Hva er loggføring?

De aller fleste hendelser i et it-system kan loggføres. Hver gang noen logger inn i et system registreres klokkeslett, dato og hvilken bruker som logget inn, til en hendelseslogg. Logger kan skrives hver gang et program krasjer, hver gang en funksjon kjøres eller hver gang data blir flyttet. Man kan logge:

  • Alle hendelser
  • Bare advarsler
  • Bare feil
  • Bare kritiske funksjoner

Vi deler her inn loggføring i to undertemaer; automatisk loggføring og manuell loggføring. 

Vi ser først automatisk loggføring.

I videoen har vi sett en case der en ansatt i et helseforetak som, med de beste hensikter, slår opp i en nær slektnings journal.

 

Journalsystemet har innebygde barrierer som skal ivareta sikkerheten til pasienten, men som du ser i videoen så er det ikke alltid tilstrekkelig. Vi har belyst flere aspekter som kan få konsekvenser i denne casen.

I dette caset tar vi for oss DIPS, et av flere digitale systemer som de som arbeider innen helse og sosislafag bruker det daglige arbeidet sitt.

 

Grønnlyssystemet i DIPS: Det finnes prosedyrer og funksjoner i DIPS  som regulerer tilganger avhengig av hvilken funksjon og rolle brukere av DIPS har overfor pasienten. I noen tilfeller sperrer systemet automatisk for innsyn, mens i andre tilfeller kan brukeren se data som den i utgangspunktet ikke skal ha tilgang til. 

I videoen så vi Katrine velge beslutningsmalen: “henvendelse fra pasienten” og skrev inn en beskrivelse av årsaken til journaloppslaget. Denne begrunnelsen vil være tilgjengelig i loggen. Hvilke deler av journalen og hvilke eventuelle dokumenter tilknyttet pasientens journal som er åpnet vil også loggføres. Loggene vil rutinemessig sjekkes av ansvarlige for pasientsystemt i foretaket. I tillegg vil pasienten også kunne se hvem som har vært inne, og hva de har gjort, i journalen.

Læringsaktivitet - Gruppediskusjon

Basert på det du nå har sett om lovverket, kommunikasjonen mellom Katrine og moren, vil du si at oppslaget i journalen er i henhold til regelverket? 

Ble det innhentet samtykke fra pasienten og er måten det evt ble gjort på i henhold til retningslinjene?

Hvilke lover(og paragrafer) berører vi her, og hvilken rolle har loggføringen for å ivareta pasientsikkerheten?

Er det naturlig å anta at loggene fra dette journaloppslaget vil utløse en reaksjon fra de som rutinemessig kontrollerer disse loggene?

 

 

Læringsaktivietet - Refleksjonsspørsmål

Basert på videoen så har vi ingen grunn til å anta at forholdet mellom Katrine og moren er godt. Forestill deg derimot at forholdet mellom de er alt annet en godt og at moren ikke er interessert i at Katrine leser journalen. Hvilke rettigheter og muligheter har moren når det gjelder sine egne data? Hvilke konsekvenser kan det få for Katrine hvis moren reagerer og klager på jounaloppslaget.

Pasienter har til enhver tid full innsynsrett i egen pasientjournal, og i loggen til pasientjournalen som viser hvem som har vært inne og kikket i den. Ved å benytte innsynsretten kan pasienten avdekke urettmessig innsyn i journalen. Konsekvensene for helsepersonell som bryter snokeforbudet kan bli meget omfattende. I alvorlige tilfeller vil helsepersonellet kunne miste autorisasjonen som helsepersonell, bli meddelt avskjed fra stillingen, bli strafferettslig domfelt, og bli erstatningsansvarlig overfor fornærmede (den hvis helseopplysninger det er snoket i). kilde: http://jusboka.no/2016/07/08/journalsnoking-nar-nysgjerrigheten-gjor-at-du-mister-arbeidet-og-autorisasjonen/#1

 

 

Sykehuset er pliktig til å gjennomføre slike kontroller regelmessig ihht. pasientjournalloven § 22.

Alle oppslag i elektronisk pasientjournal (EPJ) skal være begrunnet i tjenstlig behov, jf. helsepersonelloven § 21 a, jf. pasientjournalloven § 16, jf. helseregisterloven § 18

Pasientjournalloven § 22, sammen med helseregisterloven § 21, jf. personvernforordningen artikkel 32, definerer at formålet skal være hendelser med betydning for informasjonssikkerheten. Hvilke logger som har betydning for informasjonssikkerheten, må altså vurderes ut fra den konteksten informasjonen er i.

 

Manuell Loggføring

Vi har nå sett på et eksempel på et datasystem som automatisk loggfører hendelser, men det er også andre situasjoner der loggføring kan hjelpe til å ivareta og evt bedre den digitale sikkerheten.

Hva gjør du om du ser en postit-lapp på en skjerm med brukernavn og passord?

Hvordan reagerer du hvis en kollega ber om å få bruke din brukerkonto i et av datasystemene?

Om du har vært uheldig å klikke på en mistenkelig lenke, hva gjør du da?

 Rutiner for hvordan hendelser og situasjoner vi ser eksempel på her varierer gjerne fra institusjon til institusjon og det er ikke en nødvendigvis den type informasjon som er lettest tilgjengelige for en ansatt. 

 

Læringsaktivitet - gruppediskusjon

Om du skulle være uheldig å klikke på en tvilsom lenke i en epost – hva gjør du da?

Har du en kollega som prøver å få lånt din innlogging i journalsystemet? Kan man melde fra om at det ikke er greit?

Du har vært på reise og blitt frastjålet pc’en din. 

Når man har et system og prosedyrer for å rapportere

Ved et uhell har du åpnet en journal eller dokument

Din kollega har brukernavn og passordet sitt skrevet på en postit-lapp som henger på skjermen. Burde du melde inn dette?

 

 

Læringsaktivitet - undersøk på praksissted

På ditt praksissted – hvilken informasjon har du fått om rutiner og kanaler for å melde fra om brudd eller trusler på den digitale sikkerheten.

Hvis du ikke har fått denne informasjonen, undersøk med praksisstedet og diskuter i plenum om denne informasjonen er tilstrekkelig tilgjengeliggjort, er rutinene og kanalene lik, eller har man forskjellig type informasjon på de forskjellige praksisstedene og avdelingene?