1. Bakgrund och frågeställningar

Storlek: px
Starta visningen från sidan:

Download "1. Bakgrund och frågeställningar"

Transkript

1 132830, 2 PM Till: Från: Inera AB Kent Sangmyr och Charlene Holmström Datum: 4 november 2012 Angående: Juridisk slutrapport 1. Bakgrund och frågeställningar Vi har av Inera AB ( Inera ) fått i uppdrag att granska och utreda de legala aspekterna av projektet Mina intyg. Syftet har varit att undersöka om projektet ryms inom ramarna för gällande rätt samt identifiera de juridiska frågeställningar som kräver närmare utredning för projektets utformning och genomförande. Målsättningen med projektet är att upprätta en teknisk struktur som möjliggör för vårdgivare att skapa elektroniska sjukintyg som lagras centralt i en lagringstjänst ( Intygstjänsten ); varifrån invånaren ska kunna få tillgång till dessa via Webbtjänsten Mina intyg. Webbtjänsten förses med stark autentisering i form av e-legitimation och Webbtjänsten kommer att vara snarlik portaler som Mina vårdkontakter eller Invånaren ska via Webbtjänsten kunna styra vem som ska få tillgång till dennes intyg och när detta ska ske. Lagringen av intyg sker i Intygstjänsten, förvaltad av en extern aktör (förslagsvis Inera), på uppdrag av vårdgivaren utan invånarens samtycke. Vårdgivaren skriver personuppgiftsbiträdesavtal med den externa aktören. Samtliga intyg som utfärdas inom vården lagras i Intygstjänsten oavsett om dessa skickas vidare av invånaren eller inte. När en läkare utfärdar ett läkarintyg sparas det ner i vårdgivarens journalsystem samtidigt som en kopia lagras i Intygstjänsten. Intygen i Intygstjänsten skickas inte vidare eller används utan invånarens samtycke eller aktiva agerande. Som ett led i moderniseringen av hanteringen av läkarintyg har man i projektet också velat ta fram och utforma ett särskilt arbetsgivarintyg, som ska skickas till arbetsgivaren vid en anställds sjukfrånvaro. Den juridiska utredningen har haft att utröna i vilken omfattning Försäkringskassans befintliga läkarintyg SK 7263 kan återanvändas för ett arbetsgivarintyg samt vilken information en arbetsgivare har rätt att kräva vid en arbetstagares sjukfrånvaro. Utöver Intygstjänsten ska Inera utveckla en tjänst för sammanställning av statistik ( Statistiktjänst ). Inera ska utifrån de läkarintyg som lagras i Intygstjänsten kunna hämta och sammanställa information och statistik över sjukskrivningar utifrån bl.a. sjukdom, ålder, kön, ort etc. Syftet är bl.a. att effektivisera vården och förbättra sjukskrivningsprocessen. Utgångspunkten är att all information som samlas in och sammanställs ska avidentifieras. All personrelaterad data är borttaget så att informationen och statistiken inte ska gå att spåra till en enskild individ. Textfält som kan innehålla uppgifter om patienten används inte. Borttagen persondata ersätts t.ex. med egenskaper som Kvinna, 49 år.

2 Med Statistiktjänsten ska vården kunna följa upp kvaliteten i utfärdade elektroniska läkarintyg för att: Se sjukskrivningsmönster över tid och olika delar av landet. Möjliggöra uppföljning på flera nivåer: - enskild läkarnivå, - vårdgivarnivå, - nationell nivå. Vi har fått i uppdrag att utifrån de ovan nämnda utgångspunkterna identifiera vilka juridiska frågeställningar avseende projektets utformning som kräver närmare utredning. Den juridiska utredningen har framförallt kretsat kring Intygstjänsten, Statistiktjänsten samt utformningen av ett arbetsgivarintyg vid sjukfrånvaro. Vi har med utgångspunkt i detta identifierat följande frågeställningar. Intygstjänsten 1. Vem ansvarar för patienters personuppgifter vid lagring av läkarintyg? 2. Är läkarintyg en journalhandling? 3. Vem äger en patientjournal? 4. Vilka säkerhetskrav ska iakttas enligt Patientdatalagen (2008:355) (PDL) och Personuppgiftslagen (1998:294) (PUL) vid lagring av personuppgifter via ITlösningar? 5. Vilket ansvar åvilar vården vid anlitandet av en extern aktör för hantering av patienters personuppgifter? 6. Är det tillräckligt att vårdgivare upprättar personuppgiftsbiträdesavtal med de aktörer som ska förvalta Intygstjänsten? 7. Måste patienten lämna sitt samtycke vid lagring och hur ska i sådana fall samtycket vara utformat? 8. Finns det tillfällen då ett lämnat samtycke inte kan anses vara giltigt? 9. Hur lång tid får läkarintyg lagras i Intygstjänsten enligt PDL och PUL? 10. Finns det begränsningar för överföring av läkarintyg från Intygstjänsten? 11. Föreligger det några hinder, innan eller efter patienten tagit del av informationen, för vårdgivare att gå in i Intygstjänsten och rätta läkarintyg som blivit felaktiga? 2 / 32

3 12. Ska sekretessprövning enligt Offentlighet- och sekretesslagen (2009:400) (OSL) ske vid all överföring av läkarintyg? 13. Måste en sekretessprövning enligt OSL göras för att patienten ska kunna få ta del av sina egna läkarintyg via Mina intyg? 14. Krävs sekretessförbehåll vid överföring av läkarintyg till exempelvis Försäkringskassan, andra myndigheter eller privata aktörer? 15. Hur ska spärrade patientuppgifter behandlas i Intygstjänsten? 16. Hur ska skyddade personuppgifter hanteras i Intygstjänsten? 17. Vad är arbetstagaren enligt Socialförsäkringsbalken (2010:110) och lagen (1991:1047) om sjuklön skyldig att uppge i ett läkarintyg för beviljande av sjuklön? 18. I vilken omfattning kan Försäkringskassans läkarintyg SK 7263 återanvändas vid utformningen av ett arbetsgivarintyg? Statistiktjänsten 1. I vilken omfattning och under vilka förutsättningar kan känsliga personuppgifter såsom läkarintyg används för sammanställning av statistik? 2. Krävs samtycke från invånaren för att samla in personuppgifter för statistiska ändamål? 3. Vilken nivå av avidentifiering krävs enligt lag för statistiska ändamål? 4. Finns det några begräsningar för hur avidentifierade uppgifter får behandlas för statistiska ändamål? Var går gränsen för urval med beaktande av risken för möjlighet att identifiera enskilda personer vid för litet urval? 5. Under vilka förutsättningar kan vårdgivare följa upp avidentifierad information utifrån statistiska underlag (d.v.s. är det möjligt att koppla statistik till enskilda vårdgivare/ ärenden/ patienter)? 6. Finns det särskilda behörighetskrav som måste uppställas för användningen av Statistiktjänsten? 3 / 32

4 2. Nuläge juridiska utredningar och status i förhållande till behov av ändringar i gällande lagstiftning Advokatfirman Delphi har på uppdrag av Inera genomfört juridiska utredningar enligt nedan och kommit fram till att Intygstjänsten respektive Statistiktjänsten kan utformas på så sätt att inga konflikter med gällande lagstiftning uppstår. Efter samråd med Datainspektionen den 24 september 2012 kan vi emellertid konstatera att det finns behov av ändringar i lagstiftningen avseende samkörning av personuppgifter för att Statistiktjänsten ska kunna fungera i enlighet med de behov och önskemål som finns inom vården, se nedan p Härutöver vill vi understryka att det i övrigt under projektets fortsatta gång kan dyka upp ytterligare juridiska frågeställningar som kräver utredningsarbete. Vi vill därmed reservera oss för att vi under det fortsatta utredningsarbetet kan stöta på spörsmål i projektet som kan vara i konflikt med gällande rätt och därmed kräva ändring i lagstiftning för att kunna genomföras. Vi bedömer emellertid i nuläget att risken för sådana konflikter är relativt låg. 3. Övergripande utgångspunkter för den juridiska utredningen Enligt 5 kap. 5 PDL får vårdgivaren medge en invånare direktåtkomst till delar av eller hela sin patientjournal via internet. Bestämmelsen innebär enbart att vårdgivaren får erbjuda detta, däremot föreligger det ingen skyldighet för vårdgivaren att bevilja enskilda åtkomst. I förevarande fall ska enskilda beviljas åtkomst till delar av sin patientjournal, närmare bestämt läkarintyg. Läkarintyg innehåller uppgifter om enskilda personer och deras hälsa. Behandling av personuppgifter regleras i såväl PUL som i PDL. De generella bestämmelserna om behandling av personuppgifter finns i PUL medan PDL innehåller särskilda bestämmelser om behandling av personuppgifter inom hälso- och sjukvården. Om det finns andra bestämmelser, utöver de i PUL, som reglerar bevarande av personuppgifter ska dessa bestämmelser tillämpas. Således ska PUL och PDL tillämpas parallellt vid hantering av läkarintyg. Enligt PUL utgör uppgifter om hälsa s.k. känsliga uppgifter och får normalt enbart behandlas om den enskilde har lämnat sitt uttryckliga samtycke till behandlingen eller om uppgifterna ska behandlas för hälso- och sjukvårds ändamål och behandlingen är nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård. Känsliga personuppgifter får även, utan den enskildes samtycke, behandlas för statistiska ändamål förutsatt att behandlingen är nödvändig och att samhällsintresset av behandlingen klart väger över riskerna för otillbörligt intrång i den personliga integriteten. Av förarbetena till PDL framgår att personuppgifter som primärt samlas in därför att de behövs för vårddokumentationen i hälso- och sjukvården också får lov att användas för statistiskt underlag i form av exempelvis utvärdering eller verksamhetsuppföljning på ett mer eller mindre övergripande plan inom en vårdgivares verksamhet även utan samtycke från den enskilde. Det är dock inte tillåtet att basera verksamhetsuppföljningen på personuppgifter, som direkt eller indirekt kan hänföras till en enskild person, om det är tillräckligt att 4 / 32

