och omsorgen av de äldre DATAINSPEKTIONENS RAPPORT 2000:2

Överföring av personuppgifter inom vården och omsorgen av de äldre DATAINSPEKTIONENS RAPPORT 2000:2

Innehållsförteckning Inledning...2 Sammanfattning...3 Ansvaret för hälso- och sjukvården och socialtjänsten...4 Landstingens hälso- och sjukvårdsansvar 4 Kommunernas socialtjänstansvar 4 Kommunernas hälso- och sjukvårdsansvar 5 Samverkan mellan landsting och kommun...6 Lagstiftning om integritetsskydd...7 Personuppgiftslagen 7 Vårdregisterlagen 7 Hälso- och sjukvårdslagen och patientjournallagen 8 Sekretesslagen 9 Genomförd tillsyn... 10 Dokumentation 10 Informationsskyldighet 10 Överföring av patientuppgifter mellan huvudmännen 12 Informationsöverföring och vårdplanering med utökat IT-stöd Blekinge... 15 Allmänt 15 Samtycke/menprövning 15 IT-säkerhet 16 Sammanfattande synpunkter 17 Elektroniskt journallån Boden... 18 Allmänt 18 Samtycke/menprövning 18 IT-säkerhet 19 Sammanfattande synpunkter 19 Bilaga Inspektioner i projektet... 21

Inledning Den 1 januari 1992 trädde den s.k. Ädelreformen i kraft. Det innebar att kommunerna fick ett samlat ansvar för långvarig service, vård och omsorg till äldre och handikappade. Ansvarsfördelningen mellan kommuner och landsting ändrades så att kommunerna övertog visst verksamhetsansvar från landstingen. Kommunerna fick även betalningsansvaret för insatser som ingår i långvarig service och vård till äldre och handikappade men som fortfarande tillhandahålls av landstingen eller enskilda vårdgivare. Även om huvudmannaskapet för vården av de äldre till stor del har lagts på kommunerna är det fortfarande vanligt att äldre personer får vård och omsorg både inom kommunen och inom landstinget och ibland även av privata vårdgivare. En förutsättning för att de olika vårdgivarna skall kunna samverka är att information om enskilda patienter finns tillgänglig och kan överföras mellan dem. När information överförs är det viktigt att hänsyn tas till den enskilda patientens personliga integritet. Datainspektionen har bl.a. till uppgift att genom tillsyn kontrollera att personuppgifter inte behandlas på sådant sätt att den personliga integriteten kränks. Den som ansvarar för behandlingen av personuppgifter är enligt personuppgiftslagen (1998:204), PuL, skyldig att se till att personuppgifter bara behandlas om det är lagligt. Det innebär en skyldighet att utöver PuL:s regler följa även annan tillämplig lagstiftning. Under hösten 99 och vintern 99/00 har Datainspektionen genomfört ett antal inspektioner för att undersöka både på vilket sätt personuppgifter inom omsorgen av de äldre dokumenteras hos kommuner och landsting och hur överföringen av personuppgifter äger rum mellan de olika huvudmännen. Huvudsyftet med tillsynen har varit att få kännedom om hur överföringen går till mellan de olika huvudmännen. Datainspektionen har även kontrollerat IT-säkerheten och hur informationsskyldigheten i vårdregisterlagen (1998:544) efterlevs. I rapporten redovisas resultatet av tillsynen. Eftersom sekretesslagen (1980:100) är av särskild betydelse när det gäller överföring av personuppgifter mellan olika huvudmän inom vården och omsorgen av de äldre behandlas i rapporten även frågor som rör bl.a. denna lag. Mot bakgrund av att de flesta personuppgiftsansvariga ännu inte använder sig av annat IT-stöd än telefax vid informationsöverföringen har rapporten koncentrerats på vad som bör beaktas när fler börjar överföra personuppgifter med ett utökat IT-stöd. Dessa påpekanden i rapporten grundas inte alltid på att brister har förekommit hos de inspekterade. Som en bakgrund till avsnitten om genomförd tillsyn redogörs för Ansvaret för hälso- och sjukvården och socialtjänsten, Samverkan mellan landsting och kommun och Lagstiftning om integritetsskydd. En förteckning över inspektionsobjekten finns i bilaga. 2

