...
1 Revisionshistorik
...
1 Revisionshistorik
| Datum | Version | Namn | Kommentar |
|---|---|---|---|
| 2018-11-16 | PA01 | Björn Skeppner | Första utkastet till stomme & innehåll |
| 2018-12-17 | PA02 | Björn Skeppner | Påbörjat med innehåll |
| 2019-01-09 | PA03 | Björn Skeppner | Kompletterat kapitel 5 & 6 |
...
Det har framkommit att det finns variationer mellan landstingen kring hur de hanterar spärrar inom sammanhållen journalföring. En effekt av detta är att det har uppkommit onormal belastning på den nationella instansen av spärrtjänst, bl.a beroende på en oväntad stor mängd replikering av spärrinformation. Det förekommer även skillnader på hur man möjliggör för en patient att begära spärrar för ett stort antal vårdgivare, vilket kan resultera i ett stort antal spärrar i berörda spärrtjänster.
Ramverket har framtagits iterativt inom en arbetsgrupp och har till viss del utgått från lokalt befintliga rutinbeskrivningar. Därefter har ramverket ytterligare kompletterats och fastställts av en referensgrupp sammansatt för ändamålet.
Ramverket beskriver kortfattat de regulatoriska krav som finns gällande hantering av personuppgifter. Ex Patientdatalagen, olika registerlagstiftning och myndigheters föreskrifter, t.ex och HSLF-FS 2016:40 och hur de påverkar hanteringen av spärrar.
3 Syfte
Syftet med detta ramverk är att ge aktörer inom Hälso- och sjukvård stöd i form av rutinbeskrivningar och stödjande dokument så att de på ett likvärdigt sätt hanterar spärrar för en patient.
På så sätt får en patient en likvärdig hantering av sina spärrar, oavsett var i Sverige personen har sökt vård.
...
5 Förutsättningar
5.1 Regulatoriska krav
Här beskrivs kortfattat ett antal lagar, föreskrifter och riktlinjer som påverkar hantering av personens spärrar.
| Lagar, föreskrifter och riktlinjer | Innebörd (inom detta sammanhang) |
|---|---|
| Patientdatalag (SFS 2008:355) [ R2 ] | Patientens möjlighet att begränsa elektronisk åtkomst för vårdsyfte4 § Personuppgifter som dokumenterats för ändamål som anges i 2 kap. 4 § första stycket 1 och 2 hos en vårdenhet eller inom en vårdprocess får inte göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vårdgivare, om patienten motsätter sig det. I sådana fall ska uppgiften genast spärras. Vårdnadshavare till ett barn har dock inte rätt att spärra barnets uppgifter. Uppgift om att det finns spärrade uppgifter får vara tillgänglig för andra vårdenheter eller vårdprocesser. 5 § En spärr enligt 4 § första stycket får hävas av en behörig befattningshavare hos vårdgivaren, om Uppgift om vårdenheter eller vårdprocesser som spärrat uppgifterna ska i det fall som avses i 2 göras tillgängliga. |
| Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40) [ R3 ] | 4 kap. Åtkomst till uppgifter om patienter Åtkomst till ospärrade uppgifter om en patient vid sammanhållen 6 § Vårdgivaren ska ansvara för att en behörig användares åtkomst till ospärrade uppgifter om en patient hos en annan vårdgivare föregås av att användaren kontrollerar att förutsättningarna för behandling av personuppgifter enligt 6 kap. 3 § eller 3 a § patientdatalagen (2008:355) är uppfyllda och därefter gör ett aktivt val för att ta del av uppgifterna. Åtkomst till uppgift om spärrade uppgifter vid sammanhållen 7 § Vårdgivaren ska ansvara för att det framgår av systemet med sammanhållen journalföring att det finns spärrade uppgifter om en patient hos någon annan vårdgivare. Vårdgivaren ska även ansvara för att information om vilken eller vilka vårdgivare som har spärrade uppgifter om en patient endast görs tillgängliga efter att en behörig användare har gjort ett aktivt val. Nödöppning vid sammanhållen journalföring 8 § En vårdgivare som är ansluten till systemet med sammanhållen journalföring ska säkerställa att behöriga användare får tillgång till de uppgifter om en patient som kan antas ha betydelse för den vård patienten oundgängligen behöver när det föreligger fara för hans eller hennes liv eller allvarlig risk för hans eller hennes hälsa. Vid en sådan situation som avses i 6 kap. 4 § patientdatalagen (2008:355) ska vårdgivaren ansvara för att åtkomst till information om vilken eller vilka vårdgivare som har uppgifter om en patient föregås av att den behörige användaren gör ett aktivt val. Vidare ska vid en sådan situation åtkomsten till ospärrade uppgifter om en patient hos en annan vårdgivare föregås av ytterligare ett aktivt val. Om uppgifterna är spärrade, ska en begäran om åtkomst göras hos den vårdgivare som har spärrat uppgifterna. |
...
6 Spärrhantering inom sammanhållen journalföring
Det är endast patienten själv som kan begära att information ska spärras.
Spärras kan sättas, hävas, hävas temporärt , temporär hävning kan hävas, samt spärr kan tas bort (felaktigt registrerad).
Spärrar hanteras lokalt, normalt via en lokal spärrtjänst (som kan vara installerad lokalt eller tillhandahållas såsom molntjänst av Inera) eller i verksamhetens vårdsystem.
Samtliga spärrar som hanteras lokalt av verksamheten ska replikeras (kopieras) upp till den nationella spärrtjänsten, för att kunna få en samlad bild av samtliga spärrar för en patient, oavsett vårdgivare.
Skapande av spärr, hävning av spärr, borttagning av spärr (felregistrerad) ska sker således ske på lokal nivå.
Administration av spärrar bör ske genom en utsedd funktion för detta inom verksamheten. Det kan finnas behov av att kunna administrera spärrar (hävning av spärr) under dygnets 24 timmar vilket talar för att denna funktion bör vara en central funktion..
6.1 Information till patienten om patientens möjligt att sätta spärr
Vårdgivaren är skyldig att informera patienten om patientens rättighet att begränsa åtkomst till patientens journalinformation och hur detta kan gå till.
Vårdgivaren är även skyldig att upplysa patienten om vilka risker det kan medföra att begränsa åtkomsten till journalinformation, lämpligen i dialog med patienten. Det är viktigt att patienten informeras om att spärrar kan utgöra en patientsäkerhetsrisk för patienten.
Informationen till patienten bör innehålla punkterna enligt bilaga "Informationsblad - Patient" .
6.2 Administration av spärrar
Spärras kan sättas, hävas, hävas temporärt , temporär hävning kan hävas, samt spärr kan tas bort (felaktigt registrerad).
Administration av spärrar bör ske genom en utsedd funktion för detta inom verksamheten. Det kan finnas behov av att kunna administrera spärrar (hävning av spärr) under dygnets 24 timmar vilket talar för att denna funktion bör vara en central funktion.
Nedan beskrivs de 2 vanligaste processerna: Sätta spärr samt häva spärr.
6.2.1 Sätta spärrar
Verksamhetschefen ansvarar för att det finns en dokumenterad rutinbeskrivning till stöd för de som administrerar spärrar. Rutinbeskrivningen ska tydligt ange samtliga processteg för hur en spärr sätts.
Process sätta spärr
Nedan beskrivs de 2 vanligaste processerna: Sätta spärr samt häva spärr.
6.2.1 Sätta spärrar
Nedan beskrivs en generisk process för att sätta spärrar.
Process sätta spärr
| Process | Beskrivning |
|---|---|
| Anmäla spärr | Patienten meddelar sitt önskemål avseende spärr till hälso-/sjukvårdspersonal. Hälso-/sjukvårdspersonal tillhandahåller spärrblankett och informerar patienten om vad spärr av sammanhållen journal innebär, lämpligen genom att ge patienten ett informationsblad. Patienten ska legitimera sig. Patienten fyller i och skriver under blanketten. Hälso-/sjukvårdspersonal skriver under blanketten, som därefter skickas till verksamhetens spärradministration. |
| Kontrollera blankett | Spärrblankett inkommer till spärradministrationen. Spärradministratören kontrollerar att spärrblanketten är korrekt ifylld. Om uppgifter saknas i spärrblanketten tar spärradministratören kontakt med ansvarig hälso-/sjukvårdspersonal eller med patienten. |
| Registrera spärr | Spärradministratören registrerar spärr, enligt spärranmälarens önskemål enligt lokala rutiner (för lokal spärrtjänst/vårdsystem). |
| Spärr infördregistrerad | Spärrblanketten diarieförs enligt lokala rutiner För privata vårdgivare skickas blanketten tillbaka till vårdgivaren. Bekräftelse om införd spärr skickas till spärranmälarenpatienten. |
6.2.2 Häva spärrar
Process häva spärr
...
Häva spärr
En spärr kan hävas antingen genom att en patient begär/godkänner detta eller vid en nödsituation (blåljus).
Hävningen kan vara permanent (normalt baserat på en begäran av patienten) eller temporär (normalt baserad på en nödsituation).
Nedan visas en generisk process där en spärr hävs på begäran av patienten.
Process häva spärr
| Process | Beskrivning |
|---|---|
Häva spärr | Patienten meddelar sitt önskemål avseende hävning (borttagande) av spärr till hälso-/sjukvårdspersonal. Hälso-/sjukvårdspersonal tillhandahåller blankett för hävning av spärr och informerar patenten om vad hävning av spärr innebär. Patienten ska legitimera sig. Patienten fyller i och skriver under blanketten. Hälso-/sjukvårdspersonal skriver under blanketten, som därefter skickas till verksamhetens spärradministration |
| Kontroll av blankett | Spärrblankett inkommer till spärradministrationen. Spärradministratören kontrollerar att spärrblanketten är korrekt ifylld. Om uppgifter saknas i spärrblanketten tar spärradministratören kontakt med ansvarig hälso-/sjukvårdspersonal eller med patienten. |
| Hävning av spärr | Spärradministratören tar bort spärr enligt spärranmälarens önskemål enligt lokala rutiner (för lokala spärrtjänsten/vårdsystem) |
| Spärr hävd | Bekräftelse skickas till patienten om att önskad/önskade spärrar är hävda Blanketten avslutas och diarieförs. För privata vårdgivare skickas blanketten tillbaka till vårdgivaren |
7 Checklista Checklista
Se bilaga Checklista
8 Termer och begrepp
| Begrepp | Innebörd |
|---|---|
| Autentisering | Kontroll av uppgiven identitet |
| Hälso- och sjukvårdspersonal | Person anställd av vårdgivaren för att utföra vård och behandling |
| Lokal spärrtjänst | Se Spärrtjänst -lokal |
| Patientjournal | En eller flera journalhandlingar som rör samma patient |
| Personidentifierare | En identitetsbeteckning för att identifiera en person. Exempelvis personnummer, samordningsnummer, reservidentitet. |
| Replikering spärradministration | Överföring av information till/från mellan en lokal spärrtjänst och den nationella spärrtjänsten |
| Sammanhållen journalföring | Ett elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare. |
| Sekretess | Ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt. |
| Sekretessreglerad uppgift | En uppgift för vilken det finns en bestämmelse om sekretess, exempelvis är alla uppgifter om enskilds hälsotillstånd eller andra personliga förhållanden, sekretessbelagda enligt 25 kap 1§ OSL. Alla uppgifter inom socialtjänsten om enskilds personliga förhållanden omges av sekretess enligt 26 kap 1§ OSL |
| Sekretessbrytande bestämmelse | En bestämmelse som innebär att en uppgift får lämnas ut under vissa förutsättningar |
| Skyddade personuppgifter | Personer som är utsatta för ett allvarligt och konkret hot kan ansöka om skyddade personuppgifter hos Skatteverket. Personerna kan exempelvis vara utsatta för våld, hot om våld, förföljelse eller andra trakasserier. Det finns tre typer av skyddade personuppgifter eller skyddad identitet som kallas: sekretessmarkering, Skyddad folkbokföring (kvarskrivning) och fingerade personuppgifter. De myndigheter som får skatteverkets uppgift om skyddade personuppgifter ska alltid göra en noggrann prövning innan uppgifterna lämnas ut. |
| Spärr | Otillgängliggörande av journaldokumentation inom en vårdgivare (inre sekretessområde) eller inom sammanhållen journalföring (yttre sekretessområde). Spärr omfattar endast elektroniska patientuppgifter, således ej pappersburen information. Rätten till spärr omfattar även varningsmarkeringar och uppmärksamhetssignaler. Vid spärr ligger ansvaret på att patienten för informationen vidare till de som behöver den. Patienten ”äger spärren”. |
| Spärradministration | Funktion för administration av spärrar. Normalt en central funktion för en eller flera vårdgivare |
| Spärradministratör | Personal som administrerar spärrar, för en eller flera vårdgivare |
| Spärr -inre | Spärr i det inre sekretessområdet (inom vårdgivare). Spärr av journalhandling/vårddokumentation som är avgränsad till en vårdenhet. Innebär att patientuppgifter hos en vårdenhet ej är tillgänglig genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet hos samma vårdgivare, om patienten har begärt att information ska spärras. |
| Spärr -yttre | Spärr av journalhandling / vårddokumentation som är avgränsad till en vårdgivare och innebär att informationen ej är tillgänglig för andra vårdgivare genom sammanhållen journalföring. |
| Spärrtjänst | En IT-tjänst som ger möjlighet att lagra och tillhandahåller uppgifter av patienten om patientens begärda spärrar. Spärrtjänsten registrerar spärrar och kontrollerar om en patient har spärrat tillgång till patientinformation inom och mellan vårdgivare. En spärrtjänst ska stödja den nationella arkitekturen för att kunna samverka inom sammanhållen journalföring, se http://rivta.se/domains/informationsecurity_authorization_blocking.html Detta för att samtliga spärrar som registreras för en patient ska kopieras/aggregeras till den nationella spärrtjänsten (Spärrtjänst -nationell) så att patientens samlade spärrar kan bli tillgängliga för system inom sammanhållen journalföring. |
Spärrtjänst -lokal | En IT-tjänst som på lokal nivå (landsting/region etc) ger möjlighet att lagra och tillhandahåller uppgifter av patienten begärda spärrar. Kan vara en lokal version av Inera's spärrtjänst Spärrtjänst eller en egenutvecklad. Inera tillhandahåller även lokal spärrtjänst såsom en molntjänst, dvs ett landsting/region etc kan lagra sina spärrar hos Inera's molntjänst (kallas även för Hotelltjänst). |
| Spärrtjänst -nationell | Inera's spärrtjänst för patientens samlade spärrar, dvs spärrar som har registrerats på lokal nivå (lokal spärrtjänst eller motsvarande) och aggregerats upp till den nationella spärrtjänsten, verksamhetsadress: SE165565594230-1000. |
| Stark autentisering | Kontroll av uppgiven identitet på två olika sätt |
| Verksamhet | Inom denna kontext en verksamhet som är inom landsting, kommuner och privata vårdgivare som är offentligt finansierade samt statliga myndigheter. |
| Vårdenhet | Organisatorisk enhet som tillhandahåller hälso- och sjukvård. Vårdenhet kan vara t.ex. vårdcentral, sjukhus, klinik, basenhet, mottagning, vårdavdelning eller motsvarande |
| Vårdgivare | Statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvårdsverksamhet som myndigheten, landstinget eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet (privat vårdgivare). |
| Vårdsystem | Ett system i vilken en vårdverksamhet hanterar administrativa data och journaler kring en patient. |
...
- Information till patienten
- Formulär -Spärrbegäran
- Formulär -Borttagning Hävning av spärr
- (eventuellt?) Checklista -Hantering av spärr
9. Referenser
...
- eventuellt?) Checklista -Hantering av spärr
9. Referenser
| Nr | Referens | |||
|---|---|---|---|---|
| 1 | RIV Specifikation Patientdatalagen i Praktiken, | |||
| 2 | Patientdatalag (SFS 2008:355) | |||
| 3 | Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40) https://patientsakerhet.socialstyrelsen.se/om-patientsakerhet/centrala-lagar-och-foreskrifter/hslf-fs-2016-40 | |||
| 4 | Spärrtjänsten https://www.inera.se/tjanster/sakerhetstjanster/Sakerhetstjanster/#5c52c8ff-dfc4-4970-8103-0af54cd32468 | |||
| 5 | Tjänstekontraktsbeskrivning Spärrtjänsten http://rivta.se/domains/informationsecurity_authorization_blocking.html | |||
| 6 | Informationsspecifikation Spärrtjänsten http://rivta.se/ | documentsdomains/ | ARKinformationsecurity_ | 0031/PDLiP_RIV_1.0.pdfauthorization_blocking.html |