Gerica - Mistanke om snoking - Rutine v. 1.3

Formål

Innhente opplysninger ved mistanke om snoking, for å sikre forsvarlig personvern i henhold til Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren, Versjon 6.0.

Omfang

 Gjelder alle virksomheter som benytter Gerica.

Ansvar

Pro-seksjonen har ansvaret for denne rutinen.

Virksomhetene har ansvar for å utarbeide lokale rutiner for internkontroll og håndtering av mistanke om mislighold i tråd med sentrale føringer, og at disse overholdes.

Aktivitet/Beskrivelse

Ved mistanke om snoking på brukere, kan det foretas kontroller for å avdekke uautoriserte oppslag. Man kan enten søke på en bestemt bruker (feks bruker av spesiell interesse), på en konkret ansatt (ved mistanke om mislighold hos en ansatt), eller begge deler. Det kan tas ut ulike rapporter, som viser ulik grad av detaljnivå.

 

1. Aktivitet på en bestemt bruker eller ansatt

Ved mistanke om snoking på en bestemt bruker, eller av en bestemt ansatt, anbefales det å benytte Rapport -141 Aktivitet på bruker (kap 1.1). Denne kan hente ut informasjon om en konkret bruker eller en konkret ansatt. Dersom rapporten avdekker uregelmessigheter, kan flere detaljer innhentes via Rapport -140 Detaljert aktivitet på bruker. Denne kan også benyttes på en konkret bruker eller ansatt. Dersom denne rapporten gir grunnlag for å innhente ytterligere detaljer, kan Rapport -119 Liste-Systemlogg tas ut. 

Under følger utfyllende informasjon om den enkelte rapporten:

1.1 Rapport -141 Aktivitet på bruker

Denne rapporten vil kunne vise hvilken aktivitet som har vært på en gitt brukere ELLER hvilken aktivitet som er utført av en gitt ansatt. Se Manual Roller og tilgangsstyring, Kap Rapporter i syslogg hvordan ta ut rapporten.  

Rapport på gitt bruker vil kunne synliggjøre følgende aktivitet i valgt periode:

  • Hvilke ansatte som har lest eller skrevet i brukers journal
  • Antall ganger ansatte har lest eller skrevet i brukers journal
    • Dato for første og siste oppslag (avhenger av valgt periode)
  • Antall ganger ansatte har lest på bruker
    • Dato for første og siste oppslag (avhenger av valgt periode)

Rapport på gitt ansatt vil kunne synliggjøre følgende aktivitet i valgt periode:

  • Hvilke brukere den ansatte har lest eller skrevet på
  • Antall ganger den ansatte har lest eller skrevet i brukers journal
    • Dato for første og siste oppslag (avhenger av valgt periode)
  • Antall ganger den ansatte har lest på bruker
    • Dato for første og siste oppslag (avhenger av valgt periode)

 

1.2 Rapport -140 Detaljert aktivitet på bruker

Denne rapporten vil kunne vise hvilken aktivitet som har vært på en gitt brukere ELLER hvilken aktivitet som er utført av en gitt ansatt, med utfyllende detaljer. 

Rapport på gitt brukere vil kunne synliggjøre følgende aktivitet i valgt periode:

  • Navn på ansatt
  • dato og klokkeslett for aktivitet
  • Hvilken type aktivitet (eksempel vist bruker i tiltaksplanen)
  • Adgangstyper (for eksempel, post vist, forhåndsvisning osv..) 

1.3 Rapport Liste-Systemlogg

Rapporten henter ut opplysninger fra Gericas systemlogg. Den viser Id. nr., dato, tid, loggtype, ansatt, tabell, relatert post (viser for eksempel journal ID, bruker, tjeneste type eller hvilken rapport) og meldingstype. Denne rapporten krever detaljert kunnskap i Gerica, og det anbefales å kontakte Pro-seksjonen for bistand til korrekt tolkning av opplysningene.


Søket kan begrenses ved å søke på ansatt, bruker, fra og til dato, tabell og evt. sette inn loggtype. Se Manual Roller og tilgangsstyring, Kap Rapporter i syslogg for mer detaljer.   

Rapporten vil kunne se omentrent slik ut:

 

 

 

2. Sperret helseopplysninger for ansatt

Dersom brukeren har motsatt seg at andre får tilgang til helseopplysninger, jf.pasientrettighetsloven § 5-3 og helsepersonelloven § 25 og § 45, skal opplysningene sperres. Brukeren kan bestemme om sperringen bare skal gjelde bestemte personer, om de sperrede opplysningene bare skal være tilgjengelige for dem brukeren selv bestemmer, eller om de bare skal være tilgjengelige etter samtykke. Det skal fremgå av journalen om registrerte opplysninger er sperret.
Det kan gis tilgang til sperrede opplysninger dersom tungtveiende grunner taler for det, jf.pasientrettighetsloven § 5-3.
 

Ved mistanke om at en ansatt forsøker å tilegne seg infromasjon om brukere/ opplysninger som det er satt sperre for, kan Rapport -119 Liste- Systemlogg benyttes ved å sette inn "Brukersøk sperret" i LogType. Se Manual Roller og tilgangsstyring, Kap Rapporter i syslogg hvordan dette gjøres.

Dersom den ansatte kommer opp i lista, betyr det at ansatte har søkt på brukeren som det er lagt sperre for:

3. Misbruk av funksjonen Brukersøk

Ved mistanke om at en ansatt har misbrukt funksjonen Brukersøk i Gerica til å søke opp brukere det ikke foreligger tjenstlig behov for, kan Rapport -119 Liste- Systemlogg benyttes ved å sette "Brukersøk" i LogType. Se Manual Roller og tilgangsstyring, Kap Rapporter i syslogg hvordan dette gjøres.

Rapporten vil vise alle oppslag via Brukersøk-funksjonen på gitt ansatt:

4. Avvik

4.1 Hva er et avvik

"Med «avvik» menes i Normen enhver håndtering av helse- og personopplysninger som ikke utføres i henhold til gjeldende regelverk, retningslinjer og/eller rutiner, samt andre sikkerhetsbrudd. Et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet"...

..Uønskede hendelser (for eksempel brudd på rutiner, personvernet eller informasjonssikkerheten) skal behandles som avvik. Avvik skal behandles for å gjenopprette normal tilstand, fjerne årsaken til avviket og hindre gjentagelse". (Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren, Versjon 6.0)

 

4.2 Melde avvik

Virksomheten skal ha rutiner for å oppdage og håndtere avvik. Avviksbehandlingen skal være dokumentert". (Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren, Versjon 6.0)

Avdekkede avvik skal rettes umiddelbart og meldes etter interne rutiner i virksomheten.

 

Referanser

Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren, Versjon 6.0

Manual Roller og tilgangsstyring