1 Inledning och bakgrund Arbetsgrupp Avgränsning och kopplingar till andra projekt... 4

Transkript

1

2 Innehållsförteckning 1 Inledning och bakgrund Arbetsgrupp Avgränsning och kopplingar till andra projekt Behörighetstilldelning (rättighetstilldelning) Tilldelning av behörighet Organisation för behörighetstilldelning Behörighetstilldelning för studenter, monitorerare och forskare Egenskaper vid behörighetstilldelning Åtkomst inom vårdgivarens verksamhet Spärr Aktiva val och spärrar vid inre sekretess Spärr för åtkomst utanför vårdenheten Hävning av spärr - forcering Loggning och spårbarhet Ansvar och innehåll Detaljerade behov av loggar Analys Gemensamma arbetsstationer Patientens rätt till information om logg Prioritering Prioritering system Prioritering av införande och anslutning till BIF-tjänsterna Definition av begrepp Referenser Bilaga Bilaga REGIONKANSLIET 2

3 1 Inledning och bakgrund Från den 1 juli 2008 gäller Patientdatalagen vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. Samtidigt upphör Patientjournallagen och Vårdregisterlagen att gälla. Socialstyrelsen har utfärdat nya föreskrifter om dokumentation av personuppgifter i hälso- och sjukvården. Föreskrifterna är utarbetade efter samråd med Datainspektionen. Syftet med lagen är att informationshanteringen och journalföringen inom hälso- och sjukvården inklusive tandvården ska vara organiserad så att den bättre tillgodoser patientsäkerheten och god kvalitet samtidigt som den främjar kostnadseffektivitet. Lagen ger även möjlighet för vårdgivare att ge eller få direkt åtkomst till personuppgifter hos en annan vårdgivare sammanhållen journalföring. Ansvaret för tillämpningen av patientdatalagen läggs på tre nivåer. Ansvar definieras för vårdgivare, verksamhetschefer samt övrig hälso- och sjukvårdspersonal. Med vårdgivare avses i detta sammanhang landsting. De krav som patientdatalagen ställer på vårdgivarna avseende möjligheter att på olika sätt styra åtkomsten till patientuppgifter innebär att vårdens informationssystem måste förändras. Enligt patientdatalagen skall en vårdgivare bestämma villkor för tilldelning av behörighet för åtkomst till uppgifter om patienter. Patienterna kommer också att kunna kräva att uppgifter spärras för åtkomst utanför en enhet eller en vårdprocess. För detta behövs ett regiongemensamt förhållningssätt. Verksamhetscheferna har ansvar för bl a kontroll av åtkomst till patientuppgifter (loggar). - Vårdgivare, avser Västra Götalandsregionen (VGR), har att ansvara för upprättande av villkor för tilldelning av behörigheter. - Verksamhetschef har att ansvara för anställdas behörigheter och kontroll av loggar. - Hälso- och sjukvårdspersonal har att ansvara för skydd av egna lösenord och inre sekretess. Personuppgiftsansvar - Myndighet (avser nämnd/styrelse i Västra Götalandsregionen) har att ansvara för behandling av personuppgifter enligt PUL. För att åstadkomma lösningar krävs både en kortsiktig och en långsiktig lösning för att uppfylla gällande lagstiftning. En beskrivning görs därför av ett stegvist förändringsarbete. 2 Arbetsgrupp Den regionala arbetsgruppen har representerats av följande sammansättning; Lillemor Bergman, Hälso- och sjukvårdsavdelningen Mats Dufva, VGRIT Monika Göransson, Säkerhetsstrategiska avdelningen Stefan Holmberg, IT-strategiska avdelningen Torgny Königson, Juridiska avdelningen Ingmar Wickström - CVU- patientsäkerhet Systemförvaltning Yvonne Berggren - T 4 (tandvårdssystem) Hanna Jonsson - KIV (Katalog i Väst) Ingela Jägerstedt-Larsson Melior (sjukhussystem) Monica Lebedev - Journal III (primärvårdssystem) REGIONKANSLIET 3

4 Gertrude Petersson - Obstetrix (mödravårds- och förlossningssystem) Martin Sandberg - Melior Rose Toftedahl - Medidoc ( primärvårdssystem) 3 Avgränsning och kopplingar till andra projekt Arbetsgruppen hanterar inte kvalitetsregister i avvaktan på SKLs pågående projekt. Sammanhållen journal samt avtal mellan landsting berörs i denna rapport men ytterligare information väntas från de nationella projekten inom SKL, PDLip ver 2.0 samt tilläggsuppdrag med informationsmodeller PDLip 2 som slutförs hösten Arbetsgruppen har haft kopplingar till följande projekt/arbeten: - PDLip (SKL) - PDLip 2 (SKL) - Riktlinjer för informationssäkerhet i Västra Götalandsregionens verksamheter 4 Behörighetstilldelning (rättighetstilldelning) Det anges i lagen att den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om hon eller han deltar i vården av patienten eller av annat skäl behöver uppgiften för sitt arbete hos vårdgivaren. Detta har även tidigare gällt som en följd av bestämmelser i patientjournallagen angående förvaringen av patientjournalen samt i vårdregisterlagens regler om åtkomst. Med den nya bestämmelsen i patientdatalagen blir det tydligare att en anställd som bereder sig tillgång till patientuppgifter, som inte behövs för arbetets utförande, kan ha gjort sig skyldig till dataintrång och riskera påföljd enligt brottsbalken. Med området för inre sekretess avses vårdgivarens verksamhet, d v s Västra Götalandsregionen. En verksamhetschef ska se till att behörigheten för åtkomst till patientuppgifter begränsas till vad en befattningshavare behöver för att kunna utföra sina arbetsuppgifter. Verksamhetschefen ska fortlöpande följa upp, förändra och inskränka behörigheter allteftersom befattningshavarens arbetsuppgifter förändras. Samma krav gäller för behörighetstilldelning inom ramen för en eventuell sammanhållen journalföring. När det gäller personal som arbetar med verksamhetsuppföljning, statistikframställning, centralekonomiadministration och liknande verksamhet som inte är individorienterad torde det för flertalet befattningshavare räcka med tillgång till uppgifter som endast indirekt kan härledas till enskilda patienter. Elektronisk åtkomst till personnummer och andra uppgifter som direkt pekar ut enskilda patienter bör på detta område kunna vara starkt begränsad till enstaka personer. Åtkomst till vårddokumentation inom en vårdgivares inre sekretessområde styrs av tilldelad behörighet samt att användaren har ett legalt stöd för åtkomsten och behöver uppgiften för sitt arbete, exempelvis en aktuell vårdrelation och ett behov i den individrelaterade vården. Åtkomst av ospärrad vårddokumentation inom det inre sekretessområdet kräver således varken patientens samtycke eller samtycke från den vårdenhet där vårddokumentationen skett. Åtkomst till spärrad vårddokumentation som finns inom det inre sekretessområdet förutsätter antingen patientens samtycke eller att förutsättningar för tillfällig hävning föreligger. REGIONKANSLIET 4