5 avidentifierade uppgifter används istället. Utgångspunkten är således att personuppgifter som behövs för statistiska ändamål, utvärdering, uppföljning etc. ska behandlas avidentifierat. I PDL och Socialstyrelsens föreskrifter finns särskilda bestämmelser om hur känsliga personuppgifter om patienter får hanteras. Enligt bestämmelserna ska vårdgivare vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas inom hälso- och sjukvården. Om vårdgivaren använder öppna nät för att hantera personuppgifter, ska vårdgivaren ansvara för att det finns rutiner som säkerställer att överföring av personuppgifter görs på ett sådant sätt att ingen obehörig kan ta del av uppgifterna. Detta görs lämpligen med hjälp av kryptering och stark autentisering. För all hantering av personuppgifter ska det vidare finnas en personuppgiftsansvarig som är ytterst ansvarig för behandlingen. Personuppgiftsansvarig är normalt den juridiska person eller den myndighet som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad uppgifterna ska användas till. Enligt 6 PDL är det vårdgivaren, d.v.s. den som utför hälso- och sjukvårdsbehandling, som är personuppgiftsansvarig för de uppgifter denne behandlar i sin verksamhet. Utöver personuppgiftsansvarig kan det också förekomma s.k. personuppgiftsbiträden som behandlar personuppgifter för den personuppgiftsansvariges räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation. Biträdet kan exempelvis vara en servicebyrå eller ett företag som behandlar personuppgifter på uppdrag av den personuppgiftsansvarige. Om den personuppgiftsansvarige anlitar ett personuppgiftsbiträde för någon del av personuppgiftshanteringen krävs ett s.k. personuppgiftsbiträdesavtal. I avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet bara får behandla personuppgifterna i enlighet med instruktioner och riktlinjer från den personuppgiftsansvarige och att biträdet måste vidta de säkerhetsåtgärder som behövs för att skydda uppgifterna. Biträdet har därmed inte möjlighet att själv bestämma för vilka ändamål personuppgifterna ska behandlas. Vid behandling av personuppgifter är personuppgiftsansvarig skyldig att informera den enskilde om den behandling som sker. Informationen ska innehålla uppgifter om personuppgiftsansvarig och eventuella biträden, ändamålen med den behandling för vilka uppgifterna är avsedda och all ytterligare information som är nödvändig för att den enskilde ska kunna ta till vara sina rättigheter i samband med behandlingen. 4. Intygstjänsten 4.1 Vem ansvarar för patienters personuppgifter vid lagring av intyg i Intygstjänsten? Enligt 6 PDL är vårdgivaren, d.v.s. den som utför hälso- och sjukvårdsbehandling, personuppgiftsansvarig för de uppgifter denne behandlar i sin verksamhet. I förevarande fall är det således respektive vårdgivare som är primärt ansvarig för personuppgifterna. 5 / 32

6 Utöver personuppgiftsansvarig kan det också förekomma s.k. personuppgiftsbiträden som behandlar personuppgifter för den personuppgiftsansvariges räkning. I förevarande fall utgör den externa aktör som ska förvalta Intygstjänsten ett personuppgiftsbiträde. Respektive vårdgivare har att upprätta skriftliga personuppgiftsbiträdesavtal med det tilltänkta personuppgiftsbiträdet. När vårdgivaren anlitar ett personuppgiftsbiträde, ska vårdgivaren förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna. Det är viktigt att notera att även om vårdgivaren anlitar ett personuppgiftsbiträde är det alltid vårdgivaren själv som bär det yttersta ansvaret gentemot invånarna. Personuppgiftsansvaret kan således inte överlåtas. De personer vars uppgifter behandlas har alltid rätt att vända sig till vårdgivaren och framställa eventuella krav eller klagomål på felaktig behandling av personuppgifter. 4.2 Lagring av läkarintyg i Intygstjänsten Är läkarintyg en journalhandling? Med journalhandling enligt PDL avses en framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel och som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder. Till patientjournalen hör även alla de dokument, intyg, rapporter m.m. som kommer in till den aktuella sjukvårdsenheten eller som upprättas där. Eftersom PDL är teknikneutral saknar det betydelse vilket medium en patientuppgift upptagits på för att informationen ska kunna ingå i patientjournalen. Med journalhandling avses följaktligen inte bara anteckningar som förs vid läkarbesök på papper eller i elektroniskt format utan även röntgenbilder, labbsvar, diktafonupptagningar m.m. Med beaktande av vad som sagts ovan ska intyg i alla dess former, inklusive läkarintyg, anses utgöra en journalhandling enligt PDL Vem äger en patientjournal? Varken PDL eller annan lagstiftning innehåller några specifika bestämmelser om vem som äger journalhandlingar. Däremot bär vårdgivare enligt PDL och Socialstyrelsens föreskrifter om informationshantering och journalföring i hälso- och sjukvården (SOSFS 2008:14) det yttersta ansvaret för hanteringen av patientjournaler. Eftersom vårdgivare ålagts en skyldighet för journalers upprättande och hantering torde det också vara vårdgivarna som äger rätten att förfoga över dessa. 6 / 32

7 4.2.3 Hur lång tid får intyg lagras i Intygstjänsten? Enligt PUL ska personuppgifter inte bevaras längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Endast personuppgifter som bevaras för historiska, statistiska eller vetenskapliga ändamål får bevaras under längre tid. Uppgifterna får emellertid inte bevaras längre än vad som behövs för dessa ändamål. Följaktligen är det ändamålet, det vill säga anledningen till att personuppgifterna behandlas, som avgör hur länge uppgifterna får bevaras. Enligt PDL ska en journalhandling bevaras minst tio år efter det att den sista uppgiften fördes in i handlingen. I enlighet med PUL och PDL ska intygen i Intygstjänsten följaktligen lagras i minst tio år och därefter inte längre än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Eftersom vårdgivaren bestämmer för vilket ändamål uppgifterna behandlas har vårdgivaren i stor utsträckning möjlighet att påverka hur lång tid uppgifterna kan lagras. Noteras bör att PDL endast uppställer ett minimikrav och att det i flera fall kan finnas anledning att bevara journalhandlingar längre än tio år. Förutsatt att vårdgivaren formulerar ändamålen med behandlingen på så vis att lagring av intyg är nödvändig även efter det att minimikravet om tio år passerat ser vi inga hinder för att intyg lagras längre än tio år i Intygstjänsten Föreligger det några hinder, innan eller efter patienten tagit del av informationen, för vårdgivare att gå in i Intygstjänsten och rätta/gallra/ spärra eller blockera läkarintyg som blivit felaktiga? Enligt PUL har den personuppgiftsansvarige en skyldighet att se till att de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella. Vidare ska den personuppgiftsansvarige se till att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Den personuppgiftsansvarige måste således självmant vara aktiv för att se till att behandlade uppgifter är korrekta. Det ska även påpekas att den personuppgiftsansvarige på patients begäran är skyldig att snarast rätta, blockera eller utplåna felaktiga personuppgifter. Även om PUL stadgar en skyldighet för personuppgiftsansvarig att blockera eller förstöra felaktiga personuppgifter följer det av 8 kap. 3-4 PDL att uppgifter i en journalhandling endast efter beslut från Socialstyrelsen får utplånas eller göras oläsliga. I alla andra fall ska enbart rättelse göras. Det är härvid utan betydelse huruvida patienten tagit del av informationen ännu eller ej. Vid rättelse av en felaktighet ska det anges när rättelsen har skett och vem som har gjort den. Om en felaktig uppgift rättas ska både den felaktiga och den rättade uppgiften finnas i journalen. Samtliga journalhandlingar ska bevaras i tio år i enlighet med PDL, även om uppgifterna är felaktiga. Någon möjlighet att gallra den felaktiga uppgiften finns således inte. Vårdgivaren bör emellertid kunna begränsa patientens tillgång till felaktiga intyg med beaktande av att vårdgivaren inte per se har någon skyldighet att tillhandahålla enskilda direktåtkomst till journalhandlingar, se 5 kap 5 PDL. I de fall vårdgivaren väljer att 7 / 32

8 begränsa patientens åtkomst till journalhandlingar ska patienten informeras om att ett urval har skett samt grunderna för detta Arkivlagen Utöver vad som sagts ovan bör noteras att även Arkivlagen (1990:782) reglerar hantering av journalhandlingar. Allmänna vårdgivare, t.ex. landstingen och kommunerna, är enligt lagen skyldiga att följa särskilda bestämmelser angående arkivering av allmänna handlingar. Eftersom intyg och kopior av intyg upprättas i vårdgivarens verksamhet utgör intyg och kopior av intyg allmänna handlingar som ska ingå i offentliga vårdgivares arkiv. Arkivlagen stadgar att myndigheters arkiv är en del av det nationella kulturarvet varför de ska bevaras, hållas ordnade och vårdas så att de tillgodoser (1) rätten att ta del av allmänna handlingar; (2) behovet av information för rättskipningen och förvaltningen; samt (3) forskningens behov. Arkivlagen stadgar att allmänna handlingar får gallras, dock under förutsättning att det arkivmaterial som återstår ska kunna tillgodose de tre ändamål som angetts ovan. Utgångspunkten är således att allmänna handlingar ska bevaras men de får gallras efter att handlingarnas värde har utretts med hänsyn till ändamålen med myndigheternas arkiv. Om vård bedrivs i bolag, förening eller stiftelse som kommuner och landsting utövar ett rättsligt bestämmande inflytande över gäller arkivlagens bestämmelser även för dessa. Däremot gäller inte arkivlagen för privata vårdgivare eftersom de varken utgör myndigheter eller anges speciellt som organ omfattandes av arkivlagens regler. Det ska dock påpekas att en privat vårdgivare som övertagit allmänna handlingar från en myndighet med stöd av lagen (1994:1383) om överlämnande av allmänna handlingar till andra organ än myndigheter för förvaring också har att följa arkivlagen i tillämpliga delar Slutsats - lagring av läkarintyg i Intygstjänsten Eftersom läkarintyg utgör journalhandlingar samt innehåller personuppgifter om invånare ska såväl PUL som PDL tillämpas vid lagring av läkarintyg. I enlighet med lag ska intygen i Intygstjänsten lagras i minst tio år och därefter inte längre än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Eftersom vårdgivaren bestämmer för vilket ändamål uppgifterna behandlas har vårdgivaren i stor utsträckning möjlighet att påverka hur lång tid uppgifterna kan lagras. Förutsatt att vårdgivaren formulerar ändamålen med behandlingen på så vis att lagring av intyg är nödvändig även efter det att minimikravet om tio år passerat ser vi inga hinder för att intyg lagras längre än tio år i Intygstjänsten. Vårdgivaren har dock inte rätt att gallra eller makulera felaktiga intyg i Intygstjänsten. Vid eventuella felaktigheter ska rättelse ske varefter både det rättade och det felaktiga intyget ska bevaras i enlighet med PDL. Det torde emellertid inte föreligga några hinder för vårdgivaren att begränsa patienters tillgång till felaktiga intyg eftersom vårgivaren ytterst bestämmer i vilken omfattning patienter ska ha rätt till elektronisk åtkomst av journalhandlingar. 8 / 32

9 4.3 Vilka säkerhetskrav ska iakttas enligt PUL och PDL vid lagring av personuppgifter via IT-lösningar? I PDL och Socialstyrelsens föreskrifter om journalföring och informationssäkerhet (2008:14) finns bestämmelser om hur personuppgifter om patienter får hanteras. Enligt bestämmelserna ska en vårdgivare vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas inom hälso- och sjukvården. Av detta följer att känsliga personuppgifter ska vid överföring via öppet nät förses med lämpliga säkerhetsåtgärder. Nivån på säkerheten ska anpassas till: vilka integritetsrisker behandlingen medför, hur känsliga de behandlade personuppgifterna är, vilka tekniska möjligheter som finns och vad det kostar att genomföra åtgärderna. Känsligheten hos de personuppgifter som behandlas beror på flera faktorer och måste alltid bedömas särskilt. Beskaffenheten av de uppgifter som behandlas har stor betydelse men även mängden av uppgifter om varje person måste beaktas eftersom mängden avgör hur detaljerad bild av en enskild individ som kan erhållas. En särskild riskfaktor som bör beaktas är antalet personer som uppgifterna avser. När vårdgivare hanterar uppgifter om ett stort antal personer torde risken för omfattande skador till följd av ett säkerhetsangrepp vara större och säkerhetsåtgärderna planeras därefter. Uppgifternas art, mängd och omfattning är alltså av stor betydelse för vilken säkerhet som bör iakttas. Om känsliga uppgifter behandlas ställs generellt högre krav på säkerheten. Enligt Socialstyrelsens föreskrifter ska vårdgivaren vidare ansvara för att det i verksamhetens ledningssystem för kvalitet och patientsäkerhet finns en dokumenterad informationssäkerhetspolicy. Alla vårdgivare ska ha en informationssäkerhetspolicy, även de som inte dokumenterar patientuppgifter elektroniskt. I policyn ska organisationens säkerhetsstrategi, ansvarsfördelning och övergripande mål för säkerheten redovisas. Policyn ska säkerställa att personuppgifter i vårdgivarens system är åtkomliga och användbara för den som är behörig (tillgänglighet), personuppgifterna är riktiga (riktighet), obehöriga inte ska kunna ta del av personuppgifterna (sekretess/behörighetskontroll), och det i sådana informationssystem som är helt eller delvis automatiserade är möjligt att i efterhand entydigt kunna härleda och spåra åtgärder till en identifierad användare (spårbarhet) Behörighetskontroll Enligt bestämmelserna i såväl PDL som i Socialstyrelsens föreskrifter ansvarar vårdgivaren för att det finns rutiner som säkerställer att personuppgifter överförs så att ingen obehörig kan ta del av uppgifterna. Om vårdgivaren använder öppna nät, exempelvis internet eller Sjunet, 9 / 32

