Beslut Diarienr 2011-02-17 616-2010 Landstingsstyrelsen Landstinget i Uppsala län Box 602 751 25 Uppsala Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen Datainspektionens beslut Datainspektionen konstaterar att Landstingsstyrelsen, Landstinget i Uppsala län (härefter Landstinget) inte lever upp till kravet vad gäller patientens rättighet att spärra uppgifter i enlighet med 6 kap. 2 första stycket patientdatalagen (2008:355). Datainspektionen förelägger Landstinget att, fram tills dess att BIF-tjänsten med avseende på fungerande spärrar är på plats, upprätta en alternativ rutin så att Landstinget kan uppfylla kravet i 6 kap. 2 fjärde stycket patientdatalagen. Datainspektionen konstaterar vidare att Landstinget: 1. inte helt lever upp till kravet på att informera patienterna enligt 6 kap. 2 tredje stycket patientdatalagen, 2. inte lever upp till kraven på behörighetsstyrning i 6 kap. 7 och 4 kap. 2 patientdatalagen och 2 kap. 6 SOSFS 2008:14, samt 3. utför logguppföljningar inom ramen för den sammanhållna journalföringen. Datainspektionen ifrågasätter dock om Landstingets tillvägagångssätt, bl.a. antalet samt metod, vad gäller logguppföljningarna innebär att en verkningsfull åtkomstkontroll sker inom ramen för den sammanhållna journalföringen enligt kraven i 6 kap. 7 och 4 kap. 3 patientdatalagen och 2 kap. 11 i SOSFS 2008:14. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
Datainspektionen förutsätter att Landstinget: 1. i Landstingets broschyr infogar information om för vilka andra vårdgivare uppgifterna tillgängliggörs, vilka förutsättningar som gäller för andra vårdgivares åtkomst till uppgifterna, dvs. förutsättningarna som anges i 6 kap. 3 patientdatalagen, samt hur spärrar får hävas, 2. tar fram rutiner som möjliggör att behörigheterna ytterligare kan begränsas till vad som behövs för att användaren ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Rutinerna ska även innefatta förändring, borttagning och regelbunden uppföljning av behörigheterna, samt 3. utvärderar och kontinuerligt utvecklar logguppföljningarna för att uppnå en verkningsfull åtkomstkontroll i enlighet med kraven i 4 kap. 3 patientdatalagen. I det arbetet är det lämpligt att Bolaget använder sig av Datainspektionens checklista för systematisk logguppföljning inom hälso- och sjukvården. Datainspektionen bedömer att Landstinget har förutsättningar att leva upp till samtyckeskravet i 6 kap. 3 patientdatalagen. Ärendet avslutas. Redogörelse för tillsynsärendet Datainspektionen genomförde den 22 april 2010 en inspektion av den personuppgiftshantering som sker i den sammanhållna journalföringen hos Landstinget. Syftet med inspektionen var att kontrollera efterlevnaden av informationsskyldigheten enligt 6 kap. 2 tredje stycket patientdatalagen, patientens möjlighet att motsätta sig att uppgifter tillgängliggörs i den sammanhållna journalföringen i enlighet med 6 kap. 2 fjärde stycket patientdatalagen samt även behörighetsstyrning och åtkomstkontroll inom ramen för den sammanhållna journalföringen i enlighet med 6 kap. 7 patientdatalagen. Närmare uppgifter om vad som framkommit i ärendet och därmed legat till grund för Datainspektionens bedömning framgår av skälen för beslutet. Datainspektionen har efter inspektionen inhämtat kompletterande handlingar. Tillämpliga rättsregler m.m. Sammanhållen journalföring Sammanhållen journalföring regleras huvudsakligen av 6 kap. patientdatalagen. Vidare kompletteras patientdatalagens bestämmelser av Sida 2 av 11
föreskrifter i 2 kap. Socialstyrelsens föreskrifter Informationshantering och journalföring i hälso- och sjukvården (SOSFS 2008:14). Sammanhållen journalföring innebär en möjlighet för vårdgivare att, under förutsättning att bestämmelserna i patientdatalagen följs, ha direktåtkomst till personuppgifter som hanteras av andra vårdgivare för ändamål som rör vårddokumentation. Tillgång till informationen sker genom att vårdgivare gör uppgifter om en patient elektroniskt tillgängliga för andra vårdgivare som deltar i den sammanhållna journalföringen. Spärrar Av 6 kap. 2 fjärde stycket patientdatalagen framgår att om en patient motsätter sig att andra uppgifter än dem som anges i andra stycket samma lagrum görs tillgängliga för andra vårdgivare genom sammanhållen journalföring, ska uppgifterna genast spärras. Vårdnadshavaren till ett barn kan dock inte spärra uppgifter om barnet. Av paragrafens fjärde stycke framgår således att patientens rätt att motsätta sig att uppgifter tillgängliggörs i den sammanhållna journalföringen omfattar samtliga uppgifter, utom uppgift om att det finns spärrade uppgifter och vilken vårdgivare som har spärrat dessa. Krav på information före tillgängliggörandet Regeringens uppfattning är att tillgängliggörandet av patientuppgifter inte ska få ske innan information lämnats till patienten (prop. 2007/08:126 Patientdatalag s. 113). I 6 kap. 2 tredje stycket patientdatalagen ställs därför krav på vårdgivaren att, innan uppgifter görs tillgängliga genom sammanhållen journalföring, informera patienten om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig att uppgifter görs tillgängliga för andra vårdgivare. Även om det inte är fråga om att inhämta patientens samtycke har patienten således en rätt att motsätta sig att uppgifter tillgängliggörs (s.k. opt-out). Därmed är patientens inställning avgörande för om uppgifter över huvud taget får tillgängliggöras i den sammanhållna journalföringen. I patientdatalagen anges inte uttryckligen vad informationen enligt ovan ska innehålla eller hur den ska ges till patienten. Utgångspunkten är dock att information ska ges om vad den sammanhållna journalföringen innebär. I propositionen förutsätter regeringen att hälso- och sjukvårdens aktörer hittar lämpliga former som är väl avvägda och anpassade till olika verksamhetsområden och till olika slags samarbeten mellan vårdgivare genom sammanhållen journalföring samt till den enskilde patientens förmåga att ta till sig informationen. Datainspektionen anser att en vårdgivare, för att leva Sida 3 av 11
upp till informationskravet i 6 kap. 2 tredje stycket patientdatalagen, åtminstone måste lämna information om följande: ändamålet med den sammanhållna journalföringen, vilka uppgifter vårdgivaren avser att tillgängliggöra, för vilka andra vårdgivare uppgifterna tillgängliggörs, vilka förutsättningar som gäller för andra vårdgivares åtkomst till uppgifterna, patientens rätt att spärra uppgifter, samt hur spärrar får hävas. Hur information ska lämnas till patienten får den enskilde vårdgivaren avgöra utifrån omständigheterna i det enskilda fallet. I propositionen uttalar regeringen följande (prop. 2007/08:126 s. 249 f). Något krav på att informationen ska ges i viss form muntligt eller skriftligt finns inte. Det är dock viktigt att den personuppgiftsansvarige utarbetar rutiner för hur informationsskyldigheten ska fullgöras. Säkra rutiner ligger i den personuppgiftsansvariges eget intresse, eftersom denne då det gäller information till en registrerad vid personuppgiftsbehandling anses ha bevisbördan för att obligatorisk information faktiskt har lämnats till patienten. När det gäller t.ex. patienter som inte talar svenska bör den personuppgiftsansvarige se till att någon översätter informationen eller att det finns skriftliga informationsblanketter på flera språk. Vidare anför regeringen att det inte är nödvändigt att informationen lämnas vid varje kontakttillfälle med en patient, under förutsättning att inget tvivel råder om att patienten är införstådd med vad den sammanhållna journalföringen innebär. Regeringen konstaterar även