1. Bakgrund och frågeställningar

Storlek: px
Starta visningen från sidan:

Download "1. Bakgrund och frågeställningar"

Transkript

1 132830, 2 PM Till: Från: Inera AB Kent Sangmyr och Charlene Holmström Datum: 4 november 2012 Angående: Juridisk slutrapport 1. Bakgrund och frågeställningar Vi har av Inera AB ( Inera ) fått i uppdrag att granska och utreda de legala aspekterna av projektet Mina intyg. Syftet har varit att undersöka om projektet ryms inom ramarna för gällande rätt samt identifiera de juridiska frågeställningar som kräver närmare utredning för projektets utformning och genomförande. Målsättningen med projektet är att upprätta en teknisk struktur som möjliggör för vårdgivare att skapa elektroniska sjukintyg som lagras centralt i en lagringstjänst ( Intygstjänsten ); varifrån invånaren ska kunna få tillgång till dessa via Webbtjänsten Mina intyg. Webbtjänsten förses med stark autentisering i form av e-legitimation och Webbtjänsten kommer att vara snarlik portaler som Mina vårdkontakter eller Invånaren ska via Webbtjänsten kunna styra vem som ska få tillgång till dennes intyg och när detta ska ske. Lagringen av intyg sker i Intygstjänsten, förvaltad av en extern aktör (förslagsvis Inera), på uppdrag av vårdgivaren utan invånarens samtycke. Vårdgivaren skriver personuppgiftsbiträdesavtal med den externa aktören. Samtliga intyg som utfärdas inom vården lagras i Intygstjänsten oavsett om dessa skickas vidare av invånaren eller inte. När en läkare utfärdar ett läkarintyg sparas det ner i vårdgivarens journalsystem samtidigt som en kopia lagras i Intygstjänsten. Intygen i Intygstjänsten skickas inte vidare eller används utan invånarens samtycke eller aktiva agerande. Som ett led i moderniseringen av hanteringen av läkarintyg har man i projektet också velat ta fram och utforma ett särskilt arbetsgivarintyg, som ska skickas till arbetsgivaren vid en anställds sjukfrånvaro. Den juridiska utredningen har haft att utröna i vilken omfattning Försäkringskassans befintliga läkarintyg SK 7263 kan återanvändas för ett arbetsgivarintyg samt vilken information en arbetsgivare har rätt att kräva vid en arbetstagares sjukfrånvaro. Utöver Intygstjänsten ska Inera utveckla en tjänst för sammanställning av statistik ( Statistiktjänst ). Inera ska utifrån de läkarintyg som lagras i Intygstjänsten kunna hämta och sammanställa information och statistik över sjukskrivningar utifrån bl.a. sjukdom, ålder, kön, ort etc. Syftet är bl.a. att effektivisera vården och förbättra sjukskrivningsprocessen. Utgångspunkten är att all information som samlas in och sammanställs ska avidentifieras. All personrelaterad data är borttaget så att informationen och statistiken inte ska gå att spåra till en enskild individ. Textfält som kan innehålla uppgifter om patienten används inte. Borttagen persondata ersätts t.ex. med egenskaper som Kvinna, 49 år.

2 Med Statistiktjänsten ska vården kunna följa upp kvaliteten i utfärdade elektroniska läkarintyg för att: Se sjukskrivningsmönster över tid och olika delar av landet. Möjliggöra uppföljning på flera nivåer: - enskild läkarnivå, - vårdgivarnivå, - nationell nivå. Vi har fått i uppdrag att utifrån de ovan nämnda utgångspunkterna identifiera vilka juridiska frågeställningar avseende projektets utformning som kräver närmare utredning. Den juridiska utredningen har framförallt kretsat kring Intygstjänsten, Statistiktjänsten samt utformningen av ett arbetsgivarintyg vid sjukfrånvaro. Vi har med utgångspunkt i detta identifierat följande frågeställningar. Intygstjänsten 1. Vem ansvarar för patienters personuppgifter vid lagring av läkarintyg? 2. Är läkarintyg en journalhandling? 3. Vem äger en patientjournal? 4. Vilka säkerhetskrav ska iakttas enligt Patientdatalagen (2008:355) (PDL) och Personuppgiftslagen (1998:294) (PUL) vid lagring av personuppgifter via ITlösningar? 5. Vilket ansvar åvilar vården vid anlitandet av en extern aktör för hantering av patienters personuppgifter? 6. Är det tillräckligt att vårdgivare upprättar personuppgiftsbiträdesavtal med de aktörer som ska förvalta Intygstjänsten? 7. Måste patienten lämna sitt samtycke vid lagring och hur ska i sådana fall samtycket vara utformat? 8. Finns det tillfällen då ett lämnat samtycke inte kan anses vara giltigt? 9. Hur lång tid får läkarintyg lagras i Intygstjänsten enligt PDL och PUL? 10. Finns det begränsningar för överföring av läkarintyg från Intygstjänsten? 11. Föreligger det några hinder, innan eller efter patienten tagit del av informationen, för vårdgivare att gå in i Intygstjänsten och rätta läkarintyg som blivit felaktiga? 2 / 32

3 12. Ska sekretessprövning enligt Offentlighet- och sekretesslagen (2009:400) (OSL) ske vid all överföring av läkarintyg? 13. Måste en sekretessprövning enligt OSL göras för att patienten ska kunna få ta del av sina egna läkarintyg via Mina intyg? 14. Krävs sekretessförbehåll vid överföring av läkarintyg till exempelvis Försäkringskassan, andra myndigheter eller privata aktörer? 15. Hur ska spärrade patientuppgifter behandlas i Intygstjänsten? 16. Hur ska skyddade personuppgifter hanteras i Intygstjänsten? 17. Vad är arbetstagaren enligt Socialförsäkringsbalken (2010:110) och lagen (1991:1047) om sjuklön skyldig att uppge i ett läkarintyg för beviljande av sjuklön? 18. I vilken omfattning kan Försäkringskassans läkarintyg SK 7263 återanvändas vid utformningen av ett arbetsgivarintyg? Statistiktjänsten 1. I vilken omfattning och under vilka förutsättningar kan känsliga personuppgifter såsom läkarintyg används för sammanställning av statistik? 2. Krävs samtycke från invånaren för att samla in personuppgifter för statistiska ändamål? 3. Vilken nivå av avidentifiering krävs enligt lag för statistiska ändamål? 4. Finns det några begräsningar för hur avidentifierade uppgifter får behandlas för statistiska ändamål? Var går gränsen för urval med beaktande av risken för möjlighet att identifiera enskilda personer vid för litet urval? 5. Under vilka förutsättningar kan vårdgivare följa upp avidentifierad information utifrån statistiska underlag (d.v.s. är det möjligt att koppla statistik till enskilda vårdgivare/ ärenden/ patienter)? 6. Finns det särskilda behörighetskrav som måste uppställas för användningen av Statistiktjänsten? 3 / 32

4 2. Nuläge juridiska utredningar och status i förhållande till behov av ändringar i gällande lagstiftning Advokatfirman Delphi har på uppdrag av Inera genomfört juridiska utredningar enligt nedan och kommit fram till att Intygstjänsten respektive Statistiktjänsten kan utformas på så sätt att inga konflikter med gällande lagstiftning uppstår. Efter samråd med Datainspektionen den 24 september 2012 kan vi emellertid konstatera att det finns behov av ändringar i lagstiftningen avseende samkörning av personuppgifter för att Statistiktjänsten ska kunna fungera i enlighet med de behov och önskemål som finns inom vården, se nedan p Härutöver vill vi understryka att det i övrigt under projektets fortsatta gång kan dyka upp ytterligare juridiska frågeställningar som kräver utredningsarbete. Vi vill därmed reservera oss för att vi under det fortsatta utredningsarbetet kan stöta på spörsmål i projektet som kan vara i konflikt med gällande rätt och därmed kräva ändring i lagstiftning för att kunna genomföras. Vi bedömer emellertid i nuläget att risken för sådana konflikter är relativt låg. 3. Övergripande utgångspunkter för den juridiska utredningen Enligt 5 kap. 5 PDL får vårdgivaren medge en invånare direktåtkomst till delar av eller hela sin patientjournal via internet. Bestämmelsen innebär enbart att vårdgivaren får erbjuda detta, däremot föreligger det ingen skyldighet för vårdgivaren att bevilja enskilda åtkomst. I förevarande fall ska enskilda beviljas åtkomst till delar av sin patientjournal, närmare bestämt läkarintyg. Läkarintyg innehåller uppgifter om enskilda personer och deras hälsa. Behandling av personuppgifter regleras i såväl PUL som i PDL. De generella bestämmelserna om behandling av personuppgifter finns i PUL medan PDL innehåller särskilda bestämmelser om behandling av personuppgifter inom hälso- och sjukvården. Om det finns andra bestämmelser, utöver de i PUL, som reglerar bevarande av personuppgifter ska dessa bestämmelser tillämpas. Således ska PUL och PDL tillämpas parallellt vid hantering av läkarintyg. Enligt PUL utgör uppgifter om hälsa s.k. känsliga uppgifter och får normalt enbart behandlas om den enskilde har lämnat sitt uttryckliga samtycke till behandlingen eller om uppgifterna ska behandlas för hälso- och sjukvårds ändamål och behandlingen är nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård. Känsliga personuppgifter får även, utan den enskildes samtycke, behandlas för statistiska ändamål förutsatt att behandlingen är nödvändig och att samhällsintresset av behandlingen klart väger över riskerna för otillbörligt intrång i den personliga integriteten. Av förarbetena till PDL framgår att personuppgifter som primärt samlas in därför att de behövs för vårddokumentationen i hälso- och sjukvården också får lov att användas för statistiskt underlag i form av exempelvis utvärdering eller verksamhetsuppföljning på ett mer eller mindre övergripande plan inom en vårdgivares verksamhet även utan samtycke från den enskilde. Det är dock inte tillåtet att basera verksamhetsuppföljningen på personuppgifter, som direkt eller indirekt kan hänföras till en enskild person, om det är tillräckligt att 4 / 32

5 avidentifierade uppgifter används istället. Utgångspunkten är således att personuppgifter som behövs för statistiska ändamål, utvärdering, uppföljning etc. ska behandlas avidentifierat. I PDL och Socialstyrelsens föreskrifter finns särskilda bestämmelser om hur känsliga personuppgifter om patienter får hanteras. Enligt bestämmelserna ska vårdgivare vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas inom hälso- och sjukvården. Om vårdgivaren använder öppna nät för att hantera personuppgifter, ska vårdgivaren ansvara för att det finns rutiner som säkerställer att överföring av personuppgifter görs på ett sådant sätt att ingen obehörig kan ta del av uppgifterna. Detta görs lämpligen med hjälp av kryptering och stark autentisering. För all hantering av personuppgifter ska det vidare finnas en personuppgiftsansvarig som är ytterst ansvarig för behandlingen. Personuppgiftsansvarig är normalt den juridiska person eller den myndighet som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad uppgifterna ska användas till. Enligt 6 PDL är det vårdgivaren, d.v.s. den som utför hälso- och sjukvårdsbehandling, som är personuppgiftsansvarig för de uppgifter denne behandlar i sin verksamhet. Utöver personuppgiftsansvarig kan det också förekomma s.k. personuppgiftsbiträden som behandlar personuppgifter för den personuppgiftsansvariges räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation. Biträdet kan exempelvis vara en servicebyrå eller ett företag som behandlar personuppgifter på uppdrag av den personuppgiftsansvarige. Om den personuppgiftsansvarige anlitar ett personuppgiftsbiträde för någon del av personuppgiftshanteringen krävs ett s.k. personuppgiftsbiträdesavtal. I avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet bara får behandla personuppgifterna i enlighet med instruktioner och riktlinjer från den personuppgiftsansvarige och att biträdet måste vidta de säkerhetsåtgärder som behövs för att skydda uppgifterna. Biträdet har därmed inte möjlighet att själv bestämma för vilka ändamål personuppgifterna ska behandlas. Vid behandling av personuppgifter är personuppgiftsansvarig skyldig att informera den enskilde om den behandling som sker. Informationen ska innehålla uppgifter om personuppgiftsansvarig och eventuella biträden, ändamålen med den behandling för vilka uppgifterna är avsedda och all ytterligare information som är nödvändig för att den enskilde ska kunna ta till vara sina rättigheter i samband med behandlingen. 4. Intygstjänsten 4.1 Vem ansvarar för patienters personuppgifter vid lagring av intyg i Intygstjänsten? Enligt 6 PDL är vårdgivaren, d.v.s. den som utför hälso- och sjukvårdsbehandling, personuppgiftsansvarig för de uppgifter denne behandlar i sin verksamhet. I förevarande fall är det således respektive vårdgivare som är primärt ansvarig för personuppgifterna. 5 / 32

