1 / 73

Patientdatalagen –

Patientdatalagen –. i teori och praktik. Patientdatalagen. Inledning Behörighetshantering (verksamhetschef) Inre sekretessområdet Sammanhållen journalföring Spärrar Tillsyn Vad behöver vårdgivarna göra Vad är på gång inom juridiken Samordnad vårdplanering och sammanhållen journalföring

aurora
Télécharger la présentation

Patientdatalagen –

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Patientdatalagen – i teori och praktik

  2. Patientdatalagen • Inledning • Behörighetshantering (verksamhetschef) • Inre sekretessområdet • Sammanhållen journalföring • Spärrar • Tillsyn • Vad behöver vårdgivarna göra • Vad är på gång inom juridiken • Samordnad vårdplanering och sammanhållen journalföring • Länkar

  3. Patientdatalagen • Möjliggör: • en informationshantering inom hälso- och sjukvården som kan tillgodose patientsäkerhet och god kvalitet och samtidigt främja kostnadseffektivitet. • att personuppgifter utformas och behandlas så att patienters och övriga registrerades integritet respekteras.

  4. Allmänt • ersatte patientjournallag och vårdregisterlag 1 juli 2008, medförde några ändringar i sekretesslagen • gäller för alla vårdgivare oavsett huvudmannaskap • ramlagstiftning; anger vilka grundläggande principer som ska gälla för informations-hanteringen avseende uppgifter om patienter inom all hälso- och sjukvård. Förtydligas i SOSFS 2008:14

  5. Vårdgivare Statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvårdsverksamhet som myndigheten, landstinget eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet (privat vårdgivare) Socialstyrelsens termbank

  6. Alla vet vad är vårdgivare är… Personal hos vårdgivarna har ofta en helt annan uppfattning de förknippar ofta vårdgivare med hälso- och sjukvårdspersonal, dvs. Syster Anna och Dr Ek är två olika vårdgivare

  7. Styrning av behörigheter SOSFS 2008:14 2 kap. Ansvar för informationssäkerhet 6§ Vårdgivaren ska ansvara för att det i ledningssystemet finns rutiner som säkerställer att hälso- och sjukvårdspersonal och andra befattningshavares behörighet begränsas till vad som är nödvändigt för att ge en god och säker vård.

  8. Styrning av behörigheter fortsättning Vårdgivaren ska vidare ansvara för att varje användare tilldelas en individuell behörighet för åtkomst till patientuppgifter. Vårdgivarens beslut om tilldelning av behörighet ska föregås av en behovs- och riskanalys. Vårdgivaren ska även ansvara för att det finns rutiner för tilldelning, förändring, borttag och regelbunden uppföljning av behörigheterna.

  9. Riskanalys

  10. Åtkomstkontroll – kontroll av loggar Vårdgivaren är skyldig att genomföra systematiska åtkomstkontroller i sina system, det vill säga kontinuerligt och enligt rutiner kontrollera att tillgång till patientuppgifter nyttjas enligt gällande regelverk. Även patienten ska ha möjlighet att få information om när och vilken vårdenhet som tagit del av hennes/hans information.

  11. Inre sekretess dvs inom en vårdgivare 4 kap. 1 § ...får ta del av journaluppgift endast om du deltar i vården av patienten eller av annat skäl behöver uppgifterna för arbetet inom hälso- och sjukvården.

  12. Ändamål Vård och behandling Kvalitetssäkring Administration Upprättande av dokumentation som följerav lag, förordning eller annan författning Framställning av statistik om hälso- och sjukvården ”Kvalitetsregister”

  13. Journalhandling Framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel och som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder 1 kap. 3 § PDL

  14. Sekretessområde utökas Tidigare lagstiftning Enl Patientdatalagen A B A B C D C D Myndigheter har sekretess mellan sig Ingen sekretess mellan ingåendemyndigheter

  15. Sammanhållen journalföring A B A B Nämnd C D C D E E Sammanhållen journalföring E E E E Bolag E E E E F F Privata E E E E G G Kommun

  16. Sammanhållen journalföring Innebär att Vårdgivare får göra elektroniska patientjournaler tillgängliga för andra vårdgivare • Får användas endast för den individinriktade patientvården • Patienten kan motsätta sig att uppgifter görs tillgängliga för andra vårdgivare. Om en patient motsätter sig att andra uppgifter än (patient-id och vårdgivare) görs tillgängliga i en sammanhållen journalföring ska uppgifterna genast spärras. Vårdnadshavaren till barn kan inte spärra uppgifter om barnet. En patient kan när som helst begära att den vårdgivare som har spärrat uppgifterna häver spärren.

  17. Sammanhållen journalföring Hälso- och sjukvårdspersonal får bereda sig tillgång till elektroniska patientjournaler hos andra vårdgivare om: • patienten samtycker • aktuell patientrelation föreligger och • uppgifterna kan antas ha betydelse för vården av patienten (eller vid intyg).

  18. Bestämmelserna om sammanhållen journalföring reglerar ett visst sättatt göra patientdokumentation elektroniskt tillgängliga över organisatoriska och formella gränserutan föregående sekretessprövning i varje enskilt fall då direktåtkomsten används. Uppgifterna kan alltid begäras ut på annat sätt, varvid en sedvanlig sekretessprövning måste göras.

  19. Sammanhållen journalföring Om det finns ospärrade uppgifter om en patient och det föreligger fara för dennes liv eller det annars föreligger allvarlig risk för dennes hälsa, får vårdgivaren, om patientens samtycke inte kan inhämtas, ta del av uppgift om vilken eller vilka vårdgivare som har gjort uppgifterna tillgängliga. Om vårdgivaren med ledning av denna uppgift bedömer att de ospärrade uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver, får vårdgivaren behandla de ospärrade uppgifterna.

  20. PDL för NPÖ? • NPÖ är ett ”verktyg” för att kunna ta del av en sammanhållen journalföring - dvs. det finns inget särskilt regelverk för PDL-NPÖ • SITHS-kort, Sjunet, HSA är enbart verktyg för att kunna ta del av informationen på ett korrekt och bra sätt

  21. Vårdgivare anslutna till sammanhållen journalföring Sammanhållen Journal Definitioner • Statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvårdsverksamhet som myndigheten, landstinget eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet (privat vårdgivare) Vårdgivare Vårdenhet En organisatorisk enhet som tillhandahåller hälso- och sjukvård och som leds av en verksamhetschef eller motsvarande.

  22. Spärr i det inre sekretessområdet (inom en vårdgivare) patientuppgifter hos en vårdenhet eller inom en vårdprocess får inte göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vårdgivare, om patienten motsätter sig det. I sådana fall ska uppgifterna genast spärras. Vårdnadshavare till ett barn har dock inte rätt att spärra barnets uppgifter.

  23. Spärr, i det inre sekretessområdet (inom en vårdgivare) Vårdgivare (organisation) När en patient sätter spärr på sin vårddokumentation på vård- enhet (klinik 4), innebär det att informationen inte kan nås från andra vårdenheter inom Vårdgivaren (klinik1, 2 och 3) Vårdenhet (klinik 1) Vårdenhet (klinik 2) Vårdenhet (klinik 4) Vårdenhet (klinik 3) Klinik Vårddokumentation

  24. När kan spärr i det inre sekretess-området hävas? 1. patienten samtycker till det, eller 2. patientens samtycke inte kan inhämtas och informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver.

  25. Hävning av spärr, i det inre sekretess-området (inom en vårdgivare) • Sker i två steg: • Tillgång till information om vid vilken eller vid vilka enheter spärrad information finns • Bedömning om spärren/spärrarna som ska hävas. Utförs av behörig befattningshavare Klinik Vårddokumentation

  26. Spärr i sammanhållen journalföring Om en patient motsätter sig, det får andra uppgifter om patienten än dem som anges i andra stycket inte göras tillgängliga för andra vårdgivare genom sammanhållen journalföring. Uppgift om att det finns spärrade uppgifter om en patient samt uppgift om vilken vårdgivare som har spärrat uppgifterna får göras tillgängliga för andra vårdgivare genom sammanhållen journalföring.

  27. När kan spärr i sammanhållen journalföring hävas? 1. patienten samtycker till det, eller 2. patientens samtycke inte kan inhämtas och det föreligger fara för dennes liv eller det annars föreligger allvarlig risk för dennes hälsa informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver. OBS! Endast den vårdgivare som spärrat informationen kan häva spärren!

  28. Hävning av spärr i sammanhållen journalföring • Sker i två steg: • 1. Om det finns spärrade uppgifter om en patient och detföreligger fara för dennes liv eller det annars föreliggerallvarlig risk för dennes hälsa får vårdgivaren ta del av uppgift om vilken eller vilka vårdgivare som har spärradeuppgifter. • 2. Om vårdgivaren med ledning av denna uppgift bedömer att • uppgifterna kan antas ha betydelse för den vård patienten • oundgängligen behöver får vårdgivaren begära hos den • vårdgivare som spärrat uppgifterna att denne häver spärren.

  29. Spärr – inre följer med yttre om patienten sagt nej Det är aldrig möjligt i en sammanhållen journalföring att ta del av information som spärrats inom en vårdgivare.

  30. Tillgänglighet Behörighets-/ loggningsmodellen Begränsad tillgänglighetstyrd av behörighet Fri tillgänglighet under ansvar Behörighetstilldelningoch behörighetskontroll Kontroll av loggaroch behörighet Den som tilldelar behörighet har ANSVAR Tillgång till informationunder eget ANSVAR System och administration för tilldelning och kontroll av behörighet System och administration för kontroll ochuppföljning av loggar Rapport nr 1 från SITHS-projektet

  31. Tillgänglighet Behörighets- /Loggningsmodellen Begränsad tillgänglighetstyrd av behörighet Fri tillgänglighet under ansvar ”Det räcker inte att kontrollera loggar för att i efterhand konstatera eventuella intrång för att kraven i nuvarande lagstiftning skall vara uppfyllda.” (DI 2005-02-22) Behörighetstilldelningoch behörighetskontroll Kontroll av loggaroch behörighet Den som tilldelar behörighet har ANSVAR Tillgång till informationunder eget ANSVAR System och administration för tilldelning och kontroll av behörighet System och administration för kontroll ochuppföljning av loggar Rapport nr 1 från SITHS-projektet

  32. Tillsynsärenden DI och Socialstyrelsen – tillsyn under 2009-2011

  33. DI 2008 nov

  34. DI: Spärr & PDL (20091111) • Datainspektionen planerar att skärpa tonläget mot landstingen. Myndigheten kommer att börja granska hur sjukvården klarar av att uppfylla lagens tvingande delar. Landsting som inte följer lagen riskerar vite, en åtgärd som inspektionen hittills har varit försiktig med att ta till. • Patienterna har rätt att begränsa elektronisk åtkomst och spärra uppgifter i sin journal. Kan de inte detta i  dag så bryter sjukvården mot lagen. Det är en av de saker som vi kommer att titta på vid våra inspektioner nästa år, säger Patrik Sundström, jurist på Datainspektionen.

  35. DI beslut Örebro läns landsting Datainspektionen konstaterar att Landstingsstyrelsen, Örebro läns landsting 1. i strid med 6 kap. 2 § 3 st. patientdatalagen tillgängliggör patientuppgifter för andra vårdgivare, samt 2. inte lever upp till kraven på behörighetsstyrning i 6 kap. 7 §, 4 kap. 2 § patientdatalagen och 2 kap. 6 § SOSFS 2008:14.

