Presentation om patientdatalagen
Download
Report
Transcript Presentation om patientdatalagen
Patientdatalagen –
i teori och praktik
Patientdatalagen
•
•
•
•
•
•
•
•
•
Inledning
Behörighetshantering (verksamhetschef)
Inre sekretessområdet
Sammanhållen journalföring
Spärrar
Tillsyn
Vad behöver vårdgivarna göra
Vad är på gång inom juridiken
Samordnad vårdplanering och sammanhållen
journalföring
• Länkar
Patientdatalagen
Möjliggör:
- en informationshantering inom hälsooch sjukvården som kan tillgodose
patientsäkerhet och god kvalitet och
samtidigt främja kostnadseffektivitet.
- att personuppgifter utformas och
behandlas så att patienters och övriga
registrerades integritet respekteras.
Allmänt
ersatte patientjournallag och vårdregisterlag 1 juli
2008, medförde några ändringar i sekretesslagen
gäller för alla vårdgivare oavsett
huvudmannaskap
ramlagstiftning; anger vilka grundläggande
principer som ska gälla för informationshanteringen avseende uppgifter om patienter inom
all hälso- och sjukvård. Förtydligas i SOSFS
2008:14
Vårdgivare
Statlig myndighet, landsting och kommun i fråga
om sådan hälso- och sjukvårdsverksamhet som
myndigheten, landstinget eller kommunen har
ansvar för (offentlig vårdgivare) samt annan juridisk
person eller enskild näringsidkare som bedriver
hälso- och sjukvårdsverksamhet (privat vårdgivare)
Socialstyrelsens termbank
Alla vet vad är vårdgivare är…
Personal hos vårdgivarna har ofta en helt annan uppfattning
de förknippar ofta vårdgivare med hälso- och
sjukvårdspersonal, dvs. Syster Anna och Dr Ek är två olika
vårdgivare
Styrning av behörigheter
SOSFS 2008:14
2 kap. Ansvar för informationssäkerhet
6§ Vårdgivaren ska ansvara för att det i
ledningssystemet finns rutiner som säkerställer att
hälso- och sjukvårdspersonal och andra
befattningshavares behörighet begränsas till vad
som är nödvändigt för att ge en god och säker
vård.
Styrning av behörigheter
fortsättning
Vårdgivaren ska vidare ansvara för att varje användare
tilldelas en individuell behörighet för åtkomst till
patientuppgifter. Vårdgivarens beslut om tilldelning av
behörighet ska föregås av en behovs- och riskanalys.
Vårdgivaren ska även ansvara för att det finns rutiner för
tilldelning, förändring, borttag och regelbunden uppföljning
av behörigheterna.
Riskanalys
Beskrivning
Risk
värde
Användare kommer åt information som de ej är berättigade till
25
Utveckling av systemet (behörighet) går långsamt. (Vi kan inte
systemet tillräckligt, behöver mer information, lära oss om tips
& trix
25
Användare har vid/stor behörighet, frestas att läsa för mkt.
25
För lite kunskap om vilka regler som gäller
20
Saknas info om när personal slutar, så att behörigheterna kan
tas bort
20
För mkt info som skickas ut, användarna läser inte
20
Behörighet sedan tidigare som inte gäller på aktuell klinik
16
Användare står kvar på en enhet/enheter som de ej har
behörighet till. Slutat eller lång ledighet
16
Åtkomstkontroll – kontroll av loggar
Vårdgivaren är skyldig att genomföra systematiska
åtkomstkontroller i sina system, det vill säga
kontinuerligt och enligt rutiner kontrollera att tillgång
till patientuppgifter nyttjas enligt gällande
regelverk.
Även patienten ska ha möjlighet att få information om
när och vilken vårdenhet som tagit del av hennes/hans
information.
Inre sekretess
dvs inom en vårdgivare
4 kap. 1 §
...får ta del av journaluppgift endast om du
deltar i vården av patienten eller
av annat skäl behöver uppgifterna för arbetet
inom hälso- och sjukvården.
Ändamål
1.
