Tillsyn enligt personuppgiftslagen (1998:204) - 4 kap. och 8 kap. patientdatalagen

Relevanta dokument
Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Informationshantering och journalföring. informationssäkerhet för god vård

Informationssäkerhet

Tillsyn enligt personuppgiftslagen (1998:204) 4 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Sverigedemokraternas medlemsregister

Informationshantering och journalföring. ring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen

Patientdatalag för säkrare vård Hantering av personuppgifter

Flik 1.3. BJURHOLMS KOMMUN Äldre- och handikappomsorg. Att lämna samtycke

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Socialstyrelsens författningssamling

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Moderaternas medlemsregister

När du som vårdpersonal vill ta del av information som finns hos en annan vårdgivare krävs det att:

Riktlinje för hälso- och sjukvårdsdokumentation

Rutin för rapportering och handläggning av anmälningar enligt Lex Sarah

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Socialstyrelsens föreskrifter om bedömning av egenvård SOSFS 2009:6. Uppdaterad januari 2013

Beskrivning av uppföljningssystemet SUS Bilaga 1 till Överenskommelse avseende uppföljningssystemet SUS

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Föreläggande om åtgärder

Hälso- och sjukvårdsansvaret i boendeform eller bostad enlig Sol, LSS m.m.

BESLUT. Datum Föreläggande vid vite enligt 25 lagen (2002:160) om läkemedelsförmåner m.m. (förmånslagen)

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

Regeringskansliet Näringsdepartementet Enheten för transportpolitik Stockholm

Upprättad Reviderad AVVIKELSE och RISKHANTERING riktlinjer

Socialstyrelsens författningssamling. Ändring i föreskrifterna (SOSFS 2008:1) om användning av medicintekniska produkter i hälso- och sjukvården

RP 305/2010 rd. I propositionen föreslås att lagen om besvärsnämnden. intressen skyddas genom sekretessen. Besvärsinstansernas

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Samråd enligt 2 och 3 patientdataförordningen

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Förslag till beslut Landstingsstyrelsen föreslås besluta MISSIV 1(1) LJ2014/1368. Förvaltningsnamn Landstingsstyrelsen

Råd. Utlämnande av uppgifter från HSA-katalog

Svensk författningssamling

Tillsyn enligt personuppgiftslagen (1998:204) behörighetsstyrning m.m. enligt patientdatalagen

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

HÖGSTA DOMSTOLENS BESLUT

Vårdgivare av boende SoL/LSS inom Nämnden för vuxna med funktionshinders ansvarsområde

Gemensamma författningssamlingen avseende hälso- och sjukvård, socialtjänst, läkemedel, folkhälsa m.m.

Tystnadsplikt och sekretess i vården. Region Skåne Kristianstad Tel. vx

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Dokumentation inom Socialtjänsten - vad gäller efter årsskiftet?

I promemorian föreslås ändringar i patientsäkerhetslagen (2010:659) när det gäller användandet av yrkestitlar för tillfälliga yrkesutövare.

Tryckfrihetsförordning

Landstingsstyrelsens förslag till beslut

Samråd om webbaserat verksamhetsstöd till Stockholms stads grundskolor

Läkemedelsförmånsnämnden avslår ansökan om prishöjning inom läkemedelsförmånerna för produkten E-vimin.

ANSÖKAN OM GOD MAN/ FÖRVALTARE. enligt föräldrabalken 11 kap 4 respektive 11 kap 7. (ansökan från anhörig)

BESLUT. Patientsäkerheten i upptagningsområdet för Haparanda hälsocentral

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslutet/domen har vunnit laga kraft. Fastighetsmäklarinspektionens avgörande

Ansökan om medgivande att fullgöra skolplikten på annat sätt

Överenskommelse avseende uppföljningssystemet SUS

ARKIVREGLEMENTE FÖR NYNÄSHAMNS KOMMUN

ÅTKOMST TILL VERKSAMHETSSYSTEM RIKTLINJE GÄLLANDE BEHÖRIGHET

Yttrande över departementspromemorian Bortom fagert tal Om bristande tillgänglighet som diskriminering (Ds 2010:20)

Utdrag ur protokoll vid sammanträde

Socialstyrelsens författningssamling. Läkarintyg enligt 7 lagen (1991:2041) om särskild personutredning i brottmål, m.m.

