Samråd enligt 2 och 3 patientdataförordningen



Relevanta dokument
Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn enligt personuppgiftslagen (1998:204) 4 kap. patientdatalagen

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) av Göteborgs universitet (Svensk nationell datatjänst)

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) angående publicering av personuppgifter på Internet

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Polismyndighetens behandling av personuppgifter i belastningsregistret och misstankeregistret

Tillsyn enligt personuppgiftslagen (1998:204) hjälpmedelshanteringssystemet Sesam

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Säkerhetsåtgärder vid kameraövervakning

Datainspektionens beslut

Tillsyn enligt personuppgiftslagen (1998:204) Bolagsverkets utlämnande av personuppgifter till Bisnode AB

Tillsyn enligt personuppgiftslagen (1998:204) registrering av arbetsförmågebedömningar om anställda i rehabiliteringssystem

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning inomhus i skola

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Vägtrafikregisterutredningens betänkande (SOU 2010:76) Transportstyrelsens databaser på vägtrafikområdet integritet och effektivitet

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter vid rutinkontroll av förares innehav av taxiförarlegitimation

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning inomhus i skola

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Apoteket AB Stockholm. och

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) Barn och grundskolenämnden i Täbys behandling av personuppgifter i VKlass

Tillsyn enligt kreditupplysningslagen (1973:1173) och personuppgiftslagen (1998:204)

Tillsyn - äldreomsorg

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) personuppgiftsbehandling i anslutning till Pliktverkets e-tjänst för lämplighetsundersökning

Tillsyn enligt personuppgiftslagen (1998:204) behörighetsstyrning m.m. enligt patientdatalagen

Remissen Läkemedelsverkets förslag till föreskrifter för Nationella medicinska informationssystem

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Tillsyn enligt personuppgiftslagen (1998:204)- Pensionsmyndighetens webbtjänst Dina Pensionssidor

Journalsystem och informationssäkerhet

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Migrationsverket

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Klagande Datainspektionen, Box 8114, Stockholm. Motpart MarknadsTing i Gånarp AB, Munka Ljungby

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen

Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Ulla Lönnqvist Endre. Avd för vård och omsorg

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

-CXf Wl \ct(fUl_

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Delbetänkande av Jaktlagsutredningen: Vildsvin och viltskador om utfordring, kameraövervakning och arrendatorers jakträtt (SOU 2014:54)

Beslut efter tillsyn enligt inkassolagen (1974:182), kreditupplysningslagen (1973:1173) och personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Meddelandeblad. Medicinskt ansvarig sjuksköterska och medicinskt ansvarig för rehabilitering

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Till Socialdepartementet. Dnr: S2015/2282/FS. SOU 2015:32 Nästa fas i e-hälsoarbetet

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning vid Hemköp i Östersund

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) avseende den webbaserade tjänsten Squill

Förslag till föreskrifter om anmälan av allvarliga vårdskador (lex Maria) Dnr / remissvar

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Sammanfattningar av Socialstyrelsens föreskrifter och allmänna råd (SOSFS) som har relevans för utförare inom kommunal vård och omsorg om äldre

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Samråd om registrering av beslutsoförmögna i det nationella kvalitetsregistret Senior Alert

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Transkript:

Yttrande Diarienr 2013-03-28 404-2013 Ert dnr 31 409/11 Socialstyrelsen Samråd enligt 2 och 3 patientdataförordningen Som ett led i samrådsskyldigheten enligt 2 och 3 patientdataförordningen (2008:360) har Socialstyrelsen översänt versionen Chefsjurist 2013-03-05 för Datainspektionens synpunkter. Vi har idag följande synpunkter. Vid den externa remissen kan vi komma att utveckla dem eller ha helt nya synpunkter beroende på innehållet i föreskriftsförslaget och konsekvensutredningen. Övergripande synpunkter Datainspektionen anser att de nuvarande föreskrifterna i 2 kap. SOSFS 2008:14 med ändring i 2011:8 förtydligar väsentliga krav på vårdgivarna som rör integritetsskyddet på ett sätt som återspeglar syftet med patientdatalagen, regeringens intentioner i propositionen 2007/08:126 Patientdatalag m.m. och de uttryckliga kraven på säkerhetsåtgärder i patientdatalagen. Vissa helt nya föreskrifter i nuvarande version anser vi också tar om hand integritetsaspekterna på ett bra sätt. Vi tänker här på bland annat riskanalyser i 2 kap. 3 och nya föreskrifter i 3 kap. som rör vårdgivarens informationssystem. Föreskrifterna i 3 kap. ger uttryck för några säkerhetsåtgärder som är lämpliga att vidta enligt 31 personuppgiftslagen när det rör sig om behandling av integritetskänsliga personuppgifter. För att vårdgivaren inte ska förbise att överväga behovet av andra lämpliga säkerhetsåtgärder, anser vi att 3 kap. 1 ska kombineras med en föreskrift eller ett allmänt råd som hänvisar till 31 personuppgiftslagen. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

Enligt förslaget vill Socialstyrelsen ha möjlighet att medge undantag från bestämmelserna i föreskrifterna, om det finns särskilda skäl. Även om det formellt sett är möjligt, kan det få konsekvenser beträffande föreslagna föreskrifter i 2, 3 och 4 kap. om Socialstyrelsen medger undantag. Föreskrifterna bygger på tvingande författningsbestämmelser eller återspeglar kravet på lämliga säkerhetsåtgärder enligt 31 personuppgiftslagen. Vi motsätter därför oss en undantagsmöjlighet för Socialstyrelsen. Detaljerade synpunkter på föreskrifterna Ingressen I ingressen till föreskrifterna bör det framgå att föreskrifterna, i aktuella delar, är meddelade efter samråd med Datainspektionen, vilket överensstämmer med lydelsen i 2 och 3 patientdataförordningen. Avveckling av media Vi anser att avveckling ska ske så att patientuppgifter inte kan läsas eller återskapas, 3 kap. 8. När vi har fattat beslut enligt 32 personuppgiftslagen har vi använt följande föreskrift, som kan vara ett alternativ till ert förslag. Utplåning När fasta eller löstagbara lagringsmedier som innehåller personuppgifter inte längre skall användas för sitt ändamål skall lagringsmedierna förstöras. Alternativt skall personuppgifterna raderas med hjälp av särskild programvara på sådant sätt att de inte kan återskapas. Öppna nät I 3 kap. 13 första stycket anser vi att det är lämpligt med ett allmänt råd som vägleder vårdgivarna i frågan vad som kan avses med andra öppna nät, utöver Internet. Viss vägledning ges i er handbok, men vi anser att ett allmänt råd behövs, särskilt om ni ändrar lydelsen till Internet eller andra öppna nät. I ett ärende har vi till exempel uttalat följande (svar på fråga i ärende 1409-2012). Avgörande för frågan om ert intranät är ett öppet nät är hur det är konfigurerat, vilka och hur många som trafikerar nätet och kan ta del av resurser anslutna till nätet samt hur god säkerheten i övrigt är för nätverket. Ett öppet nät kan sägas karaktäriseras av att fler än den personuppgifts- Sida 2 av 7

ansvarige kan ta del av uppgifter som kommuniceras i nätet eller nå resurser som är tillgängliga via det. Påminnelser eller kallelser i öppna nät Vi motsätter oss föreskriften i 3 kap. 13 andra stycket som den är utformad i den här versionen. Skälet är att vi nu saknar den viktiga begränsningen i nu gällande föreskrift om innehållet i påminnelser eller kallelser, dvs. att dessa meddelanden inte får avslöja några detaljer om en patients hälsotillstånd eller andra personliga förhållanden. Begränsningen i fråga om innehållet var avgörande för att Datainspektionen tillstyrkte ändringen 2011 (vårt yttrande 2011-05-31, er dnr 17500/2011). Vår bestämda uppfattning är att undantaget i andra stycket inte kan behållas utan den nuvarande begränsningen i fråga om innehållet i påminnelser eller kallelser. Styrning av behörigheter Vi ifrågasätter varför Socialstyrelsen gällande 4 kap. 1 har tagit bort lydelsen i 2 kap. 6 första stycket SOSFS 2008:14 om att behörighet ska begränsas till vad som är nödvändigt för att ge god och säker vård. Nu finns visserligen i den här version av 4kap. 1 en hänvisning till 4 kap. 2 patientdatalagen, där det i sin tur framgår att behörighet ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Vi är inte övertygade om att förändringen är bra och det beror bland annat på att kravet på behörighetsstyrning även gäller för sammanhållen journalföring enligt 6 kap. 7 patientdatalagern. Ändringen kan således uppfattas som att krav på behörighetsstyrning inte gäller vid sammanhållen journalföring och det är olyckligt. 4 kap. 1 första stycket bör därför ha följande lydelse. Bestämmelser om vårdgivarens ansvar för tilldelning av behörighet till patientuppgifter finns i 4 kap. 2 och 6 kap. 7 patientdatalagen. Men vi anser också att det är viktigt att föreskriften fortsätter att uttrycka att vårdgivaren trots allt måste ta ställning till en begränsning i fråga om vilka patientuppgifter en befattningshavare behöver för att kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Som ett underlag för den Sida 3 av 7

individuella behörighetstilldelningen, måste vårdgivaren självklart genomföra och besluta en behovs- och riskanalys för patientuppgifterna i informationssystemet som sådant och inte enbart nöja sig med vilken legitimation en viss befattningshavare har och att alla med den legitimationen ska ha samma behörighetsprofil, till exempel oavsett patientgrupp man normalt vårdar eller behandlar. Vi har i tillsyn sett exempel där det inte har gjorts behovs- och riskanalyser för informationssystem som innehåller patientuppgifter, men där individuella behörigheter delats ut brett. Exemplen är se särskilt s. 9 ff i beslutet beträffande Landstingsstyrelsen se särskilt s. 7 ff i beslutet beträffande Örebro kommun och Landstinget i Uppsala län gällande Läkaranteckningar LUL) Örebro läns landsting/örebro kommun gällande NPÖ http://www.datainspektionen.se/press/nyheter/2010/orebro-maste-slutalamna-ut-patientuppgifter-till-andra-vardgivare-i-npo/ http://www.datainspektionen.se/documents/beslut/2012-04-04- lakaranteckningar-lul.pdf http://www.datainspektionen.se/documents/beslut/2012-10-19-landstingetuppsala.pdf Det senaste beslutet beträffande Landstinget i Uppsala län ger ett bra uttryck för att det behövs analyser på flera plan, se sidan 2 i det beslutet. Vi menar att tillsynserfarenheterna visar att det är nödvändigt med en tydlig vägledning till vårdgivarna om betydelsen av behovs- och riskanalyser för att de ska kunna ta ställning och besluta i fråga om behov och risker för informationssystemet samt därefter besluta om behörighetstilldelningen i det enskilda fallet. Även den nu gällande föreskriften kan egentligen sägas vara alltför allmänt hållen och behöva utvecklas. Vi tror att det skulle vara möjlig i form av ett allmänt råd till föreskriften. Ovan nämnda beslut kan vara till en hjälp. Sammanfattningsvis anser vi att det snarast föreligger ett behov av att utveckla föreskriften som den ser ut idag och inte att ge sämre vägledning till vårdgivarna om hur de bindande kraven på behörighetstilldelning/-styrning i 4 kap. 2 och 6 kap. 7 patientdatalagen ska upprätthållas. Sida 4 av 7

Styrning av åtkomst till patientuppgifter Socialstyrelsen har ändrat lydelsen i 4 kap. 2 första stycket, jämfört med dagens 2 kap. 7 första stycket, genom att ta bort den tydliga skrivningen om att det är två aktiva val som befattningshavarens ska göra. Ni har tagit bort det första aktiva valet som avsåg information om andra vårdenheter eller vårdprocesser. Datainspektionen anser att den nuvarande lydelsen i 2 kap 7 första stycket SOSFS 2008:14 ska behållas. Skälet är följande. Vi menar att det är logiskt att det är fråga om ett aktivt val när en befattningshavare söker fram information om vilka andra vårdenheter/vårdprocesser som har uppgifter om patienten. Dessa andra enheter/processer kan ha både ospärrade och spärrade patientuppgifter och av 4 kap. 4 tredje stycket patientdatalagen framgår att uppgift om att det finns spärrade uppgifter får vara tillgänglig för befattningshavaren, men alltså inte i utgångsläget vilka dessa andra enheter det rör sig om. I vården används omfattande informationssystem med patientuppgifter. Regeringen har uttryckt att uppgifter bör lagras i olika skikt så att mer känsliga uppgifter kräver aktiva val eller annars inte är lika enkelt åtkomliga för personalen som mindre känsliga uppgifter (propositionen 2007/08:126 Patientdatalag m.m. s. 149 och 240) Datainspektionens tolkning av 8 vårdregisterlagen om direktåtkomst före patientdatalagens ikraftträdande var att användargränssnittet ska ha ett utgångsläge som innebär att en befattningshavare endast kan se om patienten är aktuell i den egna verksamheten (Datainspektionens tillsynsbeslut den 28 april 2008 beträffande Region Skåne i ärende 107-2008). I det ärendet framkom att användargränssnittet inte automatiskt hade ett utgångsläge som var begränsat till användarens egen verksamhet, men det var dock möjligt att ställa in systemet så att endast enhetens vårdtillfällen visas. Som det var nu visades alla vårdtillfällen, vilket således utgjorde en brist. Vi ser egentligen inget hinder för att utifrån den bedömningen även tolka 4 kap. 2 patientdatalagen så att det ska vara ett krav med ett aktivt val för att kunna läsa vilka andra vårdenheter som finns, vilket är tydligt gällande spärrade vårdenheter där det i utgångsläget bara får utläsas att det finns spärrade uppgifter, se 4 kap. 4 tredje stycket patientdatalagen. Det skulle alltså i den situationen röra sig om tekniska funktioner för behörighetsstyrning. Sida 5 av 7

I direktivet till översynen av SOSFS 2008:14 har Socialstyrelsen pekat särskilt på att man måste avvakta en översyn av frågan om ett rättsligt stöd för informationsutbyte mellan vården och socialtjänsten. Vi menar att det i avvaktan på vad förslag från utredningen Rätt information i vård och omsorg kan leda till i form av författningsreglering, inte ska göras ändringar i föreskriften. Rent hypotetiskt kan det i framtiden finnas behov av mer detaljerade föreskrifter om aktiva val och tekniska trösklar beroende på om informationssystemen blir mer omfattande och eventuellt förknippade med uppgifter som härrör från socialtjänsten. Det är således bättre att avvakta. En fördel med aktiva val, dvs. att passera tekniska trösklar, är att det underlättar för vårdgivaren att göra återkommande och systematiska logguppföljningar genom att det blir en typ av omständighet som kan utgöra underlag för uttag och kontroll av loggar. Sammanfattningsvis anser vi att det finns grund för två aktiva val, som föreskriften är utformad idag. Kontroll av åtkomst till patientuppgifter I 4 kap. 6 5 saknar vi i jämförelse med dagens föreskrift att det ska vara fråga om systematiska och återkommande stickprovskontroller. Systematiken är avgörande för hur vårdgivarna ska kunna hantera de stora informationssystem och informationsmängder det är fråga om. Just systematiken finns det bra vägledning om i form av Datainspektionens checklista till vårdgivarna http://www.datainspektionen.se/documents/faktablad-checklistalogguppfoljning.pdf Vi anser därför att ordalydelsen inte ska ändras i punkt 5, eftersom systematiken är viktig och vägledning finns om det. När det gäller bevarande av loggar/dokumentation i 10 år ifrågasatte vi den bevarandetiden redan 2008 (vårt yttrande 2008-05-06, ert dnr 50-4636/08). Vi konstaterade då att er konsekvensutredning inte gav vägledning kring varför ni bestämde den tiden. Vi anser fortfarande att en bevarandetid på 10 år är en lång tid. Logguppföljning är i sig en behandling av patientuppgifter och ger upphov därför upphov till nya integritetsfrågor, såsom till exempel behörighetsstyrning beträffande åtkomst till patientuppgifterna. På det här underlagen kan vi inte tillstyrka en bevarandetid på 10 år. Sida 6 av 7

Övrigt När det gäller extern remiss tycker vi att det är värdefullt att förslaget remitteras till Myndigheten för samhällsskydd och beredskap, som tillsammans med Socialstyrelsen och Datainspektionen vill utarbeta en nationell plan och eventuellt en branschöverenskommelse för bättre skydd av patienters integritet. Läkemedelsverket är också en viktig remissinstans, eftersom Läkemedelsverket beträffande medicintekniska system har ett regeringsuppdrag som inbegriper nationella system som används i vården. Detta yttrande har beslutats av chefsjuristen Hans-Olof Lindblom i närvaro av tillsynschefen Erik Janzon och avdelningsdirektören Suzanne Isberg, föredragande. Hans-Olof Lindblom Suzanne Isberg Sida 7 av 7

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss