Datum Diarienr 2011-12-12 751-2011 Landstingsstyrelsen Jämtlands läns landsting Box 602 832 23 Frösön Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post Datainspektionens beslut Datainspektionen konstaterar att Landstingsstyrelsen i Jämtlands läns landsting Riktlinjer och anvisningar för Internetanvändning och e-posthantering inte har uppdaterats sedan patientdatalagen (2008:355) och Socialstyrelsens föreskrifter Informationshantering och journalföring inom hälso- och sjukvården (SOSFS 2008:14) trädde ikraft den 1 juli 2008. Datainspektionen förutsätter att Landstingsstyrelsen i Jämtlands läns landsting reviderar sina riktlinjer med hänsyn till ovanstående rättsregler. Datainspektionen förutsätter också att Landstingsstyrelsen i Jämtlands läns landsting upprättar och inför rutiner för att säkerställa att de reviderade riktlinjerna efterlevs. Datainspektionen förutsätter vidare att det finns ett personuppgiftsbiträdesavtal med den externa driftsleverantören av e-postsystemet. Ärendet avslutas, men kan komma att följas upp. Redogörelse för tillsynsärendet Datainspektionen beslutade den 25 maj 2011 att granska Landstingsstyrelsen Jämtlands läns landstings (Landstinget) rutiner för hantering av patientuppgifter i e-post. Tillsynen föranleddes inte av klagomål utan ingår som ett led i Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
ett projekt rörande e-post. Landstinget har den 9 juni 2011 inkommit med ett yttrande och i ärendet begärda rutiner och riktlinjer. I yttrandet och ingivna dokument uppges bland annat följande. Landstingets Riktlinjer och anvisningar för Internetanvändning och e-posthantering (Landstingets riktlinjer) är daterade 2005-05-02. Landstinget anlitar en extern leverantör för driften av e-postsystemet. E-post är åtkomlig via webbmejl och e-postklienter är installerade i externa datorer. E-postsystemet inom landstinget är ett arbetsredskap som syftar till att effektivisera arbetet och handläggningen av ärenden. Landstinget betraktar inte e-postsystemet som säkert nog att skicka patientuppgifter i, varken externt eller internt. Landstingets e-postsystem är inte avsett för överföring av information som behöver skyddas mot obehörig insyn. Grundregeln är därför att e-posten inte får användas för konfidentiell eller sekretessbelagd information. Patientuppgifter får dock e-postas mellan vårdenheter inom landstinget och till andra sjukhus och vårdinrättningar om uppgifterna avidentifierats i likhet med vad som gäller för faxande av journaluppgifter. Patienterna ska också uppmanas att inte använda e-post för överföring av sådana uppgifter. Landstingets riktlinjer finns tillgängliga på landstingets intranät och lyfts fram vid lämpliga utbildningar och informationstillfällen. Landstinget kommer inom kort att börja använda e-tjänsten Mina Vårdkontakter för kommunikation med sina patienter. I Landstingets riktlinjer finns en referens till 5 förvaltningslagen. Av inloggningssidan till landstingets webbmejl, webmail.jll.se, framgår att inloggningen sker med användarnamn och lösenord, att lösenordet kan sparas i webbläsaren, och att inloggningen skyddas med SSL/TLS (256-AES) och ett signerat servercertifikat. Skäl för beslutet Den 1 juli 2008 trädde patientdatalagen (2008:14), PdL, och Socialstyrelsens föreskrifter Informationshantering och journalföring inom hälso- och sjuk vården (SOSFS 2008:14) ikraft. Tillämpliga rättsregler m.m. Av 5 andra stycket förvaltningslagen (1986:223), FL, framgår att myndigheter ska se till att det är möjligt för enskilda att kontakta dem med hjälp av telefax och elektronisk post och att svar kan lämnas på samma sätt. Sida 2 av 6
