Datainspektionens kritik till landstingen angående patientdatalagen

Transkript

1 LANDSTINGET I UPPSALA LÄN FÖREDRAGNINGSPROMEMORIA Sammanträdesdatum Sida Landstingsstyrelsen (17) Dnr CK Datainspektionens kritik till landstingen angående patientdatalagen Beslut Landstingsstyrelsen beslutar att godkänna presenterad åtgärdsplan och avger följande svar till Datainspektionen (DI): Bilaga 160 Paragrafen förklaras omedelbart justerad. Ärendet Datainspektionen (DI) genomför en tillsyn av efterlevnaden av patientdatalagen (PDL) bland de 27 största vårdgivarna i Sverige, däribland Landstinget i Uppsala län. Tillsynen gäller specifikt hur vårdgivarna uppfyller patienters rätt att spärra sin vårddokumentation. Det första steget i tillsynen genomfördes i form av en enkät som skulle vara myndigheten tillhanda den 25 maj Enkäten visade att alla vårdgivare har ett eller flera system som inte uppfyller lagens krav. Enkäten lämnade även vissa frågor obesvarade avseende vilka system som de olika vårdgivarna faktiskt förfogade över. Som ett resultat av detta krävde DI i början av 2012 en fullständig lista över vilka system respektive vårdgivare ansåg att de använde i sin verksamhet och som de bedömde omfattades av PDL. Svaret skulle vara myndigheten tillhanda den 9 mars Beslut delgavs sedan de aktuella vårdgivarna den 15 juni Landstinget i Uppsala län lyftes av Datainspektionen fram som en av fyra bättre vårdgivare, även om brister fanns. Till den 1 oktober 2012 har DI avkrävt vårdgivarna en plan som beskriver när alla identifierade brister ska vara åtgärdade samt en beskrivning av vilken den tillfälliga rutin är som gör att lagen ändå följs tills dess att alla brister är åtgärdade. Delges Exp Sign. Ordförandes sign Justerandes sign Utdragsbestyrkande

2

3 CK Ledningskontoret Petter Könberg IT-direktör Tfn E-post: Landstingsstyrelsen Datainspektionens kritik mot landstingen gällande patienters rätt till spärr enligt Patientdatalagen Förslag till beslut Landstingsstyrelsen beslutar att godkänna presenterad åtgärdsplan och avger följande svar till Datainspektionen (DI) (se bilaga). Ärendet Datainspektionen (DI) genomför en tillsyn av efterlevnaden av patientdatalagen (PDL) bland de 27 största vårdgivarna i Sverige, däribland Landstinget i Uppsala län. Tillsynen gäller specifikt hur vårdgivarna uppfyller patienters rätt att spärra sin vårddokumentation. Det första steget i tillsynen genomfördes i form av en enkät som skulle vara myndigheten tillhanda den 25 maj Enkäten visade att alla vårdgivare har ett eller flera system som inte uppfyller lagens krav. Enkäten lämnade även vissa frågor obesvarade avseende vilka system som de olika vårdgivarna faktiskt förfogade över. Som ett resultat av detta krävde DI i början av 2012 en fullständig lista över vilka system respektive vårdgivare ansåg att de använde i sin verksamhet och som de bedömde omfattades av PDL. Svaret skulle vara myndigheten tillhanda den 9 mars Beslut delgavs sedan de aktuella vårdgivarna den 15 juni Landstinget i Uppsala län lyftes av Datainspektionen fram som en av fyra bättre vårdgivare, även om brister fanns. Till den 1 oktober 2012 har DI avkrävt vårdgivarna en plan som beskriver när alla identifierade brister ska vara åtgärdade samt en beskrivning av vilken den tillfälliga rutin är som gör att lagen ändå följs tills dess att alla brister är åtgärdade. Bilaga Brev till Datainspektionen Landstingets ledningskontor Slottsgränd 2A Box Uppsala tfn vx fax org nr

4 Dnr CK Landstingets ledningskontor Fredrik Rosenberg Tfn E-post Datainspektionen Box Stockholm Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen (dnr ) Sammanfattning av den lokala spärrtjänsten inom Landstinget i Uppsala län Landstinget i Uppsala län har som tidigare nämnts en central funktion för hantering av patienters spärrar. Detta utförs av en enhet för patientadministration, som förutom kontakten med patienter och andra vårdgivare även hanterar den tekniska administrationen kring spärrar. Denna administration sköts via en lokal spärrtjänst som är ett tekniskt system för hanterande av spärrar. System som anpassas till spärrtjänsten hämtar information om vad som är spärrat och för vilken patient från denna lokala spärrtjänst och agerar därefter. Det finns också en nationell spärrtjänst dit system som Nationell Patientöversikt och andra nationellt driftade system är knutna. Sedan en tid tillbaka är den lokala spärrtjänsten sammankopplad med den nationella, vilket innebär att spärrar som läggs i den lokala spärrtjänsten även slår i befintliga och kommande nationella system. Tolkning av Datainspektionens beslut Datainspektionens beslut namnger inte, med undantag från vårt huvudjournalsystem Cosmic, i klartext exakt vilka system som avses. De flesta system som påverkas avser både sammanhållen journalföring och inre spärr och förekommer således uppräknade i båda kategorierna. Landstinget i Uppsala län har gjort en tolkning av beslutet och översatt detta till namngivna system som måste åtgärdas. Denna tolkning har gjorts av landstingsjurist, informationssäkerhetsansvarig och sakkunnig i spärrfrågor. Tid- och åtgärdsplaner Nedan följer de tid- och åtgärdsplaner som Datainspektionen krävt. Dessa har arbetats fram av respektive driftsförvaltning tillsammans med aktuell leverantör. I samband med redovisningen av tidplanerna finns också en beskrivning av hur den temporära rutinen ser ut för att kravet på spärrfunktionalitet uppfylls fram tills dess att den slutgiltiga tekniska lösningen är på plats. Landstingets ledningskontor Slottsgränd 2A Box Uppsala tfn vx fax org nr

5 2 (7) Cambio Cosmic - huvudjournalsystem Cambio Cosmic är i dagsläget till huvuddelen anpassat för spärrhantering. Det som saknas är spärr av läkemedel samt Varning och observandum. Spärr av läkemedel är färdigutvecklat av leverantören Cambio och kommer att driftsättas i version R7.5 sp2. Denna version finns hos Cambio och beräknas vara leveransklar till landstingen i oktober månad. Därefter följer acceptanstester och samexistenstester samt troligtvis en eller flera rättningar. Införandet i verksamheten beräknas till årsskiftet 2012/2013. Reservrutin: Läkemedelsinformationen tas bort från Cosmic-databasen och förs över till Kovis, där den läggs i en egen sekretessgrupp. Det blir då oåtkomligt för samtliga användare och måste vid behov tillgängliggöras av en administratör. Varning och Observandum kommer att utvecklas till nästa version av Cosmic, IX3. Anledningen till att varning och observandum är problematisk ur ett spärrperspektiv är att denna information i databasen inte är uppmärkt med vårdgivare eller vårdenhetstillhörighet. Därför har detta tagit längre tid än övrig anpassning till spärrtjänsten. Planen är att IX3 ska levereras av Cambio till det landsting som är målkund under Dock är Landstinget i Uppsala län inte målkund, utan vi får tillgång till detta under våren Reservrutin: Varning och Observandum makuleras i Cosmic. Kovis Spärrfunktionaliteten finns, på uppdrag av Landstinget i Uppsala län, färdigutvecklat hos leverantören och är därmed redo att implementeras i den version av Kovis (KIBI Base) som är planerad att införas på Landstinget i Uppsala län. Det har tyvärr uppstått oväntade och ganska allvarliga problem vid uppgraderingen av Kovis databas. Dessa problem har leverantören hittills inte lyckats lösa. Av den anledningen har införandet av spärrtjänsten dragit ut på tiden. Planerat var tidigare att den skulle finnas på plats under våren Nuvarande tidplan är at den nya versionen KIBI Base med full spärrfunktionalitet finns implementerad i verksamheten halvårsskiftet I ett första steg måste själva Kovis/KIBI uppgraderas och när det är klart och den är i drift kan spärrtjänsten kopplas på. Det sistnämnda är dock en enkel procedur, eftersom modulen redan finns klar. Inplanerat är att Kovis ska uppgraderas till KIBI Base under våren 2013 och sedan sker kopplingen till spärrtjänsten. Reservrutin: Patientens dokument i Kovis läggs i en separat sekretessgrupp och måste sedan öppnas av en administratör i de fall den ska bli åtkomlig. Landstingets ledningskontor Slottsgränd 2A Box Uppsala tfn vx fax org nr

6 3 (7) Bildsystem med ingående komponenter Bildsystemet redovisas i tillsynsrapporten som tre separata system. RIS PACS IMS - den administrativa delen - radiologiklienten - multimediaarkiv för arkivering av bildmaterial De tillhör samma funktion och det är samma leverantör, vilket gör att anpassning till spärrtjänst görs för alla tre samtidigt. Egentligen är de tre moduler av samma remissystem, men resultatet av tillsynen blev att de räknades som tre separata. Dessutom tillkommer en bildvisare som ersättare för Webb1000 (se avsnitt om Webb1000). Bildsystemet skiljer sig gentemot våra övriga labbsystem. Landstingets grundtanke när det gäller system som hanterar remisser av olika slag är att remitteringen sker i Cosmic och svaret levereras sedan tillbaka till Cosmic och läses av remittenten där. Det innebär att i normala fall behöver inte remittenten gå in i labbsystemet utan allt visas i Cosmic. Bildsystemet skiljer sig här med avseende på att de radiologiska bilder som levereras av radiologerna av tekniska skäl inte kan lagras i Cosmic. Bilderna används också under exempelvis operationer då patienten är nedsövd, vilket gör att åtkomsten till bilderna inte får bli fördröjd av misstag. Det bedöms således finnas en större patientsäkerhetsrisk här jämfört med i många andra system där tiden inte är en faktor på samma sätt. Anpassning av Bildsystemet sker i olika parallella faser. Utredning måste ske exakt hur spärrfunktionaliteten ska se ut och fungera, eftersom en del av systemet är radiologernas arbetsverktyg och en andra del är remittenternas möjlighet att ta del av resultatet. När denna utredning är klar läggs en beställning till leverantören som sedan utför de förändringar i databaserna som krävs samt att koppla bildsystemen till den lokala spärrtjänsten. Parallellt med detta finns ett stort arbete med att koppla informationsmängderna i systemen till rätt HSA-id med avseende på vårdgivare, vårdenhet samt vårdande enhet. Informationsmängderna är i systemet uppmärkta korrekt, men eftersom den lokala spärrtjänsten identifierar vårdgivare och vårdenhet baserat på deras HSA-id måste en översättning och en tillhörighetstilldelning ske. Erfarenheterna från anpassningen till spärrhantering i Cosmic har gett att detta är ett stort och tidskrävande arbete. Tidplan: Utredning av spärrfunktionalitet görs under hösten Samtidigt görs en genomlysning av hur det radiologiska materialet är uppmärkt i systemet. Under våren 2013 läggs en beställning till leverantören gällande de förändringar som krävs. Leverans av denna beställning kan förväntas efter sommaren Därefter sker acceptanstester, Landstingets ledningskontor Slottsgränd 2A Box Uppsala tfn vx fax org nr

7 4 (7) samexistenstester samt uppmärkning av informationsmängderna. Uppskattad tid för införande i verksamheten är då årsskiftet 2013/2014. Reservrutin: Det radiologiska materialet görs osökbart i databasen, men finns kvar för manuell hantering av driftsansvariga. Extern journal Extern journal är en databas som innehåller delar av Primärvårdens journaler från deras tidigare journalsystem, Journal 3. Denna databas nås via huvudjournalsystemet Cosmic. Planen är att primärvårdens gamla journalsystem ska arkiveras och flyttas till det nya e- arkivet som i projektform är beskrivet som r7e-arkiv och är ett samarbetsprojekt mellan ett flertal landsting. Detta elektroniska arkiv kommer att innehålla två delar. Den ena delen är ett mellanarkiv och den andra ett slutarkiv. Till mellanarkivet kommer vårdpersonal att ha direktåtkomst och där gäller kravet på spärrfunktionalitet. Till slutarkivet har inte vårdpersonalen direktåtkomst, utan där gäller ett vanligt utlämnande via arkivet. Primärvårdens gamla journaler ska enligt plan exporteras till mellanarkivet. För att detta ska kunna ske krävs två saker. Dels måste mellanarkivet vara i drift (med spärrfunktionalitet) och dels måste journaldatabaserna anpassas för en export i ett format som e-arkivet kan importera. Tidplanen i det nationella projektet r7e-arkiv är att vårddokumentation ska kunna importeras tidigast hösten Då finns dock inte koppling till spärrtjänsten. Denna koppling är planerad att finnas i drift under februari Parallellt med detta ska arbete utföras för att exportera befintliga journaldatabaser i rätt format. Det har vid pilotförsök visat sig vara komplicerat pga. att alla landsting som använt Journal 3 har konfigurerat detta på olika sätt. Journal 3-databaser finns inom de flesta landsting så behovet av att kunna exportera dessa bedöms vara stort för många vårdgivare. Det som i dagsläget framkommit är att det blir för kostsamt att hantera dessa databaser för ett enskilt landsting och nu pågår arbete för att samverka gentemot leverantören med mål om att få en gemensam lösning och en gemensam finansiering av detta. Om denna samverkan går enligt plan kan Journal 3-databaserna exporteras till e-arkivet efter halvårsskiftet I samband med att Journal 3 flyttas till e-arkivet tas databasen Extern journal bort från Cosmic och ersätts av åtkomst till mellanarkivet. Reservrutin: Patientens journal tas bort ur Extern journal-databasen och finns sedan åtkomlig för utlämnande via Primärvården. Landstingets ledningskontor Slottsgränd 2A Box Uppsala tfn vx fax org nr

8 5 (7) Webb1000 Webb1000 ger tillgång till röntgenbilder från bildsystemet PACS. Användare är ickeradiologer, dvs. läkare som inte arbetar inom radiologin, men ändå har behov av att ta del av bilderna utan möjlighet till bearbetning. Bilderna hämtas från samma databas som Bildsystem (se ovan). Webb1000 är en gammal webbklient som är tillverkad av AGFA. Vi har som landsting små möjligheter att påverka leverantören så att denna skulle anpassas till spärrtjänsten. Beslut är, av säkerhetsmässiga skäl samt det som nämnts ovan, att Webb1000 ska läggas ner. Detta är planerat att ske före årsskiftet 2012/2013. Webb1000 ersätts av en webbklient som är tillverkad av Carestream och som ingår som en komponent i Bildsystem. Den följer därmed samma tidsplan som redovisats för Bildsystem. Reservrutin: Samma som för Bildsystem, dvs. bilderna görs osökbara för användare. Pascal Pascal är ett nationellt system som är utvecklat av Inera AB och är gemensamt för samtliga landsting och privata vårdgivare i Sverige. Det hanterar ordination av dosförpackade läkemedel och patienten tillfrågas om samtycke innan har eller hon läggs in i systemet. Pascal har i dagsläget ingen koppling till den lokala eller nationella spärrtjänsten. Planen är att koppling till den nationella spärrtjänsten, och då även till den lokala, ska finnas på plats när Nationell ordinationsdatabas (NOD) driftsätts i landet. Pascal kommer då att bli en del av NOD, då denna kommer att hantera alla ordinationer, inte bara de dosförpackade läkemedlen. NOD färdigställs under december Det kommer sedan att testas i en mindre pilot och med ett mindre antal användare. Detta kommer att ske under del av våren. NOD antas sedan finnas testat och korrigerat efter halvårsskiftet I och med det blir Pascal en del av NOD och Pascal kommer då att vara anslutet till spärrtjänsten. Spärrar som läggs i den lokala spärrtjänsten kommer att replikeras till den nationella och slå i NOD/Pascal. Reservrutin: Patienten tas bort ur Pascal och ordinationer görs istället på vanligt sätt,inte som dosordination. Landstingets ledningskontor Slottsgränd 2A Box Uppsala tfn vx fax org nr

