Delbeslut Take Care Karolinska 2015-01-21 (pdf, öppnas i nytt

'"
inspektionen för vård och omsorg
Avdelning öst
Lars Asteborg
DELBESLUT
2015-01-21 Dnr 8.1.1-40841/2013-16
Karolinska Universitetssjukhuset
Chefläkaren
171 76 Stockholm
Ärendet
Anmälan enligt Lex Maria om problem med journalsystemet Take Care
vid Karolinska Universitetssjukhuset i Stockholm, dnr K1508-2013
Beslut
Vårdgivaren ska till Inspektionen för vård och omsorg (IVO) rapportera
följande:
• IVO önskar redogörelse för hur vårdgivaren utövar sin egen­
kontroll för att säkerställa att läskopian av Take Care är uppda­
terad.
• En matris för ansvarsfördelningen angående de parter som sam­
verkar kring Take Care har upprättats. IVO vill ha en redogö­
relse av vem som har ansvar för de olika funktionerna och rol­
lerna inom respektive organisationer.
• Redogörelse för dokumenterad rutin avseende backup och åter­
läsning av uppgifterna i Take Care.
• Redogörelse för hur vårdgivaren aktivt ska delta i valet av tester
innan mjukvara levereras av tillverkare/leverantör.
• Redogörelse för tidplan för att etablera en testmiljö som skare­
presentera produktionsmiljön för Take Care.
• Redogörelse av utfallet av den planerade övningen avseende IT­
problem med Take Care samt uppgift om med vilken regelbun­
denhet sådana övningar ska ske.
Åtgärdena ska rapporteras till IVO senast den 1 april 2015, förslagsvis
på ett möte.
Bakgrund
Den I juli 2013 inkom en lex Maria-anmälan från chefläkaren på Karo­
linska Universitetssjukhuset. I anmälan uppgavs att den gjorts gemen­
samt av de vårdgivare som har representanter i Take Care:s poli­
(')
0
NN
~,,.;
~>
Inspektionen för vård och omsorg
Box 6202 102 34 Stockholm Telefon 010-788 50 00 [email protected]
www.ivo.se
Fax
Org nr 202100-6537
1(8)
Inspektionen för vård och omsorg Dnr 8.1.1-40841/2013-16
cygrupp Samverkan Take Care (STC). Anmälan gjordes med anledning
av att journalsystemet drabbats av omfattande störningar vid tre till­
fällen under juni 2013 vilket kunde orsaka vårdskada.
Händelseförlopp
Den 3 juni 2013 låg hela nätet nere på Karolinska Universitetssjukhuset
i Huddinge och i Solna vilket stoppade all datorkommunikation mellan
användare och IT-system.
Den 11 juni skedde ett driftstopp i Take Care som varade mellan kl
10:54- 17:35 och omfattade alla användare av journalsystemet. Data
som fördes in i systemet mellan kl 10:29 - 10:49 förlorades och fick
skrivas in igen.
Ännu ett driftstopp inträffade den 18 juni och varade mellan kl 08:45 ­
14:40 och omfattade alla användare. Data som införts mellan kl 08:30­
08:45 förlorades och fick skrivas in igen.
Vid ett driftstopp ska användarna kunna ta del av en läskopia av upp­
gifterna i Take Care. Vid driftstoppen den 11 och den 18 juni fungerade
läskopian mycket trögt eller inte alls.
Vårdgivarens identifierade orsaker till händelsen
Stoppet den 3 juni berodde på att en brandvägg i det lokala nätverket
havererade vilket ledde till att all kommunikation mellan användarna
och IT-systemen stoppades.
Driftstoppen den 11 och den 18 juni orsakades av ett fel i serverns ope­
rativsystem. Vid stoppen så fungerade läskopian dåligt på grund av för
låg kapacitet i den underliggande tekniska miljön samt på att användar­
na inte följt gällande rutiner avseende uppgradering av de specifika
läskopia-klienterna. Enligt rutinen ska användaren klicka på en ikon
och starta klienten till läskopian en gång per vecka för att uppdatera
denna.
Vidtagna åtgärder
• Läskopian uppgraderas till den prestanda som krävs vid eventu­
ell aktivering.
• Kartläggning av uppkomna incidenter inom vårdgivarnas verk­
samheter samt hur bra reservrutinerna fungerat.