6 Utöver personuppgiftsansvarig kan det också förekomma s.k. personuppgiftsbiträden som behandlar personuppgifter för den personuppgiftsansvariges räkning. I förevarande fall utgör den externa aktör som ska förvalta Intygstjänsten ett personuppgiftsbiträde. Respektive vårdgivare har att upprätta skriftliga personuppgiftsbiträdesavtal med det tilltänkta personuppgiftsbiträdet. När vårdgivaren anlitar ett personuppgiftsbiträde, ska vårdgivaren förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna. Det är viktigt att notera att även om vårdgivaren anlitar ett personuppgiftsbiträde är det alltid vårdgivaren själv som bär det yttersta ansvaret gentemot invånarna. Personuppgiftsansvaret kan således inte överlåtas. De personer vars uppgifter behandlas har alltid rätt att vända sig till vårdgivaren och framställa eventuella krav eller klagomål på felaktig behandling av personuppgifter. 4.2 Lagring av läkarintyg i Intygstjänsten Är läkarintyg en journalhandling? Med journalhandling enligt PDL avses en framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel och som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder. Till patientjournalen hör även alla de dokument, intyg, rapporter m.m. som kommer in till den aktuella sjukvårdsenheten eller som upprättas där. Eftersom PDL är teknikneutral saknar det betydelse vilket medium en patientuppgift upptagits på för att informationen ska kunna ingå i patientjournalen. Med journalhandling avses följaktligen inte bara anteckningar som förs vid läkarbesök på papper eller i elektroniskt format utan även röntgenbilder, labbsvar, diktafonupptagningar m.m. Med beaktande av vad som sagts ovan ska intyg i alla dess former, inklusive läkarintyg, anses utgöra en journalhandling enligt PDL Vem äger en patientjournal? Varken PDL eller annan lagstiftning innehåller några specifika bestämmelser om vem som äger journalhandlingar. Däremot bär vårdgivare enligt PDL och Socialstyrelsens föreskrifter om informationshantering och journalföring i hälso- och sjukvården (SOSFS 2008:14) det yttersta ansvaret för hanteringen av patientjournaler. Eftersom vårdgivare ålagts en skyldighet för journalers upprättande och hantering torde det också vara vårdgivarna som äger rätten att förfoga över dessa. 6 / 32

7 4.2.3 Hur lång tid får intyg lagras i Intygstjänsten? Enligt PUL ska personuppgifter inte bevaras längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Endast personuppgifter som bevaras för historiska, statistiska eller vetenskapliga ändamål får bevaras under längre tid. Uppgifterna får emellertid inte bevaras längre än vad som behövs för dessa ändamål. Följaktligen är det ändamålet, det vill säga anledningen till att personuppgifterna behandlas, som avgör hur länge uppgifterna får bevaras. Enligt PDL ska en journalhandling bevaras minst tio år efter det att den sista uppgiften fördes in i handlingen. I enlighet med PUL och PDL ska intygen i Intygstjänsten följaktligen lagras i minst tio år och därefter inte längre än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Eftersom vårdgivaren bestämmer för vilket ändamål uppgifterna behandlas har vårdgivaren i stor utsträckning möjlighet att påverka hur lång tid uppgifterna kan lagras. Noteras bör att PDL endast uppställer ett minimikrav och att det i flera fall kan finnas anledning att bevara journalhandlingar längre än tio år. Förutsatt att vårdgivaren formulerar ändamålen med behandlingen på så vis att lagring av intyg är nödvändig även efter det att minimikravet om tio år passerat ser vi inga hinder för att intyg lagras längre än tio år i Intygstjänsten Föreligger det några hinder, innan eller efter patienten tagit del av informationen, för vårdgivare att gå in i Intygstjänsten och rätta/gallra/ spärra eller blockera läkarintyg som blivit felaktiga? Enligt PUL har den personuppgiftsansvarige en skyldighet att se till att de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella. Vidare ska den personuppgiftsansvarige se till att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Den personuppgiftsansvarige måste således självmant vara aktiv för att se till att behandlade uppgifter är korrekta. Det ska även påpekas att den personuppgiftsansvarige på patients begäran är skyldig att snarast rätta, blockera eller utplåna felaktiga personuppgifter. Även om PUL stadgar en skyldighet för personuppgiftsansvarig att blockera eller förstöra felaktiga personuppgifter följer det av 8 kap. 3-4 PDL att uppgifter i en journalhandling endast efter beslut från Socialstyrelsen får utplånas eller göras oläsliga. I alla andra fall ska enbart rättelse göras. Det är härvid utan betydelse huruvida patienten tagit del av informationen ännu eller ej. Vid rättelse av en felaktighet ska det anges när rättelsen har skett och vem som har gjort den. Om en felaktig uppgift rättas ska både den felaktiga och den rättade uppgiften finnas i journalen. Samtliga journalhandlingar ska bevaras i tio år i enlighet med PDL, även om uppgifterna är felaktiga. Någon möjlighet att gallra den felaktiga uppgiften finns således inte. Vårdgivaren bör emellertid kunna begränsa patientens tillgång till felaktiga intyg med beaktande av att vårdgivaren inte per se har någon skyldighet att tillhandahålla enskilda direktåtkomst till journalhandlingar, se 5 kap 5 PDL. I de fall vårdgivaren väljer att 7 / 32

8 begränsa patientens åtkomst till journalhandlingar ska patienten informeras om att ett urval har skett samt grunderna för detta Arkivlagen Utöver vad som sagts ovan bör noteras att även Arkivlagen (1990:782) reglerar hantering av journalhandlingar. Allmänna vårdgivare, t.ex. landstingen och kommunerna, är enligt lagen skyldiga att följa särskilda bestämmelser angående arkivering av allmänna handlingar. Eftersom intyg och kopior av intyg upprättas i vårdgivarens verksamhet utgör intyg och kopior av intyg allmänna handlingar som ska ingå i offentliga vårdgivares arkiv. Arkivlagen stadgar att myndigheters arkiv är en del av det nationella kulturarvet varför de ska bevaras, hållas ordnade och vårdas så att de tillgodoser (1) rätten att ta del av allmänna handlingar; (2) behovet av information för rättskipningen och förvaltningen; samt (3) forskningens behov. Arkivlagen stadgar att allmänna handlingar får gallras, dock under förutsättning att det arkivmaterial som återstår ska kunna tillgodose de tre ändamål som angetts ovan. Utgångspunkten är således att allmänna handlingar ska bevaras men de får gallras efter att handlingarnas värde har utretts med hänsyn till ändamålen med myndigheternas arkiv. Om vård bedrivs i bolag, förening eller stiftelse som kommuner och landsting utövar ett rättsligt bestämmande inflytande över gäller arkivlagens bestämmelser även för dessa. Däremot gäller inte arkivlagen för privata vårdgivare eftersom de varken utgör myndigheter eller anges speciellt som organ omfattandes av arkivlagens regler. Det ska dock påpekas att en privat vårdgivare som övertagit allmänna handlingar från en myndighet med stöd av lagen (1994:1383) om överlämnande av allmänna handlingar till andra organ än myndigheter för förvaring också har att följa arkivlagen i tillämpliga delar Slutsats - lagring av läkarintyg i Intygstjänsten Eftersom läkarintyg utgör journalhandlingar samt innehåller personuppgifter om invånare ska såväl PUL som PDL tillämpas vid lagring av läkarintyg. I enlighet med lag ska intygen i Intygstjänsten lagras i minst tio år och därefter inte längre än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Eftersom vårdgivaren bestämmer för vilket ändamål uppgifterna behandlas har vårdgivaren i stor utsträckning möjlighet att påverka hur lång tid uppgifterna kan lagras. Förutsatt att vårdgivaren formulerar ändamålen med behandlingen på så vis att lagring av intyg är nödvändig även efter det att minimikravet om tio år passerat ser vi inga hinder för att intyg lagras längre än tio år i Intygstjänsten. Vårdgivaren har dock inte rätt att gallra eller makulera felaktiga intyg i Intygstjänsten. Vid eventuella felaktigheter ska rättelse ske varefter både det rättade och det felaktiga intyget ska bevaras i enlighet med PDL. Det torde emellertid inte föreligga några hinder för vårdgivaren att begränsa patienters tillgång till felaktiga intyg eftersom vårgivaren ytterst bestämmer i vilken omfattning patienter ska ha rätt till elektronisk åtkomst av journalhandlingar. 8 / 32

9 4.3 Vilka säkerhetskrav ska iakttas enligt PUL och PDL vid lagring av personuppgifter via IT-lösningar? I PDL och Socialstyrelsens föreskrifter om journalföring och informationssäkerhet (2008:14) finns bestämmelser om hur personuppgifter om patienter får hanteras. Enligt bestämmelserna ska en vårdgivare vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas inom hälso- och sjukvården. Av detta följer att känsliga personuppgifter ska vid överföring via öppet nät förses med lämpliga säkerhetsåtgärder. Nivån på säkerheten ska anpassas till: vilka integritetsrisker behandlingen medför, hur känsliga de behandlade personuppgifterna är, vilka tekniska möjligheter som finns och vad det kostar att genomföra åtgärderna. Känsligheten hos de personuppgifter som behandlas beror på flera faktorer och måste alltid bedömas särskilt. Beskaffenheten av de uppgifter som behandlas har stor betydelse men även mängden av uppgifter om varje person måste beaktas eftersom mängden avgör hur detaljerad bild av en enskild individ som kan erhållas. En särskild riskfaktor som bör beaktas är antalet personer som uppgifterna avser. När vårdgivare hanterar uppgifter om ett stort antal personer torde risken för omfattande skador till följd av ett säkerhetsangrepp vara större och säkerhetsåtgärderna planeras därefter. Uppgifternas art, mängd och omfattning är alltså av stor betydelse för vilken säkerhet som bör iakttas. Om känsliga uppgifter behandlas ställs generellt högre krav på säkerheten. Enligt Socialstyrelsens föreskrifter ska vårdgivaren vidare ansvara för att det i verksamhetens ledningssystem för kvalitet och patientsäkerhet finns en dokumenterad informationssäkerhetspolicy. Alla vårdgivare ska ha en informationssäkerhetspolicy, även de som inte dokumenterar patientuppgifter elektroniskt. I policyn ska organisationens säkerhetsstrategi, ansvarsfördelning och övergripande mål för säkerheten redovisas. Policyn ska säkerställa att personuppgifter i vårdgivarens system är åtkomliga och användbara för den som är behörig (tillgänglighet), personuppgifterna är riktiga (riktighet), obehöriga inte ska kunna ta del av personuppgifterna (sekretess/behörighetskontroll), och det i sådana informationssystem som är helt eller delvis automatiserade är möjligt att i efterhand entydigt kunna härleda och spåra åtgärder till en identifierad användare (spårbarhet) Behörighetskontroll Enligt bestämmelserna i såväl PDL som i Socialstyrelsens föreskrifter ansvarar vårdgivaren för att det finns rutiner som säkerställer att personuppgifter överförs så att ingen obehörig kan ta del av uppgifterna. Om vårdgivaren använder öppna nät, exempelvis internet eller Sjunet, 9 / 32

