Det händer att sjukvårdspersonal tar del av journaler utan att ha en vårdrelation till patienten, men få vet att det klassas som dataintrång. Det sker därför många överträdelser och kontroller ger sällan relevanta utfall. Med hjälp av en ny lösning från Orange Cyberdefense och LogPoint kan landets regioner nu kontrollera sin journalhantering på ett mer effektivt sätt.
För att skydda integriteten hos den som söker vård får dennes journal endast läsas av personal som har en med vårdrelation till patienten. Detta regleras av patientdatalagen och innebär att läkare eller sjuksköterskor som olovligen tar del av journaler – även om det handlar om ens egen eller en nära anhörigs journal – gör sig skyldiga till dataintrång.
Regionernas och sjukhusens kontroller sker i dagsläget med stickprov och det finns misstankar om ett stort mörkertal av överträdelser. För att hjälpa landets regioner att få bukt med problemet och stärka skyddet av patienternas integritet har säkerhetsleverantören Orange Cyberdefense i samarbete med LogPoint tagit fram ett nytt sätt för logghantering. Det gör det möjligt att rikta kontrollerna och specificera urvalet, som tidigare har varit helt slumpbaserat.
– Vid kontroller med slumpurval är sannolikheten för relevanta fynd mycket låg – samtidigt som vi vet att antalet överträdelser är högt. Vår lösning gör det möjligt att anpassa urvalet genom att sätta upp fördefinierade regler och på så sätt effektivisera kontrollerna och få fram mer relevanta resultat, säger Stefan Dahl, Team Lead för Security Operations, Orange Cyberdefense.
Det stora antalet överträdelser bland sjukvårdspersonal handlar i många fall om bristande rutiner och arbetssätt snarare än avsiktliga brott, menar Stefan Dahl. Logghanteringen syftar därför i första hand till att hjälpa sjukhusen och regionerna att belysa problematiken – inte att lagföra alla som har gjort fel. Genom att visualisera antalet överträdelser och därmed konkretisera utmaningarna kan lösningen från Orange Cyberdefense och LogPoint skapa en större förståelse bland sjukvårdspersonalen. Lösningen är i dagsläget implementerad hos olika regioner, samt inom en snar framtid på ett sjukhus i Stockholm.
– Hos en av regionerna har rutinerna för journalhantering förbättrats avsevärt sedan vi började jobba tillsammans för fem år sedan. Exempelvis ser vi tydliga resultat kring antalet gånger som sjukvårdspersonal har tittat i sina egna journaler – det har minskat enormt. Det visar på en ökad kännedom bland personalen om hur regelverket ser ut, säger Stefan Dahl.
Stefan Dahl tror att rutinerna kring journalhantering i framtiden kommer att behöva stärkas hos alla vårdgivare – både privata, kommunala och regionala. I takt med allmänhetens ökade kännedom om integritetsrättigheter och det växande utbudet av digital vård ställs allt högre krav på tillförlitligt integritetsskydd.
– Frågor kring integritet blir mer och mer A och O i samhället, och gemene man får bättre koll. I de fall som det finns flera vårdgivare som alternativ riskerar den med svagare rutiner att halka efter och väljas bort. Det är därför av yttersta vikt att som vårdgivare ligga i framkant med sin integritetshantering, avslutar Stefan Dahl.
Läs mer om hur vi hjälper till att skydda patienter och institutioner här:
Läs om fler lösningar för cybersäkerhet