Datum Diarienr 2013-05-31 1523-2012 Styrelsen för Stockholms läns sjukvårdsområde (SLSO) Box 17914 118 95 Stockholm Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datainspektionens beslut Datainspektionen konstaterar att Styrelsen för Stockholms läns sjukvårdsområde (härefter SLSO), har kommit en bit på väg i och med att huvudjournalsystemet TakeCare, såvitt Datainspektionen uppfattar det, har tekniska funktioner för spärrar. I systemet Obstetrix planeras en spärrfunktion vara införd från april 2013 och det finns fram till dess en tillfällig övergångslösning. I ett system finns endast delvis möjlighet för patienten att spärra vårddokumentation. Det finns här ingen tillfällig övergångslösning. Vidare saknas en spärrfunktion i systemet Pascal. Eftersom det är ett nationellt system har SLSO inga förslag på eventuella övergångslösningar. Kringsystemen saknar i stor utsträckning spärrfunktion. Det framgår dock inte vilka system SLSO menar eftersom någon förteckning över dessa inte har skickats in. SLSO föreläggs därför: Att omgående vidta åtgärder för att leva upp till kraven i patientdatalagen i de system som fortfarande inte går att spärra, och lämpligen i samband med detta upprättar tidsplaner. SLSO föreläggs även att senast den 1 november 2013 ge in en förteckning till Datainspektionen över de kringsystem som SLSO använder sig av. Det ska av förteckningen även framgå om SLSO anser att det behövs en teknisk Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
spärrfunktion i de aktuella systemen samt vilka åtgärder SLSO har tänkt vidta om en sådan funktion ska finnas i enligt med patientdatalagen. Datainspektionen förutsätter dock: 1. Att de patienter som vill spärra den information som finns under rubriken patientuppgifter i journalsystemet TakeCare också kommer att kunna göra detta. 2. Att SLSO fortsätter och slutför införandet av tekniska spärrfunktioner i systemet Obstetrix. Ärendet avslutas. Redogörelse för tillsynsärendet Datainspektionen har i ett beslut den 15 juni 2012, diarienummer 1700-2011, konstaterat att uppskattningsvis 11 system, däribland även system som ingår i sammanhållen journalföring, inte kunde spärras på det sätt som krävs enligt patientdatalagen. Det framgick inte på ett tydligt sätt när SLSO hade tänkt tillgodose patienternas rätt till spärrar, eller hur SLSO avsåg att tillgodose rätten fram till dess att spärrfunktioner finns på plats. SLSO förelades därför att ge in en redogörelse för när funktioner för tekniska spärrar som möjliggör för vårdgivaren att leva upp till kraven i patientdatalagen kommer att vara genomförda i de aktuella systemen, samt vilka tillfälliga övergångslösningar som SLSO har vidtagit beträffande huvudjournalsystemet och andra omfattande patientjournalsystem som innehåller många känsliga personuppgifter. SLSO gav in en redogörelse den 3 oktober 2012. Eftersom det kvarstod vissa frågetecken beträffande huvudjournalsystemet TakeCare (härefter TakeCare) granskades systemet på plats i december 2012. Skäl för beslutet Datainspektionen har i det nu aktuella ärendet utgått från de uppgifter som SLSO har inkommit med efter Datainspektionens beslut den 15 juni 2012. SLSO är ansvarigt för att dessa uppgifter är korrekta. Datainspektionen vill här understryka att det är SLSO som är personuppgiftsansvarig och som således är ytterst ansvarig för att patientuppgifterna behandlas i enlighet med patientdatalagens regler. Av handlingarna i ärendet framgår bland annat följande. Huvudjournalsystemet TakeCare har idag spärrfunktioner för journaltext, viktig medicinsk information (VMI) och Läkemedel. I den del av systemet som kallas patientuppgifter finns åtta flikar med rubrikerna; allmänt, folkbokföring, Sida 2 av 6
kontakter, diverse, OBS!, samtycken, listning och spärrar. Spärrfunktion i dessa flikar saknas idag. Med anledning av ovanstående granskade Datainspektionen viss personuppgiftsbehandling i TakeCare på plats den 14 december 2012, då bland annat följande framkom. Beträffande uttrycket journaltext menar SLSO all information från enhet om patient. Patientuppgifter utgörs dels av uppgifter som hämtas från andra källor och därför inte är möjliga att spärra såsom folkbokföringsinformation, dels diverse uppgifter som vårdgivaren själv lagt in såsom telefonnummer, dostilldelning, information om hemtjänst och funktionsnedsättning. De sistnämnda uppgifterna kan enligt uppgift raderas om patienten vill det. Om en spärr läggs på en vårdenhet (spärrgrupp) innebär det att informationen är spärrad såväl mot andra vårdenheter inom vårdgivaren, som mot andra vårdgivare. All information som genereras på denna enhet, t.ex. en vårdcentral, är således borta utanför enheten. Däremot kan man ha en spärr mot andra vårdgivare (vårdgivarspärr) utan att ha spärr inom vårdgivaren (inre spärr). SLSO uppger att vid så kallad inre spärr som upprättats på exempelvis Alby VC kan enheter utanför spärrgruppen Alby VC inte ta del av denna information. De flikar som användare utanför Alby VC ser avslöjar att en utredning av visst slag har gjorts, annars skulle flikarna inte ha funnits där, men det går inte att se var utredningen gjorts eller vad som eventuellt har framkommit. Namnet på flikarna kan exempelvis vara; Röntgen, immunologi, bak lab, klin fys (om EKG tagits) och konsultation (om patienten blivit remitterad). SLSO uppger vidare att när det gäller sammanhållen journalföring ser vårdpersonalen inte initialt vilken eller vilka vårdgivare som har spärrad vårddokumentation om patienten. Det krävs ett aktivt val där samtycke/nödsituation + lösenord måste anges för att kunna ta del av denna information. När det gäller systemet Obstetrix uppger leverantören att systemet från april 2013 kommer att ha en spärrfunktion. SLSO har här en tillfällig övergångslösning. I systemet Vaccinera har patienten, enligt uppgift som SLSO fått från systemägaren, vid vaccinationstillfället möjlighet att spärra vaccinationsjournalen för andra vårdgivare. Om patienten vill spärra blir informationen endast tillgänglig för användarna på den enhet där vaccinationen utfördes. Om en patient i efterhand begär att informationen ska spärras för andra vårdgivare finns inte samma funktion. Det finns här inga tillfälliga övergångslösningar. Sida 3 av 6
När det gäller systemet Pascal Dos visas patientens läkemedelsinformation gällande förskrivningar, elektroniska recept och dosordinationer. Dessa uppgifter är lagrade i receptregistret/dosregistret. Apotekens Service AB är personuppgiftsansvarig för dessa register. Pascal Dos är tvingande för att patienten ska få dosdispensering av sina läkemedel och samtycke krävs från patienten. Förskrivningar som görs med Pascal Dos ska även dokumenteras i patientens journal, efterson receptregistret/dosregistret inte är en journalhandling. Uppgifter i receptregistret/dosregistret går inte att spärra vilket gör att applikationen Pascal Dos inte har någon spärrfunktion. Uppgifterna i receptregistret/dosregistret gallras/förstörs efter 15 månader och ingår inte i sammanhållen journalföring. SLSO uppger att eftersom Pascal Dos är ett nationellt system har SLSO inga förslag till eventuella övergångslösningar för patienter som vill spärra sin läkemedelsinformation i Pascal Dos. Systemet E-arkiv saknar möjlighet att spärra och därför har SLSO valt att inte tillgängliggöra informationen för andra vårdgivare/vårdenheter. All e- arkiverad information från SLSO kommer i ett projekt att överföras till Landstingsarkivets slutarkivering till den 31 december 2012. Datainspektionen har inget att erinra när det gäller detta. SLSO uppger slutligen att det kopplat till TakeCare finns system för spirometri, EKG, blodtrycksmätning, audiogram, röntgenundersökningar med flera. Flertalet av dessa system har åtkomst via TakeCare och en del kan också tillgängliggöras på annat sätt. Kringsystemen saknar i stor utsträckning spärrfunktion. SLSO bedömer att informationen i dessa system främst består av information som presenteras i grafiska kurvor samt bilder på mjukdelar och skelett. För vissa av systemen finns möjlighet att övergå till pappersbaserad lösning för ny information. Datainspektionens bedömning Mot bakgrund av ovanstående konstaterar Datainspektionen att SLSO har kommit en bit på väg i och med att TakeCare, såvitt Datainspektionen uppfattar det, har tekniska funktioner för spärrar. I systemet Obstetrix planeras en spärrfunktion vara införd från april 2013 och det finns fram till dess en tillfällig övergångslösning. I ett system finns endast delvis möjlighet för patienten att spärra vårddokumentation. Det finns här ingen tillfällig övergångslösning. Vidare saknas en spärrfunktion i systemet Pascal. Eftersom det är ett nationellt system har SLSO inga förslag på eventuella övergångslösningar. Sida 4 av 6
Det har framkommit att Kringsystemen i stor utsträckning saknar spärrfunktion. Det är här oklart vilka system SLSO menar eftersom detta inte framgår av de inskickade handlingarna. Om det är så att kringsystemen innehåller vårddokumentation, även om SLSO bedömer att informationen i dessa system främst består av information som presenteras i grafiska kurvor samt bilder på mjukdelar och skelett, så har patienten en laglig rättighet, som framgår av patientdatalagen, att spärra denna dokumentation. Datainspektionen vill återigen påpeka, se förra beslutet dnr 1700-2011, att SLSO är personuppgiftsansvarig för den egna behandlingen av personuppgifter även om SLSO endast har läsbehörighet och inte ansvarar för systemen, i och med att SLSO har direktåtkomst. SLSO föreläggs därför: Att omgående vidta åtgärder för att leva upp till kraven i patientdatalagen i de system som fortfarande inte går att spärra, och lämpligen i samband med detta upprättar tidsplaner. SLSO föreläggs även att senast den 1 november 2013 ge in en förteckning till Datainspektionen över de kringsystem som SLSO använder sig av. Det ska av förteckningen även framgå om SLSO anser att det behövs en teknisk spärrfunktion i de aktuella systemen samt vilka åtgärder SLSO har tänkt vidta om en sådan funktion ska finnas i enligt med patientdatalagen. Datainspektionen förutsätter dock: 1. Att de patienter som vill spärra den information som finns under rubriken patientuppgifter i journalsystemet TakeCare också kommer att kunna göra detta. 2. Att SLSO fortsätter och slutför införandet av tekniska spärrfunktioner i systemet Obstetrix. Ärendet avslutas. Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet skall ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Sida 5 av 6
Detta beslut har fattats av tillsynschefen Erik Janzon i närvaro av juristen Maria Bergdahl, föredragande. Erik Janzon Maria Bergdahl Kopia till: Personuppgiftsombudet Kontaktperson hos SLSO Sida 6 av 6