5 4.1 Tilldelning av behörighet Det krävs att verksamhetschefen analyserar och aktivt tar ställning till vilken information som är nödvändig för en viss tjänst och utifrån detta tilldelar användaren behörighet för åtkomst till patientuppgifter. Verksamhetschefens ansvarsområde utgör grund för behörighetstilldelning. Olika roller/kategorier ska identifieras motsvarande olika yrkesgrupper inom verksamhetschefens ansvarsområde som ska utgöra en grundbehörighetstilldelning. Resterande behörigheter identifieras som särskild behörighet. Möjlighet att läsa en viss patients journal ges alltså till de anställda som i sin verksamhet normalt lyder under en viss verksamhetschef och/eller som dennes verksamhetschef bedömer vara nödvändig inom annan verksamhet (särskild) om det finns vårdrelation eller om uppgiften av annat skäl behövs för arbetets utförande. Samtliga verksamhetsområden i regionen ska göras tillgängliga för denna bedömning och således klassas ingen verksamhet som undantagen i regionen. Särskild prövning bedöms av föreslagen expertgrupp (se sid 9). Bild 1 Grundläggande regel för åtkomst (U. Palmgren) Initialt har Vårdgivaren - att ansvara för rutiner för tilldelning, förändring och borttagning av behörighet för åtkomst samt etablerar särskild organisation inom regiongemensam funktion då regionen är ett enda sekretessområde, som därmed går utanför verksamhets- och förvaltningsgränserna. o Upprätta regiongemensam funktion med ansvar för regiongemensamma elektroniska system innehållande mallar för behörighetstilldelning samt behörighetskontrollsystem och lagring av tilldelningar och behöriga verksamhetschefer och delegationer. o Kräver 24-timmars service med krav på korta ledtider. - ansvarar för att det i ledningssystemet finns rutiner som säkerställer att hälso- och sjukvårdspersonalens och andra befattningshavares behörighet begränsas till vad som är nödvändigt för att ge en god och säker vård. - att ge hälso- och sjukvårdsförvaltningarna i uppdrag att identifiera, uppdatera och leverera information om verksamhetschefers ansvarsområde till personaladministrativt system/kiv. Ett samband med de anställda inom verksamhetschefens ansvars- REGIONKANSLIET 5

6 område verksamhetschefen utgör en viktig grund. Enhetlig klassificering av verksamhetschef eller motsvarande behövs. KIV/HR VC 1 VC 2 Bild 2 Verksamhetschefens område Verksamhetschefen - ansvarar för att utdelade behörigheter är ändamålsenliga och förenliga med hälsooch sjukvårdspersonalens aktuella arbetsuppgifter enligt särskild anvisning. Utdelning av behörigheter ska föregås av en behovs- och riskanalys och respektive chef är ansvarig att denna analys genomförs. Tilldelning kan baseras på generellbehörighetstilldelning för grupp/kategori samt särskild behörighetstilldelning. Delegation kan göras av verksamhetschefen men kräver tydlig dokumentation. - Ansöker, eller upprättar delegering, via elektroniskt behörighetssystem om behörighet till regiongemensam funktion enligt särskild anvisning. - informerar de anställda om deras ansvar för inre sekretess d v s att en anställd endast har rättigheter att ta del av patientinformation om det finns vårdrelation eller om uppgiften av annat skäl behövs för arbetets utförande. Detta innebär ett förtydligat egenansvar för personalen. V 1 V 2 Verksamhetschef V 3 Bild 3 Tilldelning av behörighet Verksamhetschefen är den som ansvara för tilldelning av behörigheter för respektive anställda, studenter och uppdragstagare (stafettläkare, läkarsekreterare från bemanningsföretag etc). Behörighetstilldelningen avser såväl elektronisk åtkomst inom den egna enheten eller egna vårdprocessen, som andra enheter hos den egna vårdgivaren, samt direktåtkomst till annan vårdgivare som deltar i system innebärande sammanhållen journalföring. REGIONKANSLIET 6

7 Bild 3 Process - Verksamhetschefens ansvar Vid behovsbedömning och behörighetsstilldelning ska man skilja på aktiviteten läsa (vid sammanhållen journalföring är endast läsning tillåten), skriva och ändra och signera (gäller enbart den egna vårdenheten). Vid behörighetstilldelning inom en vårdenhet är det avgörande att klargöra verksamhetsuppdrag och förekomst av deltagande i patientrelaterade aktiviteter. Både verksamhetschef och den som tilldelats behörighet skall ha tillgång till information som på ett tydligt sätt visar vilka behörigheter som tilldelats och vilka verksamhetsuppdrag som därmed skall fullgöras. Bild 4 Process Nyanställning REGIONKANSLIET 7

