Datum Diarienr 2010-07-07 748-2009 Landstingsstyrelsen Gävleborgs läns landsting 801 87 Gävle Beslut efter tillsyn enligt personuppgiftslagen (1998:204) 4 kap. patientdatalagen m.m. Datainspektionens beslut 1. Datainspektionen förelägger Landstingsstyrelsen för Gävleborgs läns landsting (Landstinget) att (i journalsystemet Melior) anpassa vårddokumentation som utgörs av Läkemedelsvarningar, Viktig Medicinsk Information (VMI) och Observandum enligt kraven i 4 kap. 4 första stycket patientdatalagen (2008:355), avseende patientens möjlighet att motsätta sig att personuppgifterna görs tillgängliga (spärras) inom Landstingets verksamhet (inre sekretess). 2. Datainspektionen förutsätter att Landstinget fullföljer sitt arbete med att utveckla behörighetstilldelningen, så att användarnas behörighet begränsas till vad som behövs för att användaren ska kunna fullgöra sina arbetsuppgifter på det sätt som avses i 4 kap. 2 patientdatalagen och 2 kap. 6 Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården. Vidare bedömer Datainspektionen att de framtagna rutinerna för åtkomstkontroll ger Landstinget förutsättningar att leva upp till kraven på åtkomstkontroll enligt 4 kap. 3 patientdatalagen och 2 kap. 11 SOSFS 2008:14. Datainspektionen förutsätter dock att Landstinget utvärderar och fortsättningsvis utvecklar logguppföljningarna, i journalsystemet Melior samt i systemet ELVIS, för att uppnå en verkningsfull åtkomstkontroll i enlighet med 4 kap. 3 patientdatalagen och 2 kap. 11 SOSFS 2008:14. Ärendet avslutas, men kommer att följas upp. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
Redogörelse för tillsynsärendet Efter ett klagomål som bland annat gällde att läkare och sekreterare automatiskt har obegränsad tillgång till alla uppgifter i patientens journal på hela sjukhuset samt att patienten, när denne begärde att patientuppgifter skulle spärras, blev ombedd att skriva på ett dokument av vilken framgår att patienten tar det på sitt eget ansvar att journalen är spärrad, inledde Datainspektionen tillsyn genom att begära ett skriftligt yttrande från Landstinget. Mot bakgrund av vad som framkom från Landstinget, genomförde Datainspektionen en inspektion vid Gävle sjukhus den 12 december 2009. Tillsynen har varit inriktad på den behandling av personuppgifter som sker i patientjournalsystemet Melior (Melior) och det patientadministrativa systemet ELVIS (ELVIS). Tillsynen omfattar i huvudsak kontroll av efterlevnaden av bestämmelserna om dels behörighetsstyrning och åtkomstkontroll i 4 kap. 2 och 3 patientdatalagen, dels patientens möjlighet att begränsa elektronisk åtkomst för vårdsyfte enligt 4 kap. 4 patientdatalagen. Dessa bestämmelser kompletteras av föreskrifter i 2 kap. SOSFS 2008:14. Sammanfattningsvis har följande framkommit från Landstinget. Spärrar i den inre sekretessen i Melior Landstinget har definierat vårdenheter, i patientdatalagens mening, som verksamhetsområden. Utifrån patientens begäran kan spärrning göras på hel journal, specifikt vårdtillfälle eller specifik anteckning. Landstinget kan i dagsläget inte hantera spärrar vad gäller läkemedelsvarningar, VMI och observandum. En spärr implementeras genom att man begränsar behörigheten till informationen till ett fåtal utpekade personer. Det finns ingen central rutin för hur detta ska ske, utan det hanteras av respektive verksamhet. Typiskt innebär detta att vårdenhetschefen alternativt behandlande läkare, en sjuksköterska samt en läkarsekreterare får behörighet till den spärrade informationen/journalen. Det kan även förekomma att fler personer får behörighet om patienten önskar detta. Landstinget har ingen centralt framtagen riktlinje eller rutin beträffande att patienten ska skriva på ett dokument i samband med dennes begäran om spärr, av vilken framgår att patienten tar det på sitt eget ansvar att journalen är spärrad. Varje vårdenhet/verksamhetsområde har tidigare hanterat detta enligt egna, lokala rutiner. Centralt framtagen riktlinje samt tillhörande rutiner kommer att etableras under de kommande månaderna. Sida 2 av 8
