1 Revisionshistorik
Datum | Ver. | Namn | Kommentar |
2018-09-03 | PA1 | Björn Skeppner | Första utkast, struktur etc |
2018-09-18 | PA2 | Lena Jönsson | |
2018-09-19 | PA3 | Björn Skeppner | Diverse kompletterande text i kap 6 & 7 |
2018-09-25 | PA4 | Björn Skeppner | Justerat efter kommentarer etc samt lagt till regler för vårdnadshavare |
2018-10-01 | PA5 | Björn Skeppner | Justerat efter kommentarer från bl.a Malin Nyman |
2018-10-12 | PA6 | Björn Skeppner | Justerat efter kommentarer av Per M |
2018-10-22 | PA7 | Björn Skeppner | Justerat efter avstämningsmöte |
2 Inledning
Detta ramverk har tagits fram för att ge verksamheter stöd för hur de kan och får använda de kontaktuppgifter som en person har angivit i Personuppgiftstjänsten (PU-tjänsten).
En person kan (t.ex via 1177 Vårdguiden) komplettera de folkbokföringsuppgifter som Skatteverket tillhandahåller via Navet[5], med sina egna kontaktuppgifter, såsom e-postadress, mobilnummer etc. Kontaktuppgifterna kan av en verksamhet nyttjas till att t.ex ringa personen, skicka en kallelse/påminnelse via sms, eller t.ex genom att skicka ett e-post meddela personen att det finns ny information att läsa i personens inkorg på 1177 Vårdguiden, t.ex ett provsvar.
Ramverket har framtagits iterativt inom en arbetsgrupp (se nedan). Därefter har ramverket ytterligare kompletterats och fastställts av en referensgrupp sammansatt för ändamålet.
För mer information om personuppgiftstjänsten, se: https://www.inera.se/personuppgiftstjansten
Vi skulle vilja tacka följande personer som deltagit med sina kunskaper och erfarenheter:
Namn |
---|
Martin Lemoine, Evry |
Christel Bengtner, 1177 Vårdguiden |
Frida Molleryd, 1177 Vårdguiden |
Lena Jönsson, LT Dalarna |
Malin Nyman, LT Skåne |
Christina Nilsson, LT Blekinge |
Björn Skeppner, Inera |
Per Mützell, Inera |
Malin Ljunggren, Inera |
3 Syfte
Syftet med detta ramverk är att ge verksamheter stöd för hur de kan och får använda de kontaktuppgifter som en person har angivit i Personuppgiftstjänsten (PU-tjänsten). Kontaktuppgifterna är kompletterande information som en person kan tillföra till PU-tjänsten, antingen själv eller genom att samtycka till att en verksamhet tillför dessa uppgifter. Uppgifter som tillförs PU-tjänsten ska kunna tillgängliggöras för andra verksamheter och myndigheter. Ramverket ska således stödja verksamheterna att följa de regulatoriska förutsättningarna så att personens integritet alltid skyddas.
Ramverket ska även ge stöd åt verksamheterna hur de lämpligast ska kommunicera med en person, både vad gäller känsliga uppgifter och okänsliga uppgifter. Detta bl.a genom att ge exempel på texter.
Ramverket beskriver kortfattat de regulatoriska krav som finns gällande hantering av personuppgifter. Ex GDPR och HSLF-FS 2016:40 och hur de påverkar möjligheten för verksamheterna att nyttja kontaktuppgifterna i syfte att meddela en person (t.ex en patient eller en bygglovsansökande kommuninnevånare).
