Patientdatalagen (PdL) och Informationssäkerhet Maria Bergdahl, jurist Mikael Ejner, IT-säkerhetsspecialist Datainspektionen
Några utgångspunkter Lagstiftaren och EU vill ha integritet Integritet ej motsatt patientsäkerhet (framgår av PdL) Mycket kvar att göra, men mycket bra görs Justeringar kan göras av lagstiftaren
Regelverket Patientdatalagen (SFS 2008:355), PdL Proposition 2007/08:126 Patientdatalag m.m. Socialstyrelsens föreskrifter Informationshantering och journalföring i hälso- och sjukvården (SOSFS 2008:14) Socialstyrelsens webbhandbok (www.socialstyrelsen.se/patientdatalagen)
Behörighetsstyrning Individuell behörighet för varje användare Den enskilde användarens behov avgör Varje beslut ska föregås av en behovs- och riskanalys Kom ihåg att följa upp behörigheter för att vid behov utvidga, begränsa eller ta bort Tekniska begränsningar krävs, det man inte har behov av ska man inte kunna ta del av
Åtkomsten till Noras journaler Ingen tillsyn baserat på uppgifter i media Behörighetsstyrning Effektiv, och förebyggande, åtkomstkontroll Information till de anställda Åtkomst för uppföljning av patienter Socialstyrelsen 2009: Läsning av patientjournaler som innefattas i vårdgivarens rutiner för kvalitetssäkring eller uppföljning
LuL-caset Klagomål rörde alltför vid behörighetstilldelning inom vårdgivaren och loggar (funktionen Läkaranteckningar LuL ) Samtliga läkare hade behörighet till funktionen samt ytterligare 1467 st., bl.a. läkarstuderande. Behörighet till samtliga patienters läkaranteckningar.
LuL-caset När en läkare (+ övriga behöriga) öppnade funktionen visades de senaste 20 anteckningarna I loggen registrerades att användaren hade tittat på samtliga 20 anteckningar vid exakt samma tidpunkt Omöjligt att utreda vad användaren faktiskt hade gjort
LuL-caset Konsekvenser: Felaktig information i loggutdraget (för många loggar) + framgår ej vilka åtgärder som vidtagits omöjligt för VG att genomföra verkningsfulla åtkomstkontroller iom att antalet loggposter är felaktiga, VG kan inte lämna korrekt information (loggutdraget) till patienten - patienten kan inte anmäla ett misstänkt dataintrång till polisen.
LuL-caset VG förelades att lämna in en åtgärdsplan + en behovs- och riskanalys (behörighetstilldelningen till funktionen) VG upprättade en åtgärdsplan + förnyad behovs- och riskanalys DI positiva
Senaste beslutet från DI KS och journalsystemet TakeCare (TC) Två delar bristande behovs- och riskanalys beträffande behörighetstilldelningen och oklart vad KS anser utgör en otillbörlig journalåtkomst Föreläggande: Att genomföra en behovs- och riskanalys för TC. Ta fram riktlinjer som underlag för KS bedömning av vad som är obehörig elektronisk åtkomst (4 kap 3 PdL).
Logguppföljning Åtkomst ska loggas Framgå av loggen: vilken åtgärd som har vidtagits, vårdenhet och tidpunkt, användarens och patientens id Loggarna sparas i minst 10 år Systematiska och återkommande kontroller Kontrollerna dokumenteras
Checklista för hälso- och sjukvården Systematisk logguppföljning Informera personalen Se till att ha de rätta tekniska förutsättningarna Bestäm urval och omfattning och utforma en verkningsfull rutin Genomför kontrollerna Utvärdera rutinen Utveckla rutinen Checklistan finns på www.datainspektionen.se
Om patienten väljer att spärra information Vad innebär en spärr? Ej elektroniskt åtkomliga/ej tillgängliga Omfattning av spärr Inre sekretess Sammanhållen journalföring Konsekvenser av spärr Inre sekretess Sammanhållen journalföring
Spärr-projektet Beslut fattades 2012-06-15 Ingen av VG levde helt upp till bestämmelserna i PdL Alla VG förelades att senast 2012-10-01 redogöra för när tekniska funktioner kommer att vara genomförda i systemen
Spärr-projektet Beslut fattades 2013-05-31 (bättre resultat denna gång) Många VG har gjort ordentliga inventeringar av sina IT-system Flera goda exempel t.ex.: CityAkuten i Praktikertjänst AB, Aleris AB, Lst Dalarna, Lst Västernorrland, Region Gotland och Örebro läns landsting
Ospärrade uppgifter Tre förutsättningar: Aktuell patientrelation Uppgifterna kan antas ha betydelse för vården av patienten Patientens samtycke OBS alla tre förutsättningar krävs
Granskningar på gång, bl.a Rutiner kring spärrhanteringen Rutiner kring patientens begäran om loggutdrag Betalkortstransaktioner (utvisar t.ex. vilken avdelning en patient besökt) Kvalitetsregister, bl.a. information till patienterna
Konferens 17-18 oktober 2013 Går det att uppfylla kraven i patientdatalagen? Konferens om patientdatalagen under två dagar Föreläsare från DI, SoS och företrädare från vårdsektorn Ni kan anmäla er direkt på webben!
Datainspektionen Adress: Box 8114, 104 20 Stockholm Tel: 08-657 61 00 Fax: 08-652 86 52 E-post: datainspektionen@datainspektionen.se Webbplats: www.datainspektionen.se