• Analyskommission tillsattes på uppdrag av landstingsdirektören
och landstinget samverkansorganisation för utveckling och för­
valtning av Take Care (CSTC). I uppgifterna ingick bl.a. att
identifiera orsaken till felen och förhindra en upprepning, garan­
tera svarstider och prestanda på läskopian, minimera återstarts­
2(8)
Inspektionen för vård och omsorg Dnr 8.1.1-40841/2013-16
tiden av Take Care och minimera dataförlust. Arbetet har resul­
terat i en del- och slutrapport. I slutrapporten finns ett åtgärds­
program som leds av CSTC och har pågått under 2013 och
skulle avslutas med en praktisk övning för vårdgivarna under
första kvartalet 2014.
Underlag
• Lex Maria anmälan, komplettering samt rapport om orsak och
vidtagna/planerade åtgärder
• Analyskommissionens del- och slutrapport
• Begäran från Inspektionen för vård och omsorg (IVO) om att
alla berörda vårdgivare skall inkluderas i lex Maria anmälan
samt begäran om specifika handlingar utifrån Analyskommiss­
ionens åtgärdsprogram.
• Svar på IVO:s begäran enligt ovan.
• Minnesanteckningar förda vid inspektion 13 november 2014,
hos Karolinska Universitetssjukhuset angående lex Maria anmä­
lan avseende Take Care problem.
Inspektion hos Karolinska Universitetssjukhuset
IVO genomförde den 13 november 2014 en inspektion hos Karolinska
Universitetssjukhuset. Vid inspektionen presenterade vårdgivaren ge­
nomförda och planerade åtgärder för säker drift av Take Care enligt
upprättat åtgärdsprogram. Vid mötet diskuterades även hur vidtagna
åtgärder kunde förbättras.
1. Samverkan och ansvarsfördelning mellan aktörerna enligt slutrapport En modell för samverkan och ansvarsområden mellan berörda parter:
mjukvaruleverantör (CGM), SLL-IT, Vårdgivarna (STC) och
eventuella externa intressenter (ex Karolinska Institutet, regionala eller
nationella projekt) presenterades. Alla ingående parter har samverkat i
arbetet med åtgärder och forum initierats för fortsatt samverkan.
Inför åtgärderna har man gemensamt prioriterat att säker tillgänglighet
av Take Care kommer i första hand.
Vidare har en ansvarsfördelning upprättats med hjälp av en modell med
RACI (HUKI) matris där det framgår vem som Ansvarar, Utför,
Konsulteras respektive Informeras avseende:
3(8)
Inspektionen för vård och omsorg •
•
•
•
Dnr 8.1.1-40841/2013-16
Serverdrift,
Applikationsdrift
Applikationsförvaltning
Objektförvaltning
2. Rutiner för drift, support och övervakning av IT-miljön samt
systemdokumentation, inklusive systemsamband, flöden och
gränssnitt
Samtliga rutiner är dokumenterade i driftshandboken som finns
elektroniskt i två oberoende IT-miljöer (Unix och Windows) och de
delar som berör en katastrofsituation finns även i pappersform.
För övervakning och larmrapportering finns två skilda system (Xyman
och OP/5) och rutiner i händelse av liknande haverier finns upprättade.
Rutiner för datahaverier har testats, men endast i testmiljö som inte har
samma belastning som produktionsmiljö.
Det framkommer att SLL-IT har framfört önskemål till CGM om en
testmiljö som representerar produktionsmiljön för återställningstester,
men detta arbete är inte färdigt.
De åtgärder som genomförsts för att minska skadeverkningarna i
händelse av en liknande händelse innebär framförallt att man ökat
kapaciteten, genomför en synkroniserad spegling mellan de två
servrarna i samband med ett servicefönster på 4 tim en gång I månad
samt infört en aktivitetslogg där senast inskrivna data sparas direkt i fil
och inte som tidigare i cash-minnet.
Vid det aktuella haveriet förvärrades avbrottet eftersom klienternas
läskopior hade fel version och delvis har detta lösts genom utökad
kapacitet. Enligt uppgift finns en rutin som säger att användaren skall
klicka på ikonen och starta klienten till läskopian en gång per vecka, då
uppdateras klienten automatiskt.
3. Kontinutets- och krisplaner samt genomförda tester
En övergripande katastrofplan finns på SLL-IT och vårdgivarnas
katastrofplaner ska vara kopplade till denna. På Karolinska
Universitetssjukhuset finns en katastrofplan där IT- händelser har en
egen del och en grupp som förvaltar denna finns utsedd.
En gemensam övning var planerad till juni-2014 men denna ställdes in
och planeras nu till december 2014. CSTC ansvarar för övningen,
genomförandet och att den utvärderas.
4(8)
Inspektionen för vård och omsorg Dnr 8.1.1-40841/2013-16
Karolinska Universitetssjukhuset har genomfört en övning enligt sin
katastrofplan.
4. Dokumenterad och aktuell process och rutin för hantering av
system och programändringar samt säkerhetsuppdateringar
Rutiner finns beskrivna för ändringar och införande av nya versioner
där STC (vårdgivama) själva utför ett flertal tester i Verifierings-miljö
och Utbildningsmiljö innan SLL-IT inför releasen i Drifts- och
Produktionsmiljö.
Det var oklart hur leverantörens (CGM) testprotokoll verifieras av
mottagaren (SLL-IT) och även hur leverantören samverkar med
beställaren i utformandet av sina tester före leverans.
SLL-IT har skickat in kompletterande uppgifter om hur testprotokoll
verifieras och hur leverantören samverkar med beställaren. Av dessa
framgår att leverantören (CMG) levererar testprotokoll som visar
funktionella tester. Dessa testprotokoll levereras på begäran av
vårdgivama och används av vårdgivarens lokala
systemförvaltare/objektsspecialister. SLL-IT testar installerbarhet och
driftbarhet av leveransen tre gånger i olika miljöer innan
produktionssättnin.
Antal genomförda förändringar och rättningar efter förändringar sedan
juni 2013 presenterades. Det framstår som att andelen akuta ändringar
och rättningar varit ganska stort.
5. Rutiner för backup och återläsning samt genomförda återläsningstester sedan september 2013 Kapacitet för back-up och återläsning är utbyggd sedan 2013 och
används regelbundet, men på förekommen anledning för återläggning
av enstaka filer. Dock saknas dokumenterade rutiner för att regelbundet
testa förmågan till återläsning.
6. Säkerhetsgranskning i enlighet med gällande policy och riktlinjer
för informationssäkerhet
Landstingets informationssäkerhetspolicy, som ligger till grund för
verksamheternas informationssäkerhetspolicy presenterades. Ur denna
framgår bl.a att hot-, risk- och sårbarhetsanalyser ska genomföras
regelbundet.
Karolinska Universitetssjukhusets informationssäkerhetspolicy
presenterades, där det framkommer att man också påbörjat
informationsklassificering avseende Konfidentialitet, Riktighet och
Tillgänglighet på en skala från 1-3 där t.ex Take Care är klassat som
K3 (konsekvensnivå) avseende skyddsmålet Tillgänglighet.
5(8)
Inspektionen för vård och omsorg Dnr 8.1.1-40841/2013-16
Identifierade mål och risker finns i förvaltningsplanen för 2014. En
riskanalys med åtgärdsförslag görs varje år. Det hade genomförts en
mer verksamhetsnära fokus 2012 och en med IT nära fokus 2013.
Ett beslut daterat 2013-01-29 avseende prioriterade system vid större IT
relaterade incidenter överlämnades till IVO på mötet.
Skälen för beslutet
Tillämpliga bestämmelser
• 3 kap. 2 och 5 §§ samt 7 kap. 8 § patientsäkerhetslagen (2010:659), PSL • 3 kap. 1 § och 4 kap. 2-4 §§ och 6 § samt 5 kap. 2 § Socialsty­
relsens föreskrifter och allmänna råd (SOSFS 2011 :9) om led­
ningssystem för systematiskt kvalitetsarbete
• 2 kap. 16 § Socialstyrelsens föreskrifter (SOSFS 2008: 14) om
informationshantering och journalföring i hälso- och sjukvården
• 3 kap 6 § pkt 3 Socialstyrelsens föreskrifter (SOSFS 2008: 1)
om användning av medicintekniska produkter i hälso- och sjuk­
vården.
Bedömning
Enligt 3 kap. 2 § PSL ska en vårdgivare anmäla händelser som mede­
fört eller kunnat medför en allvarlig vårdskada till IVO. Av 3 kap. 5 §
PSL framgår att vårdgivaren ska vidta de åtgärder som behövs för att
förebygga att patienter drabbas av vårdskador. För åtgärder som inte
kan vidtas omedelbart ska en tidsplan upprättas. I 7 kap. 8 § PSL anges
att IVO ska säkerställa att vårdgivarna utrett sådana händelser i nöd­
vändig omfattning och att de vidtagit de åtgärder som krävs för att
uppnå hög patientsäkerhet.
IVO kan konstatera att vårdgivaren gjort en adekvat utredning av hän­
delserna och att vissa åtgärder vidtagits för att säkra driften av Take
Care. Efter de inträffade händelserna har ett åtgärdsprogram upprättats
vilket IVO fick presenterat vid en inspektion i november 2014. Utifrån
det som framkom bedömer IVO dock att vårdgivaren behöver säker­
ställa att planerade åtgärder vidtas eller att tidsplan för sådana åtgärder
fastställs för att vårdgivaren ska uppnå god patientsäkerhet.
Enligt 3 kap. 1 § SOSFS 2011 :9 ska en vårdgivare ha ett ledningssy­
stem för verksamheten. Vårdgivaren ska enligt 4 kap. 2- 4 §§,samma
föreskrift, identifiera, beskriva och fastställa processer och utarbeta de
rutiner som behövs för att säkra verksamhetens kvalitet.
6(8)
Inspektionen för vård och omsorg
Dnr 8.1.1-40841/2013-16
Av 5 kap. 2 § SOSFS 2011 :9 framgår att vårdgivaren ska utöva egen­
kontroll. Egenkontrollen ska göras med den frekvens och i den omfatt­
ning som krävs för att vårdgivaren ska kunna säkra verksamhetens kva­
litet.
Enligt IVO:s bedömning är kontrollen av att läskopian är uppgraderad
inte tillräcklig. Då Take Care inte fungerade i juni 2013 framkom att
den rutin som fanns avseende att användarna själva skulle uppdatera
läskopian inte hade fungerat. IVO konstaterar att det fortfarande är
användarnas ansvar att själva uppdatera läskopian på sin klient.
I 4 kap. 6 § SOSFS 2011 :9 anges att vårdgivaren ska identifiera de pro­
cesser där samverkan behövs för att förebygga att patienter drabbas av
vårdskada. Det ska genom processer och rutiner framgå hus samverkan
ska bedrivas i den egna verksamheten. Processerna och rutinerna ska
även säkerställa att samverkan möjliggörs med andra vårdgivare.
IVO bedömer att det finns oklarheter i ansvarsförhållandena mellan de
olika aktörerna som samverkar kring journalsystemet då det i den upp­
rättade ansvarsmatrisen endast finns organisationer utpekade. IVO an­
ser att även funktioner eller roller inom respektive organisation ska
föras in i matrisen.
Vid inspektionen framkom att det hos vårdgivaren finns kontinutets­
och krisplaner avseende IT relaterade händelser men att den planerade
övningen som skulle ske tillsammans med andra vårdgivare ännu inte
genomförts. Det saknas också en plan för hur ofta sådana övningar ska
genomföras.
I 2 kap. 16 § SOSFS 2008: 14 anges att en vårdgivare ska se till att det i
ledningssystemet finns rutiner för säkerhetskopiering av patientuppgif­
ter. Av rutinerna ska det bland annat framgå med vilken periodicitet
säkerhetskopiering ska utföras och hur ofta återläsningstester ska göras.
Kapaciteten för back-up och återläsning av Take Care har enligt vad
som uppgavs vid inspektionen byggts ut sedan 2013 och används
regelbundet, men då på förekommen anledning för återläggning av
enstaka filer. Dock saknas dokumenterade rutiner för att regelbundet
testa förmågan till återläsning.
Av 3 kap 6 § Socialstyrelsens föreskrifter (SOSFS 2008: 1) om använd­
ning av medicintekniska produkter i hälso- och sjukvården framgår att
de medicintekniska produkterna och de, till dessa, anslutna informat­
ionssystem är kontrollerade och installerade innan de används på pati­
ent.
Vid inspektionen framkom det som att andelen akuta ändringar och
rättningar i Take Care varit förhållandevis stort och IVO betonar
7(8)
Inspektionen för vård och omsorg
Dnr 8.1.1-40841/2013-16
vikten av att avtalen med leverantören ger vårdgivaren möjlighet att
delta i valet av tester innan leverans, samt verifiera testprotokollet
innan mottagande samt ta fram en dokumenterad rutin för att
säkerställa detta.
Vid inspektion framkom att de rutinerna för vad som ska ske vid
datahaveri har testats, men endast i testmiljö som inte har samma
belastning som produktionsmiljö. Testmiljön är en gemensam fråga för
tillverkaren av programvaran och vårdgivaren. Då Take Care är en CE­
märkt medicinteknisk produkt har de synpunkter om önskemål från
vårdgivaren om en testmiljö som representerar produktionsmiljön för­
medlats till Läkemedelsverket som har tillsyn över tillverkare och leve­
rantörer av CE- märkta medicintekniska produkter. En plan efterfrågas
av IVO avseende när en adekvat testmiljö ska ha införts.
Beslut i detta ärende har fattats av enhetschefen Lena Renman. I den
slutliga handläggningen har utredaren Mona Hansson, inspektören Ca­
roline Sundholm och IT-experten Martin Malm deltagit. Utredaren Lars
Asteborg har varit föredragande.
r vård och omsorg
Kopia till:
Läkemedelsverket, Enheten för Medicinteknik
Stockholms läns landsting
8(8)