Samråd enligt 2 och 3 patientdataförordningen

Transkript

1 Yttrande Diarienr Ert dnr /11 Socialstyrelsen Samråd enligt 2 och 3 patientdataförordningen Som ett led i samrådsskyldigheten enligt 2 och 3 patientdataförordningen (2008:360) har Socialstyrelsen översänt versionen Chefsjurist för Datainspektionens synpunkter. Vi har idag följande synpunkter. Vid den externa remissen kan vi komma att utveckla dem eller ha helt nya synpunkter beroende på innehållet i föreskriftsförslaget och konsekvensutredningen. Övergripande synpunkter Datainspektionen anser att de nuvarande föreskrifterna i 2 kap. SOSFS 2008:14 med ändring i 2011:8 förtydligar väsentliga krav på vårdgivarna som rör integritetsskyddet på ett sätt som återspeglar syftet med patientdatalagen, regeringens intentioner i propositionen 2007/08:126 Patientdatalag m.m. och de uttryckliga kraven på säkerhetsåtgärder i patientdatalagen. Vissa helt nya föreskrifter i nuvarande version anser vi också tar om hand integritetsaspekterna på ett bra sätt. Vi tänker här på bland annat riskanalyser i 2 kap. 3 och nya föreskrifter i 3 kap. som rör vårdgivarens informationssystem. Föreskrifterna i 3 kap. ger uttryck för några säkerhetsåtgärder som är lämpliga att vidta enligt 31 personuppgiftslagen när det rör sig om behandling av integritetskänsliga personuppgifter. För att vårdgivaren inte ska förbise att överväga behovet av andra lämpliga säkerhetsåtgärder, anser vi att 3 kap. 1 ska kombineras med en föreskrift eller ett allmänt råd som hänvisar till 31 personuppgiftslagen. Postadress: Box 8114, Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: Webbplats: Telefax:

2 Enligt förslaget vill Socialstyrelsen ha möjlighet att medge undantag från bestämmelserna i föreskrifterna, om det finns särskilda skäl. Även om det formellt sett är möjligt, kan det få konsekvenser beträffande föreslagna föreskrifter i 2, 3 och 4 kap. om Socialstyrelsen medger undantag. Föreskrifterna bygger på tvingande författningsbestämmelser eller återspeglar kravet på lämliga säkerhetsåtgärder enligt 31 personuppgiftslagen. Vi motsätter därför oss en undantagsmöjlighet för Socialstyrelsen. Detaljerade synpunkter på föreskrifterna Ingressen I ingressen till föreskrifterna bör det framgå att föreskrifterna, i aktuella delar, är meddelade efter samråd med Datainspektionen, vilket överensstämmer med lydelsen i 2 och 3 patientdataförordningen. Avveckling av media Vi anser att avveckling ska ske så att patientuppgifter inte kan läsas eller återskapas, 3 kap. 8. När vi har fattat beslut enligt 32 personuppgiftslagen har vi använt följande föreskrift, som kan vara ett alternativ till ert förslag. Utplåning När fasta eller löstagbara lagringsmedier som innehåller personuppgifter inte längre skall användas för sitt ändamål skall lagringsmedierna förstöras. Alternativt skall personuppgifterna raderas med hjälp av särskild programvara på sådant sätt att de inte kan återskapas. Öppna nät I 3 kap. 13 första stycket anser vi att det är lämpligt med ett allmänt råd som vägleder vårdgivarna i frågan vad som kan avses med andra öppna nät, utöver Internet. Viss vägledning ges i er handbok, men vi anser att ett allmänt råd behövs, särskilt om ni ändrar lydelsen till Internet eller andra öppna nät. I ett ärende har vi till exempel uttalat följande (svar på fråga i ärende ). Avgörande för frågan om ert intranät är ett öppet nät är hur det är konfigurerat, vilka och hur många som trafikerar nätet och kan ta del av resurser anslutna till nätet samt hur god säkerheten i övrigt är för nätverket. Ett öppet nät kan sägas karaktäriseras av att fler än den personuppgifts- Sida 2 av 7

3 ansvarige kan ta del av uppgifter som kommuniceras i nätet eller nå resurser som är tillgängliga via det. Påminnelser eller kallelser i öppna nät Vi motsätter oss föreskriften i 3 kap. 13 andra stycket som den är utformad i den här versionen. Skälet är att vi nu saknar den viktiga begränsningen i nu gällande föreskrift om innehållet i påminnelser eller kallelser, dvs. att dessa meddelanden inte får avslöja några detaljer om en patients hälsotillstånd eller andra personliga förhållanden. Begränsningen i fråga om innehållet var avgörande för att Datainspektionen tillstyrkte ändringen 2011 (vårt yttrande , er dnr 17500/2011). Vår bestämda uppfattning är att undantaget i andra stycket inte kan behållas utan den nuvarande begränsningen i fråga om innehållet i påminnelser eller kallelser. Styrning av behörigheter Vi ifrågasätter varför Socialstyrelsen gällande 4 kap. 1 har tagit bort lydelsen i 2 kap. 6 första stycket SOSFS 2008:14 om att behörighet ska begränsas till vad som är nödvändigt för att ge god och säker vård. Nu finns visserligen i den här version av 4kap. 1 en hänvisning till 4 kap. 2 patientdatalagen, där det i sin tur framgår att behörighet ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Vi är inte övertygade om att förändringen är bra och det beror bland annat på att kravet på behörighetsstyrning även gäller för sammanhållen journalföring enligt 6 kap. 7 patientdatalagern. Ändringen kan således uppfattas som att krav på behörighetsstyrning inte gäller vid sammanhållen journalföring och det är olyckligt. 4 kap. 1 första stycket bör därför ha följande lydelse. Bestämmelser om vårdgivarens ansvar för tilldelning av behörighet till patientuppgifter finns i 4 kap. 2 och 6 kap. 7 patientdatalagen. Men vi anser också att det är viktigt att föreskriften fortsätter att uttrycka att vårdgivaren trots allt måste ta ställning till en begränsning i fråga om vilka patientuppgifter en befattningshavare behöver för att kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Som ett underlag för den Sida 3 av 7

4 individuella behörighetstilldelningen, måste vårdgivaren självklart genomföra och besluta en behovs- och riskanalys för patientuppgifterna i informationssystemet som sådant och inte enbart nöja sig med vilken legitimation en viss befattningshavare har och att alla med den legitimationen ska ha samma behörighetsprofil, till exempel oavsett patientgrupp man normalt vårdar eller behandlar. Vi har i tillsyn sett exempel där det inte har gjorts behovs- och riskanalyser för informationssystem som innehåller patientuppgifter, men där individuella behörigheter delats ut brett. Exemplen är se särskilt s. 9 ff i beslutet beträffande Landstingsstyrelsen se särskilt s. 7 ff i beslutet beträffande Örebro kommun och Landstinget i Uppsala län gällande Läkaranteckningar LUL) Örebro läns landsting/örebro kommun gällande NPÖ lakaranteckningar-lul.pdf Det senaste beslutet beträffande Landstinget i Uppsala län ger ett bra uttryck för att det behövs analyser på flera plan, se sidan 2 i det beslutet. Vi menar att tillsynserfarenheterna visar att det är nödvändigt med en tydlig vägledning till vårdgivarna om betydelsen av behovs- och riskanalyser för att de ska kunna ta ställning och besluta i fråga om behov och risker för informationssystemet samt därefter besluta om behörighetstilldelningen i det enskilda fallet. Även den nu gällande föreskriften kan egentligen sägas vara alltför allmänt hållen och behöva utvecklas. Vi tror att det skulle vara möjlig i form av ett allmänt råd till föreskriften. Ovan nämnda beslut kan vara till en hjälp. Sammanfattningsvis anser vi att det snarast föreligger ett behov av att utveckla föreskriften som den ser ut idag och inte att ge sämre vägledning till vårdgivarna om hur de bindande kraven på behörighetstilldelning/-styrning i 4 kap. 2 och 6 kap. 7 patientdatalagen ska upprätthållas. Sida 4 av 7

5 Styrning av åtkomst till patientuppgifter Socialstyrelsen har ändrat lydelsen i 4 kap. 2 första stycket, jämfört med dagens 2 kap. 7 första stycket, genom att ta bort den tydliga skrivningen om att det är två aktiva val som befattningshavarens ska göra. Ni har tagit bort det första aktiva valet som avsåg information om andra vårdenheter eller vårdprocesser. Datainspektionen anser att den nuvarande lydelsen i 2 kap 7 första stycket SOSFS 2008:14 ska behållas. Skälet är följande. Vi menar att det är logiskt att det är fråga om ett aktivt val när en befattningshavare söker fram information om vilka andra vårdenheter/vårdprocesser som har uppgifter om patienten. Dessa andra enheter/processer kan ha både ospärrade och spärrade patientuppgifter och av 4 kap. 4 tredje stycket patientdatalagen framgår att uppgift om att det finns spärrade uppgifter får vara tillgänglig för befattningshavaren, men alltså inte i utgångsläget vilka dessa andra enheter det rör sig om. I vården används omfattande informationssystem med patientuppgifter. Regeringen har uttryckt att uppgifter bör lagras i olika skikt så att mer känsliga uppgifter kräver aktiva val eller annars inte är lika enkelt åtkomliga för personalen som mindre känsliga uppgifter (propositionen 2007/08:126 Patientdatalag m.m. s. 149 och 240) Datainspektionens tolkning av 8 vårdregisterlagen om direktåtkomst före patientdatalagens ikraftträdande var att användargränssnittet ska ha ett utgångsläge som innebär att en befattningshavare endast kan se om patienten är aktuell i den egna verksamheten (Datainspektionens tillsynsbeslut den 28 april 2008 beträffande Region Skåne i ärende ). I det ärendet framkom att användargränssnittet inte automatiskt hade ett utgångsläge som var begränsat till användarens egen verksamhet, men det var dock möjligt att ställa in systemet så att endast enhetens vårdtillfällen visas. Som det var nu visades alla vårdtillfällen, vilket således utgjorde en brist. Vi ser egentligen inget hinder för att utifrån den bedömningen även tolka 4 kap. 2 patientdatalagen så att det ska vara ett krav med ett aktivt val för att kunna läsa vilka andra vårdenheter som finns, vilket är tydligt gällande spärrade vårdenheter där det i utgångsläget bara får utläsas att det finns spärrade uppgifter, se 4 kap. 4 tredje stycket patientdatalagen. Det skulle alltså i den situationen röra sig om tekniska funktioner för behörighetsstyrning. Sida 5 av 7

6 I direktivet till översynen av SOSFS 2008:14 har Socialstyrelsen pekat särskilt på att man måste avvakta en översyn av frågan om ett rättsligt stöd för informationsutbyte mellan vården och socialtjänsten. Vi menar att det i avvaktan på vad förslag från utredningen Rätt information i vård och omsorg kan leda till i form av författningsreglering, inte ska göras ändringar i föreskriften. Rent hypotetiskt kan det i framtiden finnas behov av mer detaljerade föreskrifter om aktiva val och tekniska trösklar beroende på om informationssystemen blir mer omfattande och eventuellt förknippade med uppgifter som härrör från socialtjänsten. Det är således bättre att avvakta. En fördel med aktiva val, dvs. att passera tekniska trösklar, är att det underlättar för vårdgivaren att göra återkommande och systematiska logguppföljningar genom att det blir en typ av omständighet som kan utgöra underlag för uttag och kontroll av loggar. Sammanfattningsvis anser vi att det finns grund för två aktiva val, som föreskriften är utformad idag. Kontroll av åtkomst till patientuppgifter I 4 kap. 6 5 saknar vi i jämförelse med dagens föreskrift att det ska vara fråga om systematiska och återkommande stickprovskontroller. Systematiken är avgörande för hur vårdgivarna ska kunna hantera de stora informationssystem och informationsmängder det är fråga om. Just systematiken finns det bra vägledning om i form av Datainspektionens checklista till vårdgivarna Vi anser därför att ordalydelsen inte ska ändras i punkt 5, eftersom systematiken är viktig och vägledning finns om det. När det gäller bevarande av loggar/dokumentation i 10 år ifrågasatte vi den bevarandetiden redan 2008 (vårt yttrande , ert dnr /08). Vi konstaterade då att er konsekvensutredning inte gav vägledning kring varför ni bestämde den tiden. Vi anser fortfarande att en bevarandetid på 10 år är en lång tid. Logguppföljning är i sig en behandling av patientuppgifter och ger upphov därför upphov till nya integritetsfrågor, såsom till exempel behörighetsstyrning beträffande åtkomst till patientuppgifterna. På det här underlagen kan vi inte tillstyrka en bevarandetid på 10 år. Sida 6 av 7

7 Övrigt När det gäller extern remiss tycker vi att det är värdefullt att förslaget remitteras till Myndigheten för samhällsskydd och beredskap, som tillsammans med Socialstyrelsen och Datainspektionen vill utarbeta en nationell plan och eventuellt en branschöverenskommelse för bättre skydd av patienters integritet. Läkemedelsverket är också en viktig remissinstans, eftersom Läkemedelsverket beträffande medicintekniska system har ett regeringsuppdrag som inbegriper nationella system som används i vården. Detta yttrande har beslutats av chefsjuristen Hans-Olof Lindblom i närvaro av tillsynschefen Erik Janzon och avdelningsdirektören Suzanne Isberg, föredragande. Hans-Olof Lindblom Suzanne Isberg Sida 7 av 7