De tre vanligaste fallgroparna när man delar uppgifter om patienter och brukare
15 augusti 2022
Som personal inom vård och omsorg delar du dagligen uppgifter om patienter och brukare. Det kan handla om information till patienten, en anhörig, annan vårdgivare, myndighet, men också delning av information inom den egna verksamheten. Har du koll på vad du får göra och när du behöver vara försiktig? Här reder Andrea Hemming, jurist på IMRAB (Institutet för medicinsk rätt), ut begreppen.
Vad ska man tänka på när man delar uppgifter om en patient?
Ifall man finner att ett utlämnande ska/kan göras är det av vikt att man delar informationen på ett tillräckligt säkert sätt. Ska man dela till patienten är det vanligt att man skickar informationen per post. Ser man till juridiken här så finns det inga specifika lagar som reglerar hur man kommunicerar postalt. Rekommenderat brev utgör en standard, dock är det inte ett lagkrav. I vissa fall kan det finnas en osäkerhet kring individens identitet och då är en annan lösning att patienten kan hämta ut dokumentet i receptionen mot uppvisande av ID-handling. Givetvis ska man alltid dokumentera ett utlämnande i patientens journal.
Är det någon skillnad mellan olika informationskanaler, till exempel email, fax och sms?
Email, fax och sms utgör samtliga exempel på kommunikation via s.k. öppna nät. I Socialstyrelsens föreskrift 2016:40 återfinns de s.k. ”öppna-nätsreglerna”. De anger två krav som ska vara uppfyllda för att man ska kunna kommunicera med eller om en patient via öppna nät. Dessa är: kryptering och stark autentisering. Den sistnämnda innebär förenklat att man använder sig t.ex. av Bank-id eller annan tvåstegsautentiseringslösning. Dessa två krav är ofta svåra att uppfylla när man kommunicerar per email, fax och sms varför dessa inte bör användas.
 |
"Personligen anser jag att fax är ett säkerhetsmässigt felaktigt sätt att kommunicera på. Här får jag även stöd av lagen. Det är nämligen mycket svårt att när man använder fax tillse att ingen obehörig erhåller åtkomst till innehållet." |
Fax är en återkommande fråga när jag föreläser på olika event. Fax används i stor utsträckning inom denna sektor. Det skickas kallelser, journalkopior – allt innehållande mycket känslig information. Givetvis är det viktigt att det skickas säkert. Personligen anser jag att fax är ett säkerhetsmässigt felaktigt sätt att kommunicera på. Här får jag även stöd av lagen. Det är nämligen mycket svårt att när man använder fax tillse att ingen obehörig erhåller åtkomst till innehållet.
Undantag till de två krav som jag nämnde ovan är när det kommer till kallelser och påminnelser inom vården. Det är exempelvis tillåtet att skicka sms till patienter med en kallelse. Dock uppställs två andra krav för att sms:et ska vara lagligt: patientens samtycke och att sms:et inte avslöjar något om individens hälsa eller personliga förhållanden.
I journalföringen, är det något man behöver tänka på när man behandlar personuppgifter?
Man kan inleda med att säga att definitionen av journalhandling är väldigt bred vilket medför att informationen som inkommer i ett samtal med en patient troligen utgör något som bör inkluderas i dennes journal om det är av relevans för vården. Men hur är det med uppgifter om andra? Är det olagligt att addera till en patients journal? Nej, det är inte olagligt, men huvudregeln är att man ska undvika att skriva en massa information om andra i journalen. Detta då en menprövning blir väldigt komplex om man har mycket information om andra i journalen.
|
"Definitionen av journalhandling är väldigt bred vilket medför att informationen som inkommer i ett samtal med en patient troligen utgör något som bör inkluderas i dennes journal om det är av relevans för vården."
|
 |
Däremot finns givetvis undantag och ibland kan det vara nödvändigt att det framgår att den här informationen t.ex. har kommit från just patientens sambo eller vårdnadshavare. Så det är en huvudregel med undantag.
Har du något exempel på vanliga misstag som kan hända när det gäller personuppgiftshantering inom hälso- och sjukvården?
Spännande fråga! Jag har faktiskt en topplista på vanligaste misstagen inom denna sektor kopplat till dataskydd som jag samlat på mig genom åren.
Några exempel är:
1. Hantering av personuppgifter i digitala vårdverktyg sker på ett sätt som riskerar att försämra skyddet för individer med skyddad ID. Beror b.la. på att man kan ha missat att beakta detta perspektiv vid implementeringen.
2. Verksamheter har alltför breda åtkomsttilldelningar vilket gör att personer som inte ens behöver åtkomst till vissa data har det. Särskilt vanligt att personal fått en bredare åtkomst under sommaren men att man glömmer att ta bort behörigheten efter sommaren när personen återvänt till sina vanliga arbetsuppgifter.
3. Väldigt många missar att en avvikelse kan vara en samtida personuppgiftsincident. Det saknas idag strukturer inom många verksamheter att identifiera och sedermera hantera personuppgiftsincidenter korrekt. Ett stort antal avvikelser fastnar därför i avvikelsehanteringssystem. Mitt starka tips här är att blicka bakåt tre månader i er verksamhet och de avvikelser ni haft. Stolpa kortfattat ner vad som skett utan att ange några personuppgifter. Om ni har någon med kompetens inom dataskydd låt de kika på dessa händelser och bedöma om ni missat personuppgiftsincidenter. Upptäcker ni incidenter i ert avvikelsehanteringssystem, då vet ni att ni har något att jobba med. Brister kopplat till GDPR medför risk för höga sanktionsavgifter så viktigt att göra rätt även av denna anledning.
Hur påverkar de nya digitala vårdtjänsterna lagstiftningen?
Vad som märks tydligt när man med juridiska ögon kikar på denna utveckling är hur långt efter lagstiftningen ligger. Det behövs nya regelverk och styrande dokument. Risken är annars att verksamheter i avsaknad av stöd i regelverket alternativt vid oklarhet, väljer att tolka regelverken på egen hand vilket riskerar att påverka patientens och omsorgstagarens säkerhet och integritetsskydd.
Om en myndighet, till exempel Försäkringskassan, ber att man ska lämna ut uppgifter om en person, är man då skyldig att göra det?
I 10 kap. 2 § OSL finns en sekretessbrytande bestämmelse som säger att sekretess inte hindrar att en uppgift lämnas till en myndighet om det är nödvändigt för att den mottagande myndigheten ska kunna fullgöra sin verksamhet. I 110 kap. Socialförsäkringsbalken finns bestämmelser om Försäkringskassans utredning av ärenden. Där framgår bland annat att Försäkringskassan ska utreda ärendet i den utsträckning som ärendets beskaffenhet kräver och att Försäkringskassan har rätt att begära uppgifter från läkare.
 |
"Det är Försäkringskassan som bedömer i vilken utsträckning journaluppgifterna behövs i deras utredning."
|
Det är Försäkringskassan som bedömer i vilken utsträckning journaluppgifterna behövs i deras utredning. Även om Försäkringskassan tidigare har fått kritik från JO för att begära in för mycket uppgifter är det inte vårdgivaren som ska bedöma om begäran omfattar för många uppgifter. Offentliga vårdgivare är därför skyldiga att lämna ut de uppgifter som Försäkringskassan begär.
Är det några nyheter på gång inom dataskyddvara en för IMR:s konsultverksamhet. IMR:s jurister anlitas också frekvent för att tala på utbildningsdagar, konferenser m.m. Vi håller även utbildningar i egen regi i våra utbildningslokaler i Gamla stan. IMR har även en förlagsverksamhet.
Under hösten lanserar vi en spännande tjänst för alla som jobbar inom vård och omsorg. Så håll utkik!
 |
Andrea Hemming, jurist, Institutet för Andrea är jurist med specialisering på medicinsk rätt och dataskydd. Hon har bred erfarenhet av att stötta vårdgivare och personal inom hälso- och sjukvården med juridiken. Andrea håller kontinuerligt kurser för vården, och är en väl anlitad föreläsare.
|
Vi på SIFU tackar dig, Andrea, för dina förklaringar. Vi hoppas att detta ska vara till hjälp för många, som hanterar uppgifter om brukare och patienter!
Välkommen till någon av våra kurser och konferenser framöver, för att lära dig mera inom hälsa, vård och omsorg, ledarskap och projektledning, inköp och ekonomi m.mm.!