Kvalitetsregister & legala förutsättningar Moa Malviker Wellermark, Jurist SKL, Landstingsjurist LiÖ
Vad är ett kvalitetsregister i lagen? - Samling av uppgifter om individer (personuppgifter) för syftet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. - Kvalitetsregistret ska möjliggöra jämförelser inom hälsooch sjukvården på nationell eller regional nivå (innehåller alltså uppgifter från fler än en vårdgivare)
Varför finns det ett regelverk för nationella kvalitetsregister? - Många känsliga uppgifter - Om många människors hälsa - Samlade på ett ställe
Patientdatalagen - 7 kap. patientdatalagen reglerar regionala och nationella kvalitetsregister. Bestämmelser bl.a. om - Patientens inställning till registrering i registret - Information till patienterna om registret - Vad man får använda uppgifterna till (ändamål) - Personuppgiftsansvar - Vilka uppgifter som registret får innehålla - Vem som får ha (direkt)åtkomst till vilka uppgifter - Hur direktåtkomst får gå till via nätet - Hur länge uppgifter får sparas i registret
Kompletterande regler SOSFS 2008:14 - Innehåller t.ex. krav på stark autentisering vid överföring av patientuppgifter över öppna nät Personuppgiftslagen - Reglerar behandling av personuppgifter - Komplement till Patientdatalagen
Patienten bestämmer! - Patienterna ska få information om kvalitetsregistret och möjlighet att motsätta sig registreringen - Patienten bestämmer om registrering får ske i ett nationellt kvalitetsregister - Inget krav på samtycke, men patienten kan motsätta sig registrering
Patientinformation för att patienten ska kunna fatta beslut - Endast blankett/broschyr i väntrum är inte tillräckligt - Innehållet i informationen måste anpassas till regelverket - Utan information kan patienten inte ta tillvara sina rättigheter - Informationen ska som huvudregel lämnas innan uppgifter om patienterna registreras - Exempel på patientinformation, besök www.kvalitetsregister.se
Patientinformation - informationsmängder - namn på kvalitetsregister - vem som är personuppgiftsansvarig - rätten att när som helst få uppgifter om sig själv utplånade ur registret - i vilken utsträckning personuppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal - vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till - var patienten ska vända sig för rättning av felaktiga uppgifter eller utdrag enligt 26 Personuppgiftslagen.
DI:s beslut dnr 1725-2009 - Karolinska universitetssjukhuset, Korsbandsregistret - Det är inte tillräckligt att den personuppgiftsansvariga endast informerar på Internet, via broschyr eller anslag i väntrum utan att detta kompletteras med en hänvisning till informationen. - Det kan behövas olika rutiner för olika kvalitetsregister - Informationen kan behövas på andra språk
Vad gäller om patienten inte kan ta emot information och ta ställning? - För barn tar vårdnadshavare ställning - Om patienten är tillfälligt beslutsoförmögen, t.ex. medvetslös eller ha drabbats av stroke m.m., ska information lämnas så snart som möjligt
För varaktigt beslutsoförmögna Om patienten är varaktigt beslutsoförmögen saknas tydliga anvisningar i lagstiftningen - Datainspektionens yttrande - SKL:s uttalande - Utredningen om förbättrad tillgång till personuppgifter inom och mellan hälso- och sjukvården och socialtjänsten m.m
Vem avgör vem som är beslutsoförmögen? Det gör verksamheten som äger kännedom om personen och överväger registrering i registret.
Datainspektionens yttrande i samråd (Senior alert) Då en vuxen person varaktigt saknar beslutsförmåga kan han/hon varken förstå information om registreringen eller uttrycka att han/hon motsätter sig registreringen. Det går då enligt Datainspektionens uppfattning inte att med stöd av bestämmelserna i PDL behandla beslutsoförmögnas personuppgifter i ett nationellt kvalitetsregister.
SKL:s uttalande Om en person redan finns registrerad, men nu varaktigt saknar beslutsförmåga är vi förhindrade att fortsätta registrering? -Datainspektionens svar tar endast sikte på situationen när en vårdgivare för första gången önskar inkludera en varaktigt beslutsoförmögen i ett kvalitetsregister. -Svaret förhindrar INTE fortsatt registrering rörande en person som tidigare tagit till sig information och då valt att inte motsätta sig registrering, men som nu är varaktigt beslutsoförmögen.
Patienten har rätt att ångra sig - Patienten har när som helst rätt att be att uppgifter om patienten tas bort från det nationella kvalitetsregistret - Det ställer krav på att vi har administrativa rutiner och tekniska förutsättningar att ta bort uppgifter
Vilka uppgifter får finnas? Endast de uppgifter som behövs för att utveckla och säkra vårdens kvalitet får finnas i ett kvalitetsregister -Bedömningen behöver göras innan uppgifter samlas in -Inte OK att samla in uppgifter utifall att de kan vara bra att ha, eller enbart intressanta ur forskningssynpunkt
Får personnummer finnas i kvalitetsregister? - Som huvudregel ska uppgifterna vara kodade eller indirekt utpekande - Registrering av personnummer och namn ska kunna motiveras
Vad får man göra med insamlade uppgifter? 1. Systematiskt och fortlöpande utveckla och säkra vårdens kvalitet 2. Framställning av statistik 3. Forskning inom hälso- och sjukvården 4. Utlämnande till den som ska göra något av 1-3 (om det inte föreligger sekretess för uppgifterna)
Vem ansvarar för patienternas uppgifter? - Lokalt personuppgiftsansvar - Ansvar hos inrapporterande vårdgivare - Ansvarets omfattning: rätt uppgifter om rätt patient, att patienten fått information, att patienten inte motsatt sig - Centralt personuppgiftsansvar - Får endast vara myndigheter inom hälso- och sjukvården - Ansvarets omfattning: övergripande IT-säkerhet, utlämnande av uppgifter, borttagande av uppgifter m.m.
Central personuppgiftsansvarig
Vem får ha tillgång till vilka uppgifter? - En vårdgivare får ha direktåtkomst till egna inrapporterade uppgifter, för lokalt förbättringsarbete - Direktåtkomst till andra vårdgivares uppgifter är idag inte tillåtet. - Vårdgivarbegreppet (landsting, kommun, privat vårdgivare) - Åtkomst till sammanställningar på gruppnivå där individer inte kan identifieras är däremot möjlig
Hur ska uppgifterna skyddas mot obehörig åtkomst? - Vid tillgång till patientuppgifter över öppet nät, t.ex. Internet eller Sjunet, är det otillräckligt att logga in med användarnamn och lösenord - Krav på s.k. stark autentisering, d.v.s. SITHS-kort, e- legitimation, engångslösenord eller motsvarande
Hur länge får uppgifter sparas i ett kvalitetsregister? - Huvudregeln är att uppgifterna ska gallras så fort de inte längre behövs för sitt ändamål - Vill vi spara uppgifterna under längre tid än så, krävs stöd i annan lag, Arkivlagen
Utgångspunkt Regelverket ger uttryck för en värdering och en balans mellan olika intressen det mesta är möjligt att göra.. bara man gör rätt
Kvalitetsregister som beslutsstöd? Kvalitetsregister är inte av lagstiftaren avsett att användas för att i mötet med patienten fatta beslut om vård och behandling. För detta finns i första hand patientjournalen.
Vad är möjligt? Varför ser regelverket ut som det gör? - Vi rör oss i gränslandet mellan journalföring och förbättringsarbete - En fråga med beröring på patientsäkerhet, kvalitetssäkring, etik och juridik - Reglerna för vårddokumentation och kvalitetsregister - Vad skiljer de två delarna i regelverket åt - Varför skillnader vilka är lagstiftarens ändamål?
Vårddokumentation några utgångspunkter - Skyldighet för vårdgivare (journalföringsplikt för personal) - Patienten kan inte motsätta sig - Krav på vad vårddokumentationen ska innehålla - Fokus på nyttan för den enskilde patienten - Personuppgifterna får användas för många olika ändamål
Kvalitetsregister några utgångspunkter - Frivilligt för vårdgivare - Lagstiftaren pekar inte ut hur de systematiska kvalitetsarbetet ska bedrivas - Patienten kan motsätta sig (opt-out) - Begränsningar av vad kvalitetsregistret får innehålla - Fokus på nyttan för patientpopulationen - Personuppgifterna får endast användas för några få ändamål
Vad får uppgifter i kvalitetsregister användas till? 1. Utveckla och säkra vårdens kvalitet 2. Framställa statistik 3. Forskning inom hälso- och sjukvården 4. Utlämnande till någon som ska använda uppgifterna för 1, 2 eller 3. Uppgifterna får inte användas till något annat Som huvudregel får uppgifterna inte användas som beslutsstöd i den individinriktade verksamheten
En etisk dimension Om vi fick använda uppgifter i kvalitetsregister för att fatta bra beslut om patientens vård och behandling vilken patient skulle (våga) motsätta sig registrering? Och den som ändå motsätter sig riskerar den att få en sämre vård och behandling? Patientens grundläggande rättighet att kunna säga nej (opt out) blir illusorisk
Några sammanfattande slutsatser - Regelverket säger som huvudregel nej - Regelverket bygger bl.a. på en etisk värdering det som behövs för en god och säker vård för individen är inte frivilligt för någon och ska finnas i vårddokumentationen - Det är vårt ändamål med att dokumentera eller ta del av uppgifter som styr vad vi får göra och hur oavsett hur vi benämnt åtgärden
Några utmaningar - Dokumentera uppgifterna en gång - Använda uppgifterna i den individinriktade verksamheten (beslutsstöd) - Använda uppgifterna i nationella kvalitetsregister - Följa nationellt fackspråk m.m. Och göra det på ett lagligt sätt!
Realisera detta tekniskt 1. Två databaser där informationsöverföring sker mellan en databas för vårddokumentation/beslutsstöd och en för kvalitetsregister 2. En databas för båda ändamålen - Informationsmängderna ges olika egenskaper - Det framstår som om uppgifterna är fysiskt åtskilda - Kräver ett välutvecklat behörighetssystem
Kvalitetsregister sammanfattning - Patienten bestämmer om registrering får ske - Se över patientinformationen (innehåll & tillvägagångssätt) - Endast uppgifter för kvalitetsutveckling/-säkring - I första hand indirekt utpekande personuppgifter - Uppgifterna avsedda att användas för kvalitetsarbete, statistik eller forskning - Centralt ansvarig myndighet inom hälso- och sjukvården - Vårdgivare får ha direktåtkomst till egna uppgifter - Gallring är huvudregel, bevarande kräver beslut - Åtkomst över öppet nät kräver stark autentisering