10 för att hantera personuppgifter, ska i regel kryptering och stark autentisering användas; särskilt när det kommer till känsliga personuppgifter enligt 13 PUL. Känsliga personuppgifter får endast lämnas ut via öppna nät till identifierade användare vars identitet är säkerställd med en teknisk funktion som kryptering, engångslösenord eller motsvarande. I dessa fall räcker det inte med exempelvis användarnamn och lösenord eller pinkod som metod för autentisering. För att en behörig användare ska få tillgång till personuppgifter via öppna nät måste vårdgivaren följaktligen kräva en s.k. stark autentisering. Det innebär att vårdgivaren använder inloggningslösningar som ställer krav på att identiteten kontrolleras på minst två olika sätt, s.k. tvåfaktorsinloggning. En etablerad metod för autentisering är att använda en e-legitimation. Det är ett certifikat som man antingen sparar på sin dator (certifikat på fil), på ett smartkort eller i en mobiltelefon. Med hjälp av certifikatet och det tillhörande lösenordet skapas förutsättningar för stark autentisering. Kravet på stark autentisering gäller både för vårdgivarens åtkomst till personuppgifterna och för patienternas direktåtkomst till sina egna journalhandlingar, se 2 kap. 5 och 13 SOSFS 2008:14. I praktiken innebär det ovansagda bl.a. att all överföring av personuppgifter i öppna nät ska ske genom en krypterad förbindelse eller genom att uppgifterna krypteras. En vedertagen krypteringsmetod för att kryptera förbindelser är SSL (Secure Sockets Layer) som används för att kryptera kommunikationen mellan två punkter som använder Internets infrastruktur. SSL kan utnyttja 128-bitars kryptering, vilken i dagsläget är accepterad som en tillräcklig skyddsnivå. Dagens teknikutveckling medför emellertid att krypteringslösningar ständigt måste förbättras för att minimera risken för obehörig åtkomst Spårbarhet En vårdgivare ska enligt 4 kap. 3 PDL se till att all elektronisk åtkomst till personuppgifter dokumenteras så att de kan kontrolleras i efterhand. För att kunna kontrollera vilka som har haft tillgång till personuppgifterna bör det finnas en behandlingshistorik, s.k. logg. Hur loggen ska utformas beror på hur känsliga personuppgifterna är. Normalt ska den vara så detaljerad att den kan användas för att utreda om personuppgifter har använts felaktigt eller obehörigt. Om personuppgifterna är känsliga ska loggen visa användaridentitet, tidpunkt och vilka personuppgifter användaren har haft tillgång till även om användaren bara har läst informationen. Loggen ger också ett förebyggande skydd. En förutsättning är dock att användarna informeras om att all användning loggas och att loggen följs upp Slutsats - säkerhetskrav för Intygstjänsten En vårdgivare ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas inom hälso- och sjukvården. Vårdgivaren ansvarar för att det i verksamhetens ledningssystem finns en dokumenterad informationssäkerhetspolicy. I policyn ska organisationens säkerhetsstrategi, ansvarsfördelning och övergripande mål för säkerheten redovisas. Vårdgivaren ska vidare upprätta risk- och sårbarhetsanalyser för att utreda vilka säkerhetsnivå som ska gälla för skyddet av den information som vårdgivaren behandlar. 10 / 32

11 Vårdgivaren ansvarar för att det finns rutiner som säkerställer att personuppgifter hanteras och överförs så att ingen obehörig kan ta del av uppgifterna. Om vårdgivaren eller någon annan på dennes uppdrag använder öppna nät, exempelvis internet eller Sjunet, för att hantera personuppgifter, ska i regel kryptering och stark autentisering användas, i synnerhet rörande känsliga personuppgifter. Känsliga personuppgifter får endast lämnas ut via öppna nät till identifierade användare vars identitet är säkerställd med en teknisk funktion som kryptering, engångslösenord eller motsvarande. I dessa fall räcker det inte med exempelvis användarnamn och lösenord eller pinkod som metod för autentisering. För att en behörig användare ska få tillgång till känsliga personuppgifter via öppna nät måste stark autentisering tillämpas. Härtill ska vårdgivaren se till att all elektronisk åtkomst till personuppgifter dokumenteras i loggar så att de kan kontrolleras i efterhand. Normalt ska loggarna vara så detaljerad att de kan användas för att utreda om personuppgifter har använts felaktigt eller obehörigt. Loggarna ska visa användaridentitet, tidpunkt och vilka personuppgifter användaren har haft tillgång till. 4.4 Sekretess inom hälso- och sjukvården Hälso- och sjukvårdssekretessen Vårdgivare i den offentligt drivna vården omfattas av OSL. Motsvarande sekretessbestämmelser finns för privata vårdgivare i Patientsäkerhetslagen (2010:659) (PSL). Enligt 25 kap. 1 OSL 1 gäller sekretess inom hälso- och sjukvården för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Uttrycket men har getts en mycket vid innebörd och enligt förarbetena avses i princip allt som av den enskilde kan uppfattas som ett mera påtagligt obehag. I första hand åsyftas sådana skador som innebär att någon blir utsatt för andras missaktning om hans personliga förhållanden blir kända. Redan den omständigheten att vissa personer känner till en för någon enskild ömtålig uppgift kan enligt förarbetena i många fall anses vara tillräckligt för att medföra men. Utgångspunkten för en bedömning av om men föreligger måste således vara den berörda personens egen upplevelse. Bedömningen måste självfallet i viss utsträckning kunna korrigeras på grundval av gängse värderingar i samhället. Exempelvis kan enbart det förhållandet att en person tycker att det i största allmänhet är obehagligt att andra vet var han bor enligt förarbetena inte anses innebära men i här avsedd bemärkelse. Det faktum att bestämmelsen har ett omvänt skaderekvisit, d.v.s. presumtion för sekretess föreligger tills motsats visas, visar sekretessens dignitet inom hälso- och sjukvårdens område. Sekretessen är emellertid inte undantagslös. Oaktat sekretess kan uppgifter lämnas ut om det inte är till men för den som sekretessen i förekommande fall ska skydda (d.v.s. patient, 1 Jfr 6 kap. 12 PSL enligt vilken den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården inte obehörigen får röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden. Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning. 11 / 32

12 närstående till patient, en avlidens minne, uppgiftslämnare eller närstående till uppgiftslämnare), om samtycke finns från patienten eller om det finns lagstadgade undantag från sekretessen. Sådana lagstadgade undantag finns bl.a. för utlämnande av uppgifter mellan olika vårdgivare. Uppgifter inom hälso- och sjukvården får lämnas: Från en myndighet (nämnd) som bedriver hälso- och sjukvård till en annan sådan myndighet (nämnd) i samma kommun eller samma landsting (s.k. sekretessgenombrott enligt 25 kap. 11 första och andra punkten OSL). Från en myndighet i en kommun eller ett landsting till kommunala företag i samma kommun eller landsting som avses i 2 kap. 3 OSL (dvs. bolag, föreningar och stiftelser där kommuner eller landsting äger mer än 50 procent av aktierna.)den sekretessbrytande bestämmelsen är däremot inte tillämplig på utlämnande av uppgifter mellan en myndighet och en privat vårdgivare, som landstinget eller kommunen inte har ägandeinflytande över. Till en annan vårdgivare enligt reglerna om sammanhållen journalföring enligt 6 kap. PDL. Härtill hindrar inte sekretessen att uppgifter lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller till en enskild vårdgivare om den enskilde på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en uppgift lämnas ut och uppgifterna om honom eller henne behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd. Enligt Tryckfrihetsförordningen har visserligen vem som helst rätt att begära att få ut allmänna handlingar inklusive patientjournaler, men långt ifrån alla får bifall för sin begäran. Hälso- och sjukvårdsekretessen gäller som huvudregel gentemot envar, inklusive patientens anhöriga eller närstående och även patienten själv i vissa fall om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne. Även inom den enskilda hälso- och sjukvården har patienten eller närstående till patienten rätt enligt 8 kap. 2 PDL att begära ut journalhandlingar om inte annat följer av 6 kap. 12 eller 13 första stycket PSL. Enligt PSL är det endast i undantagssituationer en vårdgivare kan begränsa patientens rätt att ta del av journalhandlingar exempelvis för att skydda en uppgiftslämnares identitet eller om ett röjande av uppgifter skulle påverka den fortsatta vården av patienten menligt (detta gäller främst inom psykiatrin). Innan beslut om utlämnande fattas ska en menprövning göras. Vid en sådan prövning utgår man från den uppgift som begärs ut, d.v.s. vad det är för typ av uppgift, och bedömning sker sedan av huruvida det kan antas vara till men för den enskilde (eller någon närstående) att lämna ut uppgiften. Utgångspunkten för bedömningen är den berörda personens egen upplevelse. I undantagsfall kan menprövningen utgå om uppgiftsskyldighet föreligger enligt lag eller informationsöverföring får ske på grund av särskild sekretessbrytandebestämmelse i OSL. Prövningen bör göras av någon som har god insikt i ärendet och patientens situation. 12 / 32