10 för att hantera personuppgifter, ska i regel kryptering och stark autentisering användas; särskilt när det kommer till känsliga personuppgifter enligt 13 PUL. Känsliga personuppgifter får endast lämnas ut via öppna nät till identifierade användare vars identitet är säkerställd med en teknisk funktion som kryptering, engångslösenord eller motsvarande. I dessa fall räcker det inte med exempelvis användarnamn och lösenord eller pinkod som metod för autentisering. För att en behörig användare ska få tillgång till personuppgifter via öppna nät måste vårdgivaren följaktligen kräva en s.k. stark autentisering. Det innebär att vårdgivaren använder inloggningslösningar som ställer krav på att identiteten kontrolleras på minst två olika sätt, s.k. tvåfaktorsinloggning. En etablerad metod för autentisering är att använda en e-legitimation. Det är ett certifikat som man antingen sparar på sin dator (certifikat på fil), på ett smartkort eller i en mobiltelefon. Med hjälp av certifikatet och det tillhörande lösenordet skapas förutsättningar för stark autentisering. Kravet på stark autentisering gäller både för vårdgivarens åtkomst till personuppgifterna och för patienternas direktåtkomst till sina egna journalhandlingar, se 2 kap. 5 och 13 SOSFS 2008:14. I praktiken innebär det ovansagda bl.a. att all överföring av personuppgifter i öppna nät ska ske genom en krypterad förbindelse eller genom att uppgifterna krypteras. En vedertagen krypteringsmetod för att kryptera förbindelser är SSL (Secure Sockets Layer) som används för att kryptera kommunikationen mellan två punkter som använder Internets infrastruktur. SSL kan utnyttja 128-bitars kryptering, vilken i dagsläget är accepterad som en tillräcklig skyddsnivå. Dagens teknikutveckling medför emellertid att krypteringslösningar ständigt måste förbättras för att minimera risken för obehörig åtkomst Spårbarhet En vårdgivare ska enligt 4 kap. 3 PDL se till att all elektronisk åtkomst till personuppgifter dokumenteras så att de kan kontrolleras i efterhand. För att kunna kontrollera vilka som har haft tillgång till personuppgifterna bör det finnas en behandlingshistorik, s.k. logg. Hur loggen ska utformas beror på hur känsliga personuppgifterna är. Normalt ska den vara så detaljerad att den kan användas för att utreda om personuppgifter har använts felaktigt eller obehörigt. Om personuppgifterna är känsliga ska loggen visa användaridentitet, tidpunkt och vilka personuppgifter användaren har haft tillgång till även om användaren bara har läst informationen. Loggen ger också ett förebyggande skydd. En förutsättning är dock att användarna informeras om att all användning loggas och att loggen följs upp Slutsats - säkerhetskrav för Intygstjänsten En vårdgivare ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas inom hälso- och sjukvården. Vårdgivaren ansvarar för att det i verksamhetens ledningssystem finns en dokumenterad informationssäkerhetspolicy. I policyn ska organisationens säkerhetsstrategi, ansvarsfördelning och övergripande mål för säkerheten redovisas. Vårdgivaren ska vidare upprätta risk- och sårbarhetsanalyser för att utreda vilka säkerhetsnivå som ska gälla för skyddet av den information som vårdgivaren behandlar. 10 / 32

11 Vårdgivaren ansvarar för att det finns rutiner som säkerställer att personuppgifter hanteras och överförs så att ingen obehörig kan ta del av uppgifterna. Om vårdgivaren eller någon annan på dennes uppdrag använder öppna nät, exempelvis internet eller Sjunet, för att hantera personuppgifter, ska i regel kryptering och stark autentisering användas, i synnerhet rörande känsliga personuppgifter. Känsliga personuppgifter får endast lämnas ut via öppna nät till identifierade användare vars identitet är säkerställd med en teknisk funktion som kryptering, engångslösenord eller motsvarande. I dessa fall räcker det inte med exempelvis användarnamn och lösenord eller pinkod som metod för autentisering. För att en behörig användare ska få tillgång till känsliga personuppgifter via öppna nät måste stark autentisering tillämpas. Härtill ska vårdgivaren se till att all elektronisk åtkomst till personuppgifter dokumenteras i loggar så att de kan kontrolleras i efterhand. Normalt ska loggarna vara så detaljerad att de kan användas för att utreda om personuppgifter har använts felaktigt eller obehörigt. Loggarna ska visa användaridentitet, tidpunkt och vilka personuppgifter användaren har haft tillgång till. 4.4 Sekretess inom hälso- och sjukvården Hälso- och sjukvårdssekretessen Vårdgivare i den offentligt drivna vården omfattas av OSL. Motsvarande sekretessbestämmelser finns för privata vårdgivare i Patientsäkerhetslagen (2010:659) (PSL). Enligt 25 kap. 1 OSL 1 gäller sekretess inom hälso- och sjukvården för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Uttrycket men har getts en mycket vid innebörd och enligt förarbetena avses i princip allt som av den enskilde kan uppfattas som ett mera påtagligt obehag. I första hand åsyftas sådana skador som innebär att någon blir utsatt för andras missaktning om hans personliga förhållanden blir kända. Redan den omständigheten att vissa personer känner till en för någon enskild ömtålig uppgift kan enligt förarbetena i många fall anses vara tillräckligt för att medföra men. Utgångspunkten för en bedömning av om men föreligger måste således vara den berörda personens egen upplevelse. Bedömningen måste självfallet i viss utsträckning kunna korrigeras på grundval av gängse värderingar i samhället. Exempelvis kan enbart det förhållandet att en person tycker att det i största allmänhet är obehagligt att andra vet var han bor enligt förarbetena inte anses innebära men i här avsedd bemärkelse. Det faktum att bestämmelsen har ett omvänt skaderekvisit, d.v.s. presumtion för sekretess föreligger tills motsats visas, visar sekretessens dignitet inom hälso- och sjukvårdens område. Sekretessen är emellertid inte undantagslös. Oaktat sekretess kan uppgifter lämnas ut om det inte är till men för den som sekretessen i förekommande fall ska skydda (d.v.s. patient, 1 Jfr 6 kap. 12 PSL enligt vilken den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården inte obehörigen får röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden. Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning. 11 / 32

12 närstående till patient, en avlidens minne, uppgiftslämnare eller närstående till uppgiftslämnare), om samtycke finns från patienten eller om det finns lagstadgade undantag från sekretessen. Sådana lagstadgade undantag finns bl.a. för utlämnande av uppgifter mellan olika vårdgivare. Uppgifter inom hälso- och sjukvården får lämnas: Från en myndighet (nämnd) som bedriver hälso- och sjukvård till en annan sådan myndighet (nämnd) i samma kommun eller samma landsting (s.k. sekretessgenombrott enligt 25 kap. 11 första och andra punkten OSL). Från en myndighet i en kommun eller ett landsting till kommunala företag i samma kommun eller landsting som avses i 2 kap. 3 OSL (dvs. bolag, föreningar och stiftelser där kommuner eller landsting äger mer än 50 procent av aktierna.)den sekretessbrytande bestämmelsen är däremot inte tillämplig på utlämnande av uppgifter mellan en myndighet och en privat vårdgivare, som landstinget eller kommunen inte har ägandeinflytande över. Till en annan vårdgivare enligt reglerna om sammanhållen journalföring enligt 6 kap. PDL. Härtill hindrar inte sekretessen att uppgifter lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller till en enskild vårdgivare om den enskilde på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en uppgift lämnas ut och uppgifterna om honom eller henne behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd. Enligt Tryckfrihetsförordningen har visserligen vem som helst rätt att begära att få ut allmänna handlingar inklusive patientjournaler, men långt ifrån alla får bifall för sin begäran. Hälso- och sjukvårdsekretessen gäller som huvudregel gentemot envar, inklusive patientens anhöriga eller närstående och även patienten själv i vissa fall om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne. Även inom den enskilda hälso- och sjukvården har patienten eller närstående till patienten rätt enligt 8 kap. 2 PDL att begära ut journalhandlingar om inte annat följer av 6 kap. 12 eller 13 första stycket PSL. Enligt PSL är det endast i undantagssituationer en vårdgivare kan begränsa patientens rätt att ta del av journalhandlingar exempelvis för att skydda en uppgiftslämnares identitet eller om ett röjande av uppgifter skulle påverka den fortsatta vården av patienten menligt (detta gäller främst inom psykiatrin). Innan beslut om utlämnande fattas ska en menprövning göras. Vid en sådan prövning utgår man från den uppgift som begärs ut, d.v.s. vad det är för typ av uppgift, och bedömning sker sedan av huruvida det kan antas vara till men för den enskilde (eller någon närstående) att lämna ut uppgiften. Utgångspunkten för bedömningen är den berörda personens egen upplevelse. I undantagsfall kan menprövningen utgå om uppgiftsskyldighet föreligger enligt lag eller informationsöverföring får ske på grund av särskild sekretessbrytandebestämmelse i OSL. Prövningen bör göras av någon som har god insikt i ärendet och patientens situation. 12 / 32

