Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Relevanta dokument
Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillgång till patientuppgifter - krav på spärrar och aktiva val. Katja Isberg Amnäs Magnus Bergström Datainspektionen

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Remiss avseende förslag till Socialstyrelsens föreskrifter och allmänna råd om ordination och hantering av läkemedel i hälso- och sjukvården m.m.

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Remissen Läkemedelsverkets förslag till föreskrifter för Nationella medicinska informationssystem

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Samrådsyttrande om fördelning av personuppgiftsansvar E-delegationsprojektet Effektiv informationsförsörjning

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) behörighetsstyrning m.m. enligt patientdatalagen

Remiss: Transportstyrelsens framställan om ändringar i lagen (2001:558) och förordningen (2001:650) om vägtrafikregister.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn - äldreomsorg

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande genom direktåtkomst

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen

SOU 2015:84 Organdonation En livsviktig verksamhet

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) Autentisering av användare som medges åtkomst till personuppgifter i kreditupplysningsregister

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Tillsyn - äldreomsorg

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) hjälpmedelshanteringssystemet Sesam

Svar från Datainspektionen på er begäran om samråd angående hälsoverktyg inom elevhälsovården

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Yttrande i Förvaltningsrätten i Stockholms mål

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Samråd enligt 2 och 3 patientdataförordningen

Datainspektionen lämnar följande synpunkter.

Patientdatalagen (PdL) och Informationssäkerhet

Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36)

Remiss av departementspromemorian En anpassning till dataskyddsförordningen inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Synpunkter med anledning av regeringens uppdrag till Myndigheten för samhällskydd och beredskap om nödlarmsystemet ecall i Sverige

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Samråd om registrering av beslutsoförmögna i det nationella kvalitetsregistret Senior Alert

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Komplettering av överklagande

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Sammanhållen journalföring 6 kap. patientdatalagen

Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Betänkandet låt fler forma framtiden! (SOU 2016:5)

PM 2015:127 RVI (Dnr /2015)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Sammanhållen journalföring 6 kap. patientdatalagen

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Snabbare lagföring (Ds 2018:9)

Ökad insyn i fristående skolor (SOU 2015:82) Sammanfattning. Utbildningsdepartementet Stockholm

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) 4 kap. patientdatalagen m.m.

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Hur står det till med den personliga integriteten? (SOU 2016:41)

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande av patientuppgifter genom direktåtkomst till apoteksstuderande

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Ds 2016:44 Nationell läkemedelslista

Informationssäkerhet en patientsäkerhetsfråga. Maria Jacobsson Socialstyrelsen

Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå

Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Kompletterande promemoria: Kameraövervakning vid åteljakt efter vildsvin

En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )

Yttrande Diarienr Ert diarienr N2014/1095/TE. Näringsdepartementet Transportenheten STOCKHOLM

Tillsyn enligt personuppgiftslagen (1998:204) LifeGene - direktåtkomst, säkerhet för känsliga personuppgifter samt samtycke och information

Datainspektionens beslut. Arbetsförmedlingen Hälsingegatan Stockholm

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen

Tillsyn enligt personuppgiftslagen (1998:204) Seamless Payment AB

Tillsyn enligt personuppgiftslagen (1998:204) behörighetstilldelning, spärrar m.m enligt patientdatalagen.

Tillämpningsanvisningar för tillgång till och utlämnande av patientinformation

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Tillsyn enligt dataskyddsförordningen (EU) 2016/679 behörighetstilldelning, spärrar, m.m. enligt patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Informationshantering och journalföring. nya krav på informationssäkerhet i vården

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Remiss av SOU 2015:66 En förvaltning som håller ihop

Transkript:

Yttrande Diarienr 1(7) 2015-09-15 1284-2015 Ert diarienr 4.1-39055/2013 Socialstyrelsen 106 30 Stockholm Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården Datainspektionen har granskat förslaget utifrån sin uppgift att verka för att människor skyddas mot att deras integritet kränks genom behandling av personuppgifter. Socialstyrelsen har tidigare samrått med Datainspektionen i enlighet med 2 och 3 patientdataförordningen. Datainspektionen har avgett skriftliga yttranden den 28 mars 2013 och 30 januari 2015. Övergripande synpunkter Under samrådsförfarandet har framförts synpunkter på vilka bestämmelser Datainspektionen anser omfattas av samrådsskyldigheten enligt 2 och 3 patientdataförordningen. I Datainspektionens yttrande från den 30 januari 2015 angavs att samrådsskyldigheten bör omfatta även 6 kap. 3 och 7 i föreskrifterna. Dessa bestämmelser anges i det nu aktuella förslaget. På grund av ändringar i förslaget jämfört med det som då var föremål för samråd stämmer dock inte dessa bestämmelser. De aktuella bestämmelserna är i det föreliggande förslaget 6 kap. 2 och 6. Datainspektionen motsätter sig att Socialstyrelsen ska ha en generell möjlighet att medge undantag från bestämmelserna i föreskrifterna. Ett sådant undantag kan få konsekvenser bland annat beträffande föreslagna föreskrifter i 3 kap. 1 21, 4 kap. 2 11 samt 6 kap. 2 och 6. Dessa föreskrifter återspeglar i huvudsak kravet på lämpliga säkerhetsåtgärder enligt 31 personuppgiftslagen. Socialstyrelsen kan inte ges mandat att meddela undantag till regler som ska gälla enligt ett EU direktiv. Av förarbetena till patientdatalagen (2008:355) framgår det att bestämmelserna om säkerhet för behandling av personuppgifter i 30 32 personuppgiftslagen är tillämpliga vid vårdgivares Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Webbplats: www.datainspektionen.se Telefon: 08-657 61 00

Datainspektionen 2015-09-15 Diarienr 1284-2015 2 (7) behandling av patientuppgifter enligt patientdatalagen (prop. 2007/08:126 s. 215). 31 personuppgiftslagen införlivar det så kallade dataskyddsdirektivet (95/46/EG) och Socialstyrelsen kan därför inte bevilja undantag från bestämmelser som preciserar vad lämpliga säkerhetsåtgärder är enligt bestämmelsen. Föreskrifterna i 3 kap., 4 kap. samt 6 kap. 3 och 7 ger uttryck för några säkerhetsåtgärder som är lämpliga att vidta enligt 31 personuppgiftslagen när det rör sig om behandling av integritetskänsliga personuppgifter. Föreskrifterna är dock inte uttömmande. För att vårdgivaren inte ska förbise att överväga behovet av andra lämpliga säkerhetsåtgärder än de som anges i föreskrifterna, anser Datainspektionen att det bör förtydligas att 30 32 personuppgiftslagen är tillämpliga på vårdgivarens behandling av patientuppgifter. Se även Datainspektionens yttrande av den 28 mars 2013 (dnr 404 2013, ert dnr 31 409/11). Särskilt om aktiva val Socialstyrelsen har särskilt efterfrågat synpunkter på om bestämmelserna om aktiva val är ändamålsenliga ur såväl patientsäkerhets som integritetssynpunkt eller om de bör utgå. Det är en fråga som inte berörts i samrådsförfarandet mellan Socialstyrelsen och Datainspektionen. Datainspektionens avstyrker förslaget att ta bort de aktiva valen. En sådan ändring riskerar att leda till att vårdpersonal i strid med sekretess och dataskyddsbestämmelser tar del av uppgifter som de inte har rätt att ta del av. Ett av de grundläggande kraven vid behandling av personuppgifter är att inte fler personuppgifter än vad som är nödvändigt behandlas. Denna begränsning gäller oavsett uppgifternas känslighet (se art. 6 dataskyddsdirektivet och prop. 2007/08:126 s. 63). I 2 kap. 4 patientdatalagen anges att en vårdgivare endast får behandla sådana personuppgifter som behövs för de ändamål som räknas upp i bestämmelsen. Enligt 4 kap. 1 får den som arbetar hos en vårdgivare ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna i sitt arbete inom hälso och sjukvården. Vårdpersonalen ska inte kunna ta del av fler uppgifter än vad som är nödvändigt för att ge en god och säker vård

Datainspektionen 2015-09-15 Diarienr 1284-2015 3 (7) (prop. 2007/08:126 s. 149). Vårdpersonal har inte alltid behov av att veta vilka andra vårdenheter som patienten har besökt och det är viktigt att personuppgifter även fortsättningsvis behandlas i olika skikt i enlighet med detta (prop. 2007/08:126 s. 149). Genom de aktiva valen får vårdpersonal ta ställning till om fler uppgifter behövs för att bereda patienten en god och säker vård. Kan en behandling av personuppgifterna inte motiveras av den aktuella vården är vårdpersonalen inte behörig att ta del av uppgifterna. De aktiva valen utgör därför en förutsättning för att tillse att behandling som inte har stöd i lag inte äger rum. 2 kap. Definitioner Socialstyrelsen föreslår en definition av begreppet vårdprocess. Datainspektionen har tidigare påpekat att den allmänna uppfattningen om vad en vårdprocess är kan skilja sig från begreppets innebörd i patientdatalagen (jfr SOU 2014:23 s. 89 f.). För att undvika missförstånd anser Datainspektionen att det av definitionen tydligt bör framgå att en vårdprocess endast omfattar aktiviteter inom en vårdgivares gränser eftersom begreppet används på det sättet i såväl patientdatalagen som i Socialstyrelsens förslag till föreskrifter. 3 kap. Ledningssystem 3 kap. 1 I 3 kap. 1 i föreslagen föreskrift anges att det av Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete framgår att vårdgivaren ska uppfylla de krav som ställs i det följande. SOSFS 2011:9 innehåller dock enbart bestämmelser om kvalitetssäkring. Bestämmelserna i förslagets 3 kap. behandlar även frågor om informationssäkerhet enligt personuppgiftslagen och patientdatalagen och det bör uttryckligen framgå av 3 kap. 1. Genom samrådsförfarandet har Datainspektionen förstått att Socialstyrelsen är av uppfattningen att SOSFS 2011:9 även omfattar kraven på informationssäkerhet enligt personuppgiftslagen och patientdatalagen. För att inte leda till missförstånd bör detta framgå tydligare av föreskriften.

Datainspektionen 2015-09-15 Diarienr 1284-2015 4 (7) 3 kap. 5 I 3 kap. 5 i föreslagen föreskrift hänvisas till 5 kap. 1 SOSFS 2011:9 som anger att riskanalyser ska göras beträffande händelser som kan medföra brister i verksamhetens kvalitet. Datainspektionen anser att riskanalyser även bör avse informationssäkerheten och det bör uttryckligen framgå av bestämmelsen. 3 kap. 16 och 17 Öppna nät De föreslagna föreskrifterna i 3 kap. 16 och 17 behandlar överföring av patientuppgifter i öppna nät. Det är inte allmänt känt vad som utgör ett öppet nät. En vanlig missuppfattning är att endast Internet är ett öppet nät. Det är därför viktigt att vårdgivaren får vägledning till vad som avses med begreppet (se Datainspektionens yttrande 2013 03 28, dnr 404 2013, ert dnr 31 409/11). 3 kap. 19 Skydd mot olovlig åtkomst Det är viktigt att vårdgivarna inte får uppfattningen att 3 kap. 19 i föreslagen föreskrift ersätter 4 kap. 1 3 patientdatalagen. Enligt dessa bestämmelser har vårdgivaren en skyldighet att begränsa personalens åtkomst till patientuppgifter och att vårdgivaren måste göra systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter. 3 kap. 20 Flyttbart medium för informationslagring Datainspektionen anser att 3 kap. 20 i föreslagen föreskrift är otydligt utformad och föreslår följande lydelse: Den vårdgivare som tillåter behandling av personuppgifter på flyttbara lagringsmedia ska säkerställa att obehöriga inte kan ta del av uppgifterna och att uppgifterna inte går förlorade. Det innebär också att rubriken bör ändras till Flyttbara lagringsmedia. 4 kap. Åtkomst till uppgifter om patienter 4 kap. 1-3 Tilldelning av behörigheter Det nu gällande kravet på behovs och riskanalys har tagits bort i förslaget. Detta har inte aktualiserats i samrådsprocessen mellan Socialstyrelsen och Datainspektionen. Datainspektionen anser att det är direkt olämpligt att ta

Datainspektionen 2015-09-15 Diarienr 1284-2015 5 (7) bort kravet på behovs och riskanalys då det skulle minska föreskrifternas tydlighet gentemot vårdgivarna. Datainspektionen har senast under våren 2015 meddelat beslut i ärenden där landstingens och regionernas utformning av behovs och riskanalyser har granskats. Datainspektionen fann brister hos samtliga tillsynsobjekt och konstaterade att bristerna riskerar leda till en obefogad spridning av patientuppgifter. I förarbetena till patientdatalagen konstateras att de grundläggande kraven i 9 personuppgiftslagen är tillämpliga även vid behandling enligt patientdatalagen. En grundläggande princip är att anställda endast bör ha elektronisk tillgång till personuppgifter som de behöver för sitt arbete. Behovs och riskanalyser är nödvändiga för att vårdgivaren ska kunna tilldela vårdpersonalen de behörigheter de har behov av i sitt arbete för att ge en god och säker vård. Vårdgivarna har alltså en skyldighet att genomföra behovsoch riskanalyser även om föreskrifterna ändras i enlighet med förslaget. Av 4 kap. 2 patientdatalagen framgår att behörigheter ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso och sjukvården. Av förarbetena framgår det att det som är avgörande vid behörighetstilldelningar för åtkomst till uppgifter i patientjournaler bör vara att behörigheten ska begränsas till vad befattningshavaren behöver för ändamålet en god och säker patientvård (prop. 2007/08:126 s. 149). Det perspektivet bör framgå även av föreskrifterna. Se även vårt tidigare yttrande (Datainspektionens yttrande 2013 03 28, dnr 404 2013, ert dnr 31 409/11). Sammanfattningsvis anser Datainspektionen att den föreslagna lydelsen rörande tilldelning av behörigheter kan missuppfattas eftersom det kan tolkas som att det sker en ändring i kraven om lydelsen ändras. Det riskerar att leda till ett försämrat skydd för den personliga integriteten. Datainspektionen anser att lydelsen i 2 kap. 6 SOSFS 2008:14 överensstämmer med de krav som finns på behandling av patientuppgifter generellt, och anser därför att denna bestämmelse bör vara kvar. Datainspektionen anser vidare att det i bestämmelsen bör införas ett dokumentationskrav avseende behovs och riskanalyser och beslut om behörighetstilldelning.

Datainspektionen 2015-09-15 Diarienr 1284-2015 6 (7) 4 kap. 9 Kontroll av åtkomst till uppgifter om patienter Logguppföljningen är i sig en behandling av patientuppgifter och ger därför upphov till nya integritetsfrågor. Datainspektionen anser att en bevarandetid på 10 år är en alltför lång tid (se Datainspektionens yttrande 2013 03 28, dnr 404 2013, ert dnr 31 409/11). 4 kap. 11 och 13 Direktåtkomst till uppgifter om den enskilde själv Autentisering är en process i två led. Först identifierar användaren sig, sedan verifierar den ansvarige att den uppgivna identiteten stämmer. Att ange att en person identifieras genom stark autentisering är missvisande eftersom identifiering är en del av autentiseringsprocessen, som innefattar såväl identifiering som verifiering. Datainspektionen föreslår därför att 9 ges följande lydelse: Vårdgivaren ska ansvara för att en enskilds direktåtkomst till sina patientuppgifter och till dokumentation om åtkomst, tillåts endast efter att patientens identitet har säkerställts genom stark autentisering. Datainspektionen anser att det är viktigt att vårdgivaren även fortsättningsvis ska ansvara för att informera den enskilde vart han eller hon ska vända sig för att få hjälp med att förstå dokumentationen (se 2 kap. 15 SOSFS 2008:14 och prop. 2007/08:126 s. 158). 6 kap. Hantering av personuppgifter 6 kap. 2 Skydd mot obehörig åtkomst 6 kap. 2 kan uppfattas som en specifikation av lämpliga organisatoriska säkerhetsåtgärder som den personuppgiftsansvarige ska säkerställa att ett personuppgiftsbiträde vidtar enligt 30 och 31 personuppgiftslagen. Eftersom föreskriften inte kan anses vara uttömmande bör det framgå att vårdgivaren även är skyldig att säkerställa att ett personuppgiftsbiträde vidtar de övriga säkerhetsåtgärder som krävs enligt 31 personuppgiftslagen. Detta kan tydliggöras med ett allmänt råd. Se även vad inspektionen anfört under rubriken Övergripande synpunkter ovan.

Datainspektionen 2015-09-15 Diarienr 1284-2015 7 (7) Detta yttrande har beslutats av generaldirektören Kristina Svahn Starrsjö efter föredragning av juristen Martina Lindkvist. Vid den slutliga handläggningen har även chefsjuristen Hans Olof Lindblom, enhetschefen Katarina Tullstedt och it säkerhetsspecialisten Magnus Bergström deltagit. Kristina Svahn Starrsjö Martina Lindkvist

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss