Datum Diarienr 2011-12-12 749-2011 Capio S:t Görans Sjukhus 112 81 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datainspektionens beslut Datainspektionen konstaterar att Capio S:t Görans Sjukhus rutiner för hantering av patientuppgifter e-post inte uppfyller kraven i 2 kap. 5 Socialstyrelsens föreskrifter Informationshantering och journalföring inom hälso- och sjukvården (SOSFS 2008:14). Datainspektionen förelägger Capio S:t Görans Sjukhus att revidera sina rutiner för hantering av patientuppgifter via e-post så att kraven i 2 kap. 5 SOSFS 2008:14 kan uppfyllas. Ärendet avslutas, men kommer att följas upp. Redogörelse för tillsynsärendet Datainspektionen beslutade den 25 maj 2011 att granska Capio S:t Görans Sjukhus (Sjukhuset) rutiner för hantering av patientuppgifter i e-post. Tillsynen föranleddes inte av klagomål utan ingår som ett led i ett projekt rörande e-post. Sjukhuset har den 15 juni 2011 inkommit med ett yttrande och deras dokumenterade rutin. I yttrandet och ingiven rutin framgår uppges bland annat följande. Sjukhuset använder sig inte av någon extern leverantör utan driftar själv den servermiljö, inklusive spamfiltrering och skydd mot skadlig kod, och den e-posttjänst som används inom sjukhuset. För åtkomst till e-post från bärbara datorer utanför Sjukhuset krävs inloggning via VPN, alternativt åtkomst via webbmail. För åtkomst till e-post från andra mobila enheter såsom avancera- Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
de mobiltelefoner eller läsplattor används Active Sync som konfigureras av Sjukhusets IT-support. Åtkomst till e-posten från externa nätverk sker krypterat både när webbmail och Active Sync används. E-post används för att kommunicera patientuppgifter mellan befattningshavare på Sjukhuset men det är inte tillåtet att distribuera sekretessbelagd information via e-post. För mobila enheter som används för synkronisering av e-post finns krav på upplåsning med lösenord vid påslagning och att de är försedda med inaktiveringslås. De patientuppgifter som kommuniceras med hjälp av e-post innehåller inte uppgifter så att det går att identifiera enskilda patienter. I e-posten kan också finnas en hänvisning till bevakning i patientjournalsystemet där närmare uppgifter om patienten kan kommuniceras. E-post används för kommunikation med patienter men den möjligheten är reducerad av säkerhetsskäl. Sjukhuset kan inte garantera att information som överförs via e-post inte kan läsas av obehörig och det saknas möjlighet att kontrollera avsändares identitet vid e-postkorrespondens. Vid medicinska frågeställningar, där innehållet rör sjukdomar som kan sammankopplas med en person, rekommenderas dock att man i första hand ska välja andra kommunikationsvägar. De som ändå vill kommunicera via e-post rekommenderas att inte skriva uppgifter om sjukdom som kan kopplas till en enskild. I samband med att e-post emottas från patient/anhörig och där innehållet rör sjukdomar som kan sammankopplas med en person, kontrollerar mottagaren om avsändaren angivit andra kontaktvägar än e-post. Om så är fallet ska dessa användas i första hand. Om enbart e-postadress uppgetts för svar (antingen i e-post eller annan korrespondens) skickar mottagaren ett meddelande till den e-postadress patient/anhörig uppgivit. Meddelandet ska innehålla uppgift om att Sjukhuset inte kan garantera sekretess via e-post och därför önskar få andra kontaktvägar för svar. Meddelandet ska också innehålla en fråga om patient/anhörig ändå önskar fortsatt kontakt via e-post. Om patient/anhörig ger tillstånd till fortsatt kontakt via e-post kan detta ske, då med informerat samtycke. Patientjournaler får inte skickas via e-post. Besökspåminnelser skickas inte via e-post. Meddelande till patient via SMS förutsätter, liksom e- post, patientens samtycke. Skäl för beslutet Tillämpliga rättsregler m.m. Patientdatalagen (2008:355), PdL, tillämpas, enligt 1 kap. 1, vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. Personuppgiftslagen (1998:204), PuL, gäller, enligt 1 kap. 4 PdL, vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automati- Sida 2 av 5
serad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, om inte annat följer av PdL eller föreskrifter som meddelats med stöd av PdL. Av 1 kap. 2 Socialstyrelsens föreskrifter Informationshantering och journalföring inom hälso- och sjukvården, SOSFS 2008:14, framgår att patientuppgifter är personuppgifter om patienter. I 3 PuL definieras personuppgift som all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Av 2 kap. 5 första stycket SOSFS 2008:14 framgår att om vårdgivaren använder öppna nät för att hantera patientuppgifter, ska denne ansvara för att det i ledningssystemet finns rutiner som säkerställer att 1.) överföring av patientuppgifter görs på ett sådant sätt att ingen obehörig kan ta del av uppgifterna, och 2.) åtkomst till patientuppgifter föregås av stark autentisering. I Socialstyrelsens handbok till SOSFS 2008:14 anges Internet, Sjunet och telenätet som exempel på öppna nät. Av 4 kap. 8 SOSFS 2008:14 framgår att den person som lämnar ut patientuppgifter ska försäkra sig om att endast rätt mottagare tar emot uppgifterna. Av 5 kap. 6 PdL framgår att om en personuppgift får lämnas ut, kan det ske på medium för automatiserad behandling. I regeringens proposition Patientdatalag m.m. (prop. 2007/08:126) anges e-post som ett sådant medium för utlämnande som avses i bestämmelsen (s. 246). Den personuppgiftsansvarige, här Sjukhuset, ska enligt 31 första stycket PuL vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna, och hur pass känsliga de behandlade personuppgifterna är. Av Datainspektionens Allmänna råd Säkerhet för personuppgifter (sid. 13f) framgår bland annat att den personuppgiftsansvarige bör utforma arbetsrutiner och arbetsuppgifter på ett sådant sätt att det blir möjligt för personalen att arbeta och tänka säkerhetsmedvetet samt att den personuppgiftsansvarige bör se till att alla som har tillgång till personuppgifter får relevant utbildning. Den personuppgiftsansvarige bör vidare se till att personalen informeras om vikten av att följa gällande säkerhetsrutiner och göra klart för personalen att det är viktigt att inte dela med sig information till någon annan utan att vara säker på att den personen är behörig att få ta del av informationen. Den per- Sida 3 av 5
sonuppgiftsansvarige bör också tänka på att följa upp att regler och rutiner efterlevs och respekteras (sid. 27). Datainspektionen gör följande bedömningar Föreskrifterna i 2 kap. SOSFS 2008:14 har meddelats efter samråd med Datainspektionen och står inte i konflikt med kraven på säkerhetsåtgärder i 31 PuL. Enligt Datainspektionens uppfattning utgör behandling av personuppgifter i e-postsystem en särskild risk i sig eftersom det är svårt att tillse att endast den avsedda mottagaren får del av uppgifterna. Det gäller vid både intern och extern kommunikation, särskilt när det finns funktioner för webbmejl eller synkronisering med mobila enheter. Datainspektionen anser att Sjukhusets rutiner för e-post är otydliga och ofullständiga. Rutiner och instruktioner ska enligt Datainspektionens uppfattning vara utformade så att den personuppgiftsansvarige och befattningshavare under dess ledning kan följa gällande rätt. Det är därför viktigt att rutiner och instruktioner är tydliga så att missförstånd och misstag kan undvikas. Den inlämnade rutinen hänvisar till exempel till att patient eller anhörig kan ge tillstånd till kontakt via e-post, trots att lagligt stöd för utlämnande via e-post finns i 5 kap. 6 PdL. Datainspektionen vill understryka att kraven på att föreskrivna säkerhetsåtgärder vidtas vilar på Sjukhuset som personuppgiftsansvarig och att varken säkerhetskraven i PuL, PdL eller SOSFS 2008:14 tar hänsyn till den registrerades inställning i frågan. Det sakas således möjligheter för patienterna att samtycka till otillräckliga säkerhetsåtgärder. Det framgår vidare i rutinen att Sjukhuset saknar möjlighet att kontrollera avsändares och mottagares identitet vid e-post-korrespondens och att Sjukhuset inte kan garantera att uppgifterna inte kan läsas av annan person än mottagaren. Det bidrar då inte till en tillräcklig tydlighet att patienter och anhöriga ändå ska tillfrågas om de önskar kommunikation via e-post. Särskilt inte eftersom den som lämnar ut patientuppgifter alltid måste försäkra sig om att endast rätt mottagare tar emot uppgifterna. I yttrandet hänvisas också till Sjukhusets IT-regelverk där det framgår att det inte är tillåtet att distribuera sekretessbelagd information via e-post. Det framgår inte i yttrandet om det i IT-regelverket förklaras närmare vad som avses med sekretessbelagd information och därmed heller inte hur bestämmelsen förhåller sig till den till Datainspektionen inlämnade rutinen. Datainspektionen förtydligar med att Sjukhuset är ansvarigt för att skydda de personuppgifter som behandlas. Det måste därför anses olämpligt att samtidigt som bedömningen görs att Sjukhuset inte kan garantera att information Sida 4 av 5
som överförs via e-post inte kan läsas av obehöriga, ändå efterfråga om patient eller anhörig önskar fortsatt kontakt via e-post. Detta utan att ställa tekniska funktioner till förfogande som innebär att patientuppgifter i e-post skyddas på ett sådant sätt att ingen obehörig kan ta del av dem. Sammanfattningsvis konstaterar Datainspektionen att Capio S:t Görans Sjukhus rutiner för hantering av patientuppgifter e-post inte uppfyller kraven i 2 kap. 5 Socialstyrelsens föreskrifter Informationshantering och journalföring inom hälso- och sjukvården (SOSFS 2008:14). Datainspektionen förelägger därför Capio S:t Görans Sjukhus att revidera sina rutiner för hantering av patientuppgifter via e-post så att kraven i 2 kap. 5 SOSFS 2008:14 kan uppfyllas. Hur man överklagar Om ni vill överklaga beslutet ska ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Inspektionen måste ha fått ert överklagande inom tre veckor från den dag ni fick ta del av beslutet, annars kan överklagandet inte prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta beslut har fattats av tillsynschefen Erik Janzon efter föredragning av IT-säkerhetsspecialisten Magnus Bergström. Erik Janzon Magnus Bergström Kopia till: Socialstyrelsen, Regional tillsynsenhet öst, 106 30 Stockholm Personuppgiftsombudet Maria Wijk, via e-post Sida 5 av 5