Remiss avseende förslag till Socialstyrelsens föreskrifter och allmänna råd om ordination och hantering av läkemedel i hälso- och sjukvården m.m.

Relevanta dokument
Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Betänkandet låt fler forma framtiden! (SOU 2016:5)

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande genom direktåtkomst

Datainspektionen lämnar följande synpunkter.

Remissen Läkemedelsverkets förslag till föreskrifter för Nationella medicinska informationssystem

Remittering av betänkandet SOU 2017:66 Dataskydd inom Socialdepartementets verksamhetsområde en anpassning till EU:s dataskyddsförordning

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Svensk författningssamling

Remiss av departementspromemorian En anpassning till dataskyddsförordningen inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54)

RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande

Yttrande över Socialstyrelsens förslag till föreskrifter om behandling av personuppgifter och journalföring i hälsooch sjukvården

Tillsyn - äldreomsorg

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Nationell läkemedelslista

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36)

Remiss: Transportstyrelsens framställan om ändringar i lagen (2001:558) och förordningen (2001:650) om vägtrafikregister.

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn - äldreomsorg

4 Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig behandlingen.

Yttrande över remiss om nationell läkemedelslista (Ds 2016:44)

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

2 kap. 3 och 5 kap. 4 patientdatalagen (2008:355) Högsta förvaltningsdomstolen meddelade den 4 december 2017 följande dom (mål nr ).

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

SOU 2015:84 Organdonation En livsviktig verksamhet

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Ds 2016:44 Nationell läkemedelslista

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Remiss av betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50)

Promemorian Uppgifter på individnivå i en arbetsgivardeklaration

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillgång till patientuppgifter - krav på spärrar och aktiva val. Katja Isberg Amnäs Magnus Bergström Datainspektionen

Meddelandeblad. Mottagare: Nämnder och verksamheter i kommuner med ansvar för vård och omsorg, medicinskt ansvariga sjuksköterskor,

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Remiss av SOU 2015:66 En förvaltning som håller ihop

Remissvar: Rätt information på rätt plats i rätt tid, SOU 2014:23

Nationell läkemedelslista

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt dataskyddsförordningen (EU) 2016/679 behörighetstilldelning, spärrar, m.m. enligt patientdatalagen

Remiss av slutbetänkandet Digitaliseringens transformerande kraft - vägval för framtiden (SOU 2015:91)

Apoteksdatalagen (SOU 2008:28)

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Svensk författningssamling

Tillsyn enligt personuppgiftslagen (1998:204) behörighetstilldelning, spärrar m.m enligt patientdatalagen.

Yttrande i Förvaltningsrätten i Stockholms mål

Ökad insyn i fristående skolor (SOU 2015:82) Sammanfattning. Utbildningsdepartementet Stockholm

Synpunkter med anledning av regeringens uppdrag till Myndigheten för samhällskydd och beredskap om nödlarmsystemet ecall i Sverige

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande av patientuppgifter genom direktåtkomst till apoteksstuderande

Rätt information på rätt plats i rätt tid, SOU 2014:23

Promemorian Författningsändringar på finansmarknadsområdet med anledning av EU:s dataskyddsförordning

Utdrag ur protokoll vid sammanträde Närvarande: F.d. justitieråden Severin Blomstrand och Annika Brickman samt justitierådet Thomas Bull

Patientdatalagen (PdL) och Informationssäkerhet

Dataskydd inom Socialdepartementets verksamhetsområde en anpassning till EU:s dataskyddsförordning. Lars Hedengran (Socialdepartementet)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)

Rätt information på rätt plats i rätt tid (SOU 2014:23) remissvar till kommunstyrelsen

Rätt information på rätt plats och i rätt tid (SOU 2014:23) remissvar

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Sammanhållen journalföring

Yttrande över departementspromemorian Nationell läkemedelslista (Ds 2016:44)

En anpassning till dataskyddsförordningen av dataskyddsbestämmelser inom Näringsdepartementets verksamhetsområde

