Datum Diarienr 2013-05-31 1383-2012 Regionstyrelsen Region Halland Box 517 301 80 Halmstad Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datainspektionens beslut Datainspektionen konstaterar att Regionstyrelsen, Region Halland (härefter Region Halland) har genomfört vissa förbättringar när det gäller patienternas möjlighet att kunna få åtminstone viss vårddokumentation spärrad i huvudjournalsystemet VAS, som ingår i sammanhållen journalföring, samt genom att det enligt uppgift finns tekniska funktioner för spärrar i huvudjournalsystemet OPUS och i ytterligare två system. Datainspektionen kan dock konstatera att Region Halland fortfarande inte kan tillgodose patienternas rätt att få sin vårddokumentation spärrad enligt kraven i patientdatalagen i huvudjournalsystemet VAS. Det finns varken tidsplan för när de kvarvarande bristerna i VAS ska vara åtgärdade, eller någon tillfällig övergångslösning i avvaktan på detta. Det saknas vidare tydlig uppgift om när tekniska spärrfunktioner kommer att införas i huvudjournalsystemet Obstetrix, men det finns enligt uppgift en tillfällig övergångslösning i avvaktan på detta. Ytterligare ett antal system saknar spärrfunktioner och ett par av dessa saknar även tidsplan för när bristerna ska åtgärdas. Datainspektionen förelägger därför Region Halland följande: 1. Att omgående vidta åtgärder för att införa tekniska funktioner för spärrar som uppfyller kraven i patientdatalagen i huvudjournalsystemet VAS. 2. Att i avvaktan på detta genast tillgodose patienternas rätt till spärr genom en tillfällig övergångslösning, som även beaktar Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
patientsäkerheten. Detta gäller såväl inom vårdgivaren, som inom ramen för sammanhållen journalföring. 3. För det fall att Region Halland varken kan få fram tekniska funktioner för spärrar, eller en tillfällig övergångslösning, måste Region Halland omedelbart upphöra med att genom direktåtkomst tillgängliggöra patientuppgifter till andra vårdgivare i VAS. 4. Att omgående vidta åtgärder för att leva upp till kraven i patientdatalagen i de övriga system som fortfarande inte går att spärra, och lämpligen i samband med detta upprättar en tidsplan, respektive förtydligar tidsplanen för Obstetrix. Datainspektionen förutsätter vidare att pågående arbeten med att införa spärrfunktioner respektive tillfälliga övergångslösningar fortsätter enligt tidsplanen. Datainspektionen erinrar i detta sammanhang om Region Hallands skadeståndsansvar gentemot patienterna enligt 10 kap 1 patientdatalagen. Ärendet avslutas, men kan komma att följas upp. Redogörelse för tillsynsärendet Datainspektionen har i ett beslut den 15 juni 2012, diarienummer 727-2011, konstaterat att uppskattningsvis 21 system, varav ett ingår i sammanhållen journalföring, inte kunde spärras på det sätt som krävs enligt patientdatalagen. För flertalet system framgick varken på ett tydligt sätt när Region Halland skulle kunna tillgodose patienternas rätt till spärrar eller hur Region Halland avsåg att tillgodose rätten fram till dess att spärrfunktioner finns på plats. Region Halland förelades därför att ge in en redogörelse för när funktioner för tekniska spärrar som möjliggör för vårdgivaren att leva upp till kraven i patientdatalagen kommer att vara genomförda i de aktuella systemen, samt vilka tillfälliga övergångslösningar som Region Halland har vidtagit beträffande huvudjournalsystem och andra omfattande patientjournalsystem som innehåller många känsliga personuppgifter. Landstinget gav in en redogörelse den 26 september 2012. Eftersom den var bristfällig begärde Datainspektionen kompletterande information, som vi fick den 11 januari 2013. Det visade sig då att all information inte går att spärra i i huvudjournalsystemet VAS. Det kvarstår vidare en del oklarheter, exempelvis vilka uppgiftsmängder som fortfarande inte går att spärra i VAS. Sida 2 av 5
Skäl för beslutet Datainspektionen har i det nu aktuella ärendet utgått från de uppgifter som Region Halland har inkommit med efter Datainspektionens beslut den 15 juni 2012. Region Halland är ansvarigt för att dessa uppgifter är korrekta. Datainspektionen vill här understryka att det är Region Halland som är personuppgiftsansvarig och som således är ytterst ansvarig för att patientuppgifterna behandlas i enlighet med patientdatalagens regler. Av handlingarna i ärendet framgår bland annat följande. Det finns enligt uppgift numera tekniska spärrar i fyra system, varav två är huvudjournalsystemen VAS och Opus. All vårddokumentation går dock inte att spärra i VAS. Region Halland har inte specificerat vilken information i VAS som inte går att spärra. Det finns ingen tidsplan för när bristerna i VAS ska vara åtgärdade. Det har inte heller framkommit att Region Halland tillämpar någon tillfällig övergångslösning i avvaktan