12Ansvar för informationssäkerhet – Kontroll av åtkomst

• 
• Skriv ut

Vad innebär kontroll av åtkomst?

Vårdgivaren måste enligt 4 kap. 3 § patientdatalagen (2008:355) göra åtkomstkontroller för att säkerställa att personalen inte använder sina behörigheter på fel sätt genom att läsa, ändra eller ta bort information som de inte ska hantera. Exempel på en felaktig åtkomst kan vara att någon tittar i en patientjournal trots att han eller hon inte deltar i vården av den patienten. Även om personalen kan få fram uppgifterna får de inte ta del av några patientuppgifter som de inte behöver för att utöva sitt arbete. För att vårdgivaren ska kunna kontrollera att behörigheterna används på ett korrekt sätt måste denne dokumentera (logga) åtkomsten till de uppgifter som har använts.

Ett aktivt val för att få tillgång till patientuppgifter är ett exempel på en åtgärd som ska loggas. Genom sitt aktiva val bekräftar användaren att han eller hon anser att förutsättningarna för åtkomst är uppfyllda i det fallet.

Vad är syftet med efterkontroll?

En vårdgivare ska enligt 4 kap. 3 § patientdatalagen se till att all elektronisk åtkomst till patientuppgifter dokumenteras så att de kan kontrolleras i efterhand. I förarbetena betonas vikten av uppföljningskontroller, inte bara för att utreda åtkomst som faktiskt har skett utan även som en preventiv åtgärd. Med en väl fungerande efterkontroll är det sannolikt att ett intrång i efterhand upptäcks, och då kommer personalen att tänka sig för innan de gör något intrång. Det räcker dock inte att bara göra uppföljningskontroller i särskilda fall när man misstänker ett obehörigt intrång, till exempel därför att patienten är en allmänt känd person. Vårdgivarna måste göra systematiska och återkommande kontroller av om det förekommer någon obehörig åtkomst till patientuppgifterna. Genom denna bestämmelse blir det lättare att identifiera faktiska dataintrång och vidta åtgärder mot dem, men kontrollerna kommer troligen också att ha avhållande effekt på personal som annars skulle frestas att olovligen läsa uppgifter (prop. 2007/08:126 s.150 och 282).

Hur ofta ska efterkontroller utföras?

Åtkomstkontrollerna ska göras systematisk och återkommande (4 kap. 3 § patientdatalagen). Hur ofta det behöver göras beror dock på verksamhetens omfattning, antalet personer med åtkomst, hur behörigheterna delas ut och hur omfattande kontrollen är. Det är dock nödvändigt att kontrollerna görs så regelbundet och omfattande en så hög andel av logghändelserna att det blir en effektiv kontroll. Målet med kontrollen är enligt förarbetena att både upptäcka och att verka avhållande från intrång (prop. 2007/08:126 s. 150). Det är därför nödvändigt att omfattningen av kontrollen står i relation till antalet logghändelser och är baserad på en riskanalys som vårdgivaren genomför. När det gäller vissa kategorier av patientuppgifter är det lämpligt att särskilda riskanalyser görs för att bestämma vilken av nivå efterkontroll som är rimlig. Det kan exempelvis gälla skyddade personuppgifter som är sekretessmarkerade, uppgifter om barn eller allmänt kända personer samt uppgifter från vissa mottagningar eller medicinska specialiteter.

Det finns automatiserade stöd för logghantering och efterkontroll som kan underlätta arbetet för vårdgivare som hanterar stora mängder loggar.

Vilken rätt har den enskilde till att se loggar?

Vårdgivaren ska enligt 8 kap. 5 § patientdatalagen på begäran av en patient lämna information om den direktåtkomst och den elektroniska åtkomst till uppgifter om patienten som förekommit.

I Patientdatautredningen (SOU 2006:82 s. 371) betonades vikten av att logginformationen ska kunna tydas av patienterna. Utredningen ansåg att patienten skulle få möjlighet att själv följa upp vem som läst ens journal, och utredarna trodde att de flesta patienter då skulle känna sig trygga med att deras personliga integritet skyddas i verksamheten. Informationen som ska lämnas till patienten enligt 8 kap. 5 § patientdatalagen måste presenteras så att han eller hon kan tyda loggarna utan att behöva någon särskild kunskap. Genom informationen ska patienten även kunna bedöma om åtkomsten har varit berättigad eller inte. Om enskilda patienter får klar och tydlig information om journalåtkomsten kommer även allmänheten att få ett större förtroende för hälso- och sjukvårdens informationshantering. Om en patient oroar sig för att någon obehörig läst journalen kan han eller hon använda de bearbetade logglistorna med förklaringar och själv avgöra om oron varit befogad eller inte. Utredningen föreslog därför en bestämmel
se om att vårdgivaren på begäran av patienten ska lämna information om åtkomsten till patientens uppgifter.

Den information om loggarna som ska lämnas ut ska vara anpassad till och klargörande för patienterna, och det ska framgå från vilken vårdenhet och vid vilken tidpunkt någon har tagit del av uppgifterna (prop. 2007/08:126 s. 264 ff.). Det behöver alltså inte stå vem som har läst uppgifterna. Enligt förarbetena finns det inget behov av att namnge hälso- och sjukvårdspersonalen eller att ge andra uppgifter som indirekt kan hänföras till en särskild person. För detta ändamål är det alltså tillräckligt att ange vilken avdelning, klinik eller motsvarande enhet det gäller (prop. 2007/08:126 s. 150). 

Inom den allmänna hälso- och sjukvården är dock logglistorna allmänna handlingar som patienterna också kan begära att få ut med stöd av 2 kap. tryckfrihetsförordningens bestämmelser. Sekretessen är normalt sett inte heller något skäl mot att även lämna ut information om vem som nyttjat åtkomsten (individens identitet) . Inom den enskilda (privata) hälso- och sjukvården har patienterna dock ingen sådan rätt att veta vilka personer det gäller (prop. 2007/08:126 s. 150).

Patientens rätt att få denna logginformation minskar dock inte vårdgivarens ansvar för att följa upp hur behörighetssystemet fungerar och om det förekommer några obehöriga intrång (4 kap. 3 § och 6 kap. 7 § patientdatalagen).