Det finns i dagsläget ingen funktionalitet i Melior för att häva spärrar. Enligt uppgift från Landstinget kommer en lösning beträffande att kunna forcera möjligheten till spärr med samtyckesregistrering eller nödforcering att levereras under kvartal 1 år 2011. Behörighetsstyrning och åtkomstkontroll i Melior Vid inspektionstillfället använde Landstinget en blankett för behörighetstilldelning som inte var komplett eller fullt förankrad inom organisationen men som fungerade som ett stöd för organisationen. Det finns nu en ny färdigställd blankett för behörighetstilldelning i Melior, men den är ännu inte fullt implementerad. Ett antal brister i de tänkta rutinerna har identifierats av Landstinget och det pågår nu ett arbete med att utveckla behörighetstilldelningen. Modellen bygger på att profiler skapas av respektive verksamhetschef som tilldelar behörigheter baserat på vilken roll personalen har inom den egna verksamheten samt inom vårdgivaren. Modellen ger vårdgivaren en bättre överblick över tilldelade behörigheter ner på personnivå. Landstinget arbetar även fram en central rutin där IT-avdelningen får direkt återkoppling från bemanningscentrum, som hanterar alla anställda, vid ändringar i anställningen som föranleder en förändring i behörighetstilldelningen. Med denna modell kan Landstinget centralt följa upp behörigheter i berörda vårdinformationssystem, både aktuella och historiskt tilldelade behörigheter. När det gäller stickprovskontroller har detta historiskt hanterats decentraliserat på klinikerna utifrån gällande centralt framtagna rutiner. I samband med omorganisationen år 2009 ändrades förutsättningarna för detta och numera beställs loggranskning av verksamhetscheferna och utförs av IT-avdelningen. Nya rutiner för åtkomstkontroll är framtagna och håller på att etableras inom organisationen. Av rutinerna framgår bl.a. att en slumpmässig åtkomstkontroll kommer att ske varje månad beträffande tio procent av varje vårdenhets användare. Dessutom kommer det från och med år 2010 inom ramen för den årliga internrevisionen ingå frågor kring loggranskning för att säkerställa att detta blir genomfört enligt gällande regelverk. Behörighetsstyrning och åtkomstkontroll i ELVIS När det gäller ELVIS är rutiner för behörighetsstyrning under framtagande och kommer att vara desamma som för Melior, dvs. baserat på profiler beroende på yrke och befattning. Loggningsfunktionen infördes vecka 2 år 2010. Landstinget har ännu inte utfört stickprovskontroller av loggarna i systemet på grund av avsaknad av centralt framtagna rutiner. Nya rutiner för log- Sida 3 av 8
granskning är dock framtagna och håller på att etableras inom organisationen. Dessutom kommer det från och med år 2010 inom ramen för den årliga internrevisionen ingå frågor kring loggranskning för att säkerställa att detta blir genomfört enligt gällande regelverk. Datainspektionens bedömning Spärrar i den inre sekretessen (Melior) Det har framkommit att en spärr implementeras genom att man begränsar behörigheten till informationen till ett fåtal utpekade personer inom en vårdenhet. Vidare framgår att patienter saknar möjlighet att spärra uppgifter i läkemedelsvarningar, VMI och observandum. Begränsningarna gäller inom Landstingets verksamhet (inre sekretess). Det finns i dagsläget ingen funktionalitet för att häva spärrar i Melior. Enligt uppgift från Landstinget kommer en lösning beträffande att kunna forcera möjligheten till spärr med samtyckesregistrering eller nödforcering att levereras under kvartal 1 år 2011. Det har även framkommit att Landstinget inte har någon centralt framtagen riktlinje eller rutin beträffande att patienten ska skriva på ett dokument i samband med dennes begäran om spärr, av vilken framgår att patienten tar det på sitt eget ansvar att journalen är spärrad. Varje vårdenhet/verksamhetsområde har tidigare hanterat detta enligt egna, lokala rutiner. Centralt framtagen riktlinje samt tillhörande rutiner kommer att etableras under de kommande månaderna. Av 4 kap. 4 första stycket patientdatalagen framgår att personuppgifter som dokumenterats för ändamål, som anges i 2 kap. 4 första stycket 1 och 2 patientdatalagen hos en vårdenhet eller inom en vårdprocess, inte får göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vårdgivare, om patienten motsätter sig det. I sådana fall ska uppgiften genast spärras. Vårdnadshavare till ett barn har dock inte rätt att spärra barnets uppgifter. Uppgifter om att det finns spärrade uppgifter får vara tillgängliga för andra vårdenheter eller vårdprocesser. Av 8 kap. 6 punkt 6 patientdatalagen följer att den som är personuppgiftsansvarig enligt denna lag ska se till att den registrerade får information om personuppgiftsbehandlingen. Informationen ska innehålla upplysning om rätten enligt 4 kap. 4 att i vissa fall begära att uppgifter spärras. Av 4 kap. 5 patientdatalagen framgår att en spärr enligt 4 första stycket får hävas av en behörig befattningshavare om patienten samtycker till det eller patientens samtycke inte kan inhämtas och informationen kan ha betydelse för den vård som patienten oundgängligen behöver. Sida 4 av 8
Det framgår vidare av regeringens proposition 2007/08:126 Patientdatalag m.m. s. 151 f att patientens möjlighet att begära spärrar ligger i linje med de grundläggande principerna som slås fast i 2 a hälso- och sjukvårdslagen (1982:763) om att verksamheten ska bygga på respekt för patientens självbestämmande och integritet och så långt som möjligt utföras och genomföras i samråd med patienten. Det är vårdgivaren som på förhand har att definiera vilka vårdenheter alternativt vårdprocesser som finns inom vårdgivarens individinriktade hälso- och sjukvård och därmed vilka spärrar som kan tillhandahållas. Det framgår även av propositionen på s. 114 f att en del remissinstanser har framfört synpunkten att viss s.k. varningsinformation t.ex. information om smittsamma sjukdomar och allergier m.m. inte ska kunna spärras av patienten. Argumentet för detta var att denna information är viktig dels för vårdpersonalens möjligheter att skydda sig själv och andra patienter mot smitta, men också för behandlingen av patienten, t.ex. vid allergi mot en viss medicin. Regeringen ansåg emellertid att det är av stor betydelse att gå försiktigt fram vid införandet av ny lagstiftning som öppnar upp möjligheterna till spridning av känslig information. De patienter som till varje pris vill behålla en hemlighet måste kunna vända sig till svensk hälso- och sjukvård i den trygga förvissningen om att kunna få gehör för sin klart uttalade vilja om hur spridd den elektroniska tillgängligheten till information om honom eller henne ska vara för hälso- och sjukvårdspersonal inom landet. Regeringen ansåg att skyddet för patientens integritet och därmed möjligheterna att behålla förtroendet för systemet som föreslås väger över till förmån för att inte införa regler om undantag för spärr av viss s.k. varningsinformation. Med anledning av Landstingets tillvägagångssätt vid spärr av vårddokumentation vill Datainspektionen inledningsvis lämna följande information. Det följer av 4 kap. 4 patientdatalagen att personuppgifter som dokumenterats i vårdsyfte (vårddokumentation) hos en vårdenhet eller inom en vårdprocess, inte får göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vårdgivare, om patienten motsätter sig det. Patientens rätt till spärr omfattar således endast de som arbetar vid andra vårdenheter eller vårdprocesser. Landstingets hantering av spärrar, d.v.s. att behörigheten till spärrade uppgifter begränsas till ett fåtal utpekade personer, innebär såvitt Datainspektionen kan bedöma att vårddokumentationen inte endast spärras mot andra vårdenheter, utan även mot de som arbetar vid den vårdenhet där uppgifterna dokumenterats. Enligt Datainspektionens bedömning går detta utöver Landstingets skyldigheter enligt patientdatalagen. Även om det i och för sig inte torde möta några hinder ur ett integritetsskyddsperspektiv kan hänsyn, när det gäller persona- Sida 5 av 8
lens tillgång till vårddokumentation inom en och samma vårdenhet, däremot behöva tas till vilka eventuella effekter en sådan lösning kan ha på patientsäkerheten. I sammanhanget kan noteras att SOSFS 2008:14 innehåller krav på att patientuppgifter i vårdgivarens dokumentation är åtkomliga och användbara för den som är behörig. Frågor om patientsäkerhet faller emellertid utanför Datainspektionens tillsynsområde, varför denna information endast lämnas upplysningsvis till Landstinget. När det gäller omfattningen av patientens möjlighet att spärra vårddokumentation konstaterar Datainspektionen att Landstinget inte tillgodoser patientens rättighet att spärra läkemedelsvarningar, VMI och observandum. Detta strider mot 4 kap. 4 första stycket patientdatalagen. Mot den bakgrunden ska Landstinget föreläggas att (i journalsystemet Melior) anpassa den vårddokumentation som utgörs av läkemedelsvarningar, VMI och observandum i enlighet med kraven i 4 kap. 4 första stycket patientdatalagen, avseende patientens möjlighet att motsätta sig att personuppgifterna görs tillgängliga (spärras) inom Landstingets verksamhet (inre sekretess). Av vad som framkommit i ärendet kan det inte uteslutas att det har funnits situationer där patienten blivit ombedd att skriva på ett dokument där det framgår att patienten tar det på sitt eget ansvar att informationen är spärrad. Det har dock vidare framkommit att Landstinget kommer att etablera en centralt framtagen riktlinje samt tillhörande rutiner under de kommande månaderna. Mot bakgrund av detta utgår Datainspektionen från att Landstinget utformar de nya rutinerna på ett sådant sätt att patienten ges reella möjligheter att spärra uppgifter i sin patientjournal. Behörighetsstyrning i Melior och ELVIS Det har framkommit att det nu finns en ny färdigställd blankett för behörighetstilldelning i Melior samt i ELVIS, men att dessa ännu inte är fullt införda. Landstinget har identifierat ett antal brister i de tänkta rutinerna och Landstinget arbetar med att utveckla behörighetstilldelningen. Av 4 kap. 2 patientdatalagen framgår att vårdgivaren ska bestämma villkor för tilldelning av behörigheter samt att behörigheterna ska begränsas till vad som behövs för att användaren ska kunna fullgöra sina arbetsuppgifter. Bestämmelsen kompletteras av 2 kap. 6 SOSFS 2008:14. Datainspektionen förutsätter att Landstinget fullföljer sitt arbete med att utveckla behörighetstilldelningen, så att användarnas behörighet begränsas till vad som behövs för att användaren ska kunna fullgöra sina arbetsuppgifter på det sätt som avses i 4 kap. 2 patientdatalagen och 2 kap. 6 SOSFS 2008:14. Sida 6 av 8
Åtkomstkontroll i Melior och ELVIS Det har framkommit att det nu finns nya rutiner för åtkomstkontroll i Melior och i ELVIS. Rutinerna håller på att etableras inom organisationen. Av 4 kap. 3 patientdatalagen följer att åtkomst till patientuppgifter ska dokumenteras och kunna kontrolleras samt att vårdgivaren ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt patientuppgifterna. Bestämmelsen kompletteras av 2 kap. 11 i SOSFS 2008:14. Av regeringens proposition 2007/08:126 Patientdatalag m.m. s. 149 f framgår följande. För att främja patientsäkerheten bör vårdgivarna åläggas att systematiskt och fortlöpande företa kontroller av om obehörig åtkomst till uppgifter om patienter förekommer. Regeringen föreslår att detta uttryckligen föreskrivs som ett krav i patientdatalagen. En sådan bestämmelse innebär inte bara att faktiska dataintrång med större säkerhet kommer att kunna konstateras och beivras. Bestämmelsen bör också få en starkt avhållande verkan på personal som, om risken för upptäckt är liten, kan frestas att olovligen läsa uppgifter. Datainspektionen anser att rutinerna för åtkomstkontroll ska vara utformade på sådant sätt att de blir verkningsfulla i förhållande till den behandling av uppgifter som sker hos vårdgivaren. En förutsättning för detta är att berörd personal får tydlig information om logguppföljningarna och deras syfte. Vårdgivaren måste även kontinuerligt utvärdera rutinerna för åtkomstkontroll för att säkerställa att rutinerna är verkningsfulla. Datainspektionen kan konstatera att Landstinget har tagit fram nya rutiner för åtkomstkontroll i Melior och ELVIS och att dessa håller på att etableras inom organisationen. Datainspektionen bedömer att de framtagna rutinerna för åtkomstkontroll ger Landstinget förutsättningar att leva upp till kraven på åtkomstkontroll enligt 4 kap. 3 patientdatalagen och 2 kap. 11 SOSFS 2008:14. Datainspektionen förutsätter dock att Landstinget utvärderar och fortsättningsvis utvecklar logguppföljningarna, i Melior samt i ELVIS, för att uppnå en verkningsfull åtkomstkontroll i enlighet med 4 kap. 3 patientdatalagen och 2 kap. 11 SOSFS 2008:14. Ärendet avslutas, men kommer att följas upp. Sida 7 av 8
Hur man överklagar Om ni vill överklaga beslutet ska ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet ska ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Maria Bergdahl Sida 8 av 8