att patientdatalagen inte innehåller några särskilda bestämmelser om hur icke beslutskompetenta personer ska informeras om sammanhållen journalföring. Det innebär att information kan behöva lämnas till någon behörig ställföreträdare eller någon nära anhörig (prop. 2007/08:126 s. 250). Sammantaget kan konstateras att det ankommer på vårdgivaren att visa att samtliga patienter som omfattas av den sammanhållna journalföringen har fått information enligt ovan, före tillgängliggörandet. Krav på samtycke (ospärrade uppgifter) Det framgår av 6 kap. 3 patientdatalagen att för att en vårdgivare ska få behandla uppgifter som en annan vårdgivare gjort tillgängliga i systemet med sammanhållen journalföring, krävs bl.a. att patienten samtycker till detta. Sida 4 av 11
I propositionen uttalar regeringen följande (prop. 2007/08:126 s. 252 f). Det fordras ett aktivt samtycke från patientens sida. Det ska vara ett sådant samtycke som avses i personuppgiftslagen (1998:204), dvs. det ska vara frivilligt, särskilt och otvetydigt. Kravet på att samtycket ska vara frivilligt ger uttryck för att den enskilde verkligen har ett val. En registrerad kan vidare enligt personuppgiftslagen inte lämna ett giltigt generellt samtycke till personuppgiftsbehandling som inte är preciserad till något eller några ändamål. Det följer av kravet på att samtycket ska vara särskilt. Att samtycket ska vara otvetydigt anses innebära att det inte får råda någon tvekan om att den registrerade godtar personuppgiftsbehandlingen. Det är lämpligt att samtycket dokumenteras även om det inte finns något formellt krav på detta. Samtycket ska givetvis föregås av att patienten får information om vad han eller hon samtyckt till. Behörighetstilldelning och åtkomstkontroll Av 6 kap. 7 patientdatalagen följer att bestämmelserna i 4 kap. 2 och 3 även gäller för behörighetstilldelning och åtkomstkontroll vid sammanhållen journalföring. Behörighetstilldelning Enligt 4 kap. 2 patientdatalagen ska vårdgivaren begränsa en användares behörigheter till vad som behövs för att användaren ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Bestämmelsen kompletteras sedan av 2 kap. 6 SOSFS 2008:14, där det bl.a. framgår att varje användare ska tilldelas en individuell behörighet och att vårdgivarens beslut om tilldelning av behörighet ska föregås av en behovs- och riskanalys. Enligt samma föreskrift ska vårdgivaren även ansvara för att det finns rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheterna. I prop. 2007/08:126 s. 149 anför regeringen följande. Generellt kan sägas att ju mer omfattande ett informationssystem är, desto större mängd olika behörighetsnivåer måste det finnas. Avgörande för beslut om behörighet för t.ex. olika kategorier av hälso- och sjukvårdspersonal till elektronisk åtkomst till uppgifter i patientjournaler bör vara att behörigheten ska begränsas till vad befattningshavaren behöver för ändamålet av en god och säker patientvård. En mer vidsträckt eller grovmaskig behörighetstilldelning bör även om den skulle ha poänger utifrån effektivitetssynpunkt anses som en obefogad spridning av journaluppgifter inom en verksamhet och bör som sådan inte accepteras. Sida 5 av 11
Åtkomstkontroll Enligt 4 kap. 3 patientdatalagen ska vårdgivare göra systematiska och återkommande kontroller av om någon obehörigen kommer åt patientuppgifter. Detta kompletteras sedan av 2 kap. 11 SOSFS 2008:14, där det bl.a. framgår att vårdgivaren ska ansvara för att det finns rutiner som säkerställer att: 1. det av dokumentationen av åtkomsten (loggarna) framgår vilka åtgärder som har vidtagits med patientuppgifterna, 2. det av loggarna framgår vid vilken vårdenhet och vid vilken tidpunkt åtgärderna har vidtagits, 3. användarens och patientens identitet framgår av loggarna, och 4. systematiska och återkommande stickprovskontroller av loggarna görs. Av regeringens proposition 2007/080:126 s. 149 f framgår bl.a. följande avseende åtkomstkontroll. För att främja patientsäkerheten bör vårdgivarna åläggas att systematiskt och fortlöpande företa kontroller av om obehörig åtkomst till uppgifter om patienter förekommer. Regeringen föreslår att detta uttryckligen föreskrivs som ett krav i patientdatalagen. En sådan bestämmelse innebär inte bara att faktiska dataintrång med större säkerhet kommer att kunna beivras. Bestämmelsen bör även få en starkt avhållande verkan på personal som, om risken för upptäckt är liten, kan frestas att olovligen läsa uppgifter. Datainspektionen anser att rutinerna för åtkomstkontroll ska vara utformade på sådant sätt att de blir verkningsfulla i förhållande till den behandling av personuppgifter som sker hos vårdgivaren. En förutsättning för detta är bl.a. att berörd personal får tydlig information om logguppföljningarna och deras syfte. Vårdgivaren måste även kontinuerligt utvärdera rutinerna för åtkomstkontroll för att säkerställa att rutinerna är verkningsfulla Skäl för beslutet Spärrmöjligheter Det har framkommit att Landstinget för närvarande använder en funktion i Cosmic som kallas Informationsklassning. Detta är en tillfällig lösning fram tills dess att den nationella lösningen, Bastjänster inom informationsförsörjning inom vård och omsorg (BIF), finns installerad och klar. Lösningen innebär att i de fall patienten så begär, spärras åtkomsten till alla journalnotat i journalsystemet mellan de olika vårdgivarna. Detta innebär att en användare hos en vårdgivare inte har möjlighet att ta del av journalnotat hos en annan vårdgivare. Patienten gör därmed ett val att ställa sig utanför begreppet Sammanhållen journalföring. I denna funktion kan Landstinget slå på Sida 6 av 11
alternativt slå av sammanhållen journalföring efter den enskilde patientens önskemål. Det har vidare framkommit att läkemedel och svar på laboratorieanalyser inte kan spärras. Denna information läggs in under ikonen Observandum. Även ikonerna Varning och Smitta är idag undantagna från patienternas spärrmöjlighet i Informationsklassning, men detta kommer att vara tillgodosett när implementeringen av BIF-tjänsten är klar i oktober 2011. Landstinget har uppgivit att Landstinget kan tillgodose patienters möjlighet att spärra åtkomst för andra vårdgivare till noteringar under Varning, Observandum och Smitta. Detta är ovanligt, men i de fall frågan kommer upp har Landstinget att följa en rutin. Under Varning, Observandum och Smitta kommer det i så fall att finnas en hänvisning att den journalskrivande enheten har ytterligare information och att denna då kan begäras att bli utlämnad till den andra vårdgivaren. Så som framgår av tidigare redogjorda rättsregler finns det ingen laglig möjlighet för Landstinget att undanta vissa kategorier av uppgifter, bortsett från dem som anges i 6 kap. 2 andra stycket patientdatalagen, vad gäller skyldigheten att spärra. Det finns vidare ingen möjlighet för Landstinget att spärra uppgifter på så sätt som uppgivits ovan, dvs. att göra en hänvisning under Varning, Observandum och Smitta att den journalskrivande enheten har ytterligare information och att denna kan begäras att bli utlämnad till den andra vårdgivaren. Det framgår tydligt av 6 kap. 2 patientdatalagen att det är uppgift om att det finns spärrade uppgifter om en patient samt uppgift om vilken vårdgivare som har spärrat uppgifterna som får göras tillgängliga för andra vårdgivare genom sammanhållen journalföring. Datainspektionen konstaterar att Landstinget, på grund av journalsystemets utformning, inte lever upp till kravet vad gäller patientens rättighet att spärra uppgifter i enlighet med 6 kap. 2 fjärde stycket patientdatalagen. Landstinget uppger emellertid att den nu aktuella vårddokumentationen kommer att kunna spärras fr.o.m oktober 2011, då den nya BIF-tjänsten har integrerats. Datainspektionen förelägger Landstinget att, fram tills dess att BIF-tjänsten med avseende på fungerande spärrar är på plats, upprättar en alternativ rutin så att Landstinget kan uppfylla kravet i 6 kap. 2 fjärde stycket patientdatalagen. Sida 7 av 11
Information till patienter - tillvägagångssätt Det har framkommit att Landstinget har haft sammanhållen journalföring i princip sedan patientdatalagen trädde i kraft den 1 juli 2008. I samband därmed började Landstinget informera patienterna om sammanhållen journalföring i väntrummen genom anslag, Information om din patientjournal och broschyrer, Journal och hantering av personuppgifter. Denna information finns även på Landstingets webbsida. Vidare har i princip samma information vid ett tillfälle skickats ut till alla hushåll genom den årliga trycksaken Telefonnummer i vården. Nästa tillfälle då Telefonnummer i vården återigen skickas ut, kommer att vara i mitten av februari 2011. Avsikten är att informationen ska finnas med i det årliga utskicket även framöver. Datainspektionen förutsätter att Landstinget framöver, i enlighet med sin avsikt, återigen informerar patienterna i trycksaken Telefonnummer i vården vid ytterligare ett par tillfällen samt att patienterna vid dessa tillfällen erhåller tillräcklig information om vad sammanhållen journalföring är samt att patienten kan motsätta sig detta. Landstinget måste även se till att de patienter som inte är bosatta i länet blir informerade. När det gäller att informera patienter utanför länet finns även en möjlighet för Landstinget att samarbeta med aktuella vårdgivare i de olika länen. För att kontinuerligt informera patienter, dvs. de som besöker Landstinget för första gången, anser Datainspektionen att Landstinget förutom att tillhandahålla anslag och broschyrer i väntrum, även måste uppmärksamma patienterna på att ta del av broschyren. En sådan hänvisning kan göras på många olika sätt, t.ex. muntligt eller, vid planerade besök, i samband med kallelser. Datainspektionen vill även framhålla att när det gäller t.ex. patienter som inte talar svenska bör den personuppgiftsansvarige se till att någon översätter informationen eller att det finns skriftliga informationsblanketter på flera språk. Utöver dessa synpunkter har Datainspektionen inget att anmärka på vad som har framkommit om Landstingets tillvägagångssätt när det gäller att informera patienterna. Information till patienter - innehåll Det har framkommit att Landstingets broschyr, Journal och hantering av personuppgifter, innehåller information om bl.a. ändamålet med den sammanhållna journalföringen, att Landstinget ingår i en sammanhållen journalföring och patientens rätt att spärra uppgifter. I princip samma information framgår av Landstingets anslag Information om din Sida 8 av 11
patientjournal som finns i väntrummen. Av anslaget framgår även att patienten har rätt att avstå från sammanhållen journalföring. Det saknas dock information om för vilka andra vårdgivare uppgifterna tillgängliggörs, vilka förutsättningar som gäller för andra vårdgivares åtkomst till uppgifterna samt hur spärrar får hävas. Datainspektionen konstaterar att Landstinget inte helt lever upp till kravet på att informera patienterna enligt 6 kap. 2 tredje stycket patientdatalagen. Under förutsättning att Landstinget infogar ovanstående i den nu befintliga broschyren anser Datainspektionen att innehållet i Landstingets information uppfyller kraven i 6 kap. 2 tredje stycket patientdatalagen. Samtycke (ospärrade patientuppgifter) Landstinget uppger att det finns en rutin som innebär att vårdpersonalen, för att ta del av andra vårdgivares vårddokumentation, först måste fråga efter patientens samtycke och dokumentera detta i systemet. Det är relativt vanligt att personalen inhämtar samtycke i förväg i en viss planerad vårdsituation. Datainspektionen anser att Landstinget därmed har förutsättningar att leva upp till samtyckeskravet i 6 kap. 3 patientdatalagen. Behörighetsstyrning Landstinget har uppgivit att i det fall en verksamhet gör den bedömningen att en användare inte behöver åtkomst till uppgifter hos en annan vårdgivare ska denna begränsning införas. Landstingets journalsystem tillåter sådana begränsningar i behörigheten. För verksamhetschefens bedömning av behörigheten finns regelverk i Landstingets informationssäkerhetspolicy. När det gäller behörighetstilldelningen har vårdgivaren inte endast att bedöma om användaren i sin yrkesutövning kan träffa patienter från annan vårdgivare, utan även vilka patienter eller kategorier av patienter från andra vårdgivare det kan vara fråga om. En inriktning bör, enligt Datainspektionen, vara att en användare inte ska ha en mer vidsträckt tillgång till patientuppgifter hos andra vårdgivare än vad användaren har i sin egen verksamhet. Det faktum att en patient inte motsatt sig ett tillgängliggörande i sammanhållen journalföring medför heller inte att en användare får tilldelas vidare behörigheter än vad som behövs med hänsyn till användarens behov. Mot bakgrund av ovanstående konstaterar Datainspektionen att Landstinget, genom att inte ha genomfört en tillräcklig behörighetstilldelning inom ramen för den sammanhållna journalföringen, inte lever upp till kraven på Sida 9 av 11
behörighetsstyrning i 6 kap. 7 och 4 kap. 2 patientdatalagen samt 2 kap. 6 SOSFS 2008:14. Datainspektionen förutsätter att Landstinget tar fram rutiner som möjliggör att behörigheterna ytterligare kan begränsas till vad som behövs för att användaren ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Rutinerna ska även innefatta förändring, borttagning och regelbunden uppföljning av behörigheterna. Åtkomstkontroll Det har framkommit att det uppstår en loggpost när Landstingets personal går in i en annan vårdgivares vårddokumentation. Förvaltningen ansvarar för logguppföljningen och det finns här en gemensam förvaltning för alla vårdgivare som ingår i den sammanhållna journalföringen i Uppsala län. Åtkomstkontroll inom ramen för den sammanhållna journalföringen ingår som en naturlig del av den ordinarie logguppföljningen. Landstinget har utöver detta även gjort en specialanalys vad gäller logguppföljning av de patienter som inte vill ha sammanhållen journalföring. Det är dock oklart hur många logguppföljningar som sker hos Landstinget i den sammanhållna journalföringen. Datainspektionen konstaterar att Landstinget utför logguppföljningar inom ramen för den sammanhållna journalföringen. Datainspektionen ifrågasätter dock om Landstingets tillvägagångssätt, bl.a. antalet samt metod, vad gäller logguppföljningarna innebär att en verkningsfull åtkomstkontroll sker inom ramen för den sammanhållna journalföringen enligt 6 kap. 7 och 4 kap. 3 patientdatalagen och 2 kap. 11 i SOSFS 2008:14. Datainspektionen förutsätter därför att Landstinget utvärderar och kontinuerligt utvecklar logguppföljningarna för att uppnå en verkningsfull åtkomstkontroll i enlighet med kraven 4 kap. 3 patientdatalagen. I det arbetet är det lämpligt att Bolaget använder sig av Datainspektionens checklista för systematisk logguppföljning inom hälso- och sjukvården. Hur man överklagar Om ni vill överklaga beslutet ska ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet ska ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Sida 10 av 11
Detta beslut har fattats av teamledaren Erik Janzon i närvaro av juristen Maria Bergdahl, föredragande. Erik Janzon Maria Bergdahl Kopia till: 1. Socialstyrelsen Sida 11 av 11