SOU 2015:32 Nästa fas i e-hälsoarbetet

Utdrag ur protokoll vid sammanträde Närvarande: F.d. justitieråden Gustaf Sandström och Lena Moore samt justitierådet Anders Eka

Tillsyn enligt dataskyddsförordningen (EU) 2016/679 behörighetstilldelning, spärrar, m.m. enligt patientdatalagen

Kommittédirektiv. Dataskyddsförordningen behandling av personuppgifter och anpassningar av författningar inom Socialdepartementets verksamhetsområde

Remiss SOU 2014:23: Rätt information på rätt plats och i rätt tid

Kvalitetsregister. Tårtbitar och beslutsstöd. Per Bergstrand personuppgiftsombud Region Skåne

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Yttrande Diarienr Ert diarienr N2014/1095/TE. Näringsdepartementet Transportenheten STOCKHOLM

Socialdepartementets remiss: SOU 2015:32, nästa fas i e-hälsoarbetet

Juridik och informationssäkerhet

Hur står det till med den personliga integriteten? (SOU 2016:41)

Rätt information på rätt plats och i rätt tid (SOU 2014:23) remissvar

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Utdrag ur protokoll vid sammanträde Närvarande: F.d. justitierådet Bo Svensson, regeringsrådet Nils Dexe och justitierådet Lars Dahllöf.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Hälso- och sjukvårdsdokumentation

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Förbättrad informationshantering avseende vissa patienter inom hälso- och sjukvården

Brottsdatalag kompletterande lagstiftning (SOU 2017:74)

Samråd om registrering av beslutsoförmögna i det nationella kvalitetsregistret Senior Alert

Stockholm den 8 augusti 2014

Tillsyn enligt personuppgiftslagen (1998:204) hjälpmedelshanteringssystemet Sesam

Informationshantering och journalföring. nya krav på informationssäkerhet i vården

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

PM 2015:127 RVI (Dnr /2015)

Transkript:

Yttrande Diarienr 1(7) 2016-09-15 1082-2016 Ert diarienr 4.1.1-14967/2016 Socialstyrelsen via e post Remiss avseende förslag till Socialstyrelsens föreskrifter och allmänna råd om ordination och hantering av läkemedel i hälso- och sjukvården m.m. Datainspektionen har granskat förslaget huvudsakligen utifrån myndighetens uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Sammanfattning Datainspektionen anser att Socialstyrelsens konsekvensutredning är bristfällig och att den riskerar att leda till felaktiga slutsatser. När det gäller innehållet i föreslagna föreskrifter och allmänna råd om ordination och hantering av läkemedel i hälso och sjukvården avstyrker Datainspektionen förslaget i vissa delar och lämnar också vissa synpunkter på förslaget, se nedan. Inom överskådlig tid behöver Socialstyrelsen göra en översyn av föreskrifter och allmänna råd som är förknippade med behandling av personuppgifter. Skälet är att EUs dataskyddsförordning ska börja tillämpas den 25 maj 2018. Synpunkter på konsekvensutredningen Socialstyrelsen utgår i konsekvensutredningen från ett författningsförslag som inte är genomfört. Datainspektionen anser att Socialstyrelsen istället borde ha utgått från gällande rätt i konsekvensutredningen och översiktligt ha redogjort för vilka möjligheter exempelvis vårdgivare har att genom elektronisk åtkomst och direktåtkomst ta del av uppgifter om patienters läkemedel och köp av läkemedel enligt patientdatalagen (2008:355), lagen om receptregister (1996:1156) och lagen om läkemedelsförteckning (2005:258). Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Webbplats: www.datainspektionen.se Telefon: 08-657 61 00

Datainspektionen 2016-09-15 Diarienr 1082-2016 2 (7) När detta inte har skett finns det enligt Datainspektionen en risk för att konsekvensutredningen bidrar till felaktiga slutsatser, som i sin tur kan leda till att dataskyddet på området inte blir fullgott. Socialstyrelsen har även angett vad som ska uppnås med förslaget. Vikten av ett fullgott dataskydd har dock inte berörts av Socialstyrelsen. Det borde enligt Datainspektionen vara naturligt att en konsekvensutredning som förknippas med behandling av omfattande och mycket integritetskänsliga personuppgifter har som en, av flera, utgångspunkter att ett fullgott dataskydd ska upprätthållas. I förslaget till föreskrifter (11 kap. 1 och 17 samt det allmänna rådet till 11 kap. 5 ) förekommer formuleringen... om hinder inte möter enligt patientdatalagen... alternativt lagen om läkemedelsförteckning. Datainspektionen avstyrker de aktuella lydelserna och föreslår istället lydelsen om det sker i överensstämmelse med. Dataskyddsreglerna anger vad som ska beaktas vid behandling av personuppgifter. Varje vårdgivare behöver därför medvetandegöra sina medarbetare om de möjligheter som finns att behandla personuppgifter i den dagliga löpande verksamheten. Inom hälsooch sjukvården är detta särskilt viktigt eftersom medarbetarna behöver komma åt patientinformationen för att upprätthålla patientsäkerheten. Exempelvis patientdatalagen ger vårdgivarna möjligheter att behandla personuppgifter, både inom en vårdgivare (4 kap. patientdatalagen) och mellan olika vårdgivare genom sammanhållen journalföring (6 kap. patientdatalagen). Ett exempel på något som kan feltolkas sett till möjligheterna att behandla personuppgifter enligt patientdatalagen är när konsekvensutredningen refererar till begreppet sammanhållen journaldata (sidan 11). Datainspektionen konstaterar att sammanhållen journaldata inte är ett begrepp i vare sig patientdatalagen eller annan registerförfattning på området. Det kan därför vara svårt att förstå vad Socialstyrelsen avser. Däremot är sammanhållen journalföring, som regleras i 6 kap. patientdatalagen, en möjlighet för olika vårdgivare att samarbeta och ge varandra direktåtkomst till var och ens vårddokumentation, till exempel journalförda personuppgifter om läkemedel, under de förutsättningar som framgår av 6 kap. patientdatalagen. Elektronisk åtkomst inom en vårdgivare regleras av 4 kap. patientdatalagen.

Datainspektionen 2016-09-15 Diarienr 1082-2016 3 (7) Socialstyrelsen uppger i konsekvensutredningen att personal inom den sociala omsorgen och hemtjänsten berörs av föreskriftsförslaget (s. 8). Datainspektionen ställer sig frågande till denna uppgift eftersom patientdatalagen inte omfattar verksamhet enligt socialtjänstlagen, jämför med 1 kap. 1 första stycket första meningen och definitionen av hälso och sjukvård i 1 kap 3 patientdatalagen. Inte heller lagen om receptregister och lagen om läkemedelsförteckning är aktuella för verksamheter som bedrivs enligt socialtjänstlagen. När det gäller avsnittet i konsekventutredningen som rör surfplattor och annan mobil utrustning (s. 30 31) vill Datainspektionen framhålla följande. Det är alltid den personuppgiftsansvariga vårdgivaren som ska ta ställning till vilken utrustning de anställda ska använda eftersom det är vårdgivaren som ska ge medarbetarna instruktioner om behandlingen av pers0nuppgifterna enligt 30 första stycket personuppgiftslagen. Instruktionerna behöver vara så tydliga att otillåten personuppgiftsbehandling inte sker. Det är också den personuppgiftsansvariga vårdgivaren som ansvarar för att det finns verkningsfulla rutiner för exempelvis behörighetsstyrning och åtkomstkontroll enligt 4 kap. 2 och 3 patientdatalagen samt att överföring i öppet nät sker i enlighet med 2 kap. 5 SOSFS 2008:14, oavsett vilken itutrustning som används. Detta innebär att det sett till dataskyddsbestämmelserna i praktiken inte finns utrymme för enskilda initiativ bland medarbetare att börja använda surfplattor och annan mobil utrustning för hantering av personuppgifter. Synpunkter på föreskriftsförslaget om ordination och hantering av läkemedel i hälso- och sjukvården 4 kap. Ledningssystem Enligt 4 kap. 3 ska vårdgivaren säkerställa att läkemedelshanteringen regelbundet genomgår en extern farmaceutisk kvalitetskontroll. Det saknas vägledning kring hur den externa farmaceutiska kvalitetskontrollen ska gå till, till exempel om den som utför kontrollen behöver ta del av journalinformation och på vilket sätt detta ska ske i