13 Vanligtvis är det den läkare som ansvarar för vården eller medicinskt ansvarig sjuksköterska som ansvarar för att menprövning har gjorts innan sekretessbelagda uppgifter lämnas ut Inre sekretess Utöver hälso- och sjukvårdssekretessen enligt OSL och sekretessen enligt PSL finns det ytterligare sekretessbestämmelser som ska iakttas vid hanteringen av journalhandlingar. Uppgifter i patientjournaler är enligt 4 kap. 1 PDL som huvudregel sekretessbelagda även i förhållande till personalen hos vårdgivaren, s.k. inre sekretess till förmån för patienten och dennes integritet. Endast den som deltar i vården av patienten eller av annat skäl behöver uppgifterna för utförandet av sitt arbete inom hälso- och sjukvården har rätt att ta del av information om patienten. Den inre sekretessen gäller för all dokumenterad information om patienter, d.v.s. även vårddokumentation så som administrativ dokumentation, kvalitetsregisteruppgifter etc. som behandlas enligt PDL. Tillämpningsområdet för bestämmelsen är inte begränsat till enbart hälso- och sjukvårdspersonal vid en viss enhet och dess arbete på enheten, utan bestämmelsen omfattar all personal oavsett var den tjänstgör. Bestämmelsen ålägger följaktligen envar inom vården att inte ta del av mer uppgifter än vad som är nödvändigt för utförandet av arbete åt vårdgivaren. Övriga bestämmelser i 4 kap. PDL ålägger vårdgivaren ett ansvar att upprätthålla den inre sekretessen och följaktligen ha kontroll över och begränsa åtkomsten till patientuppgifter. Enligt 4 kap. 2 PDL är vårdgivaren ansvarig för att tilldela behörighet för elektronisk åtkomst till patientuppgifter på ett sådant sätt att personalen inte har mer behörighet än vad de behöver för att kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Vårdgivaren ska se till att varje användare tilldelas en individuell behörighet för åtkomst till patientuppgifter. Detta innebär att endast personliga inloggningar är tillåtna och att inga så kallade gruppkonton får förekomma. Användarnas behörighet i vårdgivarens informationssystem måste vara anpassad till deras arbetsuppgifter. Olika kategorier av hälsooch sjukvårdspersonal kan behöva olika behörigheter till uppgifter i informationssystemen. Behörigheten ska därför begränsas till vad varje person behöver för att kunna ge patienterna en god och säker vård. För att varje användare ska få rätt behörighet måste vårdgivaren genomföra riskanalyser. Riskanalyserna ska ta hänsyn till vilka risker det kan innebära om personalen har för lite respektive för mycket tillgång till olika patientuppgifter. Vissa patientuppgifter kan kräva att särskilda riskbedömningar görs, till exempel uppgifter som är sekretessmarkerade. Generellt sett kan det vara nödvändigt med fler behörighetsnivåer ju mer omfattande ett informationssystem är. 2 Härutöver kan det också finnas personal som kan behöva ha tillgång till patientinformation trots att de inte arbetar med vård utan med verksamhetsuppföljning, statistikframställning, 2 prop. 2007/08:126 s / 32

14 central ekonomiadministration och liknande verksamhet som inte är individorienterad. I förarbetena till PDL har man ansett att det för den här kategorin av anställda i de flesta fall borde räcka med tillgång till indirekta uppgifter som inte kan härledas till enskilda patienter. Följaktligen ska patientuppgifter, i den mån de inte är nödvändiga för behandlingen, avidentifieras eller pseudonymieras. Inom det administrativa området bör det lämpligen bara vara enstaka personer som har elektronisk åtkomst till kodnycklar, personnummer och andra uppgifter som direkt pekar ut enskilda. 3 Den person inom en vårdgivares verksamhet som har det yttersta ansvaret för uppföljning av patientuppgifters kvalitet och ändamålsenlighet samt utdelade behörigheter är verksamhetschefen. Verksamhetschefen är den person inom vården som rimligtvis bör ha tillgång till sammanställd information som omfattar patientuppgifter. Viktigt att notera är att även vid verksamhetsuppföljning och kvalitetssäkring ska patientuppgifter endast behandlas i den mån det är nödvändigt Finns det begränsningar för överföring av intyg från vården till Intygstjänsten med beaktande av sekretess? Enligt huvudregeln omfattas journalhandlingar av sekretess och en sekretessprövning måste i regel göras innan handlingarna kan lämnas ut. Överföring av intyg till Intygstjänsten är emellertid inte att betraktas som ett utlämnande av handling eftersom Intygstjänsten är en databas som får anses utgöra en del av vårdgivarens patientjournalsystem, som vårdgivaren genom personuppgiftsbiträdesavtal överlåtit till en extern förvaltare att administrera. Några begränsningar med beaktande av sekretessbestämmelserna i OSL eller PSL finns således inte för vårdgivarens överföring av intyg till Intygstjänsten. Däremot kan det som ovan nämnts i p finnas vissa begräsningar för tillgängliggörandet av intyg för patienten. Med beaktande av risken för sekretess även i förhållande till den enskilde själv rekommenderar vi att en menprövning görs innan patienten får ta del av läkarintyg i Intygstjänsten. En sådan prövning ska rimligtvis göras av den vårdande läkaren som utfärdar intyget och därmed lämpligen innan eller i samband med att intyget överförs till Intygstjänsten Finns det begränsningar för överföring av intyg från Intygstjänsten till externa aktörer med beaktande av sekretess? Eftersom invånaren i förevarande fall har rätt att själv förfoga över journalhandlingar i Intygstjänsten och själv avgör till vem handlingar ska lämnas ut finns det följaktligen inga begräsningar som måste iakttas vid överföringen av intyg från Intygstjänsten med beaktande av sekretess. Det ska dock påpekas att den enskilde genom samtycke inte kan häva sådan sekretess som gäller mot denne själv. 3 prop. 2007/07:126 s / 32

15 Här bör emellertid noteras att det faktum att uppgifter i journalhandlingar omfattas av sekretess så länge de befinner sig inom vården inte per se medför att de kommer att omfattas av sekretess också efter en överföring från Intygstjänsten. Vid överföring av handlingar mellan myndigheter eller vårdgivare överförs sekretessen visserligen i de fall den mottagande myndigheten eller vårdgivaren omfattas av motsvarande sekretess som den överlämnande myndigheten. Däremot finns det inga garantier för att sekretessen består vid överföring till andra privata aktörer. Huruvida sekretess föreligger även efter det att uppgifterna överförts beror på om den mottagande aktören omfattas av sekretessbestämmelser enligt lag eller om den mottagande aktören civilrättsligt åtagit sig ett sekretessförbehåll Hantering av spärrade patientuppgifter i Intygstjänsten Om en patient inte vill att dennes patientuppgifter ska ingå i ett system för sammanhållen journalföring eller vara tillgängliga för andra vårdenheter hos en vårdgivare, kan patienten enligt 4 kap. 4 PDL begära att uppgifterna spärras. Vid spärrning begränsas åtkomsten till patientuppgifterna i journalsystemet även för vårdpersonal som till följd av vårdrelationen med patienten vanligen hade varit behörig att ta del av uppgifterna. Vårdpersonalen har vid spärrning följaktligen endast tillgång till sådana uppgifter som finns i det egna journalsystemet. Uppgifter som finns hos andra vårdgivare eller andra vårdenheter inom samma vårdgivare går inte att komma åt. Vårdgivaren ansvarar för att åtkomsten till spärrade patientuppgifter regleras i enlighet med 2 kap. 7 och 9-10 i Socialstyrelsens föreskrifter om informationshantering och journalföring i hälso- och sjukvården (SOSFS 2008:14). Enligt 2 kap. 7 SOSFS 2008:14 ska vårdgivaren ansvara för att information om vilka vårdenheter som har uppgifter om en viss patient inte kan göras tillgänglig utan att den behörige användaren gör ett aktivt val gällande användarens rätt att ta del av dessa uppgifter. Patientuppgifterna hos dessa vårdenheter får sedan inte göras tillgängliga utan att den behörige användaren gör ytterligare ett aktivt val. Samtliga aktiva val som användaren gör ska loggas i systemet och ska gå att följas upp i efterhand. 4 Enligt 2 kap. 9 SOSFS 2008:14 ska vårdgivaren även ansvara för att det framgår av journalsystemet om det finns spärrade patientuppgifter hos någon annan vårdgivare. Om patientuppgifterna har spärrats av en annan vårdenhet hos vårdgivaren, får dessa endast göras tillgängliga efter det att den behörige användaren gjort ett aktivt val efter ett inhämtat samtycke från patienten eller om förutsättningarna för s.k. nödåtkomst är uppfyllda. Om uppgifterna är spärrade, ska en begäran om åtkomst göras hos den vårdgivare som har spärrat uppgifterna. 5 Det är enbart patienten själv som kan begära spärrning. En förälder eller annan närstående har inte rätt att spärra uppgifter för barn. Skälet till detta är att vårdpersonalen ska ha möjlighet att 4 Se bilaga 1 avseende åtkomst till uppgifter mellan vårdenheter inom samma vårdgivare, Datainspektionen 5 Se bilaga 2 avseende åtkomst till uppgifter mellan vårdgivare vid sammanhållen journalföring, Datainspektionen 15 / 32

16 kunna upptäcka barn som far illa och bedöma om saken ska anmälas till socialnämnden. I dessa fall har man lagt större vikt vid barnets skydd än vid integritetsskyddet. När barnet blir äldre och mognare får barnet emellertid själv spärra sina uppgifter. Den aktör som ska förvalta Intygstjänsten på uppdrag av vårdgivarna har att efterfölja vårdgivarens krav och direktiv på informationssäkerhet. Därmed finns det all anledning för Inera att vid framtagandet av en prototyp införa spärrmöjligheter i Intygstjänsten för att säkerställa att tjänsten uppfyller ovan nämnda föreskrifter förutsatt att man inom projektet bedömer det som troligt att någon annan än invånaren kommer att ha tillgång till informationen i Intygstjänsten, exempelvis vårdpersonal Hantering av skyddade personuppgifter i Intygstjänsten Skyddade personuppgifter i Intygstjänsten ska hanteras på samma sätt som skyddade personuppgifter inom vården. Grundregeln är att en sekretessprövning ska göras i varje enskilt fall då sekretessmarkerade personuppgifter förekommer. Någon absolut sekretess föreligger däremot inte. Förvaltaren av Intygstjänsten ska se till att nödvändiga säkerhetsåtgärder och behörighetskontroller vidtas för de fall andra än invånaren ska ha tillgång till uppgifter i Intygstjänsten. Med hänsyn till detta bör Intygstjänsten bl.a. utformas på så sätt att endast vissa personer har behörighet och tillgång till sekretessmarkerade personuppgifter. Därtill ska förvaltaren se till att erforderliga rutiner för sekretessprövning finns för utlämnande av skyddade personuppgifter. Eftersom det är vårdgivaren som för över intygen till intygstjänsten är det också vårdgivaren som har att sekretesspröva överföringen. Ytterst sällan blir det fråga om sekretess gentemot invånaren själv varför intyg med skyddade personuppgifter oftast bör kunna föras över och visas i Intygstjänsten. Mest sannolikt har vårdgivaren redan sekretessmarkerat de uppgifter som ska vara skyddade när intyget upprättas i enlighet med de rutiner som ska finnas inom vården. Skulle sådana rutiner av någon anledning saknas bör man i projektet överväga att införa en teknisk kontrollåtgärd i Intygstjänsten som möjliggör en sekretessmarkering av personuppgifter innan invånaren skickar intyget vidare externt. I vart fall bör ett varningsmeddelande visas för invånaren för att signalera att ett intyg innehållandes skyddade personuppgifter kommer att överföras externt om invånaren väljer att skicka intyget vidare Slutsats sekretess vid hantering av läkarintyg Inom hälso- och sjukvården föreligger det sekretess för uppgifter om en enskilds hälsotillstånd eller andra personliga förhållanden. Enligt huvudregeln måste patienten ha lämnat sitt samtycke för att uppgifter om denne ska få lämnas ut. Bestämmelserna kring sekretess och behörighet skiljer sig åt beroende på om informationsutbytet sker mellan vårdgivare eller inom en och samma vårdgivare, där det förra utbytet omfattas av sekretessbestämmelserna i OSL och PSL och det senare av den inre sekretessen i PDL. Den yttre sekretessen gäller inom hälso- och sjukvården för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas 16 / 32

17 utan att den enskilde eller någon närstående till denne lider men. Oaktat sekretess kan uppgifter lämnas ut om det inte är till men för den som sekretessen i förekommande fall ska skydda om samtycke finns från patienten eller om det finns lagstadgade undantag från sekretessen. Sådana lagstadgade undantag finns bland annat för utlämnande av uppgifter mellan vårdgivare. Enligt den inre sekretessen är uppgifter i patientjournaler som huvudregel sekretessbelagda även i förhållande till personalen hos vårdgivaren. Endast den som deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården har rätt att ta del av informationen om patienten. Något aktivt samtycke från patienten krävs inte inom ramen för den inre sekretessen. Följaktligen ska vårdgivaren respektive förvaltaren av Intygstjänsten se till att personalens behörighet för elektronisk åtkomst till patientuppgifter begränsas på ett sådant sätt att personalen inte har mer behörighet än vad de behöver för att kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Därtill ska patientuppgifter enbart behandlas i den mån det är nödvändigt för det avsedda ändamålet och i andra fall avidentifieras eller pseudonymieras. Härtill ska skyddade respektive spärrade personuppgifter i Intygstjänsten ska hanteras på samma sätt som de hanteras inom vården. Grundregeln är att en sekretessprövning ska göras i varje enskilt fall då sekretessmarkerade personuppgifter förekommer. Någon absolut sekretess föreligger däremot inte. Förvaltaren av Intygstjänsten ska se till att nödvändiga säkerhetsåtgärder och behörighetskontroller vidtas för de fall andra än invånaren ska ha tillgång till uppgifter i Intygstjänsten. Enligt huvudregeln omfattas följaktligen journalhandlingar av sekretess och en sekretessprövning måste i regel göras innan handlingarna kan lämnas ut. Överföring av intyg från vårdgivare till Intygstjänsten är emellertid inte att betraktas som ett utlämnande av handling eftersom Intygstjänsten är en databas som får anses utgöra en del av vårdgivarens patientjournalsystem, som vårdgivaren genom personuppgiftsbiträdesavtal överlåtit till en extern förvaltare att administrera. Några begränsningar med beaktande av sekretessbestämmelserna i OSL respektive PSL finns således inte för vårdgivarens överföring av intyg till Intygstjänsten. Däremot bör man beakta att det kan finnas vissa begräsningar för tillgängliggörandet av intyg för invånaren. Hälso- och sjukvårdsekretessen gäller som huvudregel gentemot envar, inklusive patienten själv om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne. Det torde emellertid endast vara i undantagssituationer som en vårdgivare kan begränsa invånarens rätt att ta del av journalhandlingar exempelvis om ett röjande av uppgifter skulle påverka den fortsatta vården av patienten menligt (detta gäller främst inom psykiatrin). Med beaktande av risken för sekretess även i förhållande till den enskilde själv rekommenderar vi att en menprövning görs innan invånaren får ta del av läkarintyg i Intygstjänsten. En sådan prövning ska rimligtvis göras av den vårdande läkaren som utfärdar intyget och därmed lämpligen innan eller i samband med att intyget överförs till Intygstjänsten. 17 / 32

18 Eftersom invånaren i förevarande fall har rätt att själv förfoga över journalhandlingar i Intygstjänsten och själv avgör till vem handlingar ska lämnas ut finns det följaktligen inga begräsningar som måste iakttas vid överföringen av intyg från Intygstjänsten med beaktande av sekretess. Det ska dock påpekas att den enskilde genom samtycke inte kan häva sådan sekretess som gäller mot denne själv. 4.5 Samtycke vid personuppgiftsbehandling i Intygstjänsten och Mina intyg Måste invånaren lämna sitt samtycke för personuppgiftsbehandlingen i Intygstjänsten och Mina intyg och hur ska i sådana fall samtycket vara utformat? Informationen som ska lagras i Intygstjänsten i form av läkarintyg innehåller uppgifter om enskilda personer och deras hälsa. Uppgifter om hälsa anses vara känsliga personuppgifter som enligt huvudregeln 13 PUL är förbjudna att behandla. Sådana uppgifter kan vården tillika förvaltaren av Intygstjänsten endast samla in och behandla om: personen i fråga uttryckligen lämnat sitt samtycke till behandlingen, eller personuppgifterna behandlas för hälso- och sjukvårdsändamål och behandlingen är nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård. Eftersom syftet och ändamålet med Intygstjänsten primärt är att möjliggöra invånares direktåtkomst till delar av dennes patientjournal, närmare bestämt dennes läkarintyg, bedömer vi att vården tillika förvaltaren av Intygstjänsten inte behöver inhämta samtycke för lagringen av intyg. Intygstjänsten kommer endast att lagra kopior av originalintyg från vårdens befintliga patientjournalsystem varför något samtycke avseende lagringen av kopiorna inte behövs. Däremot bör man inhämta samtycke för den behandling av personuppgifter som sker i Webbtjänsten Mina intyg. I Mina intyg ska läkarintyg visas för och hanteras av invånaren. För denna behandling bör man lämpligen informera invånaren om behandlingen och kräva att invånaren samtycker till Webbtjänsten innan denna aktiveras. Enligt PUL ska samtycket vara en frivillig, särskild och otvetydig viljeyttring genom vilken invånaren, efter att ha fått tillräcklig information för att ta ställning till om behandling ska få ske, accepterar behandlingen av personuppgifter som rör honom eller henne. Samtycket ska vidare vara individuellt, det ska vara den berörda personen i fråga som godtar behandlingen av personuppgifterna. I de flesta fall vållar inte kravet på frivillighet några bekymmer utan den enskilde får, efter att ha fått information om behandlingen, själv ta ställning till om han eller hon accepterar behandlingen för att till exempel erhålla en tjänst som det är fråga om i förevarande fall. Konsekvensen av att invånaren inte samtycker kan bli att denne inte får ta del av webbtjänsten. 18 / 32

19 Att samtycket ska vara en otvetydig viljeyttring innebär att det inte får råda någon tvekan om att invånaren godtar behandlingen av personuppgifter som rör honom eller henne. Det är den personuppgiftsansvarige, d.v.s. vården tillika förvaltaren av Intygstjänsten och Mina intyg, som har bevisbördan för att samtycke föreligger. När det gäller personuppgifter som rör hälsa eller sexualliv krävs också att samtycket ska vara uttryckligt. Det innebär att samtycket måste komma till uttryck på ett särskilt tydligt sätt. Det betyder att det ligger i personuppgiftsansvariges intresse att välja en form för samtycket som tydligt visar den enskildes vilja. Samtycket behöver visserligen inte vara skriftligt, men eftersom personuppgiftsansvarige har bevisbördan för att samtycke föreligger är skriftligt samtycke att föredra. Samtycke genom så kallat konkludent handlande är normalt inte tillräckligt avseende känsliga personuppgifter; inte heller tyst eller hypotetiskt samtycke kan godtas. Det faktum att invånaren utnyttjar Intygstjänsten är således i regel inte tillräckligt för att styrka att invånaren faktiskt samtyckt till behandlingen av dennes personuppgifter. Med beaktande av Intygstjänstens syfte och utformning bör det vara tillräckligt att samtycke lämnas vid invånarens aktivering av Intygstjänsten. Något krav på ytterligare samtycke för behandlingen av personuppgifterna torde inte erfordras eftersom Intygstjänsten är utformad på så vis att det är invånaren själv som förfogar över informationen om och när den skickas vidare från Intygstjänsten (med undantag för komplettering av läkarintyg se nedan). Eftersom Intygstjänsten tillhandahålls på internet är det av stor vikt för förvaltaren av tjänsten att kunna identifiera den som lämnar samtycket. Med beaktande av bevisbördan ligger det i förvaltarens intresse att använda någon form av identifikationsförfarande i anslutning till Intygstjänsten för att försäkra sig om att rätt person samtycker och aktiverar webbtjänsten. Slutligen bör också understyrkas att personuppgiftsansvarige ska, innan samtycke inhämtas, lämna information om hanteringen av personuppgifterna till de berörda personerna. Eftersom PUL kräver att samtycket ska vara särskilt kan ett generellt samtycke inte godtas utan samtycket ska gälla behandling för ett eller flera preciserade ändamål. Personuppgiftsansvarige ska därför i samband med aktiveringen av Webbtjänsten informera invånaren om att uppgifter om deras hälsotillstånd kommer att behandlas i Webbtjänsten samt ändamålet med behandlingen. Personuppgiftsansvarige ska vidare lämna uppgift om personuppgiftsansvarig/biträde samt all övrig information som behövs för att invånarna ska kunna ta till vara sina rättigheter i samband med behandlingen, såsom information om mottagarna av uppgifterna, möjlighet till spärrning, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse Behövs det samtycke för att skicka av vården kompletterat intyg till Försäkringskassan? Är ett tidigare samtycke från invånaren fortfarande tillräckligt? Utgångspunkten är att det samtycket som ges vid aktivering av Mina intyg är tillräckligt även vid fortsatt behandling därefter. Skulle en läkare emellertid behöva komplettera ett intyg efter förfrågan från Försäkringskassan kan viss problematik uppstå vad gäller samtycket, särskilt om läkaren sänder över det kompletterade intyget till Försäkringskassan utan att invånaren först accepterat det. Först och främst kan konstateras att det, om än önskvärt, inte är möjligt 19 / 32

20 att försöka baka in samtycke för läkares kompletteringar i det samtycke som lämnas vid aktiveringen av Intygstjänsten. Om invånaren skulle samtycka till att läkare generellt har rätt att skicka över kompletteringar till Försäkringskassan utan att invånaren först tagit del av uppgifterna, skulle samtycket sannolikt inte anses uppfylla kravet på särskildhet enligt PUL. Enligt huvudregeln i PUL kräver i regel all behandling av personuppgifter invånarens samtycke. När läkaren kompletterar ett läkarintyg skapas vanligtvis ett nytt intyg med nya uppgifter om invånaren varför samtycke ska inhämtas för att läkaren ska få skicka över kompletterande uppgifterna till Försäkringskassan Finns det tillfällen då ett av en vuxen person lämnat samtycke inte kan anses vara giltigt? Endast den som kan förstå innebörden av ett samtycke kan lämna ett giltigt samtycke. Vanligtvis är vuxna människor kapabla att förstå innebörden av ett samtycke, men när det gäller exempelvis dementa eller psykiskt sjuka kan förmågan att förstå innebörden saknas varför dessa personer inte kan lämna giltiga samtycken. Förutsatt att den psykiskt sjuke eller demente invånaren står under förvaltarskap eller god man, som är behörig att rättshandla för invånaren, uppstår inga problem avseende samtycke då dessa företrädare kan lämna samtycke i invånarens ställe. Saknar invånaren en förvaltare eller god man kan denne däremot inte använda Intygstjänsten. Behandling av personuppgifter kan inte grundas på samtycke av anhörig Problematik och spörsmål att se över Eftersom behandlingen av en beslutsoförmögens personuppgifter tillika journaluppgifter kräver samtycke från en legal ställföreträdare måste Inera säkerställa att den person som utger sig för att vara ställföreträdare för en viss person faktiskt också är det innan Inera beviljar ställföreträdaren tillgång till Mina intyg. Rent praktiskt kan det bli svårt att kontrollera när ett förordnande föreligger. Problematiken är på intet sätt ny eller unik. Frågan om hanteringen av personuppgifter om beslutsoförmögna har varit under diskussion under lång tid. Redan 2004 lämnade en statlig utredning in ett förslag till reglering, som emellertid kritiserades av remissinstanserna för att vara för krångligt, och som inte ledde till någon lagstiftning. I yttrande ( , dnr ) har Datainspektionen anset att det är på tiden att frågan ges en grundlig genomlysning och att regeringen överväger en författningsreglering. Regeringen har i slutet av 2011 tillsatt en utredning avseende en sammanhållen och mer ändamålsenlig informationshantering över organisationsgränser för att säkerställa ett effektivt utbyte av information mellan socialtjänsten och hälso- och sjukvården. Enligt direktivet (2011:111) ska utredningen bl.a. se över frågan om beslutsoförmögna personers möjligheter att tillgodogöra sig information och att samtycka till olika åtgärder samt huruvida det är lämpligt att införa undantag från kravet på samtycke för beslutsoförmögna personer. Pensionsmyndigheten har under 2012 på uppdrag av E-delegationen analyserat och tagit fram ett förslag till utveckling av en e-tjänst för fullmakter, Mina fullmakter, som E-delegationen 20 / 32

