Region Östergötland

Behovs- och riskanalys av behörigheter för Diagnostikcentrum

Dokumentnamn:
Behovs- och riskanalys av behörigheter för Diagnostikcentrum
Dokumenttyp:
Administrativ riktlinje
Utfärdande PE:
Diagnostikcentrum (DC)
Sökord:
styrning behörigheter
Giltig fr o m:
2016-05-01
Utfärdande enhet:
DC stab
Målgrupp:
Medarbetare inom Diagnostikcentrum
Giltig t o m:
2018-12-12
Framtagen av:
Stefan Ekberg, IT-samordnare
Godkänd av:
Robert Ring Centrumchef
Diarienummer:
Dnr DC-2016-00028
ICD-10 kod:
Kön:
Ålder:

OBS: Dokumentets giltighetsdatum har passerat.

Inledning

Enligt regionens riktlinjer för Styrning av behörigheter ska samtliga behörigheter bygga på en behovs- och riskanalys där behörigheten ska begränsas till vad som är nödvändigt för att medarbetaren ska kunna utföra sina arbetsuppgifter. Detta för att undvika en otillbörlig informationsspridning men också att medarbetarna ska ha rätt förutsättningar för att genomföra sitt arbete.

Detta dokument är en behovs- och riskanalys för behörigheter för medarbetarna inom Diagnostikcentrum och följer regionens riktlinjer för tilldelning, förändring, borttagning och uppföljning av behörigheter i regionens IT-stöd, diarienummer RS 2015-180.

Avvägning av behov och risk

En för vid behörighet kan leda till:
• obefogad spridning av patientuppgifter/personuppgifter
• en ekonomisk risk
• förlorad riktighet i form av felaktig radering eller förändring av information

En för snäv behörighet kan innebära att användaren inte kan utföra sina arbetsuppgifter.

Vid tilldelning av behörighet ska en avvägning göras mellan medarbetarens behov av uppgifterna för att kunna utföra sitt arbete och de risker enligt ovan som behörigheten medför. Det är medarbetarens närmaste chef eller uppdragsgivare som gör denna bedömning. På kliniknivå bör det finnas en förteckning över samtliga medarbetares behörigheter, förslag på förteckning finns som bilaga till detta dokument. Förteckningen kan utformas efter enhetens behov, IT-stöd kan läggas till och tas bort.  IT-stöd som innehåller patient- och personuppgifter ska finnas med. Ifylld förteckning är resultatet av klinikens behovs- och riskanalys.

Behörigheter som tilldelas alla medarbetare

Samtliga medarbetare ska tilldelas behörighet till Heroma web, Hemkatalogen (H), Gemensam (G), Lisa och Synergi då alla medarbetare bedöms ha behov av detta. Behörigheterna i dessa system bedöms inte innebära några specifika risker för otillbörlig informationsspridning.

Information på G som inte samtliga medarbetare är i behov av ska sparas i mappar med behörighetsbegränsning till de som är i behov av informationen.
Kom och gå tilldelas de medarbetare som inte har oreglerad arbetstid.

Anpassning av behörigheter i regionens IT-stöd/IT-system

Samtliga behörigheter ska anpassas efter den behovs- och riskanalys som beskrivs nedan. Där det saknas möjlighet att begränsa behörigheten efter den bedömning som gjorts ska detta lyftas till aktuellt förvaltningsobjekt/systemförvaltning som i sin tur ska se till att det finns möjlighet att begränsa behörigheter i respektive IT-stöd/IT-system.

Revidering och omprövning av behörigheter
Medarbetarnas behov av behörigheter ska omprövas årligen, lämpligen i samband med utvecklingssamtalet eller vid förändring av arbetsuppgifter. Vid en förändrad bedömning av behov eller risk ska förteckningen över medarbetarnas behörighet uppdateras så att det alltid innehåller en aktuell bild. I normalfallet är det vårdenhetschef/enhetschef som gör årlig översyn tillsammans med ITR-personer.  Verksamhetschefen är ytterst ansvarig för att denna omprövning och revidering sker.

Beskrivning av vanligt förekommande IT-stöd

Patientinformation:

För behörigheter i Cosmic har behovets grupperats i användar- och yrkesroller. Risken för obehörig informationsspridning har för varje roll vägts upp av behovet av information.

För tillgång till Statistik CI vilket är information till regionens datalager gäller ”Behörighetspolicy CI”.


Master befolkningsregister för administration kring patienter. Innehåller bland annat uppgifter om personers folkbokförda nummer, namn och adress för personer skrivna i Östergötlands, Jönköpings, Kalmars, Södermanlands och Kronobergs län.  Profilen styr vilka uppgifter man har tillåtelse att se. För de som endast behöver kontrollera adressen, personnummer eller namn finns till exempel en profil.

Ekonomi

För vid behörighet i Agresso ger i första hand en ekonomisk risk både vad som gäller felaktiga beställningar och fakturahantering, se förteckning Agressobehörighet IT.

För Heroma finns aktuella behörigheter i BBS:en (beställningsbehörighetssystemet i IT-portalen). Heroma innehåller uppgifter om personalen som kan vara av känslig natur, så som sjukskrivningar. Vissa behörigheter ger möjlighet att påverka/godkänna ekonomiska transaktioner kopplat till löneutbetalning. För uppdrag som chef, administratör och läkahanterare krävs en tredagars utbildning. Behörigheter tilldelas enligt fastställd ordning, se Handbok Heroma.

Informationshantering

För distansbehörighet finns en ökad risk för obehörig informationsspridning. Distansarbete godkänns av verkssamhetschef. För distansarbete finns ”Riktlinjer för distansarbete”, som medarbetare åtar sig att följa.

Adato är ett IT-stöd för chefer och HR med syfte att effektivisera och kvalitetssäkra sjukskrivning och rehabiliteringsprocess. Informationen i systemet är av känslig natur, men behörigheten styrs till eget verksamhetsområde.

ReachMee är ett IT-stöd vid rekrytering.

Regionens diarier innehåller både personuppgifter och känsliga uppgifter. Tillgången till dessa är begränsade till registratorer på centrum. Risken att informationsspridning sker otillbörligen vägs upp av behovet av information. Utifrån att behörigheten endast tilldelas registrator och ersättare för registrator bedöms dock risken som liten.

Behörighetshantering

Lokal behörighetsadministratör (LBA) i HSA-katalogen tilldelar och administrerar behörigheter till Journalportalen samt de system som startas via den: Patientöversikt, ROS, BMS-arkiv, Komplementjournalen, Panorama och så vidare. För rollen krävs en heldagsutbildning. Rollen innebär i sig ingen tillgång till information, men innebär ett stort ansvar eftersom de verksamhetsuppdrag som LBA tilldelar ger tillgång till känslig information. Loggning sker i HSA-katalogen. 
Se handledning av lokal behörighetsadministration.

IT-portalen är en samlingspunkt för många applikationer som på ett eller annat sett hör ihop eller nyttjar liknande funktionalitet. I ITportalen ingår bland annat; AD-manager, BBS, Inventarier, Beställning_XP, e-tjänstekort. Som användare ser användaren bara de applikationer och funktioner de har rättigheter till. Behörighet till de olika applikationerna tilldelas via IT-samordnare efter genomgången utbildning.

Varje enhet ska ha en telefoniansvarig som är kontakt i telefonifrågor och har rätt att lägga beställningar på telefoni till leverantören. Rollen utses av enhetschef.

Källförteckning

Styrning av behörigheter: http://lisa.lio.se/Startsida/PM-medicinska-o-vardadm/PM-dokument/Ledningsstab/Styrning-av-behorigheter/
Behörigheter i Cosmic: http://lisa.lio.se/Startsida/Verksamheter/Centrum-for-medicinsk-teknik-och-IT/Anvandarstod-och-tjanster/Patientjournalen/Lokal_administration_Cosmic/Behorighet/ 
Behörighetspolicy BI: http://s-cmciapp200/boe/dok/BehrighetspolicyCI_2015.pdf
Agressobehörighet IT: http://ledsys.lio.se/Document/Document.aspx?DocumentNumber=4322
Riktlinje för distansarbete: http://lisa.lio.se/Startsida/PM-medicinska-o-vardadm/PM-dokument/Ledningsstab/Informationssakerhet-ledningssystem/1-Sakerhetsriktlinjer/15-Distansarbete/
Handledning av lokal behörighetsadministration (HSA-katalogen): http://lisa.lio.se/Startsida/Verksamheter/Centrum-for-medicinsk-teknik-och-IT/Anvandarstod-och-tjanster/Tekniska-bastjanster/HSA-katalogen/LBA---Lokal-behorighetsadministrator/LBA-dokument/