13 Vanligtvis är det den läkare som ansvarar för vården eller medicinskt ansvarig sjuksköterska som ansvarar för att menprövning har gjorts innan sekretessbelagda uppgifter lämnas ut Inre sekretess Utöver hälso- och sjukvårdssekretessen enligt OSL och sekretessen enligt PSL finns det ytterligare sekretessbestämmelser som ska iakttas vid hanteringen av journalhandlingar. Uppgifter i patientjournaler är enligt 4 kap. 1 PDL som huvudregel sekretessbelagda även i förhållande till personalen hos vårdgivaren, s.k. inre sekretess till förmån för patienten och dennes integritet. Endast den som deltar i vården av patienten eller av annat skäl behöver uppgifterna för utförandet av sitt arbete inom hälso- och sjukvården har rätt att ta del av information om patienten. Den inre sekretessen gäller för all dokumenterad information om patienter, d.v.s. även vårddokumentation så som administrativ dokumentation, kvalitetsregisteruppgifter etc. som behandlas enligt PDL. Tillämpningsområdet för bestämmelsen är inte begränsat till enbart hälso- och sjukvårdspersonal vid en viss enhet och dess arbete på enheten, utan bestämmelsen omfattar all personal oavsett var den tjänstgör. Bestämmelsen ålägger följaktligen envar inom vården att inte ta del av mer uppgifter än vad som är nödvändigt för utförandet av arbete åt vårdgivaren. Övriga bestämmelser i 4 kap. PDL ålägger vårdgivaren ett ansvar att upprätthålla den inre sekretessen och följaktligen ha kontroll över och begränsa åtkomsten till patientuppgifter. Enligt 4 kap. 2 PDL är vårdgivaren ansvarig för att tilldela behörighet för elektronisk åtkomst till patientuppgifter på ett sådant sätt att personalen inte har mer behörighet än vad de behöver för att kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Vårdgivaren ska se till att varje användare tilldelas en individuell behörighet för åtkomst till patientuppgifter. Detta innebär att endast personliga inloggningar är tillåtna och att inga så kallade gruppkonton får förekomma. Användarnas behörighet i vårdgivarens informationssystem måste vara anpassad till deras arbetsuppgifter. Olika kategorier av hälsooch sjukvårdspersonal kan behöva olika behörigheter till uppgifter i informationssystemen. Behörigheten ska därför begränsas till vad varje person behöver för att kunna ge patienterna en god och säker vård. För att varje användare ska få rätt behörighet måste vårdgivaren genomföra riskanalyser. Riskanalyserna ska ta hänsyn till vilka risker det kan innebära om personalen har för lite respektive för mycket tillgång till olika patientuppgifter. Vissa patientuppgifter kan kräva att särskilda riskbedömningar görs, till exempel uppgifter som är sekretessmarkerade. Generellt sett kan det vara nödvändigt med fler behörighetsnivåer ju mer omfattande ett informationssystem är. 2 Härutöver kan det också finnas personal som kan behöva ha tillgång till patientinformation trots att de inte arbetar med vård utan med verksamhetsuppföljning, statistikframställning, 2 prop. 2007/08:126 s / 32

14 central ekonomiadministration och liknande verksamhet som inte är individorienterad. I förarbetena till PDL har man ansett att det för den här kategorin av anställda i de flesta fall borde räcka med tillgång till indirekta uppgifter som inte kan härledas till enskilda patienter. Följaktligen ska patientuppgifter, i den mån de inte är nödvändiga för behandlingen, avidentifieras eller pseudonymieras. Inom det administrativa området bör det lämpligen bara vara enstaka personer som har elektronisk åtkomst till kodnycklar, personnummer och andra uppgifter som direkt pekar ut enskilda. 3 Den person inom en vårdgivares verksamhet som har det yttersta ansvaret för uppföljning av patientuppgifters kvalitet och ändamålsenlighet samt utdelade behörigheter är verksamhetschefen. Verksamhetschefen är den person inom vården som rimligtvis bör ha tillgång till sammanställd information som omfattar patientuppgifter. Viktigt att notera är att även vid verksamhetsuppföljning och kvalitetssäkring ska patientuppgifter endast behandlas i den mån det är nödvändigt Finns det begränsningar för överföring av intyg från vården till Intygstjänsten med beaktande av sekretess? Enligt huvudregeln omfattas journalhandlingar av sekretess och en sekretessprövning måste i regel göras innan handlingarna kan lämnas ut. Överföring av intyg till Intygstjänsten är emellertid inte att betraktas som ett utlämnande av handling eftersom Intygstjänsten är en databas som får anses utgöra en del av vårdgivarens patientjournalsystem, som vårdgivaren genom personuppgiftsbiträdesavtal överlåtit till en extern förvaltare att administrera. Några begränsningar med beaktande av sekretessbestämmelserna i OSL eller PSL finns således inte för vårdgivarens överföring av intyg till Intygstjänsten. Däremot kan det som ovan nämnts i p finnas vissa begräsningar för tillgängliggörandet av intyg för patienten. Med beaktande av risken för sekretess även i förhållande till den enskilde själv rekommenderar vi att en menprövning görs innan patienten får ta del av läkarintyg i Intygstjänsten. En sådan prövning ska rimligtvis göras av den vårdande läkaren som utfärdar intyget och därmed lämpligen innan eller i samband med att intyget överförs till Intygstjänsten Finns det begränsningar för överföring av intyg från Intygstjänsten till externa aktörer med beaktande av sekretess? Eftersom invånaren i förevarande fall har rätt att själv förfoga över journalhandlingar i Intygstjänsten och själv avgör till vem handlingar ska lämnas ut finns det följaktligen inga begräsningar som måste iakttas vid överföringen av intyg från Intygstjänsten med beaktande av sekretess. Det ska dock påpekas att den enskilde genom samtycke inte kan häva sådan sekretess som gäller mot denne själv. 3 prop. 2007/07:126 s / 32

15 Här bör emellertid noteras att det faktum att uppgifter i journalhandlingar omfattas av sekretess så länge de befinner sig inom vården inte per se medför att de kommer att omfattas av sekretess också efter en överföring från Intygstjänsten. Vid överföring av handlingar mellan myndigheter eller vårdgivare överförs sekretessen visserligen i de fall den mottagande myndigheten eller vårdgivaren omfattas av motsvarande sekretess som den överlämnande myndigheten. Däremot finns det inga garantier för att sekretessen består vid överföring till andra privata aktörer. Huruvida sekretess föreligger även efter det att uppgifterna överförts beror på om den mottagande aktören omfattas av sekretessbestämmelser enligt lag eller om den mottagande aktören civilrättsligt åtagit sig ett sekretessförbehåll Hantering av spärrade patientuppgifter i Intygstjänsten Om en patient inte vill att dennes patientuppgifter ska ingå i ett system för sammanhållen journalföring eller vara tillgängliga för andra vårdenheter hos en vårdgivare, kan patienten enligt 4 kap. 4 PDL begära att uppgifterna spärras. Vid spärrning begränsas åtkomsten till patientuppgifterna i journalsystemet även för vårdpersonal som till följd av vårdrelationen med patienten vanligen hade varit behörig att ta del av uppgifterna. Vårdpersonalen har vid spärrning följaktligen endast tillgång till sådana uppgifter som finns i det egna journalsystemet. Uppgifter som finns hos andra vårdgivare eller andra vårdenheter inom samma vårdgivare går inte att komma åt. Vårdgivaren ansvarar för att åtkomsten till spärrade patientuppgifter regleras i enlighet med 2 kap. 7 och 9-10 i Socialstyrelsens föreskrifter om informationshantering och journalföring i hälso- och sjukvården (SOSFS 2008:14). Enligt 2 kap. 7 SOSFS 2008:14 ska vårdgivaren ansvara för att information om vilka vårdenheter som har uppgifter om en viss patient inte kan göras tillgänglig utan att den behörige användaren gör ett aktivt val gällande användarens rätt att ta del av dessa uppgifter. Patientuppgifterna hos dessa vårdenheter får sedan inte göras tillgängliga utan att den behörige användaren gör ytterligare ett aktivt val. Samtliga aktiva val som användaren gör ska loggas i systemet och ska gå att följas upp i efterhand. 4 Enligt 2 kap. 9 SOSFS 2008:14 ska vårdgivaren även ansvara för att det framgår av journalsystemet om det finns spärrade patientuppgifter hos någon annan vårdgivare. Om patientuppgifterna har spärrats av en annan vårdenhet hos vårdgivaren, får dessa endast göras tillgängliga efter det att den behörige användaren gjort ett aktivt val efter ett inhämtat samtycke från patienten eller om förutsättningarna för s.k. nödåtkomst är uppfyllda. Om uppgifterna är spärrade, ska en begäran om åtkomst göras hos den vårdgivare som har spärrat uppgifterna. 5 Det är enbart patienten själv som kan begära spärrning. En förälder eller annan närstående har inte rätt att spärra uppgifter för barn. Skälet till detta är att vårdpersonalen ska ha möjlighet att 4 Se bilaga 1 avseende åtkomst till uppgifter mellan vårdenheter inom samma vårdgivare, Datainspektionen 5 Se bilaga 2 avseende åtkomst till uppgifter mellan vårdgivare vid sammanhållen journalföring, Datainspektionen 15 / 32

16 kunna upptäcka barn som far illa och bedöma om saken ska anmälas till socialnämnden. I dessa fall har man lagt större vikt vid barnets skydd än vid integritetsskyddet. När barnet blir äldre och mognare får barnet emellertid själv spärra sina uppgifter. Den aktör som ska förvalta Intygstjänsten på uppdrag av vårdgivarna har att efterfölja vårdgivarens krav och direktiv på informationssäkerhet. Därmed finns det all anledning för Inera att vid framtagandet av en prototyp införa spärrmöjligheter i Intygstjänsten för att säkerställa att tjänsten uppfyller ovan nämnda föreskrifter förutsatt att man inom projektet bedömer det som troligt att någon annan än invånaren kommer att ha tillgång till informationen i Intygstjänsten, exempelvis vårdpersonal Hantering av skyddade personuppgifter i Intygstjänsten Skyddade personuppgifter i Intygstjänsten ska hanteras på samma sätt som skyddade personuppgifter inom vården. Grundregeln är att en sekretessprövning ska göras i varje enskilt fall då sekretessmarkerade personuppgifter förekommer. Någon absolut sekretess föreligger däremot inte. Förvaltaren av Intygstjänsten ska se till att nödvändiga säkerhetsåtgärder och behörighetskontroller vidtas för de fall andra än invånaren ska ha tillgång till uppgifter i Intygstjänsten. Med hänsyn till detta bör Intygstjänsten bl.a. utformas på så sätt att endast vissa personer har behörighet och tillgång till sekretessmarkerade personuppgifter. Därtill ska förvaltaren se till att erforderliga rutiner för sekretessprövning finns för utlämnande av skyddade personuppgifter. Eftersom det är vårdgivaren som för över intygen till intygstjänsten är det också vårdgivaren som har att sekretesspröva överföringen. Ytterst sällan blir det fråga om sekretess gentemot invånaren själv varför intyg med skyddade personuppgifter oftast bör kunna föras över och visas i Intygstjänsten. Mest sannolikt har vårdgivaren redan sekretessmarkerat de uppgifter som ska vara skyddade när intyget upprättas i enlighet med de rutiner som ska finnas inom vården. Skulle sådana rutiner av någon anledning saknas bör man i projektet överväga att införa en teknisk kontrollåtgärd i Intygstjänsten som möjliggör en sekretessmarkering av personuppgifter innan invånaren skickar intyget vidare externt. I vart fall bör ett varningsmeddelande visas för invånaren för att signalera att ett intyg innehållandes skyddade personuppgifter kommer att överföras externt om invånaren väljer att skicka intyget vidare Slutsats sekretess vid hantering av läkarintyg Inom hälso- och sjukvården föreligger det sekretess för uppgifter om en enskilds hälsotillstånd eller andra personliga förhållanden. Enligt huvudregeln måste patienten ha lämnat sitt samtycke för att uppgifter om denne ska få lämnas ut. Bestämmelserna kring sekretess och behörighet skiljer sig åt beroende på om informationsutbytet sker mellan vårdgivare eller inom en och samma vårdgivare, där det förra utbytet omfattas av sekretessbestämmelserna i OSL och PSL och det senare av den inre sekretessen i PDL. Den yttre sekretessen gäller inom hälso- och sjukvården för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas 16 / 32

