Rutin för kontroll av loggar
1(6) SOCIALFÖRVALTNINGEN Beslutsdatum: 140630 Gäller från och med: 150301 Beslutad av (namn och titel): Framtagen av (namn och titel): Reviderad av (namn och titel): Reviderad den: Amelie Gustavsson, Maria Förander, IT-samordnare 150301 Maria Förander, IT-samordnare Förvaltningschef Gäller för: Systemansvarig och chefer vars personal arbetar i Procapita, Infotorg eller NPÖ Patientdatalagen 4 kap, 3§ samt SOFS 2008:14 Referens (regelverk, lag, SOSFS etc): Rutin för kontroll av loggar Syfte Vårdgivaren har ett ansvar för informationssäkerhet enligt 2 kap. SOSFS 2008:14 och 4 kap. 3 § Patientdatalagen (2008:355). Ansvaret innebär bland annat att styra behörigheter och att göra åtkomstkontroller för att säkerställa att personalen använder sina behörigheter i journaler och informationssystem på ett korrekt sätt. Syftet med loggkontrollerna är att identifiera om obehörig åtkomst skett samt att verka preventivt mot nyfikenhetsläsning. Genom att loggkontrollerna gör oss uppmärksamma på hur journalsystemen används, t ex om det finns användare som sällan loggar in, så kan de också bidra till utveckling av våra verksamheter. System Inom Socialförvaltningen ska verksamhetssystemet Procapita samt tjänsterna Infotorg och Nationell Patientöversikt (NPÖ) loggkontrolleras. Kontroll och ansvar Chefer vars personal arbetar i Procapita, hämtar uppgifter från Infotorg eller tar del av journalinformation i NPÖ är ansvariga för att systemen används på rätt sätt. Loggrutinen anger minimikrav på vilka kontroller som chefer, systemansvarig och loggadministratör NPÖ måste göra, men det är upp till varje chef att bedöma om det finns ytterligare behov av planerade rutinkontroller eller kontroller vid misstanke om olovlig läsning. Överträdelser kan leda till straffrättsliga åtgärder enligt Brottsbalken 4 kap. 9c §. Vid loggkontrollerna bör följande punkter beaktas: • Tidpunkter (t ex avvikande klockslag utanför personalens schema) • Brukar-, patientrelation kopplat till uppdrag • Avvikande mönster (åtkomst som bryter det ordinarie mönstret, frekvensen, rutinen) • Namn och släktskap (åtkomst som indikerar släktskap) • Brukare av medialt intresse (åtkomst som indikerar nyfikenhet) • Brukare med diagnos som kan väcka särskilt intresse (åtkomst som indikerar nyfikenhet) • Brukare som är lokalt kända (personkännedom om t ex tidigare kollegor, grannar) • Forcerad spärr/nödöppning (inloggning på patient i NPÖ utan samtycke) En detaljerad beskrivning av loggkontrollerna för respektive system/tjänst följer nedan. Lomma kommun 234 81 Lomma Tel 040-641 10 00 Fax 040-41 16 93 E-post socialforvaltningen@lomma.se www.lomma.se 2(6) Loggkontroller Procapita för chefer SYSTEM Procapita VoO, IFO, Avgifter SYSTEMÄGARE Tieto LOGGKONTROLLANSVARIG Förvaltningschef Socialförvaltningen GRANSKNINGSANSVARIG Förvaltningschef ANVÄNDARE Avdelningschefer Avdelningschefer Enhetschefer samt MAS, IT-samordnare, Avgiftshandläggare, Assistenter, Strateger Enhetschef för myndighetsutövning VoO samt LSS Handläggare SOL och LSS Enhetschef för myndighetsutövning IFO Handläggare IFO, Kommunvägledare* och Sociala jouren* Enhetschef för RHVO Områdeschefer, Legitimerad HSL-personal, rehabiliteringsundersköterskor Enhetschef för förebyggande och öppen verksamhet Områdeschefer, Omvårdnadspersonal Korttid och Dagverksamhet Enhetschef för boende, boendestöd och behandlingsteam