  36. DI beslut Örebro läns landsting Datainspektionen förelägger Landstingsstyrelsen att 1. upphöra att tillgängliggöra patientuppgifter för andra vårdgivare till dess att berörda patienter fått information om vad den sammanhållna journalföringen innebär samt haft möjlighet att utnyttja sin rätt att motsätta sig tillgängliggörandet, samt

  37. DI beslut Örebro läns landsting 2. ta fram rutiner och en teknisk funktionalitet som möjliggör att behörigheterna kan begränsas till vad som behövs för att användaren ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Härutöver bedömer Datainspektionen att Landstingsstyrelsen är personuppgiftsansvarig för tillgängliggörandet, inklusive mellanlagringen, av patientuppgifter som härrör från den egna verksamheten. Datainspektionen förutsätter därför att Landstingsstyrelsen klargör detta genom att vidta relevanta korrigeringar i anslutningsavtal och personuppgiftsbiträdesavtal avseende Inera AB och Tieto.

  38. DI beslut Örebro kommun och Attendo Care Beslut efter tillsyn: 1. strid med 6 kap. 3 § patientdatalagen låter s.k. ”underförstått samtycke” utgöra grund för direktåtkomst till patientuppgifter vid sammanhållen journalföring, samt * 2. inte lever upp till kraven på behörighetsstyrning i 6 kap. 7 §, 4 kap. 2 § patientdatalagen och 2 kap. 6 § SOSFS 2008:14. Datainspektionen förelägger Vård- och omsorgsnämnderna att 1. vidta åtgärder för att se till att direktåtkomst till uppgifter i den sammanhållna journalföringen, så länge det inte är fråga om sådan nödsituation som avses i 6 kap. 4 § patientdatalagen, föregås av ett frivilligt, särskilt och otvetydigt samtycke från patienten eller dennes legala ställföreträdare, samt

  39. DI beslut Örebro kommun och Attendo Care 2. ta fram rutiner och en teknisk funktionalitet som möjliggör att behörigheterna kan begränsas till vad som behövs för att användaren ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Vidare bedömer Datainspektionen att Vård- och omsorgs-nämnderna har förutsättningar att leva upp till kraven på åtkomstkontroll enligt 6 kap. 7 §, 4 kap. 3 § patientdatalagen och 2 kap. 11 § SOSFS 2008:14. Datainspektionen förutsätter dock att Vård- och omsorgsnämnderna utvärderar och kontinuerligt utvecklar logguppföljningarna för att uppnå en verkningsfull åtkomstkontroll i enlighet med kraven i 4 kap. 3 § patientdatalagen.

  40. DI:s beslut, Achima Care AB Datainspektionen konstaterar att Bolaget: 1. inte lever upp till kravet vad gäller patientens rättighet att spärra uppgifter (PDL) 2. inte lever upp till kraven på behörighetsstyrning (PDL och SOSFS 2008:14) samt 3. inte lever upp till kraven rörande åtkomstkontroll (PDL och SOSFS 2008:14) genom att det inte av dokumentationen av åtkomsten (loggarna) framgår vilka åtgärder som har vidtagits med patientuppgifterna.

  41. DI:s beslut, Achima Care AB När det gäller bristerna beträffande de tekniska funktionerna i journalsystemet, anser Datainspektionen att det är Landstinget Sörmland (Landstinget) som har reella möjligheter att åtgärda ovanstående brister. Datainspektionen kommer med anledning av detta att snarast inleda tillsyn mot Landstinget.

  42. DI:s beslut Styrelsen för SLSO (Stockholms läns sjukvårdsområde) Datainspektionen förelägger Styrelsen för Stockholms läns sjukvårdsområde (SLSO) att anpassa vårddokumentation som utgörs av Läkemedelslistan, Viktig Medicinsk Information (VMI) och journaluppgifter i e-arkiv enligt kraven i 4 kap. 4 § första stycket och 6 kap. 2 § första stycket patientdatalagen (2008:355), avseende patientens möjlighet att motsätta sig att personuppgifterna görs tillgängliga (spärras) dels inom SLSO:s verksamhet (inre sekretess), dels inom den sammanhållna journalföringen.