Sammanfattning För att undersöka på vilket sätt personuppgifter behandlas vid överföring av uppgifterna mellan huvudmännen inom vården och omsorgen av de äldre har Datainspektionen öppnat tillsyn som har avsett tio landsting och sju kommuner. Fältinspektioner har genomförts i fem av landstingen och i samtliga sju kommuner. I de övriga inspekterade landstingen har tillsynen genomförts på så sätt att de personuppgiftsansvariga skriftligen har fått besvara ett antal frågor om informationsöverföring. Journalföringen inom primärvården är i princip helt datoriserad till skillnad mot slutenvården där journalerna i huvudsak förs på papper. Inom kommunerna för oftast biståndshandläggarna/biståndsbedömarna sina uppgifter i dataregister. Sjuksköterskorna inom de särskilda boendena för däremot oftast sina journaler på papper. Hos i stort sett alla de personuppgiftsansvariga där Datainspektionen utfört tillsynen fanns det brister i den informationsskyldighet som följer av 11 vårdregisterlagen. När det gäller IT-säkerheten konstaterades att säkerhetsnivån i allmänhet var bra men att det fanns en del variationer mellan de ansvariga. De flesta av de inspekterade landstingen och kommunerna hade utarbetat skriftliga rutiner för vårdplanering och informationsöverföring. Med få undantag innehåller de utarbetade rutinerna avsnitt som behandlar frågan om hur sekretessreglerna skall tillämpas vid överföring av personuppgifter mellan de olika huvudmännen. Den vanligaste formen för överföring av information mellan de olika huvudmännen inom vården och omsorgen av de äldre är överföring med telefax. Endast i ett av de tio landsting där Datainspektionen har utfört tillsyn sker informationsöverföring och vårdplanering med annat IT-stöd än telefax. I en av de inspekterade kommunerna sker utbyte av information med primärvården i form av elektroniskt journallån. Datainspektionen har i anslutning till avsnitten om genomförd tillsyn påpekat vad som generellt bör beaktas. 3

Ansvaret för hälso- och sjukvården och socialtjänsten Ansvaret för de äldres vård och omsorg är uppdelat mellan landstingen och kommunerna. Här följer en sammanfattande redogörelse för det ansvar som i dag åvilar respektive huvudman. Landstingens hälso- och sjukvårdsansvar Det är landstingen som enligt hälso- och sjukvårdslagen (1982:763) ansvarar för att de som är bosatta i landstinget erbjuds en god vård och att hälso- och sjukvården planeras med utgångspunkt från befolkningens behov. Att hälso- och sjukvården skall bedrivas så att den uppfyller kraven på en god vård innebär bl.a. att den skall bygga på respekt för patientens självbestämmande och integritet. Landstingens vårdansvar avser i princip allt som enligt hälso- och sjukvårdslagen avses med hälso- och sjukvård, dvs. åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador. Till sjukvården hör även sjuktransporter samt att ta hand om avlidna. Landstinget skall också erbjuda dem som är bosatta där habilitering, rehabilitering och hjälpmedel för funktionshindrade i samband med sådan hälso- och sjukvård som omfattas av landstingets vårdansvar. Landstingens ansvar omfattar inte sådan hälso- och sjukvård, habilitering, rehabilitering och hjälpmedel för funktionshindrade som omfattas av kommunernas ansvar enligt samma lag. Kommunernas socialtjänstansvar Kommunens ansvar för socialtjänsten regleras i socialtjänstlagen (1980:620). Det är kommunen som har det yttersta ansvaret för att människor som vistas där får det bistånd och den hjälp de behöver. I lagen ges både allmänna och särskilda riktlinjer för äldreomsorgen. Socialnämnden skall genom hemtjänst, dagverksamhet eller annan liknande social tjänst underlätta för den enskilde att bo hemma och ha kontakt med andra. Med en annan liknande tjänst avses t.ex. färdtjänst. I socialtjänstlagen stadgas att målsättningen är att äldre människor skall få möjlighet att leva och bo självständigt och under trygga förhållanden och med respekt för deras självbestämmande och integritet. Enligt samma lag skall kommunerna också verka för att äldre människor får goda bostäder och ge dem som behöver det stöd och hjälp i hemmet och annan lättåtkomlig service. För äldre människor som behöver särskilt stöd skall kommunerna inrätta särskilda boendeformer för service och omvårdnad. 4

Kommunernas hälso- och sjukvårdsansvar Enligt hälso- och sjukvårdslagen ansvarar kommunerna för att de som bor i särskilda boendeformer erbjuds en god vård samt att hälso- och sjukvården planeras med utgångspunkt från befolkningens behov av sådan vård. En kommun kan också svara för att de som vistas i kommunen erbjuds hälso- och sjukvård i hemmet (hemsjukvård). Landstingets möjlighet att överlåta skyldigheten att erbjuda sådan hemsjukvård till kommunen förutsätter att det föreligger en överenskommelse med den aktuella kommunen och att ett medgivande erhållits från regeringen. Varje kommun skall också erbjuda habilitering, rehabilitering och hjälpmedel för funktionshindrade i samband med sådan hälso- och sjukvård som omfattas av kommunens vårdansvar. I kommunens hälso- och sjukvård ingår inte sådan vård som meddelas av läkare. Det är ett ansvar för landstingen medan det är kommunernas ansvar att se till att den som är i behov av sådan vård verkligen får den. Landstinget har också ansvar för insatser som utförs av personalkategorier med medicinsk specialkunskap utöver den kompetens som finns inom kommunernas verksamhet, t.ex. insatser av personal som ingår i psykiatriskt team eller vid rehabilitering. Det innebär att de som t.ex. bor i särskilda boendeformer skall erbjudas insatser från verksamheter inom landstingets hälso- och sjukvård som leds av läkare på samma villkor som gäller för befolkningen i övrigt. Inom det verksamhetsområde som kommunen har ansvar för skall det finnas en sjuksköterska eller i vissa fall en annan yrkesutövare med ett särskilt medicinskt ansvar. 5

Samverkan mellan landsting och kommun Huvudmannaskapet för vården av de äldre har till stor del lagts på kommunerna genom den s.k. Ädelreformen. Ändå är det fortfarande vanligt att äldre personer får vård och omsorg både genom kommunens och landstingets försorg. För att denna samverkan skall fungera genom hela vårdkedjan är en grundläggande förutsättning att den information som behövs för att planera patientens vård och omsorg finns tillgänglig och kan överföras mellan olika vårdgivare i samband med att patienten flyttar från en vårdform till en annan. Socialstyrelsen har meddelat föreskrifter och allmänna råd (SOSFS 1996:32) om informationsöverföring och samordnad vårdplanering. De syftar till att skapa en struktur för informationsöverföring och samverkan mellan olika vårdgivare i de fall kommunen kan få ett betalningsansvar enligt lagen (1990:1404) om kommunernas betalningsansvar för viss hälso- och sjukvård. De kan dock enligt Socialstyrelsen tjäna till vägledning även i andra fall där det är fråga om informationsöverföring mellan olika vårdgivare eller vårdnivåer. I de allmänna råden sägs bl.a. följande. Grundläggande för all vård och omsorg är att den sker i samråd med patienten. Patienten skall normalt ha lämnat sitt samtycke till att uppgifter om honom eller henne lämnas ut. I de fall det saknas möjlighet att ta reda på patientens inställning skall en bedömning göras om uppgifter ändå kan lämnas ut. 6

Lagstiftning om integritetsskydd Personuppgiftslagen PuL trädde i kraft den 24 oktober 1998, varvid datalagen upphörde att gälla. Datalagen skall dock fortfarande tillämpas (under en övergångsperiod fram till oktober 2001) för sådan behandling av personuppgifter som påbörjats före ikraftträdandet. Det gäller också behandling som utförs för ett visst bestämt ändamål om behandling för ändamålet påbörjats före ikraftträdandet. Syftet med PuL är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Lagen gäller för sådan behandling som är helt eller delvis automatiserad. Den gäller även för behandling av personuppgifter i manuella register. PuL innehåller regler om grundläggande krav på behandlingen av personuppgifter och regler för när behandling av personuppgifter är tillåten. I lagen finns restriktioner när det gäller behandling av känsliga uppgifter om lagöverträdelser m.m. och personnummer. Det finns också bestämmelser bl.a. om information till den registrerade, om rättelse av uppgifter och om IT-säkerhet. Någon skyldighet att ansöka om tillstånd för att inrätta och föra personregister finns inte i PuL. Den som behandlar personuppgifter helt eller delvis automatiserat skall däremot göra en skriftlig anmälan till Datainspektionen. En anmälan behöver dock inte göras om den personuppgiftsansvarige har anmält till Datainspektionen att ett personuppgiftsombud har utsetts och vem det är. Det föreskrivs vidare undantag från anmälningsskyldigheten i personuppgiftsförordningen (1998:1191) och i Datainspektionens föreskrifter i fråga om skyldigheten att anmäla behandlingar av personuppgifter till Datainspektionen (DIFS 1998:2). Hälso- och sjukvården är till stora delar undantagen från anmälningsplikten. Av PuL framgår att om det i en annan lag eller i en förordning finns bestämmelser som avviker från lagen skall de bestämmelserna gälla. Ett exempel på en lag som avses här är vårdregisterlagen. Vårdregisterlagen I vårdregisterlagen (1998:544) regleras automatiserad behandling av personuppgifter inom hälso- och sjukvården för vissa i lagen närmare angivna ändamål. Till lagen som trädde i kraft den 24 oktober 1998 finns inga särskilda övergångsbestämmelser. Det innebär att de tillstånd som Datainspektionen meddelat med stöd av datalagen inte längre gäller för de personregister som omfattas av vårdregisterlagens tillämpningsområde. 7

Vårdregisterlagen är en speciallag i förhållande till PuL. I de delar vårdregisterlagen eller annan speciallag inte innehåller några bestämmelser kommer därför personuppgiftslagen att gälla. Det gäller t.ex. vissa säkerhetsföreskrifter. I ett vårdregister får personuppgifter behandlas för dokumentation av vården av patienter eller för sådan administration som rör patienter och som syftar till att bereda vård i enskilda fall. Behandling av personuppgifter får även utföras för den ekonomiadministration som föranleds av vård i enskilda fall. Härutöver får personuppgifter i ett vårdregister behandlas för framställning av statistik, uppföljning, utvärdering, kvalitetssäkring och administration på verksamhetsområdet och för uppgiftsutlämnande som föreskrivs i lag eller förordning. Ett vårdregister får endast innehålla de uppgifter som enligt lag eller annan författning skall antecknas i patientjournal samt andra uppgifter som antecknas i och för vården av patienter. Registret får vidare innehålla uppgifter som behövs för sådan ekonomiadministration som föranleds av vård i enskilda fall. I vårdregisterlagen föreskrivs bl.a. en skyldighet för den personuppgiftsansvarige att lämna den registrerade information om behandlingen av personuppgifter. En utförligare beskrivning av innehållet i vårdregisterlagen finns i en ny (juni 2000) skrift från Datainspektionen "Värt att veta om vårdregisterlagen". Vid tillämpningen av vårdregisterlagen måste man samtidigt beakta relevanta bestämmelser i sekretesslagen (1980:100), hälso- och sjukvårdslagen (1982:763), patientjournallagen (1985:562) och lagen (1998:531) om yrkesverksamhet på hälsooch sjukvårdens område. Hälso- och sjukvårdslagen och patientjournallagen I hälso- och sjukvårdslagen stadgas att hälso- och sjukvården skall bygga på respekt för patientens självbestämmande och integritet och i patientjournallagen stadgas att varje uppgift i en journalhandling som upprättas inom hälso- och sjukvården skall utformas så att patientens integritet respekteras. I patientjournallagen stadgas vidare att varje journalhandling skall hanteras och förvaras så att obehörig inte får tillgång till den. Patientjournal skall föras för varje patient och journalen får inte vara gemensam för flera patienter. Som journalhandling anses framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas med tekniskt hjälpmedel. 8

Patientjournallagen är teknikneutral och skall således tillämpas oavsett om journalföringen är datoriserad eller inte. På samma sätt som gäller innehållet kan patienten inte bestämma om journalföringen skall vara manuell eller datoriserad. 1 I patientjournallagen finns också bestämmelser bl.a. om bevarande av journalhandling och omhändertagande och återlämnande av patientjournal. Sekretesslagen 2 Sekretess gäller inom hälso- och sjukvården för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom lider men, 7 kap 1 första stycket SekrL. Sekretess gäller också inom socialtjänsten för uppgifter om enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom närstående lider men, 7 kap 4 första stycket SekrL Gemensamt är alltså att uppgifter får lämnas ut endast om det står klart att utlämnandet inte medför men för den uppgiften rör. Sekretess är således huvudregel. Det är hos den utlämnande myndigheten som denna prövning skall göras. En landstingskommunal eller kommunal myndighet, som bedriver sådan verksamhet som avses i 7 kap 1 första stycket sekretesslagen, får dock lämna uppgift till annan sådan myndighet för forskning eller framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon honom närstående lider men om uppgiften röjs. Det innebär en presumtion för att uppgifterna får lämnas ut. 1 Prop. 1997/98:108 Hälsodata- och vårdregister s. 83-84. 2 Socialstyrelsen har utfärdat allmänna råd (SOSFS 1991:4) om sekretess inom hälso- och sjukvården och socialtjänsten. 9

Genomförd tillsyn För att undersöka på vilket sätt personuppgifter behandlas vid överföring av uppgifterna mellan huvudmännen inom vården och omsorgen av de äldre har Datainspektionen öppnat tillsyn som har avsett tio landsting och sju kommuner. Fältinspektioner har genomförts i fem av landstingen och i samtliga sju kommuner. I de övriga inspekterade landstingen har tillsynen genomförts på så sätt att de personuppgiftsansvariga skriftligen har fått besvara ett antal frågor om informationsöverföring. Dokumentation Inom vården och omsorgen av de äldre dokumenteras, på samma sätt som för övriga vårdbehövande, integritetskänsliga uppgifter främst i patientjournaler. Vid inspektionerna framkom att journalföringen inom primärvården i princip är datoriserad fullt ut till skillnad mot slutenvården där journalerna i huvudsak förs på papper. Även där journalerna förs på papper finns normalt datoriserade patientadministrativa system som innehåller personuppgifter. Inom kommunerna för oftast biståndshandläggarna/biståndsbedömarna sina uppgifter i dataregister. Journalföringen inom de särskilda boendena är däremot oftast manuell. En av de inspekterade kommunerna (Boden) har fullt ut datoriserat sin journalföring på sina särskilda boenden. Informationsskyldighet Kravet på att patientjournal skall föras utgår från patientsäkerheten och dokumentationen är först och främst avsedd att vara ett stöd för den eller de personer som vårdar patienten. Journalen är även en informationskälla för patienten om erhållen vård. Patientjournaler innehåller stora mängder integritetskänsliga uppgifter om patienterna. Uppgifterna förs in av hälso- och sjukvårdspersonalen och den enskilde vårdtagaren har inte någon rätt att bestämma om denna dokumentation skall vara datoriserad eller inte. Mot bakgrund av detta är det ur integritetssynpunkt särskilt angeläget att patienten får information om behandlingen. Informationsskyldigheten i 11 vårdregisterlagen omfattar inte bara datoriserade patientjournaler utan även andra vårdregister (se avsnitt om vårdregisterlagen s. 7 8). 10

Den som är personuppgiftsansvarig för ett vårdregister skall enligt 11 vårdregisterlagen se till att den registrerade får information om behandlingen. Informationen skall innehålla upplysningar om 1. vem som är personuppgiftsansvarig, 2. ändamålet med registret, 3. vilken typ av uppgifter som ingår i registret, 4. den uppgiftsskyldighet som följer av lagen (1998:543) om hälsodataregister, 5. de sekretess- och säkerhetsbestämmelser som gäller för registret, 6. rätten att ta del av uppgifter enligt 26 personuppgiftslagen (1998:204), 7. rätten till rättelse av oriktiga eller missvisande uppgifter, 8. rätten till skadestånd vid behandling i strid med personuppgiftslagen, 9. vad som gäller ifråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling, 10. vad som gäller ifråga om bevarande och gallring, samt 11. om registreringen är frivillig eller inte. Den personuppgiftsansvarige skall skapa rutiner som garanterar att informationsskyldigheten fullgörs. Vårdpersonalen behöver inte lämna patienten muntlig information om att dokumentation sker i ett vårdregister utan informationsskyldigheten kan fullgöras genom t.ex. broschyrer eller anslag vid vårdinrättningarna. 3 Vid genomförda inspektioner fann Datainspektionen att de personuppgiftsansvariga för hälso- och sjukvården både inom landstinget och kommunerna, med endast ett undantag, antingen inte lämnat någon information alls eller endast en bristfällig sådan. När det gäller överföring av personuppgifter finns det skäl att särskilt peka på skyldigheten att lämna information om ändamålet med registret och vad som gäller ifråga om utlämnande av uppgifter på medium för automatiserad behandling. Påpekanden har gjorts till de personuppgiftssansvariga där brister förelegat. Dessutom har Datainspektionen samtidigt med denna rapport utformat en särskild skrift om vårdregisterlagen Värt att veta om vårdregisterlagen. 3 Prop. 1997/98:108 Hälsodata- och vårdregister s. 173. 11

Överföring av patientuppgifter mellan huvudmännen Rutiner vid överföring av patientuppgifter Som en del av Datainspektionens kontroll av hur personuppgifter behandlas inom vården och omsorgen av de äldre har inspektionen frågat de inspekterade landstingen om de genom avtal och/eller genom överenskommelser har utarbetat skriftliga rutiner för vårdplanering och informationsöverföring med kommunerna inom respektive län. Vissa landsting och kommuner har haft utarbetade rutiner ända sedan Ädelreformens tillkomst år 1992. Andra landsting och de därtill hörande kommunerna har utarbetat gemensamma rutiner först under senare år. Endast två landsting och de därtill hörande kommunerna samt en del av ett tredje landsting saknar någon form av gemensamma rutiner. Omfattningen och utformningen av rutinerna skiljer sig åt mellan de olika landstingen. I några fall har landstinget träffat avtal med varje enskild kommun och i något fall har sjukvårdsdirektören fattat beslut om rutinerna. Andra landsting och kommuner har dokumenterat sina rutiner i mer eller mindre genomarbetade promemorior eller informationsbroschyrer. De utarbetade rutinerna har alla sin grund i Socialstyrelsens föreskrifter och allmänna råd (SOSFS 1996:32) om informationsöverföring och samordnad vårdplanering och omfattar i de flesta fall framtagna blanketter för överföring av information mellan huvudmännen. Samtycke och menprövning Med få undantag innehåller de utarbetade rutinerna avsnitt som behandlar frågan om inhämtande av samtycke av patienten alternativt menprövning enligt sekretesslagen av behörig person inom vården. I vilken form överförs personuppgifter? Personuppgifter från kommunerna (de särskilda boendena) till slutenvården överförs i de allra flesta fall genom att en skriftlig handling skickas med patienten. Den överföring som sker från slutenvården till kommunen respektive primärvården sker däremot oftast med telefax. I en del fall överförs vissa dokument med patienten eller per post. I ett av landstingen (landstinget Dalarna) sker faxöverföringen via modem direkt från landstingets patientadministrativa system. I de andra landstingen sker faxöverföringen på vanligt sätt. I ett av landstingen (Landstinget i Jönköpings län) har ett projekt genomförts som innebär att aktuell distriktssköterska/kommunsjuksköterska via sin mobiltelefon får meddelande om att ett personligt fax finns att hämta 12

