Ramverk för hantering av reservidentiteter

Owned by Björn Skeppner (Unlicensed)
Last updated: nov. 01, 2021 by Björn Skeppner (Unlicensed)
15 min read

1          Revisionshistorik

Datum

Version

Namn

Kommentar

2018-01-25

0.1

Emelie Holmberg, Björn Skeppner

Första utkast utifrån lokala ramverk från Region Skåne, Västra Götalandsregionen, Region Uppsala, Landstinget i Värmland, Region Örebro län

2018-02-12

0.2

Emelie Holmberg

Uppdaterat efter intervjuer med verksamhetsrepresentanter från Akademiska Sjukhuset, Region Uppsala

2018-02-26

0.3

Emelie Holmberg

Uppdaterat efter synpunkter från referensgrupp

2018-03-01

0.4

Björn Skeppner

Diverse uppdateringar

2018-03-14

0.5

Emelie Holmberg

Påbörjat uppdateringar efter remissrunda hos referensgrupp och verksamhetsrepresentanter

2018-03-20

0.6

Björn Skeppner

Uppdaterat efter intern (Inera) runda

2018-04-05

0.7

Björn Skeppner

Uppdaterad efter synpunkter från Manolis N.

2018-04-17

1.0

Björn Skeppner, Emelie Holmberg

Fastställt, internt

2018-05-14

1.0.1

Björn Skeppner

Smärre språkliga textredigeringar efter synpunkter av Christer Allskog

2018-05-15

1.0.2

Petter Könberg

Smärre språkliga justeringar.

2018-05-30

1.1

Björn Skeppner

Uppdaterad efter synpunkter Johan Zenk, Östergötland

2020-05-10

1.2

Björn Skeppner

Konverterat från Word till web (Wiki), rättat ändrade länkar och smärre textjusteringar. Har även bifogat referensmaterial, lokala ramverk samt arbetsdokument.

2021-08-24

2.0

Björn Skeppner

Lagt till kapitel 9 om hantering av kopplade identiteter som har skyddsmarkering (sekretessmarkering/skyddade folkbokföringsuppgifter)

2021-09-14

2.1

Björn Skeppner

Justerat kapitel 9 efter samverkan med VGR & Skåne

2         Framtagande av ramverk

Detta ramverk har baserats på insamlade lokala ramverk och regelverk som beskriver rutinerna för uttag och hantering av reservidentiteter i ett antal olika antal landsting och regioner. 

Ramverket har kompletterats genom intervjuer med personer som i sitt arbete i verksamheten i stor utsträckning kommer i kontakt med och hanterar reservidentiteter. Därefter har ramverket ytterligare kompletterats och fastställts av en referensgrupp sammansatt för ändamålet. 

Vi skulle vilja tacka följande personer som deltagit i intervjuer och i referensgruppen med sina kunskaper och erfarenheter:

Sara Edlund, vårdsystemsamordnare, Akademiska Sjukhuset Uppsala,
Mervi Friberg, vårdsystemsamordnare, Akademiska Sjukhuset Uppsala,
Lena Jonsson, landstingsjurist, Landstinget Dalarna,
Josef Driving, landstingsjurist, Stockholms läns landsting,
Johan Reuterhäll, informationssäkerhetschef, Region Skåne,
Jessica Persson, samordnande objektspecialist verksamhet, Västra Götalandsregionen,
Per Mützell, lösningsarkitekt, Ineras Personuppgiftstjänst
Tomas Fransson, IT-specialist, Ineras Personuppgiftstjänst,
Manolis Nymark, jurist, Inera

3         Termer och begrepp

Begrepp

Innebörd

Personuppgiftstjänsten (PU-tjänsten)

Nationell tjänst från Inera som hanterar personuppgifter från Skatteverket (Navet), personens kontaktuppgifter och reservidentiteter.

På Ineras hemsida finns mer information om Personuppgiftstjänsten ( https://www.inera.se/personuppgiftstjansten ).

Person

Då Personuppgiftstjänsten idag används inom hälso- och sjukvården i landsting och kommun syftar begreppet person i ramverket på en vårdtagare.  Om Personuppgiftstjänsten i framtiden börjar användas inom andra offentligt finansierade verksamheter kan begreppet behöva utökas ytterligare.

Personnummer

En identitetsbeteckning för varje folkbokförd person i Sverige som fastställts av [1]. Personnumret är unikt och alltid kopplat till samma person [1].