2.
3.
4.
Vård och behandling
Kvalitetssäkring
Administration
Upprättande av dokumentation som följer
av lag, förordning eller annan författning
5. Framställning av statistik om hälso- och sjukvården
6. ”Kvalitetsregister”
Journalhandling
Framställning i skrift eller bild samt upptagning
som kan läsas, avlyssnas eller på annat sätt
uppfattas endast med tekniskt hjälpmedel och
som upprättas eller inkommer i samband med
vården av en patient och som innehåller uppgifter
om patientens hälsotillstånd eller andra personliga
förhållanden eller om vidtagna eller planerade
vårdåtgärder
1 kap. 3 § PDL
Sekretessområde utökas
Tidigare lagstiftning
Enl Patientdatalagen
A
B
A
B
C
D
C
D
Myndigheter har sekretess mellan sig
Ingen sekretess mellan ingående
myndigheter
Sammanhållen journalföring
A
B
C
D
Nämnd
A
B
C
D
Bolag
EEE
Privata
FEE
FEE
Kommun
GEE
GEE
EEE
Sammanhållen
journalföring
Sammanhållen journalföring
Innebär att Vårdgivare får göra elektroniska patientjournaler
tillgängliga för andra vårdgivare
• Får användas endast för den individinriktade patientvården
• Patienten kan motsätta sig att uppgifter görs tillgängliga för
andra vårdgivare. Om en patient motsätter sig att andra
uppgifter än (patient-id och vårdgivare) görs tillgängliga i en
sammanhållen journalföring ska uppgifterna genast spärras.
Vårdnadshavaren till barn kan inte spärra uppgifter om barnet.
En patient kan när som helst begära att den vårdgivare som
har spärrat uppgifterna häver spärren.
Sammanhållen journalföring
Hälso- och sjukvårdspersonal får bereda sig tillgång till
elektroniska patientjournaler hos andra vårdgivare om:
• patienten samtycker
• aktuell patientrelation föreligger och
• uppgifterna kan antas ha betydelse för vården av
patienten (eller vid intyg).
Bestämmelserna om
sammanhållen journalföring
reglerar ett visst sätt att göra patientdokumentation
elektroniskt tillgängliga över organisatoriska och
formella gränser utan föregående
sekretessprövning i varje enskilt fall då
direktåtkomsten används.
Uppgifterna kan alltid begäras ut på annat sätt, varvid
en sedvanlig sekretessprövning måste göras.
Sammanhållen journalföring
Om det finns ospärrade uppgifter om en patient och det
föreligger fara för dennes liv eller det annars föreligger
allvarlig risk för dennes hälsa, får vårdgivaren, om
patientens samtycke inte kan inhämtas, ta del av uppgift om
vilken eller vilka vårdgivare som har gjort uppgifterna
tillgängliga.
Om vårdgivaren med ledning av denna uppgift bedömer att
de ospärrade uppgifterna kan antas ha betydelse för den
vård som patienten oundgängligen behöver, får vårdgivaren
behandla de ospärrade uppgifterna.
PDL för NPÖ?
• NPÖ är ett ”verktyg” för att kunna ta del av en
sammanhållen journalföring - dvs. det finns inget
särskilt regelverk för PDL-NPÖ
• SITHS-kort, Sjunet, HSA är enbart verktyg för att
kunna ta del av informationen på ett korrekt och
bra sätt
Definitioner
Vårdgivare anslutna till
sammanhållen
journalföring
Sammanhållen Journal
Vårdgivare
Vårdenhet
Statlig myndighet,
landsting och kommun i
fråga om sådan hälso- och
sjukvårdsverksamhet som
myndigheten, landstinget
eller kommunen har
ansvar för (offentlig
vårdgivare) samt annan
juridisk person eller
enskild näringsidkare som
bedriver hälso- och
sjukvårdsverksamhet
(privat vårdgivare)
En organisatorisk enhet
som tillhandahåller hälsooch sjukvård och som
leds av en
verksamhetschef eller
motsvarande.
Spärr i det inre sekretessområdet
(inom en vårdgivare)
patientuppgifter hos en vårdenhet eller inom en vårdprocess
får inte göras tillgängliga genom elektronisk åtkomst för den
som arbetar vid en annan vårdenhet eller inom en annan
vårdprocess hos samma vårdgivare, om patienten motsätter
sig det. I sådana fall ska uppgifterna genast spärras.
Vårdnadshavare till ett barn har dock inte rätt att spärra
barnets uppgifter.
Spärr, i det inre sekretessområdet
(inom en vårdgivare)
Vårdgivare (organisation)
Vårdenhet
(klinik 1)
Vårdenhet
(klinik 3)
Vårdenhet
(klinik 2)
Vårdenhet
(klinik 4)
Klinik
När en patient sätter spärr på
sin vårddokumentation på vårdenhet (klinik 4), innebär det att
informationen inte kan nås
från andra vårdenheter inom
Vårdgivaren (klinik1, 2 och 3)
Vårddokumentation
När kan spärr i det inre sekretessområdet hävas?
1. patienten samtycker till det, eller
2. patientens samtycke inte kan inhämtas och
informationen kan antas ha betydelse för den
vård som patienten oundgängligen behöver.
Hävning av spärr, i det inre sekretessområdet (inom en vårdgivare)
Klinik
Sker i två steg:
1.Tillgång till information om
vid vilken eller vid vilka enheter
spärrad information finns
2. Bedömning om spärren/
spärrarna som ska hävas.
Utförs av behörig
befattningshavare
Vårddokumentation
Spärr i sammanhållen journalföring
Om en patient motsätter sig, det får andra uppgifter om
patienten än dem som anges i andra stycket inte göras
tillgängliga för andra vårdgivare genom sammanhållen
journalföring.
Uppgift om att det finns spärrade uppgifter om en patient
samt uppgift om vilken vårdgivare som har spärrat
uppgifterna får göras tillgängliga för andra vårdgivare genom
sammanhållen journalföring.
När kan spärr i sammanhållen
journalföring hävas?
1. patienten samtycker till det, eller
2. patientens samtycke inte kan inhämtas och det
föreligger fara för dennes liv eller det annars föreligger
allvarlig risk för dennes hälsa informationen kan antas
ha betydelse för den vård som patienten oundgängligen
behöver.
OBS! Endast den vårdgivare som spärrat informationen
kan häva spärren!
Hävning av spärr i sammanhållen
journalföring
Sker i två steg:
1. Om det finns spärrade uppgifter om en patient och det
föreligger fara för dennes liv eller det annars föreligger
allvarlig risk för dennes hälsa får vårdgivaren ta del av
uppgift om vilken eller vilka vårdgivare som har spärrade
uppgifter.
2. Om vårdgivaren med ledning av denna uppgift bedömer att
uppgifterna kan antas ha betydelse för den vård patienten
oundgängligen behöver får vårdgivaren begära hos den
vårdgivare som spärrat uppgifterna att denne häver spärren.
Spärr – inre följer med yttre om
patienten sagt nej
Det är aldrig möjligt i en sammanhållen journalföring att
ta del av information som spärrats inom en vårdgivare.
Behörighets-/ loggningsmodellen
Tillgänglighet
Begränsad tillgänglighet
styrd av behörighet
Fri tillgänglighet
under ansvar
Behörighetstilldelning
och behörighetskontroll
Kontroll av loggar
och behörighet
Den som tilldelar
behörighet har ANSVAR
Tillgång till information
under eget ANSVAR
System och
administration
för tilldelning och
kontroll av behörighet
System och
administration
för kontroll och
uppföljning av loggar
Rapport nr 1 från SITHS-projektet
Behörighets- /Loggningsmodellen
Tillgänglighet
Begränsad tillgänglighet
styrd av behörighet
Behörighetstilldelning
och behörighetskontroll
Den som tilldelar
behörighet har ANSVAR
System och
administration
för tilldelning och
kontroll av behörighet
Fri tillgänglighet
under ansvar
Kontroll av loggar
”Det
inte att
ochräcker
behörighet
kontrollera loggar
för att i efterhand
Tillgång till information
konstatera
eventuella
under eget ANSVAR
intrång för att kraven i
nuvarande
lagstiftning
System och
skall
vara uppfyllda.”
administration
(DI 2005-02-22)
för kontroll och
uppföljning av loggar
Rapport nr 1 från SITHS-projektet
Tillsynsärenden
DI och Socialstyrelsen – tillsyn under 2009-2011
DI 2008 nov
DI: Spärr & PDL (20091111)
• Datainspektionen planerar att skärpa tonläget mot
landstingen. Myndigheten kommer att börja granska hur
sjukvården klarar av att uppfylla lagens tvingande delar.
Landsting som inte följer lagen riskerar vite, en åtgärd
som inspektionen hittills har varit försiktig med att ta till.
• Patienterna har rätt att begränsa elektronisk åtkomst
och spärra uppgifter i sin journal. Kan de inte detta
i dag så bryter sjukvården mot lagen. Det är en av de
saker som vi kommer att titta på vid våra inspektioner
nästa år, säger Patrik Sundström, jurist på
Datainspektionen.
DI beslut Örebro läns landsting
Datainspektionen konstaterar att Landstingsstyrelsen, Örebro
läns landsting
1. i strid med 6 kap. 2 § 3 st. patientdatalagen tillgängliggör
patientuppgifter för andra vårdgivare, samt
2. inte lever upp till kraven på behörighetsstyrning i 6 kap. 7
§, 4 kap. 2 § patientdatalagen och 2 kap. 6 § SOSFS
2008:14.
DI beslut Örebro läns landsting
Datainspektionen förelägger Landstingsstyrelsen att
1. upphöra att tillgängliggöra patientuppgifter för andra
vårdgivare till dess att berörda patienter fått information om
vad den sammanhållna journalföringen innebär samt haft
möjlighet att utnyttja sin rätt att motsätta sig
tillgängliggörandet, samt
DI beslut Örebro läns landsting
2. ta fram rutiner och en teknisk funktionalitet som
möjliggör att behörigheterna kan begränsas till vad som
behövs för att användaren ska kunna fullgöra sina
arbetsuppgifter inom hälso- och sjukvården.
Härutöver bedömer Datainspektionen att Landstingsstyrelsen
är personuppgiftsansvarig för tillgängliggörandet, inklusive
mellanlagringen, av patientuppgifter som härrör från den egna
verksamheten. Datainspektionen förutsätter därför att
Landstingsstyrelsen klargör detta genom att vidta relevanta
korrigeringar i anslutningsavtal och
personuppgiftsbiträdesavtal avseende Inera AB och Tieto.
DI beslut Örebro kommun och
Attendo Care
Beslut efter tillsyn:
1. strid med 6 kap. 3 § patientdatalagen låter s.k.
”underförstått samtycke” utgöra grund för direktåtkomst till
patientuppgifter vid sammanhållen journalföring, samt *
2. inte lever upp till kraven på behörighetsstyrning i 6 kap. 7 §,
4 kap. 2 § patientdatalagen och 2 kap. 6 § SOSFS 2008:14.
Datainspektionen förelägger Vård- och omsorgsnämnderna att
1. vidta åtgärder för att se till att direktåtkomst till uppgifter i den
sammanhållna journalföringen, så länge det inte är fråga om
sådan nödsituation som avses i 6 kap. 4 § patientdatalagen,
föregås av ett frivilligt, särskilt och otvetydigt samtycke från
patienten eller dennes legala ställföreträdare, samt
DI beslut Örebro kommun och
Attendo Care
2. ta fram rutiner och en teknisk funktionalitet som
möjliggör att behörigheterna kan begränsas till vad som
behövs för att användaren ska kunna fullgöra sina
arbetsuppgifter inom hälso- och sjukvården.
Vidare bedömer Datainspektionen att Vård- och omsorgsnämnderna har förutsättningar att leva upp till kraven på
åtkomstkontroll enligt 6 kap. 7 §, 4 kap. 3 § patientdatalagen
och 2 kap. 11 § SOSFS 2008:14. Datainspektionen förutsätter
dock att Vård- och omsorgsnämnderna utvärderar och
kontinuerligt utvecklar logguppföljningarna för att uppnå en
verkningsfull åtkomstkontroll i enlighet med kraven i 4 kap. 3
§ patientdatalagen.
DI:s beslut, Achima Care AB
Datainspektionen konstaterar att Bolaget:
1. inte lever upp till kravet vad gäller patientens rättighet att
spärra uppgifter (PDL)
2. inte lever upp till kraven på behörighetsstyrning (PDL och
SOSFS 2008:14) samt
3. inte lever upp till kraven rörande åtkomstkontroll (PDL och
SOSFS 2008:14) genom att det inte av dokumentationen av
åtkomsten (loggarna) framgår vilka åtgärder som har vidtagits
med patientuppgifterna.
DI:s beslut, Achima Care AB
När det gäller bristerna beträffande de tekniska funktionerna i
journalsystemet, anser Datainspektionen att det är Landstinget
Sörmland (Landstinget) som har reella möjligheter att åtgärda
ovanstående brister. Datainspektionen kommer med anledning
av detta att snarast inleda tillsyn mot Landstinget.
DI:s beslut Styrelsen för SLSO
(Stockholms läns sjukvårdsområde)
Datainspektionen förelägger Styrelsen för Stockholms läns
sjukvårdsområde (SLSO) att anpassa vårddokumentation som
utgörs av Läkemedelslistan, Viktig Medicinsk Information
(VMI) och journaluppgifter i e-arkiv enligt kraven i 4 kap. 4 §
första stycket och 6 kap. 2 § första stycket patientdatalagen
(2008:355), avseende patientens möjlighet att motsätta sig att
personuppgifterna görs tillgängliga (spärras) dels inom
SLSO:s verksamhet (inre sekretess), dels inom den
sammanhållna journalföringen.
TC (TakeCare) Karolinska
(mars 2012)
• En användare i TC kan inte ta del av uppgift om att det finns
ospärrade uppgifter om patienten, utan att samtidigt ta del av uppgift
om vilken/vilka vårdgivare som har gjort uppgiften tillgänglig.
• Vidare visas vilken/vilka vårdgivare som har ospärrade uppgifter
innan ett samtycke till behandlingen av uppgifterna har inhämtats
från patienten.
• En användare inom ramen för den sammanhållna journalföringen i
TC har, efter ett samtycke från patienten som registreras i
journalsystemet, som utgångspunkt alltid direktåtkomst till ospärrade
uppgifter hos alla vårdgivare som ingår i den sammanhållna
• journalföringen.
DI granskar journalspärrar hos
samtliga landsting (26 maj 2011)
• Patienternas möjlighet att spärra uppgifter i sina journaler undersöks nu i
en omfattande granskning av samtliga landsting och fem av de största
privata vårdgivarna.
• Enligt patientdatalagen har patienten rätt att spärra uppgifter från att
lämnas ut dels mellan olika vårdenheter inom samma vårdgivare, dels
mellan olika vårdgivare som använder sammanhållen journalföring för att
utbyta uppgifter med varandra.
• Vårdgivaren har en skyldighet att spärra patientens uppgifter i sitt
journalsystem om patienten vill det. Vi har fått indikationer på att det ofta
brister i hanteringen av dessa spärrar och det är därför som vi nu
genomför den här granskningen, säger Datainspektionens projektledare
Maria Bergdahl.
Granskning spärrar fortsättning…
23 nov 2011 kom information från DI att de ytterligare skärpt
kraven, nu pratar man inte längre om journalsystem utan
säger nu att: ”resultatet från den inledande granskningen
indikerar att vårdgivarna har patientuppgifter i ett stort antal
olika IT-system. Enligt lagen måste det finnas möjlighet att
spärra uppgifter i samtliga IT-system som innehåller
vårddokumentation
45
Information om Sammanhållen
journalföring
Ett nationellt framtaget material som finns tillgängligt sedan
mars 2011.