8 Bild 3 Process Avslut Bild 5 Process - Avslut Hälso- och sjukvårdspersonal - ansvarar för att personliga lösenord och hjälpmedel för autentisifiering inte kan bli tillgängliga för obehöriga. - ansvarar för att datorer och andra informationsbärare som använts inte lämnas ut utan att patientuppgifterna är skyddade från obehörig åtkomst. - endast ta del av patientuppgifter, om han eller hon deltar i vården av patienten eller av något annat ändamål som anges i 2 kap 4 och 5 PDL behöver uppgifterna för sitt arbete inom hälso- och sjukvård. Vårdsystem - levererar manualer för behörighetstilldelning samt behörighetsnivåer till regiongemensam funktion. - ska efter utveckling erhålla information från KIV om verksamhetschefers ansvarsområden(organisation) innefattande anställda för behörighetstilldelning, spärr och logg. Fram till dess bör respektive systemen innehålla verksamhetschefens organisatoriska ansvarsområde med dess anställda. - upprättar funktioner i journalsystemet (tekniska trösklar) som ställer krav på att användaren måste göra ett aktivt val för att kunna ta del av uppgifter utanför sitt ordinarie verksamhetsområde, det vill säga all information som kan finnas om en patient i vårdgivarens olika verksamheter ska inte vara omedelbart tillgänglig för läsning. Avtal - Beställaren har att reglera i avtal om möjligheter till åtkomst genom behörighetstilldelning med vårdgivare som har avtal med VGR ( se också sid 9 expertgrupp). - För närvarande krävs installation lokalt för att möjliggöra direktåtkomst i befintliga journalsystem. Vårdgivaren bör planera för införandet av Bastjänster för Informations Försörjning (BIF) I de tjänster som BIF erbjuder tilldelas behörighet genom att ge aktören (person eller ITfunktion) egenskaper i en eller flera resurskataloger (typ KIV). Dessa egenskaper tillsammans med efterfrågad information eller resurs bedöms enligt ett uppsatt regelverk. Tjänsten kan hantera flera regler på en gång. BIF är en process över tid som bör startas nu. Likaså ställer Socialstyrelsens föreskrifter kravet på s k stark autentifiering. Ett sådant införandet är påbörjat i VGR. REGIONKANSLIET 8

9 Vid införandet av BIF- tjänst Vårdgivaren - ansvarar för rutiner för egenskapstilldelning som ger åtkomst till information och resurser - utvecklar regiongemensam funktion för framtagning av regler och verifiering. Regelbyggare är en teknikfråga och bör hanteras av lämplig organisation såsom föreslagen regiongemensam funktion med stöd av expertgruppen. - ansvarar för rutiner för åtkomsttilldelning hos andra vårdgivare (sammanhållen journalföring) Verksamhetschef - ansvarar för att utdelade egenskaper är ändamålsenliga och förenliga med hälso- och sjukvårdspersonalens aktuella arbetsuppgifter - tilldelning av egenskaper ska föregås av en behovs- och riskanalys och respektive chef är ansvarig att denna analys genomförs. Vårdsystem - ansluter till BIF Åtkomstkontrolltjänsten svara Ja eller Nej på frågor om behörighet/rättighet utvärdera regler mot egenskaper som gäller för en aktör och efterfrågad resurs vara en grindvakt 4.2 Organisation för behörighetstilldelning HR KIV/ HSA Sys A BIF Sys B regler Anställd Verksamhets chef E-blankett P-blankett Region gemensam funktion Sys C Sys D VG Regelverk Expertgrupp Sys E Bild 6 Organisation behörighetstilldelning Bildande av regiongemensam funktion Funktionen föreslås initialt hantera behörigheter med enhetliga rutiner för ansökan med elektroniska mallar för samtliga förvaltningar, elektronisk lagring av behörigheter med historik samt registrering och historik av ansvarig tilldelare. Administrera avtalade behörigheter inom regionen för direktåtkomst för annan vårdgivare. Handha kortsiktig hantering av spärr, hävning av spärr samt ansvar för loggbegäran och vårdgivarkontroll. Inhämta manualer från prioriterade system. På lite längre sikt föreslås regiongemensam funktion successivt övergå att omfatta föreslaget införande av BIF-tjänsterna och utarbetande av regler för BIF. Bildande av expertgrupp och sammansättning Expertgruppen föreslås initialt hantera; klassning av känslig information, tvister mellan verksamheter om behörighetstilldelning över behov, patientsäkerhetsfrågor, medverka vid kommande regler för BIF-tjänster i samverkan med regiongemensam funktion. Vara en aktiv part i avtalsskivning med vårdgivare som regionen sluter avtal med inom regionen och mellan landsting. REGIONKANSLIET 9