17 utan att den enskilde eller någon närstående till denne lider men. Oaktat sekretess kan uppgifter lämnas ut om det inte är till men för den som sekretessen i förekommande fall ska skydda om samtycke finns från patienten eller om det finns lagstadgade undantag från sekretessen. Sådana lagstadgade undantag finns bland annat för utlämnande av uppgifter mellan vårdgivare. Enligt den inre sekretessen är uppgifter i patientjournaler som huvudregel sekretessbelagda även i förhållande till personalen hos vårdgivaren. Endast den som deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården har rätt att ta del av informationen om patienten. Något aktivt samtycke från patienten krävs inte inom ramen för den inre sekretessen. Följaktligen ska vårdgivaren respektive förvaltaren av Intygstjänsten se till att personalens behörighet för elektronisk åtkomst till patientuppgifter begränsas på ett sådant sätt att personalen inte har mer behörighet än vad de behöver för att kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Därtill ska patientuppgifter enbart behandlas i den mån det är nödvändigt för det avsedda ändamålet och i andra fall avidentifieras eller pseudonymieras. Härtill ska skyddade respektive spärrade personuppgifter i Intygstjänsten ska hanteras på samma sätt som de hanteras inom vården. Grundregeln är att en sekretessprövning ska göras i varje enskilt fall då sekretessmarkerade personuppgifter förekommer. Någon absolut sekretess föreligger däremot inte. Förvaltaren av Intygstjänsten ska se till att nödvändiga säkerhetsåtgärder och behörighetskontroller vidtas för de fall andra än invånaren ska ha tillgång till uppgifter i Intygstjänsten. Enligt huvudregeln omfattas följaktligen journalhandlingar av sekretess och en sekretessprövning måste i regel göras innan handlingarna kan lämnas ut. Överföring av intyg från vårdgivare till Intygstjänsten är emellertid inte att betraktas som ett utlämnande av handling eftersom Intygstjänsten är en databas som får anses utgöra en del av vårdgivarens patientjournalsystem, som vårdgivaren genom personuppgiftsbiträdesavtal överlåtit till en extern förvaltare att administrera. Några begränsningar med beaktande av sekretessbestämmelserna i OSL respektive PSL finns således inte för vårdgivarens överföring av intyg till Intygstjänsten. Däremot bör man beakta att det kan finnas vissa begräsningar för tillgängliggörandet av intyg för invånaren. Hälso- och sjukvårdsekretessen gäller som huvudregel gentemot envar, inklusive patienten själv om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne. Det torde emellertid endast vara i undantagssituationer som en vårdgivare kan begränsa invånarens rätt att ta del av journalhandlingar exempelvis om ett röjande av uppgifter skulle påverka den fortsatta vården av patienten menligt (detta gäller främst inom psykiatrin). Med beaktande av risken för sekretess även i förhållande till den enskilde själv rekommenderar vi att en menprövning görs innan invånaren får ta del av läkarintyg i Intygstjänsten. En sådan prövning ska rimligtvis göras av den vårdande läkaren som utfärdar intyget och därmed lämpligen innan eller i samband med att intyget överförs till Intygstjänsten. 17 / 32

18 Eftersom invånaren i förevarande fall har rätt att själv förfoga över journalhandlingar i Intygstjänsten och själv avgör till vem handlingar ska lämnas ut finns det följaktligen inga begräsningar som måste iakttas vid överföringen av intyg från Intygstjänsten med beaktande av sekretess. Det ska dock påpekas att den enskilde genom samtycke inte kan häva sådan sekretess som gäller mot denne själv. 4.5 Samtycke vid personuppgiftsbehandling i Intygstjänsten och Mina intyg Måste invånaren lämna sitt samtycke för personuppgiftsbehandlingen i Intygstjänsten och Mina intyg och hur ska i sådana fall samtycket vara utformat? Informationen som ska lagras i Intygstjänsten i form av läkarintyg innehåller uppgifter om enskilda personer och deras hälsa. Uppgifter om hälsa anses vara känsliga personuppgifter som enligt huvudregeln 13 PUL är förbjudna att behandla. Sådana uppgifter kan vården tillika förvaltaren av Intygstjänsten endast samla in och behandla om: personen i fråga uttryckligen lämnat sitt samtycke till behandlingen, eller personuppgifterna behandlas för hälso- och sjukvårdsändamål och behandlingen är nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård. Eftersom syftet och ändamålet med Intygstjänsten primärt är att möjliggöra invånares direktåtkomst till delar av dennes patientjournal, närmare bestämt dennes läkarintyg, bedömer vi att vården tillika förvaltaren av Intygstjänsten inte behöver inhämta samtycke för lagringen av intyg. Intygstjänsten kommer endast att lagra kopior av originalintyg från vårdens befintliga patientjournalsystem varför något samtycke avseende lagringen av kopiorna inte behövs. Däremot bör man inhämta samtycke för den behandling av personuppgifter som sker i Webbtjänsten Mina intyg. I Mina intyg ska läkarintyg visas för och hanteras av invånaren. För denna behandling bör man lämpligen informera invånaren om behandlingen och kräva att invånaren samtycker till Webbtjänsten innan denna aktiveras. Enligt PUL ska samtycket vara en frivillig, särskild och otvetydig viljeyttring genom vilken invånaren, efter att ha fått tillräcklig information för att ta ställning till om behandling ska få ske, accepterar behandlingen av personuppgifter som rör honom eller henne. Samtycket ska vidare vara individuellt, det ska vara den berörda personen i fråga som godtar behandlingen av personuppgifterna. I de flesta fall vållar inte kravet på frivillighet några bekymmer utan den enskilde får, efter att ha fått information om behandlingen, själv ta ställning till om han eller hon accepterar behandlingen för att till exempel erhålla en tjänst som det är fråga om i förevarande fall. Konsekvensen av att invånaren inte samtycker kan bli att denne inte får ta del av webbtjänsten. 18 / 32

19 Att samtycket ska vara en otvetydig viljeyttring innebär att det inte får råda någon tvekan om att invånaren godtar behandlingen av personuppgifter som rör honom eller henne. Det är den personuppgiftsansvarige, d.v.s. vården tillika förvaltaren av Intygstjänsten och Mina intyg, som har bevisbördan för att samtycke föreligger. När det gäller personuppgifter som rör hälsa eller sexualliv krävs också att samtycket ska vara uttryckligt. Det innebär att samtycket måste komma till uttryck på ett särskilt tydligt sätt. Det betyder att det ligger i personuppgiftsansvariges intresse att välja en form för samtycket som tydligt visar den enskildes vilja. Samtycket behöver visserligen inte vara skriftligt, men eftersom personuppgiftsansvarige har bevisbördan för att samtycke föreligger är skriftligt samtycke att föredra. Samtycke genom så kallat konkludent handlande är normalt inte tillräckligt avseende känsliga personuppgifter; inte heller tyst eller hypotetiskt samtycke kan godtas. Det faktum att invånaren utnyttjar Intygstjänsten är således i regel inte tillräckligt för att styrka att invånaren faktiskt samtyckt till behandlingen av dennes personuppgifter. Med beaktande av Intygstjänstens syfte och utformning bör det vara tillräckligt att samtycke lämnas vid invånarens aktivering av Intygstjänsten. Något krav på ytterligare samtycke för behandlingen av personuppgifterna torde inte erfordras eftersom Intygstjänsten är utformad på så vis att det är invånaren själv som förfogar över informationen om och när den skickas vidare från Intygstjänsten (med undantag för komplettering av läkarintyg se nedan). Eftersom Intygstjänsten tillhandahålls på internet är det av stor vikt för förvaltaren av tjänsten att kunna identifiera den som lämnar samtycket. Med beaktande av bevisbördan ligger det i förvaltarens intresse att använda någon form av identifikationsförfarande i anslutning till Intygstjänsten för att försäkra sig om att rätt person samtycker och aktiverar webbtjänsten. Slutligen bör också understyrkas att personuppgiftsansvarige ska, innan samtycke inhämtas, lämna information om hanteringen av personuppgifterna till de berörda personerna. Eftersom PUL kräver att samtycket ska vara särskilt kan ett generellt samtycke inte godtas utan samtycket ska gälla behandling för ett eller flera preciserade ändamål. Personuppgiftsansvarige ska därför i samband med aktiveringen av Webbtjänsten informera invånaren om att uppgifter om deras hälsotillstånd kommer att behandlas i Webbtjänsten samt ändamålet med behandlingen. Personuppgiftsansvarige ska vidare lämna uppgift om personuppgiftsansvarig/biträde samt all övrig information som behövs för att invånarna ska kunna ta till vara sina rättigheter i samband med behandlingen, såsom information om mottagarna av uppgifterna, möjlighet till spärrning, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse Behövs det samtycke för att skicka av vården kompletterat intyg till Försäkringskassan? Är ett tidigare samtycke från invånaren fortfarande tillräckligt? Utgångspunkten är att det samtycket som ges vid aktivering av Mina intyg är tillräckligt även vid fortsatt behandling därefter. Skulle en läkare emellertid behöva komplettera ett intyg efter förfrågan från Försäkringskassan kan viss problematik uppstå vad gäller samtycket, särskilt om läkaren sänder över det kompletterade intyget till Försäkringskassan utan att invånaren först accepterat det. Först och främst kan konstateras att det, om än önskvärt, inte är möjligt 19 / 32

20 att försöka baka in samtycke för läkares kompletteringar i det samtycke som lämnas vid aktiveringen av Intygstjänsten. Om invånaren skulle samtycka till att läkare generellt har rätt att skicka över kompletteringar till Försäkringskassan utan att invånaren först tagit del av uppgifterna, skulle samtycket sannolikt inte anses uppfylla kravet på särskildhet enligt PUL. Enligt huvudregeln i PUL kräver i regel all behandling av personuppgifter invånarens samtycke. När läkaren kompletterar ett läkarintyg skapas vanligtvis ett nytt intyg med nya uppgifter om invånaren varför samtycke ska inhämtas för att läkaren ska få skicka över kompletterande uppgifterna till Försäkringskassan Finns det tillfällen då ett av en vuxen person lämnat samtycke inte kan anses vara giltigt? Endast den som kan förstå innebörden av ett samtycke kan lämna ett giltigt samtycke. Vanligtvis är vuxna människor kapabla att förstå innebörden av ett samtycke, men när det gäller exempelvis dementa eller psykiskt sjuka kan förmågan att förstå innebörden saknas varför dessa personer inte kan lämna giltiga samtycken. Förutsatt att den psykiskt sjuke eller demente invånaren står under förvaltarskap eller god man, som är behörig att rättshandla för invånaren, uppstår inga problem avseende samtycke då dessa företrädare kan lämna samtycke i invånarens ställe. Saknar invånaren en förvaltare eller god man kan denne däremot inte använda Intygstjänsten. Behandling av personuppgifter kan inte grundas på samtycke av anhörig Problematik och spörsmål att se över Eftersom behandlingen av en beslutsoförmögens personuppgifter tillika journaluppgifter kräver samtycke från en legal ställföreträdare måste Inera säkerställa att den person som utger sig för att vara ställföreträdare för en viss person faktiskt också är det innan Inera beviljar ställföreträdaren tillgång till Mina intyg. Rent praktiskt kan det bli svårt att kontrollera när ett förordnande föreligger. Problematiken är på intet sätt ny eller unik. Frågan om hanteringen av personuppgifter om beslutsoförmögna har varit under diskussion under lång tid. Redan 2004 lämnade en statlig utredning in ett förslag till reglering, som emellertid kritiserades av remissinstanserna för att vara för krångligt, och som inte ledde till någon lagstiftning. I yttrande ( , dnr ) har Datainspektionen anset att det är på tiden att frågan ges en grundlig genomlysning och att regeringen överväger en författningsreglering. Regeringen har i slutet av 2011 tillsatt en utredning avseende en sammanhållen och mer ändamålsenlig informationshantering över organisationsgränser för att säkerställa ett effektivt utbyte av information mellan socialtjänsten och hälso- och sjukvården. Enligt direktivet (2011:111) ska utredningen bl.a. se över frågan om beslutsoförmögna personers möjligheter att tillgodogöra sig information och att samtycka till olika åtgärder samt huruvida det är lämpligt att införa undantag från kravet på samtycke för beslutsoförmögna personer. Pensionsmyndigheten har under 2012 på uppdrag av E-delegationen analyserat och tagit fram ett förslag till utveckling av en e-tjänst för fullmakter, Mina fullmakter, som E-delegationen 20 / 32

Kändisspotting i sjukvården

Kändisspotting i sjukvården Kändisspotting i sjukvården Sten Jacobson Grundprincip för hälso- och sjukvården Hälso- och sjukvården ska bygga på respekt för patientens integritet och självbestämmande. PDL ska ge en bättre samverkan

Läs mer

4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun

4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun 1(5) 4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun Nedanstående lagar, förordningar allmänna råd ligger till grund för omvårdnadsdokumentationen.

Läs mer

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun.

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun. 2008-08-15 1 (6) Reviderad 2010-04-21 Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun. Nedanstående lagar, förordningar allmänna råd ligger

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datum Diarienr 2011-12-12 749-2011 Capio S:t Görans Sjukhus 112 81 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datainspektionens beslut Datainspektionen

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datum Diarienr 2011-12-12 757-2011 Socialnämnden Lunds Kommun 221 00 Lund Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen Datum Diarienr 2010-10-11 1725-2009 Styrelsen för Karolinska Universitetssjukhuset Stockholms läns landsting Box 22550 104 22 Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datum Diarienr 2010-05-21 1319-2009 Styrelsen för Sahlgrenska Universitetssjukhuset Torggatan 1 431 35 Mölndal Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen

Läs mer

Hur får jag använda patientjournalen?

Hur får jag använda patientjournalen? Hur får jag använda patientjournalen? Offentlighets- och sekretesslagen Patientdatalagen Vision 2014-01-30 Susan Ols Landstingsjurist Översikt När får jag läsa i patienters journaler? Sekretess - När jag

Läs mer

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen Informationshantering och journalföring Maria Jacobsson, Hälso- och sjukvårdsavdelningen 1. Målet för hälso- och sjukvården 2 HSL Målet för hälso- och sjukvården är en god hälsa och en vård på lika villkor

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datum Diarienr 2011-12-12 755-2011 Socialnämnden Södertälje Kommun 151 89 Södertälje Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen

Läs mer

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL) Kommunledningsförvaltningen STYRDOKUMENT Godkänd/ansvarig 1(5) Beteckning Riktlinjer behandling personuppgifter Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL) 1.

Läs mer

Tillämpningsanvisningar för tillgång till och utlämnande av patientinformation

Tillämpningsanvisningar för tillgång till och utlämnande av patientinformation Sid 1(5) Tillämpningsanvisningar för tillgång till och utlämnande av patientinformation Inledning Hantering av patientinformation inom Region Skåne ska ske utifrån patientdatalagen (SFS 2008:355), Socialstyrelsens

Läs mer

Juridik och informationssäkerhet

Juridik och informationssäkerhet 2 KAPITEL Juridik och informationssäkerhet Sammanfattning Information som hanteras i socialtjänstens hemtjänstverksamhet (hemtjänst) och i kommunal hälso- och sjukvård (hemsjukvård) innehåller känsliga

Läs mer

1. Bakgrund. 2. Parter. 3. Definitioner

1. Bakgrund. 2. Parter. 3. Definitioner Personuppgiftsbiträdesavtal samt fullmakt för såväl direktansluten vårdgivare som Inera AB att teckna personuppgiftsbiträdesavtal enligt 30-31 Personuppgiftslagen (1998:204) Modellavtal 2 riktar sig till

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datum Dnr 2008-06-23 473-2008 Stadsdelsnämnden Södra Innerstaden, Malmö stad Box 7070 200 42 Malmö samt via e-post och fax sodrainnerstaden@malmo.se 040-346460 Beslut efter tillsyn enligt personuppgiftslagen

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datum Diarienr 2013-05-08 1552-2012 Socialnämnden i Norrköpings kommun Rådhuset 601 81 Norrköping Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens

Läs mer

Datum 2014-03-31. Äldrenämnden

Datum 2014-03-31. Äldrenämnden Uppsala KOMMUN KONTORET FÖR HÄLSA, VÅRD OCH OMSORG 5 Handläggare Elisabeth Karlsson Datum 2014-03-31 Diarienummer ALN-2014-0151.37 Äldrenämnden Sammanhållen journalföring inom hälso- och sjukvård Förslag

Läs mer

Kanslichef - Tillsvidare

Kanslichef - Tillsvidare Riktlinjer för personuppgifter Dokumentnamn Dokumenttyp Fastställd/upprättad Beslutsinstans Riktlinjer för personuppgifter Riktlinje 2008-05-26 Kommunfullmäktige Dokumentansvarig Diarienummer Senast reviderad

Läs mer

Tillsyn - äldreomsorg

Tillsyn - äldreomsorg Datum Diarienr 2011-12-07 876-2010 TioHundranämnden Box 801 761 28 Norrtälje Tillsyn - äldreomsorg Datainspektionens beslut Datainspektionen konstaterar att TioHundranämnden i strid med 6 lagen om behandling

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datum Diarienr 2010-02-23 1333-2009 City Dental i Stockholm AB Box 16156 111 51 Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen konstaterar

Läs mer

Hälso- och sjukvård i molnet

Hälso- och sjukvård i molnet Hälso- och sjukvård i molnet Tillåtet eller inte? E-delegationens seminarium 20 januari 2015 Vad är det för situationer vi pratar om? Myndighet (offentliga vårdgivare) som har sekretessbelagda uppgifter

Läs mer

Kvalitetsregister & Integritetsskydd. Patrik Sundström, jurist SKL

Kvalitetsregister & Integritetsskydd. Patrik Sundström, jurist SKL Kvalitetsregister & Integritetsskydd Patrik Sundström, jurist SKL Varför finns det ett regelverk för nationella kvalitetsregister? - Många känsliga uppgifter - Om många människors hälsa - Samlade på ett

Läs mer

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem SOCIALFÖRVALTNINGEN Annika Nilsson, 0554-191 56 annika.nilsson@kil.se 2014-05-07 Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem INLEDNING Patientdatalagen

Läs mer

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation Presentation Informationssäkerhet Kim Strandberg Informationssäkerhetsstrateg/jurist kim.strandberg@regionostergotland.se 010-103 03 385 Region Informationssäkerhet, Östergötland 2015-03-11, Kim Strandberg

Läs mer

Policy för hantering av personuppgifter

Policy för hantering av personuppgifter Policy för hantering av personuppgifter Dokumenttyp: Policy Beslutad av: Kommunstyrelsen Gäller för: Varbergs kommun Dokumentnamn: Policy för hantering av personuppgifter Beslutsdatum: 2013-10-15 Dokumentansvarig

Läs mer

Lokala riktlinjer informationshantering och journalföring, inom elevhälsans medicinska och psykologiska delar, Alingsås Kommun

Lokala riktlinjer informationshantering och journalföring, inom elevhälsans medicinska och psykologiska delar, Alingsås Kommun Datum: 120131 Handläggare: Maria Amström Direktnr: 7063 Beteckning: 2012.041 Lokala riktlinjer informationshantering och journalföring, inom elevhälsans medicinska och psykologiska delar, Alingsås Kommun

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Beslut Dnr 2008-09- 09 810-2008 Utbildningsnämnden i Skövde kommun 541 83 SKÖVDE Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen konstaterar att

Läs mer

Information till legitimerade tandhygienister. Kvalitetssäkra patientjournalen

Information till legitimerade tandhygienister. Kvalitetssäkra patientjournalen SVERIGES Information till legitimerade tandhygienister Kvalitetssäkra patientjournalen TANDHYG Kvalitetssäkra patientjournalen Inledning En legitimerad tandhygienist måste utöver sitt yrkeskunnande om

Läs mer

Sekretess och tystnadsplikt

Sekretess och tystnadsplikt Sekretess och tystnadsplikt tryckfrihetsförordningen offentlighets- och sekretesslagen patientdatalagen HU 2013-09-04 Susan Ols Landstingsjurist Översikt Offentlighetsprincipen Allmänna handlingar Sjukvårdssekretessen

Läs mer

Rätt information på rätt plats i rätt tid

Rätt information på rätt plats i rätt tid Rätt information på rätt plats i rätt tid Del 2 Slutbetänkande av Utredningen om rätt information i vård och omsorg Stockholm 2014 SOU 2014:23 SOU och Ds kan köpas från Fritzes kundtjänst. För remissutsändningar

Läs mer

Samtycke vid direktåtkomst till sammanhållen journalföring

Samtycke vid direktåtkomst till sammanhållen journalföring Riktlinjer Samtycke vid direktåtkomst till sammanhållen journalföring Version 3 2014-12-23 Riktlinjerna är upprättade av medicinskt ansvariga sjuksköterskor och medicinskt ansvariga för rehabilitering

Läs mer

Rutin för loggning av HSL-journaler samt NPÖ

Rutin för loggning av HSL-journaler samt NPÖ Rutin för loggning av HSL-journaler samt NPÖ Enligt patientdatalagen 4 kap 3,skall vårdgivare göra systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter om patienter

Läs mer

Skolorna visar brister i att hantera personuppgifter

Skolorna visar brister i att hantera personuppgifter Skolorna visar brister i att hantera personuppgifter www.datainspektionen.se Checklista för skolor Personuppgiftslagen (PuL) innehåller en rad bestämmelser som är viktiga att känna till för skolor som

Läs mer

Nationell patientöversikt en lösning som ökar patientsäkerheten

Nationell patientöversikt en lösning som ökar patientsäkerheten NPÖ-guiden NPÖ Nationell Patientöversikt Nationell patientöversikt en lösning som ökar patientsäkerheten Den här guiden riktar sig till vårdgivare landsting, kommuner och privata vårdgivare som ska eller

Läs mer

Rätt information på rätt plats i rätt tid, SOU 2014:23

Rätt information på rätt plats i rätt tid, SOU 2014:23 TJÄNSTESKRIVELSE Handläggare Datum Ärendebeteckning Thomas Johansson 2014-10-01 ON 2014/0083 53515 Omsorgsnämnden Rätt information på rätt plats i rätt tid, SOU 2014:23 Förslag till beslut Omsorgsnämnden

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister Datum Diarienr 2014-03-31 1288-2013 Vänsterpartiet Box 12660 112 93 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister Datainspektionens beslut

Läs mer

Samverkan psykiatri och socialtjänst Lagstiftning mm. Robert Larsson Agneta Widerståhl 2015-01-15

Samverkan psykiatri och socialtjänst Lagstiftning mm. Robert Larsson Agneta Widerståhl 2015-01-15 Samverkan psykiatri och socialtjänst Lagstiftning mm. Robert Larsson Agneta Widerståhl 2015-01-15 Dagordning Styrande lagstiftning för socialtjänsten och hälso- och sjukvården Samordnad individuell plan

Läs mer

Användandet av E-faktura inom den Summariska processen

Användandet av E-faktura inom den Summariska processen 1(7) Användandet av E-faktura inom den Summariska processen Kronofogdemyndigheten fastställer att den bedömning som det redogörs för i bifogade rättsliga promemoria under rubriken Kronofogdemyndighetens

Läs mer

Kvalitetsregisterdag 2009-04-22

Kvalitetsregisterdag 2009-04-22 Kvalitetsregisterdag 2009-04-22 Patientdatalagen och kvalitetsregister Camilla Ziegler Enheten för juridik Region Skåne 1 Nationella och regionala kvalitetsregister Syfte Inrättats för ändamålet att systematiskt

Läs mer

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) 1. Allmänt Dessa Allmänna villkor reglerar Socialnämndens anslutning till Sammansatt Bastjänst

Läs mer

Informationssäkerhet en patientsäkerhetsfråga. Maria Jacobsson Socialstyrelsen

Informationssäkerhet en patientsäkerhetsfråga. Maria Jacobsson Socialstyrelsen Informationssäkerhet en patientsäkerhetsfråga Maria Jacobsson Socialstyrelsen Syftet med patientdatalagen tillgodose patientsäkerhet och god kvalitet samt främja kostnadseffektivitet patienters och övriga

Läs mer

(I texten nedan används ordet landsting genomgående i stället för landsting/region)

(I texten nedan används ordet landsting genomgående i stället för landsting/region) Dagar om lagar 4 5 november 2014 Bo Thalén Vem äger patientjournalerna? (I texten nedan används ordet landsting genomgående i stället för landsting/region) Kan patientjournaler överlämnas från en vårdgivare

Läs mer

Kom med du också ditt bidrag hjälper till att göra vården bättre!

Kom med du också ditt bidrag hjälper till att göra vården bättre! Nationellt kvalitetsregister samt stöd i den individuella vården för patienter med primär immunbrist och/eller ökad infektionskänslighet Kom med du också ditt bidrag hjälper till att göra vården bättre!

Läs mer

Riktlinjer för hantering av skolhälsovårdsjournaler i Skövde kommun

Riktlinjer för hantering av skolhälsovårdsjournaler i Skövde kommun Diarienummer 11-124-000 Riktlinjer för hantering av skolhälsovårdsjournaler i Skövde kommun Beslutad i skolnämnden den 24 augusti 2011, 101 Hantering av skolhälsovårdsjournaler för skolhälsovården i Skövde

Läs mer

Riktlinje för sammanhållen journalföring, nationell patientöversikt, NPÖ

Riktlinje för sammanhållen journalföring, nationell patientöversikt, NPÖ Diarienummer NHO-2014-0109.37 ALN-2014-0148. 37 Riktlinje för sammanhållen journalföring, nationell patientöversikt, NPÖ Dokumentnamn Riktlinje för sammanhållen journalföring, nationell patientöversikt,

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 573-2013 Vuxennämnden Eskilstuna kommun Vuxenförvaltningen 631 86 Eskilstuna Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens

Läs mer

1(12) Dokumentation inom SoL, LSS och HSL. Styrdokument

1(12) Dokumentation inom SoL, LSS och HSL. Styrdokument 1(12) Styrdokument 2(12) Styrdokument Dokumenttyp Riktlinje Beslutad av Kommunstyrelsen 2015-03-10, 50 Dokumentansvarig Medicinskt ansvarig sjuksköterska Reviderad 3(12) Innehållsförteckning 1 Bakgrund...4

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Lag om ändring i lagen (1996:1156) om receptregister; SFS 2009:370 Utkom från trycket den 19 maj 2009 utfärdad den 7 maj 2009. Enligt riksdagens beslut 1 föreskrivs i fråga om

Läs mer

Patientdatalagen (PdL) och Informationssäkerhet

Patientdatalagen (PdL) och Informationssäkerhet Patientdatalagen (PdL) och Informationssäkerhet Maria Bergdahl, jurist Mikael Ejner, IT-säkerhetsspecialist Datainspektionen Några utgångspunkter Lagstiftaren och EU vill ha integritet Integritet ej motsatt

Läs mer

Personuppgifter i forskningen vilka regler gäller?

Personuppgifter i forskningen vilka regler gäller? Personuppgifter i forskningen vilka regler gäller? Uppdaterad i mars 2013 Personuppgifter i forskningen vilka regler gäller? Vad gäller när en forskare hanterar integritetskänsligt material i sin forskning?

Läs mer

Hur skyddas patientens integritet? Vad säger lagar och författningar och hur fungerar det?

Hur skyddas patientens integritet? Vad säger lagar och författningar och hur fungerar det? Hur skyddas patientens integritet? Vad säger lagar och författningar och hur fungerar det? ewa.jerilgard@cehis.se Dagens nyheter vintern 2012 Drygt 200 vårdenheter allt från sjukhus till vårdcentraler

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister Datum Diarienr 2014-03-31 1293-2013 Kristdemokraterna Box 2373 103 18 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister Datainspektionens

Läs mer

Hantering av barn- och skolhälsovårdsjournaler Ersätter: 2005:23

Hantering av barn- och skolhälsovårdsjournaler Ersätter: 2005:23 UPPGIFTER FÖR CIRKULÄR-DATABASEN Ändra ej på fältnamnen! Cirkulärnr: 09:44 Diarienr: 09/3013 Handläggare: Ulrika Gustafsson Avdelning: Avdelningen för juridik Datum: 2009-07-01 Mottagare: Samtliga kommuner

Läs mer

Rätt information på rätt plats och i rätt tid (SOU 2014:23) remissvar

Rätt information på rätt plats och i rätt tid (SOU 2014:23) remissvar SOCIAL- OCH ÄLDREOMSORGSFÖRVALTNINGEN 2 september 2014 SN-2014/2986.145 1 (7) HANDLÄGGARE Christina Ring 08-535 378 15 christina.ring@huddinge.se Socialnämnden Rätt information på rätt plats och i rätt

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 570-2013 Socialnämnden Bollnäs kommun 821 80 Bollnäs Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens beslut Socialnämnden,

Läs mer

Strategi för vårddokumentation i LiÖ

Strategi för vårddokumentation i LiÖ Pär Holgersson, projektledare., Dokumenthistorik Utgåva nr Giltig fr o m Giltig t o m Kommentar till ny utgåva Godkänd av (titel, namn, datum ) 1 Verksamhetsrådet i LiÖ, 2 Förtydligande av exempel på verksamheter

Läs mer

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter Regel BESLUTSDATUM: 2013-11-06 BESLUT AV: Anders Vredin BEFATTNING: Avdelningschef ANSVARIG AVDELNING: Stabsavdelningen FÖRVALTNINGSANSVARIG: Åsa Sydén HANTERINGSKLASS Ö P P E N SVERIGES RIKSBANK SE-103

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Beslut Dnr 2006-12-12 1896-2005 Landstingsstyrelsen Landstinget i Värmland 651 82 Karlstad (er beteckning LK/052693) Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datainspektionens beslut

Läs mer

Publicerad www socialstyrelsen se april 2009 2

Publicerad www socialstyrelsen se april 2009 2 Handboken ett stöd för vårdgivare, verksamhetschefer, medicinskt ansvariga sjuksköterskor och hälso- och sjukvårdspersonal som ska tillämpa Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering

Läs mer

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM 1 (9) meddelad i Stockholm den 27 maj 2013 KLAGANDE AA ÖVERKLAGAT AVGÖRANDE Kammarrätten i Stockholms dom den 20 augusti 2012 i mål nr 4853-12 SAKEN Rätt att ta del av

Läs mer

Det kan vara lämpligt att i detta sammanhang börja något med att titta på vad syftena bakom införandet av elevhälsa är.

Det kan vara lämpligt att i detta sammanhang börja något med att titta på vad syftena bakom införandet av elevhälsa är. Promemoria Hellstadius Utbildning & Rådgivning AB 2012-09-06 Jan Mellgren Göteborgs stad Specialiststaben Center för Skolutveckling 404 82 Göteborg SKOLPSYKOLOGERNAS STÄLLNING INOM ELEVHÄLSAN Syfte med

Läs mer

Meddelandeblad. Barn under 18 år som söker hälso- och sjukvård. Mottagare: Nr. 7/2010 September 2010

Meddelandeblad. Barn under 18 år som söker hälso- och sjukvård. Mottagare: Nr. 7/2010 September 2010 Meddelandeblad Mottagare: Vårdgivare Verksamhetschefer Hälso- och sjukvårdspersonal Nr. 7/2010 September 2010 Barn under 18 år som söker hälso- och sjukvård Barnets rättsliga ställning inom hälso- och

Läs mer

- förebyggande uppföljning vid ryggmärgsbråck. Information för deltagare

- förebyggande uppföljning vid ryggmärgsbråck. Information för deltagare MMCUP - förebyggande uppföljning vid ryggmärgsbråck Information för deltagare Personer med ryggmärgsbråck behöver många olika sjukvårdskontakter under hela livet och det är lätt hänt att någon viktig insats

Läs mer

PERSONUPPGIFTSBITRÄDESAVTAL - DM

PERSONUPPGIFTSBITRÄDESAVTAL - DM 1 Microsoft AB ( Microsoft ), Box 27, 164 93 KISTA och ( Personuppgiftsbiträdet ) har denna dag träffat följande PERSONUPPGIFTSBITRÄDESAVTAL - DM Bakgrund Personuppgiftslagen ställer krav på skriftligt

Läs mer

SOSFS 2005:12 (M) Ledningssystem för kvalitet och patientsäkerhet i hälso- och sjukvården. Socialstyrelsens författningssamling

SOSFS 2005:12 (M) Ledningssystem för kvalitet och patientsäkerhet i hälso- och sjukvården. Socialstyrelsens författningssamling SOSFS (M) frfattningssam lingföreskrifter Ledningssystem för kvalitet och patientsäkerhet i hälso- och sjukvården Socialstyrelsens författningssamling I Socialstyrelsens författningssamling (SOSFS) publiceras

Läs mer

Åtta sidor om sekretess. inom hälso- och sjukvården och socialtjänsten

Åtta sidor om sekretess. inom hälso- och sjukvården och socialtjänsten Åtta sidor om sekretess inom hälso- och sjukvården och socialtjänsten 1 Offentlighet och sekretess Sekretesslagen Sekretesslagen (1980:100) och sekretessförordningen (1980:657) innehåller bestämmelser

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Beslut Dnr 2008-02-25 1161-2007 Apoteket AB 118 81Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datainspektionen konstaterar följande. Apoteket AB (Apoteket) saknar rutiner för systematiska

Läs mer

Posthantering och annan överföring av sekretessbelagd och integritetskänslig information

Posthantering och annan överföring av sekretessbelagd och integritetskänslig information Koncernkontoret Enheten för informationssäkerhet informationssakerhet@skane.se Datum: 2012-11-05 Dnr: Dokumentförvaltare: Enheten för informationssäkerhet Koncernkontoret Dokumentets status: Beslutat Dokumentid:

Läs mer

1. Inledning 2. 2. Sammanfattning 4

1. Inledning 2. 2. Sammanfattning 4 Biobanker och personuppgiftslagen Datainspektionens rapport 2004:2 Innehållsförteckning 1. Inledning 2 2. Sammanfattning 4 3. Regler 6 3.1. Personuppgiftslagen 6 3.1.1. Allmänt 6 3.1.2. Definitioner 7

Läs mer

Kommunstyrelsen. Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning

Kommunstyrelsen. Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning Kommunstyrelsen Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning INNEHÅLLSFÖRTECKNING REGLER OCH RUTIN FÖR BEHANDLING AV PERSONUPPGIFTER... 3 Inledning... 3 Personuppgiftslagens

Läs mer

Regler för behandling av personuppgifter enligt personuppgiftslagen

Regler för behandling av personuppgifter enligt personuppgiftslagen Regler för behandling av personuppgifter enligt personuppgiftslagen 2013-03-01 Innehåll 1. Kort om personuppgiftslagen... 1 2. Några begrepp i PuL... 1 3. Grundläggande krav på behandling av personuppgifter...

