Verksamhetsramverk för spärrhantering inom sammanhållen journalföring

1   Revisionshistorik

DatumVersionNamnKommentar
2018-11-16PA01Björn SkeppnerFörsta utkastet till stomme & innehåll
2018-12-17PA02Björn SkeppnerPåbörjat med innehåll
2019-01-09PA03Björn SkeppnerKompletterat kapitel 5 & 6
2019-01-17PA04Björn SkeppnerDiverse justeringar
2019-01-17PA04Björn SkeppnerDiverse justeringar
2019-01-23PA05Björn SkeppnerÄndrat struktur och diverse mindre kompletteringar
2019-02-14PA06Björn SkeppnerLagt till kapitel 6.3.4 samt smärre justeringar
2019-02-201.0Björn SkeppnerRemissutgåva
2019-03-201.1Björn SkeppnerFörtydligat integrationsmönstren i pkt 6.3.1
2019-09-101.2Björn SkeppnerLagt till regler om spärr för barn (kap 5) samt organisationer med flera HSAidn (kap 6.3)
 2019-10-311.3 Björn SkeppnerSpråkliga justeringar
2019-11-141.4Björn SkeppnerKompletterat med hantering av personidentifierare (6.4) samt inkomna synpunkter
2019-11-261.5Björn SkeppnerKompletterat kap 6.5.5 med användningen av attributet latestCancellation samt inkomna synpunkter
2019-12-091.6Björn SkeppnerKompletteringar. Bl.a tydliggöra kravet på verksamheten vid hantering av otillgänglig spärrtjänst (6.5) samt möjlighet för patienten att sätta tidsbegränsade spärrar (5.1).
2020-02-121.7Björn Skeppner Justerat texten kring latestCancellation (restriktioner) 
2020-05-121.8Björn SkeppnerInfört kompletterande text i kap 5.2 kring nyttjandet av de s.k "extended-kontrakten"


2   Inledning


Invånaren har möjlighet att spärra information i sin patientjournal för att den inte ska kunna läsas av personal utanför den vårdenhet som spärren avser.
En vårdgivare som medverkar inom sammanhållen journalföring måste kunna ta del av eventuella spärrar som en patient har. Dels spärrar som en annan vårdgivare kan ha satt, dels spärrar som är satta inom den aktuella vårdgivaren.

För att patientens spärrar ska finnas tillgängliga oavsett hos vilken vårdgivare som har skapat dem så kräver den nationella arkitekturen för spärrhantering att när en vårdgivare sätter en spärr så ska den kopieras till Ineras Nationella spärrtjänst. Ineras Nationella spärrtjänst ska således ha information om samtliga spärrar för en patient, oavsett vårdgivare. Detta innebär att en vårdgivare som samverkar inom sammanhållen journalföring och därmed får tillgång till vårdinformation hos andra vårdgivare, är skyldig att ansluta sig till Ineras Nationella spärrtjänst för att få tillgång till eventuella spärrar.

Det har framkommit att det finns variationer mellan landstingen/regionerna kring hur de hanterar spärrar inom sammanhållen journalföring. En effekt av detta är att det har uppkommit onormal belastning på Ineras Nationella spärrtjänst, bl.a beroende på en oväntad stor mängd replikering (kopiering) av spärrinformation. Det förekommer även skillnader på hur man möjliggör för en patient att begära spärrar för ett stort antal vårdgivare, vilket kan resultera i ett stort antal spärrar i berörda spärrtjänster.

Ramverket har framtagits iterativt inom en arbetsgrupp och har till viss del utgått från lokalt befintliga rutinbeskrivningar. Därefter har ramverket ytterligare kompletterats och fastställts av en referensgrupp sammansatt för ändamålet.

Ramverket riktar sig primärt till personer inom Hälso- och sjukvård som har att hantera spärrar inom sammanhållen journalföring, ex spärradministratörer, hälso- och sjukvårdspersonal och verksamhetschefer, samt systemadministratörer och utvecklare. Ramverket skall således ses som ett stöd för att samverka kring rutiner för spärrhantering. Ramverket är ej ett styrande dokument.

Ramverket beskriver kortfattat de regulatoriska krav som finns gällande hantering av personuppgifter. Ex Patientdatalagen, olika registerlagstiftning och myndigheters föreskrifter, t.ex  och HSLF-FS 2016:40 och hur de påverkar hanteringen av spärrar.

3   Syfte

Syftet med detta ramverk är att ge aktörer inom Hälso- och sjukvård stöd i form av rutinbeskrivningar och stödjande dokument så att de på ett likvärdigt sätt hanterar spärrar för en patient. Även att ge stöd kring den tekniska implementationen.
På så sätt får en patient en likvärdig hantering av sina spärrar, oavsett var i Sverige personen har sökt vård.

4   Avgränsningar

Ramverket syftar till att underlätta för verksamheter som tillämpar sammanhållen journalföring och dess hantering av patientens spärrar så att en likvärdig hantering sker.

Ramverket förutsätter att vårdgivaren nyttjar Ineras infrastruktur och eTjänster för spärrhantering.
Lokala tillägg och rutiner kan dock behövas som komplement till detta ramverk. Exempelvis lokala beskrivningar hur spärr sätts och hävs i det lokala vårdsystemet, rutinbeskrivningar för administration av spärrhantering osv.

5   Spärrhantering inom sammanhållen journalföring

Det är endast patienten själv som kan begära att information ska spärras.

Vårdnadshavare kan enligt patientdatalagen inte  begära att information ska spärras för sina barn.
Ett barn kan dock själv begära att få sin information spärrad, om vårdgivaren har gjort en dokumenterad mognadsbedömning i det enskilda fallet,  och bedömt att barnet har nått en tillräcklig mognad och insikt för att kunna förstå konsekvenserna av att spärra sin information

Spärrar kan:

  • Läggas till
  • Hävas permanent
  • Tillfälligt hävas
  • Återställas efter tillfällig hävning (spärr blir då åter aktiv)
  • Makuleras (felaktigt registrerad). 

Spärrar hanteras lokalt hos verksamheten normalt via en spärrtjänst (som kan vara installerad lokalt eller tillhandahållas såsom molntjänst av Inera) eller inbyggt i verksamhetens vårdsystem. 
Samtliga spärrar som hanteras lokalt av verksamheten ska replikeras (kopieras) upp till den nationella spärrtjänsten. Syftet är att kunna få en samlad bild av samtliga spärrar för en patient, oavsett vårdgivare.
För de verksamheter som väljer att nyttja Ineras spärrtjänst som molntjänst så sker replikeringen till den Nationella spärrtjänsten automatiskt.
Skapande av spärr, hävning av spärr, borttagning av spärr (felregistrerad) sker således på lokal nivå.

Administration av spärrar bör ske genom en utsedd funktion för detta inom verksamheten. Det kan finnas behov av att kunna administrera spärrar (hävning av spärr) under dygnets 24 timmar. 

Inom vissa regioner så har man en central funktion för spärrhantering för sina vårdgivare. I vissa fall så sköter denna funktion även spärradministration åt privata vårdgivare som tillhandahåller vård inom regionen. 

5.1 Information till patienten om patientens möjligheter att sätta spärr

rdgivaren är skyldig att informera patienten om patientens rättighet att begränsa åtkomst till patientens journalinformation och hur detta kan gå till.
Vårdgivaren ska upplysa patienten om vilka risker det kan medföra att begränsa åtkomsten till journalinformation, lämpligen i dialog med patienten. Det är viktigt att patienten informeras om att spärrar kan utgöra en patientsäkerhetsrisk för patienten. Denna information bör därför ges av en person inom vårdgivaren som har kunskap om vilken patientsäkerhetsrisk en spärr eventuellt kan utgöra.

Ineras spärrtjänst möjliggör att en spärr kan tidsbegränsas, dvs anges "från-och-med samt till-och-med". Detta kanske inte alla vårdsystem/verksamheter kan hantera. Ej heller möjligheten att undantaga viss viktigt information som uppgifter om läkemedel och uppmärksamhetsinformation. Dessa möjligheter kan då undantas från lokala anpassningar av spärrutiner då det ej föreligger lagkrav på att stödja dessa funktioner.

Informationen till patienten bör innehålla punkterna enligt bilaga "Informationsblad - Patient".


5.2 Administration av spärrar 

Spärras kan läggas till, hävas permanent, hävas tillfälligt, återställas efter tillfällig hävning samt makuleras (felaktigt registrerad)

Verksamhetschefen ansvarar för att det finns en dokumenterad rutinbeskrivning och att den följs av de som administrerar spärrar. Rutinbeskrivningen ska tydligt ange samtliga processteg för hur en spärr sätts.

Nedan beskrivs övergripande de 2 vanligaste processerna: Sätta spärr samt häva spärr.

5.2.1 Lägga till spärr 

Nedan beskrivs ett exempel på en övergripande process för att lägga till spärr. 
OBS. Blanketterna kan givetvis vara utformade och tillgängliga som elektroniska formulär, ex via inloggning på 1177.se och då hanteras i ett "digitalt flöde".



Process sätta spärr


ProcessBeskrivning
Anmäla spärr

Patienten meddelar sitt önskemål avseende spärr till vårdgivaren, lämpligen för ändamålet utsedda personer (se kap 5).

Av vårdgivaren utsedd personal tillhandahåller patienten en spärrblankett och informerar patienten om vad spärr av sammanhållen journal innebär, lämpligen genom dialog samt att ge patienten ett informationsblad. Patienten ska legitimera sig. Patienten fyller i och skriver under blanketten.

Av vårdgivaren utsedd personal skriver under blanketten, som därefter skickas till verksamhetens spärradministration.

Kontrollera blankett

Spärrblankett inkommer till spärradministrationen.

Spärradministratören kontrollerar att spärrblanketten är korrekt ifylld.

Om uppgifter saknas i spärrblanketten tar spärradministratören kontakt med ansvarig hälso-/sjukvårdspersonal eller med patienten.

Registrera spärr

Spärradministratören registrerar spärr, enligt spärranmälarens önskemål enligt lokala rutiner (i spärrtjänst/vårdsystem).

Spärr registrerad

Spärrblanketten diarieförs enligt lokala rutiner

I förekommande fall ska blanketten skickas tillbaka till vårdgivaren (ex privat vårdgivare inom regionen).

Bekräftelse om införd spärr skickas till patienten (om patienten ej motsäger sig detta) till folkbokföringsadressen. Vid behov som rekommenderat brev (kräver leg vid utlämnande).

5.2.2 Häva spärr 

En spärr kan hävas antingen genom att en patient begär/godkänner detta eller vid en nödsituation (blåljus).
Hävningen kan vara permanent (normalt baserat på en begäran av patienten) eller temporär (normalt baserad på en akut/nödsituation).

En temporär hävning kan även vara en hävning som kan göras direkt i vårdgivarens journalsystem, om det är inom samma vårdgivare som äger spärren. T.ex vid en situation där man har akut behov av att få tillgång till mer information. 
Ett sådant förfarande behöver loggas, se referens [7].
En sådan hävning behöver normalt inte replikeras över till den nationella spärrtjänsten.

Nedan visas ett exempel på en övergripande process där en spärr hävs på begäran av patienten.
OBS. Blanketterna kan givetvis vara utformade och tillgängliga som elektroniska formulär, ex via inloggning på 1177



Process häva spärr


ProcessBeskrivning

Häva spärr

Patienten meddelar sitt önskemål avseende hävning (borttagande) av spärr till vårdgivaren, lämpligen för ändamålet utsedda personer.

Av vårdgivaren utsedd personal tillhandahåller blankett för hävning av spärr till patienten och informerar den om vad hävning av spärr innebär. Patienten ska legitimera sig. Patienten fyller i och skriver under blanketten.

Av vårdgivaren utsedd personal skriver under blanketten, som därefter skickas till verksamhetens spärradministration

Kontroll av blankett

Hävningsblankett inkommer till spärradministrationen.

Spärradministratören kontrollerar att hävningsblanketten är korrekt ifylld.

Om uppgifter saknas i hävningsblanketten tar spärradministratören kontakt med ansvarig hälso-/sjukvårdspersonal eller med patienten.

Hävning av spärr

Spärradministratören tar bort spärr enligt spärranmälarens önskemål enligt lokala rutiner (för spärrtjänsten/vårdsystem)

Spärr hävd

Bekräftelse skickas till patientens folkbokföringsadress om att önskad/önskade spärrar är hävda

Blanketten avslutas och diarieförs.

För privata vårdgivare skickas blanketten normalt tillbaka till vårdgivaren (ex privat vårdgivare inom regionen)


6   Förutsättningar

6.1 Regulatoriska krav

Här beskrivs kortfattat ett antal lagar, föreskrifter och riktlinjer som påverkar hantering av personens spärrar.

Lagar, föreskrifter och riktlinjerInnebörd (inom detta sammanhang)
Patientdatalag (SFS 2008:355)  [ R2 ]

Patientens möjlighet att begränsa elektronisk åtkomst för vårdsyfte

4 §  Personuppgifter som dokumenterats för ändamål som anges i 2 kap. 4 § första stycket 1 och 2 hos en vårdenhet eller inom en vårdprocess får inte göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vårdgivare, om patienten motsätter sig det. I sådana fall ska uppgiften genast spärras.

Vårdnadshavare till ett barn har dock inte rätt att spärra barnets uppgifter.

Uppgift om att det finns spärrade uppgifter får vara tillgänglig för andra vårdenheter eller vårdprocesser.

5 §  En spärr enligt 4 § första stycket får hävas av en behörig befattningshavare hos vårdgivaren, om
   1. patienten samtycker till det, eller
   2. patientens samtycke inte kan inhämtas och informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver.

Uppgift om vårdenheter eller vårdprocesser som spärrat uppgifterna ska i det fall som avses i 2 göras tillgängliga.
Därefter får bara sådana uppgifter som kan antas ha betydelse för vården av patienten göras tillgängliga.

Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40) [ R3 ]

4 kap. Åtkomst till uppgifter om patienter

Åtkomst till ospärrade uppgifter om en patient vid sammanhållen
journalföring

6 §Vårdgivaren ska ansvara för att en behörig användares åtkomst till ospärrade uppgifter om en patient hos en annan vårdgivare föregås av att användaren kontrollerar att förutsättningarna för behandling av personuppgifter enligt 6 kap. 3 § eller 3 a § patientdatalagen (2008:355) är uppfyllda och därefter gör ett aktivt val för att ta del av uppgifterna.

Åtkomst till uppgift om spärrade uppgifter vid sammanhållen
journalföring

7 §Vårdgivaren ska ansvara för att det framgår av systemet med sammanhållen journalföring att det finns spärrade uppgifter om en patient hos någon annan vårdgivare.

Vårdgivaren ska även ansvara för att information om vilken eller vilka vårdgivare som har spärrade uppgifter om en patient endast görs tillgängliga efter att en behörig användare har gjort ett aktivt val.

Nödöppning vid sammanhållen journalföring

8 §En vårdgivare som är ansluten till systemet med sammanhållen journalföring ska säkerställa att behöriga användare får tillgång till de uppgifter om en patient som kan antas ha betydelse för den vård patienten oundgängligen behöver när det föreligger fara för hans eller hennes liv eller allvarlig risk för hans eller hennes hälsa.

Vid en sådan situation som avses i 6 kap. 4 § patientdatalagen (2008:355) ska vårdgivaren ansvara för att åtkomst till information om vilken eller vilka vårdgivare som har uppgifter om en patient föregås av att den behörige användaren gör ett aktivt val.

Vidare ska vid en sådan situation åtkomsten till ospärrade uppgifter om en patient hos en annan vårdgivare föregås av ytterligare ett aktivt val. Om uppgifterna är spärrade, ska en begäran om åtkomst göras hos den vårdgivare som har spärrat uppgifterna.





6.2 Lokal dokumentation

För de fall där detta ramverk ej täcker upp det lokala behovet av tydliga rutinbeskrivningar kring spärrhantering, t.ex hur man i sina lokala vårddokumentationssystem alternativt spärrsystem administrerar spärrar så ska dessa tas fram av berörd verksamhet.

6.3 Förutsättningar för identifiering av området där spärren ska gälla

För att en spärr ska kunna sättas behöver den vårdgivare som äger journalen entydigt kunna identifiera sin organisation.
En fullständig identifiering av vårdgivarens organisation består dels av en identitet på vårdgivarnivå, dels en identitet på vårdenhetsnivå. Identifikationerna ska vara av typ HSAid (se termer och begrepp).
Utöver identifiering av vårdgivaren så innehåller även spärren patientens identitet.
Således så ska en spärr innehålla följande identiteter:

  • HSAid vårdgivare
  • HSAid vårdenhet (endast för inre spärr, spärr inom samma VG)
  • Patientens identitet (PNR/SNR/NRID)

Om en vårdgivare (av olika skäl) har valt att beskriva samma organisation (normalt identifierat med ett organisationsnummer) med olika identiteter, exempelvis att vårdgivaren har flera identiteter (olika HSA-identiteter) för samma vårdgivare, så måste vårdgivaren kunna spärra samtliga identiteter för denna vårdgivare, om patienten har valt att spärra på vårdgivarnivå (yttre spärr).
Om vårdgivaren (i fallet ovan) endast sätter spärr på en av vårdgivarens identiteter, kan detta betraktas såsom en inre spärr. Dvs att endast den aktuella vårdgivarens verksamhet ska ha åtkomst till patientens journal.

Om patienten har valt att spärr sin journal inom en vårdenhet så räcker det normalt med en identitet för vårdgivaren samt en identitet för vårdenheten. Om det (av olika skäl) även finns flera HSA-identiteter för en-och-samma vårdenhet så måste vårdgivaren spärra samtliga identiteter för denna vårdenhet, om patienten har valt att spärra på vårdenhetsnivå (inre spärr).

6.4 Förutsättningar för hantering av olika personidentifierare i samband med spärrhantering

6.4.1 Bakgrund

En person kan identifieras med hjälp av personnummer, samordningsnummer samt reservidentitet. En person kan således ha en eller flera identiteter kopplat till sig, t.ex identifieras med hjälp av både ett personnummer samt en reservidentitet.
Till exempel kan detta uppstå genom att en person ej kan identifieras p.g.a att personen vid ankomst till en akutmottagning är medvetslös och att sjukvårdspersonalen då journalför personen på en reservidentitet.
Personen kan sedan välja att begära en spärr på den information som är skapad på akutmottagningen, vilket då i detta exempel blir på personens reservidentitet. 
Om personen därefter kan identifieras och knytas till ett personnummer så ska sjukvårdspersonalen normalt "koppla" reservidentiteten till personens personnummer.  Detta ska normalt ske via Personuppgiftstjänsten.
Se "Verksamhetsramverk för hantering av reservidentiteter", ref [9] för mer information om uttag och koppling av identiteter.

En person kan således ha flera olika identifierare, vilket innebär att en konsument av spärrtjänsten behöver känna till om det finns flera identifierare på en person.

6.4.2 Krav på hantering av personidentifierare

En konsument av spärrtjänsten (ex. ett journalsystem som behöver kontrollera om det finns spärrad journalinformation för en person) skall ha kännedom om det finns flera identifierare för en person.
Spärrtjänsten ska i så fall anropas med personens samtliga identifierare. Se "Vägledning för användning av personidentifierare i nationell samverkansarkitektur för vård- och omsorg", ref [ 8 ]

6.5 Tekniska förutsättningar för spärrhantering 

Spärrar kan administreras direkt i verksamhetens journalsystem, dvs sättas och hävas. Inom en vårdgivare kan dessutom en spärr hävas (temporärt/permanent) direkt med patientens samtycke.
Spärrar kan även administreras via Säkerhetstjänsterna spärrtjänst. Se mer nedan.


En vårdgivare som medverkar inom sammanhållen journalföring måste kunna hantera eventuella spärrar som en patient har. Dels spärrar som en annan vårdgivare kan ha satt, dels spärrar som är satta inom den aktuella vårdgivaren. För att patientens spärrar ska finnas tillgängliga oavsett hos vilken vårdgivare som har skapat dem så kräver den nationella arkitekturen för spärrhantering att när en vårdgivare sätter en spärr (i något system) så ska den kopieras till den nationella instansen för spärrar, Inera's Nationella spärrtjänst (se bild nedan). Den Nationella spärrtjänsten ska således ha information om samtliga spärrar för en patient, oavsett vårdgivare. Detta innebär att en vårdgivare som samverkar inom sammanhållen journalföring och därmed får tillgång till vårdinformation hos andra vårdgivare, är skyldig att ansluta sig till den Nationella spärrtjänsten för att få tillgång till eventuella spärrar.
En konsument av spärrar (journalsystem) har att hantera eventuellt avbrott till en spärrtjänst (både lokal och nationell).

Om en konsument (t.ex journalsystem) ej kan erhålla information om det finns spärrar eller ej, så bör det bli ett verksamhetsbeslut om informationen ska visas eller ej. Ett skäl till att ändå visa information utan tillgång till information om ev spärrar, kan vara en akut situation kring patienten (s.k blåljusfunktion). Det måste således finnas funktioner för hur en verksamhet hanterar denna situation i sitt journalsystem. T.ex så behöver det särskilt loggas att journalinformation har visats utan kunskap om det finns spärrar eller ej.



6.5.1 Integrationsmönster spärrhantering (olika sätt att administrera spärrar)

Med spärradministration så åsyftas både att lägga till spärr, häva spärr (även tillfälligt) samt makulering av spärr.
Spärradministrationen kan ske på följande sätt:


Användningsfall A
Typiskt en region/vårdgivare med minst ett vårdsystem som har behov av att hantera spärrar och vill ha "egen" kontroll på sina spärrar genom en egen lokal spärrtjänst (se definition, kap 8).

  • Verksamheten administrerar sina spärrar i en lokal spärrtjänst
  • Vårdsystemen läser spärrar i den lokala spärrtjänsten
  • Den lokala spärrtjänsten replikerar spärrarna till den Nationella spärrtjänsten
  • Vid behov, dvs att man har verksamhetssystem som samverkar inom Sammanhållen journalföring, kan den lokala spärrtjänsten replikera ned nationella spärrar från den Nationella spärrtjänsten



Användningsfall B
Typiskt en region/vårdgivare med i huvudsak ett vårdsystem och som vill slippa att hantera en lokal spärrtjänst, utan vill ha detta såsom en tjänst.

  • Verksamheten administrerar sina spärrar i Ineras "hotelltjänst" för Lokal spärrtjänst
  • Vårdsystemen läser spärrar i den Nationella spärrtjänsten



Användningsfall C
Typiskt en region/vårdgivare som har valt att ha administrationen av spärrar i sitt vårdsystem, men vill ha lagringen av spärrarna såsom en tjänst.

  • Verksamheten administrerar sina spärrar i sitt vårdsystem.
    Vårdsystemet lagrar spärrarna i den Lokala spärrtjänsten (Ineras) via ordinarie tjänstekontrakt
  • Vårdsystemet läser spärrarna i den Nationella spärrtjänsten



Användningsfall D
Typiskt en region/vårdgivare som har valt att ha både administrationen av spärrar och lagringen av dem i sitt vårdsystem

  • Verksamheten administrerar och lagrar sina spärrar i sitt vårdsystem
    Vårdsystemet kan då även uppträda som en lokal spärrtjänst och då tjäna som lokal spärrtjänst åt andra vårdsystem som finns hos verksamheten
  • Vårdsystemet replikerar sina spärrar till den Nationella spärrtjänsten
  • Vid behov kan vårdsystemet replikera ned nationella spärrar till vårdsystemet


Den lokala spärrtjänsten liksom den nationella spärrtjänsten har ett användargränssnitt (GUI) vilket stöder full administration av spärrar.
Not: I de fall man väljer att implementera spärrhanteringen i sitt vårdsystem så behöver man även tillse att loggning sker enligt ref [7]

6.5.2 Lagring och hävning av spärrar (administration av spärrar)

För lagring och hävning (fast och temporär) av spärrar finns följande tjänstekontrakt framtagna, för implementation av en Spärrtjänst (se Termer och begrepp).
Dessa tjänstekontrakt utgör normalt de kontrakt som används för administration av spärrar i en Lokal spärrtjänst.

TjänstekontraktFunktion
GetExtendedBlocksForPatient

Tjänst som läser alla spärrar för en viss patient och organisation. Varje spärr innehåller också tillfälliga hävningar om sådana finns. Tjänsten returnerar även makulerade och permanent hävda spärrar, samt tidigare gjorda tillfälliga hävningar, för att ge ett historikunderlag (vad som har hänt med patientens spärrar tidigare).
Tjänsten används för att på lokal nivå kunna söka fram och administrera patientens spärrar och dess eventuella tillfälliga hävningar för en viss vårdgivare.

RegisterExtendedBlock

Tjänst som registrerar en ny spärr för en viss patient och inom en viss vårdgivare i den lokala spärrtjänsten. En spärr gäller i normal fallet alla informationstyper som rör patienten på en vårdenhet och således spärrar ut all obehörig tillgång till informationen. Informationstyperna lak och upp kan undantas från spärren. Om detta sker blir dessa informationstyper ej spärrade.
Kräver utökad spärrinformation med metainformation kring skapande av spärren.

Tjänsten registrerar även grunddata om spärren på nationell nivå

RevokeExtendedBlock

Tjänst som häver en spärr permanent i Spärrtjänsten, om spärren finns. Denna hävning kan inte återtas.

Tjänsten avregistrerar även spärren på nationell nivå
DeleteExtendedBlock

Tjänst som makulerar en befintlig spärr i Spärrtjänsten, om spärren finns. Spärren raderas inte från lokal spärrtjänst utan markeras som makulerad (ej längre giltig) för historikens skull. Denna makulering kan inte återtas.

Tjänsten avregistrerar även spärren på nationell nivå

RegisterTemporaryExtendedRevoke

Tjänst som häver en spärr tillfälligt i Spärrtjänsten, om spärren finns. En spärr kan ha flera tillfälliga hävningar (gällande olika personal).

Tjänsten registrerar även den tillfälliga hävningen på nationell nivå

CancelTemporaryExtendedRevoke

Tjänst som återkallar en tillfällig hävning i den lokala spärrtjänsten, om den tillfälliga hävningen finns. Denna återkallning kan inte återtas.

Tjänsten avregistrerar även den tillfälliga hävningen på nationell nivå

OBS!
För användning av Extendedkontrakten mot Ineras spärrtjänst så krävs följande:
⦁ Att berörda verksamheter för det anslutande systemet ansvarar för att de endast hanterar spärrar för de vårdgivare som de har en vårdrelation med
⦁ Att aktören (spärradministratören) är inloggad via stark autentisering och har ett medarbetaruppdrag som medger spärradministration för de aktuella vårdgivarna
⦁ Att anslutande system går via den Nationella Tjänsteplattformen (NTjP) och dess anslutningsprocess för att säkerställa korrekt behörighetshantering


6.5.3 Kopiering/replikering av administrerade spärrar till den nationella spärrtjänsten

Den verksamhet som administrerar spärrar ansvarar för att de replikeras upp till den nationella spärrtjänsten. 
Verksamheten ansvarar således för att det finns en teknisk anslutning till den nationella spärrtjänsten och att spärrar som är administrerade på lokal nivå replikeras till den nationella spärrtjänsten.
Normalt så sker denna replikering via följande tjänstekontrakt:

TjänstekontraktFunktion
RegisterBlockTjänst som registrerar en ny spärr i den nationella spärrtjänsten.
UnregisterBlock

Tjänst som avregistrerar/raderar en befintlig spärr i den nationella spärrtjänsten, om spärren finns.

RegisterTemporaryRevokeTjänst som registrerar en tillfällig hävning för en given spärr i den nationella spärrtjänsten, om spärren finns.
UnregisterTemporyRevoke

Tjänst som avregistrerar/raderar en tillfällig hävning i den nationella spärrtjänsten, om hävningen finns.


Replikeringen bör ske momentant med att förändringen ske på lokal nivå, iallafall vad gäller hävning (även temporär hävning) av spärr. 

OBS! Ineras lokala spärrtjänst replikerar normalt direkt till den nationella spärrtjänsten vid förändringar/tillägg.

En lång fördröjning av replikering av en hävd spärr kan utgöra en patientsäkerhetsrisk, en lång fördröjning av satt spärr kan utgöra en risk för kränkt patientintegritet.

Följande tider är rekommenderade tider för replikering av spärr av lokala verksamhetssystem till den nationella spärrtjänsten:

FunktionReplikeringstid (max) till den nationella spärrtjänsten
Lägga till spärr1 dygn
Makulera spärr1 dygn
Häva spärr (tillfälligt/permanent)15min (bör ske momentant)
Ta bort tillfällig hävning1 dygn

6.5.4 Läsning/kopiering/replikering av spärrar från den nationella spärrtjänsten 

För de fall då en verksamhet har ett vårdsystem som ska hämta information från en annan vårdgivare eller vårdenhet inom ramen för sammanhållen journalföring (t.ex Cambio Xview), så behöver detta system få information om eventuella spärrar på aktuell patient.
Detta kan ske på följande sätt:

  • Vårdsystemet integrerar direkt med den nationella spärrtjänsten, via kontraktet GetBlocks och med patientens pnr med i anropet för att ta reda på om det finns några spärrar för den aktuella patienten. 
  • Vårdsystemet integrerar direkt med den nationella spärrtjänsten, via kontraktet CheckBlocks. Se Tjänstekontraktsbeskrivningen [R5] för mer info.
  • Vårdsystemet integrerar med en lokal spärrtjänst som i sin tur integrerar med den nationella spärrtjänsten. Den lokala spärrtjänsten svarar för att replikera ned relevant spärrinformation från den nationella spärrtjänsten. Replikeringsfrekvensen i den lokala spärrtjänsten är konfigurerbar, se Dokument för Säkerhetstjänster.
  • Vårdsystemet håller en lokal cache över spärrar inom sammanhållen journalföring. Det lokala vårdsystemet svarar för att replikera ned relevant spärrinformation från den nationella spärrtjänsten. Se 6.5.5 för mer information.

Replikering av spärrar från den nationella spärrtjänsten till en lokal spärrtjänst/lokal cache i vårdsystem ska normalt ej ske med en frekvens höger än 1ggn/dygn.
Hävning av spärr för vårdgivares spärrar som hanteras lokalt (lokal spärrtjänst/lokal cache) hanteras lämpligen i den lokala spärrtjänsten/lokalt verksamhetssystems cache.
Replikering av hävd spärr till den nationella spärrtjänsten bör ske momentant.

6.5.5 Läsa/kontrollera spärrar, best practice

De vårdsystem som samverkar inom sammanhållen journalföring måste ha kännedom om det finns spärrar lagrade för en patient (se 6.5).
Vårdsystemet kan lösa detta på flera sätt, nedan anges några exempel som kan tjäna som rekommendationer för hur man ansluter sitt vårdsystem för åtkomst till spärrinformation.

Typisk vårdgivare (VG) / JournalsystemMetodTjänstekontraktKommentar
VG med ett eller flera journalsystem som behöver ha åtkomst till spärrinformation för sina vårdgivare och därmed vill ha en egen lokal instans av spärrtjänsten. Vårdsystemen anropar då den lokala spärrtjänsten på det sätt som de finner mest lämpligt. Kan vara en region med flera vårdgivareAdministrera och läsa spärrar i lokal spärrtjänst

GetBlocks,

CheckBlocks

För GetBlocks kan Journalsystemet anropa antingen med patientid och/eller VG-id.
För CheckBlocks, se TKBn

Journalsystem kan även välja att ha lokal cache av spärrar genom att replikera ned dem från den lokala spärrtjänsten batchvis 1ggn/dygn genom GetBlocks. Flera VG-id:n kan skickas samtidigt i anropet. Vid varje replikering ska cachen rensas. Replikeringen kan även ske via inkrement, se exempel nedan (rad 3) med createdOnOrAfter

VG som ovan, fast med journalsystem som samverkar inom Sammanhållen journalföring (t.ex Cambio XView) och som behöver ha lokal cache

Administrera och läsa spärrar i lokal spärrtjänst.

Lokal spärrtjänst replikerar hem samtliga spärrar & hävningar från nationella spärrtjänsten, 1ggn/dygn

Det lokala journalsystemet replikerar batchvis sedan hem den lokala spärrtjänstens spärrar till sin cache.

GetBlocks

Se ovan för lämpliga integrationsmönster.

Not: Om något journalsystem är konsument av sammanhållen journalföring så anropas GetBlocks utan vårdgivarId. Se även exemplet nedan om latestCancellation.

VG utan lokal spärrtjänst med ett eller ett fåtal journalsystem som var-och-en cachar spärrarna lokalt för sina vårdgivare. Spärrarna hämtas från den nationella spärrtjänsten.Batchvis (baserat på createdOnOrAfter  kopiera hem samtliga spärrar och hävningar från den nationella spärrtjänsten för de aktuella vårdgivarna till lokalt journalsystem (cache i journalsystemet)GetBlocks

Flera VG-id:n kan skickas samtidigt i anropet. 
Anropet sker batchvis lämpligen 1ggn/dygn. För att enbart få reda på eventuella förändringar sen senaste kompletta nedladdning så kan parametern createdOnOrAfter sättas till föregående nedladdningstid. 
Exempelvis så hämtar man hem alla (sina) spärrar kl 06:00 1ggn/dygn, och däremellan 1ggn/timme med createdOnOrAfter satt till föregående nedladdningstid.

Not: Om något journalsystem är konsument av sammanhållen journalföring och därmed behöver ha tillgång till samtliga spärrar så anropas GetBlocks utan vårdgivarId för att få samtliga spärrar. Vid de inkrementella laddningarna så kan man genom attributet latestCancellation få reda på om det har skett någon förändring (ex borttagen spärr) så kan man göra en ny, fullständig laddning.

OBS! latestCancellation ändras således när det skett en förändring i hela databasen. Det går således ej att nyttja detta attribut om man bara är intresserad av "sina" spärrar.

VG utan lokal spärrtjänst med ett journalsystem som är konsument inom sammanhållen journalföring med ett begränsat antal anrop/h. Lämpligen <800 anrop/hDirektanrop från journalsystem till nationella spärrtjänsten som avgör om information är spärrad eller ejCheckBlocksExempelvis NPÖ
För inparametrar, se TKB
VG utan lokal spärrtjänst med ett journalsystem som är konsument inom sammanhållen journalföring med ett begränsat antal anrop/h. Lämpligen <800 anrop/hDirektanrop från journalsystem till nationella spärrtjänsten som levererar ev. spärrinformation för en specifik patientGetBlocks

Anropas med PatientId.

Normalt ett journalsystem som söker efter spärrar baserat på ett patientId. Ev returnerade spärrar  används för att begränsa vilken information som visas för aktören.

Ett användningsfall som är effektivt då det vanligaste svaret är 0 spärrar.





Vårdgivare med ett journalsystem som har ett begränsat antal VG (<50)Batchvis hämta hem en lista på patienter som har en spärrinformation registrerade. Denna lista används därefter för att hämta spärrar för enbart de patienter som finns i listan.

GetPatientIds

Ett journalsystem som batchvis 1ggn/dygn hämtar en lista på vilka patienter som har spärrar och cachar denna lista.

Denna lista genomsöks varje gång en sökning sker i journalsystemet på en patientidentitet.
Om det blir en träff i denna lista hämtar journalsystemet aktuella spärrar & hävningar för patientidentiteten via GetBlocks (patientId).

Detta är en bra metod för att bara anropa spärrtjänsten då det finns spärruppgifter på en patient. Denna metod gör att även hävningar av spärr fångas. Kräver dock lite mer logik i journalsystemet.

Vårdgivare med ett journalsystem som har ett begränsat antal VG (<50)Batchvis hämta hem en lista på spärrar för de vårdgivare som man anger i anropet. Denna lista används därefter för att hämta spärrar för enbart de patienter som finns i listan.GetBlocks

En liknande metod enligt ovan.

Ett journalsystem som batchvis 1ggn/dygn hämtar en lista på vilka spärrar det finns för angivna vårdgivare och cachar denna lista.

Denna lista genomsöks varje gång en sökning sker i journalsystemet på en patientidentitet.
Om det blir en träff i denna lista kan journalsystemet hämta aktuella spärrar & hävningar för patientidentiteten via GetBlocks (patientId).

Detta är en bra metod för att bara anropa spärrtjänsten då det finns spärruppgifter på en patient. Denna metod gör att även hävningar av spärr fångas. Kräver dock lite mer logik i journalsystemet.

Förkortningar: VG = Vårdgivare



7   Checklista

Se bilaga Checklista


8   Termer och begrepp

BegreppInnebörd 
AutentiseringKontroll av uppgiven identitet
Hälso- och sjukvårdspersonal

Person anställd av vårdgivaren och som deltar i vård och behandling. Kan även vara personal utan legitimation

Lokal spärrtjänstEn IT-tjänst som på lokal nivå (landsting/region etc) ger möjlighet att lagra och tillhandahåller uppgifter av patienten begärda spärrar. Kan vara en lokal version av Inera's Spärrtjänst eller en egenutvecklad. Inera tillhandahåller även lokal spärrtjänst såsom en molntjänst, dvs ett landsting/region etc kan lagra sina spärrar hos Inera's molntjänst (kallas även för Hotelltjänst).
Nationell spärrtjänstInera's Nationella spärrtjänst för patientens samlade spärrar, dvs spärrar som har registrerats på lokal nivå (lokal spärrtjänst eller motsvarande) och aggregerats upp till den nationella spärrtjänsten, verksamhetsadress: SE165565594230-1000.
PatientjournalEn eller flera journalhandlingar som rör samma patient
PersonidentifierareEn identitetsbeteckning för att identifiera en person. Exempelvis personnummer, samordningsnummer, reservidentitet.


Replikering spärradministrationÖverföring av information till/från mellan en lokal spärrtjänst och den nationella spärrtjänsten
Sammanhållen journalföringEtt elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare.
SekretessEtt förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt.
Sekretessreglerad uppgiftEn uppgift för vilken det finns en bestämmelse om sekretess, exempelvis är alla uppgifter om enskilds hälsotillstånd eller andra personliga förhållanden, sekretessbelagda enligt 25 kap 1§ OSL. Alla uppgifter inom socialtjänsten om enskilds personliga förhållanden omges av sekretess enligt 26 kap 1§ OSL
Sekretessbrytande bestämmelseEn bestämmelse som innebär att en uppgift får lämnas ut under vissa förutsättningar
Skyddade personuppgifterPersoner som är utsatta för ett allvarligt och konkret hot kan ansöka om skyddade personuppgifter hos Skatteverket. Personerna kan exempelvis vara utsatta för våld, hot om våld, förföljelse eller andra trakasserier. Det finns tre typer av skyddade personuppgifter eller skyddad identitet som kallas: sekretessmarkering, Skyddad folkbokföring (kvarskrivning) och fingerade personuppgifter. De myndigheter som får skatteverkets uppgift om skyddade personuppgifter ska alltid göra en noggrann prövning innan uppgifterna lämnas ut.
Spärr

Otillgängliggörande av journaldokumentation inom en vårdgivare (inre sekretessområde) eller inom sammanhållen journalföring (yttre sekretessområde).

Spärr omfattar endast elektroniska patientuppgifter, således ej pappersburen information.

Rätten till spärr omfattar även varningsmarkeringar och uppmärksamhetssignaler.

Vid spärr ligger ansvaret på att patienten för informationen vidare till de som behöver den. Patienten ”äger spärren”.
SpärradministrationFunktion för administration av spärrar. Normalt en central funktion för en eller flera vårdgivare
SpärradministratörPersonal som administrerar spärrar, för en eller flera vårdgivare
Spärr -inre 

Spärr i det inre sekretessområdet (inom vårdgivare).

Spärr av journalhandling/vårddokumentation som är avgränsad till en vårdenhet. Innebär att patientuppgifter hos en vårdenhet ej är tillgänglig genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet hos samma vårdgivare, om patienten har begärt att information ska spärras.
Spärr -yttre

Spärr av journalhandling / vårddokumentation som är avgränsad till en vårdgivare och innebär att informationen ej är tillgänglig för andra vårdgivare genom sammanhållen journalföring.


Uppgift om att det finns spärrade uppgifter om en patient samt uppgift om vilken vårdgivare som har spärrat uppgifterna får göras tillgängliga för andra vårdgivare genom sammanhållen journalföring.
SpärrtjänstEn IT-tjänst som ger möjlighet att lagra och tillhandahåller uppgifter om patientens begärda spärrar.
Spärrtjänsten registrerar spärrar och kontrollerar om en patient har spärrat tillgång till patientinformation inom och mellan vårdgivare.
En spärrtjänst ska stödja den nationella arkitekturen för att kunna samverka inom sammanhållen journalföring, se http://rivta.se/domains/informationsecurity_authorization_blocking.html 
Detta för att samtliga spärrar som registreras för en patient ska kopieras/aggregeras till den nationella spärrtjänsten (se Nationell spärrtjänst) så att patientens samlade spärrar kan bli tillgängliga för system inom sammanhållen journalföring.
Stark autentiseringKontroll av uppgiven identitet på två olika sätt
VerksamhetInom denna kontext en verksamhet som är inom landsting, kommuner och privata vårdgivare som är offentligt finansierade samt statliga myndigheter.
Vårdenhet

Organisatorisk enhet som tillhandahåller hälso- och sjukvård. Vårdenhet kan vara t.ex. vårdcentral, sjukhus, klinik, basenhet, mottagning, vårdavdelning eller motsvarande

VårdgivareStatlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvårdsverksamhet som myndigheten, landstinget eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet (privat vårdgivare).
VårdsystemEtt system i vilken en vårdverksamhet hanterar administrativa data och journaluppgifter kring en patient.

9. Bilagor

Bilagorna nedan ska ses som stödjande mallar att utgå ifrån vid framtagning av lokala varianter. Beroende på lokala förutsättningar och rutiner så kan det finnas behov att avvika från mallarna.
Det är dock viktigt att tillse att vårdgivarens skyldigheter uppnås och att patienten erhåller nödvändig information.

10. Referenser 

NrReferens
1

RIV Specifikation Patientdatalagen i Praktiken,
http://rivta.se/documents/ARK_0031/PDLiP_RIV_1.0.pdf 

2

Patientdatalag (SFS 2008:355)
https://www.riksdagen.se/sv/dokument-lagar/dokument/svensk-forfattningssamling/patientdatalag-2008355_sfs-2008-355

3Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40)
https://patientsakerhet.socialstyrelsen.se/om-patientsakerhet/centrala-lagar-och-foreskrifter/hslf-fs-2016-40
4Spärrtjänsten
https://www.inera.se/sakerhetstjanster  
5Tjänstekontraktsbeskrivning Spärrtjänsten
http://rivta.se/domains/informationsecurity_authorization_blocking.html 
6Informationsspecifikation Spärrtjänsten
http://rivta.se/domains/informationsecurity_authorization_blocking.html 
7Tillämpningsanvisning PDL-loggning
http://rivta.se/documents/ARK_0041/
 8Vägledning för användning av personidentifierare i nationell samverkansarkitektur för vård- och omsorg
http://rivta.se/documents/ARK_0049/
9Ramverk för hantering av reservidentiteter
https://www.inera.se/kundservice/dokument-och-lankar/tjanster/personuppgiftstjansten/