1 (9) 21 december 2010 RÅD Checklista för avtal rörande sammanhållen journalföring
2 (9) Innehåll 1 Inledning...4 2 Syfte...4 3 Checklista...5
3 (9) Utgåvehistorik för dokumentet Utgåva Datum Kommentar 1.0 Första utgåva
4 (9) 1 Inledning Den nya patientdatalagen (SFS 2008:355) är i kraft sedan 1 juli 2008 och ersätter både den tidigare patientjournallagen och vårdregisterlagen. Vidare har Socialstyrelsen givit ut nya föreskrifter som rör informationshantering och journalföring (SOSFS 2008:14). Vårdgivare kan ges direktåtkomst till annan vårdgivares patientuppgifter i ett system för sammanhållen journalföring. Patientdatalagen i sig ställer inget krav på avtal vid sammanhållen journalföring men det förhållandet att lagstiftaren ställer en rad krav på vårdgivare som ingår i system för sammanhållen journalföring innebär att varje vårdgivare som ansluter sig till ett sådant system måste försäkra sig om att motparten uppfyller kraven. Avtalet skall säkerställa att vårdgivarna uppfyller kraven enligt lagar, författningar och föreskrifter. Beroende på val av teknisk lösning för sammanhållen journalföring, kan ett personuppgiftsbiträdesavtal behöva tecknas i enlighet med reglerna i 30 Personuppgiftslagen. Biträdesavtalet kan integreras med avtal om sammanhållen journalföring direkt i avtalet eller via en bilaga men kan också tecknas separat av den personuppgiftsansvariga och personuppgiftsbiträdet. 2 Syfte Checklistan är inte uttömmande och alla punkter på checklistan behöver inte vara behandlade i ett avtal för sammanhållen journalföring, för att vara tillfyllest och komplett. Innehållet i avtalet styrs till stor del av omfång och utformning av den aktuella sammanhållna journalföringen som skall avtalas. Checklistan skall ses som ett stöd vid upprättande och tecknande av avtal rörande sammanhållen journalföring.
5 (9) 3 Checklista 1) Parter, vilket består av två eller flera vårdgivare 2) Definitioner om detta behövs t.ex. vårdgivare, vårdenhet, direktåtkomst, samtycke 3) Syftet med avtalet och den sammanhållna journalföringen t.ex. Genom patientdatalagen (2008:355), har olika vårdgivare getts möjlighet att på frivillig väg ge/få direktåtkomst till vårddokumentation över myndighets- och vårdgivargränser för ändamålet individinriktad hälso- och sjukvård. Syftet med detta avtal är att till ömsesidig nytta och i patientsäkerhetens namn reglera samarbetsformer och ansvarsförhållanden m.m. vid sammanhållen journalföring. 4) Vilka uppgifter ingår? (Om det är enklare, ange vilka som inte ingår. Flera urval kan vara aktuella såsom tidsperiod eller att vårdgivarna tillgängliggör olika informationstyper) t.ex. Uppgifter som skall ingå i den sammanhållna journalföringen vid avtalets tecknande är alla uppgifter i IT-systemet X exklusive uppgifter tillhörande vårdenheten för våldtagna kvinnor. Detta kan komma att inskränkas eller utökas under avtalstiden, detta regleras då utanför avtalet. 5) Reglering hur aktuella patienter skall få erforderlig information om den sammanhållna journalföringen. t.ex. Patienter skall informeras om att vårdgivaren deltar i sammanhållen journalföring innan journaluppgifterna tillgängliggörs i den sammanhållna journalen. För att leva upp till informationskravet i 6 kap. 2 3 st. patientdatalagen, måste parterna lämna information om följande: Ändamålet med den sammanhållna journalföringen Vilka uppgifter vårdgivaren avser att göra tillgängliga och om vilka kategorier av patienter Vilka förutsättningar som gäller för andra vårdgivares åtkomst till uppgifterna För vilka andra parter uppgifterna görs tillgängliga Patientens rätt att spärra uppgifter Patientens rätt att få uppgifter rättade och borttagna. Patientens rätt att få information om vem som har tagit del av informationen. Patientens rättigheter vid deltagande i kvalitetsregister a) Gemensam riktad information till patienter/medborgare b) Utse ansvarig som upprättar och uppdaterar en förteckning på de parter som deltar i den sammanhållna journalföringen och med vilka uppgifter.
6 (9) t.ex. Systemförvaltare för IT-systemet X är ansvarig för att hålla en digital förteckning över aktuella parter som ingår i den sammanhållna journalföringen samt information om vilka journaluppgifter som ingår. Alla parter är skyldiga att lämna besked vid kommande förändringar till systemförvaltaren för IT-systemet X. Alla parter är skyldiga att hålla sig uppdaterade om förändringar via den digitala förteckningen. 6) Båda parter förbinder sig att följa de legala krav som uppstår vid sammanhållen journalföring såsom krav i Patientdatalagen och tillhörande föreskrifter. t.ex. Deltagande parter förbinder sig att, utöver de åligganden som följer av tillämpliga lagar, myndighetsföreskrifter och andra författningar, följa detta avtal för sammanhållen journalföring 7) Regressrätt gentemot en part som inte följer legala krav och överenskomna regler för den sammanhållna journalföringen. t.ex. För det fall tredje part framställer anspråk gentemot någon av avtalsparterna, på grund av att den andra parten inte uppfyllt sina skyldigheter enligt detta avtal, åtar sig den andra parten, som brustit i sitt åtagande att hålla den första parten skadeslös för ersättningar och skadestånd då första parten genom förlikning eller dom ålägges för tillexempel sekretessbrott eller dataintrång. Regressrätten avser inte skador som kan regleras enligt Patientskadelagstiftningen eller läkemedelsskadeförsäkringen. 8) Förtydligande av Personuppgiftsansvar t.ex. Varje part är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. Vårdgivarna har även ansvar för respektive patientjournal som förs inom vårdgivaren. 9) Fullmakt för en part att teckna avtal om sammanhållen journalföring med andra parter så att alla parter inte behöver skriva avtal med alla tillkommande vårdgivare. t.ex. Part X uppdrar åt Part Y att företräda part Y vid tecknande av avtal med andra parter innebärande sammanhållen journalföring med ovanstående innehåll. 10) Möjlighet för en part att avsluta den sammanhållna journalföringen om en part ansluter som den första parten inte vill tillgängliggöra information till. 11) Möjlighet för parter att kunna utesluta en annan part som inte följer överenskomna regler och rutiner. (Om ja, tydliggör på vilket sätt och reglering av påtalande mm.) 12) Gemensamma regelverk och rutiner a) Inre och yttre spärrar (t.ex. BIF Spärrtjänst), signering och samtycke b) Behörighetstilldelning a) Åtkomstkontroll inom den SJF b) Incidenthantering och avvikelsehantering c) Säkerhetsrutiner (t.ex. SITHS-konceptet) d) Informationssäkerhet (tillgänglighet, riktighet, konfidentialitet och spårbarhet)
7 (9) e) Informationsstruktur, terminologi, klassifikationer, kodverk, sökord och mallar f) Gallring
8 (9) 13) Krav på stark autentisering. t.ex. Båda parter förbinder sig att tillämpa stark autentisering med e-tjänstekort. 14) Förekommer av part definierade vårdprocesser inom organisationen? (Kan vara bra för ingående parter att känna till utifrån spärrhantering mm.) 15) Hur skyddas personer med någon form av skyddad identitet i den sammanhållna journalföringen? 16) Vårdgivarna bör förbinda sig att utbilda och hålla alla egna användare á jour med gällande lagstiftning och regelverk t.ex. patientdatalagen. 17) Samarbetsformer vid misstänkt dataintrång och åtkomstkontroll. t.ex. Parterna skall bistå varandra i alla ärenden som gäller misstanke om otillåten eller obefogad åtkomst till patientinformation som rör sammanhållen journalföring. Part förbinder sig att medverka vid utredning avseende misstanke om otillbörlig åtkomst. Denna skyldighet gäller även sedan part utträtt ur överenskommelse om sammanhållen journalföring. 18) Giltighetstid för avtalet och den sammanhållna journalföringen samt reglering av ev. förlängningar. t.ex. Detta avtal träder i kraft då det undertecknats av parterna och gäller i Z år från undertecknandet. Parterna skall skriftligen senast Å månader före utgången av giltighetstiden påkalla förlängning av avtalet. Part som önskar säga upp avtalet skall skriftligen göra det med Y månaders uppsägningstid. Samtliga parter inom den sammanhållna journalen skall erhålla varsitt exemplar. 19) Bilaga med kontaktpersoner t.ex. systemägare, systemförvaltare, IT-frågor, Informationssäkerhetsansvarig, personuppgiftsombud mfl. 20) Avtalsansvariga, som förfogar över ändringshanteringen i avtalet. 21) Reglering av förändringar och tillägg till avtalet t.ex. Tillägg och förändringar till detta avtal skall ske skriftligen och undertecknas av avtalsansvariga för samtliga parterna för att äga giltighet. 22) Hur skall en ev. tvist lösas? t.ex. "Eventuell tvist, som parterna inte kan lösa på egen hand, skall avgöras av svensk domstol med tillämpning av svensk lag." 23) Undertecknande av avtalet av behörig (Framgår av delegationsordningen hos respektive landsting vem som har rätt att skriva under avtalet.)
9 (9) 24) Om samma IT-system skall användas för den sammanhållna journalföringen a) Biträdesavtal b) Gemensamma regler och riktlinjer c) Förutsättningar t.ex. hårdvara, nätverk mm. d) Åtagande för vårdgivarna att bistå varandra vid utredning om vårdgivarens egen personal utnyttjat patientuppgifter utöver dess behov e) Vilka tekniska och ekonomiska villkor gäller för nyttjandet av IT-systemet? f) Ska samma patientuppgifter skickas till ytterligare system för sammanhållen journalföring, vilka? g) Kostnadsfördelning mellan vårdgivarna. h) Bör finnas dokumentation kring vilken part som svarar för vilka ev. fel i systemkopplingen och arkitekturen. i) Utpekade roller samt ansvarsområden för dessa j) Systemägaren äger rätt att utföra revision av vårdgivarnas användning av den sammanhållna journalen. (Tillsyn sker av båda tillsynsmyndigheterna DI och Socialstyrelsen.) 25) Om inte samma IT-system skall användas bör det finnas en systembeskrivning som redogör för arkitekturen och hur systemen är integrerade. a) Kostnadsfördelning mellan vårdgivarna och aktuell arkitektur. b) Ansvarsfördelning mellan vårdgivarna.