Rutin för kontroll av loggar

1(6)
SOCIALFÖRVALTNINGEN
Beslutsdatum: 140630
Gäller från och med: 150301
Beslutad av (namn och titel): Framtagen av (namn och titel):
Reviderad av (namn och titel):
Reviderad den:
Amelie Gustavsson,
Maria Förander, IT-samordnare
150301
Maria Förander, IT-samordnare
Förvaltningschef
Gäller för:
Systemansvarig och chefer vars personal arbetar i Procapita, Infotorg eller NPÖ
Patientdatalagen 4 kap, 3§ samt SOFS 2008:14
Referens (regelverk, lag, SOSFS etc):
Rutin för kontroll av loggar
Syfte
Vårdgivaren har ett ansvar för informationssäkerhet enligt 2 kap. SOSFS 2008:14 och 4 kap. 3 §
Patientdatalagen (2008:355). Ansvaret innebär bland annat att styra behörigheter och att göra
åtkomstkontroller för att säkerställa att personalen använder sina behörigheter i journaler och
informationssystem på ett korrekt sätt. Syftet med loggkontrollerna är att identifiera om obehörig
åtkomst skett samt att verka preventivt mot nyfikenhetsläsning. Genom att loggkontrollerna gör oss
uppmärksamma på hur journalsystemen används, t ex om det finns användare som sällan loggar in, så
kan de också bidra till utveckling av våra verksamheter.
System
Inom Socialförvaltningen ska verksamhetssystemet Procapita samt tjänsterna Infotorg och Nationell
Patientöversikt (NPÖ) loggkontrolleras.
Kontroll och ansvar
Chefer vars personal arbetar i Procapita, hämtar uppgifter från Infotorg eller tar del av
journalinformation i NPÖ är ansvariga för att systemen används på rätt sätt. Loggrutinen anger
minimikrav på vilka kontroller som chefer, systemansvarig och loggadministratör NPÖ måste göra,
men det är upp till varje chef att bedöma om det finns ytterligare behov av planerade rutinkontroller
eller kontroller vid misstanke om olovlig läsning. Överträdelser kan leda till straffrättsliga åtgärder
enligt Brottsbalken 4 kap. 9c §.
Vid loggkontrollerna bör följande punkter beaktas:
• Tidpunkter (t ex avvikande klockslag utanför personalens schema)
• Brukar-, patientrelation kopplat till uppdrag
• Avvikande mönster (åtkomst som bryter det ordinarie mönstret, frekvensen, rutinen)
• Namn och släktskap (åtkomst som indikerar släktskap)
• Brukare av medialt intresse (åtkomst som indikerar nyfikenhet)
• Brukare med diagnos som kan väcka särskilt intresse (åtkomst som indikerar nyfikenhet)
• Brukare som är lokalt kända (personkännedom om t ex tidigare kollegor, grannar)
• Forcerad spärr/nödöppning (inloggning på patient i NPÖ utan samtycke)
En detaljerad beskrivning av loggkontrollerna för respektive system/tjänst följer nedan.
Lomma kommun
234 81 Lomma
Tel 040-641 10 00
Fax 040-41 16 93
E-post [email protected]
www.lomma.se
2(6)
Loggkontroller Procapita för chefer
SYSTEM
Procapita VoO, IFO, Avgifter
SYSTEMÄGARE
Tieto
LOGGKONTROLLANSVARIG
Förvaltningschef Socialförvaltningen
GRANSKNINGSANSVARIG
Förvaltningschef
ANVÄNDARE
Avdelningschefer
Avdelningschefer
Enhetschefer samt MAS, IT-samordnare,
Avgiftshandläggare, Assistenter, Strateger
Enhetschef för myndighetsutövning VoO samt LSS
Handläggare SOL och LSS
Enhetschef för myndighetsutövning IFO
Handläggare IFO, Kommunvägledare* och Sociala
jouren*
Enhetschef för RHVO
Områdeschefer, Legitimerad HSL-personal,
rehabiliteringsundersköterskor
Enhetschef för förebyggande och öppen verksamhet Områdeschefer, Omvårdnadspersonal Korttid och
Dagverksamhet
Enhetschef för boende, boendestöd och
behandlingsteam
Områdeschefer, Habiliteringsassistenter,
Boendestödjare, Behandlare, Ungdomsassistenter,
HVB-personal
Verksamhetschef extern utförare
Samtlig underställd personal med användarkonton i
Procapita
TILLVÄGAGÅNGSSÄTT
Ansvarig chef gör en årsplan för loggkontroller i Procapita där hälften av personalen loggas under våren,
andra hälften under hösten. Planen ska säkerställa att varje användare inom chefens ansvarsområde loggas
under minst 7 kalenderdagar i följd per år. I planen ska det även ingå att loggkontroller utförs i de ärenden
det finns misstanke om olovlig läsning.
Logglistan från Procapita ska innehålla personnummer och namn på brukare, namn på
Procapitaanvändaren samt aktiviteten läst. Till hjälp finns en lathund som beskriver hur loggarna tas fram i
Procapita. Loggningar som inte resulterat i några träffar ska också redovisas på en lista så att det framgår
vilken personal som loggats när.
Granskningsansvarig kontrollerar listan och noterar nedtill om den är godkänd. Vid anmärkning sker
markering med anm. vid aktuell loggpost och en bilaga bifogas med beskrivning av överträdelsen samt vilka
åtgärder som vidtagits. Listan ska kompletteras med sökperiod (tex 150216-150222) samt med
granskningsansvarigs namnförtydligande, signatur och datum för kontroll nederst på listan.
* Loggkontroller för Kommunvägledare ska utföras under minst 7 kalenderdagar i följd vid två tillfällen på
våren och två tillfällen på hösten.
* Loggkontroller för Sociala jouren ska vara heltäckande och omfatta hela året men delas upp på vår och
höst.)
3(6)
ARKIVERING OCH GALLRING
Granskad och signerad loggkontrollista inkl. bilaga vid eventuell anmärkning, ska skickas till systemansvarig
för arkivering. De granskade logglistorna ska vara systemansvarig tillhanda senast 31/7 för vårens kontroller
och senast 31/1 (påföljande år) för höstens kontroller. Systemansvarig mailar bekräftelse när logglistorna
inkommit.
Loggkontrollistor gallras efter 10 år.
4(6)
Loggkontroller Procapita för systemansvarig
SYSTEM
SYSTEMÄGARE
Procapita VoO, IFO
Tieto
LOGGKONTROLLANSVARIG
Förvaltningschef Socialförvaltningen
GRANSKNINGSANSVARIG
ÄRENDE/ANVÄNDARE
Närmst ansvarig chef
Närmst ansvarig chef
Lex Sarah-ärenden
Känsliga ärenden (vid bedömd risk för olovlig
läsning)
Enhetschef för myndighetsutövning IFO
Sekretessmarkering KIR
Enhetschef för myndighetsutövning IFO
Inkomstförfrågan
Enhetschef för myndighetsutövning VoO samt LSS
LSS externa utförare
TILLVÄGAGÅNGSSÄTT
Kontroller ska utföras vår och höst och omfatta aktuella perioder i Lex Sarah-ärenden och känsliga
ärenden.
I övriga ärenden ska kontrollperioderna vara heltäckande och omfatta hela året men delas upp på vår
och höst.
Systemansvarig tar ut logglistan och skickar den till granskningsansvarig. Logglistan ska innehålla
datum för loggkontrollperiod, personnummer och namn på brukare, namn på Procapitaanvändaren samt
aktiviteten läst. Vid behov av förtydligande eller för att bekräfta en misstanke om olovlig läsning så kan
granskaren få ut den totala loggen med alla typer av aktiviteter, tidpunkter och vilka systemdelar man
varit inne i samt få hjälp att tolka informationen.
Granskningsansvarig kontrollerar listan och noterar nedtill om den är godkänd. Vid anmärkning sker
markering med anm. vid aktuell loggpost och en bilaga bifogas med beskrivning av överträdelsen samt
vilka åtgärder som vidtagits. Listan ska kompletteras med granskningsansvarigs namnförtydligande,
signatur och datum för kontroll nederst på listan.
ARKIVERING OCH GALLRING
Granskad och signerad loggkontrollista inkl. bilaga vid eventuell anmärkning, ska skickas till
systemansvarig för arkivering. De granskade logglistorna ska vara systemansvarig tillhanda senast 31/7
för vårens kontroller och senast 31/1 (påföljande år) för höstens kontroller. Systemansvarig mailar
bekräftelse när logglistorna inkommit.
Loggkontrollistor gallras efter 10 år.
5(6)
Loggkontroller Infotorg
SYSTEM
SYSTEMÄGARE
Infotorg
Bisnode
LOGGKONTROLLANSVARIG
Förvaltningschef Socialförvaltningen
GRANSKNINGSANSVARIG
Enhetschef för myndighetsutövning IFO
ANVÄNDARE
Enheten för myndighetsutövning IFO
Avdelningschef
Avdelningen för utveckling och administration
FREKVENS OCH OMFATTNING
Loggkontrollen omfattar alla användares samtliga ärenden i Infotorg under månaden.
Loggkontrollistan som vi prenumererar på från systemägaren skickas var månad till enhetschef som
skriver ut och granskar och vid behov delger avdelningschef för granskning.
Vid misstanke om brott som föranlett polisanmälan kan mer detaljerad information begäras ut från
systemägaren.
INNEHÅLL
Logglistan innehåller användarnamn, ärendetyp i Infotorg samt uppgift om månad för kontroll.
Granskningsansvarig kontrollerar listan och noterar nedtill om den är godkänd. Vid anmärkning sker
markering med anm. vid aktuell loggpost och en bilaga bifogas med beskrivning av överträdelsen samt
vilka åtgärder som vidtagits. Listan ska undertecknas av granskningsansvarig med namnförtydligande,
signatur och datum för kontroll nederst på listan.
ARKIVERING OCH GALLRING
Granskad och signerad loggkontrollista inkl. bilaga vid eventuell anmärkning, ska arkiveras löpande varje
månad.
Loggkontrollistor gallras efter 10 år.
6(6)
Loggkontroller Nationell Patientöversikt (NPÖ)
SYSTEM
NPÖ
SYSTEMÄGARE
Inera
LOGGKONTROLLANSVARIG
Verksamhetschef HSL
GRANSKNINGSANSVARIG
Utsedd chef med uppdrag för loggadministration i NPÖ
ANVÄNDARE
Legitimerad personal inom Hälso- och
sjukvård
TILLVÄGAGÅNGSSÄTT
Loggkontroller ska utföras årligen under två perioder, vår och höst. De granskade logglistorna ska vara
systemansvarig tillhanda för arkivering senast 31/7 för vårens kontroller och senast 31/1 (påföljande år)
för höstens kontroller.
Loggkontrollen i NPÖ ska matchas mot Procapita. Om användaren läst om vårdtagare i NPÖ så ska
kontroll av vårdrelation ske samt att inhämtat samtycke finns dokumenterat i Procapita.
Loggkontroll vid misstanke om olovlig läsning eller vid forcering/nödöppning av spärr ska ske utöver de
systematiska kontrollerna och omfatta aktuell period och brukare/användare.
INNEHÅLL
Logglistan som tas fram av utsedd chef med uppdrag för loggadministration NPÖ ska innehålla datum
för loggkontrollperiod, personnummer och namn på brukare, namn på användaren samt information om
ursprung.
Granskningsansvarig kontrollerar listan och noterar nedtill om den är godkänd. Vid anmärkning sker
markering med anm. vid aktuell loggpost och en bilaga bifogas med beskrivning av överträdelsen samt
vilka åtgärder som vidtagits. Listan ska undertecknas av granskningsansvarig med namnförtydligande,
signatur och datum för kontroll nederst på listan.
ARKIVERING OCH GALLRING
Granskad och signerad loggkontrollista inkl. bilaga vid eventuell anmärkning, ska skickas till
systemansvarig för arkivering. Systemansvarig bekräftar när logglistorna inkommit.
Loggkontrollistor gallras efter 10 år.