Av 5 kap. 6 PdL framgår att om en personuppgift får lämnas ut, kan det ske på medium för automatiserad behandling. I regeringens proposition Patientdatalag m.m. (prop. 2007/08:126) anges e-post som ett sådant medium för utlämnande som avses i bestämmelsen (s. 246). Av 1 kap. 2 SOSFS 2008:14 framgår att patientuppgifter är personuppgifter om patienter. I 2 kap. SOSFS 2008:14 finns bestämmelser om ansvar för informationssäkerhet. Bestämmelserna i 2 kap. 5 SOSFS 2008:14 om användning av öppna nät för hantering av patientuppgifter innebär att överföring av patientuppgifter ska göras på ett sådant sätt att ingen obehörig kan ta del av uppgifterna och att åtkomst till patientuppgifter ska föregås av stark autentisering. I Socialstyrelsens handbok till SOSFS 2008:14 anges Internet, Sjunet och telenätet som exempel på öppna nät. Av 4 kap. 8 SOSFS 2008:14 framgår att den person som lämnar ut patientuppgifter ska försäkra sig om att endast rätt mottagare tar emot uppgifterna. PuL gäller enligt 1 kap. 4 PdL vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, om inte annat följer av PdL eller föreskrifter som meddelats med stöd av PdL. I 3 PuL definieras personuppgift som all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet och personuppgiftsbiträde som en som behandlar personuppgifter för den personuppgiftsansvariges räkning. Den personuppgiftsansvarige, här Landstinget, ska enligt 31 första stycket personuppgiftslagen (1998:204), PuL, vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna och hur pass känsliga de behandlade personuppgifterna är. Av Datainspektionens Allmänna råd Säkerhet för personuppgifter (sid. 13f) framgår bland annat att den personuppgiftsansvarige bör utforma arbetsrutiner och arbetsuppgifter på ett sådant sätt att det blir möjligt för personalen att arbeta och tänka säkerhetsmedvetet samt att den personuppgiftsansvarige bör se till att alla som har tillgång till personuppgifter får relevant utbildning. Den personuppgiftsansvarige bör vidare se till att personalen informeras om vikten av att följa gällande säkerhetsrutiner och göra klart för personalen att Sida 3 av 6
det är viktigt att inte dela med sig information till någon annan utan att vara säker på att den personen är behörig att få ta del av informationen. Den personuppgiftsansvarige bör också tänka på att följa upp att regler och rutiner efterlevs och respekteras (sid. 27). Enligt 30 andra stycket PuL ska det finnas ett skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. I det avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige och att personuppgiftsbiträdet är skyldigt att vidta de åtgärder som avses i 31 första stycket. Av 31 andra stycket framgår att en personuppgiftsansvarig som anlitar ett personuppgiftsbiträde ska förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna. Datainspektionen gör följande bedömningar Föreskrifterna i 2 kap. SOSFS 2008:14 har meddelats efter samråd med Datainspektionen och står inte i konflikt med kraven på säkerhetsåtgärder i 31 PuL. Det är myndigheten som i det enskilda fallet avgör på vilket sätt ett svar på en fråga ska lämnas. Även om en fråga har ställts per e-post kan det finnas situationer då det är lämpligare att svaret lämnas på annat sätt, trots att den enskilde har uttryckt önskemål om att få svaret elektroniskt. Detta kan vara fallet t.ex. om svaret kommer att innehålla uppgifter som omfattas av sekretess (prop. 2002/03:62 sid 20). Det kan, enligt Datainspektionens uppfattning, också vara fallet när föreskrivna säkerhetsåtgärder inte kan vidtas för e- postmeddelandet. Skyldigheten enligt 5 andra stycket FL att se till att det är möjligt för enskilda att kontakta och erhålla svar från Landstinget via e- post åsidosätter således inte kravet på att vidta föreskrivna säkerhetsåtgärder enligt PdL, SOSFS 2008:14 eller PuL. Enligt Datainspektionens uppfattning utgör behandling av personuppgifter i e-postsystem en särskild risk i sig eftersom det kan vara svårt att tillse att endast den avsedda mottagaren får del av uppgifterna. Det gäller vid både intern och extern kommunikation, särskilt när det finns funktioner för webbmejl eller synkronisering med mobila enheter. Datainspektionen konstaterar att den metod för inloggning till Landstingets webbmejl (webmail.jll.se) som används (användarnamn och lösenord) inte uppfyller kravet på stark autentisering i 2 kap. 5 SOSFS 2008:14. Sida 4 av 6
Datainspektionen anser att det finns vissa otydligheter i Landstingets riktlinjer kring om, när och i så fall hur patientuppgifter får skickas med e-post. Det framgår till exempel att e-post-systemet inte är avsett för information som behöver skyddas från obehörig insyn och att e-post som grundregel inte får användas för konfidentiell eller sekretessbelagd information. Samtidigt anges att patientuppgifter får e-postas mellan vårdenheter inom landstinget och till andra sjukhus och vårdinrättningar om uppgifterna avidentifierats i likhet med vad som gäller för faxande av journaluppgifter. Vad som avses med att uppgifter avidentifierats framgår inte av riktlinjerna men Datainspektionen vill här understryka att avlägsnandet av direkta personuppgifter inte åsidosätter kraven på att säkerhetsåtgärder ska vidtas. Upplysningsvis omfattas enligt Socialstyrelsens handbok till SOSFS 2008:14 även fax av bestämmelserna i 2 kap. 5. Datainspektionen konstaterar att Landstingsstyrelsen i Jämtlands läns landsting Riktlinjer och anvisningar för Internetanvändning och e-posthantering inte har uppdaterats sedan patientdatalagen (2008:355) och Socialstyrelsens föreskrifter Informationshantering och journalföring inom hälso- och sjukvården (SOSFS 2008:14) trädde ikraft den 1 juli 2008. Datainspektionen förutsätter därför att Landstingsstyrelsen i Jämtlands läns landsting reviderar riktlinjerna med hänsyn till ovanstående rättsregler. Datainspektionen förutsätter också att Landstingsstyrelsen i Jämtlands läns landsting upprättar och inför rutiner för att säkerställa att de reviderade riktlinjerna efterlevs. Exempel på sådana rutiner skulle kunna innefatta att med viss regelbundenhet påminna befattningshavarna om innehållet i riktlinjerna. Datainspektionen förutsätter vidare att det finns ett personuppgiftsbiträdesavtal med den externa driftsleverantören av e-postsystemet. Övrigt Datainspektionen vill uppmärksamma Landstinget på Socialstyrelsens förändring av 2 kap. 5 SOSFS 2008:14 som innebär att påminnelser och kallelser till vård och behandling, under vissa förutsättningar, kan skickas till patienter via SMS eller oskyddad e-post. Förändringarna trädde ikraft den 1 september 2011. Mer finns att läsa på deras hemsida: http://www.socialstyrelsen.se/nyheter/2011juli/socialstyrelsenandrarreglernaf orsms-paminnelser Landstinget har uppgivit att e-tjänsten Mina Vårdkontakter kommer att börja användas av Landstinget. Generellt kan sägas att det vid kommunikation med Sida 5 av 6
patienter är enklare att vidta föreskrivna säkerhetsåtgärder med den typen av e-tjänster än vid korrespondens via e-post. Hur man överklagar Om ni vill överklaga beslutet ska ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet skall ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta beslut har fattats av tillsynschefen Erik Janzon efter föredragning av IT-säkerhetsspecialisten Magnus Bergström. Erik Janzon Magnus Bergström Kopia till: Socialstyrelsen, Regional tillsynsenhet nord, Box 34, 901 02 Umeå Personuppgiftsombudet Anette Högstedt, via e-post Sida 6 av 6