...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
| Innehållsförteckning |
|---|
1 Revisionshistorik
| Datum | Version | Namn | Kommentar |
|---|---|---|---|
| 2018-11-16 | PA01 | Björn Skeppner | Första utkastet till stomme & innehåll |
| 2018-12-17 | PA02 | Björn Skeppner | Påbörjat med innehåll |
| 2019-01-09 | PA03 | Björn Skeppner | Kompletterat kapitel 5 & 6 |
2 Inledning
| Skeppner | Kompletterat kapitel 5 & 6 |
2 Inledning
Det har framkommit att det finns variationer mellan landstingen kring hur de hanterar spärrar inom sammanhållen journalföring. En effekt av detta är att det har uppkommit onormal belastning på den nationella instansen av Ineras nationella spärrtjänst, bl.a beroende på en oväntad stor mängd replikering (kopiering) av spärrinformation. Det förekommer även skillnader på hur man möjliggör för en patient att begära spärrar för ett stort antal vårdgivare, vilket kan resultera i ett stort antal spärrar i berörda spärrtjänster.
Ramverket har framtagits iterativt inom en arbetsgrupp och har till viss del utgått från lokalt befintliga rutinbeskrivningar. Därefter har ramverket ytterligare kompletterats och fastställts av en referensgrupp sammansatt för ändamålet.
Ramverket riktar sig primärt till personer inom Hälso- och sjukvård som har att hantera spärrar inom sammanhållen journalföring, ex spärradministratörer, hälso- och sjukvårdspersonal och verksamhetschefer.
Ramverket beskriver kortfattat de regulatoriska krav som finns gällande hantering av personuppgifter. Ex Patientdatalagen, olika registerlagstiftning och myndigheters föreskrifter, t.ex och HSLF-FS 2016:40 och hur de påverkar hanteringen av spärrar.
3 Syfte
Syftet med detta ramverk är att ge aktörer inom Hälso- och sjukvård stöd i form av rutinbeskrivningar och stödjande dokument så att de på ett likvärdigt sätt hanterar spärrar för en patient.
På så sätt får en patient en likvärdig hantering av sina spärrar, oavsett var i Sverige personen har sökt vård.
...
5 Förutsättningar
5.1 Regulatoriska krav
Här beskrivs kortfattat ett antal lagar, föreskrifter och riktlinjer som påverkar hantering av personens spärrar.
| Lagar, föreskrifter och riktlinjer | Innebörd (inom detta sammanhang) |
|---|---|
| Patientdatalag (SFS 2008:355) [ R2 ] | Patientens möjlighet att begränsa elektronisk åtkomst för vårdsyfte4 § Personuppgifter som dokumenterats för ändamål som anges i 2 kap. 4 § första stycket 1 och 2 hos en vårdenhet eller inom en vårdprocess får inte göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vårdgivare, om patienten motsätter sig det. I sådana fall ska uppgiften genast spärras. Vårdnadshavare till ett barn har dock inte rätt att spärra barnets uppgifter. Uppgift om att det finns spärrade uppgifter får vara tillgänglig för andra vårdenheter eller vårdprocesser. 5 § En spärr enligt 4 § första stycket får hävas av en behörig befattningshavare hos vårdgivaren, om Uppgift om vårdenheter eller vårdprocesser som spärrat uppgifterna ska i det fall som avses i 2 göras tillgängliga. |
| Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40) [ R3 ] | 4 kap. Åtkomst till uppgifter om patienter Åtkomst till ospärrade uppgifter om en patient vid sammanhållen 6 § Vårdgivaren ska ansvara för att en behörig användares åtkomst till ospärrade uppgifter om en patient hos en annan vårdgivare föregås av att användaren kontrollerar att förutsättningarna för behandling av personuppgifter enligt 6 kap. 3 § eller 3 a § patientdatalagen (2008:355) är uppfyllda och därefter gör ett aktivt val för att ta del av uppgifterna. Åtkomst till uppgift om spärrade uppgifter vid sammanhållen 7 § Vårdgivaren ska ansvara för att det framgår av systemet med sammanhållen journalföring att det finns spärrade uppgifter om en patient hos någon annan vårdgivare. Vårdgivaren ska även ansvara för att information om vilken eller vilka vårdgivare som har spärrade uppgifter om en patient endast görs tillgängliga efter att en behörig användare har gjort ett aktivt val. Nödöppning vid sammanhållen journalföring 8 § En vårdgivare som är ansluten till systemet med sammanhållen journalföring ska säkerställa att behöriga användare får tillgång till de uppgifter om en patient som kan antas ha betydelse för den vård patienten oundgängligen behöver när det föreligger fara för hans eller hennes liv eller allvarlig risk för hans eller hennes hälsa. Vid en sådan situation som avses i 6 kap. 4 § patientdatalagen (2008:355) ska vårdgivaren ansvara för att åtkomst till information om vilken eller vilka vårdgivare som har uppgifter om en patient föregås av att den behörige användaren gör ett aktivt val. Vidare ska vid en sådan situation åtkomsten till ospärrade uppgifter om en patient hos en annan vårdgivare föregås av ytterligare ett aktivt val. Om uppgifterna är spärrade, ska en begäran om åtkomst göras hos den vårdgivare som har spärrat uppgifterna. |
...
En vårdgivare som medverkar inom sammanhållen journalföring måste kunna hantera eventuella spärrar som en patient har. Dels spärrar som en annan vårdgivare kan ha satt, dels spärrar som är satta inom den aktuella vårdgivaren. För att patientens spärrar ska finnas tillgängliga oavsett hos vilken vårdgivare de är skapade som har skapat dem så kräver den nationella arkitekturen för spärrhantering att när en vårdgivare sätter en spärr så ska den kopieras till den nationella instansen för spärrar, Inera's spärrtjänst. Inera's spärrtjänst ska således ha information om samtliga spärrar för en patient, oavsett vårdgivare. Detta innebär att en vårdgivare som samverkar inom sammanhållen journalföring och därmed får tillgång till vårdinformation hos andra vårdgivare, är skyldig att ansluta sig till Inera's spärrtjänst för att få tillgång till eventuella spärrar.
...
att få tillgång till eventuella spärrar.
5.3.1 Integrationsmönster spärrhantering (olika sätt att administrera spärrar)
Med spärradministration så åsyftas både att sätta spärr, häva spärr (även temporärt) samt borttagning av spärr.
Spärradministrationen kan ske på följande sätt:
...
- A: Spärrar administreras i det lokala vårdsystemet. Detta system lagrar spärrarna i en lokal spärrtjänst.
Den lokala spärrtjänsten kopierar sedan över spärrarna till den nationella spärrtjänsten - B: Spärrarna administreras direkt i en lokal spärrtjänst.
Den lokala spärrtjänsten kopierar sedan över spärrarna till den nationella spärrtjänsten - C: Spärrarna administreras direkt i den nationella spärrtjänsten (via den s.k hotelltjänsten)
OBS! Med spärradministration så åsyftas både att sätta spärr, häva spärr (även temporär) samt borttagning av spärr.
5.3.2 Kopiering/replikering av administrerade spärrar till den nationella spärrtjänsten
...
För de fall då en verksamhet har ett vårdsystem som är en konsument inom ska hämta information från en annan vårdgivare eller vårdenhet inom ramen för sammanhållen journalföring, så behöver detta system få information om eventuella spärrar på aktuell patient.
Detta kan ske på följande sätt:
...
| Begrepp | Innebörd |
|---|---|
| Autentisering | Kontroll av uppgiven identitet |
| Hälso- och sjukvårdspersonal | Person anställd av vårdgivaren för att utföra vård och behandling |
| Lokal spärrtjänst | Se Spärrtjänst -lokal |
| Patientjournal | En eller flera journalhandlingar som rör samma patient |
| Personidentifierare | En identitetsbeteckning för att identifiera en person. Exempelvis personnummer, samordningsnummer, reservidentitet. |
| Replikering spärradministration | Överföring av information till/från mellan en lokal spärrtjänst och den nationella spärrtjänsten |
| Sammanhållen journalföring | Ett elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare. |
| Sekretess | Ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt. |
| Sekretessreglerad uppgift | En uppgift för vilken det finns en bestämmelse om sekretess, exempelvis är alla uppgifter om enskilds hälsotillstånd eller andra personliga förhållanden, sekretessbelagda enligt 25 kap 1§ OSL. Alla uppgifter inom socialtjänsten om enskilds personliga förhållanden omges av sekretess enligt 26 kap 1§ OSL |
| Sekretessbrytande bestämmelse | En bestämmelse som innebär att en uppgift får lämnas ut under vissa förutsättningar |
| Skyddade personuppgifter | Personer som är utsatta för ett allvarligt och konkret hot kan ansöka om skyddade personuppgifter hos Skatteverket. Personerna kan exempelvis vara utsatta för våld, hot om våld, förföljelse eller andra trakasserier. Det finns tre typer av skyddade personuppgifter eller skyddad identitet som kallas: sekretessmarkering, Skyddad folkbokföring (kvarskrivning) och fingerade personuppgifter. De myndigheter som får skatteverkets uppgift om skyddade personuppgifter ska alltid göra en noggrann prövning innan uppgifterna lämnas ut. |
| Spärr | Otillgängliggörande av journaldokumentation inom en vårdgivare (inre sekretessområde) eller inom sammanhållen journalföring (yttre sekretessområde). Spärr omfattar endast elektroniska patientuppgifter, således ej pappersburen information. Rätten till spärr omfattar även varningsmarkeringar och uppmärksamhetssignaler. Vid spärr ligger ansvaret på att patienten för informationen vidare till de som behöver den. Patienten ”äger spärren”. |
| Spärradministration | Funktion för administration av spärrar. Normalt en central funktion för en eller flera vårdgivare |
| Spärradministratör | Personal som administrerar spärrar, för en eller flera vårdgivare |
| Spärr -inre | Spärr i det inre sekretessområdet (inom vårdgivare). Spärr av journalhandling/vårddokumentation som är avgränsad till en vårdenhet. Innebär att patientuppgifter hos en vårdenhet ej är tillgänglig genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet hos samma vårdgivare, om patienten har begärt att information ska spärras. |
| Spärr -yttre | Spärr av journalhandling / vårddokumentation som är avgränsad till en vårdgivare och innebär att informationen ej är tillgänglig för andra vårdgivare genom sammanhållen journalföring. |
| Spärrtjänst | En IT-tjänst som ger möjlighet att lagra och tillhandahåller uppgifter om patientens begärda spärrar. Spärrtjänsten registrerar spärrar och kontrollerar om en patient har spärrat tillgång till patientinformation inom och mellan vårdgivare. En spärrtjänst ska stödja den nationella arkitekturen för att kunna samverka inom sammanhållen journalföring, se http://rivta.se/domains/informationsecurity_authorization_blocking.html Detta för att samtliga spärrar som registreras för en patient ska kopieras/aggregeras till den nationella spärrtjänsten (Spärrtjänst -nationell) så att patientens samlade spärrar kan bli tillgängliga för system inom sammanhållen journalföring. |
Spärrtjänst -lokal | En IT-tjänst som på lokal nivå (landsting/region etc) ger möjlighet att lagra och tillhandahåller uppgifter av patienten begärda spärrar. Kan vara en lokal version av Inera's Spärrtjänst eller en egenutvecklad. Inera tillhandahåller även lokal spärrtjänst såsom en molntjänst, dvs ett landsting/region etc kan lagra sina spärrar hos Inera's molntjänst (kallas även för Hotelltjänst). |
| Spärrtjänst -nationell | Inera's spärrtjänst för patientens samlade spärrar, dvs spärrar som har registrerats på lokal nivå (lokal spärrtjänst eller motsvarande) och aggregerats upp till den nationella spärrtjänsten, verksamhetsadress: SE165565594230-1000. |
| Stark autentisering | Kontroll av uppgiven identitet på två olika sätt |
| Verksamhet | Inom denna kontext en verksamhet som är inom landsting, kommuner och privata vårdgivare som är offentligt finansierade samt statliga myndigheter. |
| Vårdenhet | Organisatorisk enhet som tillhandahåller hälso- och sjukvård. Vårdenhet kan vara t.ex. vårdcentral, sjukhus, klinik, basenhet, mottagning, vårdavdelning eller motsvarande |
| Vårdgivare | Statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvårdsverksamhet som myndigheten, landstinget eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet (privat vårdgivare). |
| Vårdsystem | Ett system i vilken en vårdverksamhet hanterar administrativa data och journaler kring en patient. |
...
| Nr | Referens |
|---|---|
| 1 | RIV Specifikation Patientdatalagen i Praktiken, |
| 2 | Patientdatalag (SFS 2008:355) |
| 3 | Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40) https://patientsakerhet.socialstyrelsen.se/om-patientsakerhet/centrala-lagar-och-foreskrifter/hslf-fs-2016-40 |
| 4 | Spärrtjänsten https://www.inera.se/tjanster/sakerhetstjanster/Sakerhetstjanster/#5c52c8ff-dfc4-4970-8103-0af54cd32468 |
| 5 | Tjänstekontraktsbeskrivning Spärrtjänsten http://rivta.se/domains/informationsecurity_authorization_blocking.html |
| 6 | Informationsspecifikation Spärrtjänsten http://rivta.se/domains/informationsecurity_authorization_blocking.html |
...