Bilaga 1. Preliminär juridisk rapport

Bilaga 1. Preliminär juridisk rapport Bilaga 1. Preliminär juridisk rapport Sid 1/6 1. Syfte I projektets uppdrag ingår att granska och utreda de legala aspekterna av projektet Mina intyg. Syftet med den preliminära rapporten är att initialt

Läs mer

Viktigt förtydligande angående användningen av fråga-svarsfunktionen

Viktigt förtydligande angående användningen av fråga-svarsfunktionen 2013-03-28 Vård och omsorg Cecilia Unge Viktigt förtydligande angående användningen av fråga-svarsfunktionen Det framgår att hälso- och sjukvården ibland skickar NY medicinsk information via frågasvarsfunktionen

Läs mer

Från: Kent Sangmyr och Charlene Holmström Datum: 9 maj 2012 Angående: Utredning angående regelverket kring vårdens intyg till Försäkringskassan

Från: Kent Sangmyr och Charlene Holmström Datum: 9 maj 2012 Angående: Utredning angående regelverket kring vårdens intyg till Försäkringskassan 112591, 1 Bilaga 3, version 1.0 PM Till: Inera AB Från: Kent Sangmyr och Charlene Holmström Datum: 9 maj 2012 Angående: Utredning angående regelverket kring vårdens intyg till Försäkringskassan Syfte Syftet

Läs mer

Kändisspotting i sjukvården

Kändisspotting i sjukvården Kändisspotting i sjukvården Sten Jacobson Grundprincip för hälso- och sjukvården Hälso- och sjukvården ska bygga på respekt för patientens integritet och självbestämmande. PDL ska ge en bättre samverkan

Läs mer

Informationshantering och journalföring. nya krav på informationssäkerhet i vården

Informationshantering och journalföring. nya krav på informationssäkerhet i vården Informationshantering och journalföring nya krav på informationssäkerhet i vården Sammanhållen journalföring! Förklaring av symbolerna Patient Verksamhetschef Hälso- och sjukvårdspersonal samt övriga befattningshavare

Läs mer

Sekretess, lagar och datormiljö

Sekretess, lagar och datormiljö Sekretess, lagar och datormiljö VT 2015 Sekretess och tystnadsplikt Tystnadsplikt gäller oss som individer Tystnadsplikt är ett personligt ansvar vi alltid har, vare sig vi agerar i tjänsten eller som

Läs mer

Sammanhållen journalföring

Sammanhållen journalföring SOCIALFÖRVALTNINGEN RIKTLINJE Annika Nilsson, annika.nilsson@kil.se 2016-06-28 Beslutad av SN 84 2016-08-31 Sammanhållen journalföring Via nationella e-tjänster, t.ex. NPÖ, Pascal eller Svevac Gäller för

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Patientdatalag; utfärdad den 29 maj 2008. SFS 2008:355 Utkom från trycket den 11 juni 2008 Enligt riksdagens beslut 1 föreskrivs följande. 1 kap. Lagens tillämpningsområde m.m.

Läs mer

Patientdatalag (2008:355)

Patientdatalag (2008:355) Patientdatalag (2008:355) SFS nr: 2008:355 Departement/myndighet: Socialdepartementet Utfärdad: 2008-05-29 Ändrad: t.o.m. SFS 2013:1024 Tryckt version: pdf, utan ändringar (Lagrummet) Ändringsregister:

Läs mer

Riktlinje för informationshantering och journalföring

Riktlinje för informationshantering och journalföring RIKTLINJER HÄLSO- OCH SJUKVÅRD Sid 1 (5) Riktlinje för informationshantering och journalföring Nedanstående lagar, förordningar föreskrifter och allmänna råd ligger till grund för omvårdnadsdokumentationen.

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post Datum Diarienr 2011-12-12 751-2011 Landstingsstyrelsen Jämtlands läns landsting Box 602 832 23 Frösön Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post Datainspektionens

Läs mer

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun.

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun. 2008-08-15 1 (6) Reviderad 2010-04-21 Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun. Nedanstående lagar, förordningar allmänna råd ligger

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datum Diarienr 2011-12-12 750-2011 Landstingsstyrelsen Landstinget Blekinge 371 81 Karlskrona Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datainspektionens beslut

Läs mer

4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun

4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun 1(5) 4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun Nedanstående lagar, förordningar allmänna råd ligger till grund för omvårdnadsdokumentationen.

Läs mer

Juridiska frågor och svar om försäkringsmedicinska utredningar rörande personuppgiftsbehandling och dokumentation

Juridiska frågor och svar om försäkringsmedicinska utredningar rörande personuppgiftsbehandling och dokumentation Jonas Dahl Manolis Nymark Pål Resare Anna Östbom Juridiska frågor och svar om försäkringsmedicinska utredningar rörande personuppgiftsbehandling och dokumentation Denna promemoria innehåller frågor och

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datum Diarienr 2011-12-12 749-2011 Capio S:t Görans Sjukhus 112 81 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datainspektionens beslut Datainspektionen

Läs mer

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL) Kommunledningsförvaltningen STYRDOKUMENT Godkänd/ansvarig 1(5) Beteckning Riktlinjer behandling personuppgifter Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL) 1.

Läs mer

Riktlinjer för informationshantering och journalföring i hälso- och sjukvården i särskilt boende i Solna kommun

Riktlinjer för informationshantering och journalföring i hälso- och sjukvården i särskilt boende i Solna kommun 2012-07-16 SID 1 (9) Ansvarig för rutin Medicinskt ansvarig sjuksköterska Cecilia Linde cecilia.linde@solna.se Gäller från revideras 2016-07-25 Riktlinjer för informationshantering och journalföring i

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datum Diarienr 2011-12-12 755-2011 Socialnämnden Södertälje Kommun 151 89 Södertälje Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen

Läs mer

Hur får jag använda patientjournalen?

Hur får jag använda patientjournalen? Hur får jag använda patientjournalen? Offentlighets- och sekretesslagen Patientdatalagen Vision 2014-01-30 Susan Ols Landstingsjurist Översikt När får jag läsa i patienters journaler? Sekretess - När jag

Läs mer

Förklaringar till Nationellt regelverk för enskilds direktåtkomst till journalinformation

Förklaringar till Nationellt regelverk för enskilds direktåtkomst till journalinformation Förklaringar till Nationellt regelverk för enskilds direktåtkomst till Bakgrund Regelverket är utarbetat utifrån erfarenheter i Landstinget i Uppsala län, där nästan 50 000 användare haft tillgång till

Läs mer

Patientdatalagen. Juridik- och Upphandlingsstaben

Patientdatalagen. Juridik- och Upphandlingsstaben Patientdatalagen 1 kap. Tillämpningsområde 2 kap. Om personuppgiftsbehandling 3 kap. Patientjournalföring 4 kap. Inre sekretess och elektronisk åtkomst inom vårdgivares verksamhet 5 kap. Utlämnande av

Läs mer

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen Informationshantering och journalföring Maria Jacobsson, Hälso- och sjukvårdsavdelningen 1. Målet för hälso- och sjukvården 2 HSL Målet för hälso- och sjukvården är en god hälsa och en vård på lika villkor

Läs mer

PERSONUPPGIFTSLAGEN (PUL)

PERSONUPPGIFTSLAGEN (PUL) 1 (6) PERSONUPPGIFTSLAGEN (PUL) Lagens ikraftträdande PUL trädde ikraft den 24 oktober 1998 och genom PUL:s införande upphävdes 1973-års datalag. För behandling av personuppgifter, som påbörjats före den

Läs mer

Riktlinjer för dokumentation och informationshantering inom hälsooch sjukvårdens område i Nyköpings kommun

Riktlinjer för dokumentation och informationshantering inom hälsooch sjukvårdens område i Nyköpings kommun Riktlinjer utarbetade för: Vård och Omsorgsnämnden Kvalitetsområde: Hälso- och sjukvård Framtagen av ansvarig tjänsteman: Annika Jansson, Anna- Karin Tholerus Medicinskt ansvariga sjuksköterskor Giltig

Läs mer

1. Bakgrund. 2. Parter. 3. Definitioner

1. Bakgrund. 2. Parter. 3. Definitioner Personuppgiftsbiträdesavtal samt fullmakt för såväl direktansluten vårdgivare som Inera AB att teckna personuppgiftsbiträdesavtal enligt 30-31 Personuppgiftslagen (1998:204) Modellavtal 2 riktar sig till

Läs mer

Tillgång till patientuppgifter - krav på spärrar och aktiva val. Katja Isberg Amnäs Magnus Bergström Datainspektionen

Tillgång till patientuppgifter - krav på spärrar och aktiva val. Katja Isberg Amnäs Magnus Bergström Datainspektionen Tillgång till patientuppgifter - krav på spärrar och aktiva val Katja Isberg Amnäs Magnus Bergström Datainspektionen En presentation i fem delar Behörighetsstyrning Åtkomstkontroll Regler om inre sekretess

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen Datum Diarienr 2010-10-11 1725-2009 Styrelsen för Karolinska Universitetssjukhuset Stockholms läns landsting Box 22550 104 22 Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datum Diarienr 2011-12-12 757-2011 Socialnämnden Lunds Kommun 221 00 Lund Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen

Läs mer

BESLUT. Datum Dnr Tillämpningsanvisningar om Rätt att ta del av patientuppgifter inom Region Skåne

BESLUT. Datum Dnr Tillämpningsanvisningar om Rätt att ta del av patientuppgifter inom Region Skåne Regiondirektören Jonas Rastad +46 44 309 39 25 +46 708 46 70 67 Jonas.rastad@skane.se BESLUT Datum 2014-06-25 1 (5) Tillämpningsanvisningar om Rätt att ta del av patientuppgifter inom Följande tillämpningsanvisningar

Läs mer

Nationell Patientöversikt (NPÖ) för en effektiv och säker vård inom vård- och omsorgsboende i Solna kommun

Nationell Patientöversikt (NPÖ) för en effektiv och säker vård inom vård- och omsorgsboende i Solna kommun SID 1 (10) Ansvarig för riktlinje Medicinskt ansvarig sjuksköterska NPÖ ansvarig Gäller från, rev 2015-08-14 Cecilia.linde cecilia.linde@solna.se Paulina Terävä paulina.terävä@solna.se Riktlinjer som gäller

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Beslut Dnr 2008-09-09 685-2008 Produktionsnämnden för vård och bildning Uppsala kommun 753 75 UPPSALA Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen

Läs mer

Riktlinjer för hälso- och sjukvårdsdokumentation

Riktlinjer för hälso- och sjukvårdsdokumentation SOCIALFÖRVALTNINGEN Annika Nilsson, 0554-191 56 annika.nilsson@kil.se 2014-06-27 Riktlinjer för hälso- och sjukvårdsdokumentation BAKGRUND Vid vård av patienter ska det föras patientjournal. En patientjournal

Läs mer

Tillämpningsanvisningar för tillgång till och utlämnande av patientinformation

Tillämpningsanvisningar för tillgång till och utlämnande av patientinformation Sid 1(5) Tillämpningsanvisningar för tillgång till och utlämnande av patientinformation Inledning Hantering av patientinformation inom Region Skåne ska ske utifrån patientdatalagen (SFS 2008:355), Socialstyrelsens

Läs mer

Kvalitetsregister & Integritetsskydd. Patrik Sundström, jurist SKL

Kvalitetsregister & Integritetsskydd. Patrik Sundström, jurist SKL Kvalitetsregister & Integritetsskydd Patrik Sundström, jurist SKL Varför finns det ett regelverk för nationella kvalitetsregister? - Många känsliga uppgifter - Om många människors hälsa - Samlade på ett

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datum Diarienr 2010-05-21 1319-2009 Styrelsen för Sahlgrenska Universitetssjukhuset Torggatan 1 431 35 Mölndal Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen

Läs mer

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården Yttrande Diarienr 1(7) 2015-09-15 1284-2015 Ert diarienr 4.1-39055/2013 Socialstyrelsen 106 30 Stockholm Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datum Dnr 2008-06-23 473-2008 Stadsdelsnämnden Södra Innerstaden, Malmö stad Box 7070 200 42 Malmö samt via e-post och fax sodrainnerstaden@malmo.se 040-346460 Beslut efter tillsyn enligt personuppgiftslagen

Läs mer

Personuppgiftsbiträdesavtal samt fullmakt för Inera AB att teckna personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

Personuppgiftsbiträdesavtal samt fullmakt för Inera AB att teckna personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204) Personuppgiftsbiträdesavtal samt fullmakt för Inera AB att teckna personuppgiftsbiträdesavtal enligt 30-31 Personuppgiftslagen (1998:204) Modellavtal 1 riktar sig till de vårdgivare som avser att direkt

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen Beslut Diarienr 2012-02-21 642-2011 Karolinska universitetssjukhuset Styrelsen Sjukhusledningen C 1 89 141 86 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap.

Läs mer

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs Informationssäkerhet Medicinteknisk säkerhetskurs 2018-03-14, Sanja Hebib Informationssäkerhet Information är en tillgång som, liksom andra viktiga tillgångar, har ett värde och som måste skyddas. Informationssäkerhet

Läs mer

Modellavtal 2. Personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

Modellavtal 2. Personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204) Personuppgiftsbiträdesavtal enligt 30-31 Personuppgiftslagen (1998:204) Modellavtal 2, riktar sig till vårdgivare som ansluts indirekt via annan direktansluten vårdgivare till nationell IT-tjänst där Inera

Läs mer

Frågor och svar. Att ta del av, använda och utbyta uppgifter i hälso- och sjukvård och socialtjänst

Frågor och svar. Att ta del av, använda och utbyta uppgifter i hälso- och sjukvård och socialtjänst Frågor och svar Att ta del av, använda och utbyta uppgifter i hälso- och sjukvård och socialtjänst Presentationen ingår i utredningens delredovisning enligt direktiv 2013:43 och syftar till att belysa

Läs mer

Med vård avses i denna lag även undersökning och behandling.

Med vård avses i denna lag även undersökning och behandling. Patientjournallag SFS nr: 1985:562 Utfärdad: 1985-06-13 Ändring införd: t.o.m. SFS 2002:298 Inledande bestämmelser 1 Vid vård av patienter inom hälso- och sjukvården skall föras patientjournal. Patientjournal

Läs mer

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation Presentation Informationssäkerhet Kim Strandberg Informationssäkerhetsstrateg/jurist kim.strandberg@regionostergotland.se 010-103 03 385 Region Informationssäkerhet, Östergötland 2015-03-11, Kim Strandberg

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datum Diarienr 2013-05-08 1552-2012 Socialnämnden i Norrköpings kommun Rådhuset 601 81 Norrköping Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens

Läs mer

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28) Yttrande Diarienr 2012-04-13 1825-2011 Ert diarienr Ju2011/1164 Ju2011/7648 Justitiedepartementet Straffrättsenheten 103 33 STOCKHOLM Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade

Läs mer

Gäller fr o m

Gäller fr o m 1 (6) DATASKYDDSPOLICY Inledning Vi är måna om att skydda din personliga integritet och behandlar all information och alla personuppgifter i enlighet med gällande lagar och regler. I alla sammanhang när

Läs mer

Tillsyn - äldreomsorg

Tillsyn - äldreomsorg Datum Diarienr 2011-12-07 876-2010 TioHundranämnden Box 801 761 28 Norrtälje Tillsyn - äldreomsorg Datainspektionens beslut Datainspektionen konstaterar att TioHundranämnden i strid med 6 lagen om behandling

Läs mer

Lagstöd för att dela patientinformation vid MDK (Multidisciplinära konferenser)

Lagstöd för att dela patientinformation vid MDK (Multidisciplinära konferenser) Lagstöd för att dela patientinformation vid MDK (Multidisciplinära konferenser) En sammanfattning av det juridiska läget från projektet Stöd till Multidisciplinära konferenser Inera våren 2019 Materialet

Läs mer

Samverkan psykiatri och socialtjänst Lagstiftning mm. Robert Larsson Agneta Widerståhl 2015-01-15

Samverkan psykiatri och socialtjänst Lagstiftning mm. Robert Larsson Agneta Widerståhl 2015-01-15 Samverkan psykiatri och socialtjänst Lagstiftning mm. Robert Larsson Agneta Widerståhl 2015-01-15 Dagordning Styrande lagstiftning för socialtjänsten och hälso- och sjukvården Samordnad individuell plan

Läs mer

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem SOCIALFÖRVALTNINGEN Annika Nilsson, 0554-191 56 annika.nilsson@kil.se 2014-05-07 Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem INLEDNING Patientdatalagen

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister Datum Diarienr 2014-03-31 1288-2013 Vänsterpartiet Box 12660 112 93 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister Datainspektionens beslut

Läs mer

Kanslichef - Tillsvidare

Kanslichef - Tillsvidare Riktlinjer för personuppgifter Dokumentnamn Dokumenttyp Fastställd/upprättad Beslutsinstans Riktlinjer för personuppgifter Riktlinje 2008-05-26 Kommunfullmäktige Dokumentansvarig Diarienummer Senast reviderad

Läs mer

Juridik och informationssäkerhet

Juridik och informationssäkerhet 2 KAPITEL Juridik och informationssäkerhet Sammanfattning Information som hanteras i socialtjänstens hemtjänstverksamhet (hemtjänst) och i kommunal hälso- och sjukvård (hemsjukvård) innehåller känsliga

Läs mer

Svevac - Beskrivning och tjänstespecifika villkor

Svevac - Beskrivning och tjänstespecifika villkor Svevac - Beskrivning och tjänstespecifika villkor Innehåll 1. Inledning... 3 2. Bakgrund... 3 3. Tjänstebeskrivning... 3 3.1 Tjänstens syfte och ändamål... 3 3.2 Vårdgivare... 3 3.3 Invånare... 3 3.4 Uppföljning

Läs mer

Information till legitimerade tandhygienister. Kvalitetssäkra patientjournalen

Information till legitimerade tandhygienister. Kvalitetssäkra patientjournalen SVERIGES Information till legitimerade tandhygienister Kvalitetssäkra patientjournalen TANDHYG Kvalitetssäkra patientjournalen Inledning En legitimerad tandhygienist måste utöver sitt yrkeskunnande om

Läs mer

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern 1 (5) Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern Antagen av kommunfullmäktige den 23 september 2010, 193. Inledning Personuppgiftslagen (PuL) trädde i kraft 1998 och

Läs mer

SAMTYCKE TILL INFORMATIONSÖVERFÖRING

SAMTYCKE TILL INFORMATIONSÖVERFÖRING SAMTYCKE TILL INFORMATIONSÖVERFÖRING RIKTLINJE GÄLLANDE SAMTYCKE TILL INFORMATIONSÖVERFÖRING, SAMMANHÅLLEN JOURNALFÖRING (NPÖ) SAMT MEDVERKAN I NATIONELLA KVALITETSREGISTER KARLSTADS KOMMUN Beslutad i:

Läs mer

PM Till: Från: Datum: Angående: Bakgrund

PM Till: Från: Datum: Angående: Bakgrund PM Till: Inera AB, projektet Intygstjänster 2013 Från: Kent Sangmyr och Angelica Lundqvist, Advokatfirman Delphi Datum: 15 november 2013 Angående: Juridisk slutrapport Intygstjänster 2013 1. Bakgrund Advokatfirman

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller Beslut Diarienr 1 (8) 2017-06-13 989-2016 Praktikertjänst AB 103 55 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Läs mer

Hälso- och sjukvård i molnet

Hälso- och sjukvård i molnet Hälso- och sjukvård i molnet Tillåtet eller inte? E-delegationens seminarium 20 januari 2015 Vad är det för situationer vi pratar om? Myndighet (offentliga vårdgivare) som har sekretessbelagda uppgifter

Läs mer

Vilka uppgifter kan landsting lämna ut vid fakturering för utomlänsvård?

Vilka uppgifter kan landsting lämna ut vid fakturering för utomlänsvård? Vilka uppgifter kan landsting lämna ut vid fakturering för utomlänsvård? Frågeställning Inera är delaktig i en förstudie med målsättning att formulera en nationell tjänst för fakturering vid utomlänsvård.

Läs mer

Sökord i diariet: Sammanhållen Journalföring. Diarienummer: VON F 2017/ Sammanhållen journalföring

Sökord i diariet: Sammanhållen Journalföring. Diarienummer: VON F 2017/ Sammanhållen journalföring Direktiv Framtagen av: Medicinskt ansvariga Fastställd av: Medicinskt ansvariga Sökord i diariet: Sammanhållen Journalföring Diarienummer: VON F 2017/00217 003 Fastställd år: 2013-02-07 Revideras: Kontinuerligt

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Beslut Dnr 2008-09- 09 810-2008 Utbildningsnämnden i Skövde kommun 541 83 SKÖVDE Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen konstaterar att

Läs mer

Svar från Datainspektionen på er begäran om samråd angående hälsoverktyg inom elevhälsovården

Svar från Datainspektionen på er begäran om samråd angående hälsoverktyg inom elevhälsovården Datum Diarienr 2015-01-19 2132-2014 Gnosjö kommun Per Kjöllerström per.kjollerstrom@edu.gnosjo.se Eksjö kommun Roger Hvitman roger.hvitman@eksjo.se Svar från Datainspektionen på er begäran om samråd angående

Läs mer

Riktlinje för hälso- och sjukvårdsdokumentation

Riktlinje för hälso- och sjukvårdsdokumentation Riktlinje för hälso- och sjukvårdsdokumentation Journalhandling En journalhandling är alla handlingar och anteckningar som innehåller uppgifter om patientens tillstånd och de åtgärder som genomförts eller

Läs mer

Hälso- och sjukvårdsdokumentation

Hälso- och sjukvårdsdokumentation SOCIALFÖRVALTNINGEN RIKTLINJE Annika Nilsson, annika.nilsson@kil.se 2017-10-10 Beslutad av SN 126 2017-10-25 Hälso- och sjukvårdsdokumentation BAKGRUND Vårdgivaren ansvarar för att det förs patientjournaler.

