| Innehållsförteckning |
|---|
...
Datum | Ver. | Namn | Kommentar | ||||
2018-09-03 | PA1 | Björn Skeppner | Första utkast, struktur etc | ||||
2018-09-18 | PA2 | Lena Jönsson | |||||
2018-09-19 | PA3 | Björn Skeppner | Diverse kompletterande text i kap 6 & 7 | ||||
| 2018-09-25 | PA4 | Björn Skeppner | Justerat efter kommentarer etc samt lagt till regler för vårdnadshavare | ||||
2018-10-01 | PA5 | Björn Skeppner | Justerat efter kommentarer från bl.a Malin Nyman | ||||
| 2018-10-12 | PA6 | Björn Skeppner | Justerat efter kommentarer av Per M | ||||
| 2018-10-22 | PA7 | Björn Skeppner | Justerat efter avstämningsmöte | ||||
| 2018-11-13 | PA8 | Björn Skeppner | Justerat efter intern genomgång samt synpunkter från Östergötland | ||||
| 2018-12-05 | PA8 | Björn Skeppner | Justerat efter synpunkter från Skåne | ||||
| 2019-02-05 | PA09 | Björn Skeppner | Justerat efter synpunkter från SLL och Dalarna (några utestående frågor återstår) | ||||
| 2019-02-26 | 1.0 | Björn Skeppner | Justerat efter kommentarer från Ineras S-råd | ||||
| 2019-04-08 | 1.1 | Björn Skeppner | Smärre justeringar under Referenser | ||||
| 2020-01-15 | 1.2 | Björn Skeppner | Infogat innehållsförteckning samt rättat brusten länk | ||||
| 2020-03-04 | 1.3 | Björn Skeppner | Kompletterat med regler för uppdatering (Ineras support), sms-nummer samt kap 6.2 om cachning/lagring & smärre justeringar | ||||
| 2020-04-28 | 1.4 | Björn Skeppner | Förtydligat kring samtyckeshanteringen, punk 9 | ||||
| 2021-01-25 | 1.5_RC | Björn Skeppner | Kompletterat efter ett arbete av en arbetsgrupp, se Trello:
| ||||
| 2021-04-15 | 1.5 | Björn Skeppner | Justerad mest språkligt och bättre läsbarhet efter kommentarer | ||||
| 2021-07-27 | 1.6_RC1 | Björn Skeppner | Kompletterat med information kring 1177´s regelverk/algoritm om hur kontaktuppgifter förs in i Personuppgiftstjänsten för att förtydliga hur kontaktuppgifterna kan komma att delas med andra verksamheter (kap 6.2.1 samt kap 9). | ||||
| 2021-08-15 | 1.6_RC2 | Björn Skeppner | Förtydliga kap 6.2.1 kring samtycke till delning av kontaktuppgifter | ||||
| 2021-08-27 | 1.6_RC3 | Björn Skeppner | Lagt till en mening i kap 6.2.1 om förekomsten av kontaktuppgifter genom samtycke samt personens möjlighet att ta bort sina kontaktuppgifter. | ||||
| 2021-09-06 | 1.6_RC4 | Björn Skeppner | Lagt till kapitel 6.2.2 om möjligheten för en person att ta bort sina kontaktuppgifter från Ineras Personuppgiftstjänst | ||||
| 2021-11-01 | 1.6 | Björn Skeppner | Smärre textjustering samt klargjord för release. |
...
2 Inledning
Detta ramverk har tagits fram för att ge verksamheter stöd för hur de kan och får använda de kontaktuppgifter som en person har angivit i Personuppgiftstjänsten (PU-tjänsten).
En person kan (t.ex via 1177 Vårdguiden) komplettera de folkbokföringsuppgifter som Skatteverket tillhandahåller via Navet[5], med sina egna kontaktuppgifter, såsom e-postadress, mobilnummer etc. Kontaktuppgifterna kan av en verksamhet nyttjas till att t.ex ringa personen, skicka en kallelse/påminnelse via sms, eller t.ex genom att skicka ett e-post meddela personen att det finns ny information att läsa i personens inkorg på 1177 Vårdguiden, t.ex ett provsvar.
...
Begrepp | Innebörd |
| Anhörig | Begreppet anhörig innebär släktskap eller något legalt förhållande till huvudmannen (maka/make/sambo). Inom hälso- och sjukvården utgår man inte ifrån anhörigbegreppet utan istället används begreppet närstående, dvs en person som utifrån den enskildes synvinkel står patienten nära. En närstående behöver således inte vara anhörig och en anhörig behöver inte vara närstående. Barn företräder således inte sina föräldrar och föräldrar inte heller sina myndiga barn - såvida de inte är närstående enligt huvudmannens egen definition. Närstående har i första hand funktionen som beslutsstöd, dvs de kan berätta om vad de vet om patientens inställning - men de kan t ex inte avge ett samtycke för patientens räkning. |
Avisering | Ett meddelande med en hänvisning till att det finns mer information på en annan kanal (Meddelandetjänst) , ex på 1177 Vårdguiden eller Kivra |
| Aviseringsväg | Digitalt kommunikationssätt (e-post, sms etc) som kan användas för att avisera ett meddelande. En aviseringsväg kan användas dels för Aviseringar, dels att skicka ett Klartextmeddelande |
Betrodd e-postserver | En e-postserver som normalt förvaltas av- eller på uppdrag av verksamheten och är den som verksamheten nyttjar för att skicka Meddelande såsom e-post. |
| Betrodd sms-tjänst | Som ovan fast för sms |
Digitalt meddelande | Ett meddelande som skickas via någon form av ”digital kanal” (e-post och sms) se Meddelande |
| e-postdomän | Tillhandahållare av e-post. Exempelvis gmail.com, hotmail.com, sll.se etc |
| Klartextmeddelande | Ett meddelande som sänd eller lagras okrypterat. Ett Klartetxtmeddelande får ej innehåller Känsliga personuppgifter. |
Kontaktuppgifter | Uppgifter såsom e-postadresser och mobilnummer till personen, eller av personen utpekade kontaktpersoner (t ex partner eller andra närstående), god man/förvaltare etc. Uppgifterna kan anges av personen själv, t ex via 1177 eller via en verksamhetsperson efter personens samtycke. |
| Kontaktpersoner | Av personen utsedda som möjliga att kontakta, ex make/maka/sambo, närstående etc. |
Känsliga personuppgifter | Med känsliga personuppgifter, enligt dataskyddsförordningen GDPR[6], menas uppgifter om
Det finns även andra typer av personuppgifter som är särskilt skyddsvärda. Det kan till exempel vara
|
| Legal företrädare | God man, förvaltare, vårdnadshavare. Dessa personers mandat beskrivs i föräldrabalken |
Meddelande | Meddelandet som kan skickas till personen kan utgöra 2 typer:
|
| Meddelandetjänst | En säker meddelandetjänst i vilken en person måste logga in med Stark autentisering för att kunna läsa sina meddelande. T.ex Kivra, Mina meddelanden, 1177 Vårdguiden Meddelanden etc. |
| Navet | Skatteverkets tjänst för att till myndigheter tillhandahålla folkbokföringsuppgifter. |
| Närstående | Person som den enskilde personen anser sig ha en nära relation till, att det är personens upplevda relation. En närstående behöver inte vara släkt eller stå i något legalt förhållande till personen. Begreppet närstående utgår ifrån personens synvinkel och är således inte samma sak som anhörig. |
Personuppgiftstjänsten (PU-tjänsten) | Nationell tjänst från Inera som hanterar personuppgifter från Skatteverket (Navet), personens kontaktuppgifter och reservidentiteter. På Ineras hemsida finns mer information om Personuppgiftstjänsten |
Person | En person som finns i Personuppgiftstjänsten registrerad på ett personnummer eller samordningsnummer. |
| Personidentifierare | En identitetsbeteckning för att identifiera en person. Exempelvis personnummer, samordningsnummer. |
| Personliga förhållanden | Personliga förhållanden är ett begrepp som rymmer det mesta som kan kopplas till en enskild människa. Uppgifter om bostadsadress, sjukdomstillstånd och ekonomi är exempel på personliga förhållanden. |
Personuppgiftsansvaret | För uppgifter som lagras i Personuppgiftstjänsten (tjänsteproducenten) och inhämtats från Skatteverket Navet gäller att det landsting/region (huvudman för hälso- och sjukvård) som beställt uppgifterna från Skatteverket är personuppgiftsansvarig. För uppgifter som lagras i Personuppgiftstjänsten och är utöver folkbokföringsuppgifterna som beställts från Skatteverket, t.ex kompletterande adressuppgifter, kontaktuppgifter, aviseringsinställningar som är angivna av personen själv, så är det landsting/region där personen är folkbokförd i som är personuppgiftsansvarig. I de fall uppgifterna anges av en verksamhetsperson, med personen samtycke, så blir verksamhetspersonens uppdragsgivare därmed personuppgiftsansvarig (dvs landsting/region/kommun/privat underleverantör). |
Sekretess | Ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt. |
Sekretessreglerad uppgift | En uppgift för vilken det finns en bestämmelse om sekretess, exempelvis är uppgifter om enskilds hälsotillstånd eller andra personliga förhållanden, sekretessreglerade enligt 25 kap 1§ OSL. Uppgifter inom socialtjänsten om enskilds personliga förhållanden omfattas av sekretessreglering 26 kap 1§ OSL |
Sekretessbrytande bestämmelse | En bestämmelse som innebär att en uppgift får lämnas ut, trots sekretess, under vissa förutsättningar |
| Skyddade personuppgifter | Personer som är utsatta för ett allvarligt och konkret hot kan ansöka om skyddade personuppgifter hos Skatteverket. Personerna kan exempelvis vara utsatta för våld, hot om våld, förföljelse eller andra trakasserier. Det finns tre typer av skyddade personuppgifter eller skyddad identitet som kallas: sekretessmarkering, Skyddad folkbokföring (kvarskrivning) och fingerade personuppgifter. De myndigheter som hanterar skyddade personuppgifter ska alltid göra en särskilt noggrann prövning innan uppgifterna lämnas ut. |
| Skyddad folkbokföring | |
| Stark autentisering | Flerfaktorsautentisering med minst 2 faktorer, t.ex en inloggning med en e-legitimation samt en pinkod |
| Svartlistning | Är en förteckning över identiteter (sms-nummer eller e-postdomäner) som anses som ej lämpliga att använda för att skicka ut Meddelanden till. Not: På internet kan man finna "publika" register över både svartlistade e-postdomäner och mobilnummer. |
| Verksamhet | Inom denna kontext en verksamhet som är inom landsting, kommuner och privata vårdgivare som är offentligt finansierade samt statliga myndigheter. |
| Vitlistning | Är en förteckning över identiteter (sms-nummer och/eller e-postdomäner) som är godkända av verksamheten att skicka ut Meddelanden till. |
Vårdgivare | Statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvårdsverksamhet som myndigheten, landstinget eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet (privat vårdgivare). |
| Vårdnadshavare | Vårdnadshavare är den eller de personer som har den rättsliga vårdnaden (det vill säga är juridiskt ansvariga) för ett barn. Det kan antingen vara en eller båda föräldrarna eller en person utsedd av domstol. |
...
6 Förutsättningar
I detta avsnitt beskrivs information som påverkar användningen av en persons kontaktuppgifter.
Först beskrivs kort vilka regulatoriska krav som påverkar, därefter definieras de olika meddelandetyperna som kan komma i fråga vid användning av personens kontaktuppgifter.
...
En e-Tjänst som konsumerar kontaktuppgifterna ska normalt ej lagra informationen i systemet, utan för att säkerställa aktualiteten på informationen så ska anropen till producenten ske när behov av kontaktuppgifterna behövs. Om behov finns av en temporär cachning, ex av prestandaskäl, så är det viktigt att säkerställa god aktualitet på informationen. T.ex så bör en ändrad sekretessmarkering på en personpost slå igenom inom 1 dygn.
Personuppgiften har ett regelverk som innebär att den ej lämnar ut kontaktuppgifter om en person har en Sekretessmarkering eller har Skyddad folkbokföring.
...
För det system som är anslutet till Personuppgiftstjänsten och som möjliggör lagring av kontaktuppgifter i Personuppgiftstjänsten, så ska det vara tydligt att detta sker med personens samtycke, att kontaktuppgifterna därmed kan delas med tillgängliggörs för andra verksamheter (idag primärt inom Hälso & sjukvård).
Dvs det ska vara tydligt för den person som matar in kontaktuppgifterna att dessa därmed kan delas med är åtkomliga för andra verksamheter som är anslutna till Personuppgiftstjänsten, att detta sker med personens samtycke.
Exempelvis genom en teknisk lösning som innebär att personen som matar in kontaktuppgifterna och även klickar i en kryssruta därmed har samtyckt till att kontaktuppgifterna kan delas till andra verksamheter (se 1177's exempel kapitel 9).
...
Det system som är anslutet till Personuppgiftstjänsten och som möjliggör lagring av kontaktuppgifter i Personuppgiftstjänsten ska även ha stöd för personens möjlighet att kunna redigera och ta bort sina kontaktuppgifter i Personuppgiftstjänsten (återkalla samtycket). Systemet kan dock bereda personen en möjlighet att enbart lagra sina kontaktuppgifter i det lokala systemet. Dvs att personens kontaktuppgifter endast är tillgängliga (lagras lokalt) för den lokala verksamheten. Det är viktigt att systemet ger personen tydlig information om vad personens val innebär.
...
| Användningsfall | Nödvändig information att upplysa personen om |
|---|---|
| Skriva in/uppdatera kontaktuppgifter | Att det är av stor vikt att informationen är korrekt och aktuell. Att personen har ett ansvar att uppgifterna hålls uppdaterade. I och med att personen anger sina kontaktuppgifter till Personuppgiftstjänsten så samtycker hen till lagring och åtkomst av uppgifterna. |
| Ange vilken/vilka kontaktuppgifter som får användas för att skicka meddelande |
|
| Ange kontaktpersoner |
|
| Ange kontaktpersoners kontaktuppgifter som får användas för att skicka meddelande till. |
|
10 Referenser
| [1] | ”Informationsspecifikation Personuppgiftstjänsten” [Online]. Available: http://rivta.se/domains/strategicresourcemanagement_persons_person.html. |
| [2] | "Personuppgifter, Tjänstekontraktsbeskrivning” [Online]. Available: http://rivta.se/domains/strategicresourcemanagement_persons_person.html. |
| [3] | ”Personuppgiftstjänsten, avtal” [Online]. Available: https://www.inera.se/kundservice/avtal/avtalsdokument/. |
| [4] | ”Användarhandbok Personuppgiftstjänsten” [Online]. Available: https://confluenceinera.cgiostersundatlassian.senet/wiki/pages/viewpage.action?pageId=1705666023353215406&src=contextnavpagetreemode. |
| [5] | Skatteverket -om Navet |
| [6] | https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/ |
| [7] | Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40) |
...