Samordningsnummer

Samordningsnumret är en identitetsbeteckning på en person som inte är och aldrig har varit folkbokförd i Sverige. Ett samordningsnummer är unikt och alltid kopplat till samma person. Om en person som har fått samordningsnummer senare blir folkbokförd kopplas samordningsnumret ihop med personnumret (hänvisningsId)[1]. 

Samordningsnumret tilldelas av Skatteverket efter begäran från en statlig myndighet eller enskild utbildningssamordnare [2].

Reservidentitet (Reservnummer)

Samlingsbegrepp för lokal reservidentitet och Nationell Reservidentitet. 

Tillfällig identitetsbeteckning för individ som knyts till information tillhörande person som inte kan (eventuellt inte vill) identifiera sig, exempelvis då person- eller samordningsnummer saknas eller är okänt [1]. 

Reservidentitet är det rekommenderade begreppet då formatet på identitetsbeteckningen inte nödvändigtvis är numeriskt.

Lokal reservidentitet (Lokalt reservnummer)

Lokal reservidentitet (ofta kallat reservnummer) är reservidentiteter som ges ut och hanteras lokalt i en organisation, t.ex. i ett landsting eller en kommun [2].

Nationell reservidentitet (Nationellt ReservID)

Ett nationellt format för reservidentiteter för användning i samverkan mellan organisationer, nationella liksom regionala [2]. Formatet för Nationell reservidentitet har tagits fram av Inera tillsammans med en referensgrupp bestående av representanter från landstingen/regionerna [3].

Samverkanslösning

Gemensam IT-lösning över organisatoriska och systemmässiga gränser, exempelvis nationella e-tjänster som Nationell Patientöversikt (NPÖ), Webcert och Svevac.

Personidentifierare

En identitetsbeteckning för att identifiera en person. Exempelvis personnummer, samordningsnummer eller reservidentitet [2].

LMA-kortnummer

Migrationsverkets dossiernummer, det unika numret på LMA-kortet.

Vårdgivare

Statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvårdsverksamhet som myndigheten, landstinget eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet (privat vårdgivare) [4].

Vårdenhet

Organisatorisk enhet som tillhandahåller hälso- och sjukvård [5].

Huvudidentitet

Den nu gällande personidentifieraren för en individ. Eftersom flera personidentifierare kan identifiera samma individ (t.ex. reservidentitet, samordningsnummer, personnummer) har Personuppgiftstjänsten stöd för koppling av personidentifierare. När personidentifierare kopplas ihop så kommer alltid en identitet anses vara den nu gällande. Denna kallas huvudidentitet. Huvudidentiteten är en unik identitetsbeteckning som alltid är kopplad till samma person [6]. 

Exempel 1:

En person har ett samordningsnummer. Personen blir senare tilldelad ett personnummer. Personnumret blir personens nya huvudidentitet. [2] 

Exempel 2:

En person i vården som inte är folkbokförd i Sverige får en Nationell reservidentitet tilldelat hos en vårdgivare, eftersom personen saknar personnummer/samordningsnummer. Senare konstateras hos vårdgivaren att personen också haft en lokal reservidentitet där man dokumenterat en tidigare vårdkontakt. Vårdgivaren knyter den lokala lokal reservidentiteten till personens Nationella reservidentitet, vilket är personens huvudidentitet. [2]

Skyddade personuppgifter

Personer som är utsatta för ett allvarligt och konkret hot kan ansöka om skyddade personuppgifter hos Skatteverket. Personerna kan exempelvis vara utsatta för våld, hot om våld, förföljelse eller andra trakasserier. Det finns tre typer av skyddade personuppgifter: sekretessmarkering, skyddad folkbokföring (kvarskrivning) och fingerade personuppgifter.

Skyddad folkbokföring

En person som har beviljats skyddad folkbokföring fr o m 2019-01-01 har ett starkare sekretesskydd, jämfört med den person som endast beviljats en sekretessmarkering. Uppgift om adress kommer inte att finnas på personen utan endast en särskild postadress, på samma sätt som personer med kvarskrivning fått sin adress hanterad tidigare. De kommer att vara folkbokförda ”på kommunen”, vanligtvis i den kommun de senast var bosatta i.

Skyddsmarkering

En flagga som anger att en personidentitet har skyddade personuppgifter (sekretessmarkering) och/eller skyddad folkbokföring

4         Inledning

Om en person som söker sig till hälso- och sjukvården i landsting och kommun och inte kan (eller i vissa fall inte vill) identifiera sig, exempelvis då person- eller samordningsnummer saknas eller är okänt, utfärdas en reservidentitet för att säkerställa vård för personen trots att identiteten inte är känd [7]. 

De lokala reservidentiteter, ofta kallade reservnummer, som används idag fungerar inte i nationella och interregionala samverkanslösningar. Samverkanslösningar kan t.ex. vara nationella e-tjänster som hämtar journal- och läkemedelsinformation från andra system och organisationer, som exempelvis Nationell Patientöversikt (NPÖ), Webcert, Svevac, Pascal m.fl. [2] Detta beror på att de lokala reservidentiteterna inte är nationellt unika, och inte heller kompatibla med varandra då de är på olika format. Att lokala reservidentiteter har olika format ger också upphov till svårigheter för personal som hanterar reservidentiteter i verksamheten. Det kan idag vara svårt för personal att tolka och förstå olika reservidentiteter då de har olika format. Detta kan leda till kommunikationssvårigheter och missförstånd mellan olika landsting, exempelvis vid remisser och fakturering. I värsta fall kan det påverka patientsäkerheten. Ambitionen är därför att växla över till användning av Nationell reservidentitet. 

I Personuppgiftstjänsten finns stöd för att ta ut, hantera och koppla ihop reservidentiteter. Stöd finns både för Nationell reservidentitet enligt ett framtaget format liksom för de befintliga lokala reservidentiteter som används. Det finns även stöd för att koppla samman flera personidentifierare till samma individ. Exempelvis kan en reservidentitet kopplas till personens huvudidentitet. På så sätt kan dokumentation, provsvar, mätdata osv. knytas samman till rätt individ, även om uppgifterna ursprungligen varit kopplade till olika personidentifierare i IT-systemen [2]. Mer information Nationell reservidentitet och formatet på detta finns att hitta på Ineras hemsida: https://www.inera.se/personuppgiftstjansten  

5         Syfte

Syftet med detta ramverk är att beskriva uttag, hantering och koppling av reservidentitet för att säkerställa att rutinen är densamma hos alla verksamheter som använder tjänsten. 

Ramverket beskriver kortfattat de regulatoriska krav som påverkar identitetshantering inom hälso- och sjukvården i landsting och kommun, uttag och koppling av reservidentiteter, vilka roller som deltar i hanteringen av reservidentiteter och deras respektive ansvarsområde.

6         Avgränsningar

Ramverket ger stöd för användning och hantering av reservidentiteter för personer, vid sidan av svenskt personnummer och samordningsnummer, i digitala samverkanslösningar [2] över organisatoriska och systemmässiga gränser inom hälso- och sjukvården.

För hantering av reservidentiteter av andra verksamhetsområden inom offentligt finansierade verksamheter kan detta ramverk behöva utvecklas vidare.

7          Förutsättningar

I detta avsnitt beskrivs bakgrundsinformation som påverkar hanteringen av reservidentiteter. Först beskrivs kort vilka regulatoriska krav som påverkar, därefter definieras de godkända identitetshandlingar som finns. Slutligen beskrivs vilka roller som är inblandade i identitetshanteringen samt deras ansvar. 

7.1          Regulatoriska krav

Här beskrivs kortfattat ett antal lagar, föreskrifter och riktlinjer som påverkar hantering av patientens personuppgifter och identiteter såsom lokal eller nationell reservidentitet.  

 

Lagar, föreskrifter och riktlinjer

Innebörd

Patientdatalag (SFS 2008:355) och (HSLF-FS 2016:40)

Föreskriver att alla journalhandlingar i patientjournalen ska vara försedda med en entydig personidentifikation, såsom för- och efternamn samt personnummer, och information om på vilket sätt patienten identifierats. Av dokumentationen ska det framgå om patientens identitet är styrkt på annat sätt än genom legitimationshandling eller om personalen är osäker om identiteten. Om patienten inte legitimerar sig ska detta dokumenteras i patientjournalen. 

Ålägger också personal som använder IT-stöd med patientuppgifter att vara säkert identifierade.

Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40)

Vårdgivaren ska säkerställa att det är möjligt att föra patientjournal när en patients identitet inte kan fastställas, en patient saknar svenskt personnummer eller en patient har skyddade personuppgifter. 

Vårdgivaren ska, utöver vad som följer av Patientdatalagen (SFS 2008:355) säkerställa att patientjournalen innehåller

  1. en entydig identifikation av den berörda patienten

  2. patientens kontaktuppgifter

  3. uppgifter om namn och befattning på den personal som svarar för en viss journaluppgift, och

  4. tidpunkten för varje vårdkontakt som patienten har haft eller som planeras.

Hälso- och sjukvårdslagen (SFS 2017:30)

Fastställer att hälso- och sjukvård ska bedrivas så att den uppfyller kraven på en god vård. I kap. 5 finns grundläggande bestämmelser om patientsäkerhet och kvalitet av vården. 

Rent praktiskt innebär det att den som utför en vårdåtgärd (administrativa, medicinska och/eller omvårdnadsmässiga) är skyldig att varje gång förvissa sig om patientens identitet och märka eventuella icke-elektroniska journalhandlingar, provtagningskärl etc. med sin signatur och patientens ID.

Förordning om provtagning för infektion av HIV (SFS 2008:363)

Föreskriver att patient har rätt att vara anonym i vården för sådan provtagning, förutsättningen är dock att patienten har begärt anonymitet. Rättigheten är alltså inte generell vid HIV-provtagning, men patient bör enligt Socialstyrelsen upplysas om denna möjlighet.

Vid ett positivt svar bortfaller anonymitetsskyddet och uppgifterna ska föras in i patientjournalen under fullständigt personnummer och namn.

Vårdhandboken

Framhåller vikten av att fastställa varje vårdtagares identitet för att kunna garantera trygghet och säkerhet i alla kontakter med vårdgivare.

Dataskyddsförordningen (EU 2016/679) , GDPR

Principerna innebär bland annat att den som är personuppgiftsansvarig

  • måste ha stöd i dataskyddsförordningen för att få behandla personuppgifter

  • endast får samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål

  • inte ska behandla fler personuppgifter än vad som behövs för ändamålet

  • ska se till att personuppgifterna är riktiga

  • ska radera personuppgifterna när de inte längre behövs

  • ska skydda personuppgifterna, till exempel så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs

  • ska kunna visa att och hur de lever upp till dataskyddsförordningen

 

7.2         Rekommenderade identitetshandlingar med syfte att hantera olika aktiviteter kring reservidentiteter

Följande id-handlingar rekommenderas

  • giltigt nationellt id-kort utfärdat av ett EU- eller EES-land (inkl. Sverige)

  • giltigt pass, svenskt eller utländskt

  • id-kort utfärdat av Skatteverket

  • svenskt körkort

  • svenskt SIS-märkt id-kort utfärdat av till exempel en bank, ett företag eller en myndighet 

Samt för personer som inte är medborgare i EU/EES främlingspass som uppfyller EU:s krav på pass och är utfärdat av Migrationsverket.

 

7.3         Roller och ansvar

I avsnittet beskrivs vilka roller inom hälso- och sjukvården som är delaktiga i identitetshanteringen av personen och deras respektive ansvarsområde.

 

7.3.1        Verksamhetschef/motsvarande

Verksamhetschef eller motsvarande ska med stöd av detta ramverk se till att det finns dokumenterade rutiner för hantering, uttag, koppling och isärkoppling av reservidentiteter inklusive rutiner för att genomföra och registrera identitetskontroll av patienter. 

7.3.2       Legitimerade yrkesgrupper

Legitimerade yrkesgrupper är journalföringsskyldiga. 

7.3.3       Hälso- och sjukvårdspersonal

Vårdpersonal som utför hälso- och sjukvårdsarbete på delegation eller biträder en legitimerad yrkesutövare är hälso- och sjukvårdspersonal och är skyldiga att föra journal. 

Hälso- och sjukvårdspersonal utför identitetskontroll av personer i varje enskilt moment av vårdprocessen och registrerar detta i aktuellt journal- eller annat patientadministrativt system. De informerar även person som inte legitimerar sig om innebörden av detta. 

All hälso- och sjukvårdspersonal är behörig att både ta ut reservidentitet och att koppla ihop reservidentitet och huvudidentitet. Personen som utför kopplingen mellan reservidentitet och huvudidentitet är också ansvarig för kopplingen.

8         Identitetshantering av personer

Det här avsnittet syftar till att beskriva processen för att ta ut, hantera, koppla och koppla isär reservidentiteter. Först beskrivs hur identitetskontrollen av en person inom hälso- och sjukvården går till och hur detta dokumenteras. Det beskrivs även hur och under vilka omständigheter en reservidentitet kan tas ut, och hur en reservidentitet kan kopplas till eller från en huvudidentitet.