Se cehis.se/ sammanhållen journalföring
Tillsyn Socialstyrelsen (SOSFS 2008:14)
• Lanstinget i Uppsala, UAS
• Karolinska Sjukhuset
• Västerbottens Läns Landsting, NUS
• Västra Götalandsregionen, SU
• Landstinget Östergötland, Linköping US
• Region Skåne, SuS
Vilka brister ska åtgärdas enligt
Socialstyrelsen?
• Informationssäkerhetspolicy saknas
• Återrapportering från informationssäkerhetsansvarig till
vårdgivare sker ej enligt gällande författning
• Verksamhetschefernas uppdrag kring
informationssäkerhet finns inte samlat och dokumenterat
• Det finns brister vid överföring av patientuppgifter över
öppna nät
• Journalsystem klarar inte författningskrav avseende spärr
Forts: Vilka brister ska åtgärdas
enligt Socialstyrelsen?
• Rutiner för systematisk uppföljning av behörigheter
saknas
• Rutiner för förändring och borttag av behörigheter
saknas
• Risk- och behovsanalys för tilldelning av behörigheter
görs ej
• Kontinuitetsplaner saknas
• Tidplan för information om Sammanhållen journalföring
saknas
• Brister i drift-, utvecklings- och utbildningsrutiner
Vad behöver vårdgivarna göra?
Förändringar i verksamhet och teknik:
• Kunna hantera information som går över öppna nät
(kryptering och stark autentisering)
• Ha en aktiv behörighetshantering
• Tillgång till patientuppgifter ska ske på ett korrekt sätt
- Inre sekretessområdet (aktiva val)
- Sammanhållen journalföring (aktiva val)
• Kontroll av åtkomst till patientuppgifter måste ske
• Patientens rättigheter ska tillgodoses (loggar och möjlighet
att begränsa vårdens tillgång till sin information genom att
kunna sätta spärrar)
50
Krav från PDL
Stark Autentisering - Vem du är
Behörighetsstyrning- Vad du får göra
Åtkomstkontroll (logguppföljning)
Uppföljning om du hade behov
Patienten har rätt till loggutdrag
Patientens möjlighet att begränsa vårdens
tillgång till sin information genom spärrar och
samtycke
Bild: Ulf Palmgren
Viktiga termer
Vårdgivare
Vårdenhet
Verksamhetschef
Uppdrag – vem, var och i vilket uppdrag
För behörighetstilldelning och åtkomstkontroll
Vad behöver vårdgivarna göra?
• Ha en informationssäkerhetspolicy och rutiner för att
bedriva ett bra informationssäkerhetsarbete
SOSFS 2011:9 skyldiga att ha ett ledningssystem för kvalitetsarbete (föreskrifterna ersatte vid
årsskiftet SOSFS 2005:12 om ledningssystem för kvalitet och patientsäkerhet i hälso- och
sjukvården). När man i 2008:14 säger ledningssystem är det detta ledningssystem som avses
• Verksamhetschefernas uppdrag kring
informationssäkerhet måste bli kommunicerat och känt
• Personalen måste utbildas
Vem är vårdgivare när vård
utförs av extern utförare?
”En privat/extern utförare som har avtal med kommun eller
landsting utgör en egen vårdgivare eftersom den har ett
uppdrag som den självständigt utför inom den ram som
kommunen eller landstinget satt upp.”
Råd från AL-S okt 2011
Vårdenhet – att tänka på
Avser en organisatorisk enhet som bedriver hälso- och
sjukvård och som leds av en verksamhetschef eller
motsvarande.
Tänk på! - Att dela in verksamheten i vårdenheter är en
förutsättning för att kunna leva upp till lagstiftarens krav.
- I regel har de flesta vårdgivare flertalet vårdenheter. Endast
de riktigt små kommunerna kan anses ha en enda vårdenhet.
- Se över er verksamhet och försök identifiera vilka
organisatoriska gränser och enheter som finns och som kan
anses utgöra olika vårdenheter.
- Personal kan arbeta vid flera vårdenheter och ska utifrån
varje vårdenhet tilldelas medarbetaruppdrag.
Jourverksamhet
Enheter som bedriver jourverksamhet och under jourtid
hanterar många olika boenden/vårdenheter kan inte läggas
upp som en egen vårdenhet för att kunna ge ett
medarbetaretaruppdrag för den ingående personalen.
Verksamhetschef – vem?
Begreppet verksamhetschef är i detta avseende den
befattningshavare som enligt 29 § hälso- och
sjukvårdslagen svarar för verksamheten. Det är alltså en
funktion utpekad av lagstiftaren och inte att förväxla med
en funktion som chef för en viss verksamhet.
Verksamhetschefen har ett omfattande rättsligt ansvar
bl.a. för att journalföringen sker på ett korrekt sätt, för att
personalens behörigheter är korrekta och lagliga utifrån
personalens behov och arbetsuppgifter samt för att
kontroller av personalens åtkomst till patientuppgifter
sker (loggkontroll).
Verksamhetschef forts
Verksamhetschefen behöver dock inte vara den som
själv utför dessa arbetsuppgifter, utan de kan delegeras
till en befattningshavare med kompetens för saken. I
kommunal hälso- och sjukvård kan det t.ex. vara den
medicinskt ansvariga sjuksköterskan eller enhetschefer
som ser till att personalens behörigheter är korrekta och
ändamålsenliga.
Rätt person, rätt information rätt tillfälle
Verksamhetschef ansvarar för:
1. att att utdelade behörigheter för åtkomst till patientuppgifter
är ändamålsenliga och förenliga med hälso- och
sjukvårdspersonalens och andra befattningshavares aktuella
arbetsuppgifter
2. uppföljning av informationssystemens användning genom
regelbunden kontroll av loggarna.
- detta kräver information i logg om vem och i vilket uppdrag
denne tog del av/uppdaterade information om en
patient/person och vilket syftet (ändamålet) var med
åtkomsten.
SOSFS 2008:14
Bild: Ulf Palmgren
Patientdatalagen
Personal
Sammanhållen
Journal (SHJ)
Vårdgivare
Egen
Vårdenhet
Patient
uppgift
Andra
Vårdenhet
Patient
uppgift
Andra
Vårdgivare
Patient
uppgift
60
Bild: Ulf Palmgren
Personal
Stark Autentisering
Behörighet
Patient-/Vårdrelation
Sammanhållen
Journal (SHJ)
Vårdgivare
Egen
Vårdenhet
Patient
uppgift
Andra
Vårdenhet
Patient
uppgift
Andra
Vårdgivare
Åtkomstkontroll (Loggning/Logguppföljning)
Patient
uppgift
61
Bild: Ulf Palmgren
Personal
Stark Autentisering
Behörighet
Patient-/Vårdrelation
Vårdgivarens undantag
Aktivt Val
Patientens begärda spärrar
Sammanhållen
Journal (SHJ)
Vårdgivare
Egen
Vårdenhet
Patient
uppgift
Andra
Vårdenhet
Patient
uppgift
Andra
Vårdgivare
Åtkomstkontroll (Loggning/Logguppföljning)
Patient
uppgift
62
Patientdatalagen
Personal med Medarbetaruppdrag
Stark Autentisering
Behörighet
Patient-/Vårdrelation
Tillgänglig patient (TGP)
Aktivt Val
Vårdgivarens undantag
Patientens begärda spärrar
Patientens samtycke
Patientens ställningstagande (SHJ)
Sammanhållen
Journal (SHJ)
Vårdgivare
Egen
Vårdenhet
Patient
uppgift
Andra
Vårdenhet
Patient
uppgift
Andra
Vårdgivare
Åtkomstkontroll (Loggning/Logguppföljning)
Patient
uppgift
2015-04-08
Aktuella juridiska frågor
• Översyn av Socialstyrelsens föreskrifter 2008:14
• Patientrörlighetsdirektivet
• John Assarsson ska lämna 30 juni 2012 förslag till hur
Patientens ställning ska kunna stärkas genom
lagstiftning, Patientmaktsutredningen
• Dir 2011:111, kommittédirektiv
sid 64
Dir 2011:111, kommittédirektiv
Förbättrad tillgång till personuppgifter inom och mellan
hälso- och sjukvården och socialtjänsten m.m
Delbetänkande klart 2012-03-31 (HOSP)
Slutbetänkande senast 1 dec 2012
Vad ingår i utredningen
Bland annat:
Tillgång till personuppgifter - behov av lagändringar för att
behörig ska få ha tillgång till nödvändiga uppgifter för den
aktuella behandlingen eller det aktuella stödet inom eller över
organisatoriska gränser.
Fokus ska ligga på grupperna äldre personer, personer med
missbruk eller beroenden samt personer med psykisk sjukdom
och funktionsnedsättning.
•
Vad ingår i utredningen
- Utlämnande av uppgifter om patienten till vårdgivare i andra länder
(efter samtycke av patienten)
- Icke beslutskompetenta – kan de ingå i SHJ
- Hantering av personuppgifter vid verksamhetsövergång.
- Analysera vilka nationella kontrollmekanismer som måste finnas för
att nödvändiga säkerhets- och behörighetslösningar ska användas.
- Se över möjligheter för den enskildes tillgång till sina
personuppgifter (ehr/phr)
- Analysera vilka åtgärder som ökar patientsäkerheten och stärker
den enskildes faktiska möjligheter att utöva sin rätt att spärra hela
eller delar av sin journal.
Vad ingår i utredningen
Övrigt
Utredaren är oförhindrad att ta upp frågor som inte nämns i
dessa direktiv, men som utredaren anser behöver analyseras
eller regleras för att utredaren ska kunna fullgöra sitt uppdrag
på ett tillfredsställande sätt.
Särskild utredare är Lena Lundgren, Hälso- och
sjukvårdsdirektör i Östergötland. Förste sekreterare är Patrik
Sundström, jurist SKL och Cehis
Tillgång till information över
huvudmannagränser - kommun och
landsting
- För hälso- och sjukvård (styrs av hälso- och sjukvårdslagen) är
utlämnande av information från en part till den andra parten
vanligast, men system för sammanhållen journalföring
(direktåtkomst) får användas.
- För samordnad vårdplanering kan ALDRIG direktåtkomst och
sammanhållen journalföring användas. Det får användas enbart
för ändamålet vård och behandling. Samordnad vårdplanering
innefattar även socialtjänst (Socialtjänstlagen) och då måste
information utlämnas.
Personuppgiftsansvar vid
sammanhållen journalföring
• Den vårdgivare som gör patientuppgifter
tillgängliga för andra vårdgivare är ansvarig för att
det sker i enlighet med reglerna.
• Den vårdgivare som bereder sig åtkomst till andra
vårdgivares patientuppgifter är ansvarig för att
förutsättningarna för den åtkomsten är uppfyllda.
(Nyhet!)
Länkar
Patientdatalagen:
http://www.riksdagen.se/webbnav/index.aspx?nid=3911&bet=2008:355
Föreskrifter och handbok (Socialstyrelsen)
http://www.socialstyrelsen.se/sosfs/2008-14
http://www.socialstyrelsen.se/regelverk/handbocker/handbokominformationshant
eringochjournalforing
Länkar
Datainspektionen (FAQ om PdL):
http://www.datainspektionen.se/fragor-och-svar/faq-patientdatalagen/
Dokumentarkiv Cehis (sök på säkerhetsarkitektur):
http://www.cehis.se
HSA –behörighetsstyrning:
http://inera.se/Infrastrukturtjanster/HSA/Behorighetsgrundade-egenskaper-i-HSA/
”Patriks utredning – direktiv 2011:111 ”
http://www.regeringen.se/sb/d/14011/a/183000
Kontaktpersoner
[email protected]
[email protected]