på detta. Det går dock inte att spärra överhuvudtaget i sex system, varav ett är huvudjournalsystemet Obstetrix. Teknisk spärr kommer enligt uppgift att införas i Obstetrix hos Region Skåne i april 2013 och därefter införas successivt hos andra vårdgivare. Det finns enligt uppgift en tillfällig övergångslösning för Obstetrix. Ett av systemen saknar tidsplan, men det finns en alternativ lösning. För tre av systemen är tidsplanen att tekniska spärrar ska vara genomförda år 2014 och de ska ingå i ett projekt för att snarast utarbeta tillfälliga övergångslösningar. För ett av systemen saknas tidsplan, men det ska ingå i nämnda projekt för övergångslösningar. Beträffande tio system är det inte aktuellt att spärra eftersom patientuppgifterna hanteras inom en vårdenhet eller vårdprocess. Ett annat system har avvecklats. Region Halland har uppgett att vårdsystemet VAS använder Inera AB:s Spärrtjänst, som kan spärra patientuppgifter på vårdenhetsnivå och för vissa informationstyper, men att VAS endast kan hantera spärrar på vårdenhetsnivå. Region Halland har vidare uppgett att Obstetrix och tre ytterligare system ingår i ett nationellt samarbete mellan landsting och regioner som har initierats av Centrum för ehälsa i samverkan (CeHis). Datainspektionens bedömning Mot bakgrund av det ovanstående konstaterar Datainspektionen att Region Halland har genomfört vissa förbättringar när det gäller patienternas Sida 3 av 5
möjlighet att kunna få åtminstone viss vårddokumentation spärrad i huvudjournalsystemet VAS, som ingår i sammanhållen journalföring, samt genom att det enligt uppgift finns tekniska funktioner för spärrar i huvudjournalsystemet OPUS och i ytterligare två system. Datainspektionen kan dock konstatera att Region Halland fortfarande inte kan tillgodose patienternas rätt att få sin vårddokumentation spärrad enligt kraven i patientdatalagen i huvudjournalsystemet VAS. Det finns varken tidsplan för när de kvarvarande bristerna i VAS ska vara åtgärdade, eller någon tillfällig övergångslösning i avvaktan på detta. Eftersom Region Halland inte har specificerat vilken information i VAS som inte går att spärra, är det oklart hur stora uppgiftsmängder som fortfarande inte går att spärra. Det saknas vidare tydlig uppgift om när tekniska spärrar kommer att införas i huvudjournalsystemet Obstetrix hos Region Halland, men det finns enligt uppgift en tillfällig övergångslösning i avvaktan på detta. Ytterligare ett antal system saknar spärrfunktioner och ett par av dessa saknar även tidsplan för när bristerna ska åtgärdas. Det finns ingen skyldighet för en vårdgivare att ingå i ett sammanhållet journalsystem. Detta är endast en möjlighet för vårdgivaren om denne först lever upp till de förutsättningar som finns i 6 kap. patientdatalagen. Det är vårdgivarna själva som är ytterst ansvariga för att personuppgifterna i IT-systemen behandlas i enlighet med gällande lagstiftning. Det är således vårdgivarna som måste göra bedömningen beträffande vilka sammanhållna system som inte lever upp till kraven i 6 kap. patientdatalagen och därmed också vilka system man inte kan fortsätta att vara en del av. Detta fram till dess att spärrar finns på plats i systemen. Region Halland ska därför föreläggas följande: 1. Att omgående vidta åtgärder för att införa tekniska funktioner för spärrar som uppfyller kraven i patientdatalagen i huvudjournalsystemet VAS. 2. Att i avvaktan på detta genast tillgodose patienternas rätt till spärr i genom en tillfällig övergångslösning, som även beaktar patientsäkerheten. Detta gäller såväl inom vårdgivaren, som inom ramen för sammanhållen journalföring. 3. För det fall att Region Halland varken kan få fram tekniska funktioner för spärrar, eller en tillfällig övergångslösning, måste Region Halland omedelbart upphöra med att genom direktåtkomst tillgängliggöra patientuppgifter till andra vårdgivare i VAS. Sida 4 av 5
4. Att omgående vidta åtgärder för att leva upp till kraven i patientdatalagen i de övriga system som fortfarande inte går att spärra, och lämpligen i samband med detta upprättar en tidsplan, respektive förtydligar tidsplanen för Obstetrix. Datainspektionen förutsätter vidare att pågående arbeten med att införa spärrfunktioner respektive tillfälliga övergångslösningar fortsätter enligt tidsplanen. Datainspektionen vill i detta sammanhang också erinra om Region Hallands skadeståndsansvar gentemot patienterna enligt 10 kap 1 patientdatalagen. Ärendet kan därmed avslutas, men kan komma att följas upp. Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet skall ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta beslut har fattats av tillsynschefen Erik Janzon i närvaro av juristen Katarina Högquist, föredragande. Erik Janzon Katarina Högquist Kopia till: Personuppgiftsombudet Kontaktperson hos Landstinget Sida 5 av 5