Datum Diarienr 2013-05-31 1440-2012 Hälso- och sjukvårdnämnden Region Gotland 621 81 Visby Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datainspektionens beslut Datainspektionen konstaterar att Hälso- och sjukvårdsnämnden, Region Gotland (härefter Region Gotland), har kommit en bra bit på väg i och med att huvudjournalsystemet TakeCare samt KibiBase, såvitt Datainspektionen uppfattar det, har tekniska funktioner för spärrar. I tre system kommer det att införas en spärrfunktion, som Datainspektionen uppfattar det, under senare delen av 2013 och fram till dess finns det tillfälliga övergångslösningar. Det saknas tekniska funktioner för spärrar i tre system. Region Gotland föreläggs därför: Att omgående vidta åtgärder för att leva upp till kraven i patientdatalagen i de system som fortfarande inte går att spärra, och lämpligen i samband med detta upprättar tidsplaner. Vidare förutsätter Datainspektionen: Att de patienter som vill spärra den information som finns under rubriken patientuppgifter i journalsystemet TakeCare också kommer att kunna göra detta. Ärendet avslutas. Redogörelse för tillsynsärendet Datainspektionen har i ett beslut den 15 juni 2012, diarienummer 724-2011, konstaterat att uppskattningsvis 12 system, däribland även system som ingår i Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
sammanhållen journalföring, inte kunde spärras på det sätt som krävs enligt patientdatalagen. För flertalet system framgick inte på ett tydligt sätt när Region Gotland hade tänkt tillgodose patienternas rätt till spärrar, eller hur Region Gotland avsåg att tillgodose rätten fram till dess att spärrfunktioner finns på plats. Region Gotland förelades därför att ge in en redogörelse för när funktioner för tekniska spärrar som möjliggör för vårdgivaren att leva upp till kraven i patientdatalagen kommer att vara genomförda i de aktuella systemen, samt vilka tillfälliga övergångslösningar som Region Gotland har vidtagit beträffande mer omfattande patientjournalsystem som innehåller många känsliga personuppgifter. Region Gotland gav in en redogörelse den 3 oktober 2012. Eftersom det kvarstod vissa frågetecken begärde Datainspektionen kompletterande information, som vi fick den 8 januari 2013 samt den 29 och 30 maj 2013. Skäl för beslutet Datainspektionen har i det nu aktuella ärendet utgått från de uppgifter som Region Gotland har inkommit med efter Datainspektionens beslut den 15 juni 2012. Region Gotland är ansvarigt för att dessa uppgifter är korrekta. Datainspektionen vill här understryka att det är Region Gotland som är personuppgiftsansvarig och som således är ytterst ansvarig för att patientuppgifterna behandlas i enlighet med patientdatalagens regler. Av handlingarna i ärendet framgår bland annat följande. Huvudjournalsystemet TakeCare (härefter TakeCare) uppfyller kraven på spärrar i patientdatalagen, bortsett från att vissa allmänna personuppgifter inte omfattas av de spärrfunktioner som finns i systemet. Region Gotland ingår i samma systeminstallation som Stockholms läns landsting (SLL) och kommer att ta del av de systemanpassningar som genomförs där. Datainspektionen vill i sammanhanget informera om följande. Inspektionen utförde i december 2012 en inspektion av hur bl.a. spärrfunktionen ser ut i TakeCare. Vid inspektionen fanns företrädare för Karolinska universitetssjukhuset och Stockholms läns sjukvårdsområde (SLSO) närvarande. Det framkom då att, i den versionen som granskades, all vårddokumentation kunde spärras bortsett från den information som fanns i uppgiftskategorin - patientuppgifter. Patientuppgifter utgörs dels av uppgifter som hämtas från andra källor och därför inte är möjliga att spärra såsom folkbokföringsinformation, dels diverse uppgifter som vårdgivaren själv lagt in såsom telefonnummer, dostilldelning, information om hemtjänst och funktionsnedsättning. De sistnämnda uppgifterna kan enligt uppgift raderas om Sida 2 av 5
patienten vill det. Region Gotland använder samma version av TakeCare som SLSO. I övrigt har Region Gotland uppgett bl.a. följande. Det går även att spärra uppgifter med en teknisk funktion i KibiBase (tidigare Kovis). KibiBase kan endast nås via direktanrop från Takecare. De spärrar som finns i TakeCare gäller därmed även för KibiBase. Spärrarna från TakeCare överförs dock inte per automatik till KibiBase, utan måste läggas separat. Beträffande systemen Obstetrix och Milou (ett delsystem som ingår i Obstetrix) skulle, från den 1 april 2013, spärrhantering ske genom den nationella spärrtjänsten. Leveransen är dock försenad och istället beräknad till augusti 2013. Systemet Obstetrix är således inte påkopplat till den nationella spärrtjänsten ännu, men Region Gotland har en införandeplan även om ett exakt datum ännu inte är bestämt. Patientinformation i Obstetrix är endast tillgänglig över vårdgivargränser, genom sammanhållen journalföring, efter medgivande från patienten. I fyra system behövs ingen teknisk funktion för spärr. I systemen Carelink Pro, Diasend Klinik och Spida 5 har databasen delats upp i separata delar och informationen har separerats. I systemet Physio Tools har andra åtgärder vidtagits som medför att informationen inte delas mellan vårdenheterna. Systemet Kundrad, som inte går att spärra med en teknisk funktion, kommer under hösten 2013 att ersättas med systemet Sectra Order Management som har erforderlig spärrfunktion och samtyckeshantering. Planerat införande är senast årsskiftet 2013/2014. I väntan på systemskifte har Region Gotland, som Datainspektionen uppfattar det, en tillfällig övergångslösning. Det saknas en teknisk funktion för spärrar i två system, Muse EKG och Sesam. Beträffande Muse EKG har leverantören ingen uppgift om när en version som uppfyller kraven kommer att släppas på den svenska marknaden. Företaget har heller inget förslag på hur problemet ska kunna lösas på annat sätt. Informationen i systemet består endast av en grafisk kurva och systemets automatiska tolkning av denna. All dokumentation sker i TakeCare. När det gäller systemet Sesam utreder Region Gotland om systemet innehåller vårddokumentation. Därefter kan en eventuell begäran om anpassning skickas till tillverkaren. Om så vore saknas övergångslösning. Sida 3 av 5
Region Gotland uppger att systemet Pascal inte är ett journalsystem och därmed inte ingår i sammanhållen journalföring. I Pascal finns ingen vårddokumentation. Den information som Datainspektionen hittills har mottagit i andra ärenden tyder på att personuppgiftsbehandlingen i systemet Pascal faller in under 2 kap. 4 punkterna 1 och 2 i patientdatalagen. Datainspektionen utgår från att Region Skåne noga utreder frågan vidare samt i samband härmed även utreder hur spärrfunktioner i enlighet med patientdatalagen kan uppnås i systemet. Datainspektionens bedömning Mot bakgrund av ovanstående konstaterar Datainspektionen att Region Gotland har kommit en bra bit på väg i och med att TakeCare och KibiBase, såvitt Datainspektionen uppfattar det, har tekniska funktioner för spärrar. I tre system kommer det att införas en spärrfunktion, som Datainspektionen uppfattar det, under senare delen av 2013 och fram till dess finns det tillfälliga övergångslösningar. Det saknas tekniska funktioner för spärrar i tre system. Region Gotland ska därför föreläggas: Att omgående vidta åtgärder för att leva upp till kraven i patientdatalagen i de system som fortfarande inte går att spärra, och lämpligen i samband med detta upprättar tidsplaner. Vidare förutsätter Datainspektionen: Att de patienter som vill spärra den information som finns under rubriken patientuppgifter i journalsystemet TakeCare också kommer att kunna göra detta. Ärendet avslutas. Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet skall ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Sida 4 av 5
Detta beslut har fattats av tillsynschefen Erik Janzon i närvaro av juristen Maria Bergdahl, föredragande. Erik Janzon Maria Bergdahl Kopia till: Personuppgiftsombudet Kontaktperson hos Region Gotland Sida 5 av 5