Tillsyn - äldreomsorg



Relevanta dokument
Tillsyn - äldreomsorg

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Tillsyn enligt personuppgiftslagen (1998:204) behörighetsstyrning m.m. enligt patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) 4 kap. patientdatalagen m.m.

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande genom direktåtkomst

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande av patientuppgifter genom direktåtkomst till apoteksstuderande

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Sammanhållen journalföring 6 kap. patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Försäkringskassan

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Patientdatalagen (PdL) och Informationssäkerhet

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

Tillsyn enligt dataskyddsförordningen (EU) 2016/679 behörighetstilldelning, spärrar, m.m. enligt patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsynsbeslut; omdömen om elever

Tillgång till patientuppgifter - krav på spärrar och aktiva val. Katja Isberg Amnäs Magnus Bergström Datainspektionen

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Frågor och svar. Att ta del av, använda och utbyta uppgifter i hälso- och sjukvård och socialtjänst

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Sammanhållen journalföring 6 kap. patientdatalagen

Samråd om registrering av beslutsoförmögna i det nationella kvalitetsregistret Senior Alert

Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar

Tillsyn enligt inkassolagen (1974:182) användande av konkursinstitutet

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Arbetslöshetskassornas samorganisation (SO)

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

SOSFS 2009:6 (M och S) Föreskrifter. Bedömningen av om en hälso- och sjukvårdsåtgärd kan utföras som egenvård. Socialstyrelsens författningssamling

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Samråd enligt 2 och 3 patientdataförordningen

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Socialdemokraternas medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Tillsyn enligt inkassolagen (1974:182) uppgift om grunden för tele-, TV- och Internetfordringar

Tillsyn enligt personuppgiftslagen (1998:204) 4 kap. patientdatalagen

Transkript:

Datum Diarienr 2011-12-07 876-2010 TioHundranämnden Box 801 761 28 Norrtälje Tillsyn - äldreomsorg Datainspektionens beslut Datainspektionen konstaterar att TioHundranämnden i strid med 6 lagen om behandling av personuppgifter inom socialtjänsten och 31 personuppgiftslagen 1. I Procapita genom direktåtkomst bereder sig åtkomst till personuppgifter som dokumenteras av utförarna. 2. I WebCare genom direktåtkomst lämnar ut personuppgifter från socialtjänsten till hälso- och sjukvården. TioHundranämnden föreläggs därför att upphöra med ovanstående behandling av personuppgifter. Redogörelse för tillsynsärendet Datainspektionen har genomfört en inspektion hos TioHundranämnden den 21 juni 2010 och en den 23 november 2010. TioHundranämnden har fått tillfälle att yttra sig över inspektionsprotokollen samt lämnat synpunkter när det gäller protokollet över det första inspektionstillfället. Datainspektionen har därefter begärt kompletterande information som TioHundranämnden har lämnat. TioHundranämnden fattar beslut om insatser enligt socialtjänstlagen och beställer sedan insatserna av olika bolag. TioHundranämnden har ingått avtal med dessa bolag som bland annat innefattar en skyldighet att använda sig av nämndens verksamhetssystem Procapita. Den största utföraren är TioHundra AB. TioHundranämnden har alltså genom Procapita ett med utförarna gemensamt dokumentationssystem för vård och omsorg. Biståndshandläggarna hos nämnden kan se vad utförarna dokumenterar Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

enligt lagen om behandling av personuppgifter inom socialtjänsten. De kan dock inte se den dokumentation som utförarna gör enligt patientdatalagen. Skäl för beslutet Procapita I ärendet har framkommit att samtliga TioHundranämndens biståndshandläggare genom direktåtkomst har obegränsad åtkomst till alla uppgifter, såsom dagliga sociala anteckningar, som utförarna dokumenterar om klienterna enligt lagen (2001:454) om behandling av personuppgifter inom socialtjänsten. TioHundranämnden har bland annat uppgett följande. Handläggning av ärenden som rör enskilda samt genomförande av beslut om insatser ska dokumenteras. Dokumentationen bör hållas samman in i en personakt som tillhör den nämnd som ansvarar för handläggningen av ärendet. Eftersom TioHundranämndens biståndshandläggare är de som utreder och fattar beslut i myndighetsutövning, är det också de som har ansvaret för att beslutade insatser följs upp och dokumenteras. Det är därför nödvändigt att personuppgifter behandlas på detta sätt. En del av den uppföljning som utförs kan ske på ett effektivt och kvalitetssäkert sätt genom Procapita. Tillämpliga bestämmelser m.m. Enligt 6 lagen om behandling av personuppgifter inom socialtjänsten får personuppgifter behandlas bara om behandlingen är nödvändig för att arbetsuppgifter inom socialtjänsten ska kunna utföras. Personuppgifter får även behandlas för uppgiftsutlämnande som föreskrivs i lag eller förordning. Av 8 samma lag framgår att ifråga om utlämnande av personuppgifter som finns inom socialtjänsten gäller de begränsningar som följer av offentlighetsoch sekretesslagen (2009:400), socialtjänstlagen (2001:453) och lagen (1993:387) om stöd och service till vissa funktionshindrade. Av Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2006:5) om dokumentation vid handläggning av ärenden och genomförande av insatser enligt SoL, LVU, LVM och LSS anges i 6 kap. 2 att genomförandet av ett beslut om en insats ska dokumenteras fortlöpande. I de allmänna råden anges att om en beslutad insats genomförs i enskild verksamhet, bör dokumentationen under genomförandet hållas samman i en personakt som upprättas hos den som genomför insatsen. Genomförandet av ett beslut om en insats bör dokumenteras i en journal, oavsett om insatsen genomförs av den nämnd som har fattat beslut i ärendet, av en annan nämnd än den beslutande eller i enskild verksamhet. Av en journal som tillhör en annan nämnd än den beslutande eller en enskild verksamhet bör det dessutom Sida 2 av 7

framgå vilka uppgifter som, efter en prövning enligt bestämmelserna i sekretesslagen eller bestämmelserna om tystnadsplikt i 15 kap. 1 SoL eller 29 LSS, har lämnats till den nämnd som har fattat beslut i ärendet. Av en sådan journal bör det även framgå när och till vem uppgifterna har lämnats. Behörighetsstyrning av elektronisk åtkomst till personuppgifter inom socialtjänsten regleras av bestämmelserna i lagen om behandling av personuppgifter inom socialtjänsten samt säkerhetsbestämmelserna i 31 personuppgiftslagen. Tilldelade behörigheter ska enligt dessa bestämmelser motsvara befattningshavarens aktuella arbetsuppgifter. Därför behövs väl avpassade rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheter. När det gäller verksamhetsuppföljning inom hälso- och sjukvården har regeringen uttalat att det för flertalet befattningshavare bör räcka med tillgång till uppgifter som endast indirekt kan härledas till enskilda patienter. Elektronisk tillgång till kodnycklar, personnummer och andra uppgifter som direkt pekar ut enskilda bör kunna vara begränsad till enstaka personer (prop. 2007/08:126 s 149 och 166). Dessa synpunkter anser Datainspektionen även vara relevanta inom socialtjänstområdet. Datainspektionens bedömning Av regelverket framgår således att uppgifter inte utan vidare kan lämnas från den verksamhet som genomför en insats, till den nämnd som har fattat beslut i ärendet. Datainspektionens bedömer att varje uppgiftslämnande ska ha föregåtts av en prövning enligt bestämmelser om sekretess och tystnadsplikt. Härtill kommer att det knappast kan anses vara nödvändigt för TioHundranämnden att dagligen kunna ta del av samtliga noteringar som utförarna gör. Inte heller att samtliga biståndshandläggare har tillgång till all information. Mot bakgrund av det ovanstående bedömer Datainspektionen att det inte kan anses vara förenligt med 6 lagen om behandling av personuppgifter inom socialtjänsten och 31 personuppgiftslagen att låta biståndshandläggarna hos den nämnd som fattat beslut i ärendet genom direktåtkomst få tillgång till uppgifter som dokumenteras av den som genomför insatsen. TioHundranämnden ska därför föreläggas att upphöra med att genom direktåtkomst bereda sig åtkomst till personuppgifter som dokumenteras av utförarna. Sida 3 av 7

Datainspektionen förutsätter att TioHundranämnden dessutom ser över vilka biståndshandläggare som behöver ha åtkomst till vilken information om klienterna inom socialtjänsten. Detta gäller även när det inte är frågan om direktåtkomst till uppgifter hos utföraren. Procapita; logguppföljning I ärendet har följande framkommit. Det finns en rutin för åtkomstkontroll i Procapita som omfattar samtliga användare. TioHundranämnden tar ut loggutdrag till utförarorganisationernas verksamhetschefer. Ingen obehörig åtkomst har kunnat konstateras utifrån loggranskningar, varken vid systematisk kontroll, eller granskning på förekommen anledning. Det finns ingen fastställd bevarandetid för loggarna. Loggarna har ännu inte gallrats. Krav på åtkomstkontroll inom socialtjänsten följer av säkerhetskraven i 31 personuppgiftslagen. Datainspektionen förutsätter att TioHundranämnden kontinuerligt utvärderar rutinerna för åtkomstkontroll för att säkerställa att rutinerna är verkningsfulla. Till stöd för detta arbete bifogas Datainspektionen checklista för hälso- och sjukvården Systematisk logguppföljning, som även kan ge vägledning för socialtjänsten. WebCare I ärendet har följande framkommit. WebCare är ett verktyg som används för kommunikation mellan vårdgivarna och Tiohundranämnden. Det kan röra patienter inom landstingets primär- eller slutenvård som är i behov av kommunal vård. Typiska användningsområden är in- respektive utskrivningar, vårdplanering och kommunikation av beslut. Tiohundranämnden kan bara öppna meddelanden som skickats till dem, svara på vad som blivit bestämt på samordnad vårdplanering samt använda en chattfunktion. Sjukhuset får veta vart patienten ska skrivas ut och hur han eller hon ska tas om hand efter utskrivningen. Inloggning till WebCare görs genom användarnamn och lösenord. Det är Stockholms läns landsting som driftar WebCare. Datainspektionen har i ett annat tillsynsärende konstaterat följande. Det måste anses vara fråga om direktåtkomst när användarna får åtkomst till varandras uppgifter i WebCare. Det saknas rättsligt stöd för att genom direktåtkomst överföra personuppgifter i WebCare mellan hälso- och sjukvården och socialtjänsten. Kraven i 6 kap. patientdatalagen om sammanhållen journalföring är inte uppfyllda för att det ska vara tillåtet att Sida 4 av 7

genom direktåtkomst tillgängliggöra patientuppgifter mellan vårdgivare, såvitt avser annat än vårddokumentation enligt 2 kap. 4 första stycket 1 och 2. Det föreligger vidare en allvarlig brist i skyddet för personuppgifter, eftersom informationen är åtkomlig med hjälp av enbart användarnamn och lösenord. Datainspektionen har därför förelagt vårdgivaren att upphöra med den aktuella behandlingen av personuppgifter i WebCare, till dess att bristerna har åtgärdats (Beslut med vårt diarienummer 543-2011 som bifogas). När det gäller det rättsliga stödet för att genom direktåtkomst lämna ut personuppgifter i WebCare från socialtjänsten till hälso- och sjukvården anser Datainspektionen följande. Som framgått ovan (under rubriken Procapita) innebär regelverket på socialtjänstområdet att uppgifter inte utan vidare kan lämnas ut mellan olika verksamheter inom socialtjänsten. Detta gäller i ännu högre grad mellan socialtjänsten och hälso- och sjukvården. För att det ska vara tillåtet att tillämpa en form av sammanhållen journalföring mellan socialtjänsten och hälso- och sjukvården anser Datainspektionen att det krävs författningsändringar både i det regelverk som gäller för hälso- och sjukvården och i det regelverk som gäller för socialtjänsten. Datainspektionen konstaterar att TioHundranämnden i WebCare genom direktåtkomst lämnar ut personuppgifter från socialtjänsten till hälso- och sjukvården i strid med 6 lagen om behandling av personuppgifter inom socialtjänsten och 31 personuppgiftslagen. TioHundranämnden ska därför föreläggas att upphöra med ovanstående behandling av personuppgifter. Ärendet ska därmed avslutas men kan komma att följas upp. Hur man överklagar Om ni vill överklaga beslutet ska ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagande ska ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt som ni begärt. Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Hans-Olof Lindblom, tillsynschefen Erik Janzon, IT-säkerhetsspecialisten Magnus Bergström och juristen Katarina Högquist, föredragande. Sida 5 av 7

Göran Gräslund Katarina Högquist Sida 6 av 7

Kopia till: Socialdepartementet SKL Socialstyrelsen Sida 7 av 7

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss