För att säkerställa att behörigheter används på ett korrekt sätt har socialtjänsten ett ansvar att utföra loggkontroller.

Rutin för systematisk logguppföljning

Denna rutin är framtagen i enlighet med Datainspektionens vägledning för systematisk logguppföljning och gäller för alla områden inom Socialtjänsten i Tibro kommun.
Datainspektionens vägledning baseras på patientdatalagen (2008:355) och Socialstyrelsens föreskrifter om informationshantering och journalföring i hälso- och sjukvården (SOSFS 2008:14) samt på Datainspektionens tolkning av regelverket.

Syfte

Syftet med logguppföljning är att granska att den enskildes integritet säkerställs samt att regelverket efterlevs och att ingen otillbörlig användning av systemet sker. Kontrollen ska ske på ett systematisk och regelbundet sätt.

Medarbetare som tilldelas behörighet till systemet ges en teknisk möjlighet att ta del av information angående enskilda individer som är aktuella inom socialtjänsten. Detta innebär att möjligheten föreligger att ta del av information som man inte är behörig att ta del av.

Behörigheten till verksamhetssystemet styrs via användaridentiteten och användarens personliga lösenord. Detta möjliggör spårbarhet i systemet genom loggning. Förutom att loggen kan användas som underlag vid utredning av felaktig eller obehörig användning så utgör den också en säkerhet för användarna mot ogrundade misstankar.

Kunskap om att loggning och loggkontroller sker har en förebyggande inverkan och avskräcker från obehörig åtkomst. Detta förutsätter att användarna informeras om den loggning och loggkontroll som utförs. Enhetschefen ansvarar för att informera sina medarbetare om detta förfarande.

Logguppföljning

Enhetschefen ansvarar för att logguppföljning genomförs enligt gällande rutin. Logguppföljning ska ske varje månad samt vid behov. Lathund för logguppföljning i Treserva

Systematisk stickprovskontroll
Varje månad ska ett antal användare (10 %) inom verksamheten slumpmässigt väljas ut, vars loggar granskas under en 24-timmarsperiod. Antalet användare som kontrolleras varje månad bör omfatta så många att det motsvarar sannolikheten att varje användare blir granskad minst en gång per år.

Den enskildes begäran om loggutdrag
Den enskilde kan begära ett loggutdrag över vilka som haft tillgång till dennes journal. I samband med att loggutdraget skickas till den enskilde ska logguppföljning göras för den tidsperiod som angivits av den enskilde. I loggen syns vilken enhet, roll och tidpunkt någon tagit del av journalen.

Den information om loggarna som ska lämnas ut ska vara anpassad till och klargörande för den enskilde och det ska framgå från vilken verksamhet och vid vilken tidpunkt någon har tagit del av uppgifterna.

Utlämnandet av loggutdraget ska dokumenteras i journalen.

Kontroll vid misstanke om obehörig åtkomst
Vid misstanke om obehörig åtkomst till information ska logguppföljning omedelbart ske. Är misstanken riktad mot en specifianvändare ska uppföljningen ske för den tidsperiod som misstanken omfattar.

Det kan även finnas skäl att granska loggen för en viss enskild om det rör sig om en offentlig person eller att det finns en enskild som är involverad i en händelse som kan bli massmedialt uppmärksammad.
Andra riktade logguppföljningar
Särskild uppföljning ska ske av användare som har behörighet till flera enheter. Exempel på anledning till andra riktade logguppföljningar kan vara släktrelationer eller annan nära relation till den enskilde men där ingen aktuell vård- och omsorgsrelation till den enskilde föreligger.

Det kan även finnas skäl att granska loggen för en viss enskild om det rör sig om en offentlig person eller att det finns en enskild som är involverad i en händelse som kan bli massmedialt uppmärksammad.
Granskningsprotokoll för logguppföljning

All logguppföljning ska dokumenteras och särskild blankett finns för detta ändamål. Denna blankett ska förvaras på enheten i två år.

Klicka här för granskningsprotokoll

Årlig redovisning ska ske till SAS senast årets utgång. Klicka här för blankett sammanställning.

Granskningsresultat - vid ingen obehörig åtkomst till dokumentationssystemet
Visar logguppföljningen ingen misstanke om obehörig åtkomst till information ska detta noteras i granskningsprotokollet.

Granskningsresultat - behov av vidare utredning
Bedöms något som oklart tar aktuell chef kontakt med den användare det gäller.

Bedöms det efter utredning inte finnas någon misstanke om obehörig åtkomst till information kan ärendet dokumenteras och avslutas.

Om inte en godtagbar förklaring kan lämnas ska ärendet hanteras som ett arbetsrättsligt ärende.

Visar analysen att det varit ett faktiskt dataintrång eller olovlig läsning ska ställningstagande till arbetsrättsliga åtgärder övervägas. Om överträdelsen bedöms så allvarlig att den kan strida mot svensk lagstiftning, ska ärendet polisanmälas av berörd chef.

Vid ett faktiskt dataintrång eller olovlig läsning ska detta dokumenteras i personalakt och berörd chef ska kontrollera att gällande rutiner är tydliga och kända hos alla medarbetare.

Praktisk tillämpning av rutin