10 Sammansättning bör bestå av regionens chefsläkare, jurist, IT-kompetens, etikkompets samt informatör. 4.3 Behörighetstilldelning för studenter, monitorerare och forskare Vid deltagande i vården krävs inte samtycke och behörighet kan tilldelas. Behörigheten för åtkomst till patientuppgifter begränsas till vad en student eller forskare behöver för att kunna utföra sina uppgifter. Studenter, monitorerare och inte patientnära forskare som inte deltar i vården får inte ha direktåtkomst till system för vårddokumentation, såvida inte åtkomsten kan begränsas enbart till de patientuppgifter som behövs för uppföljningen och eller forskningen. Deltar studerande eller forskaren inte i vården krävs samtycke från patienten eller s k menprövning (kap 7 1 c Sekretesslagen). Saknas samtycke får information överföras på annat medium avidentifierat, t ex på papper eller elektroniskt på t ex cd skiva. Endast i de fall då den patientnära forskningen, med vårdgivaren som huvudman, innefattar patientjournalföring eller annan dokumentation som hör till vården av den individuella patienten, är elektronisk åtkomst tillåten. Verksamhetschefen har att - ansvara för att utdelade behörigheter är ändamålsenliga och förenliga med hälso- och sjukvårdspersonalens aktuella arbetsuppgifter och rapporterar in detta till regiongemensam funktion. - vid behov upprätta dokumenterad delegering för ansökan om behörighet till regiongemensam funktion. - informera de studerande och forskande om deras ansvar för inre sekretess d v s att en student eller forskare endast har rättigheter att ta del av patientinformation om det finns vårdrelation eller om uppgiften av annat skäl behövs för arbetets utförande. Detta innebär ett förtydligat egenansvar för personalen. Bild 7 Process - Studenter REGIONKANSLIET 10

11 Införande av BIF Verksamhetschefen - ansvar för att studenter och forskare har rätt egenskap så de kan agera enligt sina uppdrag och att de ändamålsenliga samt förenliga med hälso- och sjukvårdspersonalens aktuella arbetsuppgifter. - informerar de studerande och forskande om deras ansvar för inre sekretess d v s att en student eller forskare endast har rättigheter att ta del av patientinformation om det finns vårdrelation eller om uppgiften av annat skäl behövs för arbetets utförande. Detta innebär ett förtydligat egenansvar. Vårdsystem - ansluter mot BIF Åtkomstkontrolltjänsten skall svara Ja eller Nej på frågor om behörighet/rättighet utvärdera regler mot egenskaper som gäller för en aktör och efterfrågad resurs vara en grindvakt 4.4 Egenskaper vid behörighetstilldelning Aktören - HSA-ID - identifierar användaren. - Vårdgivar-ID - identifierar vårdgivaren. - Vårdenhets-ID - identifierar vårdenheten. - Uppdrag ( koppling vårdenhets-id och HSA-ID) - Arbetsbeskrivning-AID / Roll (nationellt kodverk arbetar som) - Legitimation - Syfte o Vård och behandling och den administration som föranleds av detta o Administration, planering, uppföljning, utvärdering och tillsyn av verksamheten o Kvalitetssäkring o Upprättande av dokumentation som följer av lag, förordning eller annan författning o Framställning av statistik om hälso- och sjukvården - Förskrivarkod Aktiviteterna Läsa, skriva/ändra, kopiera och signera. 4.5 Åtkomst inom vårdgivarens verksamhet Åtkomst till vårddokumentation inom en vårdgivares inre sekretessområde styrs av tilldelad behörighet samt att användaren uppfyller legalt stöd för åtkomsten såsom vid en vårdrelation och behöver uppgifterna för sitt arbete. Åtkomst till ospärrad vårddokumentation inom ett inre sekretessområde kväver varken patientens samtycke eller samtycke från den vårdenhet där dokumentationen skett om behörighet innehas. Åtkomst till spärrad vårddokumentation inom ett inre sekretessområde förutsätter antingen patientens samtycke eller att förutsättningar för tillfällig spärr hävs. Patienten kan inte motsätta sig att vården och behandlingen dokumenteras i en elektronisk journal. REGIONKANSLIET 11

12 5 Spärr Lagen kräver möjlighet att spärra på nivån vårdenhet. En vårdenhet utgörs av en verksamhetschefs ansvarsområde enligt regionstyrelsebeslut 134 RSK En spärr skall kunna hävas om patienten samtycker till det eller om det annars krävs enligt bestämmelserna i patientdatalagen (4 kap 4-5 PdL). Uppgifter som behövs för kvalitetssäkring av hälsooch sjukvården eller för administration, planering av verksamheten etc omfattas inte av spärr. Patientinformationen skall ange möjligheten att spärra uppgifter. Vårdnadshavare har inte rätten att spärra sitt barns uppgifter. Spärr inom en vårdgivare - Spärr skall kunna sättas i elektroniskt förda journaler. Patienten kan inte spärra sin pappersjournal. Spärr ska kunna sättas på vårdenhet, där det idag finns tydliga, av vårdgivaren definierade, vårdprocesser ska spärr kunna sättas på en sådan. - Begäran om spärr skall verkställas snarast och kan avse tidigare införd vårddokumentation. Det innebär att vårddokumentationen från och med verkställandet spärras från åtkomst utanför angiven vårdenhet/vårdprocess. Samtyckestjänst innefattande möjlighet till spärr bör kunna hanteras i ett tekniskt system som är kopplad till vårdgivarens övriga system. Långsiktigt ska allt kring en vårdkontakt t.ex. diagnoser, läkemedel, besöket, provsvar, röntgenbilder ska kunna spärras, om patienten så önskar. 5.1 Aktiva val och spärrar vid inre sekretess Vårdgivaren skall ansvara för att information om vilka vårdenheter som har uppgifter om en viss patient inte kan göras tillgänglig utan att den behörige användaren gör ett aktivt val, gör ett ställningstagande till, om han eller hon har rätt att ta del av dessa uppgifter. Patientuppgifterna hos dessa vårdenheter får sedan inte göras tillgängliga utan att den behörige användaren gör ytterligare ett aktivt val. Vid inloggning i journalsystemet ska användaren endast se de patientuppgifter som härrör från den egna enheten eller den vårdprocess som användaren ingår i. Det ska framgå om det finns spärrade och/eller ospärrade uppgifter om patienten hos en annan enhet eller vårdprocess. För att få ta del av ospärrade uppgifter hos en annan vårdenhet eller vårdprocess krävs att användaren gör ett aktivt val. Det innebär att användaren först ska bedöma om uppgifterna är nödvändiga för att han eller hon ska kunna fullgöra sina arbetsuppgifter. Därefter ska användaren göra ett aktivt val i journalsystemet för att bekräfta bedömningen. För att få ta del av spärrade uppgifter krävs i normalfallet ett samtycke från patienten. Om patienten inte kan samtycka och användaren bedömer att uppgifterna kan antas ha betydelse för vård som patienten oundgängligen behöver (det vill säga en nödsituation föreligger) får spärren brytas. Användaren ska bekräfta sin bedömning genom att göra ett aktivt val i systemet. Systemet skall vara uppbyggt på så sätt att befattningshavaren i steg ett får tillgång till information om vid vilken eller vid vilka vårdenheter eller vårdprocesser som det finns spärrade uppgifter. Befattningshavaren kan i detta skede endast se uppgiften vid vilken vårdenheter eller vårdprocesser som spärrar har gjorts, inte specifikt typ av behandling som spärrats hos annan vårdenhet eller inom annan vårdprocess. Steg två innebär att befattningshavaren, genom att denne kan se vid vilken eller vid vilka vårdenheter eller vårdprocesser uppgifter har spärrats, kan bedöma om det spärrade upp uppgifterna kan antas ha betydelse för vården av patienten. Endast uppgifter som kan antas ha en sådan betydelse får hävas (se bilaga 1). REGIONKANSLIET 12

13 5.2 Spärr för åtkomst utanför vårdenheten På begäran från en patient skall åtkomsten till patientens journaluppgifter spärras på så sätt att de inte görs tillgängliga för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos vårdgivaren, d v s spärrområdet blir vårdenhet eller vårdprocess ( flera berörda vårdenheter). Alla som arbetar innan för den spärrade vårdenheten ser uppgiften vid behov i en vårdrelation. När en patient begär spärr skall det finnas färdiga roller/grupper som de anställda är indelade i motsvarande verksamhetschefens ansvarsområde. Lägsta nivå för begäran av spärr av patient är vårdkontakt. En spärr följer med i sammanhållen journal. Vid sammanhållen journal mot annan vårdgivare se vidare i bilaga 2. Initialt har Vårdgivaren - att upprätta regiongemensam funktion för att hantera spärr på begäran av patient. Spärr sker då av verksamhetschefens ansvarsområde (organisation) som patient begär. Inom spärrområdet (vårdenheten) är informationen tillgänglig vid vård av patient. Alla utomstående verksamhetschefsområden är således spärrade. Lägsta nivå för spärr är vårdkontakt. - att tillse att förvaltningarna identifierar, uppdatera och leverera information om verksamhetschefers ansvarsområde (organisation) samt verksamhetschef eller motsvarande till personaladministrativt system/kiv. Detta möjliggör utarbetande av grupper eller motsvarande som motsvarar en verksamhetschefs ansvarsområde samt eventuell grupp för vårdprocess och då i relation till flera berörda verksamhetschefer. Koppling med de anställda inom verksamhetschefens ansvarsområde i KIV ska utarbetas. o Detta förutsätter regional enhetlig AID-kod för verksamhetschef eller motsvarande i personaladministrativt system/kiv. Verksamhetschefen - verkställer spärr inom sitt verksamhetsområde eller upprättar delegering för att verkställa spärr och meddelar till regiongemensam funktion (se Anvisning för verksamhetschef). Vårdsystem (se bilaga 1) - erhåller efter utveckling information från KIV gällande verksamhetschefens ansvarsområde (organisation) samt anställda inom verksamhetschefens ansvarsområde. Fram till dess bör respektive systemen innehålla verksamhetschefens organisatoriska ansvarsområde med dess anställda. - upprättar användargränssnitt om spärr i systemet till användaren. Detta kräver viss utveckling i befintliga system och ska ställas som funktionskrav vid ny upphandling. - systemet skall säkerställa aktiva val och användargränssnitt vid patientåtkomst, d v s den enskilde vårdanställde skall se och göra aktiva val för att få åtkomst till patientuppgifter. Detta kräver utveckling i befintliga system och ska ställas som funktionskrav vid ny upphandling. - vid s k inre spärr av vårdenhet skall aktivt val krävas som säkerställer att samtycke inhämtats eller att nödläge föreligger. Regionen bör planera för införande av BIF som använder sin samtyckestjänst för att hantera spärr. Vårdsystemen ansluter då till BIF samtyckestjänst. Innan utmönstring har skett av vårdsystem som inte kan ansluta sig till BIF krävs således två rutiner. Regiongemensam funktion utvecklas som funktion för att även hantera BIFsamtyckestjänst vid införandet. REGIONKANSLIET 13

14 5.3 Hävning av spärr - forcering Om patientuppgifterna har spärrats av en annan vårdenhet hos vårdgivaren, får dessa endast göras tillgängliga efter det att den behörige användaren gjort ett aktivt val efter ett inhämtat samtycke eller om förutsättningarna för nödåtkomst enligt patientdatalagen är uppfyllda. En spärr kan forceras av behörig befattningshavare, t ex sjuksköterska eller läkare, vid en annan vårdenhet eller vårdprocess. En förutsättning är att samtycke inte kan inhämtas, om förutsättningarna för nödåtkomst är uppfyllda såsom vid medvetslöshet eller medtagenhet. Information om att det finns spärrade uppgifter ska synas för anställd för att denna skall kunna initiera hävning av spärr. Detta är nödvändigt för patientsäkerheten. Inom regionens vårdgivarens - egen verksamhet - Spärren skall hävas om patienten samtycker till det. - Spärren skall hävas om samtycke inte kan inhämtas och informationen har betydelse för vård som patienten oundgängligen behöver - Spärren hävs av behörig befattningshavare hos vårdgivaren. Vid sammanhållen journalföring mot andra vårdgivare (se bilaga 2) - Om patienten begär det - Om fara för liv eller allvarlig risk för hälsa och patienten inte själv kan begära hävning av spärren och uppgifterna kan antas ha betydelse för vård som patienten oundgängligen behöver. - Spärren hävs av någon hos den vårdgivare som spärrat uppgiften, d v s den vårdpersonal som behöver ta del av de spärrade uppgifterna. Initialt har Vårdgivaren - att upprätta regiongemensam funktion för hantering av forcering av spärr på begäran (manuellt val) av behörig befattningshavare samt särskilt följa upp loggning av forcerad spärr med berörd verksamhetschef. o Kräver 24-timmars service. Verksamhetschefen - att ansvara för granskning av forcerad spärr snarast möjligt (behörighetstilldelande chef). - att verksställa borttag av spärr på begäran från patient eller vid särskild anledning eller upprättar delegering för att verkställa borttag av spärr. Vårdsystem (se bilaga 1) - Information om att det finns spärrade uppgifter ska synas för behörig befattningshavare för att denna skall kunna initiera hävning av spärr. Efter att aktivt val införts ska behörig befattningshavaren se var och bedöma ytterligare aktivt val för att få läsa informationen om behov föreligger i vårdrelationen. Detta är nödvändigt för patientsäkerheten. Detta kräver utveckling i befintliga system och ska ställas som funktionskrav vid ny upphandling. - Utvecklar möjlighet att forcera spärr med aktiva val vid allvarlig fara eller risk för patientens liv. Ett införande av BIF medför att samtyckestjänsten och systemens aktiva val hanterar spärr/forcering. REGIONKANSLIET 14

15 Vårdsystem - ansluter till BIF samtyckestjänst Samtyckestjänsten ska lagra samtyckesintyg hantera samtycken samt spärr och nödöppning söka, lista, gallra och kontrollera intyg intygen används för svar på samtycke/spärr 6 Loggning och spårbarhet Loggning skall finnas i alla patientdatasystem. Samordning sker av vårdgivaren. Patientdatalagen innehåller en uttrycklig bestämmelse om att vårdgivaren ska dokumentera elektronisk åtkomst till patientuppgifter, d v s föra behandlingshistorik (loggar). Syftet är att vårdgivaren systematiskt och återkommande ska kontrollera vilken åtkomst till patientuppgifterna som har skett och på så sätt kunna förebygga, konstatera och beivra otillåten åtkomst till uppgifter. Detsamma gäller vid åtkomst till patientuppgifter inom ramen för sammanhållen journalföring. Vårdgivaren skall dokumentera regelbunden och systematisk loggningskontroll i syftet att förebygga, konstatera och beivra otillåten eller obefogad åtkomst till uppgifter. Kravet på loggningskontroll avser åtkomst inom vårdgivarens inre sekretessområde och direktåtkomst vid sammanhållen journalföring. Kontrollen skall även omfatta hälso- och sjukvårdspersonal såväl som administrativ som teknisk personal. Den verksamhetschef som tilldelat behörighet för åtkomst ansvarar för loggningskontrollen. 6.1 Ansvar och innehåll Initialt har Vårdgivaren - att ansvara för att systematiskt och regelbunden loggningskontroll genomförs slumpmässigt av regiongemensam funktion varje månad. Genomförda loggningskontroller dokumenteras och loggarna sparas minst 10 år och omfattar även lagring av uppgifter rörande behörighetstilldelning. Verksamhetschefen - att ansvara för regelbunden uppföljning av informationssystemens användning genom regelbunden kontroll av loggar varje månad. En slumpmässig loggkontroll bör ske med cirka tio procent av verksamhetschefens behörighetstilldelande personer per månad. - att särskilt följa upp nödöppning av spärr. - att ha en än mer skärpt loggkontroll av behörigheter tilldelade på andra vårdenheter av känslig karaktär eller vid vård av patienter med offentligt intresse. Den verksamhetschef som tilldelat behörighet för åtkomst ansvarar för loggningskontrollen. Vårdsystem - Av loggarna skall framgå vilka åtgärder som vidtagits med patientuppgifterna, vilken vårdenhet som vidtagit aktiviteten/åtgärden och tidpunkten samt patientens och användarens identitet. - Ansvara för att aktiva val som innebär forcering av spärr särskilt signaleras för snarast för analys av logg. Detta kräver utveckling och ska ställas som funktionskrav vid upphandling. - Loggarna sparas minst 10 år och omfattar även lagring av uppgifter rörande behörighetstilldelning. REGIONKANSLIET 15

16 BIF införande för denna tjänst bör prioriteras av vårdgivaren då systematiskt och regelbunden loggningskontroll kan genomföras slumpmässigt och BIF analysverktyg kan leverera begärd analys. Införandet av BIF Vårdsystem - ansluter till BIF logg och logganalystjänst Loggtjänsten ska - ta emot och kontrollera loggar enligt lagkrav och fastställd lokal specifikation - ta emot loggar från IT-tjänst - registrera loggkategorier/typer - definiera innehåll - hantera buffertfunktion - utföra gallring och arkivering Logganalystjänsten ska - definiera logginformation - ha regelverk för automatisk analys - ha schemaläggning - ha manuell utsökning Loggtjänsten ska stötta verksamhetschefen i automatiskt genererade rapporter Detaljerade behov av loggar Vem (aktör) - HSA-ID Namn Personnummer AID Roll Legitimation - Vårdgivare - Vårdenhet - Syfte Vad - Patientuppgift Namn Personnummer alt. nummer Vårdenhet Vårdprocess - Vårddokumentation Typ av dokumentation Vårdenhet Vårdprocess När - Datum - Klockslag in och ut Hur (aktivitet) - Läsa REGIONKANSLIET 16

17 - Skriva - Ändra - Kopiera - Signera Var - IT-tjänst - Nätverk (IP-adress) - Arbetsstation (Mac-adress) VEM Aktör Person HSA-ID Namn Personnummer Legitimation AID/Roll Vårdenhet Myndighet Vårdgivare Namn Personnummer VAD Patient Info-typ Vårdenhet Myndighet Vårdgivare Vårddoktyp Informationstyp LOGG NÄR Datum Vårdenhet Myndighet Vårdgiva- Klockslag HUR Läsa Skriva/ändra Kopiera Signera Bild 8 Logginnehåll VAR IT-tjänst Nätverk Arbetsstation Analys Manuella och automatiska rapporter ska kunna skapas utifrån alla de parametrar som beskrivs i de detaljerade behoven. Exempel rapporter som genereras automatiskt bör vara - Vilka patientuppgifter en aktör har läst under en period. - Vilka aktörer som har läst vårddokumentation om en patient. 6.2 Gemensamma arbetsstationer I sjukvården finns tillfällen där fler användare tar del av information från samma skärm såsom vid exempelvis ronder eller operationsövervakning. Vid gemensamma arbetsstationer får inte gruppbehörighet till vårdsystem tillåtas utan kräver en rutin som innebär att den som loggar in ansvarar för vem som får ta del av informationen. 6.3 Patientens rätt till information om logg Vårdgivaren har skyldighet att på patientens begäran lämna ut loggningsuppgifter. En patient har rätt att på begäran få information om den åtkomst till uppgifter om honom eller henne REGIONKANSLIET 17

18 som förekommit. Patienten har alltså rätt att ta del av loggen avseende åtkomsten till den egna journalen. Dessa uppgifter skall vara så tydligt utformade så att patienten kan bedöma om åtkomsten till journaluppgifterna varit befogade eller inte. Vidare, skall loggningsinformationen innehålla uppgift om vårdenhet och tidpunkt då någon tagit del av journaluppgifter. Offentliga vårdgivare skall om patienten begär utlämna namnen på de personer som varit inloggade efter sekretessprövning i enlighet med Tryckfrihetsförordningen och Sekretesslagen. Regiongemensam funktion har i samråd med berörd verksamhetschef och personuppgiftsombud - vårdgivarens uppdrag att lämna information till patient om loggen avseende åtkomsten till den egna journalen. - att försäkra sig om att rätt person tar emot uppgifterna. Rutiner för och information om vart och hur logg kan inhämtas på begäran från patient ska vara känt för personalen. Vårdgivaren har att upprätta informationsmaterial till verksamhet och patient för att delge patient vid begäran. 7 Prioritering 7.1 Prioritering system 1. KIV/ HR (personaladministrativt system) Journalsystem; Melior Journal III Medidoc Obstetrix T 4 2. Läkemedelslista Bild och funktionsregister BFR 3. Patientadministrativa system 7.2Prioritering av införande och anslutning till BIF-tjänsterna 1. Samtyckestjänst (för att klara hantering av spärr, allt som har ett HSA-ID kan spärras) 2. Loggtjänst (en generell logghantering ökar spårbarheten) 3. Logganalys (förenklar granskningen av händelser i vårdinformationssytemen) 4. Autentiseringtjänst, (klarar stark autentisering av användare) 5. Åtkomstkontroll (en behörighetshantering som ökar säkerhet och administration) 6. Säker patientkontext (minskar användaren möjlighet till felregistrering) 7. Notifiering (möjlighet att meddela andra aktörer) 8. Utlämnadetjänst (där det inte finns sammanhållen journal eller där det inte är applicerbart) 9. Vårdrelation Aktiva val samt användargränssnitt ska utvecklas i systemen i samverkan med leverantör och andra landsting som har samma leverantör och betraktas inte enkom som en regional utveckling. Ansvaret för lokala system ligger på enskild förvaltning att anpassa till beslutade villkor och regler. Krav på nya system ska omfatta och uppfylla regionens beslutade villkor samt regler med hänvisning till lag och föreskrift. REGIONKANSLIET 18

19 8 Definition av begrepp Vårdgivare Regionen är vårdgivare enligt lagens definition. Med detta följer bl a ett ansvar att bestämma övergripande villkor för tilldelning av behörigheter till journalsystemen. Personuppgiftsansvarig I regionen är de olika nämnderna/styrelserna personuppgiftsansvariga myndigheter. De ansvarar enligt personuppgiftslagen för att personuppgifter behandlas på ett lagenligt sätt samt att nödvändiga säkerhetsåtgärder finns till skydd för personuppgifterna. De utser personuppgiftsombud som har till uppgift bl a att se till att uppgifterna behandlas på ett lagligt och korrekt sätt. Detta gäller även för nationella och regionala kvalitetsregister. Personuppgiftsombud Personuppgiftsombudet har i uppgift att se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt. Personuppgiftsombudet ska påpeka eventuella brister och risker med informationshanteringen till berörd nämnd eller styrelse. Datainspektionen är tillsynsmyndighet när det gäller behandling av personuppgifter. Personuppgiftsombudet ska anmäla missförhållanden, som efter påpekande inte har åtgärdats, till Datainspektionen. Myndighet De olika nämnderna och styrelserna som utsetts av regionfullmäktige utgör egna myndigheter. Direktåtkomst Med direktåtkomst menas elektronisk åtkomst till personuppgifter från/till en mottagare utanför en vårdgivares organisation. Med begreppet avses även elektronisk åtkomst från en hälso- och sjukvårdsmyndighet inom ett landsting till en annan sådan myndighet i samma landsting. Bestämmelserna om direktåtkomst skall alltså tillämpas mellan de olika sjukhusen i regionen eftersom dessa tillhör olika myndigheters organisationer. I lagen anges uttryckligen att sådan direktåtkomst är tillåten. Patientjournal Med detta avses en eller flera journalhandlingar som rör samma patient. Sammanhållen journalföring Med detta avses ett elektroniskt system som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare. Det betyder att reglerna om sammanhållen journalföring skall tillämpas vid elektroniskt utbyte av patientinformation mellan en enhet hos Västra Götalandsregionen och en enhet hos ett annat landsting eller hos en kommun. Reglerna gäller också mellan en verksamhet hos regionen och en privat vårdgivare. Detta gäller oavsett om vårdavtal finns. Bestämmelserna om sammanhållen journalföring ger också möjlighet till att vissa delar av patientens vårddokumentation - med stöd av informerat tyst samtycke från patienten ( samtycke 1 ) - förs över till en gemensam och centralt administrerad databas till vilken andra vårdgivare är anslutna. De andra vårdgivarna kan sedan med stöd av förnyat samtycke ( samtycke 2 ) ta del av informationen. Samtycke 1 (passivt) Patienten informeras om vad sammanhållen journalföring innebär och att hon eller han kan motsätta sig att uppgifter blir åtkomliga för andra vårdgivare. Det gäller dock inte uppgiften om var det finns uppgifter om patienten. Om patienten inte meddelar att hon eller han motsätter sig den sammanhållna journalföringen får den tillämpas. REGIONKANSLIET 19

20 Samtycke 2 (aktivt) Med detta avses det samtycke som patienten måste lämna för att den andra vårdgivaren skall få ta del av uppgifterna. Inre sekretess Genom ett tillägg till 7 kap 1c sekretesslagen utökas området för inre sekretess till samtliga vårdenheter som ingår i Västra Götalandsregionen. Privata vårdgivare och gemensamma nämnder ligger utanför. Vid inre sekretess görs ingen sekretessprövning enligt sekretesslagen men patientuppgifter får inte spridas hur som helst inom området för inre sekretess. Endast den som deltar i vården av en patient eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården, får ta del av informationen om patienten. Tilldelningen av behörigheter skall ske enligt samma princip. Spärrar på patientens begäran Inom regionens verksamhet: Journaluppgifter hos en enhet eller inom en process får om patienten begär det - inte göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan enhet eller inom en annan process. Utanför regionens verksamhet (inom sammanhållen journalföring): Patientuppgifter får inte vara tillgängliga för andra vårdgivare (se definition av sammanhållen journalföring). Behörig befattningshavare med rätt att häva/forcera inre spärr Den som har rätt till åtkomst till vårddokumentation enligt 2 kap 4 PDL. Vårdenhet Lagen definierar inte begreppet. Gränsen för en vårdenhet i det här sammanhanget får av vårdgivaren bestämmas på ett praktiskt och rimligt sätt så att verksamheten inte tyngs av onödig administration (prop. sid. 241). Med vårdenhet avser VGR en verksamhetschefs eller motsvarande organisatoriska ansvarsområde. Definition i Socialstyrelsens termbank - vårdenhet är en organisatorisk enhet som tillhandahåller hälso- och sjukvård. PDLiP (nationellt projekt Patientdatalagen i praktiken) definierar en organisatorisk enhet som leds av en verksamhetschef eller motsvarande som vårdenhet. Vårdprocess Med vårdprocess avser VGR ansvarsområdet för processägare eller motsvarande. En vårdprocess berör en till flera organisatoriska vårdenheter och en behörighet/spärr utgör således en eller flera vårdenheter. Definition i Socialstyrelsens termbank - Vårdprocess utgör en följd av aktiviteter eller åtgärder, som utförs för en patient, avseende ett visst hälsoproblem, mellan inkommen vårdbegäran och avslag av vårdbegäran eller avslut av vårdåtagande. PDLiP menar att vårdprocesser ska vara på förhand definierade av vårdgivaren. De vårdgivare som avser att nyttja vårdprocesser måste definiera dessa, då de påverkar behörighetssystem och spärrar. En vårdprocess sker alltid inom en vårdgivare. Vårdprocesser som går över vårdgivargränser kan inte spärras och i patientdatalagens mening går därför inte vårdprocesser över vårdgivargränser. REGIONKANSLIET 20

21 Referenser 1. Patientdatalagen 2008: SOSFS 2008:14 3. Socialstyrelsens Handbok 4. ett stöd för vårdgivare, verksamhetschefer, medicinskt ansvariga sjuksköterskor och hälso- och sjukvårdspersonal som ska tillämpa Socialstyrelsens föreskrifter (2008:14) om informationshantering och journalföring i hälso- och sjukvården 5. Sveriges kommuner och landsting; Patientdatalagen i praktiken - PDLip slutrapport 6. Sveriges Kommuner och landsting cirkulär 08:55 7. RSK , 17 juni 2008 REGIONKANSLIET 21

22 Inom vårdgivaren (bilder U.Palmgren SLL/PDLip) Bilaga 1 REGIONKANSLIET 22

23 REGIONKANSLIET 23

24 Sammanhållen journalföring (bilder U.Palmgren SLL/PDLip) Bilaga 2 Krav på funktioner vid sammanhållen journalföring Aktiva val vid direktåtkomst Spärrfunktion vid nej till sammanhållen journalföring Tillfällig eller permanent hävning av spärr Samtyckeshantering REGIONKANSLIET 24