  43. TC (TakeCare) Karolinska (mars 2012) • En användare i TC kan inte ta del av uppgift om att det finns ospärrade uppgifter om patienten, utan att samtidigt ta del av uppgift om vilken/vilka vårdgivare som har gjort uppgiften tillgänglig. • Vidare visas vilken/vilka vårdgivare som har ospärrade uppgifter innan ett samtycke till behandlingen av uppgifterna har inhämtats från patienten. • En användare inom ramen för den sammanhållna journalföringen i TC har, efter ett samtycke från patienten som registreras i journalsystemet, som utgångspunkt alltid direktåtkomst till ospärrade uppgifter hos alla vårdgivare som ingår i den sammanhållna • journalföringen.

  44. DI granskar journalspärrar hos samtliga landsting (26 maj 2011) • Patienternas möjlighet att spärra uppgifter i sina journaler undersöks nu i en omfattande granskning av samtliga landsting och fem av de största privata vårdgivarna. • Enligt patientdatalagen har patienten rätt att spärra uppgifter från att lämnas ut dels mellan olika vårdenheter inom samma vårdgivare, dels mellan olika vårdgivare som använder sammanhållen journalföring för att utbyta uppgifter med varandra. • Vårdgivaren har en skyldighet att spärra patientens uppgifter i sitt journalsystem om patienten vill det. Vi har fått indikationer på att det ofta brister i hanteringen av dessa spärrar och det är därför som vi nu genomför den här granskningen, säger Datainspektionens projektledare Maria Bergdahl.

  45. Granskning spärrar fortsättning… 23 nov 2011 kom information från DI att de ytterligare skärpt kraven, nu pratar man inte längre om journalsystem utan säger nu att: ”resultatet från den inledande granskningen indikerar att vårdgivarna har patientuppgifter i ett stort antal olika IT-system. Enligt lagen måste det finnas möjlighet att spärra uppgifter i samtliga IT-system som innehåller vårddokumentation

  46. Information om Sammanhållen journalföring Ett nationellt framtaget material som finns tillgängligt sedan mars 2011. Se cehis.se/ sammanhållen journalföring

  47.  Tillsyn Socialstyrelsen (SOSFS 2008:14) • Lanstinget i Uppsala, UAS • Karolinska Sjukhuset • Västerbottens Läns Landsting, NUS • Västra Götalandsregionen, SU • Landstinget Östergötland, Linköping US • Region Skåne, SuS

  48. Vilka brister ska åtgärdas enligt Socialstyrelsen? • Informationssäkerhetspolicy saknas • Återrapportering från informationssäkerhetsansvarig till vårdgivare sker ej enligt gällande författning • Verksamhetschefernas uppdrag kring informationssäkerhet finns inte samlat och dokumenterat • Det finns brister vid överföring av patientuppgifter över öppna nät • Journalsystem klarar inte författningskrav avseende spärr

  49. Forts: Vilka brister ska åtgärdas enligt Socialstyrelsen? • Rutiner för systematisk uppföljning av behörigheter saknas • Rutiner för förändring och borttag av behörigheter saknas • Risk- och behovsanalys för tilldelning av behörigheter görs ej • Kontinuitetsplaner saknas • Tidplan för information om Sammanhållen journalföring saknas • Brister i drift-, utvecklings- och utbildningsrutiner

  50. Vad behöver vårdgivarna göra? Förändringar i verksamhet och teknik: • Kunna hantera information som går över öppna nät (kryptering och stark autentisering) • Ha en aktiv behörighetshantering • Tillgång till patientuppgifter ska ske på ett korrekt sätt- Inre sekretessområdet (aktiva val)- Sammanhållen journalföring (aktiva val) • Kontroll av åtkomst till patientuppgifter måste ske • Patientens rättigheter ska tillgodoses (loggar och möjlighet att begränsa vårdens tillgång till sin information genom att kunna sätta spärrar)

More Related