DOM Meddelad i Jönköping

Rutin överklagan av beslut

Särskild avgift enligt lagen (2000:1087) om anmälningsskyldighet för vissa innehav av finansiella instrument

Region Skåne Fråga om utformning av fördelningsnyckel i ramavtal för radiologiprodukter

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Hjo kommun. Rutin för hantering och utredning av händelser inom hälso- och sjukvården som kan leda till en anmälan enligt Lex Maria.

SOSFS 2008:14 (M) Föreskrifter. Informationshantering och journalföring i hälso- och sjukvården. Socialstyrelsens författningssamling

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

REGERINGSRÄTTENS DOM

Vet du vilka rättigheter du har?

Uppdrag att utreda förutsättningarna att följa väntetider på sjukhusbundna akutmottagningar

Tillsyn enligt personuppgiftslagen (1998:204)

HFD 2016 Ref 52. Högsta förvaltningsdomstolen meddelade den 20 juni 2016 följande beslut (mål nr ).

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Mål förvaltningsrätt

Utdrag ur Offentlighets- och sekretesslagen

Användande av skyddsåtgärder

Vårdgivare inkommer inte med yttranden till patientnämndens

Rutin för hantering av medicinska avvikelser

Särskild avgift enligt lagen (2000:1087) om anmälningsskyldighet för vissa innehav av finansiella instrument

Tillsyn enligt personuppgiftslagen (1998:204) hjälpmedelshanteringssystemet Sesam

Landstingsstyrelsens förslag till beslut

Överklagande. Prövningstillstånd. Kammarrätten i Göteborg Box Göteborg. Klagande Datainspektionen, Box 8114, Stockholm. Motpart N.

Gotlands kommun Konsekvenser för primärvården vid en organisatorisk flytt av hemsjukvården september 2010

MAS Riktlinje för logghantering gällande hälso- och sjukvårdsjournaler

HÖGSTA FÖRVALTNINGSDOMSTOLENS BESLUT

Beslut för Föreningen Fogdaröd Omsorg, Vård & Utbildning Utan Personligt ansvar

Anmälan om sjukhusens läkemedelsförsörjning

VÅLD HOT OCH. inom omsorg och skola

Transkript:

Beslut Diarienr 2012-04-03 124-2012 Landstingsstyrelsen Landstinget i Uppsala län Box 602 751 25 Uppsala Tillsyn enligt personuppgiftslagen (1998:204) - 4 kap. och 8 kap. patientdatalagen Datainspektionens beslut Datainspektionen konstaterar att Landstingsstyrelsen, Landstinget i Uppsala län (härefter Landstinget) på grund av hur journalsystemet Cosmic i nuläget är utformat vad gäller funktionen Läkaranteckningar LUL, behandlar personuppgifter i strid med patientdatalagen på det sätt som följer nedan. Landstinget har brustit i behörighetsstyrningen inom ramen för den inre sekretessen, vilket står i strid med 4 kap. 2 patientdatalagen (2008:355) samt 2 kap. 6 Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården. Det framgår inte av dokumentationen av åtkomsten (loggarna) vilka specifika åtgärder som har vidtagits med patientuppgifterna. Vidare kommer antalet loggposter per patient med största sannolikhet att vara felaktigt. Det är således inte möjligt för Landstinget att genomföra verkningsfulla åtkomstkontroller, vilket står i strid med 4 kap. 3 patientdatalagen och 2 kap. 11 SOSFS 2008:14. Landstinget kan heller inte på begäran av en patient lämna korrekt information om den direktåtkomst och elektroniska åtkomst till uppgifter om patienten som har förekommit. Detta står i strid med 8 kap. 5 patientdatalagen och 2 kap. 12 SOSFS 2008:14. Datainspektionen förelägger Landstinget att ge in en skriftlig åtgärdsplan avseende hur man avser att åtgärda ovanstående brister och när dessa åtgärder kommer att vara genomförda. Landstinget ska i samband med inlämnandet av Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

åtgärdsplanen även ge in en aktuell behovs- och riskanalys, som ligger till grund för behörighetstilldelningen i funktionen Läkaranteckningar LUL. Den skriftliga åtgärdsplanen samt behovs- och riskanalysen ska vara Datainspektionen tillhanda senast den 4 juni 2012. Redogörelse för tillsynsärendet I ett klagomål till Datainspektionen uppger klaganden i huvudsak följande. Det har framkommit att det finns en funktion i datasystemet hos Akademiska sjukhuset, Alla läkaranteckningar LUL, som gör att när läkare trycker på denna knapp så kommer patientens alla läkaranteckningar upp i datumordning och all text syns från alla mottagningar, avdelningar, vårdcentraler osv. Läkaren kan sedan scrolla ner och läsa vad han eller hon vill. I loggen står sedan att läkaren har läst alla patientens anteckningar. Klaganden uppger att denna datafunktion innebär att det blir mycket svårt, kanske omöjligt, att kontrollera om enskilda läkare missbrukar sin möjlighet att läsa patientjournaler. Datafunktionen är även orättvis mot läkare som sköter sig. En patient som beställer en loggrapport kan nämligen tro och anse sig ha bevis för att en läkare snokat runt i journaler där läkaren inte har att göra, och det kan försämra förtroendet för läkaren. Datainspektionen har inlett tillsyn och begärt yttrande från Landstinget. Av yttrandet har bl.a. följande framkommit. Det finns en samlingsvy i journalsystemet Cosmic, benämnd Läkaranteckningar LUL. Den visar läkaranteckningar i journalen från verksamheter inom Landstinget i Uppsala län. Den innehåller dock inte anteckningar från Kvinnofridcentrum, Transkulturella mottagningen, Friskhuset, Ungdomshälsan AS, Venmottagningen, ungdomsmottagningar inom Primärvärden samt Barnskyddsteamet. Funktionen Läkaranteckningar LUL fungerar enligt följande. En patient hämtas i Cosmic. Modulen Journal väljs. Nu syns anteckningar endast från den egna enheten/division som användaren tillhör. Läkaren kan nu göra valet att öppna vyn Läkaranteckningar LUL. Då visas de 20 senaste läkaranteckningarna enligt urval beskrivet ovan. En loggpost skapas nu för var och en av dessa anteckningar. Behöver läkaren ifråga se ytterligare 20 anteckningar kan han eller hon välja att göra det genom ett val längst ner i listan, etc. När dessa ytterligare 20 kommer upp på skärmen skapas separata loggposter för var och en av dessa 20. Journalenheten CESÅ och Chefläkargruppen har efter beslut tillgång till större samlingsvy eftersom det anses behövas i deras yrkesroll. CESÅ lämnar bland annat ut journalkopior och behöver därför en komplett vy. Sida 2 av 9

Det framgår vidare av yttrandet att det förutom läkare finns personal inom Akutsjukvård, Anestesi, Intensivvård samt inom vissa operationsavdelningar som också har fått behörighet till funktionen Läkaranteckningar LUL efter beslut av sekretessgruppen eller av chefsläkare. Det finns även samlingsvyer för fem paramedicinska grupper; arbetsterapeuter, dietister, kuratorer, logopeder och sjukgymnaster. De fungerar på motsvarande sätt. Dock visas endast anteckningar gjorda av nämnd personalkategori. Exempelvis ser sjukgymnasterna endast sjukgymnastanteckningar. Inga andra anteckningar visas i vyn. Utöver detta finns samlingsvyer för de enheter som personalen arbetar vid. Detta för att man enkelt ska kunna få fram anteckningar från sin egen enhet. I loggen dokumenteras de läkaranteckningar som varit öppna, dvs. de 20 som öppnas i samlingsvyn. Av loggen framgår sedan att det är en samlingsvy som har använts genom att samtliga 20 journalanteckningar har exakt samma tidpunkt i loggen. Landstinget uppger att chefläkarna på Akademiska sjukhuset anser att vyn Läkaranteckningar LUL fyller en viktig funktion sett ur ett patientsäkerhetsperspektiv. Samlingsvyn har även en stor praktisk betydelse för rationell sjukvård. Datainspektionen har därefter inhämtat kompletterande handlingar, av vilka följande framkommer. Förutom att samtliga läkare inom Landstinget har behörighet till funktionen Läkaranteckningar LUL, har för närvarande ytterligare 1 467 personer denna behörighet, bl.a. administratörer, sekreterare, undersköterskor, sjuksköterskor och läkarstuderande (773 st.). När det gäller läkarstuderandena deltar de under sin kliniska praktik som biträden till den handledande läkaren, och de har behörighet till funktionen Läkaranteckningar LUL utifrån rollen som läkare. Funktionen finns endast tillgänglig inom den egna vårdgivaren. Andra vårdgivares personal kan inte använda funktionen Läkaranteckningar LUL. Skäl för beslutet Behörighetsstyrning Det har i ärendet framkommit att samtliga läkare inom Landstinget har behörighet till funktionen Läkaranteckningar LUL samt att ytterligare 1 467 personer för närvarande har denna behörighet, bl.a. administratörer, sekreterare, undersköterskor, sjuksköterskor och läkarstuderande. Sida 3 av 9

Tillämpliga rättsregler m.m. Av 4 kap. 1 patientdatalagen framgår att den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården. Av 4 kap. 2 patientdatalagen framgår att en vårdgivare ska bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om patienten som förs helt eller delvis automatiserat. Sådan behörighet ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Bestämmelsen kompletteras av 2 kap. 6 SOSFS 2008:14. Det framgår av andra stycket att vårdgivaren ska ansvara för att varje användare tilldelas en individuell behörighet för åtkomst till patientuppgifter. Vårdgivarens beslut om tilldelning av behörighet ska föregås av en behovs- och riskanalys. Av tredje stycket följer att vårdgivaren även ska ansvara för att det finns rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheterna. Vidare framgår följande av Regeringens proposition 2007/08:126 (härefter prop.), s. 148 f. Behörighet för personalens elektroniska åtkomst till uppgifter om patienter ska begränsas till vad befattningshavaren behöver för att kunna utföra sina arbetsuppgifter inom hälso- och sjukvården. Däri ligger bl.a. att behörigheter ska följas upp och förändras eller inskränkas efter hand som ändringar i den enskilde befattningshavarens arbetsuppgifter ger anledning till det. Syftet med bestämmelsen är att inpränta skyldigheten för den ansvariga vårdgivaren att göra aktiva och individuella behörighetstilldelningar utifrån analyser av vilken närmare information olika personalkategorier och olika verksamheter behöver. Men det behövs inte bara behovsanalyser. Även riskanalyser måste göras där man tar hänsyn till olika slags risker som kan vara förknippade med en alltför vid tillgänglighet avseende vissa slags uppgifter. Skyddade personuppgifter som är sekretessmarkerade, uppgifter om allmänt kända personer, uppgifter från vissa mottagningar eller medicinska specialiteter är exempel på kategorier som kan kräva särskilda riskbedömningar. Vidare bör uppgifter lagras i olika skikt så att mer känsliga uppgifter kräver aktiva val eller annars inte är lika åtkomliga för personalen som mindre känsliga uppgifter (prop. s. 149). Sida 4 av 9

Datainspektionens bedömning Som Datainspektionen har uppfattat behörighetstilldelningen i funktionen Läkaranteckningar LUL har samtliga läkare behörighet till samtliga patienters läkaranteckningar inom Landstinget, med undantag av patienter vars anteckningar är hänförliga till Kvinnofridcentrum, Transkulturella mottagningen, Friskhuset, Ungdomshälsan AS, Venmottagningen, ungdomsmottagningar inom Primärvården samt Barnskyddsteamet. Av detta torde följa att Landstinget har gjort en riskanalys i och med att vissa mottagningar inte finns tillgängliga i den aktuella funktionen. Datainspektionen ifrågasätter dock om denna riskanalys är tillräcklig. Det kan även finnas känslig information på andra mottagningar eller medicinska specialiteter, exempelvis på en psykiatrisk mottagning och en gynmottagning, vilket i så fall kräver att Landstinget gör särskilda riskbedömningar även i dessa fall. När det gäller exemplen ovan måste behörighetstilldelningen vara begränsad till rätt användare alternativt att uppgifterna inte är tillgängliga i funktionen Läkaranteckningar LUL. Vidare måste Landstinget även utreda huruvida de användare som idag har tilldelats behörighet i funktionen Läkaranteckningar LUL, de facto har en korrekt behörighet. En generös behörighetstilldelning innebär ofta en obefogad spridning av personuppgifter. Om exempelvis en läkare uteslutande arbetar med barn behöver denna läkare sannolikt inte behörighet till vuxna patienters läkaranteckningar inom geriatriken etc. Särskilt om studenter, t.ex. läkarstuderande Landstinget har för närvarande tilldelat 773 läkarstuderande behörighet till funktionen Läkaranteckningar LUL. Det framkommer att de under sin kliniska praktik deltar som biträden till den handledande läkaren samt att de har behörighet till funktionen Läkaranteckningar LUL utifrån rollen som läkare. Datainspektionen utgår därför ifrån att läkarstuderandena har tillgång till alla patienters läkaranteckningar inom ramen för funktionen. När det gäller läkarstuderande framgår det av prop. s. 51 att i den utsträckning studenter deltar i den faktiska patientvården såsom praktikanter, ska deras arbete omfattas av patientdatalagens tillämpningsområde. Detta innebär bl.a. att vårdgivare i sådana fall ska kunna låta studenterna få ta del av och även kunna föra anteckningar i elektroniska patientjournaler i nödvändig omfattning. Normalt torde detta förutsätta såväl patientens samtycke som att praktikantens åtgärder sker under en handledares uppsikt och ledning. Datainspektionen har inte fått någon information om hur Landstinget hanterar den ovanstående situationen, dvs. om patientens samtycke inhämtas Sida 5 av 9

innan läkarstuderandena tar del av och kanske även gör anteckningar i Läkaranteckningar LUL, mer än att läkarstuderandena generellt tilldelas behörighet utifrån rollen som läkare. Datainspektionen anser att Landstinget måste utreda om patientens samtycke inhämtas och om läkarstuderandena i nuläget generellt får information i enlighet med regeringens uttalande ovan, samt om detta är känt inom verksamheten. Det är här av vikt att det finns tydliga riktlinjer och att dessa är allmänt kända inom verksamheten. När det gäller patientens samtycke anser Datainspektionen att det inte är tillräckligt att samtycke ges till att studenterna får delta i vården. Samtycket från patienten måste även innefatta att studenterna får ta del av och eventuellt anteckna i Läkaranteckningar LUL. Vidare måste Landstinget även utreda huruvida de studenter som idag har tilldelats behörighet i funktionen Läkaranteckningar LUL, de facto har en korrekt behörighet. Sammanfattande bedömning av behörighetsstyrningen Mot bakgrund av ovanstående konstaterar Datainspektionen att Landstinget har brustit i behörighetsstyrningen inom ramen för den inre sekretessen, vilket står i strid med 4 kap. 2 patientdatalagen och 2 kap. 6 SOSFS 2008:14. Datainspektionen förelägger Landstinget att ge in en skriftlig åtgärdsplan avseende hur man avser att åtgärda ovanstående brister och när dessa åtgärder kommer att vara genomförda. Landstinget ska i samband med inlämnandet av åtgärdsplanen även ge in en aktuell behovs- och riskanalys, som ligger till grund för behörighetstilldelningen i funktionen Läkaranteckningar LUL. Den skriftliga åtgärdsplanen samt behovs- och riskanalysen ska vara Datainspektionen tillhanda senast den 4 juni 2012. Åtkomstkontroll Det har i ärendet framkommit att i loggen till funktionen Läkaranteckningar LUL dokumenteras de anteckningar som varit öppna, dvs. de 20 alternativt 40 osv., som öppnas i samlingsvyn, oavsett om användaren endast har läst en anteckning. Av loggen framgår att det är en samlingsvy som har använts genom att samtliga 20, alternativt 40 osv., läkaranteckningar har exakt samma tidpunkt i loggen. Detta innebär att det av dokumentationen av loggarna inte framgår vilken specifik åtgärd som har vidtagits med patientuppgifterna. Vidare kommer antalet loggposter som uppkommer av att en användare går in och läser exempelvis en specifik läkaranteckning att vara felaktigt, då denna aktivitet automatiskt kommer att resultera i 20 alternativt 40, osv. loggposter. Sida 6 av 9

Tillämpliga rättsregler m.m. Enligt 4 kap. 3 patientdatalagen ska en vårdgivare se till att åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat dokumenteras och kan kontrolleras. Vårdgivaren ska även göra systematiska och återkommande kontroller av om någon obehörigen kommer åt patientuppgifter. Detta kompletteras sedan av bestämmelsen i 2 kap. 11 SOSFS 2008:14, där det bl.a. framgår att vårdgivaren ska ansvara för att det finns rutiner som säkerställer att: 1. det av dokumentationen av åtkomsten (loggarna) framgår vilka åtgärder som har vidtagits med patientuppgifterna, 2. det av loggarna framgår vid vilken vårdenhet och vid vilken tidpunkt åtgärderna har vidtagits, 3. användarens och patientens identitet framgår av loggarna, och 4. systematiska och återkommande stickprovskontroller av loggarna görs. Av prop s. 149 f framgår bl.a. följande avseende åtkomstkontroll. För att främja patientsäkerheten bör vårdgivarna åläggas att systematiskt och fortlöpande företa kontroller av om obehörig åtkomst till uppgifter om patienter förekommer. Regeringen föreslår att detta uttryckligen föreskrivs som ett krav i patientdatalagen. En sådan bestämmelse innebär inte bara att faktiska dataintrång med större säkerhet kommer att kunna beivras. Bestämmelsen bör även få en starkt avhållande verkan på personal som, om risken för upptäckt är liten, kan frestas att olovligen läsa uppgifter. Datainspektionens bedömning Mot bakgrund av ovanstående konstaterar Datainspektionen att det inte framgår av loggarna, inom ramen för funktionen Läkaranteckningar LUL, vilka specifika åtgärder som har vidtagits med patientuppgifterna. Vidare kommer antalet loggposter per patient med största sannolikhet att vara felaktigt. Det är således inte möjligt för Landstinget att genomföra verkningsfulla åtkomstkontroller, vilket står i strid med 4 kap. 3 patientdatalagen och 2 kap. 11 SOSFS 2008:14. Datainspektionen förelägger Landstinget att ge in en skriftlig åtgärdsplan avseende hur man avser att åtgärda ovanstående brist och när dessa åtgärder kommer att vara genomförda. Den skriftliga åtgärdsplanen ska vara Datainspektionen tillhanda senast den 4 juni 2012. Sida 7 av 9