Datainspektionen 2016-09-15 Diarienr 1082-2016 4 (7) överensstämmelse med 4,5 och 6 kap. patientdatalagen. Frågor om sekretess och tystnadsplikt gör sig också gällande. 6 kap. Ordination av läkemedel Av 6 kap. 10 framgår att en läkemedelsordination ska dokumenteras på ett strukturerat och enhetligt sätt i patientjournalen och det anges vilka personuppgifter som ska dokumenteras i 6 kap. 11. Av det allmänna rådet till 11 framgår att ordinationsorsak bör anges genom användning av Socialstyrelsens nationella källa för ordinationsorsak. Datainspektionen har tidigare i ett remissyttrande uppmärksammat att det är oklart vilka personuppgifter som kan ingå i en ordination (remissyttrande avseende SOU 2015:32 Nästa fas i e hälsoarbetet, Datainspektionens ärende 1236 2015, hela yttrandet finns tillgängligt på Datainspektionens webbplats http://www.datainspektionen.se/documents/remissvar/2015 10 26 nasta fasehalsoarbete.pdf Datainspektionen har lämnat följande synpunkter. [ ] Enligt förslaget ska E hälsomyndigheten föra ett register över ordinationer av läkemedel. Av betänkandet framgår inte vilken information som kan ingå i en ordination. Receptregistret är enligt portalparagrafen i lagen om receptregister ett register över förskrivningar. Begreppet ordination förekommer varken i lagen om receptregister eller i lagen om läkemedelsförteckning. Datainspektionen saknar en motivering till denna förändring och efterfrågar en analys av vad förändringen kan innebära för den personliga integriteten. I den mån en ordination innefattar information som omfattas av journalföringsplikten och som det saknas behov av hos öppenvårdsapoteken, anser inspektionen att det inte är lämpligt att sådan information ska ingå i en gemensam läkemedelslista. [ ] [ ] Vad en ordination ska eller kan innehålla är emellertid inte något som anges. Den begränsning av vilka uppgifter som kan komma att tillföras listan som den sekretessbrytande bestämmelsen innebär kan inte anses väga upp ett alltför vitt angivet ändamål för behandlingen. [ ]

Datainspektionen 2016-09-15 Diarienr 1082-2016 5 (7) Det ovan sagda innebär att det är angeläget att det finns en samsyn kring vilka personuppgifter som ingår i en ordination, vilket Datainspektionen också uppfattar som en viktig patientsäkerhetsfråga. Det är också viktigt att vara medveten om att mottagare av personuppgifter som rör ordinationer ska följa de grundläggande kraven i 9 första stycket personuppgiftslagen. Den personuppgiftsansvariga ska exempelvis se till att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålet med behandlingen samt att inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen. Det är bland annat det som avses i exemplet ovan. Det är inte förenligt med de grundläggande reglerna om dataskydd att ge öppenvårdsapoteken tillgång till mer information än de har behov av. 8 kap. Iordningställande och administrering...osv I 8 kap. 1 föreskriftsförslaget används uttrycket samlad information och att uppgifter ska finnas samlade. Det är mot bakgrund av främst 4 och 6 kap. patientdatalagen oklart vad Socialstyrelsen menar med samlad information och samlade uppgifter. Datainspektionen avstyrker förslaget och föreslår att ordet samlad tas bort i underrubriken och att sista stycket tas bort. 9 kap. Delegering av...osv. Enligt 9 kap. 2 föreskriftsförslaget ska viss hälso och sjukvårdspersonal kunna delegera vissa arbetsuppgifter gällande läkemedel. Här vill Datainspektionen peka på den åtskillnad mellan behandling av personuppgifter inom hälso och sjukvården respektive socialtjänsten som återspeglas i patientdatalagen samt lagen (2001:454) och förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten. Mot denna bakgrund bör Socialstyrelsen tydliggöra för vårdgivarna vad som avses med delegering.

Datainspektionen 2016-09-15 Diarienr 1082-2016 6 (7) 11 kap. Läkemedelsgenomgångar Se även synpunkterna om 11 kap. som framgår ovan under rubriken Synpunkter på konsekvensutredningen på sidan 2. I 11 kap. 17 föreslås en föreskrift om överföring av information vid utskrivning. Det framgår inte vad som i föreskriften avses med överföring och att överföra. Mot denna bakgrund avstyrker Datainspektionen den föreslagna lydelsen. Möjligheterna att enligt patientdatalagen ta del av vårddokumentation om en patient kan kort beskrivas enligt följande. Om en personuppgift får lämnas ut, får det enligt 5 kap. 6 patientdatalagen ske på medium för automatiserad behandling. Formuleringen att personuppgiften får lämnas ut syftar på att uppgiften inte kan lämnas ut om sekretess gäller för den (prop. 2007/08:126 Patientdatalag m.m. s. 247). Om olika vårdgivare samarbetar enligt bestämmelserna om sammanhållen journalföring i 6 kap. patientdatalagen kan en vårdgivare genom direktåtkomst ta del av en annan vårdgivares vårddokumentation under förutsättning att bestämmelserna följts gällande förutsättningarna för såväl tillgängliggörandet av som direktåtkomsten till vårddokumentationen. Syftet med sammanhållen journalföring är att underlätta informationshanteringen i hälso 0ch sjukvården mellan olika vårdgivare. Inom en vårdgivare gäller förutsättningarna enligt 4 kap. patientdatalagen för behandling av personuppgifter enligt patientdatalagen. 13 kap. 1 undantagsbestämmelse Socialstyrelsen har inte mandat att bevilja undantag från dataskyddsbestämmelserna i exempelvis patientdatalagen och personuppgiftslagen, som införlivar det så kallade dataskyddsdirektivet (95/46/EG). Datainspektionen motsätter sig därför att Socialstyrelsen ska ha en generell möjlighet att medge undantag från bestämmelserna i föreskrifterna eftersom de är förknippade med behandling av personuppgifter i stor utsträckning.

Datainspektionen 2016-09-15 Diarienr 1082-2016 7 (7) Dataskyddsförordningen Datainspektionen vill erinra om att den nya dataskyddsförordningen ska börja tillämpas den 24 maj 2018. Dataskyddsförordning blir direkt tillämplig i Sverige och personuppgiftslagen kommer att upphävas. Nya lagförslag måste vara förenliga med förordningen. Det finns ett begränsat utrymme att lagstifta på nationell nivå. I vissa fall finns det krav på nationell reglering för att en viss behandling ska vara tillåten. När det gäller behandling av personuppgifter inom Socialdepartementets verksamhetsområde kommer det att ske en översyn i enlighet med ett kommittédirektiv som regeringen har beslutat http://www.regeringen.se/contentassets/ef9f33eb227540b6bc8c54c004d5bc77 /dataskyddsforordningen behandling av personuppgifter och anpassningarav forfattningar inom socialdepartementets verksamhetsomrade.pdf Ovanstående innebär också att Socialstyrelsen inom överskådlig tid behöver se över föreskrifter som är förknippade med behandling av personuppgifter. Detta yttrande har beslutats av enhetschefen Katarina Tullstedt efter föredragning av avdelningsdirektören Suzanne Isberg. Katarina Tullstedt Suzanne Isberg

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss