1 Revisionshistorik
| Datum | Version | Namn | Kommentar |
|---|---|---|---|
| 2018-11-16 | PA01 | Björn Skeppner | Första utkastet till stomme & innehåll |
| 2018-12-17 | PA02 | Björn Skeppner | Påbörjat med innehåll |
2 Inledning
Det har framkommit att det finns variationer mellan landstingen kring hur de hanterar spärrar inom sammanhållen journalföring. En effekt av detta är att det har uppkommit onormal belastning på den nationella instansen av spärrtjänst, bl.a beroende på en oväntad stor mängd replikering av spärrinformation. Det förekommer även skillnader på hur man möjliggör för en patient att begära spärrar för ett stort antal vårdgivare, vilket kan resultera i ett stort antal spärrar i berörda spärrtjänster.
Ramverket har framtagits iterativt inom en arbetsgrupp och har till viss del utgått från lokalt befintliga rutinbeskrivningar. Därefter har ramverket ytterligare kompletterats och fastställts av en referensgrupp sammansatt för ändamålet.
Ramverket beskriver kortfattat de regulatoriska krav som finns gällande hantering av personuppgifter. Ex Patientdatalagen, olika registerlagstiftning och myndigheters föreskrifter, t.ex och HSLF-FS 2016:40 och hur de påverkar hanteringen av spärrar.
3 Syfte
Syftet med detta ramverk är att ge aktörer inom Hälso- och sjukvård stöd i form av rutinbeskrivningar och stödjande dokument så att de på ett likvärdigt sätt hanterar spärrar för en patient.
På så sätt får en patient en likvärdig hantering av sina spärrar, oavsett var i Sverige personen har sökt vård.
4 Avgränsningar
Ramverket syftar till att underlätta för verksamheter inom sammanhållen journalföring och dess hantering av patientens spärrar så att en likvärdig hantering sker.
Lokala tillägg och rutiner kan dock behövas som komplement till detta ramverk.
5 Förutsättningar
5.1 Regulatoriska krav
Här beskrivs kortfattat ett antal lagar, föreskrifter och riktlinjer som påverkar hantering av personens spärrar.
| Lagar, föreskrifter och riktlinjer | Innebörd (inom detta sammanhang) |
|---|---|
| Patientdatalag (SFS 2008:355) | Patientens möjlighet att begränsa elektronisk åtkomst för vårdsyfte4 § Personuppgifter som dokumenterats för ändamål som anges i 2 kap. 4 § första stycket 1 och 2 hos en vårdenhet eller inom en vårdprocess får inte göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vårdgivare, om patienten motsätter sig det. I sådana fall ska uppgiften genast spärras. Vårdnadshavare till ett barn har dock inte rätt att spärra barnets uppgifter. Uppgift om att det finns spärrade uppgifter får vara tillgänglig för andra vårdenheter eller vårdprocesser. 5 § En spärr enligt 4 § första stycket får hävas av en behörig befattningshavare hos vårdgivaren, om Uppgift om vårdenheter eller vårdprocesser som spärrat uppgifterna ska i det fall som avses i 2 göras tillgängliga. |
| Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40) | 4 kap. Åtkomst till uppgifter om patienter Åtkomst till ospärrade uppgifter om en patient vid sammanhållen 6 § Vårdgivaren ska ansvara för att en behörig användares åtkomst till ospärrade uppgifter om en patient hos en annan vårdgivare föregås av att användaren kontrollerar att förutsättningarna för behandling av personuppgifter enligt 6 kap. 3 § eller 3 a § patientdatalagen (2008:355) är uppfyllda och därefter gör ett aktivt val för att ta del av uppgifterna. Åtkomst till uppgift om spärrade uppgifter vid sammanhållen 7 § Vårdgivaren ska ansvara för att det framgår av systemet med sammanhållen journalföring att det finns spärrade uppgifter om en patient hos någon annan vårdgivare. Vårdgivaren ska även ansvara för att information om vilken eller vilka vårdgivare som har spärrade uppgifter om en patient endast görs tillgängliga efter att en behörig användare har gjort ett aktivt val. Nödöppning vid sammanhållen journalföring 8 § En vårdgivare som är ansluten till systemet med sammanhållen journalföring ska säkerställa att behöriga användare får tillgång till de uppgifter om en patient som kan antas ha betydelse för den vård patienten oundgängligen behöver när det föreligger fara för hans eller hennes liv eller allvarlig risk för hans eller hennes hälsa. Vid en sådan situation som avses i 6 kap. 4 § patientdatalagen (2008:355) ska vårdgivaren ansvara för att åtkomst till information om vilken eller vilka vårdgivare som har uppgifter om en patient föregås av att den behörige användaren gör ett aktivt val. Vidare ska vid en sådan situation åtkomsten till ospärrade uppgifter om en patient hos en annan vårdgivare föregås av ytterligare ett aktivt val. Om uppgifterna är spärrade, ska en begäran om åtkomst göras hos den vårdgivare som har spärrat uppgifterna. |
5.2 Lokal dokumentation
För de fall där detta ramverk ej täcker upp det lokala behovet av tydliga rutinbeskrivningar kring spärrhantering, t.ex hur man i sina lokala vårddokumentationssystem alternativt spärrsystem administrerar spärrar så ska dessa tas fram av berörd verksamhet.
5.3 Tekniska förutsättningar för spärrhantering
En vårdgivare som medverkar inom sammanhållen journalföring måste kunna hantera eventuella spärrar som en patient har. Dels spärrar som en annan vårdgivare kan ha satt, dels spärrar som är satta inom den aktuella vårdgivaren. För att patientens spärrar ska finnas tillgängliga oavsett hos vilken vårdgivare de är skapade så kräver den nationella arkitekturen för spärrhantering att när en vårdgivare sätter en spärr så ska den kopieras till den nationella instansen för spärrar, Inera's spärrtjänst. Inera's spärrtjänst ska således ha information om samtliga spärrar för en patient, oavsett vårdgivare. Detta innebär att en vårdgivare som samverkar inom sammanhållen journalföring och därmed får tillgång till vårdinformation hos andra vårdgivare, är skyldig att ansluta sig till Inera's spärrtjänst för att få tillgång till eventuella spärrar.
5.3.1 Integrationsmönster spärrhantering
Spärradministrationen kan ske på följande sätt:
- A: Spärrar administreras i det lokala vårdsystemet. Detta system lagrar spärrarna i en lokal spärrtjänst.
Den lokala spärrtjänsten kopierar sedan över spärrarna till den nationella spärrtjänsten - B: Spärrarna administreras direkt i en lokal spärrtjänst.
Den lokala spärrtjänsten kopierar sedan över spärrarna till den nationella spärrtjänsten - C: Spärrarna administreras i den nationella spärrtjänsten (via den s.k hotelltjänsten)
OBS! Med spärradministration så åsyftas både att sätta spärr, häva spärr (även temporär) samt borttagning av spärr.
5.3.2 Kopiering/replikering av administrerade spärrar till den nationella spärrtjänsten
Den verksamhet som administrerar spärrar ansvarar för att de replikeras upp till den nationella spärrtjänsten.
Verksamheten ansvarar således för att det finns en teknisk anslutning till den nationella spärrtjänsten och att spärrar som är administrerade på lokal nivå replikeras till den nationella spärrtjänsten.
Normalt så sker denna replikering via följande tjänstekontrakt:
| Tjänstekontrakt | Funktion |
|---|---|
| RegisterBlock | Tjänst som registrerar en ny spärr i den nationella spärrtjänsten. |
| UnregisterBlock | Tjänst som avregistrerar/raderar en befintlig spärr i den nationella spärrtjänsten, om spärren finns. |
| RegisterTemporaryRevoke | Tjänst som registrerar en tillfällig hävning för en given spärr i den nationella spärrtjänsten, om spärren finns. |
| UnregisterTemporyRevoke | Tjänst som avregistrerar/raderar en tillfällig hävning i den nationella spärrtjänsten, om hävningen finns. |
Replikeringen bör ske momentant med att förändringen ske på lokal nivå, iallafall vad gäller hävning (även temporär hävning) av spärr.
En lång fördröjning av replikering av en hävd spärr kan utgöra en patientsäkerhetsrisk, en lång fördröjning av satt spärr kan utgöra en risk för kränkt patientintegritet.
Följande tider är maximala tider för replikering av administration av spärr:
| Funktion | Max replikeringstid |
|---|---|
| Sätta spärr | 1 dygn |
| Avregistrera spärr | 1 dygn |
| Temporärt häva spärr | 1 timme |
| Avregistrera temporär hävning | 1 dygn |
5.3.3 Kopiering/replikering av administrerade spärrar från den nationella spärrtjänsten till lokal spärrtjänst
För de fall då en verksamhet har ett vårdsystem som är en konsument inom sammanhållen journalföring, så behöver detta system få information om eventuella spärrar på aktuell patient.
Detta kan ske på följande sätt:
- Vårdsystemet integrerar direkt med den nationella spärrtjänsten, ex via kontraktet GetBlocks och med patientens pnr med i anropet för att ta reda på om det finns några spärrar för den aktuella patienten
- Vårdsystemet integrerar med en lokal spärrtjänst som i sin tur integrerar med den nationella spärrtjänsten. Den lokala spärrtjänsten svarar för att replikera ned spärrinformation från den nationella spärrtjänsten, ex via tjänstekontraktet GetBlocks regelbundet och baserat på attributet "createdOnOrAfter" för att undvika att hämta sen tidigare hämtad spärrinformation.
6 Spärrhantering inom sammanhållen journalföring
6.1 Information till patienten om spärrar och hur patienten får spärrar
- PDL, patientjournalen, sammanhållen journalföring, vem får läsa min journal, loggar och loggkontroll,
- Journalen, NPÖ,
- Yttre och inre spärr
- Blankett
- Personlig kontakt med vårdgivare
6.2 Administration av spärrar
6.2.1 Sätta spärrar
6.2.2 Häva spärrar
6.2.3 Ta bort spärrar
7 Checklista
8 Termer och begrepp
| Begrepp | Innebörd |
|---|---|
| Autentisering | Kontroll av uppgiven identitet |
| Patientjournal | En eller flera journalhandlingar som rör samma patient |
| Personidentifierare | En identitetsbeteckning för att identifiera en person. Exempelvis personnummer, samordningsnummer. |
| Replikering spärradministration | Överföring av information till/från mellan en lokal spärrtjänst och den nationella spärrtjänsten |
| Sammanhållen journalföring | Ett elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare. |
| Sekretess | Ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt. |
| Sekretessreglerad uppgift | En uppgift för vilken det finns en bestämmelse om sekretess, exempelvis är alla uppgifter om enskilds hälsotillstånd eller andra personliga förhållanden, sekretessbelagda enligt 25 kap 1§ OSL. Alla uppgifter inom socialtjänsten om enskilds personliga förhållanden omges av sekretess enligt 26 kap 1§ OSL |
| Sekretessbrytande bestämmelse | En bestämmelse som innebär att en uppgift får lämnas ut under vissa förutsättningar |
| Skyddade personuppgifter | Personer som är utsatta för ett allvarligt och konkret hot kan ansöka om skyddade personuppgifter hos Skatteverket. Personerna kan exempelvis vara utsatta för våld, hot om våld, förföljelse eller andra trakasserier. Det finns tre typer av skyddade personuppgifter eller skyddad identitet som kallas: sekretessmarkering, Skyddad folkbokföring (kvarskrivning) och fingerade personuppgifter. De myndigheter som får skatteverkets uppgift om skyddade personuppgifter ska alltid göra en noggrann prövning innan uppgifterna lämnas ut. |
| Spärr | Otillgängliggörande av journaldokumentation inom en vårdgivare (inre sekretessområde) eller inom sammanhållen journalföring (yttre sekretessområde). Spärr omfattar endast elektroniska patientuppgifter, således ej pappersburen information. Rätten till spärr omfattar även varningsmarkeringar och uppmärksamhetssignaler. Vid spärr ligger ansvaret på att patienten för informationen vidare till de som behöver den. Patienten ”äger spärren”. |
| Spärr -inre | Spärr i det inre sekretessområdet (inom vårdgivare). Spärr av journalhandling/vårddokumentation som är avgränsad till en vårdenhet. Innebär att patientuppgifter hos en vårdenhet ej är tillgänglig genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet hos samma vårdgivare, om patienten har begärt att information ska spärras. |
| Spärr -yttre | Spärr av journalhandling / vårddokumentation som är avgränsad till en vårdgivare och innebär att informationen ej är tillgänglig för andra vårdgivare genom sammanhållen journalföring. |
| Spärrtjänst | En IT-tjänst som ger möjlighet att lagra och tillhandahåller uppgifter av patienten begärda spärrar. Spärrtjänsten registrerar spärrar och kontrollerar om en patient har spärrat tillgång till patientinformation inom och mellan vårdgivare. En spärrtjänst ska stödja den nationella arkitekturen för att kunna samverka inom sammanhållen journalföring, se http://rivta.se/domains/informationsecurity_authorization_blocking.html Detta för att samtliga spärrar som registreras för en patient ska kopieras/aggregeras till den nationella spärrtjänsten (Spärrtjänst -nationell) så att patientens samlade spärrar kan bli tillgängliga för system inom sammanhållen journalföring. |
Spärrtjänst -lokal | En IT-tjänst som på lokal nivå (landsting/region etc) ger möjlighet att lagra och tillhandahåller uppgifter av patienten begärda spärrar. Kan vara en lokal version av Inera's spärrtjänst eller en egenutvecklad. Inera tillhandahåller även lokal spärrtjänst såsom en molntjänst, dvs ett landsting/region etc kan lagra sina spärrar hos Inera's molntjänst (kallas även för Hotelltjänst). |
| Spärrtjänst -nationell | Inera's spärrtjänst för patientens samlade spärrar, dvs spärrar som har registrerats på lokal nivå (lokal spärrtjänst eller motsvarande) och aggregerats upp till den nationella spärrtjänsten, verksamhetsadress: SE165565594230-1000. |
| Stark autentisering | Kontroll av uppgiven identitet på två olika sätt |
| Verksamhet | Inom denna kontext en verksamhet som är inom landsting, kommuner och privata vårdgivare som är offentligt finansierade samt statliga myndigheter. |
| Vårdenhet | Organisatorisk enhet som tillhandahåller hälso- och sjukvård. Vårdenhet kan vara t.ex. vårdcentral, sjukhus, klinik, basenhet, mottagning, vårdavdelning eller motsvarande |
| Vårdgivare | Statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvårdsverksamhet som myndigheten, landstinget eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet (privat vårdgivare). |
| Vårdsystem | Ett system i vilken en vårdverksamhet hanterar administrativa data och journaler kring en patient. |
9. Bilagor
- Information till patienten
- Formulär -Spärrbegäran
- Formulär -Borttagning av spärr
- (eventuellt?) Checklista -Hantering av spärr
9. Referenser
| Nr | Referens |
|---|---|
| 1 | RIV Specifikation Patientdatalagen i Praktiken, |