Läs mer

Studerandens möjligheter att ta del av och använda patientuppgifter

Studerandens möjligheter att ta del av och använda patientuppgifter Promemoria 2013-12-31 Utredningen om rätt information i vård och omsorg S 2011:13 Promemorian ingår i utredningens delredovisning enligt direktiv 2013:43 och syftar till att belysa förutsättningarna för

Läs mer

Dokumentation Hälso- och sjukvård HSL

Dokumentation Hälso- och sjukvård HSL Dokumentation Hälso- och sjukvård HSL Styrdokument Riktlinjer Dokumentansvarig MAS Skribent MAS Beslutat av Förvaltningschef dnr VON 319/18 Gäller för Vård- och omsorgsförvaltningen Gäller från och med

Läs mer

Nationell patientöversikt en lösning som ökar patientsäkerheten

Nationell patientöversikt en lösning som ökar patientsäkerheten NPÖ-guiden NPÖ Nationell Patientöversikt Nationell patientöversikt en lösning som ökar patientsäkerheten Den här guiden riktar sig till vårdgivare landsting, kommuner och privata vårdgivare som ska eller

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datum Diarienr 2011-12-12 756-2011 Socialnämnden Sundsvalls kommun 851 85 Sundsvall Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datum Diarienr 2010-02-23 1333-2009 City Dental i Stockholm AB Box 16156 111 51 Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen konstaterar

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL 1 (8) Beslut Dnr 2008-09-09 128-2008 Internationella Engelska Skolan AB Styrelsen Nytorpsvägen 5A 183 53 Täby Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen

Läs mer

Riktlinjer för dataskydd

Riktlinjer för dataskydd 1 Riktlinjer för dataskydd Inledning Följande riktlinje syftar till att konkretisera policyn för dataskydd samt ge vägledning och råd vid hantering av personuppgifter i X kommun. Riktlinjen, som grundar

Läs mer

Koncernkontoret Området för informationsförsörjning och regionarkiv

Koncernkontoret Området för informationsförsörjning och regionarkiv Koncernkontoret Området för informationsförsörjning och regionarkiv Enheten för informationsstyrning och förvaltning Anvisning Datum 2017-03-01 Version 1.0 1 (5) Hantering av elektroniska underskrifter

Läs mer

Policy för hantering av personuppgifter

Policy för hantering av personuppgifter Policy för hantering av personuppgifter Dokumenttyp: Policy Beslutad av: Kommunstyrelsen Gäller för: Varbergs kommun Dokumentnamn: Policy för hantering av personuppgifter Beslutsdatum: 2013-10-15 Dokumentansvarig

Läs mer

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2. Regelverk Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag Bilaga D Personuppgiftsbiträdesavtal Version: 2.0 Innehållsförteckning 1 Allmänt om personuppgiftsbiträdesavtal... 1

Läs mer

Åtkomst till patientuppgifter

Åtkomst till patientuppgifter Hörsel Syn Tolk 1 (5) Riktlinje Version: 1 Skapad: 2016-11-30 Uppdaterad: JUG Melior E-post: melior.hoh@vgregion.se Åtkomst till patientuppgifter Den som arbetar hos en vårdgivare får ta del av dokumenterade

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande genom direktåtkomst

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande genom direktåtkomst Beslut Diarienr 1 (7) 2016-12-19 1567-2016 Regionstyrelsen Region Jönköpings län Box 1024 551 11 Jönköping Tillsyn enligt personuppgiftslagen (1998:204) utlämnande genom direktåtkomst Datainspektionens

Läs mer

Riktlinjer för Informationshantering och journalföring i Hälso- och sjukvården. Norra närvårdsområdet Skaraborgs kommuner

Riktlinjer för Informationshantering och journalföring i Hälso- och sjukvården. Norra närvårdsområdet Skaraborgs kommuner Riktlinjer för Informationshantering och journalföring i Hälso- och sjukvården Norra närvårdsområdet Skaraborgs kommuner 2016 Innehållsförteckning Inledning... 4 Säkerhet... 4 Vårdgivarens ansvar... 4

Läs mer

Samtycke vid direktåtkomst till sammanhållen journalföring

Samtycke vid direktåtkomst till sammanhållen journalföring Riktlinjer Samtycke vid direktåtkomst till sammanhållen journalföring Version 3 2014-12-23 Riktlinjerna är upprättade av medicinskt ansvariga sjuksköterskor och medicinskt ansvariga för rehabilitering

Läs mer

Meddelandeblad. Mottagare: Nämnder och verksamheter i kommuner med ansvar för vård och omsorg, medicinskt ansvariga sjuksköterskor,

Meddelandeblad. Mottagare: Nämnder och verksamheter i kommuner med ansvar för vård och omsorg, medicinskt ansvariga sjuksköterskor, Meddelandeblad Mottagare: Nämnder och verksamheter i kommuner med ansvar för vård och omsorg, medicinskt ansvariga sjuksköterskor, medicinskt ansvariga för rehabilitering, huvudmän i enskild verksamhet

Läs mer

Avtal om Kundens mottagande av intyg från Mina intyg Bilaga 1 - Specifikation av tjänsten mottagande av intyg från Mina Intyg

Avtal om Kundens mottagande av intyg från Mina intyg Bilaga 1 - Specifikation av tjänsten mottagande av intyg från Mina Intyg Avtal om Kundens mottagande av intyg från Mina intyg Bilaga 1 - Specifikation av tjänsten mottagande av intyg från Mina Intyg Mellan Inera och Kund Innehåll 1. Inledning... 3 2. Bakgrund... 3 3. Syfte...

Läs mer

PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL 1 Microsoft AB ( Microsoft ), Box 27, 164 93 KISTA och ( Personuppgiftsbiträdet ) har denna dag träffat följande PERSONUPPGIFTSBITRÄDESAVTAL Bakgrund Personuppgiftslagen ställer krav på skriftligt avtal

Läs mer

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med Styrande dokument för dataskydd Fastställd av Kommunstyrelsen Senast reviderad av 2018-05-17 Gäller från och med 2018-05-25 Innehållsförteckning 1 Inledning 3 2 Omfattning 3 3 Bakgrund 3 4 Personuppgiftsansvar

Läs mer

Dokumenthantering - legala förutsättningar och interna beslut

Dokumenthantering - legala förutsättningar och interna beslut PM 1 (5) Kommunledningskontoret 2014-04-02 dnr Sn 2014-105 Jenny Björkholm, Säkerhet och Juridik dnr On 2014-118 Ragnhild Klintberg, Säkerhet och Juridik dnr Än 2014-124 Dokumenthantering - legala förutsättningar

Läs mer

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige KOMMUNAL FÖRFATTNINGSSAMLING 2018:1-003 Policy och riktlinjer för hantering av personuppgifter Antagen av kommunfullmäktige 2018-03-27 35 1 Att gälla från och med 2018-05-01 Policy för hantering av personuppgifter

Läs mer

AVTAL OM SAMMANHÅLLEN JOURNALFÖRING

AVTAL OM SAMMANHÅLLEN JOURNALFÖRING AVTAL OM SAMMANHÅLLEN JOURNALFÖRING AVTAL MELLAN LANDSTINGET I VÄRMLAND (ORG. NR. 232100-0156), NEDAN KALLAT LANDSTINGET, OCH XX AB (ORG. NR. XXXXXX-XXXX), NEDAN KALLAD VÅRDGIVAREN, OM TILLGÅNG TILL VÅRDINFORMATION

Läs mer

Rutin för loggning av HSL-journaler samt NPÖ

Rutin för loggning av HSL-journaler samt NPÖ Rutin för loggning av HSL-journaler samt NPÖ Enligt patientdatalagen 4 kap 3,skall vårdgivare göra systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter om patienter

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen Datum Diarienr 2010-10-11 1604-2009 Landstingsstyrelsen i Uppsala län Box 602 751 25 Uppsala Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Läs mer

Regel för hälso- och sjukvård: Nationella Kvalitetsregistret

Regel för hälso- och sjukvård: Nationella Kvalitetsregistret Region Stockholm Innerstad Sida 1 (5) 2014-04-07 Sjuksköterskor Rev 2014-07-30 Medicinskt Ansvarig för Rehabilitering Regel för hälso- och sjukvård: Nationella Kvalitetsregistret Sjuksköterskor och Medicinskt

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) 4 kap. patientdatalagen m.m.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) 4 kap. patientdatalagen m.m. Datum Diarienr 2010-07-07 748-2009 Landstingsstyrelsen Gävleborgs läns landsting 801 87 Gävle Beslut efter tillsyn enligt personuppgiftslagen (1998:204) 4 kap. patientdatalagen m.m. Datainspektionens beslut

Läs mer

Säkerhet vid behandling av personuppgifter i forskning

Säkerhet vid behandling av personuppgifter i forskning Säkerhet vid behandling av personuppgifter i forskning Magnus Bergström IT-säkerhetsspecialist magnus.bergstrom@datainspektionen.se www.datainspektionen.se Först några ord om informationssäkerhet Organisationens

Läs mer

Regeringens proposition 2007/08:126

Regeringens proposition 2007/08:126 Regeringens proposition 2007/08:126 Patientdatalag m.m. Prop. 2007/08:126 Regeringen överlämnar denna proposition till riksdagen. Stockholm den 19 mars 2008 Fredrik Reinfeldt Göran Hägglund (Socialdepartementet)

Läs mer

Informationssäkerhet i patientjournalen

Informationssäkerhet i patientjournalen RIKTLINJER FÖR Informationssäkerhet i patientjournalen Antaget av Vård- och omsorgsnämnden Antaget 2019-04-02 Giltighetstid 2023-04-02 Dokumentansvarig Medicinskt ansvarig sjuksköterska Håbo kommuns styrdokumentshierarki

Läs mer

Riktlinje, Samtycke och sekretess inom hälsooch sjukvård

Riktlinje, Samtycke och sekretess inom hälsooch sjukvård Riktlinje, Samtycke och sekretess inom hälsooch sjukvård Antagna av: Medicinskt ansvarig sjuksköterska 2016-06-14 Senast uppdaterad: 2016-06-14 Gäller för: Enebackens äldreboende, Vårdbo i Åkersberga,

Läs mer

Aktiva Val. Journalfilter i TakeCare

Aktiva Val. Journalfilter i TakeCare Aktiva Val Journalfilter i TakeCare Grundläggande princip Den hälso- och sjukvårdspersonal, entreprenör, uppdragstagare eller annan som arbetar för en vårdgivare eller som har slutit avtal med en vårdgivare.ska

Läs mer

Åtkomst till patientjournal för vårdens personal - blankett, Uppdrag att journalgranska

Åtkomst till patientjournal för vårdens personal - blankett, Uppdrag att journalgranska Godkänt den: 2017-11-07 Ansvarig: Barbro Nordström Gäller för: Region Uppsala Åtkomst till patientjournal för vårdens personal - blankett, Uppdrag att journalgranska Innehåll Delta i vården av patienten...2

Läs mer

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datum Diarienr 2012-06-15 738-2011 Landstingsstyrelsen Norrbottens läns landsting 971 89 Luleå Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datainspektionens beslut

Läs mer