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering Beslut Dnr 2009-01-12 786-2008 Kuoni Scandinavia AB Box 454 39 113 47 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering Datainspektionens

Läs mer

Använd molntjänster på rätt sätt

Använd molntjänster på rätt sätt 2013-02-13 E-samhället i praktiken Använd molntjänster på rätt sätt Molntjänster kan spara pengar och göra information mer tillgänglig för kommuner och landsting. Den viktigaste bedömningen vid val av

Läs mer

Lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet

Lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet Lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet Lag om uppgifter i tullbrottsdatabasen [3701] Lagens tillämpningsområde 1 [3701] Denna lag gäller vid Tullverkets behandling

Läs mer

Riktlinjer för kvalitet och patientsäkerhet i Sjukskrivningsprocessen enligt Stockholms läns landstings ledningssystem

Riktlinjer för kvalitet och patientsäkerhet i Sjukskrivningsprocessen enligt Stockholms läns landstings ledningssystem 1 (6) Avdelningen för närsjukvård Staben HSN 1002-0175 (Rev. 140507) Riktlinjer för kvalitet och patientsäkerhet i Sjukskrivningsprocessen enligt Stockholms läns landstings ledningssystem Hälso- och sjukvårdslagen

Läs mer

Personuppgiftsombudet

Personuppgiftsombudet Personuppgiftsombudet Datainspektionen informerar Personuppgiftsombudet Med den här skriften vill Datainspektionen informera om personuppgiftsombudets roll och arbetsuppgifter. Den innehåller upplysningar

Läs mer

PERSONUPPGIFTSLAGEN Göteborgs universitet Kristina Ul gren November 2013

PERSONUPPGIFTSLAGEN Göteborgs universitet Kristina Ul gren November 2013 Göteborgs universitet Kristina Ullgren November 2013 2 Personuppgiftslagen i sammandrag 1. Syftet att skydda den personliga integriteten 2. PuL gäller inte för privat behandling av personuppgifter 3. Vardaglig

Läs mer

Riktlinjer för utlämnande av journalhandlingar samt rutiner för hur vi skickar dessa

Riktlinjer för utlämnande av journalhandlingar samt rutiner för hur vi skickar dessa 1 (13) Version 1.1 Ersätter: version 1.0 Riktlinjer för utlämnande av journalhandlingar samt rutiner för hur vi skickar dessa Innehållsförteckning (Om du klickar på ctrl-tangenten plus önskad rubrik kommer

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datum Diarienr 2009-12-11 1345-2009 Utbildningsnämnden i Stockholms stad Box 22049 104 22 Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen

Läs mer

Beslutade den 12 juni 2012 Träder i kraft den 1 september 2012. Affärsområde Farmaci/Roswitha Abelin/SoS föreskrift LmG mm

Beslutade den 12 juni 2012 Träder i kraft den 1 september 2012. Affärsområde Farmaci/Roswitha Abelin/SoS föreskrift LmG mm SOSFS 2012:9 Socialstyrelsens föreskrifter om ändring i föreskrifterna och allmänna råden (SOSFS 2000:1) om läkemedelshantering i hälso- och sjukvården Beslutade den 12 juni 2012 Träder i kraft den 1 september

Läs mer

Rekommendationer från MAS/MAR-nätverket i Dalarna gällande ansvarsfördelning

Rekommendationer från MAS/MAR-nätverket i Dalarna gällande ansvarsfördelning 1 Rekommendationer från MAS/MAR-nätverket i Dalarna gällande ansvarsfördelning LAGAR OCH AR SOM STYR KOMMUNERNAS HÄLSO- OCH SJUKVÅRD, AVSEENDE SFÖRHÅLLANDEN MELLAN VÅRDGIVARE (NÄMND), VERKSAMHETSCHEF OCH

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i kollektivtrafiken; e-biljetter m.m.

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i kollektivtrafiken; e-biljetter m.m. Beslut Dnr 2007-10-30 550-2007 AB Storstockholms Lokaltrafik 105 73 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i kollektivtrafiken; e-biljetter m.m. Datainspektionens

Läs mer

Samråd enligt personuppgiftslagen (1998:204)

Samråd enligt personuppgiftslagen (1998:204) YTTRANDE Dnr 2006-06-21 2042-2005 Advokatfirman Delphi & Co Advokat Kent Sangmyr Stadt Hamburgsgatan 9 B 211 38 MALMÖ Samråd enligt personuppgiftslagen (1998:204) Datainspektionen har den 25 oktober 2005

Läs mer

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Informationssäkerhet vid Karolinska Universitetssjukhuset Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Förlorar vi informationen, om den är felaktig eller manipulerad

Läs mer

BESLUT. Ärendet Egeninitierad verksamhetstillsyn av vårdgivarens informationssäkerhet

BESLUT. Ärendet Egeninitierad verksamhetstillsyn av vårdgivarens informationssäkerhet ii Socia Istyrelsen DRegion SydvästiSek4 Mikael Ramböl mikaetrarnbol@socialstyrelsen.se BESLUT 2011-06-15 Dnr 9.1-7139/2011 1(5) SU/Sahlgrenska Universitetssjukhuset Sjukhusdirektör Jan Eriksson Bruna

Läs mer

Rekommendation om behandling av personuppgifter om hälsa inom försäkringsbranschen

Rekommendation om behandling av personuppgifter om hälsa inom försäkringsbranschen Rekommendation om behandling av personuppgifter om hälsa inom försäkringsbranschen Rekommendation om behandling av personuppgifter om hälsa inom försäkringsbranschen Sveriges Försäkringsförbund (Förbundet)

Läs mer

Personuppgiftslagen konsekvenser för mitt företag

Personuppgiftslagen konsekvenser för mitt företag Personuppgiftslagen konsekvenser för mitt företag I denna promemoria finns information om personuppgiftslagen ( PuL ) som från och med den 1 oktober i år börjar gälla för de flesta behandlingar av personuppgifter

Läs mer

Tillsyn av Landstingsstyrelsen, Landstinget i Uppsala län, i anledning av Min journal via nätet

Tillsyn av Landstingsstyrelsen, Landstinget i Uppsala län, i anledning av Min journal via nätet Beslut Diarienr 2014-06-02 137-2014 Landstingsstyrelsen Landstinget i Uppsala län Box 602 751 25 Uppsala Tillsyn av Landstingsstyrelsen, Landstinget i Uppsala län, i anledning av Min journal via nätet

Läs mer

Checklista. För åtkomst till Svevac

Checklista. För åtkomst till Svevac Checklista För åtkomst till Svevac Innehållsförteckning 1 Inledning 2 2 Inloggning/autentisering i Svevac 2 3 Målet sammanhållen vaccinationsinformation 3 4 Säkerhetstjänsten 3 5 Detta är HSA 3 6 Detta

Läs mer

Meddelandeblad. Socialstyrelsens föreskrifter om bedömningen av egenvård

Meddelandeblad. Socialstyrelsens föreskrifter om bedömningen av egenvård Meddelandeblad Berörda: nämnder med ansvar för äldre- och handikappomsorg enl. SoL och LSS, landsting och kommuner (sjukvårdshuvudmän), enskilda vårdgivare, enskilda verksamheter enl. SoL och LSS, samverkansnämnder,

Läs mer

SOSFS 2009:6 (M och S) Föreskrifter. Bedömningen av om en hälso- och sjukvårdsåtgärd kan utföras som egenvård. Socialstyrelsens författningssamling

SOSFS 2009:6 (M och S) Föreskrifter. Bedömningen av om en hälso- och sjukvårdsåtgärd kan utföras som egenvård. Socialstyrelsens författningssamling SOSFS 2009:6 (M och S) Föreskrifter Bedömningen av om en hälso- och sjukvårdsåtgärd kan utföras som egenvård Socialstyrelsens författningssamling I Socialstyrelsens författningssamling (SOSFS) publiceras

Läs mer

Bättre överblick ännu bättre vård. Sammanhållen journalföring ger nya möjligheter för vården att få ta del av dina uppgifter

Bättre överblick ännu bättre vård. Sammanhållen journalföring ger nya möjligheter för vården att få ta del av dina uppgifter Bättre överblick ännu bättre vård ger nya möjligheter för vården att få ta del av dina uppgifter Bättre helhet införs nu successivt över hela Sverige. Ja, hos flera landsting, kommuner och privata vårdgivare

Läs mer

Rutiner för f r samverkan

Rutiner för f r samverkan Rutiner för f r samverkan Huvudmännen för hälso- och sjukvården och socialtjänsten ska tillsammans säkerställa att övergripande rutiner för samverkan i samband med egenvård utarbetas. Rutinerna ska tas

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering Beslut Dnr 2009-01-12 780-2008 Big Travel Sweden AB Jöns Filsgatan 3 203 12 Malmö Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering Datainspektionens

Läs mer

Frågor och svar om nationella vaccinationsregistret

Frågor och svar om nationella vaccinationsregistret Frågor och svar om nationella vaccinationsregistret Allmänt Vad är vaccinationsregistret? Vaccinationsregistret är ett hälsodataregister för nationella vaccinationsprogram. Folkhälsomyndigheten är ansvarig

Läs mer

Datainspektionens tillsyn av länsstyrelsernas elektroniska förvaltning

Datainspektionens tillsyn av länsstyrelsernas elektroniska förvaltning Bilaga 1 Datainspektionens tillsyn av länsstyrelsernas elektroniska förvaltning Datainspektionen granskade under år 2010 Länsstyrelsen i Västra Götalands hantering av personuppgifter i den elektroniska

Läs mer

Varför en ny lag? Patientlag 2015 2014-11-04

Varför en ny lag? Patientlag 2015 2014-11-04 Ny patientlag 2015 Varför en ny lag? Ökade krav på medbestämmande Ökad rörlighet Ökad tillgång till medicinsk kunskap för patienter Ökat erfarenhetsutbyte om sjukdom och behandlingar mellan patienter Ökad

Läs mer

Regler för behandling av personuppgifter samt blanketter för anmälan av personuppgiftsbehandling

Regler för behandling av personuppgifter samt blanketter för anmälan av personuppgiftsbehandling Regler för behandling av personuppgifter samt blanketter för anmälan av personuppgiftsbehandling enligt Personuppgiftslagen (1998:204) vid Göteborgs universitet. Regler för behandling av personuppgifter

Läs mer

kommunen som vårdgivare Information till Dig som är hemsjukvårdspatient, får rehabiliteringsinsatser och/eller hjälpmedel

kommunen som vårdgivare Information till Dig som är hemsjukvårdspatient, får rehabiliteringsinsatser och/eller hjälpmedel kommunen som vårdgivare Information till Dig som är hemsjukvårdspatient, får rehabiliteringsinsatser och/eller hjälpmedel 2013-06-26 INNEHÅLLSFÖRTECKNING Kommunen som vårdgivare 3 Hemsjukvårdspatient 3

Läs mer