Velamen ikonVELAMEN

HSLF-FS 2016:40

Socialstyrelsens föreskrifter: journalföring och behandling av personuppgifter

Sammanfattning av Socialstyrelsens konsoliderade föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården. Här är vad som är mest relevant för dig som driver en klinik eller arbetar direkt med patienter.

Snabbt: vad du behöver göra

  • Ledningssystem: Ha dokumenterade ledningsrutiner för informationssäkerhet och journalföring.
  • Riskanalyser: Genomför och dokumentera regelbundna riskanalyser för informationshantering.
  • Säkerhetskopior: Säkerställ rutiner för backuper och återläsningstester.
  • Autentisering: Använd stark autentisering och flerfaktorslösningar för elektronisk åtkomst.
  • Åtkomstkontroll: Implementera tydliga rutiner för tilldelning, ändring och borttag av behörigheter.
  • Driftdokumentation: Ha uppdaterad driftdokumentation och tester innan system tas i drift.

Officiell källa

Senaste konsoliderade versionen finns hos Socialstyrelsen:

Socialstyrelsen — HSLF-FS 2016:40

Kapitelöversikt — vad varje kapitel innebär

1 kap. Tillämpningsområde

Föreskrifterna gäller vårdgivares behandling av patienters personuppgifter enligt PDL. Vissa bestämmelser gäller endast för automatiserade system.

2 kap. Definitioner

Definitioner av termer som autentisering, informationssystem, ledningssystem och patientjournal — viktigt för tolkning och tillämpning.

3 kap. Ledningssystem

Krav på ledningssystem för informationssäkerhet: policy, riskanalyser, ansvarsfördelning, driftdokumentation och rutiner för upphandling och testning.

4 kap. Åtkomst till uppgifter

Styrning av behörigheter, krav på dokumentation av behovs- och riskanalyser innan behörighetstilldelning, samt krav på loggning och kontroller.

5 kap. Patientjournalens struktur och innehåll

Krav på att journalen ska vara överskådlig och entydig; rekommendationer om standarder, identifiering, vårdkontakttider och innehållspunkter.

6 kap. Hantering av personuppgifter

Praktiska säkerhetsåtgärder såsom skydd mot obehörig åtkomst, signeringsrutiner, skydd mot manipulation och regler för förvaring och avveckling av medium.

7 kap. Patientsäkerhetsberättelse

Vilket innehåll som ska ingå i patientsäkerhetsberättelsen, inklusive information om informationssäkerhet och genomförda riskanalyser.

8 kap. Omhändertagande av journal

Regler för hur journaler ska tas om hand vid avveckling av verksamhet och hur omhändertagna journaler ska hanteras för att skydda integriteten.

9 kap. Undantagsbestämmelser

Socialstyrelsen kan medge undantag från föreskrifterna i särskilda fall.

Praktiska åtgärder för din praktik

  • Inför ett ledningssystem för informationssäkerhet och dokumentera policys.
  • Utför och dokumentera riskanalyser samt återkommande kontroller av åtkomst.
  • Säkerställ att driftdokumentation och testning finns innan system tas i drift.
  • Ha rutiner för hantering av flyttbara medier och avveckling av system.
  • Spara loggar och genomför stickprovskontroller enligt rekommendationer.

Socialstyrelsens föreskrifter kompletterar PDL med konkreta krav för operationell säkerhet och ledningsarbete.

Stark autentisering (autentisering)

Socialstyrelsen kräver att vårdgivare planerar för säker autentisering. Stark autentisering innebär minst två oberoende faktorer: kunskap, innehav och/eller inneboende egenskap. Praktiska rekommendationer:

  • Flerfaktorslösningar: Implementera MFA för alla användarkonton med åtkomst till patientuppgifter.
  • Passkeys och FIDO2: Använd passkeys där möjligt för att minska phishingrisker.
  • Hårdvarunycklar: För kliniker med hög säkerhetsnivå, överväg FIDO2-säkerhetsnycklar.
  • Sessionhantering: Definiera automatiska utloggningar och sessionstidsgränser i era rutiner.

Revision och auditloggar: lokal lagring och risker

Föreskrifterna ställer krav på dokumentation och kontroll. Lokalt modifierbara loggar skapar risk för otillbörlig ändring. Viktiga punkter:

  • Append-only och skrivskydd: Använd append-only loggformat och skrivskyddade kopior för revisionsdata.
  • Offsite-arkivering: Arkivera loggar i separata lagringsplatser för att säkerställa bevarande och integritet.
  • Verifierbarhet: Överväg hashkedjor eller signering av loggposter för att möjliggöra oberoende verifiering vid granskning.
  • Separation av ansvar: Undvik att samma administratör både hanterar produktionsdata och revisionslagret utan kontrollmekanismer.

Sammanfattning: implementera tekniska och organisatoriska åtgärder så att loggar inte kan ändras efteråt, och se till att rutiner dokumenterar hur loggar lagras och granskas.