 

8.1         Identitetskontroll

Om personen inte redan är identifierad ska identitetskontroll ske genom att vederbörande får legitimera sig. Detta sker mot uppvisande av en godkänd identitetshandling. Vilka identitetshandlingar som är godkända definieras i avsnitt 7.2 Godkända identitetshandlingar. Eftersom personens identitet ska säkerställas i hela vårdkedjan ska legitimering ske i varje enskilt moment av vårdprocessen [9] [10]. 

Personuppgiftstjänsten har i de fall där nationell reservidentitet tagits ut, stöd för att registrera information om hur patienten har styrkt sin identitet, t.ex möjlighet att lagra typ av legitimationshandling, t.ex. pass och passnummer. I Personuppgiftstjänsten finns även möjlighet att lagra en binär bilaga, vilket beskrivs mer detaljerat i slutet av detta avsnitt. 

Vid vård av barn ska den vuxne som fört barnet till vårdenheten kunna legitimera sig. Om den vuxne inte är barnets vårdnadshavare måste denne också kunna göra troligt att han eller hon har vårdnadshavarens uppdrag att ansvara för barnet. I akuta situationer måste barnet beredas vård även utan vårdnadshavarens medgivande. [9] 

Om en person vägrar eller inte kan styrka sin identitet kan hen fortfarande få vård i de fall då vård är nödvändigt. Vid vissa typer av medicinska ingrepp krävs alltid legitimering p.g.a. vissa formella krav som måste uppfyllas för att ingreppet ska få utföras. Detta gäller exempelvis sterilisering och abort [9] [10]. 

Om en person inte har ett svenskt personnummer/samordningsnummer, inte kan, eller i vissa fall inte vill ange sin identitet, kan en Nationell reservidentitet tas ut och användas för patienten. Detta beskrivs i avsnitt 8.3 Uttag och hantering av Nationell reservidentitet. 

En person som inte kan, och i vissa fall inte vill, styrka sin identitet och ändå ska få vård ska upplysas om [9]:

  • Varför vården begär att personen ska uppvisa ID-handling (medicinsk säkerhet, skydd för personens integritet, förebyggande av bedrägerier m.m.)

  • Att en anteckning om legitimationsvägran eller att det inte går att styrka identitet, kommer att ske

  • Att vissa behandlingar inte får företas, såsom t.ex. sterilisering eller abort, och att vårdintyg eller annat intyg som ska användas i rättsligt sammanhang inte får utfärdas

  • Att reservidentitet kommer att tilldelas och att journalföring kommer att ske med denna reservidentitet 

I många fall saknas en godkänd identitetshandling. Varje vårdgivare måste fastställa riktlinjer gällande vad som är en acceptabel nivå för att legitimeringen ska godkännas. I Personuppgiftstjänsten finns möjlighet att lägga in en binär fil, exempelvis ett foto. Detta kan fungera som ett stöd vid identifiering. Exempelvis kan man bifoga en bild på ett utländskt pass, Migrationsverkets LMA-kort eller annan utländsk identitetshandling. Man kan också bifoga en bild på personen i fråga, som vid återbesök kan jämföras med verkligheten. I Personuppgiftstjänsten kan man också ange exempelvis passnummer eller LMA-kortnummer så att dessa blir sökbara. 

8.2        Dokumentation

I patientjournalen ska på varje journalhandling framgå:

  • Entydig personidentifikation (exempelvis förnamn, efternamn samt personnummer) [10] [7]

  • Om personen är identifierad med godkänd legitimationshandling, inklusive hur personen identifierats [10] [11]

  • Om personens identitet är styrkt på annat sätt än genom godkänd legitimationshandling [11]

  • Om personalen är osäker på personens identitet [11]

  • Om personen inte vill legitimera sig men ändå ska få vård [11

Eventuella icke-elektroniska journalhandlingar, provtagningskärl etc. ska märkas med personens identitet och den som utför en vårdåtgärds signatur [10]. 

8.3        Uttag och hantering av Nationell reservidentitet

I avsnittet beskrivs först uttag och hantering av reservidentitet för en enskild person. Därefter beskrivs hantering och uttag av en större mängd reservidentiteter, som exempelvis kan komma till nytta under driftstopp eller katastrofsituationer. Slutligen beskrivs koppling och isärkoppling av personidentifierare. 

Personuppgiftsansvarig för de uppgifter som skapas eller ändras kring en reservidentitet är den verksamhet som senast har skapat eller ändrat uppgifterna kring en reservidentitet. Detta innebär att om verksamhet A tar ut en reservidentitet så blir verksamhet A personuppgiftsansvarig för denna identitet. Om verksamhet B därefter gör en ändring på denna identitet, exempelvis tillför eller ändrar uppgifter så blir verksamhet B personuppgiftsansvarig för denna ändring och därmed personuppgiftsansvarig för den uppdaterade versionen av personuppgifterna. 

8.3.1       Reservidentitet för enskild person

För att säkerställa vård för en person som inte kan, eller i vissa fall inte vill identifiera sig, utfärdas en reservidentitet [7]. I praktiken används reservidentiteter ofta för asylsökande, turister, och personer som av någon anledning inte kan legitimera sig, exempelvis om de inte är vid medvetande. Alla medarbetare i hälso- och sjukvården är behöriga att ta ut en reservidentitet. 

Om reservidentitet utnyttjas ska detta tydligt dokumenteras, inom vården i det aktuella patientadministrativa systemet, tillsammans med orsaken, oavsett om det är en lokal eller nationell reservidentitet. 

Innan en reservidentitet tas ut ska man göra en sökning i Personuppgiftstjänsten för att se om personen redan tilldelats en reservidentitet. Personalen får då söka med hjälp av den information som finns tillgänglig, exempelvis för- och efternamn, utländskt passnummer, körkortsnummer och/eller LMA-kortnummer. Finns ett foto inlagt på reservidentiteten, föreställandes exempelvis en utländskt identitetshandling eller på personen som söker vård, kan detta jämföras med verkligheten. 

Vid träff, ska den reservidentitet som skapats först användas. Det är viktigt att i den utsträckning det är möjligt kontrollera att personuppgifterna stämmer innan reservidentiteten används, genom att jämföra informationen som finns registrerad på reservidentiteten med informationen personen har i verkligheten. Avvikande uppgifter kan tyda på att det är en annan person. Om inte identifieringen av reservidentiteten kan säkerställas, skapa istället en ny reservidentitet [7]. 

Finns ingen information om patienten tillgänglig är det inte möjligt att göra en sökning. Skapa då en ny reservidentitet. När en ny reservidentitet tas ut till en person är det viktigt att registrera all information som finns tillgänglig om personen, t.ex namn, födelsedatum och kön. Detta för att göra det möjligt att vid ett senare tillfälle kunna söka upp och återanvända reservidentiteten, och vid detta senare tillfälle kunna säkerställa att det är samma person som återkommit.

Exempelvis är det möjligt att registrera för- och efternamn, LMA-kortnummer, nummer på utländska identitetshandlingar som utländska pass, körkortsnummer samt bilder på dessa alternativt bild på personen i fråga. 

8.3.2      Reservidentiteter vid katastrof eller driftstopp

Alla verksamheter ska ha lokala rutiner för driftstopp och katastrof- och nödsituationer. 

I Personuppgiftstjänsten finns stöd för att få ut listor med ett valfritt antal av föruttagna Nationella reservidentiteter vilka kan användas för detta ändamål. När mer information om personerna som tilldelats en Nationell reservidentitet framkommit ska dessa uppgifter kompletteras i Personuppgiftstjänsten genom att exempelvis koppla ihop den Nationella reservidentiteten med patientens huvudidentitet.

 

8.4        Koppling av identitet till huvudidentitet

I matrisen nedan beskrivs vilka typer av kopplingar av personidentiteter som kan göras och av vem [12]:


Kopplar till →

Lokal
Reservidentitet

Nationell
Reservidentitet

Samordnings-nummer

Personnummer

Lokal Reservidentitet

 

X

X

X

Nationell Reservidentitet

 

X

X

X

Samordningsnummer

 

 

*

*

Personnummer

 

 

*

*

*Kopplingar mellan Samordningsnummer och Personnummer görs enbart av Skatteverket

Som visas i matrisen ovan så kan en lokal reservidentitet kopplas till en nationell reservidentitet, samordningsnummer eller ett personnummer. Den identitet man kopplar till blir då huvudidentiteten.

En lokal reservidentitet kan inte kopplas till en annan lokal reservidentitet. 

För att vårdinformation på en person med en lokal reservidentitet ska kunna tillgängliggöras inom sammanhållen journalföring så måste den lokala reservidentiteten kopplas till antingen en nationell reservidentitet, ett samordningsnummer eller ett personnummer. Om man vill att vårdinformation tillhörande en person som tilldelats en lokal reservidentitet ska kunna utbytas över vårdgivargränser måste en nationell reservidentitet tas ut och kopplas till den lokala reservidentiteten.  

En koppling mellan en reservidentitet och en huvudidentitet ska ske då personens identitet blir känd, då personen erhåller ett personnummer eller samordningsnummer, eller då en person begär att anonymiteten upphävs. Det är verksamhetens ansvar att vidta erforderliga åtgärder för att säkerställa att patientjournaler och annan dokumentation innehållandes reservidentitet kopplas ihop med personens huvudidentitet [11]. 

En koppling mellan reservidentitet och huvudidentitet får göras först när en säker identifiering har gjorts av personen.

Ifall personen är helt oidentifierad måste två personer identifiera personen innan kopplingen utförs. Båda personerna måste i detta fall intyga om koppling i verksamhetssystemet. Är personen identifierad sedan tidigare behöver bara en person identifiera personen innan kopplingen utförs. 

Hur en identitetskontroll av personen görs beskrivs i avsnitt 8.1 Identitetskontroll . Om det finns någon tveksamhet kring personens identitet ska ingen koppling göras. Personen/personerna som utför kopplingen bär ansvaret för att de hopkopplade identiteterna tillhör samma person och att identifiering är säkerställd för samtliga identiteter [7]. Uppgifter om vem som styrkt personens identitet samt identifieringssätt ska dokumenteras i journalen [10]. Dessa uppgifter ska även dokumenteras i Personuppgiftstjänsten, vilket normalt sker vid kopplingstillfället. 

I verksamheten måste det sedan finnas lokala rutiner för hur de i Personuppgiftstjänsten kopplade identiteterna speglas i de lokala verksamhetssystemen. Det vill säga att i de fall där personen har olika identiteter i verksamhetssystemet ska det finnas rutiner för hur dessa dokument kopplas samman till personens huvudidentitet. 

När en reservidentitet och huvudidentitet är kopplade är båda sökbara i det vårdadministrativa systemet (förutsatt att det vårdadministrativa systemet har stöd för detta [2]. 

Rent praktiskt sker hopkopplingen av identitet och huvudidentitet i Personuppgiftstjänsten enligt nedan [6]:

  1. En aktör loggar in Personuppgiftstjänsten eller ansluten e-tjänst, t.ex. ett verksamhetssystem som är anslutet till Personuppgiftstjänsten via tjänstekontrakt.

  2. Aktören söker fram uppgifter för den identitet som man vill koppla annan identitet till.

  3. Aktören söker fram uppgifter för den identitet som man vill koppla till tidigare sökta identitet.

  4. Aktör begär koppling

  5. Personuppgiftstjänsten utför koppling 

8.5        Isärkoppling av identitet och huvudidentitet

Det är också möjligt att koppla isär en identitet och en huvudidentitet i personuppgiftstjänsten. Detta kan användas då en felaktig koppling utförts. 

Detta sker enligt nedan [6]:

  1. Aktör loggar in Personuppgiftstjänsten eller ansluten e-tjänst.

  2. Aktören söker fram uppgifter för den identitet som man vill koppla isär en identitet ifrån.

  3. Aktören anger den kopplade identitet som man vill koppla ifrån.

  4. Aktör begär isärkoppling

  5. Personuppgiftstjänsten utför isärkoppling 

8.6        Personer med spärrade patientuppgifter

Inom hälso- och sjukvården har en person möjlighet att spärra information i sin patientjournal för att den inte ska kunna läsas av personal utanför den vårdenhet som spärren avser. 

Varje verksamhet ansvarar för att eventuella spärrar på en personidentifierare följer med kopplade personidentifierare till personens huvudidentitet.

9 Hantering av kopplade personidentiteter med skyddade personuppgifter (skyddsmarkering)

9.1 Inledning

En person kan ha flera personidentiteter (RID, NRID, SNR, PNR, se kapitel 8.4) vilka kan vara kopplade till en “huvudidentitet”. I det fallet huvudidentiteten är ett personnummer som har en skyddsmarkering ska kopplade personidentiteter “ärva” skyddsmarkeringen, dvs personuppgifterna som finns registrerade skall hanteras på likvärdigt sätt. I det fallet då ett personnummer har en skyddsmarkering och det inte är en huvudidentitet gäller skyddsmarkeringen endast den personidentiteten och de personuppgifter som finns registrerade på den. Skyddsmarkering kan bara förekomma på personnummer. Observera att själva hänvisningen till en annan personidentitet kan vara skyddsvärd och därmed behöver åtkomsten behörighetsstyras. I de fall där tillgången till personuppgifter är begränsad på grund av behörighet ska användaren upplysas om det.

Verksamheten har ansvaret att följa regionala, kommunala och nationella styrande dokument, t.ex Ineras verksamhetsramverk och Skatteverkets vägledning för hantering av skyddade personuppgifter i svensk förvaltning, ävenså förekommande lokala rutiner.

9.2 Krav på hantering av personidentiteter som har en eller flera kopplade personidentiteter med skyddsmarkering

Ett system (verksamhetssystem) som är anslutet till personuppgiftstjänsten ska hantera följande användningsfall:

  • Vid sökning på en reservidentitet skall systemet kontrollera om det finns en koppling till en huvudidentitet med skyddsmarkering. Om det finns en koppling till en huvudidentitet med en skyddsmarkering ska endast personuppgifter som användaren är behörig att ta del av på huvudidentiteten visas.

  • Personuppgifter på RID/NRID-personidentiteter ska ej gå att uppdatera om det finns en koppling till en huvudidentitet som har en skyddsmarkering.

  • Koppling och särslagning av personidentiteter bör utföras av person med särskild behörighet enligt regionens/kommunens fastslagna rutiner.

Verksamhetssystemet ska via sitt användargränssnitt tydligt beskriva för användaren de begränsningar som kan uppträda då användaren hanterar identiteter som har kopplade personidentiteter med skyddsmarkering.
Tips: Ta gärna del av det användargränssnitt som Personuppgiftstjänsten har tagit fram för att hantera de olika användningsfall som anges ovan.

10         Referenser

[1]

P. Mützell, ”En nationell förstudie kring Reservidentiteter för patienter v1.0,” Inera, 2015.

[2]

P. Mützell, ”Vägledning för identifierare för individ i nationell samverksansarkitektur v1.0,” Inera, 2017. http://rivta.se/documents/ARK_0049/

[3]

D. Petersson, ”Nationellt Reservidformat,” 2017: https://www.inera.se/tjanster/personuppgiftstjansten/ .

[4]

Socialstyrelsen, ”Termbanken” https://termbank.socialstyrelsen.se/?TermId=629&SrcLang=sv

[5]

Socialstyrelsen, ”Termbanken” https://termbank.socialstyrelsen.se/?TermId=538&SrcLang=sv.

[6]

D. Petersson och D. Fjällström, ”3.0 SAD - Personuppgiftstjänsten,” December 2017: https://www.inera.se/tjanster/personuppgiftstjansten/ .

[7]

Västra Götalandsregionen, ”Rutin för regional reservnummerhantering inom VGR,” 2017.

[8]

M. Friberg, Interviewe, Vårdsystemsamordnare Akutmottagningen, Akademiska Sjukhuset. [Intervju]. 08 02 2018.

[9]

Enheten för informationssäkerhet, ”Identitetskontroll - legitimering,” Region Skåne, 2012.

[10]

Medicinsk beredningsgrupp SÄS, ”Identitetskontroll av patienter, SÄS,” Södra Älvsborgs Sjukhus, Västra Götalandsregionen, 2017.

[11]

P. Westerberg och L. Pellikka, ”Identitetskontroll av patienter,” Landstinget i Värmland, 2017.

[12]

Inera, ”Personuppgifter Tjänstekontraktsbeskrivning ”.

[13]

Inera, Arkitektur, ”Informationsspecifikation Personuppgifter

[14]

D. Petersson, ”Nationellt Reservidformat,” 11 December 2017 https://www.inera.se/tjanster/personuppgiftstjansten/ .

[15]

Enheten för informationssäkerhet, ”Skyddade personuppgifter,” Region Skåne, 2012.

[16]

Medicinsk beredningsgrupp, ”Hantering av personer med skyddade personuppgifter,” Södra Älvsborgs Sjukhus, Västra Götalandsregionen, 2016.

[17]

S. Edlund, Interviewee, Vårdsystemsamordnare Brännskadeintensiven, Akademiska Sjukhuset. [Intervju]. 05 02 2018.

[18]

Skatteverket, ”Godkända id-handlingar när du ansöker om id-kort,” Skatteverket: https://www.skatteverket.se/privat/folkbokforing/idkort/villkorforattfaansokaomidkort/godkandaidhandlingar.4.76a43be412206334b89800035836.html.

[19]

Skatteverkets vägledning för hantering av skyddade personuppgifter i svensk förvaltning

https://skatteverket.se/offentligaaktorer/informationsutbyte/folkbokforingsekretessmarkeradepersonuppgifter.4.18e1b10334ebe8bc80002541.html?q=v%C3%A4gledning+hantering+personuppgifter