Områdeschefer, Habiliteringsassistenter, Boendestödjare, Behandlare, Ungdomsassistenter, HVB-personal Verksamhetschef extern utförare Samtlig underställd personal med användarkonton i Procapita TILLVÄGAGÅNGSSÄTT Ansvarig chef gör en årsplan för loggkontroller i Procapita där hälften av personalen loggas under våren, andra hälften under hösten. Planen ska säkerställa att varje användare inom chefens ansvarsområde loggas under minst 7 kalenderdagar i följd per år. I planen ska det även ingå att loggkontroller utförs i de ärenden det finns misstanke om olovlig läsning. Logglistan från Procapita ska innehålla personnummer och namn på brukare, namn på Procapitaanvändaren samt aktiviteten läst. Till hjälp finns en lathund som beskriver hur loggarna tas fram i Procapita. Loggningar som inte resulterat i några träffar ska också redovisas på en lista så att det framgår vilken personal som loggats när. Granskningsansvarig kontrollerar listan och noterar nedtill om den är godkänd. Vid anmärkning sker markering med anm. vid aktuell loggpost och en bilaga bifogas med beskrivning av överträdelsen samt vilka åtgärder som vidtagits. Listan ska kompletteras med sökperiod (tex 150216-150222) samt med granskningsansvarigs namnförtydligande, signatur och datum för kontroll nederst på listan. * Loggkontroller för Kommunvägledare ska utföras under minst 7 kalenderdagar i följd vid två tillfällen på våren och två tillfällen på hösten. * Loggkontroller för Sociala jouren ska vara heltäckande och omfatta hela året men delas upp på vår och höst.) 3(6) ARKIVERING OCH GALLRING Granskad och signerad loggkontrollista inkl. bilaga vid eventuell anmärkning, ska skickas till systemansvarig för arkivering. De granskade logglistorna ska vara systemansvarig tillhanda senast 31/7 för vårens kontroller och senast 31/1 (påföljande år) för höstens kontroller. Systemansvarig mailar bekräftelse när logglistorna inkommit. Loggkontrollistor gallras efter 10 år. 4(6) Loggkontroller Procapita för systemansvarig SYSTEM SYSTEMÄGARE Procapita VoO, IFO Tieto LOGGKONTROLLANSVARIG Förvaltningschef Socialförvaltningen GRANSKNINGSANSVARIG ÄRENDE/ANVÄNDARE Närmst ansvarig chef Närmst ansvarig chef Lex Sarah-ärenden Känsliga ärenden (vid bedömd risk för olovlig läsning) Enhetschef för myndighetsutövning IFO Sekretessmarkering KIR Enhetschef för myndighetsutövning IFO Inkomstförfrågan Enhetschef för myndighetsutövning VoO samt LSS LSS externa utförare TILLVÄGAGÅNGSSÄTT Kontroller ska utföras vår och höst och omfatta aktuella perioder i Lex Sarah-ärenden och känsliga ärenden. I övriga ärenden ska kontrollperioderna vara heltäckande och omfatta hela året men delas upp på vår och höst. Systemansvarig tar ut logglistan och skickar den till granskningsansvarig. Logglistan ska innehålla datum för loggkontrollperiod, personnummer och namn på brukare, namn på Procapitaanvändaren samt aktiviteten läst. Vid behov av förtydligande eller för att bekräfta en misstanke om olovlig läsning så kan granskaren få ut den totala loggen med alla typer av aktiviteter, tidpunkter och vilka systemdelar man varit inne i samt få hjälp att tolka informationen. Granskningsansvarig kontrollerar listan och noterar nedtill om den är godkänd. Vid anmärkning sker markering med anm. vid aktuell loggpost och en bilaga bifogas med beskrivning av överträdelsen samt vilka åtgärder som vidtagits. Listan ska kompletteras med granskningsansvarigs namnförtydligande, signatur och datum för kontroll nederst på listan. ARKIVERING OCH GALLRING Granskad och signerad loggkontrollista inkl. bilaga vid eventuell anmärkning, ska skickas till systemansvarig för arkivering. De granskade logglistorna ska vara systemansvarig tillhanda senast 31/7 för vårens kontroller och senast 31/1 (påföljande år) för höstens kontroller. Systemansvarig mailar bekräftelse när logglistorna inkommit. Loggkontrollistor gallras efter 10 år. 5(6) Loggkontroller Infotorg SYSTEM SYSTEMÄGARE Infotorg Bisnode LOGGKONTROLLANSVARIG Förvaltningschef Socialförvaltningen GRANSKNINGSANSVARIG Enhetschef för myndighetsutövning IFO ANVÄNDARE Enheten för myndighetsutövning IFO Avdelningschef Avdelningen för utveckling och administration FREKVENS OCH OMFATTNING Loggkontrollen omfattar alla användares samtliga ärenden i Infotorg under månaden. Loggkontrollistan som vi prenumererar på från systemägaren skickas var månad till enhetschef som skriver ut och granskar och vid behov delger avdelningschef för granskning. Vid misstanke om brott som föranlett polisanmälan kan mer detaljerad information begäras ut från systemägaren. INNEHÅLL Logglistan innehåller användarnamn, ärendetyp i Infotorg samt uppgift om månad för kontroll. Granskningsansvarig kontrollerar listan och noterar nedtill om den är godkänd. Vid anmärkning sker markering med anm. vid aktuell loggpost och en bilaga bifogas med beskrivning av överträdelsen samt vilka åtgärder som vidtagits. Listan ska undertecknas av granskningsansvarig med namnförtydligande, signatur och datum för kontroll nederst på listan. ARKIVERING OCH GALLRING Granskad och signerad loggkontrollista inkl. bilaga vid eventuell anmärkning, ska arkiveras löpande varje månad. Loggkontrollistor gallras efter 10 år. 6(6) Loggkontroller Nationell Patientöversikt (NPÖ) SYSTEM NPÖ SYSTEMÄGARE Inera LOGGKONTROLLANSVARIG Verksamhetschef HSL GRANSKNINGSANSVARIG Utsedd chef med uppdrag för loggadministration i NPÖ ANVÄNDARE Legitimerad personal inom Hälso- och sjukvård TILLVÄGAGÅNGSSÄTT Loggkontroller ska utföras årligen under två perioder, vår och höst. De granskade logglistorna ska vara systemansvarig tillhanda för arkivering senast 31/7 för vårens kontroller och senast 31/1 (påföljande år) för höstens kontroller. Loggkontrollen i NPÖ ska matchas mot Procapita. Om användaren läst om vårdtagare i NPÖ så ska kontroll av vårdrelation ske samt att inhämtat samtycke finns dokumenterat i Procapita. Loggkontroll vid misstanke om olovlig läsning eller vid forcering/nödöppning av spärr ska ske utöver de systematiska kontrollerna och omfatta aktuell period och brukare/användare. INNEHÅLL Logglistan som tas fram av utsedd chef med uppdrag för loggadministration NPÖ ska innehålla datum för loggkontrollperiod, personnummer och namn på brukare, namn på användaren samt information om ursprung. Granskningsansvarig kontrollerar listan och noterar nedtill om den är godkänd. Vid anmärkning sker markering med anm. vid aktuell loggpost och en bilaga bifogas med beskrivning av överträdelsen samt vilka åtgärder som vidtagits. Listan ska undertecknas av granskningsansvarig med namnförtydligande, signatur och datum för kontroll nederst på listan. ARKIVERING OCH GALLRING Granskad och signerad loggkontrollista inkl. bilaga vid eventuell anmärkning, ska skickas till systemansvarig för arkivering. Systemansvarig bekräftar när logglistorna inkommit. Loggkontrollistor gallras efter 10 år.
© Copyright 2024