgifter.

Här följer en checklista som sammanfattar vad en vårdgivare bör tänka på när den ska utföra logguppföljning. Checklistan är en vägledning för att utveckla de rutiner och metoder som krävs för att säkerställa ett gott integritetsskydd. Checklistan baseras på patientdatalagen (2008:355) och Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40), samt på Datainspektionens tolkning av regelverket.

Checklista

☐ Informera personalen

Informera personalen om att logguppföljning sker. Informera även om under vilka omständigheter personalen får ta del av patientuppgifter, om att personalen har ett eget ansvar att endast ta del av uppgifter som de behöver i arbetet och om vilka följderna av att olovligen ta del av patientuppgifter kan bli.

☐ Kontrollera de tekniska förutsättningarna

Kontrollera att de tekniska förutsättningarna för åtkomstkontroll och vilka krav som ställs på loggarna i 4 kap. 9 § i HSLF-FS 2016:40. Av loggarna ska det framgå:

  • Vilka åtgärder som vidtagits med patientuppgifterna, till exempel om personal har läst, ändrat, lämnat ut, kopierat, upprättat eller skrivit ut vårddokumentation
  • Vid vilken vårdenhet åtgärderna har vidtagits
  • Vid vilken tidpunkt åtgärderna har vidtagits
  • Vem som har vidtagit åtgärder
  • Vilken patient åtgärderna avsåg

☐ Ta fram rutiner för loggarna genom att bestämma urval och omfattning av loggposterna

Fastställ en skriftlig rutin för hur loggposterna följs upp och där urvalet av vilka loggposter som kontrolleras framgår. Det är till exempel lämpligt att kombinera systematik och viss slumpmässighet när loggposter väljs ut, och flera parametrar bör användas vid urvalet. Utred om det går att identifiera åtkomster där behörigheter skulle kunna användas på ett felaktigt sätt.

Man kan till exempel välja att kontrollera åtkomst:

  • Till en viss patients uppgifter
  • Som en viss anställd har haft
  • Som skett ett stort antal gånger avseende en viss patient
  • På avvikande tider på dygnet
  • Till skyddade personuppgifter
  • Till uppgifter om barn
  • Till uppgifter om allmänt kända personer
  • Till uppgifter från vissa mottagningar eller medicinska specialiteter
  • Där spärrar forcerats eller där åtkomst skett över vårdenhetsgränser eller mellan vårdprocesser

Rutinen ska beskriva omfattningen av logguppföljningen, det vill säga hur många loggposter ni ska kontrollera och med vilket tidsintervall. Eftersom det inte är enbart antalet loggposter som avgör kvaliteten finns det inget generellt svar på hur många loggposter som bör granskas vid varje tillfälle. Hänsyn måste tas till verksamhetens omfattning, antalet patienter och personal med behörighet och logguppföljningens urval och systematik.

Det finns också tekniska hjälpmedel som kan underlätta logguppföljningen, som exempelvis logganalysverktyg.

☐ Dokumentera logguppföljningen och följ upp rutinen

Enligt Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40), ska logguppföljningarna dokumenteras. Dokumentationen bör utformas så att den kan utgöra ett underlag för att utvärdera rutinen för logguppföljning.