från medicinkliniken. Genom att slå en personlig kod kan detta fax hämtas vid närmaste telefax. Den utvärdering som gjorts uppges vara mycket positiv. Att fax kan hämtas vid närmaste telefax underlättar tillgängligheten och minimerar resorna. Endast i ett av de tio inspekterade landstingen (Landstinget Blekinge) äger informationsöverföring och vårdplanering rum med annat IT-stöd än telefax (se s. 15 17). Mellan slutenvården och primärvården sker däremot en viss överföring av information rum på elektronisk väg i form av laboratoriesvar och remisser. I en av de kommuner (Boden) där Datainspektionen utfört tillsyn sker utbyte av information med primärvården i form av elektroniskt journallån (se s. 18 20). De flesta av de inspekterade landstingen och kommunerna för diskussioner om att i framtiden överföra information mellan de olika huvudmännen på elektronisk väg. Hur långt framskridna dessa planer är skiljer sig åt. Särskilt om telefax Av vad som sagts ovan framgår att dokumenten vid informationsöverföring och samordnad vårdplanering ofta överförs med hjälp av telefax. Graden av säkerhet vid faxöverföringen skiljer sig åt mellan de olika landstingen och de därtill hörande kommunerna. Den information som överförs med telefax utsätts för åtskilliga hot, t.ex. dokumentet sänds till fel abonnent p.g.a. att fel abonnentnummer används, dokumentet tas emot av fel person hos mottagaren p.g.a. bristande rutiner hos denne, obehöriga kan få del av dokumentet p.g.a. att utrustningen är olämpligt placerad, utrustningen kan utsättas för obehörig manipulering i syfte att förändra ett dokument eller i syfte att ordna så att dokumentet sänds till en obehörig mottagare, samt tekniska störningar i teleförbindelsen kan medföra att dokumentet förloras eller blir oläsligt. Med hänsyn till de här beskrivna hoten är det viktigt att organisationen har en väl genomtänkt och utarbetad säkerhetspolicy. Skyddet skall anpassas efter den egna organisationen och informationens känslighetsgrad. 13

Datainspektionen vill särskilt påpeka följande lämpliga åtgärder ifråga om överföring av personuppgifter med telefax inom vården och omsorgen av äldre. En sårbarhetsanalys bör utarbetas för att de som har det övergripande ansvaret för telefaxanvändningen skall uppmärksammas på föreliggande hot och behovet av säkerhetsåtgärder. Vid upphandling av telefaxutrustning bör en lösning med funktioner som är anpassade till den egna organisationens behov väljas. Funktionerna kortnummer och namnminne bör användas för att minska risken för att felaktigt abonnentnummer anges vid sändning. Vid sändning bör ett försättsblad vara fogat till dokumentet i vilket sändare och mottagare identifieras. Vidare bör antal sidor anges. Före sändningen bör mottagarens nummer kontrolleras och efter sändningen bör det kontrolleras att sändningen har genomförts utan anmärkning. Sändningskvittot som anger mottagare bör kontrolleras, signeras och sparas, vilket bör öka incitamentet att vara noggrann vid sändning. Telefaxen bör placeras i låst utrymme eller så att den ansvarige har uppsikt över den. Om dokumentet har sänts till fel mottagare bör mottagaren genast informeras om felet och uppmanas att förstöra dokumentet. Telefaxöverföringen bör krypteras om det finns risk för att överföringen kan komma att avlyssnas. Rutiner bör skapas för hur ett mottaget dokument skall hanteras. Rutiner bör skapas för kontroller av abonnentnummerlista, kortnummerlista och namnminne för att kontrollera om manipulering har skett eller om fel har uppstått av andra skäl. 14

Informationsöverföring och vårdplanering med utökat IT-stöd Blekinge Informationsöverföring och samordnad vårdplanering med annat IT-stöd än telefax genomförs i Blekinge i ett projekt som kallas obruten vårdkedja (OVK) med IT-stöd. Allmänt OVK-projektet startade under hösten 1999 och IT-stödet beräknas vara infört i hela landstinget under slutet av år 2001. Det utvecklade systemet skall erbjuda möjlighet att elektroniskt registrera, arkivera, överföra, söka fram samt presentera meddelanden som utbyts mellan kommunerna och landstinget inom ramarna för tillämpningen av rutinerna i den samordnade vårdplaneringen. Vid informationsöverföringen mellan länssjukhuset, primärvården och kommunen används sex dokument aktuell händelse, intagningsmeddelande, samordnad vårdplanering, medicinskt färdigbehandlad, utskrivningsmeddelande och epikris i samband med den samordnade vårdplaneringen. Dokumentet epikris, som är en journalhandling, är det enda dokumentet som inte överförs med IT-stöd. I dokumentet aktuell händelse är det kommunen och primärvården som dokumenterar uppgifter och i övriga dokument är det slutenvården. Samtycke/menprövning För att information skall få överföras mellan vårdgivarna krävs enligt rutinerna för OVK medgivande från den enskilde patienten eller någon närstående till denne. Alternativt krävs att, en för det behörig person, gjort en menprövning och funnit att information kan överföras. För att ett dokument skall kunna sändas måste uppgift om vem som har gett sitt samtycke (patient eller närstående) dokumenteras. Vidare måste (i ruta för signatur) anges vem som inhämtat samtycket. Med automatik anges den inloggade användaren av dokumentet. Den uppgiften kan och skall dock ändras om samtycket har inhämtats från en annan person. Enligt uppgift är det oftast samma person som både inhämtar samtycket och som registrerar uppgiften i dokumentet. Om en menprövning har gjorts skall i stället en hänvisning se journal göras. Glömmer vårdgivaren att fylla i dessa uppgifter får denne ett meddelande om detta vid försök att spara eller sända meddelandet. Det inhämtade samtycket omfattar all informationsöverföring från huvudmannen i den aktuella vårdkedjan. 15

IT-säkerhet IT-stödet är byggt som ett slutet system med webbteknik, ett intranät. Det betyder att det är uppbyggt enligt samma principer som Internet men att det är slutet för obehöriga. Landstinget och kommunerna har var sina servrar, databaser och arkiv. Kommunen har tecknat avtal med landstinget som har hand om daglig skötsel samt service av servrarna som finns placerade i en datorhall på länssjukhuset. Endast behörig personal har åtkomst till hallen som är åtkomstskyddad med kort och kod. Informationen som överförs är krypterad och dekrypteras när den når mottagaren. Enligt uppgift loggas vem som har gjort vad och när. Diskussioner pågår om hur uppföljning av loggar skall ske. För att få åtkomst till uppgifterna i systemet måste användaren först logga in på nätverket och därefter mot OVK-databasen för att verifiera att man finns upplagd som giltig användare i den katalog som används och kallas X.500-katalogen. Manuell utloggning skall alltid ske av användaren efter avslutat arbete. Om så ej görs kommer enligt uppgift en automatisk utloggning att ske efter en viss tids inaktivitet. För att registrera en ny blankett fyller man först i patientens personnummer. De grunduppgifter om patienten som finns i dokumentet hämtas från föregående meddelande om ett sådant finns annars hämtas uppgifterna från befolkningsregistret. Utifrån inloggad användares uppgifter i X.500-katalogen hämtas sedan uppgifter såsom klinik, avdelning, avdelningsmail m.m. Varje meddelande som sänds från sjukhuset angående patienter som bor i ordinärt (eget) boende skall kvitteras av både kommun och primärvård. Meddelande för patienter som bor i särskilt boende kvitteras endast av kommunen. Kvittensen är en bekräftelse på att meddelandet kommit fram till mottagaren. Ansvaret för patientens vård övergår till kommunen och primärvården när sjukhuset mottagit kvittens på utskrivningsmeddelandet. De olika huvudmännen kan inte redigera den andra huvudmannens meddelanden. Däremot kan alla som finns upplagda som giltiga användare i X.500-katalogen via val sökning på huvudmenyn söka fram dokument som finns i pågående vårdkedja och avslutad vårdkedja som ej arkiverats. Vid tidpunkten för inspektionen uppgavs att det då fanns möjlighet att söka fram dokument genom att ange: vårdkedje ID, personnummer, namn alternativt alla. Sökmöjligheten var inte begränsad t.ex. på så sätt att en användare endast kan söka de dokument som denne tidigare fått meddelande om. Enligt uppgift pågår diskussioner om vilka begränsningar i behörigheten som skall införas. Fem dagar efter avslutad vårdkedja skall uppgifterna med automatik raderas överallt utom i det elektroniska arkivet. Vid inspektionen fungerade inte denna funktion utan uppgifterna var även efter avslutad vårdkedja tillgänglig för all personal som finns angiven i X.500-katalogen. 16

I huvudmenyn finns vidare menyvalen administration och arkiv. Dessa kan användas endast av särskilt behöriga. De som är behöriga kan i funktionen administration ta bort meddelandena i en pågående vårdkedja. Det är bara meddelandena i aktuell vårdkedja som tas bort. Inga meddelanden tas bort från det elektroniska arkivet. Enligt uppgift pågår det diskussioner om vilka rutiner för gallring och bevarande som skall gälla för det elektroniska arkivet. Sammanfattande synpunkter Uppbyggnaden av OVK har skett med beaktande av integritets- och säkerhetsrisker. Vid inspektionerna konstaterades vissa brister som kan bero på att systemet ännu inte är fullt utbyggt. Bristerna avsåg att behörighetsbegränsningar och sökmöjligheter antingen inte utarbetats eller inte fullt ut följs. Det framkom vidare att rutiner ännu inte utarbetats vad gäller bevarande och gallring av personuppgifter samt uppföljning av loggar. De påpekanden som lämnas nedan är en följd av den genomförda tillsynen. Påpekandena riktar sig till alla som överför/avser att överföra information med utökat IT-stöd. Det som sägs grundar sig inte bara på iakttagna brister utan också på de positiva iakttagelser som har gjorts. Rutiner för inhämtande av samtycke alternativt menprövning enligt sekretesslagen bör finnas hos varje huvudman. Rutiner för behörighetstilldelning bör finnas. Ingen bör tilldelas högre behörighet än vad arbetsuppgifterna kräver. Användaridentitet och lösenord bör vara personliga och inte överlåtas på någon annan. Åtkomsten till personuppgifter bör kunna följas upp i efterhand genom en maskinell logg eller liknande maskinellt underlag. Av detta underlag bör framgå vem som har haft tillgång till uppgifterna, tidpunkt för åtkomsten samt till vilka uppgifter åtkomsten har skett. Uppföljning av loggen bör ske i erforderlig utsträckning och rutiner för detta bör finnas. När känsliga uppgifter överförs via datakommunikation bör uppgifterna skyddas med kryptering. Därigenom förhindrar man att uppgifterna kan läsas eller förvanskas av obehörig. Rutiner för bevarande och gallring av personuppgifter bör finnas. 17

Elektroniskt journallån - Boden I Boden sker utbyte av information mellan primärvården och kommunen i form av elektroniskt journallån. Allmänt Både primärvården och kommunen för sina journaler med IT-stöd. Systemet som används av de båda huvudmännen (VAS vårdadministrativt system) har utvecklats av landstinget. I systemet finns även administrativa tjänster. Inom primärvården har varje läkare tillgång till de patientjournaler som förs för de patienter för vilka denne är patientansvarig. När en läkare har jour utökas dennes behörighet till att avse alla patientjournaler inom primärvården i den aktuella kommunen. I kommunen har sjuksköterskor, sjukgymnaster och arbetsterapeuter behörighet att läsa och skriva i de journaler som förs inom kommunen rörande de patienter för vilka de är patientansvariga. Mellan primärvården och kommunen finns ett samarbete för journallån. Genom samarbetet ges sjuksköterskor, sjukgymnaster och arbetsterapeuter möjlighet att få del av patientjournaler förda inom primärvården och läkare ges möjlighet att få del av journaler förda inom kommunen. Läkarna har också möjlighet att vid besök på de särskilda boendena i kommunen ta del av primärvårdens egna journaler. Samtycke/menprövning När en patient flyttar in i ett särskilt boende ges patienten möjlighet att ge sitt samtycke till att journallån vid behov ges till sjuksköterskor, arbetsterapeuter och sjukgymnaster inom kommunen. Enligt uppgift har hittills alla patienter lämnat sitt samtycke. Patienten lämnar sitt samtycke skriftligen i dokument där det anges att tillståndet till journallån gäller till den dag annat uppges av patienten. Om samtycke inte lämnas kommer enligt uppgift en menprövning göras i varje enskilt fall och vid en sådan bedömning skulle journallån oftast anses vara till patientens bästa eftersom god kvalité inom vården innebär att man måste ha tillgång till bakgrundsmaterial. Primärvården inhämtar däremot inget samtycke från patienten för läkarnas möjlighet att ta del av de journaler som förs av sjuksköterskorna på de särskilda boendena. Samma sak gäller de journaler som förs av arbetsterapeuter och sjukgymnaster. Anledningen till det är att företrädare för primärvården anser att det inte finns behov av att inhämta samtycke eller att upplysa patienten om att läkarna har denna möjlighet. Som skäl till detta anges att detta får anses underförstått i och med att det öppet anges att samråd sker mellan läkarna inom primärvården och sjuksköterskorna inom kommunen. 18

IT-säkerhet Kommunen och landstinget har träffat avtal som innebär att kommunen får nyttja landstingets datorbaserade vårdsystem för att hantera kommunens journaler. I kommunen körs det vårdbaserade systemet på kommunens egna lokala nät via externt nät mot primärvårdens systemdator. Kommunens koppling till landstingets nät går via en brandvägg och datakommunikationen som sker via fasta linor är krypterad. Servern för datasystemet finns placerad i ett låst serverrum på en vårdcentral i kommunen. När en patientansvarig sjuksköterska, arbetsterapeut eller sjukgymnast i kommunen vill ha tillgång till en patients journal inom primärvården meddelas den patientansvarige läkaren. Läkaren tilldelar därefter denne behörighet att läsa i journalen. Behörigheten går inte att tidsbegränsa men uppges tas bort av patientansvarig läkare när behov av tillgång inte längre föreligger. En sjuksköterska får vid anställningens början ofta behörighet för alla patienter vid det särskilda boendet där sköterskan arbetar. Sjukgymnaster och arbetsterapeuter brukar få behörighet i mer begränsad omfattning. Den patientansvarige läkaren vidtar själv den åtgärd som behövs för att de aktuella personerna skall erhålla behörighet till primärvårdens journaler, utom i de fall det rör sig om ett stort antal journallån. Då utförs åtgärden istället av en läkarsekreterare på läkarens uppdrag. I systemet finns behörighetskontroll dels för inloggning i det egna nätet för kommunen respektive landstinget, dels med kort och engångslösenord som gör det möjligt att ta del av den andre huvudmannens uppgifter. Loggning sker och loggen kontrolleras regelbundet. Det görs bl.a. genom att den patientansvarige läkaren vid varje inloggning får upp en lista över de aktiviteter som skett med de journaler som förs rörande de patienter för vilka läkaren är patientansvarig. Sammanfattande synpunkter Efter genomförd tillsyn påpekade Datainspektionen att det behövdes rutiner för inhämtande av samtycke alternativt menprövning enligt sekretesslagen hos respektive huvudman och inte bara hos kommunen. Vidare påpekades att ingen skall tilldelas högre behörighet än vad arbetsuppgifterna kräver. Om en anställd inte längre behöver den behörighet den tilldelats skall den tas bort. De påpekanden som lämnas nedan är en följd av de allmänna iakttagelser som gjorts vid den genomförda tillsynen. Påpekandena riktar sig till alla som överför/avser att överföra information i form av elektroniskt journallån. Det som sägs grundar sig inte bara på iakttagna brister utan också på de positiva iakttagelser som har gjorts. 19