2 kap. 6 § SOSFS 2008:14
Vårdgivaren ska ansvara för att det i ledningssystemet finns rutiner som säkerställer att hälso- och sjukvårdspersonalens och andra befattningshavares behörighet begränsas till vad som är nödvändigt för att ge en god och säker vård.
Vårdgivaren ska vidare ansvara för att varje användare tilldelas en individuell behörighet för åtkomst till patientuppgifter. Vårdgivarens beslut om tilldelning av behörighet ska föregås av en behovs- och riskanalys.
Vårdgivaren ska även ansvara för att det finns rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheterna.
Vårdgivaren ansvarar för att alla användare har en individuell behörighet. Detta innebär att endast personliga inloggningar är tillåtna och att inga så kallade gruppkonton får förekomma.
Användarnas behörighet i vårdgivarens informationssystem måste vara anpassad till deras arbetsuppgifter. Vårdgivaren ansvarar också för att användarna tilldelas rätt behörighet, det vill säga tillräckligt för att de ska kunna utföra sina arbetsuppgifter på ett säkert sätt men samtidigt inte mer omfattande än vad som är nödvändigt. Om en användare får nya arbetsuppgifter ska behörigheten följas upp och förändras så att den stämmer överens med de nya arbetsuppgifterna.
2 kap. 6 § SOSFS 2008:14
Vårdgivaren ska ansvara för att det i ledningssystemet finns rutiner som säkerställer att hälso- och sjukvårdspersonalens och andra befattningshavares behörighet begränsas till vad som är nödvändigt för att ge en god och säker vård.
Vårdgivaren ska vidare ansvara för att varje användare tilldelas en individuell behörighet för åtkomst till patientuppgifter. Vårdgivarens beslut om tilldelning av behörighet ska föregås av en behovs- och riskanalys.
Vårdgivaren ska även ansvara för att det finns rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheterna.
Olika kategorier av hälso- och sjukvårdspersonal behöver olika behörigheter till uppgifter i patientjournaler. Behörigheten ska begränsas till vad varje person behöver för att kunna ge patienterna en god och säker vård (prop.2007/08:126 s.- 239 ff.). Behörighetstilldelningen får inte vara så bred och grovmaskig att den leder till obefogad spridning av patientuppgifter (prop.2007/08:126 s. 148 ff.).
För att varje användare ska få rätt behörighet måste vårdgivaren först ha genomfört riskanalyser. Riskanalyserna måste ta hänsyn till vilka risker det kan innebära om personalen har för lite eller för mycket tillgång till olika patientuppgifter. Vissa patientuppgifter kan kräva särskilda riskbedömningar, till exempel personuppgifter som är sekretessmarkerade, uppgifter om allmänt kända personer samt uppgifter från vissa mottagningar eller vissa medicinska specialiteter.
Generellt sett kan det vara nödvändigt med fler behörighetsnivåer ju mer omfattande ett informationssystem är (prop. 2007/08:126 s. 149). En och samma användare kan också behöva olika behörighetsnivåer vid olika tillfällen, exempelvis om en person ibland har jouransvar för en hel avdelning men annars ansvarar för en mindre vårdenhet. Ett annat exempel är om en student ibland gör praktikperioder hos en vårdgivare, men vid andra tillfällen arbetar som anställd hos samma vårdgivare.
I dessa fall kan lämpligen vårdgivarens behovs- och riskbedömning ligga till grund för vilka behörigheter som personen ska tilldelas (prop. 2007/08:126 s. 149).
2 kap. 6 § SOSFS 2008:14
Vårdgivaren ska ansvara för att det i ledningssystemet finns rutiner som säkerställer att hälso- och sjukvårdspersonalens och andra befattningshavares behörighet begränsas till vad som är nödvändigt för att ge en god och säker vård.
Vårdgivaren ska vidare ansvara för att varje användare tilldelas en individuell behörighet för åtkomst till patientuppgifter. Vårdgivarens beslut om tilldelning av behörighet ska föregås av en behovs- och riskanalys.
Vårdgivaren ska även ansvara för att det finns rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheterna.
Viss personal kan behöva ha tillgång till patientinformation trots att de inte arbetar med vård utan med verksamhetsuppföljning, statistikframställning, central ekonomiadministration och liknande verksamhet som inte är individorienterad. I de flesta fall borde det dock räcka med tillgång till indirekta uppgifter som inte kan härledas till enskilda patienter. Inom det administrativa området bör det lämpligen bara vara enstaka personer som har elektronisk åtkomst till personnummer och andra uppgifter som direkt pekar ut enskilda patienter (prop. 2007/07:126 s. 149).
2 kap. 6 § SOSFS 2008:14
Vårdgivaren ska ansvara för att det i ledningssystemet finns rutiner som säkerställer att hälso- och sjukvårdspersonalens och andra befattningshavares behörighet begränsas till vad som är nödvändigt för att ge en god och säker vård.
Vårdgivaren ska vidare ansvara för att varje användare tilldelas en individuell behörighet för åtkomst till patientuppgifter. Vårdgivarens beslut om tilldelning av behörighet ska föregås av en behovs- och riskanalys.
Vårdgivaren ska även ansvara för att det finns rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheterna.
Vårdgivaren ansvarar för att det finns rutiner för att tilldela, förändra, ta bort och regelbundet följa upp behörigheterna. Genom att följa dessa rutiner kan behörigheterna fortsätta att vara riktiga över tiden oavsett om personal börjar, slutar eller får ändrade arbetsuppgifter i verksamheten.
Vårdgivaren kan till exempel överväga att samordna administrationen av användarnas behörigheter med personalenhetens (eller motsvarande) personaladministrativa arbete. Behörigheten till informationssystemen kan då jämställas med personaladministrativa frågor som tillgång till telefon, parkering och nycklar. Dessa frågor kommer ofta vid samma tidpunkt och därför skulle de kunna hanteras i samma process, till exempel med hjälp av en checklista med saker som ska göras när en anställning påbörjas, förändras och avslutas. Vårdgivaren kan också tydligt fastställa vem eller vilka som har ansvar för att hantera denna process. Processen måste även inkludera en löpande uppföljning av behörigheterna där man kan fånga upp felaktiga behörigheter som av någon anledning inte har hanterats i rutinen.
Rutinen kan gärna innehålla krav på att den ansvarige ska dokumentera godkännanden och tilldelningar av behörigheter, exempelvis genom att arkivera beslut om att tilldela, förändra och ta bort behörigheter. Besluten kan då kontrolleras i efterhand om det skulle behövas, men de arkiverade besluten måste naturligtvis förvaras så att de är skyddade från olovliga förändringar.
Verksamheter med många användare och förändringar av behörigheter behöver sannolikt komplettera rutinen med något verktyg som underlättar arbetet. Det finns exempelvis kommersiella program för att styra behörigheter samt granska ändringar av behörigheterna genom efterkontroller.