Policy och tillämpningsförslag. Informationsutbyte. mellan externa vårdgivare och Region Skåne



Relevanta dokument
Tillämpningsanvisningar för tillgång till och utlämnande av patientinformation

BESLUT. Datum Dnr Tillämpningsanvisningar om Rätt att ta del av patientuppgifter inom Region Skåne

Rätt information på rätt plats i rätt tid (SOU 2014:23) remissvar till kommunstyrelsen

Nationell Patientöversikt (NPÖ) för en effektiv och säker vård inom vård- och omsorgsboende i Solna kommun

Sekretess, lagar och datormiljö

Sammanhållen journalföring och Nationell Patientöversikt i Västra Götalandsregionen

Rutin för loggning av HSL-journaler samt NPÖ

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun.

Koncernkontoret Enheten för säkerhet och intern miljöledning

Rutin för loggkontroll av åtkomst till hälso- och sjukvårdsdokumentation

BESLUT. Instruktioner om styrning av behörigheter för åtkomst till uppgifter om patienter

Regelverk för digital utomlänsfakturering

Informationshantering och journalföring. nya krav på informationssäkerhet i vården

Information om personuppgiftsbehandling till studenter

Juridisk bedömning kommer att ske när avtalsförslag upprättas.

Habiliterings- och hjälpmedelsnämnden

Nationell patientöversikt en lösning som ökar patientsäkerheten

Medicinsk service Division IT/MT IT/MT Samordning

Koncernkontoret Koncernstab HR

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Riktlinjer för hälso- och sjukvård. Avsnitt 11. Läkarkontakt

Integritetsskyddspolicy GDPR

ORGANISATIONSNUMMER: ADRESS: NORDENSKIÖLDSGATAN 14, GÖTEBORG

Avtal om Kundens användning av Svevac Bilaga 1 - Specifikation av tjänsten Svevac

Vid frågor om denna integritetspolicy eller behandling av dina personuppgifter kontakta oss via

Frågor och svar. Att ta del av, använda och utbyta uppgifter i hälso- och sjukvård och socialtjänst

Koncernkontoret Finansenheten

Bilaga 1. Preliminär juridisk rapport

Informationssäkerhetspolicy inom Stockholms läns landsting

Inkoppling av annan huvudman för användning av Region Skånes nätverk - RSnet

Överenskommelse om rutin för samordnad habilitering och rehabilitering mellan Landstinget Halland och kommunerna i Halland. enligt

INFORMATIONSSKRIFT OM BEHANDLING AV PERSONUPPGIFTER LEVERANTÖRER, UNDERLEVERANTÖRER OCH SAMARBETSPARTNERS

Lagstöd för att dela patientinformation vid MDK (Multidisciplinära konferenser)

Rutin för loggkontroll av åtkomst till hälso- och sjukvårdsdokumentation

Koncernkontoret Koncernstab HR

Beredningen för integritetsfrågor

Vård i samverkan kommuner och landsting i Uppsala län

Dataintrång - åtgärder vid misstanke om olovlig åtkomst

Svevac - Beskrivning och tjänstespecifika villkor

Riktlinje för informationshantering och journalföring

4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun

Riktlinje för sammanhållen journalföring, nationell patientöversikt, NPÖ

Nitha IT-stöd för händelseanalys. Beskrivning och tjänstespecifika villkor

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Posthantering och annan överföring av sekretessbelagd och integritetskänslig information

Habiliterings- och hjälpmedelsnämnden

Tillgång till patientuppgifter - krav på spärrar och aktiva val. Katja Isberg Amnäs Magnus Bergström Datainspektionen

Informationsteknologi (vårdgivare nivå C)

Hälso- och sjukvårdsdokumentation

Informationssäkerhet med logghantering och åtkomstkontroll av hälso- och sjukvårdsjournaler i Vodok och nationell patientöversikt (NPÖ)

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Riktlinjer för hälso- och sjukvård. Avsnitt 11. Läkarkontakt

Personuppgiftstjänsten och övriga stödtjänster för patientens integritetsskydd Tomas Fransson, Inera

Elektronisk remiss. Beskrivning och tjänstespecifika villkor

Policy för hantering av privata leverantörer

Riktlinjer för hälso- och sjukvårdsdokumentation

Beredningen för integritetsfrågor

ANVISNING. Koncernkontoret. Enheten för informationssäkerhet. Datum: Dnr: Dokumentets status: Beslutad

Patrik Sundström, huvudsekreterare Utredningen om rätt information i vård och omsorg. Utredningen om rätt information i vård och omsorg

Sammanhållen journalföring

Marknadsundersökning Personligt Hälsokonto Personligt Hälsokonto (2) Datum: Version: Författare: I N T E R N T

Loggkontroll - granskning av åtkomst till patientuppgifter

Hantering av loggkontroller och intrång i journal- och passagesystem

Logghantering för hälso- och sjukvårdsjournaler

Säkerhetstjänster Spärr,Samtycke,Logg. Beskrivning och tjänstespecifika villkor

Kvalitetsregister & Integritetsskydd. Patrik Sundström, jurist SKL

MEDICINTEKNISKA PRODUKTER RIKTLINJE FÖR MEDICINTEKNISKA PRODUKTER

Uppsala. Sammanhållen journalföring inom hälso- och sjukvård. Nämnden för hälsa och omsorg

Hälso- och sjukvårdsnämnden

Hälso- och sjukvårdsnämnden

Checklista. För åtkomst till Svevac

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Rutin för loggkontroll och tilldelning av behörigheter i nationell patientöversikt (NPÖ) Rutinen gäller från fram till

Kändisspotting i sjukvården

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Tystnadsplikt och sekretess i vården

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande genom direktåtkomst

Avtal om Kundens mottagande av intyg från Mina intyg Bilaga 1 - Specifikation av tjänsten mottagande av intyg från Mina Intyg

Sammanhållen journalföring med nationell patientöversikt (NPÖ)

Datum Dnr Sjukvårdande behandling utomlands. Habiliterings- och hjälpmedelsnämnden föreslår Hälso- och sjukvårdsnämnden

Hälso- och sjukvård i molnet

Vårdval i Östergötland

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA

Regional riktlinje kring oro för väntat barn

Viktigt förtydligande angående användningen av fråga-svarsfunktionen

Riktlinjer för informationshantering och journalföring i hälso- och sjukvården i särskilt boende i Solna kommun

Ansvarsförbindelse för Stockholms Läns Landstings Elektroniska Katalog (EK)

kommunen som vårdgivare Information till Dig som är hemsjukvårdspatient, får rehabiliteringsinsatser och/eller hjälpmedel

I n fo r m a ti o n ssä k e r h e t

Samtycke vid direktåtkomst till sammanhållen journalföring

HÄLSO- OCH SJUKVÅRDSDOKUMENTATION SAMT HANTERING AV JOURNALUPPGIFTER

Datum Dnr Policy och riktlinjer gällande vård för personer från andra länder

Vet du vad det står om dig? Om personuppgifter, patientjournalen, biobanker och nationella kvalitetsregister.

Loggkontroll - granskning av åtkomst till patientuppgifter

Samverkansrutin Demens

Närsjukvårdsberedningen

Transkript:

Hälso- och sjukvårdsledningen POLICY Datum December 2004 Dnr HSN/000000 Policy och tillämpningsförslag Informationsutbyte mellan externa vårdgivare och Region Skåne Adress: S-291 89 KRISTIANSTAD Besöksadress: Skånehuset, J A Hedlunds väg Telefon: Växel 044-13 30 00 (kl. 08.00-16.30) Fax: 044-13 33 71 Postgiro: 57 69 74-0 Bankgiro: 5094-3174 Organisationsnummer: 23 21 00-0255

Innehållsförteckning 1. Inledning... 3 1.1 Bakgrund... 3 1.2 Mål... 3 1.3 Avgränsningar/kommentar... 3 2. Definitioner... 4 3. Grundläggande princip för behörighet... 5 4. Grundläggande förutsättningar/krav för informationsutbyte med externa vårdgivare... 5 4.1 Behörigheten hos den (från Region Skånes synpunkt) externa vårdgivaren skall finnas och kunna styrkas... 6 Hälso- och sjukvårdspersonalen ska vara säkert identifierad... 6 4.3 Säkert informationsutbyte... 7 4.4 Uppföljning... 7 4.5 Avtal rörande informationsutbytet... 7 5. Interimslösning Handläggningsordning för framtagning av lösningar i nuläget... 8 2

1. Inledning 1.1 Bakgrund Verksamhets- och organisationsförändringar inom hälso- och sjukvården innebär en utveckling mot ökad samverkan. Samverkan sker delvis i nya former. Detta gäller inom Region Skåne men också i allt högre grad också mellan Region Skåne och enheter inom andra landsting, kommunal sjukvård och privat sjukvård. Genomförandet av Skånsk Livskraft kommer att ställa högre krav på en fungerande samverkan mellan Region Skåne och dessa - ur Region Skånes synvinkel - externa vårdgivare. Det finns därför ett starkt behov av policys som reglerar en sådan samverkan inte minst när det gäller tillgång till och utbyte av patientinformation mellan Region Skåne och externa vårdgivare och även vilka regler som ska gälla för tillgång till och användning av respektive parts informationssystem samt förslag på hur en sådan policy skall tillämpas i praktiken. 1.2 Mål Policyn skall ange de principer och förutsättningar som ska gälla för: 1.2.1 Tillgång till vårdinformation a) Externa vårdgivares tillgång till sådan vårdinformation som idag finns i Region Skånes vårdinformationssystem b) Region Skånes vårdgivares tillgång till sådan vårdinformation som idag finns i externa vårdgivares vårdinformationssystem 1.2.2 Tillgång till användning av respektive parts (Regions Skånes och externa vårdgivares) vårdinformationssystem. 1.3 Avgränsningar/kommentar Eftersom Region Skåne inte i en policy kan ange vad som skall gälla för externa vårdgivares utlämnande av information så tas här endast upp sådana förutsättningar som skall gälla för att Region Skåne i sitt informationsutbyte med externa vårdgivare skyddar den egna informationen från intrång, förvanskning, virus i nätverk osv. Tillgång för Region Skåne till informationen från externa vårdgivares system får regleras i avtal Informationsutbyte och tillgång till informationssystem inom Region Skåne (Region Skånes inre sekretessområde) regleras i annan policy. 3

2. Definitioner Följande definitioner gäller: Vårdgivare Med vårdgivare avses här enhet där hälso- och sjukvård bedrivs (klinik, vårdcentral, privat mottagning, kommunalt sjukhem etc. juridisk person) och enskilda personer som har ett avtal som privata vårdgivare. Extern vårdgivare yttre sekretessområde Med extern vårdgivare avses juridisk person eller fysisk person (hälso- och sjukvårdspersonal) som arbetar privat eller för annan arbetsgivare utanför Region Skåne. Exempel på detta är privata vårdgivare (med eller utan avtal med Region Skåne) vårdgivare i kommunal eller statlig regi eller vårdgivare anställda i andra landsting. Till extern vårdgivare räknas också i denna policy myndigheterna Habilitering och hjälpmedel samt Tandvårdsförvaltningen som är enheter inom Region Skåne. Behov Behovet avser den relevanta vårdinformation som vårdgivaren anses behöva för att lösa uppgiften visavi patienten. Behovet avgörs av situationen och är hälso- och sjukvårdspersonalens ansvar. Vårdrelation Vårdrelation uppstår när personal ansvarar för eller deltar i en patientrelaterad aktivitet. Med sådan aktivitet avses när personal planerar, utför eller följer upp aktivitet i förhållande till patienten. En vårdrelation uppkommer även i verksamheter, som inte kommer i direkt kontakt med patienten t ex laboratorier. Samtycke Ett samtycke i detta sammanhang avser patientens samtycke för tillgång till vårdinformation. Samtycke krävs vid informationstillgång som skall gå mellan sekretessområdesgränserna från yttre sekretessområde till inre och vice versa. Menprövning Menprövning innebär att myndigheten (Region Skåne) prövar om det är till men för patienten om information utlämnas. Menprövning kan endast göras av myndighet och inte av privat vårdgivare. Menprövningen skall avse specifik information och gälla en identifierad mottagare samt avse viss situation eller visst tillfälle. Vårdinformation Med vårdinformation avses här både: o Patientinformation - sådan information som rör patientadministrativa uppgifter såsom: Personnummer, reservnummer, debiteringsunderlag, adress, telefonnummer, civilstånd, vald familjeläkare etc. o Vårdinformation - information av typen kontaktorsak, patientrelaterade aktiviteter (planerade, genomförda och utvärderade) liksom uppfattade tillstånd (diagnos t.ex.) samt resultat. 4

Exempel på information som kan vara intressant och relevant för externa vårdgivare är: o Personuppgifter i personregister och patientregister o Listningsinformation o Tidböcker/väntelistor o Laboratoriesvar röntgensvar och remisser, läkemedelslistor, Viktig Medicinsk Information etc. o Information för samordnad vårdplanering o Patientjournaluppgifter i övrigt Exempel på information som kan vara intressant och relevant för Region Skåne är: o Debiteringsunderlag från privata vårdgivare o Diagnosuppgifter o Läkemedelsförskrivningar o Information för samordnad vårdplanering o Patientjournaluppgifter i övrigt Systemägare Person i organisationen som leder den verksamhet som systemet betjänar och ansvarig för att ändamålsenliga resurser finns för verksamheten. 3. Grundläggande princip för behörighet Grundläggande principer för behörighet är o Tillgång till vårdinformation ska baseras på behov. Informationen ska göras tillgänglig för hälso- och sjukvårdspersonalen för de behov som aktualiseras vid vård och behandling av en patient. o En vårdrelation ska finnas. För att få tillgång till information krävs att det finns en vårdrelation mellan den vårdsökande/patienten och personalen. o Patient och hälso- och sjukvårdspersonal ska vara säkert identifierade personer. Säker identifiering av alla aktörer personer/patienter och personal är en förutsättning för tillgång till vårdinformation. o Hanteringen av vårdinformation ska gå att följa upp både avseende patient och personal. All hantering ska kunna spåras. Detta gäller såväl när man tagit del av, mottagit, bearbetat, ändrat som lämnat ut information. 4. Grundläggande förutsättningar/krav för informationsutbyte med externa vårdgivare För informationsutbyte med extern vårdgivare krävs förutom att de grundläggande principiella skälen finns (punkt 3 ovan) att ett antal förutsättningar är uppfyllda. Anledningen till detta är att känslig information journalinformation och dylikt måste skyddas från obehörigt utnyttjande och de system som håller informationen från skador i form av virus mm som kan uppstå på grund av dålig säkerhet. 5

4.1 Behörigheten hos den (från Region Skånes synpunkt) externa vårdgivaren skall finnas och kunna styrkas Behörigheten kan delas upp i två olika delar med olika innebörd: a) Behörighet = användarrättighet Med detta avses att det finns en användarrättighet för den externa vårdgivaren att använda systemet/tjänsten användaren skall i praktiken vara upplagd med någon form av behörighetsprofil i berört system/tjänst. Användarrättighet kan tilldelas juridisk person eller fysisk person men varje fysisk persons användarrättighet administreras av den informationsansvarige eller den i Region Skåne som den informationsansvarige delegerat ansvaret till. b) Behörighet = rättigheten till information Behörigheten hos den externa vårdgivaren till viss information och som hänger på att vårdrelation och behov föreligger samt att det finns ett samtycke skall kunna kontrolleras. Ansvaret att kontrollera denna behörighet åligger den som är informationsansvarig eller den som den informationsansvarige delegerat uppgiften till, exempelvis den som tecknat avtal med den externa vårdgivaren. Uppföljning skall ske regelbundet och strukturerat samt riktat, vid misstanke om regelöverträdelse. (Se även punkt 4.4 nedan) Hälso- och sjukvårdspersonalen ska vara säkert identifierad Med säker identifiering menas att hälso- och sjukvårdspersonalen hos den externa vårdgivaren har en unik identitet som kan kontrolleras av Region Skåne i samband med begäran om tillgång till vårdinformation. Identiteten skall vara känd och spårbar. För externa vårdgivare gäller att identifieringen skall ske med e- legitimation baserat på elektroniskt ID-kort ( säkert kort ) kompletterat med ett hälso- och sjukvårdscertifikat. Genom ett hälso- och sjukvårdscertifikat intygas hälso- och sjukvårdspersonens identitet och yrkestitel samt knytningen till den organisation där personen har uppdrag. För närmare information om hur säkra kort, hälso- och sjukvårdscertifikat mm fungerar i praktiken hänvisas till nedanstående länk. http://www.skane.se/templates/page.aspx?id=7325 6

4.3 Säkert informationsutbyte Följande skall gälla för att informationsutbytet med externa vårdgivare skall anses säkert: o Det skall finnas en säker identifiering av de applikationer/tjänster som används o Information skall vara spårbar till ursprung och hantering (läst, skrivet, ändrat och av vem) o Information skall skyddas från förvanskning under transport mellan informationsskällorna o Informationen skall skyddas för insyn under transport och endast vara läsbara av den som är avsedd mottagare Hög klientsäkerhet är viktig. Det innebär uppdaterat virusskydd, uppdaterat operativsystem (särskilt säkerhetspatchar), uppdaterade programvaror på klienten och uppdaterad personlig brandvägg. 4.4 Uppföljning Syftet med uppföljning av informationsutbytet med externa vårdgivare är att granska hur utnyt t- jande av tillgång till vårdinformation sker i förhållande till behörigheten. o Uppföljning skall ske regelbundet och strukturerat o Uppföljning skall ske riktat vid misstanke om regelöverträdelse För att kunna göra uppföljning krävs att loggning sker av: o Vem som har utnyttjat tillgång till vårdinformation o Vilken vårdinformation som utnyttjats o Vad som gjorts o När detta gjorts o Hur länge Ansvarig för uppföljningen är den som är informationsansvarig för berörd information eller den som fått ansvaret delegerat till sig exe mpelvis den som tecknat avtal med den externa vårdgivaren. Systemägaren ansvarar för att vårdinformationssystemet har verktyg fö r att ge tillgång till vårdinformation, att loggning sker och att verktyg för uppföljning finns. 4.5 Avtal rörande informationsutbytet Åtkomsten till information/system ska regleras i avtal. Avtalet skall bland annat reglera sekretessfrågor, säkerhetsfrågor och ekonomi. Andra viktiga frågor som ska regleras är ansvar, förvaltning och underhåll rörande det informationsutbyte som sker mellan Region Skåne och den externa vårdgivaren. Ett avtal bör därför vara tydligt när det gäller ansvarsfördelningen och hur support, helpdesk, nya versioner, kontaktpersoner etc. skall hanteras och finansieras. Avtal om informationsutbyte tecknas endast med enheter som har avtal om sin verksamhet med Region Skåne i form av t.ex. vårdavtal, samverkansavtal eller samarbetsavtal (exempelvis kommuner). Förutsättningarna för utbyte och tillgång till information liksom behörighetsfrågorna och uppföljning regleras i respektive avtal eller som ett tillägg till tidigare tecknade avtal. 7

5. Interimslösning Handläggningsordning för framtagning av lösningar i nuläget Punkt fyra uttrycker en ambitionsnivå för hur informationssäkerheten skall hanteras i en väl utbyggd infrastruktur och med en ny generation IT-tjänster. Majoriteten av nuvarande IT-applikationer/tjänster i Region Skåne saknar i dagsläget (år 2004) förutsättningar att uppfylla de krav som ställs i punkt fyra ovan. Samtidigt ställs allt högre krav på en fungerande samverkan mellan Region Skåne - externa vårdgivare och att det snabbt skapas praktiskt tillämpbara lösningar. För att därför få till stånd praktiska lösningar idag som, i avvaktan på att nya säkrare IT-tjänster tas fram, ändå uppfyller rimliga krav på säkerhet, anges följande ordning för framtagning av dessa lösningar. Handläggningsordning Deltagande I samband med upprättande av ett informationsutbyte med externa vårdgivare skall samråd ske mellan följande aktörer. Handläggningen bör ske skyndsamt o Systemägare eller dennes delegerade o Ansvarig för Skånet eller dennes delegerade o Representant från ITT (Knutpunkten) o Representant från informationssäkerhetsgruppen o Avtalsansvarig/motsvarande i Region Skåne gentemot den externa vårdgivaren eller dennes delegerade o Ev leverantör till Applikationen/tjänsten (vid behov) o Ev. extern vårdgivare (vid behov) Ansvarig för att samordning sker är den som är beställare av lösningen. Målet med samordningen är att: o Klargöra problem och mål med föreslaget informationsutbyte o Anvisa (praktiskt) förslag på lösning o Visa på hot och risk med föreslagen lösning o Lämna projektförslag för genomförande Kan man inte enas om en godtagbar lösning skall frågan inklusive en hot- och riskanalys föreläggas Regiondirektören för beslut om fortsatt handläggning. Projektgenomförande I projektgenomförande ingår att ta fram: o Fungerande lösning i enlighet med projektförslaget o Avtal (se punkten 4.5 ovan) inklusive Ansvar för lösningen Förvaltning och support Kontaktpersoner Finansiering etc. 8

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss