Datum Diarienr 2013-05-31 1398-2012 Landstingsstyrelsen Landstinget Blekinge 371 81 Karlskrona Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datainspektionens beslut Datainspektionen konstaterar att Landstingsstyrelsen, Landstinget Blekinge (härefter Landstinget), har kommit en bit på väg i och med att en ny version av huvudjournalsystemet SYSteam Cross kommer att driftsättas kvartal 2 eller 3 2013, då en teknisk spärr i systemet ska finnas och det finns en tillfällig övergångslösning fram till dess att funktionen för den tekniska spärren är genomförd. Vidare finns det tekniska spärrfunktioner i åtta system. Det finns tidsplaner för införande av spärrfunktioner i två system, Obstetrix (hösten 2013) och Paratus (senast under kvartal ett 2014) och för ytterligare fyra system, dock är dessa tidsplaner något otydliga. Datainspektionen förelägger därför Landstinget följande: Att omgående vidta åtgärder för att leva upp till kraven i patientdatalagen i de system som fortfarande inte går att spärra, och lämpligen i samband med detta upprättar tidsplaner. Datainspektionen förutsätter att Landstinget fortsätter och slutför införandet av tekniska spärrfunktioner i enlighet med de tidsplaner som Landstinget har uppgett till Datainspektionen. Ärendet avslutas. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
Redogörelse för tillsynsärendet Datainspektionen har i ett beslut den 15 juni 2012, diarienummer 725-2011, konstaterat att uppskattningsvis 12 system, däribland även system som ingår i sammanhållen journalföring, inte kunde spärras på det sätt som krävs enligt patientdatalagen. När det gällde huvudjournalsystemet SYSteam Cross skulle det finnas en fullständig teknisk funktion för spärrar i systemet under våren 2013. Det framgick dock inte på ett tydligt sätt om Landstinget hade tänkt tillgodose patienten dennes rätt till spärrar fram till och medvåren 2013. Beträffande minst sju system framgick varken när Landstinget kommer att tillgodose patienten dennes rätt till spärrar eller hur Landstinget avsåg att tillgodose rätten fram till dess att spärrfunktioner finns på plats. För fyra system fanns en lösning planerad alternativt att lösningen kommer att levereras i en version som levereras Q1 Q2 2012. Landstinget förelades därför att ge in en redogörelse för när funktioner för tekniska spärrar som möjliggör för vårdgivaren att leva upp till kraven i patientdatalagen kommer att vara genomförda i de aktuella systemen, samt vilka tillfälliga övergångslösningar som Landstinget har vidtagit beträffande huvudjournalsystemet och andra omfattande patientjournalsystem som innehåller många känsliga personuppgifter. Landstinget gav in en redogörelse den 1 oktober 2012. Eftersom det kvarstod vissa frågetecken begärde Datainspektionen kompletterande information, som vi fick den 7 januari 2013. Skäl för beslutet Datainspektionen har i det nu aktuella ärendet utgått från de uppgifter som Landstinget har inkommit med efter Datainspektionens beslut den 15 juni 2012, och Landstinget är ansvarigt för att dessa uppgifter är korrekta. Datainspektionen vill här understryka att det är Landstinget som är personuppgiftsansvarig och som således är ytterst ansvarig för att patientuppgifterna behandlas i enlighet med patientdatalagens regler. Av handlingarna i ärendet framgår bland annat följande. Huvudjournalsystemet SYSteam Cross levererades 2012 men leveransen är omfattande. Planen är att en teknisk spärr i systemet ska vara genomförd kvartal 2 eller 3 2013. Det finns en tillfällig övergångslösning fram till dess att den tekniska spärren är genomförd. Vidare finns det tekniska spärrfunktioner i åtta system. Beträffande två system, Sektra RIS och Sektra PACS, ska enligt uppgift en teknisk spärr vara genomförd våren 2012. Datainspektionen anser att det fortfarande är oklart om tekniska spärrar är genomförda i systemen eller ej. Sida 2 av 5
Det finns tidsplaner för införande av spärrfunktioner i två system, Obstetrix (hösten 2013) och Paratus (senast Q1, 2014). För ytterligare två system framgår enbart att Landstinget kommer att fastställa tidsplaner under våren 2013. Landstinget har uppgett att det inte behövs tillfälliga övergångslösningar för dessa system (Journalia, MegaCare/EKG, Prosang, SESAM Hjälpmedel och Spirare) då systemen inte är huvudjournalsystem eller omfattande patientjournalsystem. Landstinget har vidare uppgett vissa system ingår i ett nationellt samarbete mellan landstingen som har initierats av Centrum för ehälsa i samverkan (CeHis). Samarbetet ger landstingen möjlighet att ta del av varandras lösningar och utreda om dessa går att implementera i andra landsting. Datainspektionens bedömning Mot bakgrund av ovanstående konstaterar Datainspektionen att Landstinget har kommit en bit på väg i och med att en ny version av huvudjournalsystemet SYSteam Cross kommer att driftsättas kvartal 2 eller 3 2013, då en teknisk spärr i systemet ska finnas och det finns en tillfällig övergångslösning fram till dess att funktionen för den tekniska spärren är genomförd. Vidare finns det tekniska spärrfunktioner i åtta system. Det finns tidsplaner för införande av spärrfunktioner i två system, Obstetrix (hösten 2013) och Paratus (senast under kvartal ett 2014) och för ytterligare fyra system, dock är dessa tidsplaner något otydliga. Det finns ingen skyldighet för en vårdgivare att ingå i ett sammanhållet journalsystem. Detta är endast en möjlighet för vårdgivaren om denne först lever upp till de förutsättningar som finns i 6 kap. patientdatalagen Det är vårdgivarna själva som är ytterst ansvariga för att personuppgifterna i IT-systemen behandlas i enlighet med gällande lagstiftning. Det är således vårdgivarna som måste göra bedömningen beträffande vilka sammanhållna system som inte lever upp till kraven i 6 kap. patientdatalagen och därmed också vilka system man inte kan fortsätta att vara en del av. Detta fram till dess att spärrar finns på plats i systemen. Sida 3 av 5
Landstinget ska därför föreläggas följande: Att omgående vidta åtgärder för att leva upp till kraven i patientdatalagen i de system som fortfarande inte går att spärra, och lämpligen i samband med detta upprättar tidsplaner. Datainspektionen förutsätter att Landstinget fortsätter och slutför införandet av tekniska spärrfunktioner i enlighet med de tidsplaner som Landstinget har uppgett till Datainspektionen. Ärendet avslutas. Beträffande systemet Prator vill Datainspektionen lämna följande information. Landstinget anser att Prator ska räknas som ett system för utlämnande av information till kommunen och då inte omfattas av kravet på spärrfunktionalitet enligt 6 kap. 2 patientdatalagen. En av orsakerna är att mottagande enhet inte själv kan bereda sig tillgång till valfri information ur Landstingets system för vårddokumentation, utan det är Landstinget som gör en selektering och aktivt väljer vad som ska föras in i Prator. Detta blir sedan tillgängligt för den som deltar i vårdplaneringen. Landstinget avser att under januari 2013 gå ut i upphandling om ett nytt system för vårdplanering. När det gäller Landstingets bedömning att Prator inte omfattas av kraven på spärrfunktioner, finner Datainspektionen på det befintliga underlaget i ärendet, inte skäl att ha en annan uppfattning, men vi förutsätter att Landstinget noggrant har utrett frågan och vi kan i framtiden komma att granska detta närmare. Datainspektionen vill i detta sammanhang även upplysa Landstinget om ett tidigare ärende som inspektionen har haft rörande systemet WebCare, se dnr 543-2011. Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet skall ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Sida 4 av 5
Detta beslut har fattats av tillsynschefen Erik Janzon i närvaro av juristen Maria Bergdahl, föredragande. Erik Janzon Maria Bergdahl Kopia till: Personuppgiftsombudet Kontaktperson hos Landstinget Sida 5 av 5