Sveus policy för hantering av personuppgifter Bilaga 1. Hantering av personuppgifter i Sveus uppföljningssystem Dokumenthistorik Version Författare Beskrivning Datum godkännande expertgrupp 1 Nymark, Wohlin, Framtagande av första version med juridisk expertgrupp samt Anna Stålhammar RS, Manolis Nymark och Jonas Wohlin Ivbar. Datum godkännande styrgrupp 2015-04-27 2015-04-28 1
1 Bakgrund och inledning Detta dokument är framtaget av Per Bergstrand (landstingsjurist och personuppgiftsombud, Region Skåne), Anna Stålhammar HS-strateg i Region Skåne samt Manolis Nymark, Per Danielsson och Jonas Wohlin vid Ivbar. Dokumentet är reviderat och godkänt av Sveus juridiska expertgrupp bestående av Helge Jonsson, Region Jämtland Härgedalen; Lena Jonsson, Landstinget Dalarna; Mats Holmberg, Landstinget i Uppsala; Robert Larsson, Josef driving, Regina Rodau, Stockholms Läns Landsting; Mats Dahlbom, Västra Götalandsregionen; Sofia Malander, Region Östergötland; Per Bergstrand, Region Skåne; Linus Johansson, Kansliet för Nationella kvalitetsregister. Dokumentet antogs av Sveus styrgrupp 2015-04-28. Sveus är en samverkan mellan sju landsting/regioner som syftar till att utveckla ledningsoch styrmodeller för sjukvården som fokuserar mindre på ekonomi och produktivitet (utförd vård i relation till insatta resurser), och mer på hälsa och effektivitet (uppnådd hälsa i en patientgrupp i relation till insatta resurser). Detta dokument är en del av Sveus policy för hantering av personuppgifter och utgör en beskrivning av hur data hanteras inom Sveus driftsatta uppföljningssystem. Lösningen är baserad dels på en omfattande juridisk författningsanalys som genomfördes i projektets förstudiefas. En mer detaljerad juridisk information återfinns i författnignsanalysen samt i dokumentet Uto kad juridisk beskrivning av hantering av personuppgifter inom Sveus. 2 Syfte med Sveus uppföljningssystem Sveus uppföljningssystem syftar primärt till att skapa nya förutsättningar för sjukvårdshuvudmännen och övriga vårdgivare att bedriva systematiskt förbättringsarbete. 1. Uppfo ljningssystemen fokuserar på såväl patientrelevanta hälsoutfall som de resurser som åtgår genom vårdprocessen för att åstadkomma dessa hälsoutfall (vårdens effektivitet). Detta ger nya möjligheter att identifiera optimala behandlingsprocesser för att förbättra hälsoutfall och/eller minska vårdens kostnader samt att bedriva förbättringsarbete utifrån detta. 2. Analysen beaktar i möjligaste mån hela vårdkedjan. 3. Uppföljningssystemet justerar presenterade resultat utifrån behandlade patienters förutsättningar (s.k. case-mix). Detta möjliggör rättvisande jämförelser mellan vårdgivare och över tid. Analyserna bygger på definitioner och algoritmer som tagits fram av berörda specialistföreningar, kvalitetsregister och patientföreningar inom Sveus olika forskningsprojekt (se www.sveus.se). Uppföljningssystemen kommer att vara tillgängliga 2
online på Sjunet 1 för användare med SITHS-kortsinloggning. Användare är vårdgivare inklusive såväl medicinsk som administrativ personal på styrande nivå vid landsting/regioner. 3 Informationsmängder För att möjliggöra uppföljning av såväl hälsoutfall som resursåtgång behöver flera datakällor kombineras. Dessa är primärt: - Landstingets patientadministrativa system (personuppgifter) - Kvalitetsregister (personuppgifter) - Försäkringskassan (aggregerad data eller personuppgifter 2 ) - SCB (aggregerad data, ej personuppgifter) 4 Vårdgivares skyldigheter och rättigheter att genomföra analys Landsting/regioner (vårdgivare) är sjukvårdshuvudmän och har enligt hälso- och sjukvårdslagen (HSL) en skyldighet att säkerställa att den offentligt finansierade vården främjar en god, säker och kostnadseffektiv vård. Sjukvårdshuvudmän får med stöd av patientdatalagen använda patientuppgifter för ovanstående ändamål. Det innebär att dessa får behandla patientuppgifter för systematisk och fortlöpande utveckling, utvärdering och kvalitetssäkring av vården. De får också använda patientuppgifter för administration, planering och tillsyn av verksamheten. Denna möjlighet omfattar även patientuppgifter som lämnats ut från en vårdgivare till en annan för ett sådant ändamål. Patientdatalagen ger även sjukvårdshuvudmännen möjlighet att använda egna inrapporterade personuppgifter i de nationella och regionala kvalitetsregister för detta ändamål samt även möjlighet för kvalitetsregistret att lämna ut personuppgifter för detta ändamål. 1 Sjunet är ett kvalitetssäkrat kommunikationsnät framtaget och anpassat för vård och omsorg. Sjunet administreras av Inera/SKL. 2 Försäkringskassans ledning undersöker för närvarande tillsammans med Sveus möjligheten att genom en förordningsändring möjliggöra utlämnande av uppgifter om sjukskrivning på individnivå till vårdgivaren. 3
Sjukvårdshuvudmännen får således med stöd av patientdatalagen behandlapatientuppgifter, som organisationen är personuppgiftsansvarig för, för ändamålet att systematiskt och fortlöpande utveckla liksom för att säkra kvaliteten i verksamheten, administration planering, uppföljning, utvärdering och tillsyn av verksamheten. 5 Sekretess Sveus uppföljningssystem utför systematisk och fortlöpande analyser och uppföljning. Inga personuppgifter sambearbetas eller lämnas ut mellan huvudmännen. Varje huvudman är ansvarig för analyserna inom sitt sekretessområde. Varje vårdgivare är personuppgiftsansvarig för de patientuppgifter som behandlas inom ramen för dess verksamheter. Det innebär att varje vårdgivare förfogar över patientuppgifter för systematisk och fortlöpande uppföljning, utvärdering och kvalitetssäkring av vården inom den egna verksamheten. Huvudmännen förfogar dock normalt inte över patientuppgifter hos privata vårdgivare som är offentligt finansierade inom det aktuella landstinget/regionen eftersom dessa är personuppgiftsansvariga för sina uppgifter. 3 Sekretess- och tystnadspliktsgränsen innebär således svårigheter att jämföra vården avseende kvalitet och kostnadseffektivitet. Det har inte ansetts leda till en tillräckligt korrekt analys om de privata vårdgivarnas uppgifter behandlas helt separat från de offentliga vårdgivarnas uppgifter och endast jämförs på en aggregerad nivå inom ett landsting/region. En statlig utredning Utredningen om rätt information i vård och omsorg (SOU2014:23) har belyst denna konflikt och föreslagit lagändringar för att komma till rätta med detta problem. För att sjukvårdshuvudmännen ska kunna följa upp och kvalitetssäkra de offentliga såväl som (offentligt finansierade) privata vårdgivarnas hälso- och sjukvård inhämtar Sveus uppföljningssystem patienters samtycke. Med stöd av detta samtycke kan de privata vårdgivarna utlämna nödvändiga patientuppgifter, inklusive de uppgifter som inrapporterats till kvalitetsregister, till respektive sjukvårdshuvudman. Detta innebär att uppgifterna från både offentlig och privat vårdgivare kan behandlas tillsammans. 3 Vissa huvudmän ser informationen i PAS som utlämnad till sjukvårdshuvudmannen varför sambearbetning av data i PAS från privata och offentliga vårdgivare kan sambearbetas. Detta gäller dock ej kvalitetsregisterdata. 4
6 Analys genom biträde För att möjliggöra uppföljning, jämförbarhet och skapa en kostnadseffektiv driftslösning har Sveus styrgrupp beslutat om en lo sning, test i driftsmiljo, inom ramen fo r projektet. Beslutet innebär att Ivbar 4 ansvarar för driften av Sveus uppföljningssystem under projekttiden 2015. Analyserna ska ske med Ivbar:s analysmjukvara (som är utvecklad under Sveus forskningsprojekt) på servrar som driftas av Tieto i samma fysiska miljö och med samma säkerhetskrav som SLL:s Patientadministrativa system (GVR). Verktyget uppfyller rådande krav på informationssäkerhet. Ivbar utför analyserna för respektive huvudmans räkning i rollen som personuppgiftsbiträde enligt personuppgiftslagen. Tieto är underbiträde till Ivbar och ansvarig för lagring av informationen. Det sker alltså i juridisk bemärkelse inget utlämnande av patientuppgifter mellan sjukvårdshuvudmännen och Ivbar utan var och en är ansvarig för behandlingen av sina uppgifter och Ivbar utför analyserna för respektive sjukvårdshuvudmans räkning. Personuppgiftsbiträdesbehandlingen sker således på samma sätt som att vårdgivaren låter en utomstående part exempelvis sköta drift av journalsystem. Data som inkommer till Sveus analysmjukvara pseudonymifieras innan det behandlas vidare. All ordinarie analys av personuppgifter sker genom maskinell behandling. Manuell behandling av personuppgifter sker endast vid felsökning och då av de systemoperatörer vid Ivbar som sköter applikationsdrift/support. Personal från Tieto personal som sköter operativsystem och backup har tillgång till data men genomför ingen manuell behandling av personuppgifter. Samtlig behandling loggas. Landsting kan välja att begränsa personsuppgiftsbiträdes-uppdraget till psuedonymifierad data och reglera hanteringen av icke-psedudonymifierad data (hantering av inkommande data innan pseudonymifiering) genom individuella uppdragsavtal med berörda fysiska personer vid Ivbar. 7 Hur jämförelser mellan landsting möjliggörs Personuppgifterna tillhörande olika sjukvårdshuvudmän hanteras logiskt separerade i Ivbar:s/Tietos miljöer och sambearbetas aldrig. Däremot möjliggörs jämförelse mellan vårdgivare och mellan huvudmän genom aggregerade värden (ej personuppgifter) såsom t.ex. medelvärden för nyckeltal. Metoder för statisk röjandekontroll appliceras genomgående i hela kedjan av hantering av uppgifter för att riskminimera röjande av enskilda individer i statistiska celler och tabeller. 4 Ivbar AB är det forskningsbolag som tillsammans med övriga parter i Sveus utvecklat uppföljningssystemen. 5
Inom Sveus forskningsprojekt har också s.k. case-mixjusteringsalgoritmer utvecklats för att möjliggöra analys av vårdens resultat och kostnader i relation till förväntade resultat baserat på de behandlade patienters förutsättningar. Till exempel förväntas en äldre multisjuk patient konsumera mer resurser och få ett sämre hälsoutfall än en ung patient och i övrigt frisk patient. Sveus algoritmer beskriver hur dessa samband ser ut. Eftersom algoritmer är framtagna i forskningsprojekt utifrån historiska befolkningsdata utgo r det fo rväntade värdet ett jämfo relsevärde som är mer sant än ett genomsnittsvärde eftersom det både beaktar andra vårdgivares historiska prestation och den behandlade populationens förutsättningar vid den enskilde vårdgivaren. I appliceringen av algoritmerna används dock bara patientuppgifter inom respektive sekretessområde. 6