Jämförda versioner

Gammal version 122

changes.mady.by.user Björn Skeppner

Sparat den

jämfört med

Ny version 123

changes.mady.by.user Björn Skeppner

Sparat den

Nyckel

  • Dessa rader lades till.
  • Denna rad togs bort.
  • Formateringen ändrades.

1         Revisionshistorik

Datum

Ver.

Namn

Kommentar

2018-09-03

PA1

Björn Skeppner

Första utkast, struktur etc

2018-09-18

PA2

Lena Jönsson


2018-09-19

PA3

Björn Skeppner

Diverse kompletterande text i kap 6 & 7

2018-09-25

PA4

Björn Skeppner

Justerat efter kommentarer etc samt lagt till regler för vårdnadshavare

2018-10-01

PA5

Björn Skeppner

Justerat efter kommentarer från bl.a Malin Nyman

2018-10-12PA6Björn SkeppnerJusterat efter kommentarer av Per M
2018-10-22PA7Björn SkeppnerJusterat efter avstämningsmöte
2018-11-13PA7Björn SkeppnerJusterat efter intern genomgång samt synpunkter från Östergötland 


...

2         Inledning

Detta ramverk har tagits fram för att ge verksamheter stöd för hur de kan och får använda de kontaktuppgifter som en person har angivit i Personuppgiftstjänsten (PU-tjänsten).
En person kan (t.ex via 1177 Vårdguiden) komplettera de folkbokföringsuppgifter som Skatteverket tillhandahåller via Navet[5], med sina egna kontaktuppgifter, såsom e-postadress, mobilnummer etc. Kontaktuppgifterna kan av en verksamhet nyttjas till att t.ex ringa personen, skicka en kallelse/påminnelse via sms, eller t.ex genom att skicka ett e-post meddela personen att det finns ny information att läsa i personens inkorg på 1177 Vårdguiden, t.ex ett provsvar. 

...

Begrepp

Innebörd

AnhörigBegreppet anhörig innebär släktskap eller något legalt förhållande till huvudmannen (maka/make/sambo). Inom hälso- och sjukvården utgår man inte ifrån anhörigbegreppet utan istället används begreppet närstående, dvs en person som utifrån den enskildes synvinkel står patienten nära. En närstående behöver således inte vara anhörig och en anhörig behöver inte vara närstående. Barn företräder således inte sina föräldrar och föräldrar inte heller sina myndiga barn - såvida de inte är närstående enligt huvudmannens egen definition.

Avisering

Ett meddelande med en hänvisning till att det finns mer information på en annan kanal (Meddelandetjänst) , ex på 1177 Vårdguiden eller Kivra
AviseringsvägDigitalt kommunikationssätt (e-post, sms etc) som kan användas för att avisera ett meddelande. En aviseringsväg kan användas dels för Aviseringar, dels att skicka ett Klartextmeddelande

Betrodd e-postserver

En e-postserver som normalt förvaltas av- eller på uppdrag av verksamheten och är den som verksamheten nyttjar för att skicka Meddelande såsom e-post.

Betrodd sms-tjänstSom ovan fast för sms

Digitalt meddelande

Ett meddelande som skickas via någon form av ”digital kanal” (e-post och sms) se Meddelande

e-postdomänTillhandahållare av e-post. Exempelvis gmail.com, hotmail.com, sll.se etc
Klartextmeddelande

Ett meddelande som inte innehåller Känsliga personuppgifter kan skickas som klartext.

Exempelvis ”Välkommen till ditt bokade hälso- och sjukvårdsbesök <datum> kl <tid>

Kontaktuppgifter

Uppgifter såsom e-postadresser och mobilnummer till personen, eller av personen utpekade kontaktpersoner (t ex partner eller andra närstående), god man/förvaltare etc. Uppgifterna kan anges av personen själv, t ex via 1177 eller via en verksamhetsperson efter personens samtycke.

Kontaktpersoner

Av personen utsedda som möjliga att kontakta, ex partnermake/maka, närstående etc.

Känsliga personuppgifter

Med känsliga personuppgifter, enligt GDPR[6], menas uppgifter om

  • ras eller etniskt ursprung
  • politiska åsikter
  • religiös eller filosofisk övertygelse
  • medlemskap i en fackförening
  • hälsa
  • en persons sexualliv eller sexuella läggning
  • genetiska uppgifter och
  • biometriska uppgifter som entydigt identifierar en person.

Det finns många andra typer av personuppgifter som är särskilt skyddsvärda. Det kan till exempel vara

  • löneuppgifter
  • uppgifter om lagöverträdelser
  • värderande uppgifter, till exempel uppgifter från utvecklingssamtal, uppgifter om resultat från personlighetstester eller personlighetsprofiler
  • information som rör någons privata sfär
  • uppgifter om sociala förhållanden. 
Legal företrädareGod man, förvaltare, vårdnadshavare. Dessa personers mandat beskrivs i föräldrabalken

Meddelande

Meddelandet som kan skickas till personen kan utgöra 2 typer:

  • Ett meddelande i klartext (se Klartextmeddelande)
  • Ett meddelande med en hänvisning till att det finns mer information på en annan kanal (Meddelandetjänst), ex på 1177 Vårdguiden eller Kivra (se Avisering)
MeddelandetjänstEn säker meddelandetjänst i vilken en person måste logga in med "stark autentisering" för att kunna läsa sina meddelande. T.ex Kivra, Mina meddelanden, 1177  Vårdguiden Meddelanden etc.
NavetSkatteverkets tjänst för att till myndigheter tillhandahålla folkbokföringsuppgifter.
NärståendePerson som den enskilde anser sig ha en nära relation till. En närstående behöver inte vara släkt eller stå i något legalt förhållande till personen. Begreppet närstående utgår ifrån personens synvinkel och är således inte samma sak som anhörig.

Personuppgiftstjänsten (PU-tjänsten)

Nationell tjänst från Inera som hanterar personuppgifter från Skatteverket (Navet), personens kontaktuppgifter och reservidentiteter.

På Ineras hemsida finns mer information om Personuppgiftstjänsten
(https://www.inera.se/personuppgiftstjansten).

Person

En person som finns i Personuppgiftstjänsten registrerad på ett personnummer eller samordningsnummer.

PersonidentifierareEn identitetsbeteckning för att identifiera en person. Exempelvis personnummer, samordningsnummer. 
Personliga förhållandenPersonliga förhållanden är ett begrepp som rymmer det mesta som kan kopplas till en enskild människa. Uppgifter om bostadsadress, sjukdomstillstånd och ekonomi är exempel på personliga förhållanden.

Sekretess

Ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt.

Sekretessreglerad uppgift

En uppgift för vilken det finns en bestämmelse om sekretess, exempelvis är alla uppgifter om enskilds hälsotillstånd eller andra personliga förhållanden, sekretessbelagda enligt 25 kap 1§ OSL. Alla uppgifter inom socialtjänsten om enskilds personliga förhållanden omges av sekretess enligt 26 kap 1§ OSL

Sekretessbrytande bestämmelse

En bestämmelse som innebär att en uppgift får lämnas ut under vissa förutsättningar

Skyddade personuppgifterPersoner som är utsatta för ett allvarligt och konkret hot kan ansöka om skyddade personuppgifter hos Skatteverket. Personerna kan exempelvis vara utsatta för våld, hot om våld, förföljelse eller andra trakasserier. Det finns tre typer av skyddade personuppgifter eller skyddad identitet som kallas: sekretessmarkering, kvarskrivning ( Skyddad folkbokföring (kvarskrivning) och fingerade personuppgifter. De myndigheter som får skatteverkets uppgift om skyddade personuppgifter ska alltid göra en noggrann prövning innan uppgifterna lämnas ut.  
Skyddad folkbokföring

Skyddad folkbokföring innebär att personen har ett starkare sekretesskydd. Uppgift om adress kommer inte att finnas på personen utan endast en särskild postadress, på samma sätt som personer med kvarskrivning fått sin adress hanterad tidigare. De kommer att vara folkbokförda ”på kommunen”, vanligtvis i den kommun de senast var bosatta i.

SvartlistningÄr en förteckning över identiteter (sms-nummer eller e-postdomäner) som anses som ej lämpliga att använda för att skicka ut Meddelanden till.
Not: På internet kan man finna "publika" register över både svartlistade e-postdomäner och mobilnummer.

Vårdgivare

Statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvårdsverksamhet som myndigheten, landstinget eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet (privat vårdgivare).

...

Lagar, föreskrifter och riktlinjer

Innebörd

Patientdatalag (SFS 2008:355) och Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40)

Föreskriver bl.a att personuppgifter ska utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras. Dokumenterade personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem.

En vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. I landsting och kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Ålägger också personal som använder IT-stöd med patientuppgifter att vara säkert identifierade.

Dataskyddsförordningen (EU 2016/679) [R6], GDPR

Principerna innebär bland annat att den som är personuppgiftsansvarig

  • måste ha stöd i dataskyddsförordningen för att få behandla personuppgifter
  • bara får samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål
  • inte ska behandla fler personuppgifter än vad som behövs för ändamålen
  • ska se till att personuppgifterna är riktiga
  • ska radera personuppgifterna när de inte längre behövs
  • ska skydda personuppgifterna, till exempel så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs
  • ska kunna visa att och hur de lever upp till dataskyddsförordningen

Personuppgiftsansvaret

För uppgifter som lagras i Personuppgiftstjänsten (tjänsteproducenten) och inhämtats från Skatteverket Navet gäller att det landsting/region (huvudman för hälso- och sjukvård) som beställt uppgifterna är personuppgiftsansvarig.

För uppgifter som lagras i Personuppgiftstjänsten och är utöver folkbokföringsuppgifterna från Skatteverket, t.ex uppgifter kring kompletterande adressuppgifter, kontaktuppgifter, aviseringsinställningar och är angivna av personen själv, så är det landsting/region där invånaren är folkbokförd i som är personuppgiftsansvarig. I de fall uppgifterna anges av en verksamhetsperson, med personen samtycke, så blir verksamhetspersonens arbetsgivare uppdragsgivare därmed personuppgiftsansvarig (dvs landsting/region/kommun/privat underleverantör.

Offentlighets- och sekretesslag (OSL)

Denna lag innehåller bestämmelser om myndigheters och vissa andra organs handläggning vid registrering, utlämnande och övrig hantering av allmänna handlingar.

...

De aviseringsvägar som för närvarande är lämpliga att att skicka Meddelande (Avisering eller Klartextmeddelande) till  via är sms och e-post.

Fax och URL finns med som möjliga kontaktuppgifter men ska ej användas för att skicka Meddelande.

...

  • Rutinerna ska säkerställa att personens integritet och personliga förhållanden inte kränks. Rutinerna ska även säkerställa att riskerna för att meddelanden hamnar på villovägar minimeras.
  • Verksamheten behöver även ha rutiner för att vara rimligt säker på att de av personen angivna aviseringsvägar (e-post, mobilnummer etc) är korrekta och aktuella.
  • Verksamheten ansvarar för att personuppgifter som överförs över öppna nätverk ska vara är krypterade så att ingen obehörig kan ta del av uppgifterna samt att hantering av personuppgifter följer de regulatoriska kraven i kap 6.

...

Personuppgiftstjänsten ger Personen möjlighet att kunna skriva in flera kontaktuppgifter till sig och därmed möjliggöra att kunna få Meddelande till flera angivna kontaktuppgifter, t.ex både e-post och sms. Personen har även möjlighet att rangordna (välja ordning, 1,2,3 osv) angivna kontaktuppgifter. För en  En verksamhet som vill kunna skicka meddelande till en person, kan en verksamhet välja en eller flera angivna kontaktuppgifter för utskick av meddelandet, men det bör ske i den rangordning som personen har angivit. 

...

Exempel på ett meddelande (avisering) till en vårdnadshavare: "Hej. Det Ett barn som du är vårdnadshavare för har fått en kallelse till provtagning. Logga in på 1177 Vårdguiden och läs mer i ditt barns Inkorg"

Exempel på meddelande i klartext: "Hej! Här kommer en påminnelse för ett återbesök den <datum> <tid> för ditt det barn som du är vårdnadshavare för."

...

Oavsett om en kontaktperson är en Anhörig eller Närstående så har den normalt sett ingen automatisk juridisk rätt att företräda en person. Vuxna barn har heller ingen legal ställning i förhållande till sina föräldrar. Det har inte heller partners som är gifta make/maka eller sambo, i förhållande till sina partners. De kan vara att betrakta som närstående - förutsatt att patienten själv anser sig ha en nära relation med personerna ifråga. 

...

Verksamheten ska fastställa rutiner för e-post-användning inom verksamheten. Rutinerna ska säkerställa att personens integritet inte kränks och minimera riskerna för att meddelanden inte hamnar på avvägar.Samma regler gäller för e-post såsom för sms.

8       Hantering av felaktiga kontaktuppgifter

Det finns en risk för att kontaktuppgifterna ej längre är aktuella eller har blivit felaktigt inmatade. Detta måste kunna hanteras av verksamheten. Följande principer gäller:

...

För de e-Tjänster som möjliggör för personen att komplettera sina uppgifter i PU-tjänsten så är det mycket viktigt att personen förstår sitt ansvar att de uppgifter som personen anger ska vara korrekta och aktuella. Dessa e-Tjänsterna Tjänster bör regelbundet (minst 1ggn/år) påminna personen vikten av att hålla sina kontaktuppgifter aktuella.e-Tjänsterna som tillhandahåller detta stöd skall tydligt vid de olika användningsfallen upplysa personen vad som gäller.

...