Verksamhetsramverk för användning av personens kontaktuppgifter i Personuppgiftstjänsten för meddelandehantering

Owned by Björn Skeppner (Unlicensed)
Last updated: nov. 01, 2021 by Björn Skeppner (Unlicensed)
21 min read

1         Revisionshistorik

Datum

Ver.

Namn

Kommentar

2018-09-03

PA1

Björn Skeppner

Första utkast, struktur etc

2018-09-18

PA2

Lena Jönsson


2018-09-19

PA3

Björn Skeppner

Diverse kompletterande text i kap 6 & 7

2018-09-25

PA4

Björn Skeppner

Justerat efter kommentarer etc samt lagt till regler för vårdnadshavare

2018-10-01

PA5

Björn Skeppner

Justerat efter kommentarer från bl.a Malin Nyman

2018-10-12PA6Björn SkeppnerJusterat efter kommentarer av Per M
2018-10-22PA7Björn SkeppnerJusterat efter avstämningsmöte
2018-11-13PA8Björn SkeppnerJusterat efter intern genomgång samt synpunkter från Östergötland 
2018-12-05PA8Björn SkeppnerJusterat efter synpunkter från Skåne
2019-02-05PA09Björn SkeppnerJusterat efter synpunkter från SLL och Dalarna (några utestående frågor återstår)
2019-02-261.0Björn SkeppnerJusterat efter kommentarer från Ineras S-råd
2019-04-081.1Björn SkeppnerSmärre justeringar under Referenser
2020-01-151.2Björn SkeppnerInfogat innehållsförteckning samt rättat brusten länk
2020-03-041.3Björn SkeppnerKompletterat med regler för uppdatering (Ineras support), sms-nummer samt kap 6.2 om cachning/lagring & smärre justeringar
2020-04-281.4Björn SkeppnerFörtydligat kring samtyckeshanteringen, punk 9
2021-01-251.5_RCBjörn SkeppnerKompletterat efter ett arbete av en arbetsgrupp, se Trello: 
2021-04-151.5Björn SkeppnerJusterad mest språkligt och bättre läsbarhet efter kommentarer
2021-07-271.6_RC1Björn SkeppnerKompletterat med information kring 1177´s regelverk/algoritm om hur kontaktuppgifter förs in i Personuppgiftstjänsten för att förtydliga hur kontaktuppgifterna kan komma att delas med andra verksamheter (kap 6.2.1 samt kap 9).
2021-08-151.6_RC2Björn SkeppnerFörtydliga kap 6.2.1 kring samtycke till delning av kontaktuppgifter
2021-08-271.6_RC3Björn SkeppnerLagt till en mening i kap 6.2.1 om förekomsten av kontaktuppgifter genom samtycke samt personens möjlighet att ta bort sina kontaktuppgifter. 
2021-09-061.6_RC4Björn SkeppnerLagt till kapitel 6.2.2 om möjligheten för en person att ta bort sina kontaktuppgifter från Ineras Personuppgiftstjänst
2021-11-011.6Björn SkeppnerSmärre textjustering samt klargjord för release.


2         Inledning

Detta ramverk har tagits fram för att ge verksamheter stöd för hur de kan och får använda de kontaktuppgifter som en person har angivit i Personuppgiftstjänsten (PU-tjänsten).
En person kan (t.ex via 1177 Vårdguiden) komplettera de folkbokföringsuppgifter som Skatteverket tillhandahåller via Navet[5], med sina egna kontaktuppgifter, såsom e-postadress, mobilnummer etc. Kontaktuppgifterna kan av en verksamhet nyttjas till att t.ex ringa personen, skicka en kallelse/påminnelse via sms, eller t.ex genom att skicka ett e-post meddela personen att det finns ny information att läsa i personens inkorg på 1177 Vårdguiden, t.ex ett provsvar. 

Ramverket har framtagits iterativt inom en arbetsgrupp (se nedan). Därefter har ramverket ytterligare kompletterats och fastställts av en referensgrupp sammansatt för ändamålet.

För mer information om personuppgiftstjänsten, se: https://www.inera.se/personuppgiftstjansten  

Vi skulle vilja tacka följande personer som deltagit med sina kunskaper och erfarenheter:

Namn
Martin Lemoine, Evry
Christel Bengtner, 1177 Vårdguiden
Frida Molleryd, 1177 Vårdguiden
Lena Jönsson, LT Dalarna
Malin Nyman, LT Skåne
Christina Nilsson, LT Blekinge
Björn Skeppner, Inera
Per Mützell, Inera
Malin Ljunggren, Inera
Med flera...


3        Syfte

Syftet med detta ramverk är att ge verksamheter stöd för hur de kan och får använda de kontaktuppgifter som en person har angivit i Personuppgiftstjänsten (PU-tjänsten). Kontaktuppgifterna är kompletterande information som en person kan tillföra till PU-tjänsten, antingen själv eller genom att samtycka till att en verksamhet tillför dessa uppgifter. Uppgifter som tillförs PU-tjänsten ska kunna tillgängliggöras för andra verksamheter och myndigheter. Ramverket ska således stödja verksamheterna att följa de regulatoriska förutsättningarna så att personens integritet alltid skyddas.

Ramverket ska även ge stöd åt verksamheterna hur de lämpligast ska kommunicera med en person, både vad gäller känsliga uppgifter och andra typer av uppgifter. Detta bl.a genom att ge exempel på texter.

Ramverket beskriver kortfattat de regulatoriska krav som finns gällande hantering av personuppgifter. Ex GDPR (dataskyddsförordningen), olika registerlagstiftning och myndigheters föreskrifter, t.ex  och HSLF-FS 2016:40 och hur de påverkar möjligheten för verksamheterna att nyttja kontaktuppgifterna i syfte att meddela en person (t.ex en patient eller en bygglovsansökande kommuninnevånare).

4    Avgränsning

Verksamhetsramverket syftar i huvudsak att stödja hälso- och sjukvårdens användning av kontaktuppgifter.
Kontaktuppgifterna i Personuppgiftstjänsten kan även användas av andra verksamheter, exempelvis verksamheter inom en kommun. 
Verksamhetsramverket kan då behövas utökas när fler offentliga verksamheter börjar nytta kontaktuppgifter.

Ramverket ger stöd och exempel till verksamheterna kring de regulatoriska krav som finns för hantering av de personers kontaktuppgifter som är lagrade i Personuppgiftstjänsten.
Verksamheten som nyttjar kontaktuppgifterna är dock alltid ytterst ansvarig för att inga känsliga personuppgifter kommer obehörig tillhanda vid nyttjande av kontaktuppgifterna för att skicka ett meddelande.

Ramverket ger endast exempel på klartextmeddelanden. Verksamheterna är fria att utforma dem efter eget behov, förutsatt att de ej röjer personens hälsotillstånd eller andra personliga förhållanden.

Under vissa förhållanden kan en verksamhet välja att lagra kontaktuppgifter lokalt, till exempel i verksamhetens IT-stöd. Ett sådant beslut behöver föregås av en riskanalys samt framtagna rutiner hur detta ska hanteras lokalt.



5        Termer och begrepp

Begrepp

Innebörd

AnhörigBegreppet anhörig innebär släktskap eller något legalt förhållande till huvudmannen (maka/make/sambo). Inom hälso- och sjukvården utgår man inte ifrån anhörigbegreppet utan istället används begreppet närstående, dvs en person som utifrån den enskildes synvinkel står patienten nära. En närstående behöver således inte vara anhörig och en anhörig behöver inte vara närstående. Barn företräder således inte sina föräldrar och föräldrar inte heller sina myndiga barn - såvida de inte är närstående enligt huvudmannens egen definition. Närstående har i första hand funktionen som beslutsstöd, dvs de kan berätta om vad de vet om patientens inställning - men de kan t ex inte avge ett samtycke för patientens räkning.

Avisering

Ett meddelande med en hänvisning till att det finns mer information på en annan kanal (Meddelandetjänst) , ex på 1177 Vårdguiden eller Kivra
AviseringsvägDigitalt kommunikationssätt (e-post, sms etc) som kan användas för att avisera ett meddelande. En aviseringsväg kan användas dels för Aviseringar, dels att skicka ett Klartextmeddelande

Betrodd e-postserver

En e-postserver som normalt förvaltas av- eller på uppdrag av verksamheten och är den som verksamheten nyttjar för att skicka Meddelande såsom e-post.

Betrodd sms-tjänstSom ovan fast för sms

Digitalt meddelande

Ett meddelande som skickas via någon form av ”digital kanal” (e-post och sms) se Meddelande

e-postdomänTillhandahållare av e-post. Exempelvis gmail.com, hotmail.com, sll.se etc
Klartextmeddelande

Ett meddelande som sänd eller lagras okrypterat. Ett Klartetxtmeddelande får ej innehåller Känsliga personuppgifter.

Exempelvis ”Välkommen till ditt bokade hälso- och sjukvårdsbesök <datum> kl <tid>

Kontaktuppgifter

Uppgifter såsom e-postadresser och mobilnummer till personen, eller av personen utpekade kontaktpersoner (t ex partner eller andra närstående), god man/förvaltare etc. Uppgifterna kan anges av personen själv, t ex via 1177 eller via en verksamhetsperson efter personens samtycke.

Kontaktpersoner

Av personen utsedda som möjliga att kontakta, ex make/maka/sambo, närstående etc. 
En kontaktperson ska normalt användas när personen själv ej är kontaktbar eller efter personens godkännande.

Känsliga personuppgifter

Med känsliga personuppgifter, enligt dataskyddsförordningen GDPR[6], menas uppgifter om

  • ras eller etniskt ursprung
  • politiska åsikter
  • religiös eller filosofisk övertygelse
  • medlemskap i en fackförening
  • hälsa
  • en persons sexualliv eller sexuella läggning
  • genetiska uppgifter och
  • biometriska uppgifter som entydigt identifierar en person.

Det finns även andra typer av personuppgifter som är särskilt skyddsvärda. Det kan till exempel vara

  • löneuppgifter
  • uppgifter om lagöverträdelser
  • värderande uppgifter, till exempel uppgifter från utvecklingssamtal, uppgifter om resultat från personlighetstester eller personlighetsprofiler
  • information som rör någons privata sfär
  • uppgifter om sociala förhållanden. 
Legal företrädareGod man, förvaltare, vårdnadshavare. Dessa personers mandat beskrivs i föräldrabalken

Meddelande

Meddelandet som kan skickas till personen kan utgöra 2 typer:

  • Ett meddelande i klartext (se Klartextmeddelande)
  • En avisering, dvs ett meddelande med en hänvisning till att det finns mer information på en annan kanal (Meddelandetjänst), ex på 1177 Vårdguiden eller Kivra (se Avisering)
MeddelandetjänstEn säker meddelandetjänst i vilken en person måste logga in med Stark autentisering för att kunna läsa sina meddelande. T.ex Kivra, Mina meddelanden, 1177  Vårdguiden Meddelanden etc.
NavetSkatteverkets tjänst för att till myndigheter tillhandahålla folkbokföringsuppgifter.
NärståendePerson som den enskilde personen anser sig ha en nära relation till, att det är personens upplevda relation. En närstående behöver inte vara släkt eller stå i något legalt förhållande till personen. Begreppet närstående utgår ifrån personens synvinkel och är således inte samma sak som anhörig.

Personuppgiftstjänsten (PU-tjänsten)

Nationell tjänst från Inera som hanterar personuppgifter från Skatteverket (Navet), personens kontaktuppgifter och reservidentiteter.

På Ineras hemsida finns mer information om Personuppgiftstjänsten
(https://www.inera.se/personuppgiftstjansten).

Person

En person som finns i Personuppgiftstjänsten registrerad på ett personnummer eller samordningsnummer.

PersonidentifierareEn identitetsbeteckning för att identifiera en person. Exempelvis personnummer, samordningsnummer. 
Personliga förhållandenPersonliga förhållanden är ett begrepp som rymmer det mesta som kan kopplas till en enskild människa. Uppgifter om bostadsadress, sjukdomstillstånd och ekonomi är exempel på personliga förhållanden.

Personuppgiftsansvaret

För uppgifter som lagras i Personuppgiftstjänsten (tjänsteproducenten) och inhämtats från Skatteverket Navet gäller att det landsting/region (huvudman för hälso- och sjukvård) som beställt uppgifterna från Skatteverket är personuppgiftsansvarig.

För uppgifter som lagras i Personuppgiftstjänsten och är utöver folkbokföringsuppgifterna som beställts från Skatteverket, t.ex kompletterande adressuppgifter, kontaktuppgifter, aviseringsinställningar som är angivna av personen själv, så är det landsting/region där personen är folkbokförd i som är personuppgiftsansvarig. I de fall uppgifterna anges av en verksamhetsperson, med personen samtycke, så blir verksamhetspersonens uppdragsgivare därmed personuppgiftsansvarig (dvs landsting/region/kommun/privat underleverantör).

Sekretess

Ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt.

Sekretessreglerad uppgift

En uppgift för vilken det finns en bestämmelse om sekretess, exempelvis är uppgifter om enskilds hälsotillstånd eller andra personliga förhållanden, sekretessreglerade enligt 25 kap 1§ OSL. Uppgifter inom socialtjänsten om enskilds personliga förhållanden omfattas av sekretessreglering 26 kap 1§ OSL

Sekretessbrytande bestämmelse

En bestämmelse som innebär att en uppgift får lämnas ut, trots sekretess,  under vissa förutsättningar

Skyddade personuppgifterPersoner som är utsatta för ett allvarligt och konkret hot kan ansöka om skyddade personuppgifter hos Skatteverket. Personerna kan exempelvis vara utsatta för våld, hot om våld, förföljelse eller andra trakasserier. Det finns tre typer av skyddade personuppgifter eller skyddad identitet som kallas: sekretessmarkering, Skyddad folkbokföring (kvarskrivning) och fingerade personuppgifter. De myndigheter som hanterar skyddade personuppgifter ska alltid göra en särskilt noggrann prövning innan uppgifterna lämnas ut.  
Skyddad folkbokföring

En person som har beviljats skyddad folkbokföring fr o m 2019-01-01 har ett starkare sekretesskydd, jämfört med den person som endast beviljats en sekretessmarkering. Uppgift om adress kommer inte att finnas på personen utan endast en särskild postadress, på samma sätt som personer med kvarskrivning fått sin adress hanterad tidigare. De kommer att vara folkbokförda ”på kommunen”, vanligtvis i den kommun de senast var bosatta i.

Stark autentiseringFlerfaktorsautentisering med minst 2 faktorer, t.ex en inloggning med en e-legitimation samt en pinkod
SvartlistningÄr en förteckning över identiteter (sms-nummer eller e-postdomäner) som anses som ej lämpliga att använda för att skicka ut Meddelanden till.
Not: På internet kan man finna "publika" register över både svartlistade e-postdomäner och mobilnummer.
VerksamhetInom denna kontext en verksamhet som är inom landsting, kommuner och privata vårdgivare som är offentligt finansierade samt statliga myndigheter.
VitlistningÄr en förteckning över identiteter (sms-nummer och/eller e-postdomäner) som är godkända av verksamheten att skicka ut Meddelanden till.

Vårdgivare

Statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvårdsverksamhet som myndigheten, landstinget eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet (privat vårdgivare).

VårdnadshavareVårdnadshavare är den eller de personer som har den rättsliga vårdnaden (det vill säga är juridiskt ansvariga) för ett barn. Det kan antingen vara en eller båda föräldrarna eller en person utsedd av domstol.



6        Förutsättningar

I detta avsnitt beskrivs information som påverkar användningen av en persons kontaktuppgifter.
Först beskrivs kort vilka regulatoriska krav som påverkar, därefter definieras de olika meddelandetyperna som kan komma i fråga vid användning av personens kontaktuppgifter.


6.1        Regulatoriska krav

Här beskrivs kortfattat ett antal lagar, föreskrifter och riktlinjer som påverkar hantering av personens personuppgifter.


Lagar, föreskrifter och riktlinjer

Innebörd

Patientdatalag (SFS 2008:355) och Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40)

Föreskriver bl.a att personuppgifter ska utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras. Dokumenterade personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem.

En vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. I landsting och kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Uppställer bl.a krav på att personal som använder IT-stöd för åtkomst till patientuppgifter ska vara identifierade genom stark autentisering.

Dataskyddsförordningen (EU 2016/679) [R6], GDPR

Principerna innebär bland annat att den som är personuppgiftsansvarig

  • måste ha stöd i dataskyddsförordningen för att få behandla personuppgifter
  • endast får samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål
  • inte ska behandla fler personuppgifter än vad som behövs för ändamålet
  • ska se till att personuppgifterna är riktiga
  • ska radera personuppgifterna när de inte längre behövs
  • ska skydda personuppgifterna, till exempel så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs
  • ska kunna visa att och hur de lever upp till dataskyddsförordningen
Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordningDenna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Offentlighets- och sekretesslag (OSL)

Denna lag innehåller bestämmelser om myndigheters och vissa andra organs handläggning vid registrering, utlämnande och övrig hantering av allmänna handlingar.


6.2       Tekniska förutsättningar för åtkomst till kontaktuppgifter

För att en verksamhet ska få åtkomst till kontaktuppgifter som en person har angivit så måste dess verksamhetssystem vara anslutet till Personuppgiftstjänsten via tjänstekontrakt [2] samt ha tecknat erforderliga avtal [3].
Behörig hälso- och sjukvårdspersonal kan med personens samtycke även få åtkomst till att administrera personens kontaktuppgifter. Detta kan t.ex göras via Personuppgiftstjänstens grafiska gränssnitt (GUI) [4], 1177 eller via verksamhetens verksamhetssystem om det är anslutet till erforderliga tjänstekontrakt.

En e-Tjänst som konsumerar kontaktuppgifterna ska normalt ej lagra informationen i systemet, utan för att säkerställa aktualiteten på informationen så ska anropen till producenten ske när behov av kontaktuppgifterna behövs. Om behov finns av en temporär cachning, ex av prestandaskäl, så är det viktigt att säkerställa god aktualitet på informationen. T.ex så bör en ändrad sekretessmarkering på en personpost slå igenom inom 1 dygn.

Personuppgiften har ett regelverk som innebär att den ej lämnar ut kontaktuppgifter om en person har en Sekretessmarkering eller har Skyddad folkbokföring.

En e-Tjänst som tillhandahåller möjlighet för en person- eller en verksamhetsperson att administrera kontaktuppgifter, ska så långt det är möjligt säkerställa att kontaktuppgifterna stämmer. Teknikerna för detta kan variera, t.ex genom att be personen upprepa informationen i 2 olika fält. Att numeriska fält endast tillåter numeriska tecken osv.

  • e-Tjänsten bör säkerställa att en e-postadress har rätt format och enbart kan innehålla tecken enligt RFC 2832.
  • e-Tjänsten kan för kontaktuppgifter som är av typen telefonnummer göra ett uppslag mot t.ex eniro.se och för personen presentera eventuellt funna uppgifter.
  • e-Tjänsten ska kontrollera om personen har en Sekretessmarkering eller Skyddad folkbokföring. Om så är fallet så ska e-Tjänsten ej tillåta inmatning av kontaktuppgifter.

6.2.1      Förutsättningar för att lagra personens kontaktuppgifter

För det system som är anslutet till Personuppgiftstjänsten och som möjliggör lagring av kontaktuppgifter i Personuppgiftstjänsten, så ska det vara tydligt att detta sker med personens samtycke, att kontaktuppgifterna därmed tillgängliggörs för andra verksamheter (idag primärt inom Hälso & sjukvård).
Dvs det ska vara tydligt för den person som matar in kontaktuppgifterna att dessa därmed är åtkomliga för andra verksamheter som är anslutna till Personuppgiftstjänsten, att detta sker med personens samtycke.
Exempelvis genom en teknisk lösning som innebär att personen som matar in kontaktuppgifterna och även klickar i en kryssruta därmed har samtyckt till att kontaktuppgifterna kan delas till andra verksamheter (se 1177's exempel kapitel 9).

6.2.2       Förutsättningar för personens möjlighet att redigera/ta bort sina kontaktuppgifter

Det system som är anslutet till Personuppgiftstjänsten och som möjliggör lagring av kontaktuppgifter i Personuppgiftstjänsten ska även ha stöd för personens möjlighet att kunna redigera och ta bort sina kontaktuppgifter i Personuppgiftstjänsten (återkalla samtycket). Systemet kan dock bereda personen en möjlighet att enbart lagra sina kontaktuppgifter i det lokala systemet. Dvs att personens kontaktuppgifter endast är tillgängliga (lagras lokalt) för den lokala verksamheten. Det är viktigt att systemet ger personen tydlig information om vad personens val innebär.


6.3       Tekniska förutsättningar för att skicka Meddelande

De tekniska förutsättningarna för en verksamhet att kunna skicka ett Meddelande kan variera. 

De aviseringsvägar som för närvarande är lämpliga att skicka Meddelande (Avisering eller Klartextmeddelande) är via sms och e-post.
Personuppgiftstjänsten har stöd för flera aviseringsvägar än sms och e-post, till exempel fax, personsökare. Inom Hälso och sjukvård har ramverket valt att begränsa möjliga aviseringsvägar till sms och e-post.
Personuppgiftstjänsten har även stöd för varianter av meddelandetyp, till exempel e-post - arbete, e-post-hemma. 
Detta verksamhetsramverk begränsar denna möjlighet till att ej möjliggöra varianter av e-post och sms.
Det är dock möjligt att ange flera sms-nummer och e-postadresser, men endast ett av vardera kan vara möjligt för avisering, detta genom att sätta digitalNotification=true


6.3.1      Användning av e-post

Normalt sker transport av e-post okrypterat och över öppna nät. Även om själva transporten av e-post kan ske krypterat är oftast själva meddelandet okrypterat. Kopior av e-post kan mellanlagras under transporten. Det finns heller ingen möjlighet att utan extra åtgärder säkerställa att adressaten är den tänkta mottagaren

Tilliten till att skicka meddelande via e-post är således låg, vilket innebär att e-post ej kan användas för känsliga personuppgifter.

  • Vid utskick av meddelande via e-post bör verksamheten använda sig av en ”betrodd” e-postserver som upptäcker om e-postmeddelandet studsar och ej kommer fram till mottagarens inkorg.
  • Formatet på e-postadressen ska följa  RFC 5322 and RFC 6854.
  • E-postsystemet ska även ha en avsändaradress som gör att mottagaren har en rimlig möjlighet att se vem avsändaren är.
  • E-postsystemet bör även ha en ”svartlistning” av e-postdomäner som lämpligen ej ska kunna användas för utskick av meddelanden. Alternativt kan Vitlistning användas.

Verksamheten ska ha rutiner för att kunna hantera fel vid sändningar av e-post.


6.3.2      Användning av sms

Det är lika osäkert att skicka ett sms såsom e-post. Både vad gäller den tekniska transporten och säkerställande att sms:et når avsedd person.

Tilliten till att skicka meddelande via sms är således låg, vilket innebär att sms ej kan användas för känsliga personuppgifter.

  • Vid utskick av meddelande via sms bör verksamheten använda sig utav en "betrodd" sms-tjänst.
  • Ett sms-nummer ska anges enligt ITU-standarden E.164-3. Exempelvis +46 70 123 45 67 (mellanslagen är bara till för läsbarheten i detta ramverk)
  • Tjänsten bör skicka sms-meddelandet med leveransbekräftelse för att säkerställa leveransen av meddelandet till personens mobiltelefon.
  • Sms-tjänsten bör även ha en svartlistning av mobilnummer som lämpligen ej ska kunna användas för utskick av meddelanden. Alternativt kan Vitlistning användas.
  • Sms:et ska sändas med ett avsändarnamn som ej avslöjar för personen känsliga detaljer kring avsändaren, t.ex en specifik mottagning (ex Gynhälsan).
    Exempelvis "BokaDoktorn: Påminnelse om ditt läkarbesök den <datum> <tid> Medtag legitimation" där "BokaDoktorn" är den som är avsändare av sms:et, t.ex Region Stockholm.

Verksamheten ska ha rutiner för att kunna hantera fel vid sändning med sms.
Se vidare kapitel 6.4 Roller och ansvar kring de formella förutsättningarna.


6.4       Roller och ansvar

I avsnittet beskrivs vilka roller och deras respektive ansvarsområde.

6.4.1      Verksamhetschef/motsvarande

Verksamhetschef eller motsvarande ska, med stöd av detta ramverk, tillse att det finns dokumenterade rutiner för att hantering av meddelande till personen sker korrekt.
Innan verksamheten möjliggör en funktion att kunna skicka meddelanden till personer så ska en behovs- och riskanalys göras.

  • Rutinerna ska säkerställa att personens integritet inte kränks och personliga förhållanden inte obehörigen röjs.. Rutinerna ska även säkerställa att riskerna för att meddelanden hamnar på villovägar minimeras.
  • Verksamheten behöver även ha rutiner för att vara rimligt säker på att de av personen angivna aviseringsvägar (e-post, mobilnummer etc) är korrekta och aktuella.
  • Verksamheten ansvarar för att personuppgifter som överförs över öppna nätverk är krypterade så att ingen obehörig kan ta del av uppgifterna samt att hantering av personuppgifter följer de regulatoriska kraven i detta kapitel.


6.4.2     Verksamhetspersonal

Personal i verksamheten ska vara insatta i rutiner och eventuella föreskrifter inom den aktuella verksamheten.


7        Meddelandehantering till personer

Bild nr.1: Hierarkisk struktur för Meddelande ,se Termer och begrepp

Det här avsnittet syftar till att beskriva hur ett Digitalt meddelande (se termer och begrepp) till en person, baserat på personens angivna kontaktuppgifter kan ske.

  • Kontaktuppgifterna får endast användas till att skicka meddelande till en person från en verksamhet/myndighet som personen har en relation med.
  • Kontaktuppgifterna får ej användas för att skicka reklam eller annan information som personen ej förväntar sig från verksamheten/myndigheten.

Personuppgiftstjänsten ger Personen möjlighet att skriva in flera kontaktuppgifter och därmed möjliggöra att få Meddelande till flera angivna kontaktvägar, t.ex både e-post och sms. Personen har även möjlighet att rangordna (välja ordning, 1,2,3 osv) angivna kontaktuppgifter. En verksamhet som ska skicka meddelade till en person kan välja en eller fler kontaktvägar, men det ska ske i den rangordning som personen angett. 
Detta verksamhetsramverk har dock avgränsning vad gäller flexibiliteten i Personuppgiftstjänsten, se kapitel 6.3.

  • Ett Klartextmeddelande får ej innehålla Känsliga personuppgifter eller Personliga förhållanden. Verksamheten ska alltid göra en riskbedömning om vilken text som kan skickas. 


7.1       Meddelande med känsliga uppgifter

Det förhållande att en viss person är en patient, anses vara känsliga uppgifter.

Inom hälso- och sjukvården får en vårdgivare efter att ha gjort en behovs- och riskanalys besluta om undantag från kraven i Socialstyrelsens föreskrifter (HSLF-FS 2016:40) vid överföring av påminnelser och kallelser till vård och behandling som riktar sig till patienter eller av patienten angiven kontaktperson. Vid behovs- och riskanalys kan uppgift om verksamhet bedömas vara en uppgift som inte bör skickas via e-post eller sms - och inte heller till kontaktpersoner. Detta måste respektive verksamhet bedöma.

Meddelande som innehåller känsliga personuppgifter får endast lämnas ut till en plats där åtkomsten till meddelandet kan ske genom Stark autentisering, (ex 1177 Inkorg, Kivra, Min myndighetspost, Digimail etc) av den person som är mottagare av meddelandet. Verksamheten måste således vara ansluten till någon/några av de tjänster som erbjuder säker meddelandehantering.

Verksamheten kan sen avisera (meddela) personen via någon av de kontaktuppgifter som hen har angivet att det finns ett meddelande i meddelandetjänsten. Dessa meddelanden (aviseringar) kan skickas som klartext till någon av de kontaktuppgifterna som personen har angivet.
Exempelvis : ”Du har fått ett meddelande i din inkorg hos <meddelandetjänst> från <verksamhet>

OBS! Namnet på meddelandetjänsten och avsändande verksamhet ska vara generella och får ej avslöja känsliga uppgifter, se exempel i kap 7.5.


7.2       Meddelande med ej känsliga uppgifter

Vid användning av meddelande med ej känsliga personuppgifter ska verksamheten göra en behovs- och riskanalys för att ta ställning till vilka typer av ej känsliga personuppgifter som lämpar sig att hantera som meddelande i klartext till personen. Respektive verksamhetschef har således ansvaret att besluta om möjligheten att skicka meddelande i klartext via de aviseringsvägar som verksamheten avser att stödja.

Det innebär att verksamheten behöver ha rutiner för att rimligt säkerställa att sms-nummer  och e-postadress är korrekta och aktuella och att meddelandet ej avslöjar känsliga personuppgifter eller andra personliga förhållanden.
Exempelvis: "Hej <namn>. Din bygglovsansökan i <kommun> kommun är nu hanterad. Beslutet finns i Dina Meddelanden på <kommunen> kommuns hemsida"

7.3        Meddelandehantering till kontaktpersoner

En person kan även ange en kontaktpersons kontaktuppgifter som aviseringsväg. Till exempel en Vårdnadshavare eller en Närstående (se Termer och Begrepp).

Användning av meddelandehantering till kontaktpersoner ska normalt endast ske när personen själv inte är kontaktbar, eller efter personens godkännande.
Kontaktpersonerna ska endast användas för individer som personen definierar som närstående. Andra typer av kontakter till patienten, till exempel hemtjänst, vårdnadshavare, socialsekreterare, sjukgymnast osv ska hanteras på annat sätt och tydligt avskilt från patientens kontaktpersoner.

Meddelande till en kontaktperson kan normalt i de flesta fallen bara bestå av ett Klartextmeddelande (se Termer och begrepp). Kontaktpersonernas kontaktuppgifter ska normalt ej användas för automatiserade kontakter.
Om verksamheten vill kunna skicka ett meddelande till en kontaktpersons Meddelandetjänst (1177 Vårdguiden, Kivra etc) så behöver verksamheten i så fall ha uppgifter om fullständiga personuppgifter (PNR) på kontaktpersonen och uppgifter om vilken Meddelandetjänst kontaktpersonen har valt för att kunna mottaga meddelande.

Meddelande i klartext till kontaktpersoner får inte innehålla Känsliga personuppgifter.

7.3.1       Meddelande till barn/vårdnadshavare

Barn har rätt till integritet och sekretess, även i förhållande till sina vårdnadshavare när det kan antas att barnet kan lida betydande men om uppgifter röjs för vårdnadshavaren.
Det finns således fall då vårdnadshavare - oavsett barnets ålder - inte ska anges som kontaktperson. Det kan exempelvis gälla fall då barnet omhändertas med stöd av lag om vård av unga, LVU.I dessa fall kan vårdgivaren också blockera vårdnadshavarens direktåtkomst till Journal via nätet.
Det är viktigt att säkerställa att vårdnadshavaren verkligen är den juridiskt ansvariga vårdnadshavaren. Ett barn kan kanske ange sin "plastpappa" som vårdnadshavare. Verksamheten ansvarar dock för att kontakter till vårdnadshavare alltid går till de juridiskt ansvariga vårdnadshavarna. 
Huvudregeln är dock att vårdnadshavare företräder sina barn enligt föräldrabalken. Det framgår av Skatteverkets folkbokföringsuppgifter vem som är vårdnadshavare. 
Uppgift om vårdnadshavare är en "färskvara", dvs den ska kontrolleras löpande.

Det är inte självklart att en förälder är vårdnadshavare. En förälder som inte är vårdnadshavare jämställs med tredje person, som inte företräder barnet enligt föräldrabalken. Upp till 13 års ålder kan således vårdnadshavaren anges som kontaktperson - men  - i takt med stigande ålder och mognad ska barnets inställning väga allt tyngre.

Vid 15 års ålder anses ett barn normalt vara tillräckligt moget för att själv bestämma i frågor som rör integritet och sekretess, men i vissa fall kan mognaden bedömas vara tillräcklig redan vid 13 års ålder.

Verksamheten ska göra en mognadsbedömning och fråga om barnets inställning till angivande av kontaktperson. Barnet kan efter mognadsbedömning välja att ange en annan person, än vårdnadshavaren, som kontaktperson. Kunskapsstöd vid mognadsbedömning finns på Socialstyrelsens webbsida.   

Vid utskick av Meddelande till en vårdnadshavare så ska aviseringsväg sökas hos vårdnadshavarens kontaktuppgifter, ej via barnets kontaktuppgifter/kontaktpersoner. Detta för att säkerställa barnets integritet, enligt ovan.
Vem/vilka som är vårdnadshavare till barnet framgår av skatteverkets folkbokföringsuppgifter och erhålls från PU-tjänsten.

Rutinen för utskick av Meddelande till barn under 13 år ska normalt således vara att via PU-tjänsten erhålla kontaktuppgifter till vårdnadshavaren, ej genom barnets eventuella kontaktuppgifter eller kontaktpersoner.
Då barnet har fyllt 16år så är det rimligt att Meddelande kan skickas till barnet baserat på barnets kontaktuppgifter.
Verksamheten bör även ha rutiner för att radera ett barns kontaktuppgifter när barnet har fyllt 13.

Exempel på ett meddelande (avisering) till en vårdnadshavare: "Hej. Ett barn som du är vårdnadshavare för har fått en kallelse till provtagning. Logga in på 1177 Vårdguiden och läs mer i ditt barns Inkorg"

Exempel på meddelande i klartext: "Hej! Här kommer en påminnelse för ett återbesök den <datum> <tid> för det barn som du är vårdnadshavare för."

7.3.2       Meddelande till God man/Förvaltare

God man för ensamkommande barn likställs med vårdnadshavare. I övriga fall är god man ett stöd för sin huvudman och ska utföra sitt uppdrag i samråd med sin huvudman. En förvaltare har en starkare ställning och beslutar utan samtycke av huvudmannen. Gode män och förvaltare kan ha begränsade uppdrag, gällande t ex bara ekonomisk förvaltning, eller att "sörja för personen". Omfattningen av deras uppdrag framgår av beslut om god man/förvaltare. Uttrycket "att sörja för person" innebär att personen har uppdraget att se till att huvudmannen får vård och omsorg. Vid angivande av gode män eller förvaltare som kontaktpersoner är det av vikt att utreda huvudmannens möjlighet att avge ett samtycke. Om personen som har God man inte kan samtycka, ska huvudmannens inställning till angivande av kontaktperson utredas. Det är viktigt att respektera människors rätt till integritet och sekretess och att individanpassa språket och informationen samt att använda tolk i förekommande fall.

Vid kontakt till God man rekommenderas att man använder normal postgång till personens särskilda postadress. 

7.3.3       Meddelande till övriga typer av kontaktpersoner

Oavsett om en kontaktperson är en Anhörig eller Närstående så har den normalt sett ingen automatisk juridisk rätt att företräda en person. Vuxna barn har heller ingen legal ställning i förhållande till sina föräldrar. Det har inte heller make/maka eller sambo, i förhållande till sina partners. De kan vara att betrakta som närstående - förutsatt att patienten själv anser sig ha en nära relation med personerna ifråga. 

Att skicka ett Meddelande till en kontaktperson bör således ske med stor varsamhet och risken att kränka personens integritet bör prövas separat vid varje enskilt tillfälle.

7.4     e-post

Verksamheten ska fastställa rutiner för e-post-användning inom verksamheten. Rutinerna ska säkerställa att personens integritet inte kränks och minimera riskerna för att meddelanden inte hamnar på avvägar.Samma regler gäller för e-post såsom för sms.

7.5     SMS

Verksamheten ska fastställa rutiner för sms-användning inom verksamheten. Inom hälso-och sjukvården får smsendast användas för påminnelser och kallelser. Rutinerna ska säkerställa att personens integritet inte kränks och minimera riskerna för att meddelanden hamnar på avvägar. Genom att t.ex inom hälso- och sjukvården inte i klartext nämna vilken typ av vårdbesök och hos vilken specifika vårdenhet som avses i en påminnelse eller kallelse, minskas risken för att integriteten kränks om meddelandet skulle läsas av fel mottagare. Ett meddelande av typen påminnelse från en vårdgivare kan lämpligen utformas enligt exempel:

Välkommen till ditt bokade hälso- och sjukvårdsbesök <datum> kl <tid>. Glöm ej att ta med legitimation Detta är en påminnelse, du kan inte svara på detta sms.”

Ett exempel från verksamhet utanför hälso- och sjukvård kan utformas enligt exempel:

Välkommen till ditt bokade besök hos Folktandvården <landsting> <datum> kl <tid>. Detta är en påminnelse, du kan inte svara på detta sms.

Ett sms-meddelande bör avslutas med följande text: "Har du fått detta sms utan att ha varit i kontakt med oss, ring xxxxxxx", där xxxxxxx lämpligen går till en lämplig supportfunktion.

Sms:et ska sändas med ett avsändarnamn/avsändarnummer som ej avslöjar för personen känsliga detaljer kring avsändaren. 


8       Hantering av felaktiga kontaktuppgifter

Det finns en risk för att kontaktuppgifterna ej längre är aktuella eller har blivit felaktigt inmatade. Detta måste kunna hanteras av verksamheten. Följande principer gäller:


AnvändningsfallÅtgärd
Att skicka ett meddelande med e-post resulterar att e-postadressen ej är kändVerksamheten bör försöka kontakta personen och be den att kontrollera och justera sina kontaktuppgifter. 
Att skicka ett meddelande med e-post resulterar i ett övrigt felmeddelande (kan vara flera olika typer)Verksamheten bör ha rutiner för att kunna hantera dessa fel.
Att skicka ett meddelande med sms resulterar i en leveransrapport som anger att numret är felaktigt eller saknasVerksamheten bör försöka kontakta personen och be den att kontrollera och justera sina kontaktuppgifter. 
Att skicka ett meddelande med sms resulterar i en felaktig leveransrapportVerksamheten bör ha rutiner för att kunna hantera dessa fel.
En person kontaktar verksamheten och meddelar att den har fått ett meddelande (e-post/sms) som den ej har förväntat sigVerksamhetens rutiner behöver beskriva hur de hanterar ett sådant ärende. I dessa rutiner ska det framgå hur de hanterar ärendet för att rätta de felaktiga kontaktuppgifterna, t.ex genom att radera dem.
 

8.1 Rättning av felaktiga kontaktuppgifter via 1177´s support

Om en invånare får felaktiga aviseringar kan hen kontakta supporten för 1177 Vårdguidens e-tjänster, de kan då plocka bort de felaktiga kontaktuppgifterna.
Invånare kan kontakta supporten på telefonnummer: 0770-72 00 00 alternativt via 1177´s hemsida (https://www.1177.se/Stockholm/om-1177-vardguiden/e-tjanster-pa-1177-vardguiden/support-och-tekniska-krav-for-e-tjansterna/support-for-1177-vardguidens-e-tjanster/)

9      Krav på information till personen

För de e-Tjänster som möjliggör för personen att komplettera sina uppgifter i PU-tjänsten så är det mycket viktigt att personen förstår sitt ansvar för att de uppgifter som personen anger är korrekta och aktuella. Dessa e-Tjänster bör regelbundet (minst 1ggn/år) påminna personen vikten av att hålla sina kontaktuppgifter aktuella.e-Tjänsterna som tillhandahåller detta stöd skall tydligt vid de olika användningsfallen upplysa personen vad som gäller.
AnvändningsfallNödvändig information att upplysa personen om
Skriva in/uppdatera kontaktuppgifter

Att det är av stor vikt att informationen är korrekt och aktuell. Att personen har ett ansvar att uppgifterna hålls uppdaterade.

I och med att personen anger sina kontaktuppgifter till Personuppgiftstjänsten så samtycker hen till lagring och åtkomst av uppgifterna.
Detta innebär att förekomsten av en persons kontaktuppgifter i Personuppgiftstjänsten har föregåtts av ett aktivt samtycke (exempelvis genom en kryssruta).
Till exempel så ger 1177 personen möjligheter att välja om kontaktuppgifterna som hen skriver in via 1177´s gränssnitt enbart ska vara åtkomstbara från 1177 eller även vara åtkomstbara från andra verksamheter. Detta genom att kryssa i en klickruta. Om personen medger åtkomst från andra verksamheter så innebär detta således att kontaktuppgifterna då även lagras i Personuppgiftstjänsten genom att personen har samtyckt till detta (genom att klicka i kryssrutan).

Ange vilken/vilka kontaktuppgifter som får användas för att skicka meddelande
  • Att dessa uppgifter kan komma att användas av en verksamhet/myndighet för att skicka meddelande till personen. 
  • Att de endast får användas från de verksamheter/myndigheter som personen har en relation till. T.ex en bokning, vårdärende, bygglovsärende etc.
  • Att personen därmed samtycker till detta. 
  • Att meddelandena bara är av arten "Ej känslig information", t.ex ge exempel på klartextmeddelanden som personen kan komma att få.
  • Att upplysa personen om att känsliga meddelanden skickas till den meddelandetjänst som personen är ansluten till (ex 1177, Kivra etc)
  • Att upplysa personen om att om personen ej längre samtycker till att kontaktuppgifterna kan användas för att skicka meddelande till, så måste personen avregistrera möjligheten att använda kontaktuppgifterna
Ange kontaktpersoner
  • Att möjligheten att kunna ange kontaktperson(er) är främst till för en "direkt personlig kontakt" från verksamheten. T.ex att inom vården kunna ha kontaktuppgifter till en närstående, en person som verksamheten kan kontakta då behov finns.
Ange kontaktpersoners kontaktuppgifter som får användas för att skicka meddelande till.
  • Se "Ange vilken/vilka kontaktuppgifter som får användas för att skicka meddelande till" ovan
  • Att detta ska ses som ett undantag, att personen verkligen förstår vad detta innebär
  • Att endast meddelande med icke känslig information normalt kan skickas till en kontaktperson

10      Referenser

[1]”Informationsspecifikation Personuppgiftstjänsten” [Online]. Available: http://rivta.se/domains/strategicresourcemanagement_persons_person.html.
[2]"Personuppgifter, Tjänstekontraktsbeskrivning” [Online]. Available: http://rivta.se/domains/strategicresourcemanagement_persons_person.html.
[3]”Personuppgiftstjänsten, avtal” [Online]. Available: https://www.inera.se/kundservice/avtal/avtalsdokument/.
[4]”Användarhandbok Personuppgiftstjänsten” [Online]. Available: https://inera.atlassian.net/wiki/pages/viewpage.action?pageId=3353215406&src=contextnavpagetreemode.
[5]Skatteverket -om Navet
[6]https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/
[7]Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40)