Denna sida är en del av AcadeMedias medarbetarwebb

Informationssäkerhetspolicy för elevhälsans medicinska och psykologiska insats – för- och grundskolesegmentet

Denna sida är en del av AcadeMedias medarbetarwebb

Informationssäkerhetspolicy för elevhälsans medicinska och psykologiska insats inom AcadeMedias för- och grundskolesegment.

Inledning

I AcadeMedias för- och grundskolesegment ingår fyra enskilda bolag. Varje enskilt bolag är juridiskt sett en enskild vårdgivare.

Elevhälsans medicinska insats (EMI) utgörs av professionerna skolsköterska och skolläkare. Elevhälsans psykologiska insats (EPI) utgörs av professionen psykologer. För EMI har vårdgivarna en utsedd verksamhetschef och för EPI har vårdgivarna en utsedd verksamhetschef i enlighet med 4 kap 2§ Hälso- och sjukvårdslagen (2017:30). Funktionerna benämns inom AcadeMedias för- och grundskolesegment för medicinsk verksamhetschef (MVC) och psykologisk verksamhetschef (PVC). Funktionerna MVC och PVC har det operativa ansvaret för att det systematiskt bedrivs ett kvalitets- och patientsäkerhetsarbete. Uppdragets innebörd och omfattning finns dokumenterat i en uppdrags- och delegationsordning från vårdgivarna till utsedda för uppdraget.

Informationssäkerhetsarbete inom AcadeMedias för- och grundskolesegment

Denna informationssäkerhetspolicy syftar till att uppfylla kraven i patientdatalagen (2008:355) samt Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40). Denna informationssäkerhetspolicy är en del av vårdgivarnas ledningssystem för kvalitet och patientsäkerhet. Ledningssystemet i sin helhet ger svar på hur vårdgivarna arbetar med områdena tillgänglighet, riktighet, sekretess och spårbarhet. Se nedan för innebörden av respektive område.

  • Patientuppgifter i vårdgivarens dokumentation är åtkomliga och användbara för den som är behörig (tillgänglighet).
  • Patientuppgifterna är oförvanskade (riktighet).
  • Obehöriga ska inte kunna ta del av patientuppgifterna (sekretess).
  • Det är möjligt att i efterhand entydigt kunna härleda åtgärder till en identifierad användare (spårbarhet).

Ansvarsfördelning MVC och PVC

Inom ramen för informationssäkerhetsarbetet ansvarar MVC och PVC för att:

  • Patientuppgifternas kvalitet och ändamålsenlighet följs upp.
  • Utdelningen av behörigheter för åtkomst till patientuppgifter är ändamålsenliga och förenliga med professionernas aktuella arbetsuppgifter.
  • Professionerna är informerade om de bestämmelser som gäller för hantering av patientuppgifter och att det finns rutiner för hur dokumentationen ska genomföras.
  • Regelbundet följs användarnas användning av systemet upp genom att loggar körs.
  • En gång per år rapporterar MVC och PVC till vårdgivarna om informationssäkerhetsarbetet.

Ansvarsfördelning – skolsköterska, skolläkare och psykolog

Skolsköterskor, skolläkare och psykologer ska:

  • Ansvara för att personlig pinkod för autentisering inte är eller kan bli tillgängliga för obehöriga, SITHS-kort är en personlig yrkeslegitimation och en värdehandling. Varje SITHS-kortanvändare ska förfoga över sin pin- och pukkod på ett säkert sätt.
  • Ansvara för att datorer eller andra informationsbärare som har använts inte lämnas utan att patientuppgifterna är skyddade från obehörig åtkomst.
  • Endast ta del av patientuppgifter där hen deltar i vården av eleven/patienten eller för något annat ändamål som anges i 2 kap. 4 och 5 § patientdatalagen (2008:355) behöver uppgifterna för sitt arbete inom Elevhälsans medicinska insats eller Elevhälsans psykologiska insats.
  • Signera sin dokumentation.
  • Se till att respektive patientjournal för den medicinska- respektive den psykologiska journalen är försedd med en entydig personidentifikation.
  • Se till att patientjournal för den medicinska- respektive den psykologiska journalen är försedd med elevens/patients senast kända adress eller att andra kontaktuppgifter är angivna,
  • Följa vårdgivarnas rutiner för dokumentation.
  • Följa vårdgivarnas rutiner för hur respektive journal ska hanteras.

Profdoc Medical Office (PMO)

EMI och EPI använder PMO, vilket är ett elektroniskt journalsystem som stödjer hanteringen av medicinsk och psykologisk dokumentation och patientadministration. PMO är CE-certifierat som en medicinteknisk produkt. Verksamheterna har inte sammanhållen journalföring med varandra eller någon annan part. Ingen patient/elev eller vårdnadshavare har enskild direktåtkomst till sina patientuppgifter eller sitt barns patientuppgifter.

För PMO finns det alltid en generell säkerhetskopia som finns kvar i 30 dagar. Det tas dagligen en säkerhetskopia där enbart ändringar sedan den senaste säkerhetskopian tas med. Varje helg görs sedan en fullständig säkerhetskopiering. Säkerhetskopian skapas, förvaras på annan plats än originalet och en årlig återinläsningstest genomförs för att säkerställa att den sparade informationen kan återskapas.

Tillgänglighet, riktighet, sekretess och spårbarhet

Nedan följer en beskrivning för hur vårdgivarna lever upp mot kraven relaterat till områden tillgänglighet, riktighet, sekretess och spårbarhet.

Tillgänglighet

AcadeMedia driftar PMO. För att säkerställa drift och förvaltning finns en utsedd systemägare och en förvaltningsorganisation enligt PM3. Planerade driftstopp görs i samförstånd mellan IT och verksamheterna. Oförutsedda driftstopp hanteras i enlighet med AcadeMedias eskaleringsrutiner för verksamhetskritiska system.

Behörig användare loggar in mot en domän för att sedan via fjärrskrivbord kunna komma åt PMO. För att säkerställa stark autentisering för åtkomst används SITHS-kort vid inloggning till PMO. Användning av PMO-Client ska i första hand ske på arbetsplatsen av behörig användare men det finns möjlighet att arbeta via VPN anslutning.

Innan anställning eller konsultuppdrag påbörjas kontrolleras skolsköterskans, skolläkarens och psykologens legitimation. När en behörig användare avslutar sin anställning eller konsultuppdrag inaktiveras användaren i PMO och därigenom spärras åtkomsten till patientuppgifter.

Sekretess

MVC och PVC ansvarar för att behöriga befattningshavares åtkomst begränsas till vad som är nödvändigt för att kunna ge god och säker vård. Vårdgivarna har enats om använda behörighetsnivåerna administratör, elevakt, kurator akt, skolsköterska&skolläkare och psykolog samt It-tekniker. Administratörsnivån ger behörighet till att utföra administrativa uppgifter i PMO Admin. Exempel på administrativa uppgifter är att lägga till nya användare, inaktivera användare och arkivera journaler. Behörighetsnivå skolsköterska/skolläkare och psykolog ger åtkomst till patientuppgifter i respektive journaltyp. Elevakt ger åtkomst för rektor och specialpedagog i elevakten. Kuratorsakt ger åtkomst för endast kuratorer. Behörighetsnivån It-tekniker ger endast åtkomst till en fiktiv skola och fiktiva patienter.

När en behörig användare ska ta fram patientuppgifter ska det ske genom att söka via skola. Per skola kommer man automatik åt aktuella patienter/elever per klass. Om sökning sker via personnummer och behörig användare inte uppger korrekt personnummer för aktuell patient/elev och får fram en annan av vårdgivarens patienter/elever kan användare inte öppna journalen utan att göra ett aktivt val samt skriva en kommentar till det aktiva valet. Detsamma gäller om patientuppgifterna har spärrats av en annan vårdenhet hos vårdgivaren, då kan uppgifterna endast göras tillgängliga efter det att den behörige användaren gjort ett aktivt val efter ett inhämtat samtycke eller om förutsättningarna för nödåtkomst enligt 4 kap. 5 § patientdatalagen (2008:355) är uppfyllda.

Riktighet

I PMO framgår det vem som svarar för en viss journaluppgift, dennes befattning samt tidpunkt för när journaluppgiften eller anteckningen i en akt fördes in i patientjournalen/akten. Dokumenterade journaluppgifter/uppgifter kan inte ändras eller utplånas av behöriga användare. Införda uppgifter ska signeras i samband med att de dokumenteras.

Varje enskild patientjournal/akt förses med entydig personidentifikation samt med eleven/patients senaste kända adress eller andra kontaktuppgifter.

Spårbarhet

I PMO loggas användarnas aktiviteter. Det går att se vilken användare och från vilken enhet en elevs/patients journal/akt har öppnats. Vidare går det att se vilka åtgärder som vidtagits med patientuppgifterna. Det genomförs systematiska och återkommande loggar på alla användare. Genomförda kontroller och loggar sparas i minst 10 år.

Innehållsansvarig

Uppdaterad