4 Termer och begrepp
Begrepp | Innebörd |
Anhörig | Begreppet anhörig innebär släktskap eller något legalt förhållande till huvudmannen (maka/make/sambo). Inom hälso- och sjukvården utgår man inte ifrån anhörigbegreppet utan istället används begreppet närstående, dvs en person som utifrån den enskildes synvinkel står patienten nära. En närstående behöver således inte vara anhörig och en anhörig behöver inte vara närstående. Barn företräder således inte sina föräldrar och föräldrar inte heller sina myndiga barn - såvida de inte är närstående enligt huvudmannens egen definition. |
Avisering | Ett meddelande med en hänvisning till att det finns mer information på en annan kanal (Meddelandetjänst) , ex på 1177 Vårdguiden eller Kivra |
Aviseringsväg | Digitalt kommunikationssätt (e-post, sms etc) som kan användas för att avisera ett meddelande. En aviseringsväg kan användas dels för Aviseringar, dels att skicka ett Klartextmeddelande |
Betrodd e-postserver | En e-postserver som normalt förvaltas av- eller på uppdrag av verksamheten och är den som verksamheten nyttjar för att skicka Meddelande såsom e-post. |
Betrodd sms-tjänst | Som ovan fast för sms |
Digitalt meddelande | Ett meddelande som skickas via någon form av ”digital kanal” (e-post och sms) se Meddelande |
e-postdomän | Tillhandahållare av e-post. Exempelvis gmail.com, hotmail.com, sll.se etc |
Klartextmeddelande | Ett meddelande som inte innehåller Känsliga personuppgifter kan skickas som klartext. Exempelvis ”Välkommen till ditt bokade hälso- och sjukvårdsbesök <datum> kl <tid>” |
Kontaktuppgifter | Uppgifter såsom e-postadresser och mobilnummer till personen, eller av personen utpekade kontaktpersoner (t ex partner eller andra närstående), god man/förvaltare etc. Uppgifterna kan anges av personen själv, t ex via 1177 eller via en verksamhetsperson efter personens samtycke. |
Kontaktpersoner | Av personen utsedda som möjliga att kontakta, ex partner, närstående etc. |
Känsliga personuppgifter | Med känsliga personuppgifter, enligt GDPR[6], menas uppgifter om
Det finns många andra typer av personuppgifter som är särskilt skyddsvärda. Det kan till exempel vara
|
Legal företrädare | God man, förvaltare, vårdnadshavare. Dessa personers mandat beskrivs i föräldrabalken |
Meddelande | Meddelandet som kan skickas till personen kan utgöra 2 typer:
|
Meddelandetjänst | En säker meddelandetjänst i vilken en person måste logga in med "stark autentisering" för att kunna läsa sina meddelande. T.ex Kivra, Mina meddelanden, 1177 Vårdguiden Meddelanden etc. |
Navet | Skatteverkets tjänst för att till myndigheter tillhandahålla folkbokföringsuppgifter. |
Närstående | Person som den enskilde anser sig ha en nära relation till. En närstående behöver inte vara släkt eller stå i något legalt förhållande till personen. Begreppet närstående utgår ifrån personens synvinkel och är således inte samma sak som anhörig. |
Personuppgiftstjänsten (PU-tjänsten) | Nationell tjänst från Inera som hanterar personuppgifter från Skatteverket (Navet), personens kontaktuppgifter och reservidentiteter. På Ineras hemsida finns mer information om Personuppgiftstjänsten |
Person | En person som finns i Personuppgiftstjänsten registrerad på ett personnummer eller samordningsnummer. |
Personidentifierare | En identitetsbeteckning för att identifiera en person. Exempelvis personnummer, samordningsnummer. |
Personliga förhållanden | Personliga förhållanden är ett begrepp som rymmer det mesta som kan kopplas till en enskild människa. Uppgifter om bostadsadress, sjukdomstillstånd och ekonomi är exempel på personliga förhållanden. |
Sekretess | Ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt. |
Sekretessreglerad uppgift | En uppgift för vilken det finns en bestämmelse om sekretess, exempelvis är alla uppgifter om enskilds hälsotillstånd eller andra personliga förhållanden, sekretessbelagda enligt 25 kap 1§ OSL. Alla uppgifter inom socialtjänsten om enskilds personliga förhållanden omges av sekretess enligt 26 kap 1§ OSL |
Sekretessbrytande bestämmelse | En bestämmelse som innebär att en uppgift får lämnas ut under vissa förutsättningar |
Skyddade personuppgifter | Personer som är utsatta för ett allvarligt och konkret hot kan ansöka om skyddade personuppgifter hos Skatteverket. Personerna kan exempelvis vara utsatta för våld, hot om våld, förföljelse eller andra trakasserier. Det finns tre typer av skyddade personuppgifter eller skyddad identitet som kallas: sekretessmarkering, kvarskrivning och fingerade personuppgifter. De myndigheter som får skatteverkets uppgift om skyddade personuppgifter ska alltid göra en noggrann prövning innan uppgifterna lämnas ut. |
Svartlistning | Är en förteckning över identiteter (sms-nummer eller e-postdomäner) som anses som ej lämpliga att använda för att skicka ut Meddelanden till. Not: På internet kan man finna "publika" register över både svartlistade e-postdomäner och mobilnummer. |
Vårdgivare | Statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvårdsverksamhet som myndigheten, landstinget eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet (privat vårdgivare). |
5 Avgränsningar
Ramverket ger stöd och exempel till verksamheterna kring de regulatoriska krav som finns för hantering av de personers kontaktuppgifter som är lagrade i Personuppgiftstjänsten.
Verksamheten som nyttjar kontaktuppgifterna är dock alltid ytterst ansvarig för att inga känsliga personuppgifter kommer obehörig tillhanda vid nyttjande av kontaktuppgifterna för att skicka ett meddelande.
Ramverket ger endast exempel på klartextmeddelanden. Verksamheterna är fria att utforma dem efter eget behov, förutsatt att de ej röjer personens hälsotillstånd eller andra personliga förhållanden.
6 Förutsättningar
I detta avsnitt beskrivs information som påverkar användningen av en persons kontaktuppgifter.
Först beskrivs kort vilka regulatoriska krav som påverkar, därefter definieras de olika meddelandetyperna som kan komma i fråga vid användning av personens kontaktuppgifter.
6.1 Regulatoriska krav
Här beskrivs kortfattat ett antal lagar, föreskrifter och riktlinjer som påverkar hantering av personens personuppgifter.
Lagar, föreskrifter och riktlinjer | Innebörd |
Patientdatalag (SFS 2008:355) och Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40) | Föreskriver bl.a att personuppgifter ska utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras. Dokumenterade personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem. En vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. I landsting och kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Ålägger också personal som använder IT-stöd med patientuppgifter att vara säkert identifierade. |
Dataskyddsförordningen (EU 2016/679) [R6], GDPR | Principerna innebär bland annat att den som är personuppgiftsansvarig
|
Personuppgiftsansvaret | För uppgifter som lagras i Personuppgiftstjänsten (tjänsteproducenten) och inhämtats från Skatteverket Navet gäller att det landsting/region (huvudman för hälso- och sjukvård) som beställt uppgifterna är personuppgiftsansvarig. För uppgifter som lagras i Personuppgiftstjänsten och är utöver folkbokföringsuppgifterna från Skatteverket, t.ex uppgifter kring kompletterande adressuppgifter, kontaktuppgifter, aviseringsinställningar och är angivna av personen själv, så är det landsting/region där invånaren är folkbokförd i som är personuppgiftsansvarig. I de fall uppgifterna anges av en verksamhetsperson, med personen samtycke, så blir verksamhetspersonens arbetsgivare därmed personuppgiftsansvarig (dvs landsting/region/kommun/privat underleverantör. |
Offentlighets- och sekretesslag (OSL) | Denna lag innehåller bestämmelser om myndigheters och vissa andra organs handläggning vid registrering, utlämnande och övrig hantering av allmänna handlingar. |
6.2 Tekniska förutsättningar för åtkomst till kontaktuppgifter
För att en verksamhet ska få åtkomst till information om att en person har angivet kontaktuppgifter så måste dess verksamhetssystem vara anslutet till Personuppgiftstjänsten via tjänstekontrakt [2] samt ha tecknat erforderliga avtal [3].
Behörig Hälso- och sjukvårdspersonal kan även via 1177 få åtkomst till kontaktuppgifterna, även för administration. Alternativt kan en verksamhetsperson få access till Personuppgiftstjänstens grafiska gränssnitt (GUI) [4] och via detta gränssnitt ta del av och administrera (med personens samtycke) en persons eventuella kontaktuppgifter.
En e-Tjänst som konsumerar kontaktuppgifterna ska ej lagra informationen i systemet, utan för att säkerställa aktualiteten på informationen så ska anropen till producenten ske när behov av kontaktuppgifterna behövs.
En e-Tjänst som tillhandahåller möjlighet för en person- eller en verksamhetsperson att administrerar kontaktuppgifter, ska så långt som möjligt säkerställa att kontaktuppgifterna stämmer. Teknikerna för detta kan variera, t.ex genom att be personen upprepa informationen i 2 olika fält. Att numeriska fält enbart tillåten numeriska tecken osv.
e-Tjänsten bör även säkerställa att en e-postadress har rätt format och enbart kan innehålla tecken enligt RFC 2832.
e-Tjänsten kan även för kontaktuppgifter som är av typen telefonnummer göra ett uppslag mot t.ex eniro.se och för personen presentera eventuellt funna uppgifter (överkurs?)
6.3 Tekniska förutsättningar för att skicka Meddelande
De tekniska förutsättningarna för en verksamhet att kunna skicka ett Meddelande kan variera.
De aviseringsvägar som för närvarande är lämpliga att att skicka Meddelande (Avisering eller Klartextmeddelande) till är sms och e-post.
Fax och URL finns med som möjliga kontaktuppgifter men ska ej användas för att skicka Meddelande.
6.3.1 Användning av e-post
Normalt så sker transporten av e-post okrypterat och över öppna nät. Även om transporten av e-post kan ske krypterat så är normalt själva meddelandet normalt okrypterat. Kopior av e-posten kan även mellanlagras under transporten. Det finns heller ingen möjlighet- att utan extra åtgärder säkerställa att adressaten är den tänkta mottagaren.
Tilliten till att skicka meddelande via e-post är således låg, vilket innebär att e-post ej kan användas för känsliga personuppgifter.
- Vid utskick av meddelande via e-post bör verksamheten använda sig av en ”betrodd” e-postserver som upptäcker om e-postmeddelandet studsar och ej kommer fram till mottagarens inkorg.
- E-postsystemet ska även ha en avsändaradress som gör att mottagaren har en rimlig möjlighet att se vem avsändaren är.
- E-postsystemet bör även ha en ”svartlistning” av e-postdomäner som lämpligen ej ska kunna användas för utskick av meddelanden.
Verksamheten ska ha rutiner för att kunna hantera fel vid sändningar av e-post.
6.3.2 Användning av sms
Det är lika osäkert att skicka ett sms såsom e-post. Både vad gäller den tekniska transporten och säkerställande att sms:et når avsedd person.
Tilliten till att skicka meddelande via sms är således låg, vilket innebär att sms ej kan användas för känsliga personuppgifter.
- Vid utskick av meddelande via sms bör verksamheten använda sig utav en "betrodd" sms-tjänst.
- Tjänsten bör skicka sms-meddelandet med leveransbekräftelse för att säkerställa leveransen av meddelandet till personens mobiltelefon.
- Sms-tjänsten bör även ha en svartlistning av mobilnummer som lämpligen ej ska kunna användas för utskick av meddelanden.
- Sms:et ska sändas med ett avsändarnamn som ej avslöjar för personen känsliga detaljer kring avsändaren.
Exempelvis "BokaDoktorn: Påminnelse om ditt läkarbesök den <datum> <tid> Medtag legitimation" där "BokaDoktorn" är den som är avsändare av sms:et.
Verksamheten ska ha rutiner för att kunna hantera fel vid sändning med sms.
6.4 Roller och ansvar
I avsnittet beskrivs vilka roller och deras respektive ansvarsområde.
6.4.1 Verksamhetschef/motsvarande
Verksamhetschef eller motsvarande ska, med stöd av detta ramverk, tillse att det finns dokumenterade rutiner för att hantering av meddelande till personen sker korrekt. En behovs och riskanalys ska föregå ett beslut om att inom verksamheten möjliggöra en funktion att kunna skicka meddelande till personen.
- Rutinerna ska säkerställa att personens integritet och personliga förhållanden inte kränks. Rutinerna ska även säkerställa att riskerna för att meddelanden hamnar på villovägar minimeras.
- Verksamheten behöver även ha rutiner för att vara rimligt säker på att de av personen angivna aviseringsvägar (e-post, mobilnummer etc) är korrekta och aktuella.
- Verksamheten ansvarar för att personuppgifter som överförs över öppna nätverk ska vara krypterade så att ingen obehörig kan ta del av uppgifterna samt att hantering av personuppgifter följer de regulatoriska kraven i kap 6.
6.4.2 Verksamhetspersonal
För verksamhetspersonal så gäller det att de är insatta i de rutiner och eventuella föreskrifter som finns inom den aktuella verksamheten.
7 Meddelandehantering till personer
Bild nr.1: Hierarkisk struktur för Meddelande ,se Termer och begrepp
Det här avsnittet syftar till att beskriva hur ett Digitalt meddelande (se termer och begrepp) till en person, baserat på personens angivna kontaktuppgifter kan ske.
- Kontaktuppgifterna får endast användas till att skicka meddelande till en person från en verksamhet/myndighet som personen har en relation med.
- Kontaktuppgifterna får ej användas för att skicka reklam eller annan information som personen ej förväntar sig från verksamheten/myndigheten.
Personuppgiftstjänsten ger Personen möjlighet att kunna skriva in flera kontaktuppgifter till sig och därmed möjliggöra att kunna få Meddelande till flera angivna kontaktuppgifter, t.ex både e-post och sms. Personen har även möjlighet att rangordna (välja ordning, 1,2,3 osv) angivna kontaktuppgifter. För en verksamhet som vill kunna skicka meddelande till en person, kan en verksamhet välja en eller flera angivna kontaktuppgifter för utskick av meddelandet, men det bör ske i den rangordning som personen har angivit.
Ett Klartextmeddelande får ej innehålla Känsliga personuppgifter eller Personliga förhållanden. Verksamheten ska alltid göra en riskbedömning om vilken text som kan skickas.
7.1 Meddelande med känsliga uppgifter
Det förhållande att viss person är en patient, anses vara känsliga uppgifter.
Inom Hälso- och sjukvården får en vårdgivare efter att ha gjort en behovs- och riskanalys besluta om undantag från kraven i socialstyrelsens föreskrift HSLF-FS 2016:40 vid överföring av påminnelser och kallelser till vård och behandling som riktar sig till patienter eller av patienten angiven kontaktperson. Vid behovs- och riskanalys kan uppgift om verksamhet bedömas vara en uppgift som inte bör skickas via e-post eller sms - och inte heller till kontaktpersoner. Detta måste respektive verksamhet bedöma. Meddelande som innehåller känsliga personuppgifter får endast lämnas ut till en plats där åtkomsten till meddelandet ska ske genom stark autentisering, (ex 1177 Inkorg, Kivra, Min myndighetspost, Digimail etc) av den person som är mottagare av meddelandet. Verksamheten måste således vara ansluten till någon/några av de tjänster som erbjuder säker meddelandehantering. Verksamheten kan sen avisera (meddela) personen via någon av de kontaktuppgifter som hen har angivet att det finns ett meddelande i meddelandetjänsten. Dessa meddelanden (aviseringar) kan skickas som klartext till någon av de kontaktuppgifterna som personen har angivet. Exempelvis : ”Du har fått ett meddelande i din inkorg hos <meddelandetjänst> från <verksamhet>”
7.2 Meddelande med ej känsliga uppgifter
Vid användning av meddelande med ej känsliga personuppgifter ska verksamheten göra en behovs- och riskanalys för att ta ställning till vilka typer av ej känsliga personuppgifter som lämpar sig att hantera som meddelande i klartext till personen. Respektive verksamhetschef har således ansvaret att besluta om möjligheten att skicka meddelande i klartext via de aviseringsvägar som verksamheten avser att stödja.Det innebär att verksamheten behöver ha rutiner för att rimligt säkerställa att telefonnummer och e-postadress är korrekta och aktuella och att meddelandet ej avslöjar detaljer om en persons hälsotillstånd eller andra personliga förhållanden. Exempelvis: "Hej <namn>. Din bygglovsansökan i <kommun> kommun är nu hanterad. Beslutet finns i Dina Meddelanden på <kommunen> kommuns hemsida"
7.3 Meddelandehantering till kontaktpersoner
En person kan även ange en kontaktpersons kontaktuppgifter som aviseringsväg. till exempel en Vårdnadshavare eller en Närstående.Meddelande till en kontaktperson kan normalt i de flesta fallen bara bestå av ett Klartextmeddelande (se Termer och begrepp). Om verksamheten vill kunna skicka ett meddelande till en kontaktpersons Meddelandetjänst (1177 Vårdguiden, Kivra etc) så behöver verksamheten i så fall ha uppgifter om fullständiga personuppgifter (PNR) på kontaktpersonen och uppgifter om vilken Meddelandetjänst kontaktpersonen har valt för att kunna mottaga meddelande. Meddelande i klartext till kontaktpersoner får inte innehålla Känsliga personuppgifter.
7.3.1 Meddelande till barn/vårdnadshavare
Barn har rätt till integritet och sekretess, även i förhållande till sina vårdnadshavare när det kan antas att barnet kan lida betydande skada om uppgifter röjs för vårdnadshavaren. Det finns således fall då vårdnadshavare - oavsett barnets ålder - inte ska anges som kontaktperson. Det kan exempelvis gälla fall då barnet omhändertas med stöd av lag om vård av unga, LVU.I dessa fall kan vårdgivaren också blockera vårdnadshavarens direktåtkomst till Journal via nätet.Huvudregeln är dock att vårdnadshavare företräder sina barn enligt föräldrabalken. Det framgår av skatteverkets folkbokföringsuppgifter vem som är vårdnadshavare. Uppgift om vårdnadshavare är en "färskvara", dvs den ska kontrolleras löpande. Det är inte självklart att en förälder är vårdnadshavare. En förälder som inte är vårdnadshavare jämställs med tredje person, som inte företräder barnet enligt föräldrabalken. Upp till 13 års ålder kan således vårdnadshavaren anges som kontaktperson - men - i takt med stigande ålder och mognad ska barnets inställning väga allt tyngre. Vid femton års ålder anses ett barn normalt vara tillräckligt mogna för att själva bestämma i frågor som rör integritet och sekretess, men i vissa fall kan mognaden bedömas vara tillräcklig redan vid 13 års ålder. Verksamheten ska göra en mognadsbedömning och fråga om barnets inställning till angivande av kontaktperson. Barnet kan efter mognadsbedömning välja att ange en annan person, än vårdnadshavaren, som kontaktperson. Kunskapsstöd vid mognadsbedömning finns på socialstyrelsens webbsida. Vid utskick av Meddelande till en vårdnadshavare så ska aviseringsväg sökas hos vårdnadshavarens kontaktuppgifter, ej via barnets kontaktuppgifter/kontaktpersoner. Detta för att säkerställa barnets integritet, enligt ovan. Vem/vilka som är vårdnadshavare till barnet framgår av skatteverkets folkbokföringsuppgifter och erhålls från PU-tjänsten. Rutinen för utskick av Meddelande till barn under 13 år ska normalt således vara att via PU-tjänsten erhålla kontaktuppgifter till vårdnadshavaren, ej genom barnets eventuella kontaktuppgifter eller kontaktpersoner.