9 6 (7) Prator Landstinget i Uppsala län väljer här att förtydliga användningen av Prator. Baserat på hur systemet används och är konfigurerat anser vi att det ska räknas som ett system för utlämnande av information till kommunen och då inte omfattas av kravet på spärrfunktionalitet. En av orsakerna är att mottagande enhet inte kan bereda sig själv tillgång till valfri information ur vårt system för vårddokumentation, utan det är landstinget som gör en selektering och aktivt väljer vad som ska föras in i Prator. Detta blir sedan tillgängligt för den som deltar i vårdplaneringen. När allt som ska föras över till kommunen är inskrivet justeras detta och blir då låst för landstingets personal och möjligt för kommunen att hämta. Innan justeringen har ingen annan än behörig personal inom landstinget åtkomst till dokumentet. Vår bedömning är att hanterandet i väsentliga delar karaktäriseras av ett elektroniskt utlämnande och då inte omfattas av kravet på spärrar. Nedan beskrivs flödet i Prator när en samordnad vårdplanering sker: När en patient ska föras över från slutenvården till kommunen sker detta via Prator. Patienten lämnar sitt samtycke att informationen förs över till kommunen. Detta görs vid två tillfällen under processen, i samband med inskrivningsmeddelandet och vid kallelse till vårdplanering. Första steget i processen är att sjuksköterska i slutenvården skriver och sänder ett inskrivningsmeddelande i Prator. Mottagare är biståndshandläggare (där patienten bor), sjuksköterska i kommunen, sjukgymnast, arbetsterapeut i kommunen samt till primärvårdens husläkare. Inskrivningsmeddelandet går även till den biståndshandläggare som hör till patientens hemkommuns vårdplaneringsteam. Denna biståndshandläggare deltar i samtliga vårdplaneringar för den kommunen. Inskrivningsmeddelandet styrs bl.a. via personens hemadress. Exempelvis. en biståndshandläggare i Björklinge ser bara de meddelanden som rör patienter med adress i Björklinge hemvårdsområde. Vårdplaneringsteamets biståndshandläggare ser meddelanden som innefattar alla hemvårdsområden i dennes kommun eftersom de deltar i samtliga vårdplaneringar. Steg två är att slutenvårdens sjuksköterska sänder en kallelse till vårdplanering och skapar en vårdplan. I vårdplanen skriver läkare och sjuksköterska manuellt in uppgifter i Prator som hämtas från Cosmic. När detta är gjort markeras dokumentet som justerat och är då låst för Landstingets ledningskontor Slottsgränd 2A Box Uppsala tfn vx fax org nr

10 7 (7) redigering. Innan justeringen från slutenvården är gjord har ingen aktör i kommunen tillgång till vårdplanen. Detta är först möjligt sedan slutenvården justerat vårdplanen. Kommunen kan sedan ta del av landstingets del av vårdplanen. Efter vårdplaneringen skapar kommunen sin del av vårdplanen och justerar sin del. Justering görs även av husläkaren i primärvården. När alla parter justerat är vårdplanen låst. Sista steget är att sjuksköterskan i slutenvården sänder ett utskrivningsmeddelande till sjuksköterskan i kommunen. Sammanfattning av tidsplanerna System Kommentar Tidplan för spärrfunktionalitet Cambio Cosmic Läkemedel Årsskiftet 2012/2013 Varning och observandum Våren 2014 Kovis (KIBI Base) Halvårsskiftet 2013 Bildsystem Årsskiftet 2013/ RIS Årsskiftet 2013/ PACS Årsskiftet 2013/ IMS (multimediaarkivet) Årsskiftet 2013/2014 Extern journal Hösten 2013 Webb1000 Läggs ner inom LUL Nedlagt nov 2012 Pascal Hösten 2013 Prator Anses hantera utlämnande Ej tillämpligt För Landstinget i Uppsala län Erik Weiman Landstingsstyrelsens ordförande Kerstin Westholm Landstingsdirektör Landstingets ledningskontor Slottsgränd 2A Box Uppsala tfn vx fax org nr

11 Datum Diarienr Landstingsstyrelsen Landstinget i Uppsala län Box Uppsala Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datainspektionens beslut Datainspektionen konstaterar att Landstingsstyrelsen, landstinget i Uppsala län (härefter Landstinget) genom att ett antal av IT-systemen ännu inte lever upp till patientdatalagens krav på spärrar, behandlar personuppgifter i strid med patientdatalagen på det sätt som framgår nedan. 1. Landstinget tillgodoser inte patientens rätt att spärra all vårddokumentation i journalsystemet Cosmic och i ytterligare uppskattningsvis nio system, som helt eller delvis saknar tekniska funktioner för spärrar. 2. Landstinget tillgängliggör även känslig information om patienter till andra vårdgivare genom sammanhållen journalföring via Cosmic och ytterligare sex system, utan att leva upp till de krav som anges i lagen. Detta strider mot 4 kap. 4 och 6 kap. 2 patientdatalagen. För flertalet system framgår varken på ett tydligt sätt när Landstinget kommer att tillgodose patientens rätt till spärrar, eller hur Landstinget avser att tillgodose rätten fram till dess att spärrfunktioner finns på plats. Landstinget är skyldigt att omgående vidta åtgärder för att efterleva kraven i ovanstående bestämmelser. Eftersom Landstinget inte lever upp till bestämmelserna i 4 kap. 4 och 6 kap. 2 patientdatalagen föreläggs Landstinget att senast den Postadress: Box 8114, Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: Webbplats: Telefax:

12 1 oktober 2012 ge in en redogörelse för: 1. När funktioner för tekniska spärrar som möjliggör för vårdgivaren att leva upp till kraven i patientdatalagen kommer att vara genomförda i de nu aktuella systemen (se punkt 1 ovan), samt 2. vilka tillfälliga övergångslösningar som Landstinget har vidtagit beträffande huvudjournalsystem och andra omfattande patientjournalsystem som innehåller många känslig patientuppgifter. Redogörelsen ska innefatta de aktuella IT-system som finns dels inom en vårdgivare, dels mellan vårdgivare inom ramen för sammanhållen journalföring. Datainspektionen förutsätter att Landstinget ser till att vårddokumentationen i system som endast används/är åtkomliga inom en vårdenhet eller vårdprocess, inte är elektroniskt åtkomliga för användare som arbetar vid andra vårdenheter eller vårdprocesser, alternativt ser till att patienten på begäran genast kan få sin dokumentation spärrad i enlighet med 4 kap. 4 patientdatalagen. Redogörelse för tillsynsärendet Datainspektionen har fått indikationer på att det finns brister inom vården när det gäller patientens möjlighet att få sin vårddokumentation spärrad enligt bestämmelserna i patientdatalagen. Datainspektionen har därför genomfört ett nationellt tillsynsprojekt för att granska hur vården tillgodoser patientens rätt i dessa avseenden. Tillsynen gäller samtliga landsting och regioner samt fem privata vårdgivare. Vårdgivarna har inledningsvis besvarat frågor i en enkät, men då svaren inte har varit fullständiga har Datainspektionen begärt in kompletteringar vid två tillfällen. Landstinget har inkommit med yttranden i juni 2011, januari 2012 och mars Landstinget har i yttrandena i huvudsak uppgett följande. Landstinget har cirka 22 system som innehåller vårddokumentation. Landstingets huvudjournalsystem är Cosmic och Kovis, som båda ingår i sammanhållen journalföring. System som även ingår i sammanhållen journalföring åtta system: Det går endast att spärra delvis med en teknisk funktion i journalsystemet Cosmic. Läkemedel, bokning och ankomstregistrering går inte att spärra. Sida 2 av 11

13 I Kovis finns teknisk funktion för spärr, men den är inte helt i enlighet med patientdatalagen. I fem system går det inte att spärra med en teknisk funktion. I ett system går det att spärra all information med en teknisk funktion System som enbart används inom en vårdgivare (inre sekretessen) 14 system: I två system går det att spärra all information med en teknisk funktion. Åtta system är endast åtkomliga inom en vårdenhet och ett system endast för en viss kategori av personal. Ett system anser Landstinget inte innehålla vårddokumentation. Ett system innehåller enligt Landstinget bara ospärrade patienter. Ett system används enligt Landstinget för utlämnande av information till kommunen och bygger på patientens medgivande. Landstingets strategi för spärrhantering i huvudsak Landstinget har uppgett följande. Av resursskäl har huvudjournalsystemen prioriterats. I Cosmic finns en teknisk funktion för spärrar via en lokal spärrtjänst som infördes under hösten Utveckling pågår och implementering förväntas ske i flera faser med start våren En ny version av Kovis med spärrfunktioner är beräknad att införas under I ett system kommer spärr att införas vid årsskiftet i och med att informationen överförs till ett elektroniskt arkiv. Ett annat system planeras att ersättas av Cosmic under Tre system ska utredas under våren Närmare uppgifter om vad som framkommit i ärendet och därmed legat till grund för Datainspektionens bedömning framgår av skälen för beslutet. Skäl för beslutet Rättsregler m.m. Reglerna om vårdgivarens skyldighet att tillhandahålla en möjlighet för patienten att spärra sin vårddokumentation i vissa IT-system återfinns i 4 kap. 4 och 6 kap. 2 patientdatalagen. Vidare kompletteras patientdatalagens bestämmelser av Socialstyrelsens föreskrifter Informationshantering och journalföring i hälso- och sjukvården (SOSFS 2008:14). Se särskilt 2 kap SOSFS 2008:14. Av 4 kap. 4 första stycket patientdatalagen framgår att personuppgifter som dokumenterats för ändamål som anges i 2 kap. 4 punkterna 1 och 2 hos en vårdenhet eller inom en vårdprocess, inte får göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet eller inom en Sida 3 av 11

14 annan vårdprocess hos samma vårdgivare, om patienten motsätter sig det. I sådana fall ska uppgiften genast spärras. Vårdnadshavare till ett barn har dock inte rätt att spärra barnets uppgifter. Uppgift om att det finns spärrade uppgifter får vara tillgänglig för andra vårdenheter eller vårdprocesser. Av 6 kap. 2 fjärde stycket patientdatalagen framgår att om en patient motsätter sig att andra uppgifter än dem som anges i andra stycket samma lagrum görs tillgängliga för andra vårdgivare genom sammanhållen journalföring ska uppgifterna genast spärras. Vårdnadshavaren till ett barn kan dock inte spärra uppgifter om barnet. Av paragrafen framgår således att patientens rätt att motsätta sig att uppgifter tillgängliggörs i den sammanhållna journalföringen omfattar samtliga uppgifter, utom uppgift om att det finns spärrade uppgifter och vilken vårdgivare som har spärrat dessa. Av förarbetsuttalandena (Proposition 2007/08:126, Patientdatalag m.m, härefter prop.) framgår bland annat följande. Att en patient har möjlighet att begära sådana spärrar är enligt regeringens uppfattning i linje med de grundläggande principerna som slås fast i 2 a hälso- och sjukvårdslagen (1982:763) om att verksamheten ska bygga på respekt för patientens självbestämmande och integritet och så långt som möjligt utföras och genomföras i samråd med patienten. Regeringen föreslår mot bakgrund av detta en bestämmelse som slår fast de principer som uttryck i den anförda bestämmelsen i 2 a hälso- och sjukvårdslagen när det gäller elektronisk tillgänglighet inom en vårdgivares individinriktade patientverksamhet. Bestämmelsen innebär att den enskilde patienten ges rätt att begära att vårddokumentation spärras från tillgänglighet genom elektronisk åtkomst för andra vårdenheter alternativt vårdprocesser utanför den till vilken uppgifterna hör, s.k. inre spärrar. Uppgift om att det finns spärrade uppgifter får dock vara tillgängliga för andra vårdenheter eller vårdprocesser. Utan en sådan spärrmöjlighet kan inte uteslutas att patienter håller inne med känslig men viktig information av rädsla för att informationen sprids. Liksom i fråga om den sammanhållna journalföringen handlar den inre spärren inte om huruvida uppgifter om en patient alls bör få utbytas mellan olika kliniker eller olika sjukhus m.m. hos en och samma vårdgivare. Det sagda reglerar bara sättet för utbytet; elektronisk åtkomst. Det är vårdgivaren som på förhand har att definiera vilka vårdenheter alternativt vårdprocesser som finns inom vårdgivarens individinriktade hälso- och sjukvård och därmed vilka spärrar som kan tillhandahållas. (prop. s. 151 f) Att uppgifterna spärras innebär att de inte finns tillgängliga för andra vårdenheter alternativt vårdprocesser genom elektronisk åtkomst. Med elektronisk åtkomst avses enligt paragrafen personalens möjlighet att elektroniskt bereda sig tillgång till personuppgifter som finns tillgängliga inom vårdgivarens organisation. Paragrafen är inte tillämplig när spärrade uppgifter görs tillgängliga för annan vårdenhet eller vårdprocess genom användning av exempelvis e-post eller på diskett eller cd-rom (prop. s. 242). Sida 4 av 11

15 En del remissinstanser, bl.a. Sveriges Kommuner och Landsting och Socialstyrelsen, har framfört synpunkten att viss s.k. varningsinformation t.ex. information om smittsamma sjukdomar, uppgifter om myndighetsåtgärder enligt smittskyddslagen (2004:168) eller om allergier m.m. inte ska kunna spärras av patienten. Argumentet för detta är att denna information är viktig dels för vårdpersonalens möjligheter att skydda sig själv och andra patienter mot smitta, men också för behandlingen av patienten, t.ex. vid allergi mot någon viss medicin. Regeringen anser att det är av stor betydelse att gå försiktigt fram vid införandet av ny lagstiftning som öppnar upp möjligheterna till spridning av känslig information. De patienter som till varje pris vill behålla en hemlighet måste kunna vända sig till svensk hälso- och sjukvård i den trygga förvissningen om att kunna få gehör för sin klart uttalade vilja om hur spridd den elektroniska tillgängligheten till information om honom eller henne ska vara för hälso- och sjukvårdspersonal inom landet. Regeringen anser att skyddet för patientens integritet och därmed möjligheterna att behålla förtroendet för systemet som föreslås väger över till förmån för att inte införa regler om undantag för spärr av viss s.k. varningsinformation. (prop. s. 114 f) Spärrade uppgifter får inte vara tekniskt åtkomliga genom direktåtkomst för andra vårdgivare med undantag för om det är fråga om en akut nödsituation. Uppgift om att det finns spärrade uppgifter och uppgift om vilken vårdgivare som har spärrat uppgifterna får dock göras tillgänglig. En annan vårdgivare får ta del av uppgiften om vilken vårdgivare som har spärrat uppgifterna endast under de förutsättningar som anges när d et är fråga om en akut nödsituation. (prop. s. 118) Systemet med sammanhållen journalföring ska därför utformas så att vårdgivaren som ett första steg får ta del av uppgift om vilken eller vilka vårdgivare som har spärrat uppgifterna. Vårdgivaren kan i detta skede endast se uppgiften vid vilken eller vid vilka vårdgivare spärrar gjorts, inte specifikt vid vilken vårdenhet eller vad för typ av behandling som spärrats hos annan vårdgivare eller hos andra vårdgivare. Med ledning av denna uppgift ska vårdgivaren som ett andra steg bedöma om de spärrade uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver. Endast uppgifter som kan antas ha sådan betydelse får hävas. Vårdgivaren ska i sådana fall begära hos den vårdgivare som har spärrat uppgifterna att denne häver spärren. (prop. s. 118 f) En spärrning kan på patientens begäran avse samtliga uppgifter utom dem som anges i andra stycket eller bara vissa uppgifter. Inget hindrar att en spärrning kan göras endast i förhållande till någon eller vissa vårdgivare som deltar i det sammanhållna journalsystemet. Att uppgifterna är spärrade innebär alltså att andra vårdgivare inte har någon direktåtkomst till uppgifterna. Den spärrade informationen kan inte läsas av extern personal. (prop. s. 249) Patientens rätt att spärra sin vårddokumentation Det har framkommit i ärendet att det saknas teknisk spärr - helt eller delvis i uppskattningsvis 10 system. När det gäller Cosmic, som dessutom ingår i Sida 5 av 11

16 sammanhållen journalföring, saknas fortfarande möjlighet att spärra vad som förefaller gälla en förhållandevis stor mängd information. Det har vidare framkommit att det pågår utveckling för bland annat Cosmic, men inte specifikt när alla brister kommer att vara åtgärdade. Datainspektionen vill i sammanhanget lämna följande information. När patientdatalagen trädde i kraft för snart fyra år sedan, fick patienten en ovillkorlig rätt att spärra sin elektroniska vårddokumentation inom hälso- och sjukvården för vårdsyfte beträffande de IT-system som innehåller vårddokumentation enligt 2 kap. 4 punkterna 1 och 2 patientdatalagen. Med administration i punkt 2 avses såväl patientrelaterad ekonomiadministration som annan administration som behövs eller föranleds av vård i enskilda fall (se prop. s. 228). Detta innebär således att patienten ska kunna spärra sina uppgifter i alla system som innehåller vårddokumentation som behövs i patientvården eller patientadministrationen, till exempel i patientjournalsystem, administrativa system såsom fakturering och tidsbokning, hjälpmedelssystem och verksamhetsspecifika system. Datainspektionen vill dock understryka att till exempel kvalitetsregister faller utanför ovanstående bestämmelser och att system som är hänförliga till kvalitetsregister inte omfattas av Datainspektionen nu aktuella tillsyn. Vidare får kvalitetsregister inte utan patientens uttryckliga samtycke användas för andra ändamål än kvalitetssäkring, statistikframställning eller forskning. Uppgifterna får exempelvis inte användas som underlag och beslutsstöd i den individinriktade vården. Patientens rätt att få uppgifter spärrade påverkar emellertid inte förutsättningarna för behörig åtkomst för andra ändamål än vård och behandling, till exempel statistik, planering eller verksamhetsutveckling. När det gäller personal som arbetar med verksamhetsuppföljning, statistikframställning, central ekonomiadministration och liknande verksamhet som inte är individorienterad torde det för flertalet befattningshavare räcka med tillgång till uppgifter som endast indirekt kan härledas till enskilda patienter. Elektronisk åtkomst till kodnycklar, personnummer och andra uppgifter som direkt pekar ut enskilda patienter bör på detta område kunna vara starkt begränsad till enstaka personer (se prop. s 149). Patientens rätt till spärr gäller både i den inre sekretessen och i den sammanhållna journalföringen. När patienten begär att dennes vårddokumentation ska spärras får vårddokumentationen inte finnas elektronisk tillgänglig för andra vårdenheter alternativt vårdprocesser eller för Sida 6 av 11

17 andra vårdgivare. Av detta följer att så kallade mentala spärrar/mjuka spärrar exempelvis i form av en anteckning om spärr i systemet, eventuellt i kombination med en så kallad uppmärksamhetssymbol, inte är tillräckligt för att tillgodose patientens rättigheter i detta avseende. Det finns vidare inte något stöd i patientdatalagen för vårdgivaren att undanta viss vårddokumentation från patientens spärrmöjlighet. Datainspektionen vill, när det gäller sammanhållen journalföring, även påpeka följande. Det finns en möjlighet för vårdgivaren att ingå i ett system för sammanhållen journalföring om förutsättningarna enligt patientdatalagen är uppfyllda. Det finns dock ingen rättighet eller skyldighet för vårdgivaren att ingå i detta system om någon av förutsättningarna inte är uppfyllda. Förutsättningarna följer av 6 kap. 2 tredje stycket patientdatalagen. Av paragrafen framgår att patienten, innan uppgifter om en patient görs tillgängliga för andra vårdgivare genom sammanhållen journalföring, ska informeras om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig detta. En ytterligare förutsättning är att en patient ska kunna få sin rätt till spärrar tillgodosedd, innan vårdgivaren går med i ett sammanhållet journalsystem. Om dessa möjligheter till spärrar inte finns på plats innebär detta inte enbart att vårdgivarens personuppgiftsbehandling strider mot patientdatalagen, utan även att vårdgivaren kommer att lämna ut känsliga personuppgifter i strid med bestämmelser om sekretess. Detta gäller exempelvis om uppgifterna lämnas ut trots att patienten har motsatt sig detta, det vill säga att patienten har begärt en spärr som vårdgivaren inte kan tillgodose. Datainspektionens bedömning För att Landstinget ska kunna leva upp till kraven på spärrar anser Datainspektionen att Landstinget måste se till att det finns en teknisk funktion avseende spärr i de system där det finns vårddokumentation enligt 2 kap. 4 punkterna 1 och 2, bortsett från de system som endast är åtkomliga inom en vårdenhet/vårdprocess hos vårdgivaren (se närmare nedan). En teknisk funktion för spärr torde även vara det mest ändamålsenliga tillvägagångssättet, eftersom en vårdgivare därigenom kan tillgodose såväl patientens integritet som patientsäkerheten. Bestämmelserna kompletteras genom Socialstyrelsens föreskrifter 2 kap (SOSFS 2008:14). Där framgår att viss information kan göras åtkomlig i olika steg genom så kallade aktiva val och att det ska finnas rutiner för nödöppning vid sammanhållen journalföring. Utifrån det underlag som Landstinget har gett in i ärendet gör Datainspektionen bedömningen att de system som har uppgetts inte Sida 7 av 11

18 innehålla vårddokumentation, används för utlämnande av information till kommunen och bara innehåller ospärrade patienter, och där informationen inte endast finns inom en vårdenhet eller vårdprocess, omfattas av kraven på spärrar. Datainspektionen finner det anmärkningsvärt att Landstinget fortfarande inte kan tillgodose patienternas rätt att få sin vårddokumentation spärrad enligt kraven i patientdatalagen. Detta gäller för närvarande uppskattningsvis 10 av Landstingets system. Det är vidare anmärkningsvärt att det, fortfarande inte med en teknisk funktion går att spärra all information i Cosmic, som dessutom ingår i sammanhållen journalföring. Det förhållandet att Landstinget inte har en tydlig åtgärdsplan för när bristerna i systemen kommer att vara åtgärdade, medför att Landstinget kan komma att behandla personuppgifter på ett olagligt sätt under en lång tid framöver. Datainspektionen konstaterar att Landstinget, genom att ett antal av ITsystemen ännu inte lever upp till patientdatalagens krav på spärrar, behandlar personuppgifter i strid med patientdatalagen på det sätt som framgår nedan. 1. Landstinget tillgodoser inte patientens rätt att spärra all vårddokumentation i journalsystemet Cosmic och i ytterligare uppskattningsvis nio system, som helt eller delvis saknar tekniska funktioner för spärrar. 2. Landstinget tillgängliggör även känslig information om patienter till andra vårdgivare genom sammanhållen journalföring via Cosmic och ytterligare sex system, utan att leva upp till de krav som anges i lagen. Detta strider mot 4 kap. 4 och 6 kap. 2 patientdatalagen. För flertalet system framgår varken på ett tydligt sätt när Landstinget kommer att tillgodose patientens rätt till spärrar, eller hur Landstinget avser att tillgodose rätten fram till dess att spärrfunktioner finns på plats. Landstinget är skyldigt att omgående vidta åtgärder för att efterleva kraven i ovanstående bestämmelser. Eftersom Landstinget inte lever upp till bestämmelserna i 4 kap. 4 och 6 kap. 2 patientdatalagen ska Landstinget föreläggas att senast den 1 oktober 2012 ge in en redogörelse för när funktioner för tekniska spärrar som möjliggör för vårdgivaren att leva upp till kraven i patientdatalagen kommer att vara genomförda i de nu aktuella systemen. Redogörelsen ska innefatta de Sida 8 av 11

19 IT-system som finns dels inom en vårdgivare, dels mellan vårdgivare inom ramen för sammanhållen journalföring. Särskilt om system som endast är åtkomliga inom en vårdenhet/vårdprocess Landstinget har uppgett att åtta system endast är åtkomliga inom en vårdenhet och ett system endast för en viss kategori av personal. Datainspektionens bedömning Datainspektionen anser att det inte behövs tekniska spärrfunktioner för system som endast är elektroniskt åtkomliga för användare inom en vårdenhet eller vårdprocess. Datainspektionen påpekar dock att det inte är tillräckligt att begränsa åtkomsten till ett system för en viss kategori av användare, såvida dessa inte arbetar inom samma vårdenhet eller vårdprocess. Datainspektionen förutsätter att Landstinget ser till att vårddokumentationen i system som endast används/är åtkomliga inom en vårdenhet eller vårdprocess, inte är elektroniskt åtkomliga för användare som arbetar vid andra vårdenheter eller vårdprocesser, alternativt ser till att patienten på begäran genast kan få sin dokumentation spärrad i enlighet med 4 kap. 4 patientdatalagen. Tillfälliga övergångslösningar Landstinget har uppgett följande. Landstinget har tagit fram en nödrutin för att spärra läkemedelslistan, som innebär att läkemedelslistan kan exporteras ur Cosmic till Kovis för att sedan sekretessgrupperas. För Kovis tillämpas en tillfällig rutin som innebär att uppgifterna flyttas till en egen sekretessgrupp och då inte blir tillgängliga för någon personal utan åtkomst sker efter samtycke från patient med efterföljande central administration från förvaltaren. Det har i övrigt inte framkommit att Landstinget, i avvaktan på tekniska spärrar, tillämpar någon tillfällig övergångslösning för att tillgodose patienternas rättigheter. Datainspektionens bedömning Patienterna har en laglig rätt att få sin vårddokumentation spärrad av vårdgivaren. Det har dock framkommit att många vårdgivare fortfarande inte kan tillgodose patienternas grundläggande rättigheter, vad gäller att få sin vårddokumentation spärrad i enlighet med kraven i patientdatalagen. Sida 9 av 11

20 För att vårdgivaren ska kunna leva upp till kraven beträffande spärrar anser Datainspektionen, som nämnts ovan, att det krävs en teknisk funktion för spärrar i de elektroniska systemen. Om vårdgivaren för närvarande inte kan leva upp till kravet på en teknisk funktion vad gäller spärrar i de elektroniska systemen, måste vårdgivaren lösa detta temporärt, det vill säga på annat sätt än genom en teknisk funktion, när det gäller huvudjournalsystem och andra omfattande patientjournalsystem som innehåller många känsliga patientuppgifter. Detta gäller såväl system som används inom en vårdgivare som mellan vårdgivare inom ramen för sammanhållen journalföring. Som framkommit är det inte tillräckligt att göra en anteckning om spärr i systemet eventuellt kombinerat med en så kallad uppmärksamhetssymbol. Patienten har en laglig rätt att få sin vårddokumentation spärrad i den inre sekretessen och i den sammanhållna journalföringen. Det är dock upp till vårdgivaren att själv välja tillvägagångssätt. Den tillfälliga övergångslösningen får naturligtvis inte ersätta den tekniska funktionen för spärr, utan ska endast vara ett komplement fram till dess att det finns tekniska funktioner för spärrar på plats i systemen. En förutsättning för att en sådan tillfällig lösning ska fungera i praktiken är att denna är allmänt känd hos användarna inom verksamheten. Det får dock aldrig bli fråga om att en sådan tillfällig övergångslösning skulle kunna utgöra en patientsäkerhetsrisk. Exempelvis måste en patient som vid en tidpunkt önskat en spärr via en tillfällig övergångslösning kunna ångra sig. Om det uppstår en nödsituation måste självfallet patientens vårddokumentation på ett enkelt sätt kunna bli tillgänglig igen. Frågor om patientsäkerhet faller emellertid utanför Datainspektionens tillsynsområde, varför denna information endast lämnas upplysningsvis. Eftersom Landstinget inte lever upp till bestämmelserna i 4 kap. 4 och 6 kap. 2 patientdatalagen ska Landstinget föreläggas att senast den 1 oktober 2012 ge in en redogörelse för vilka tillfälliga övergångslösningar som Landstinget har vidtagit beträffande huvudjournalsystem och andra omfattande patientjournalsystem som innehåller många känsliga patientuppgifter. Redogörelsen ska innefatta de aktuella IT-system som finns dels inom en vårdgivare, dels mellan vårdgivare inom ramen för sammanhållen journalföring. Sida 10 av 11

21 Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet skall ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta beslut har fattats av tillsynschefen Erik Janzon samt juristen Katarina Högquist, föredragande. Erik Janzon Katarina Högquist Kopia till: Kontaktperson hos Landstinget Sida 11 av 11