Vårdgivarens information till patienten Det har i ärendet framkommit att i loggen till funktionen Läkaranteckningar LUL dokumenteras de anteckningar som varit öppna, dvs. de 20 alternativt 40 osv., som öppnas i samlingsvyn. Av loggen framgår sedan att det är en samlingsvy som har använts genom att samtliga läkaranteckningar har exakt samma tidpunkt i loggen. Tillämpliga rättsregler m.m. Enligt 8 kap. 5 patientdatalagen ska en vårdgivare på begäran av patienten, lämna information om den direktåtkomst och elektroniska åtkomst till uppgifter om patienten som förekommit. Bestämmelsen kompletteras av 2 kap. 12 SOSFS 2008:14. Där anges att av informationen som vårdgivaren ska lämna till en patient om åtkomsten till dennes patientuppgifter ska det framgå från vilken vårdenhet och vid vilken tidpunkt någon har tagit del av uppgifterna. Informationen ska vara utformad på ett sådant sätt att patienten kan göra en bedömning av om åtkomsten har varit befogad eller inte. Av prop. s. 150 framgår följande. Inom den allmänna hälso- och sjukvården utgör logglistorna allmänna handlingar som patienter kan begära utlämnade med stöd av 2 kap. tryckfrihetsförordningens bestämmelser. Någon sekretess torde normalt inte kunna anföras som skäl mot att lämna ut sådana listor. Någon rätt för patienter att få logglistor från den enskilda hälso- och sjukvården finns inte. Regeringen instämmer i utredningens uppfattning att allmänhetens förtroende för hälso- och sjukvårdens informationshantering förstärks om den enskilde får klar och tydlig information om vilken åtkomst som förekommit till uppgifter om honom eller henne. För den patient som oroar sig för att någon obehörig läst journalen är bearbetade logglistor med förklaringar givetvis ett utmärkt verktyg att själv kunna konstatera om oron varit befogad eller inte. Liksom när det gäller förslaget om att åtkomstkontroller ska göras systematiskt och fortlöpande, torde vetskapen om patientens rätt att själv kontrollera åtkomsten ha en starkt avhållande verkan. Mot bakgrund av detta föreslår regeringen en bestämmelse om att patienter ska ha rätt att på begäran få information om vilken direktåtkomst och elektronisk åtkomst till uppgifter om honom eller henne som förekommit. Bestämmelsen omfattar både den allmänna och enskilda hälsooch sjukvården. Sida 8 av 9

Datainspektionens bedömning Att loggarna inte utvisar vilka åtgärder som har vidtagits med patientuppgifterna i varje enskilt fall, omöjliggör för vårdgivaren att på begäran av patienten lämna korrekt information om den direktåtkomst och elektroniska åtkomst till uppgifter om patienten som förekommit. En konsekvens av detta kan bli att patienten inte kommer att kunna anmäla ett misstänkt dataintrång enligt brottsbalken till polisen, då vårdgivaren sannolikt inte kan utreda om en användare de facto har tagit del av specifika läkaranteckningar inom ramen för funktionen Läkaranteckningar LUL. Mot bakgrund av ovanstående konstaterar Datainspektionen att Landstinget på begäran av en patient, inte kan lämna korrekt information om den direktåtkomst och elektroniska åtkomst till uppgifter om patienten som förekommit. Detta står i strid med 8 kap. 5 patientdatalagen och 2 kap. 12 SOSFS 2008:14. Datainspektionen förelägger Landstinget att ge in en skriftlig åtgärdsplan avseende hur man avser att åtgärda ovanstående brist och när dessa åtgärder kommer att vara genomförda. Den skriftliga åtgärdsplanen ska vara Datainspektionen tillhanda senast den 4 juni 2012. Hur man överklagar Om ni vill överklaga beslutet ska ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet ska ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av tillsynschefen Erik Janzon och juristen Maria Bergdahl, föredragande. Göran Gräslund Maria Bergdahl Kopia till: 1. Socialstyrelsen 2. Informationssäkerhetsansvarig, Landstinget i Uppsala län (per e-post) Sida 9 av 9

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss