Datum Diarienr 2011-12-12 750-2011 Landstingsstyrelsen Landstinget Blekinge 371 81 Karlskrona Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datainspektionens beslut Datainspektionen konstaterar att Landstingsstyrelsen Landstinget Blekinge Riktlinjer för e-post inte har uppdaterats sedan patientdatalagen (2008:355) och Socialstyrelsens föreskrifter Informationshantering och journalföring inom hälso- och sjukvården (SOSFS 2008:14) trädde ikraft den 1 juli 2008. Datainspektionen förutsätter att Landstingsstyrelsen Landstinget Blekinge reviderar sina riktlinjer med hänsyn till ovanstående rättsregler. Datainspektionen förutsätter också att Landstingsstyrelsen Landstinget Blekinge upprättar och inför rutiner för att säkerställa att de reviderade riktlinjerna efterlevs. Datainspektionen förutsätter att datakommunikation med webbportalen och genom VPN-anslutningen är krypterad. Ärendet avslutas, men kan komma att följas upp. Redogörelse för tillsynsärendet Datainspektionen beslutade den 25 maj 2011 att granska Landstingsstyrelsen Landstinget Blekinges (Landstinget) rutiner för hantering av patientuppgifter i e-post. Tillsynen föranleddes inte av klagomål utan ingår som ett led i ett projekt rörande e-post. Landstinget har den 14 juni 2011 inkommit med ett yttrande och i ärendet begärda riktlinjer. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
I yttrandet och ingivna dokument uppges bland annat följande. Landstingets Riktlinjer för e-post (Riktlinjerna) är daterad mars 2007. Det finns inga gemensamma dokumenterade rutiner eller instruktioner kring vad som får eller inte får kommuniceras med e-post utöver Riktlinjerna, men frågan har tagits upp i olika ledningsforum och rekommendationen är att vara försiktig med att hantera patientuppgifter i e-post. E-post används för att kommunicera uppgifter om patienter mellan befattningshavare inom landstinget. I e-postsystemet kan man idag använda sig av kryptering och signering med hjälp av e-legitimationer. Infrastrukturen för detta finns i landstinget men funktionaliteten är inte implementerad i verksamheterna ännu. E-post används inte för att kommunicera med patienter men SMS avseende besökspåminnelser används, om patienten accepterat det, av till exempel folktandvården och blodcentralen. Patientuppgifter/sekretessbelagd information får inte skickas via extern e-post. Landstingets förhållningssätt ska präglas av stor återhållsamhet när det gäller att använda e-post i kontakter med patienter. Inkommande extern e-post som innehåller patientuppgifter ska omgående föras in i journalsystemet och därefter raderas från e-postsystemet. Riktlinjerna innehåller en referens till 5 förvaltningslagen (1986:223), FL. Referensen anger att myndigheter numera är skyldiga att ta emot e-post och svara på samma sätt. Det är befattningshavarnas ansvar att ta emot och svara på e-post samt hålla sig informerade om gällande lagar och förordningar. Landstinget anlitar inte någon extern leverantör för drift, underhåll eller annan hantering av e-postsystemet. E-postsystemet är externt åtkomligt via en webbportal eller från landstingsägda datorer via en VPN-anslutning. Extern åtkomst till e-postsystemet föregås av stark autentisering med dosa och lösenord. Utöver detta finns ca 35 mobiltelefoner som kan ta emot e-post. Många av dessa används för att kunna hantera larm för IT-driften. Skäl för beslutet Den 1 juli 2008 trädde patientdatalagen (2008:14), PdL, och Socialstyrelsens föreskrifter Informationshantering och journalföring inom hälso- och sjuk vården (SOSFS 2008:14) ikraft. Tillämpliga rättsregler m.m. Av 5 andra stycket FL framgår att myndigheter ska se till att det är möjligt för enskilda att kontakta dem med hjälp av telefax och elektronisk post och att svar kan lämnas på samma sätt. Sida 2 av 5
Av 5 kap. 6 PdL framgår att om en personuppgift får lämnas ut, kan det ske på medium för automatiserad behandling. I regeringens proposition Patientdatalag m.m. (prop. 2007/08:126) anges e-post som ett sådant medium för utlämnande som avses i bestämmelsen (s. 246). Av 1 kap. 2 SOSFS 2008:14 framgår att patientuppgifter är personuppgifter om patienter. I 2 kap. SOSFS 2008:14 finns bestämmelser om ansvar för informationssäkerhet. Bestämmelserna i 2 kap. 5 SOSFS 2008:14 om användning av öppna nät för hantering av patientuppgifter innebär att överföring av patientuppgifter ska göras på ett sådant sätt att ingen obehörig kan ta del av uppgifterna och att åtkomst till patientuppgifter ska föregås av stark autentisering. I Socialstyrelsens handbok till SOSFS 2008:14 anges Internet, Sjunet och telenätet som exempel på öppna nät. Av 4 kap. 8 SOSFS 2008:14 framgår att den person som lämnar ut patientuppgifter ska försäkra sig om att endast rätt mottagare tar emot uppgifterna. PuL gäller enligt 1 kap. 4 PdL vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, om inte annat följer av PdL eller föreskrifter som meddelats med stöd av PdL. I 3 PuL definieras personuppgift som all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Den personuppgiftsansvarige, här Landstinget, ska enligt 31 första stycket personuppgiftslagen (1998:204), PuL, vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna, och hur pass känsliga de behandlade personuppgifterna är. Av Datainspektionens Allmänna råd Säkerhet för personuppgifter (sid. 13f) framgår bland annat att den personuppgiftsansvarige bör utforma arbetsrutiner och arbetsuppgifter på ett sådant sätt att det blir möjligt för personalen att arbeta och tänka säkerhetsmedvetet samt att den personuppgiftsansvarige bör se till att alla som har tillgång till personuppgifter får relevant utbildning. Den personuppgiftsansvarige bör vidare se till att personalen informeras om vikten av att följa gällande säkerhetsrutiner och göra klart för personalen att det är viktigt att inte dela med sig information till någon annan utan att vara Sida 3 av 5
säker på att den personen är behörig att få ta del av informationen. Den personuppgiftsansvarige bör också tänka på att följa upp att regler och rutiner efterlevs och respekteras (sid. 27). Datainspektionen gör följande bedömningar Föreskrifterna i 2 kap. SOSFS 2008:14 har meddelats efter samråd med Datainspektionen och står inte i konflikt med kraven på säkerhetsåtgärder i 31 PuL. Det är myndigheten som i det enskilda fallet avgör på vilket sätt ett svar på en fråga ska lämnas. Även om en fråga har ställts per e-post kan det finnas situationer då det är lämpligare att svaret lämnas på annat sätt, trots att den enskilde har uttryckt önskemål om att få svaret elektroniskt. Detta kan vara fallet t.ex. om svaret kommer att innehålla uppgifter som omfattas av sekretess (prop. 2002/03:62 sid 20). Det kan, enligt Datainspektionens uppfattning, också vara fallet när föreskrivna säkerhetsåtgärder inte kan vidtas för e- postmeddelandet. Skyldigheten enligt 5 FL andra stycket att se till att det är möjligt för enskilda att kontakta och erhålla svar från Landstinget via e- post åsidosätter således inte kravet på att vidta föreskrivna säkerhetsåtgärder enligt PdL, SOSFS 2008:14 eller PuL. Enligt Datainspektionens uppfattning utgör behandling av personuppgifter i e-postsystem en särskild risk i sig eftersom det kan vara svårt att tillse att endast behöriga får del av uppgifterna. Det gäller vid både intern och extern kommunikation, särskilt när det finns funktioner för webbmejl eller synkronisering med mobila enheter. Datainspektionen anser att det finns vissa otydligheter i Landstingets skrivningar, exempelvis att patientuppgifter/sekretessbelagd information inte får skickas via extern e-post samtidigt som Landstingets förhållningssätt ska präglas av stor återhållsamhet när det gäller att använda e-post i kontakter med patienter. En förklarande vägledning kring begreppen skulle minska riskerna för misstag. Datainspektionen konstaterar att Landstingsstyrelsens Landstinget Blekinge Riktlinjer för e-post inte har uppdaterats sedan patientdatalagen (2008:355) och Socialstyrelsens föreskrifter Informationshantering och journalföring inom hälso- och sjukvården (SOSFS 2008:14) trädde ikraft den 1 juli 2008. Datainspektionen förutsätter därför att Landstingsstyrelsen Landstinget Blekinge reviderar riktlinjerna med hänsyn till ovanstående rättsregler. Sida 4 av 5
Datainspektionen förutsätter också att Landstingsstyrelsen Landstinget Blekinge upprättar och inför rutiner för att säkerställa att de reviderade riktlinjerna efterlevs. Exempel på sådana rutiner skulle kunna innefatta att med viss regelbundenhet påminna befattningshavarna om innehållet i riktlinjerna. Datainspektionen förutsätter att datakommunikation med webbportalen och genom VPN-anslutningen är krypterad. Övrigt Datainspektionen vill uppmärksamma Landstinget på Socialstyrelsens förändring av 2 kap. 5 SOSFS 2008:14 som innebär att påminnelser och kallelser till vård och behandling, under vissa förutsättningar, kan skickas till patienter via SMS eller oskyddad e-post. Förändringarna trädde ikraft den 1 september 2011. Mer finns att läsa på deras hemsida: http://www.socialstyrelsen.se/nyheter/2011juli/socialstyrelsenandrarreglernaf orsms-paminnelser Datainspektionen vill också uppmärksamma Landstinget på att funktioner för webbmejl och synkronisering med mobila enheter kan leda till att en distinktion mellan intern och extern e-post förlorar sin betydelse. Hur man överklagar Om ni vill överklaga beslutet ska ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet skall ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta beslut har fattats av tillsynschefen Erik Janzon efter föredragning av IT-säkerhetsspecialisten Magnus Bergström. Erik Janzon Magnus Bergström Kopia till: Socialstyrelsen, Regional tillsynsenhet syd, Box 4106, 203 12 Malmö Personuppgiftsombudet Helena Almtjärn, via e-post Sida 5 av 5