Overskrift: Sikkerhed og fortrolighed ved personhenførbare data - Omsorgssystemer Akkrediteringsstandard: Revideres: Februar 2019

Transkript

1 1 of 5 Overskrift: Sikkerhed og fortrolighed ved personhenførbare data - Omsorgssystemer Akkrediteringsstandard: Sikkerhed og fortrolighed ved personhenførbare data Formål: Godkendt: Februar 2016 Revideres: Februar 2019 At sikre mod misbrug og tab af personfølsomme data At sikre fortrolighed og tilgængelighed og at adgang til relevant brug af data er i overensstemmelse med gældende lovgivning Borgermålgruppe: - Medarbejdermålgruppe og kompetencer: Ledere og medarbejdere i hjemmesygeplejen, hjemmeplejen, forebyggende medarbejdere, rehabiliteringsafdelingen, AGS, VTA, plejeboliger, visitation samt private leverandører. Denne retningslinje gælder for alle ansatte og ikke-ansatte personalegrupper i samt det udstyr og de databærende medier, som disse benytter i forbindelse med deres arbejde for kommunen, herunder hjemmearbejdspladser, egne mobile-enheder og fælles-pc'er. Definition af begreber: Hvad er personhenførbare data (Personoplysninger): Data, der kan henføres direkte til patienter, pårørende, donorer og personale. Personoplysninger er: Enhver form for information om en identificeret eller identificerbar fysisk person, f.eks. patienter, pårørende, donorer, personale. Information, der identificerer en person, kan f.eks. være personnummer, navn, hårfarve, skostørrelse, billede m.v. Ikke-ansatte Ikke-ansatte er personer, der ikke får løn af kommunen direkte og dermed ikke er underlagt de rettigheder og pligter, som følger af et ansættelsesforhold. Kommunen kan derfor ikke foretage f.eks. disciplinære sanktioner ved overtrædelse af f. eks. tavshedspligt. Disse er bl. a.: Eksterne it- eller sundhedsfaglige konsulenter, Vikarer, Studerende, Praktikanter, Håndværkere, Sælgere, Gæster, f. eks. sundhedsfaglige eller politiske, Tolke, Frivillige organisationer, som f. eks. Røde Kors. It-system Fællesbetegnelsen it-system dækker over en enhed af databaser, applikationer, software og/eller programmer, sådan som brugeren oplever det. Uretmæssig adgang 1

2 2 of 5 Uretmæssig adgang er ikke-autoriseret og uberettiget adgang til data, som ikke er sagligt begrundet. Tavshedspligt: Sundhedspersoners tavshedspligt udspringer af et grundlæggende princip om, at borgere skal kunne give fuldstændige oplysninger i tillid til, at disse oplysninger ikke gives videre til andre. Offentligt ansatte har tavshedspligt. Alle autoriserede sundhedspersoner har tavshedspligt. Medhjælpere er omfattet af den samme tavshedspligt. Fortrolige oplysninger: Straffelovens f foreskriver tavshedspligt dels for offentligt ansatte ( 152) dels for andre persongrupper, herunder autoriseret sundhedspersonale ( 152b) og deres medhjælpere ( 152c). Det vil sige, at der gælder en tavshedspligt for personer, der er beskæftiget indenfor sundhedssektoren, uanset om de arbejder i den private eller offentlige del. For sundhedspersonale indeholder lov nr. 482 af 1. juli 1998 om patienters retsstilling kapitel 5 ( 23 32) regler om tavshedspligt og videregivelse af helbredsoplysninger m.v. Når der er tale om at videregive helbredsoplysninger m.v. til en patients pårørende er de relevante bestemmelser lovens 26, 27 og 28. Sundhedsstyrelsen har udarbejdet vejledning nr. 161 af 16. september 1998 om information og samtykke og om videregivelse af helbredsoplysninger mv. Indhold: I Sundhed og omsorg anvendes registrering i papirformat, samt flere IT-systemer; fx: Avaleo omsorgssystem Mobilomsorg Uniq omsorg Fortrolighed og tavshedspligt I Syddjurs Kommune er der ikke krav om, en decideret underskrift på overholdelses af tavshedspligt. Når en medarbejder ansættes, skrives i ansættelsesbrevet at medarbejderen har pligt til at iagttage tavshed om personhenførbare oplysninger. Indhentning og videregivelse af helbredsoplysninger Indhentning og videregivelse af oplysninger skal ske i overensstemmelse med retningslinjen for informeret samtykke. Hvordan der oplyses om rettigheden til aktindsigt i egne og nærtståendes data En borger, der er fyldt 15 år, har som udgangspunkt ret til at få at vide, hvad der står i en egen journal hos sundhedsvæsenet. En borger kan give en anden person fuldmagt til at bede om en kopi af journal eller til at se journal. Ønsker borger eller andre at se journalen skal denne udleveres elektronisk eller på papir indenfor 7 hverdage. Det kan aftales, at journalen kan ses sammen med en medarbejder fra Sundhed og Omsorg. For børn under 15 år, gælder, at dem, der har forældremyndigheden, har ret til at læse journalen, hvis det er nødvendigt for at varetage barnets interesser. Enhver medarbejder skal kunne orientere om rettigheden til aktindsigt. 2

3 3 of 5 Tilgængelighed af data Fastansat personale har alle adgang til personfølsomme data i omsorgssystem. Adgangen til personfølsomme data er rollestyret, efter geografisk tilknytning samt fagligt tilhør. Derudover opdeles adgangen efter organisatorisk tilhør. Administrativ medarbejder/teamleder opretter medarbejderen i systemet. Husk manuelt oprettede brugere (praktikanter/studerende). Hvem laver rettighedstildeling kan man kobles på Nilex? Procedure for autorisation til systemet Når en medarbejder ansættes, oprettes han/hun hos IT, der skal give medarbejderen adgang til ITsystemet. Teamleder opretter medarbejderen hos IT først og fremmest. Heri afkrydses hvad medarbejderen skal have af rettigheder. Overdrages opgaven med at oprette brugere til en administrativ medarbejder skal dette begrundes med en mail fra en (team)leder. Derefter kan teamleder eller administrativ medarbejder oprette medarbejderen i Avaleo. Det er derfor hver enkelt teamleder, der tildeler rettigheder og brugeradgange. Roller oprettes af systemadministratorerne. Hvilke rettigheder, der hører til hvilke roller afgøres af den samlede ledergruppe. Rettigheder desuden er funktions- og geografisk opdelt. Elever, praktikanter og studerende: Anmodning om oprettelse af elever foretages af Uddannelseskoordinator. Denne sendes til administrativ medarbejder. Anmodning om oprettelsen af studerende foretages af teamleder. Denne sendes til relevant klinisk vejleder Vikar log-in: Vikar log-in skal være personligt vikar skal underskrive på et brugernavn/password. Lokalt opsættes computere (som publikumscomputere), som kan tilgås af vikarer. Der oprettes engangsvikarlogin med relevante rettigheder til Avaleo Omsorg. Vikar udfylder formular. Teamleder sørger for journalisering af denne, så man til en hver tid kan finde tilbage til, hvem der er har dokumenteret med en vikarkode. Opbevaring af og adgang til personhenførbare data Opbevaring af personhenførbare data sker fortrinsvis digitalt, jf. digitaliseringsstrategien i Syddjurs Kommune. Pga. lovgivningen om it-sikkerhed og god dataskik sker der en lovpligtig logning af al sagsbehandling og digital båret trafik i Syddjurs kommune. Det handler blandt andet om beskyttelse af den enkelte borger, informationer, der er vigtige for landets sikkerhed, samfundets værdier, samt mulighed for efterforskning af kriminelle handlinger. Det skal indskærpes, at denne log kun vil blive undersøgt, hvis der optræder handlinger der strider mod virksomhedens formål og opgaver samt hvis der er mistanke om kriminelle handlinger. 3

4 4 of 5 Informationssikkerhedschefen i Syddjurs Kommune har ansvaret for at der træffes de fornødne tekniske og organisatoriske foranstaltninger mod, at person og sags-relevante oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbrug eller i øvrigt behandles i strid med lov om behandling af personoplysninger m.v. Opbevares personhenførbare data på papir, skal denne opbevares på en sådan måde, at det ikke er tilgængeligt for uvedkommende. Borgerdata, der registreres i borgerens hjem, skal opbevares i en samarbejdsbog (SAB). Uvedkommende er i denne sammenhæng alle, der ikke har brug for materialet til at udføre sine funktioner. Teamledere gennemgår brugerkataloget x 2 årligt. Teamledere er ansvarlige for at inaktivere brugere, der ikke længere er tilknyttet. Derudover skal brugernes rettigheder/roller skal passes til. Hvordan personhenførbare data arkiveres i overensstemmelse med kommunens retningslinjer Personhenførbare data opbevares elektronisk i 5 år, jvf. arkiveringspligten. Data afleveres til Syddjurs Kommunearkiv. Omsorgssystemet: Personhenførbare data i elektronisk format opbevares i journalføringssystemet ved en ekstern server. Personhenførbare data i papirformat opbevares i overensstemmelse med Arkiveringsmanual for Syddjurs Kommune.doc. Destruktion af personhenførbare dokumenter og data Personfølsomme oplysninger destrueres efter brug ved hjælp af makulering. Elektronisk data fra forgængerkommunerne er arkiveret hos Statens Arkiver. Data fra er under aflevering til Syddjurs Kommunearkiv. Der skal indgås databehandleraftale med leverandører af IT - systemer. Dette vedlægges som bilag i leverandøraftalen. Nødprocedure ved systemnedbrud Er data (køreliste) først indlæst på mobile enheder, så slettes den ikke. Det kan derfor være en mulighed for hver enkelt teamleder at anskaffe en mobilenhed for at skabe denne sikring. Ved systemnedbrud kontaktes systemansvarlig + evt. IT-afdelingen. Hvis omsorgssystemet ikke fungerer, kan personfølsomme oplysninger dokumenteres digitalt ved første mulighed herfor indtil da må dokumenteres på papir. Lokale kontaktinformationer: Kirsten Purup- Nielsen, systemansvarlig Ingelise Juhl, Sundheds- og omsorgschef Kvalitetsovervågning: Retningslinjen evalueres i en gang årligt i informationssikkerhedsudvalget. Procedurer for tildeling af rettigheder gennemgås i informationssikkerhedsudvalget. Kontrol af om dokumentation for anmodning om tildeling af rettigheder sker ved stikprøve Kontrol af logning: Systemansvarlig indhenter log i LOGViewer. Heri kan trækkes log på både brugere og borgere. Teamleder skal 2 gange årligt gennemgå brugerne i teamet. Systemadministratorer giver besked om, 4

5 5 of 5 hvornår de skal gøre det. I Logviewer kan man se tilgang og afgang af brugere. Sikring af, at systemet lever op til persondataloven: Systemet skal kunne levere en årlig revisorerklæring. Dette gøres af informationssikkerhedsudvalget. Referencer: SST (2008): Informationssikkerhed - vejledning for sundhedsvæsenet Persondataloven - Lov om behandling af personoplysninger - retsinformation.dk Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning - retsinformation.dk Forfattere: Kirsten Purup- Nielsen, systemansvarlig Julie Duval, udviklingssygeplejerske Godkendelse: Ingelise Juhl, Sundheds- og omsorgschef Julie Duval, Udviklingssygeplejerske 5