1 Revisionshistorik
...
Det har framkommit att det finns variationer mellan landstingen kring hur de hanterar spärrar inom sammanhållen journalföring. En effekt av detta är att det har uppkommit onormal belastning på den nationella instansen av spärrtjänst, bl.a beroende på en oväntad stor mängd replikering av spärrinformation. Det förekommer även skillnader på hur man möjliggör för en patient att begära spärrar för ett stort antal vårdgivare, vilket kan resultera i ett stort antal spärrar i berörda spärrtjänster.
Ramverket har framtagits iterativt inom en arbetsgrupp och har till viss del utgått från lokalt befintliga rutinbeskrivningar. Därefter har ramverket ytterligare kompletterats och fastställts av en referensgrupp sammansatt för ändamålet.
Ramverket beskriver kortfattat de regulatoriska krav som finns gällande hantering av personuppgifter. Ex Patientdatalagen, olika registerlagstiftning och myndigheters föreskrifter, t.ex och HSLF-FS 2016:40 och hur de påverkar hanteringen av spärrar.
3 Syfte
Syftet med detta ramverk är att ge aktörer inom Hälso- och sjukvård stöd i form av rutinbeskrivningar och stödjande dokument så att de på ett likvärdigt sätt hanterar spärrar för en patient.
På så sätt får en patient en likvärdig hantering av sina spärrar, oavsett var i Sverige personen har sökt vård.
...
5 Förutsättningar
5.1 Regulatoriska krav
Här beskrivs kortfattat ett antal lagar, föreskrifter och riktlinjer som påverkar hantering av personens spärrar.
| Lagar, föreskrifter och riktlinjer | Innebörd (inom detta sammanhang) |
|---|---|
| Patientdatalag (SFS 2008:355) | Patientens möjlighet att begränsa elektronisk åtkomst för vårdsyfte4 § Personuppgifter som dokumenterats för ändamål som anges i 2 kap. 4 § första stycket 1 och 2 hos en vårdenhet eller inom en vårdprocess får inte göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vårdgivare, om patienten motsätter sig det. I sådana fall ska uppgiften genast spärras. Vårdnadshavare till ett barn har dock inte rätt att spärra barnets uppgifter. Uppgift om att det finns spärrade uppgifter får vara tillgänglig för andra vårdenheter eller vårdprocesser. 5 § En spärr enligt 4 § första stycket får hävas av en behörig befattningshavare hos vårdgivaren, om Uppgift om vårdenheter eller vårdprocesser som spärrat uppgifterna ska i det fall som avses i 2 göras tillgängliga. |
| Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40) | 4 kap. Åtkomst till uppgifter om patienter Åtkomst till ospärrade uppgifter om en patient vid sammanhållen 6 § Vårdgivaren ska ansvara för att en behörig användares åtkomst till ospärrade uppgifter om en patient hos en annan vårdgivare föregås av att användaren kontrollerar att förutsättningarna för behandling av personuppgifter enligt 6 kap. 3 § eller 3 a § patientdatalagen (2008:355) är uppfyllda och därefter gör ett aktivt val för att ta del av uppgifterna. Åtkomst till uppgift om spärrade uppgifter vid sammanhållen 7 § Vårdgivaren ska ansvara för att det framgår av systemet med sammanhållen journalföring att det finns spärrade uppgifter om en patient hos någon annan vårdgivare. Vårdgivaren ska även ansvara för att information om vilken eller vilka vårdgivare som har spärrade uppgifter om en patient endast görs tillgängliga efter att en behörig användare har gjort ett aktivt val. Nödöppning vid sammanhållen journalföring 8 § En vårdgivare som är ansluten till systemet med sammanhållen journalföring ska säkerställa att behöriga användare får tillgång till de uppgifter om en patient som kan antas ha betydelse för den vård patienten oundgängligen behöver när det föreligger fara för hans eller hennes liv eller allvarlig risk för hans eller hennes hälsa. Vid en sådan situation som avses i 6 kap. 4 § patientdatalagen (2008:355) ska vårdgivaren ansvara för att åtkomst till information om vilken eller vilka vårdgivare som har uppgifter om en patient föregås av att den behörige användaren gör ett aktivt val. Vidare ska vid en sådan situation åtkomsten till ospärrade uppgifter om en patient hos en annan vårdgivare föregås av ytterligare ett aktivt val. Om uppgifterna är spärrade, ska en begäran om åtkomst göras hos den vårdgivare som har spärrat uppgifterna. |
...
Den verksamhet som administrerar spärrar ansvarar för att de replikeras upp till den nationella spärrtjänsten.
Verksamheten ansvarar således för att det finns en teknisk anslutning till den nationella spärrtjänsten och att spärrar som är administrerade på lokal nivå replikeras till den nationella spärrtjänsten.
Normalt så sker denna replikering via följande tjänstekontrakt:
| Tjänstekontrakt | Funktion |
|---|---|
| RegisterBlock | Tjänst som registrerar en ny spärr i den nationella spärrtjänsten. |
| UnregisterBlock | Tjänst som avregistrerar/raderar en befintlig spärr i den nationella spärrtjänsten, om spärren finns. |
| RegisterTemporaryRevoke | Tjänst som registrerar en tillfällig hävning för en given spärr i den nationella spärrtjänsten, om spärren finns. |
| UnregisterTemporyRevoke | Tjänst som avregistrerar/raderar en tillfällig hävning i den nationella spärrtjänsten, om hävningen finns. |
Replikeringen bör ske momentant med att förändringen ske på lokal nivå, iallafall vad gäller hävning (även temporär hävning) av spärr.
Lång En lång fördröjning av replikering av en hävd spärr kan utgöra en patientsäkerhetsrisk, en lång fördröjning av satt spärr kan utgöra en risk för kränkt patientintegritet.
Följande tider är maximala tider för replikering av administration av spärr:
| Funktion | Max replikeringstid |
|---|---|
| Sätta spärr | 1 dygn |
| Avregistrera spärr | 1 dygn |
| Temporärt häva spärr | 1 timme |
| Avregistrera temporär hävning | 1 dygn |
5.3.3 Kopiering/replikering av administrerade spärrar från den nationella spärrtjänsten till lokal spärrtjänst
...
| Begrepp | Innebörd |
|---|---|
| Autentisering | Kontroll av uppgiven identitet |
| Patientjournal | En eller flera journalhandlingar som rör samma patient |
| Personidentifierare | En identitetsbeteckning för att identifiera en person. Exempelvis personnummer, samordningsnummer. |
| Replikering spärradministration | Överföring av information till/från mellan en lokal spärrtjänst och den nationella spärrtjänsten |
| Sammanhållen journalföring | Ett elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare. |
| Sekretess | Ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt. |
| Sekretessreglerad uppgift | En uppgift för vilken det finns en bestämmelse om sekretess, exempelvis är alla uppgifter om enskilds hälsotillstånd eller andra personliga förhållanden, sekretessbelagda enligt 25 kap 1§ OSL. Alla uppgifter inom socialtjänsten om enskilds personliga förhållanden omges av sekretess enligt 26 kap 1§ OSL |
| Sekretessbrytande bestämmelse | En bestämmelse som innebär att en uppgift får lämnas ut under vissa förutsättningar |
| Skyddade personuppgifter | Personer som är utsatta för ett allvarligt och konkret hot kan ansöka om skyddade personuppgifter hos Skatteverket. Personerna kan exempelvis vara utsatta för våld, hot om våld, förföljelse eller andra trakasserier. Det finns tre typer av skyddade personuppgifter eller skyddad identitet som kallas: sekretessmarkering, Skyddad folkbokföring (kvarskrivning) och fingerade personuppgifter. De myndigheter som får skatteverkets uppgift om skyddade personuppgifter ska alltid göra en noggrann prövning innan uppgifterna lämnas ut. |
| Spärr | Otillgängliggörande av journaldokumentation inom en vårdgivare (inre sekretessområde) eller inom sammanhållen journalföring (yttre sekretessområde). Spärr omfattar endast elektroniska patientuppgifter, således ej pappersburen information. Rätten till spärr omfattar även varningsmarkeringar och uppmärksamhetssignaler. Vid spärr ligger ansvaret på att patienten för informationen vidare till de som behöver den. Patienten ”äger spärren”. |
| Spärr -inre | Spärr i det inre sekretessområdet (inom vårdgivare). Spärr av journalhandling/vårddokumentation som är avgränsad till en vårdenhet. Innebär att patientuppgifter hos en vårdenhet ej är tillgänglig genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet hos samma vårdgivare, om patienten har begärt att information ska spärras. |
| Spärr -yttre | Spärr av journalhandling / vårddokumentation som är avgränsad till en vårdgivare och innebär att informationen ej är tillgänglig för andra vårdgivare genom sammanhållen journalföring. |
| Spärrtjänst | En IT-tjänst som ger möjlighet att lagra och tillhandahåller uppgifter av patienten begärda spärrar. Spärrtjänsten registrerar spärrar och kontrollerar om en patient har spärrat tillgång till patientinformation inom och mellan vårdgivare. En spärrtjänst ska stödja den nationella arkitekturen för att kunna samverka inom sammanhållen journalföring, se http://rivta.se/domains/informationsecurity_authorization_blocking.html Detta för att samtliga spärrar som registreras för en patient ska kopieras/aggregeras till den nationella spärrtjänsten (Spärrtjänst -nationell) så att patientens samlade spärrar kan bli tillgängliga för system inom sammanhållen journalföring. |
Spärrtjänst -lokal | En IT-tjänst som på lokal nivå (landsting/region etc) ger möjlighet att lagra och tillhandahåller uppgifter av patienten begärda spärrar. Kan vara en lokal version av Inera's spärrtjänst eller en egenutvecklad. Inera tillhandahåller även lokal spärrtjänst såsom en molntjänst, dvs ett landsting/region etc kan lagra sina spärrar hos Inera's molntjänst (kallas även för Hotelltjänst). |
| Spärrtjänst -nationell | Inera's spärrtjänst för patientens samlade spärrar, dvs spärrar som har registrerats på lokal nivå (lokal spärrtjänst eller motsvarande) och aggregerats upp till den nationella spärrtjänsten, verksamhetsadress: SE165565594230-1000. |
| Stark autentisering | Kontroll av uppgiven identitet på två olika sätt |
| Verksamhet | Inom denna kontext en verksamhet som är inom landsting, kommuner och privata vårdgivare som är offentligt finansierade samt statliga myndigheter. |
| Vårdenhet | Organisatorisk enhet som tillhandahåller hälso- och sjukvård. Vårdenhet kan vara t.ex. vårdcentral, sjukhus, klinik, basenhet, mottagning, vårdavdelning eller motsvarande |
| Vårdgivare | Statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvårdsverksamhet som myndigheten, landstinget eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet (privat vårdgivare). |
| Vårdsystem | Ett system i vilken en vårdverksamhet hanterar administrativa data och journaler kring en patient. |
...