Presentation laddar. Vänta.

Presentation laddar. Vänta.

Patientdatalagen – i teori och praktik. Patientdatalagen •Inledning •Behörighetshantering (verksamhetschef) •Inre sekretessområdet •Sammanhållen journalföring.

Liknande presentationer


En presentation över ämnet: "Patientdatalagen – i teori och praktik. Patientdatalagen •Inledning •Behörighetshantering (verksamhetschef) •Inre sekretessområdet •Sammanhållen journalföring."— Presentationens avskrift:

1 Patientdatalagen – i teori och praktik

2 Patientdatalagen •Inledning •Behörighetshantering (verksamhetschef) •Inre sekretessområdet •Sammanhållen journalföring •Spärrar •Tillsyn •Vad behöver vårdgivarna göra •Vad är på gång inom juridiken •Samordnad vårdplanering och sammanhållen journalföring •Länkar

3 Patientdatalagen Möjliggör: -en informationshantering inom hälso- och sjukvården som kan tillgodose patientsäkerhet och god kvalitet och samtidigt främja kostnadseffektivitet. - att personuppgifter utformas och behandlas så att patienters och övriga registrerades integritet respekteras.

4 Allmänt  ersatte patientjournallag och vårdregisterlag 1 juli 2008, medförde några ändringar i sekretesslagen  gäller för alla vårdgivare oavsett huvudmannaskap  ramlagstiftning; anger vilka grundläggande principer som ska gälla för informations- hanteringen avseende uppgifter om patienter inom all hälso- och sjukvård. Förtydligas i SOSFS 2008:14

5 Statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvårdsverksamhet som myndigheten, landstinget eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet (privat vårdgivare ) Socialstyrelsens termbank Vårdgivare

6 Personal hos vårdgivarna har ofta en helt annan uppfattning de förknippar ofta vårdgivare med hälso- och sjukvårdspersonal, dvs. Syster Anna och Dr Ek är två olika vårdgivare Alla vet vad är vårdgivare är…

7 Styrning av behörigheter SOSFS 2008:14 2 kap. Ansvar för informationssäkerhet 6§ Vårdgivaren ska ansvara för att det i ledningssystemet finns rutiner som säkerställer att hälso- och sjukvårdspersonal och andra befattningshavares behörighet begränsas till vad som är nödvändigt för att ge en god och säker vård.

8 Vårdgivaren ska vidare ansvara för att varje användare tilldelas en individuell behörighet för åtkomst till patientuppgifter. Vårdgivarens beslut om tilldelning av behörighet ska föregås av en behovs- och riskanalys. Vårdgivaren ska även ansvara för att det finns rutiner för tilldelning, förändring, borttag och regelbunden uppföljning av behörigheterna. Styrning av behörigheter fortsättning

9 Riskanalys BeskrivningRisk värde Användare kommer åt information som de ej är berättigade till25 Utveckling av systemet (behörighet) går långsamt. (Vi kan inte systemet tillräckligt, behöver mer information, lära oss om tips & trix 25 Användare har vid/stor behörighet, frestas att läsa för mkt.25 För lite kunskap om vilka regler som gäller20 Saknas info om när personal slutar, så att behörigheterna kan tas bort 20 För mkt info som skickas ut, användarna läser inte20 Behörighet sedan tidigare som inte gäller på aktuell klinik16 Användare står kvar på en enhet/enheter som de ej har behörighet till. Slutat eller lång ledighet 16

10 Åtkomstkontroll – kontroll av loggar Vårdgivaren är skyldig att genomföra systematiska åtkomstkontroller i sina system, det vill säga kontinuerligt och enligt rutiner kontrollera att tillgång till patientuppgifter nyttjas enligt gällande regelverk. Även patienten ska ha möjlighet att få information om när och vilken vårdenhet som tagit del av hennes/hans information.

11 Inre sekretess dvs inom en vårdgivare 4 kap. 1 §...får ta del av journaluppgift endast om du deltar i vården av patienten eller av annat skäl behöver uppgifterna för arbetet inom hälso- och sjukvården.

12 Ändamål 1.Vård och behandling 2.Kvalitetssäkring 3.Administration 4.Upprättande av dokumentation som följer av lag, förordning eller annan författning 5.Framställning av statistik om hälso- och sjukvården 6.”Kvalitetsregister”

13 Journalhandling Framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel och som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder 1 kap. 3 § PDL

14 Sekretessområde utökas AB CD Tidigare lagstiftningEnl Patientdatalagen AB CD Myndigheter har sekretess mellan sig Ingen sekretess mellan ingående myndigheter

15 Sammanhållen journalföring Sammanhållen journalföring E E AB CD E E E F E E G AB CD Nämnd Bolag Privata Kommun E E G E E F E E E

16 Innebär att Vårdgivare får göra elektroniska patientjournaler tillgängliga för andra vårdgivare •Får användas endast för den individinriktade patientvården •Patienten kan motsätta sig att uppgifter görs tillgängliga för andra vårdgivare. Om en patient motsätter sig att andra uppgifter än (patient-id och vårdgivare) görs tillgängliga i en sammanhållen journalföring ska uppgifterna genast spärras. Vårdnadshavaren till barn kan inte spärra uppgifter om barnet. En patient kan när som helst begära att den vårdgivare som har spärrat uppgifterna häver spärren. Sammanhållen journalföring

17 Hälso- och sjukvårdspersonal får bereda sig tillgång till elektroniska patientjournaler hos andra vårdgivare om: • patienten samtycker • aktuell patientrelation föreligger och • uppgifterna kan antas ha betydelse för vården av patienten (eller vid intyg). Sammanhållen journalföring

18 reglerar ett visst sätt att göra patientdokumentation elektroniskt tillgängliga över organisatoriska och formella gränser utan föregående sekretessprövning i varje enskilt fall då direktåtkomsten används. Uppgifterna kan alltid begäras ut på annat sätt, varvid en sedvanlig sekretessprövning måste göras. Bestämmelserna om sammanhållen journalföring

19 Om det finns ospärrade uppgifter om en patient och det föreligger fara för dennes liv eller det annars föreligger allvarlig risk för dennes hälsa, får vårdgivaren, om patientens samtycke inte kan inhämtas, ta del av uppgift om vilken eller vilka vårdgivare som har gjort uppgifterna tillgängliga. Om vårdgivaren med ledning av denna uppgift bedömer att de ospärrade uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver, får vårdgivaren behandla de ospärrade uppgifterna. Sammanhållen journalföring

20 PDL för NPÖ? • NPÖ är ett ”verktyg” för att kunna ta del av en sammanhållen journalföring - dvs. det finns inget särskilt regelverk för PDL-NPÖ • SITHS-kort, Sjunet, HSA är enbart verktyg för att kunna ta del av informationen på ett korrekt och bra sätt

21 Definitioner Vårdgivare Sammanhållen Journal Vårdenhet En organisatorisk enhet som tillhandahåller hälso- och sjukvård och som leds av en verksamhetschef eller motsvarande. Statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvårdsverksamhet som myndigheten, landstinget eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet (privat vårdgivare) Vårdgivare anslutna till sammanhållen journalföring

22 patientuppgifter hos en vårdenhet eller inom en vårdprocess får inte göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vårdgivare, om patienten motsätter sig det. I sådana fall ska uppgifterna genast spärras. Vårdnadshavare till ett barn har dock inte rätt att spärra barnets uppgifter. Spärr i det inre sekretessområdet (inom en vårdgivare)

23 Spärr, i det inre sekretessområdet (inom en vårdgivare) När en patient sätter spärr på sin vårddokumentation på vård- enhet (klinik 4), innebär det att informationen inte kan nås från andra vårdenheter inom Vårdgivaren (klinik1, 2 och 3) Vårddokumentation Klinik Vårdgivare (organisation) Vårdenhet (klinik 1) Vårdenhet (klinik 2) Vårdenhet (klinik 3) Vårdenhet (klinik 4)

24 När kan spärr i det inre sekretess- området hävas? 1. patienten samtycker till det, eller 2. patientens samtycke inte kan inhämtas och informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver.

25 Hävning av spärr, i det inre sekretess- området (inom en vårdgivare) Vårddokumentation Klinik Sker i två steg: 1.Tillgång till information om vid vilken eller vid vilka enheter spärrad information finns 2. Bedömning om spärren/ spärrarna som ska hävas. Utförs av behörig befattningshavare

26 Om en patient motsätter sig, det får andra uppgifter om patienten än dem som anges i andra stycket inte göras tillgängliga för andra vårdgivare genom sammanhållen journalföring. Uppgift om att det finns spärrade uppgifter om en patient samt uppgift om vilken vårdgivare som har spärrat uppgifterna får göras tillgängliga för andra vårdgivare genom sammanhållen journalföring. Spärr i sammanhållen journalföring

27 När kan spärr i sammanhållen journalföring hävas? 1. patienten samtycker till det, eller 2. patientens samtycke inte kan inhämtas och det föreligger fara för dennes liv eller det annars föreligger allvarlig risk för dennes hälsa informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver. OBS! Endast den vårdgivare som spärrat informationen kan häva spärren!

28 Hävning av spärr i sammanhållen journalföring Sker i två steg: 1. Om det finns spärrade uppgifter om en patient och det föreligger fara för dennes liv eller det annars föreligger allvarlig risk för dennes hälsa får vårdgivaren ta del av uppgift om vilken eller vilka vårdgivare som har spärrade uppgifter. 2. Om vårdgivaren med ledning av denna uppgift bedömer att uppgifterna kan antas ha betydelse för den vård patienten oundgängligen behöver får vårdgivaren begära hos den vårdgivare som spärrat uppgifterna att denne häver spärren.

29 Det är aldrig möjligt i en sammanhållen journalföring att ta del av information som spärrats inom en vårdgivare. Spärr – inre följer med yttre om patienten sagt nej

30 Behörighets-/ loggningsmodellen Behörighetstilldelning och behörighetskontroll Den som tilldelar behörighet har ANSVAR System och administration för tilldelning och kontroll av behörighet Kontroll av loggar och behörighet Tillgång till information under eget ANSVAR System och administration för kontroll och uppföljning av loggar Begränsad tillgänglighet styrd av behörighet Fri tillgänglighet under ansvar Tillgänglighet Rapport nr 1 från SITHS-projektet

31 Behörighets- /Loggningsmodellen Behörighetstilldelning och behörighetskontroll Den som tilldelar behörighet har ANSVAR System och administration för tilldelning och kontroll av behörighet Kontroll av loggar och behörighet Tillgång till information under eget ANSVAR System och administration för kontroll och uppföljning av loggar Begränsad tillgänglighet styrd av behörighet Fri tillgänglighet under ansvar Tillgänglighet Rapport nr 1 från SITHS-projektet ”Det räcker inte att kontrollera loggar för att i efterhand konstatera eventuella intrång för att kraven i nuvarande lagstiftning skall vara uppfyllda.” (DI ) ”Det räcker inte att kontrollera loggar för att i efterhand konstatera eventuella intrång för att kraven i nuvarande lagstiftning skall vara uppfyllda.” (DI )

32 Tillsynsärenden DI och Socialstyrelsen – tillsyn under

33 DI 2008 nov

34 DI: Spärr & PDL ( ) •Datainspektionen planerar att skärpa tonläget mot landstingen. Myndigheten kommer att börja granska hur sjukvården klarar av att uppfylla lagens tvingande delar. Landsting som inte följer lagen riskerar vite, en åtgärd som inspektionen hittills har varit försiktig med att ta till. •Patienterna har rätt att begränsa elektronisk åtkomst och spärra uppgifter i sin journal. Kan de inte detta i dag så bryter sjukvården mot lagen. Det är en av de saker som vi kommer att titta på vid våra inspektioner nästa år, säger Patrik Sundström, jurist på Datainspektionen.

35 DI beslut Örebro läns landsting Datainspektionen konstaterar att Landstingsstyrelsen, Örebro läns landsting 1. i strid med 6 kap. 2 § 3 st. patientdatalagen tillgängliggör patientuppgifter för andra vårdgivare, samt 2. inte lever upp till kraven på behörighetsstyrning i 6 kap. 7 §, 4 kap. 2 § patientdatalagen och 2 kap. 6 § SOSFS 2008:14.

36 DI beslut Örebro läns landsting Datainspektionen förelägger Landstingsstyrelsen att 1. upphöra att tillgängliggöra patientuppgifter för andra vårdgivare till dess att berörda patienter fått information om vad den sammanhållna journalföringen innebär samt haft möjlighet att utnyttja sin rätt att motsätta sig tillgängliggörandet, samt

37 DI beslut Örebro läns landsting 2. ta fram rutiner och en teknisk funktionalitet som möjliggör att behörigheterna kan begränsas till vad som behövs för att användaren ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Härutöver bedömer Datainspektionen att Landstingsstyrelsen är personuppgiftsansvarig för tillgängliggörandet, inklusive mellanlagringen, av patientuppgifter som härrör från den egna verksamheten. Datainspektionen förutsätter därför att Landstingsstyrelsen klargör detta genom att vidta relevanta korrigeringar i anslutningsavtal och personuppgiftsbiträdesavtal avseende Inera AB och Tieto.

38 Beslut efter tillsyn: 1. strid med 6 kap. 3 § patientdatalagen låter s.k. ”underförstått samtycke” utgöra grund för direktåtkomst till patientuppgifter vid sammanhållen journalföring, samt * 2. inte lever upp till kraven på behörighetsstyrning i 6 kap. 7 §, 4 kap. 2 § patientdatalagen och 2 kap. 6 § SOSFS 2008:14. Datainspektionen förelägger Vård- och omsorgsnämnderna att 1. vidta åtgärder för att se till att direktåtkomst till uppgifter i den sammanhållna journalföringen, så länge det inte är fråga om sådan nödsituation som avses i 6 kap. 4 § patientdatalagen, föregås av ett frivilligt, särskilt och otvetydigt samtycke från patienten eller dennes legala ställföreträdare, samt DI beslut Örebro kommun och Attendo Care

39 2. ta fram rutiner och en teknisk funktionalitet som möjliggör att behörigheterna kan begränsas till vad som behövs för att användaren ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Vidare bedömer Datainspektionen att Vård- och omsorgs- nämnderna har förutsättningar att leva upp till kraven på åtkomstkontroll enligt 6 kap. 7 §, 4 kap. 3 § patientdatalagen och 2 kap. 11 § SOSFS 2008:14. Datainspektionen förutsätter dock att Vård- och omsorgsnämnderna utvärderar och kontinuerligt utvecklar logguppföljningarna för att uppnå en verkningsfull åtkomstkontroll i enlighet med kraven i 4 kap. 3 § patientdatalagen. DI beslut Örebro kommun och Attendo Care

40 Datainspektionen konstaterar att Bolaget: 1. inte lever upp till kravet vad gäller patientens rättighet att spärra uppgifter (PDL) 2. inte lever upp till kraven på behörighetsstyrning (PDL och SOSFS 2008:14) samt 3. inte lever upp till kraven rörande åtkomstkontroll (PDL och SOSFS 2008:14) genom att det inte av dokumentationen av åtkomsten (loggarna) framgår vilka åtgärder som har vidtagits med patientuppgifterna. DI:s beslut, Achima Care AB

41 När det gäller bristerna beträffande de tekniska funktionerna i journalsystemet, anser Datainspektionen att det är Landstinget Sörmland (Landstinget) som har reella möjligheter att åtgärda ovanstående brister. Datainspektionen kommer med anledning av detta att snarast inleda tillsyn mot Landstinget. DI:s beslut, Achima Care AB

42 Datainspektionen förelägger Styrelsen för Stockholms läns sjukvårdsområde (SLSO) att anpassa vårddokumentation som utgörs av Läkemedelslistan, Viktig Medicinsk Information (VMI) och journaluppgifter i e-arkiv enligt kraven i 4 kap. 4 § första stycket och 6 kap. 2 § första stycket patientdatalagen (2008:355), avseende patientens möjlighet att motsätta sig att personuppgifterna görs tillgängliga (spärras) dels inom SLSO:s verksamhet (inre sekretess), dels inom den sammanhållna journalföringen. DI:s beslut Styrelsen för SLSO (Stockholms läns sjukvårdsområde)

43 TC (TakeCare) Karolinska (mars 2012) •En användare i TC kan inte ta del av uppgift om att det finns ospärrade uppgifter om patienten, utan att samtidigt ta del av uppgift om vilken/vilka vårdgivare som har gjort uppgiften tillgänglig. •Vidare visas vilken/vilka vårdgivare som har ospärrade uppgifter innan ett samtycke till behandlingen av uppgifterna har inhämtats från patienten. •En användare inom ramen för den sammanhållna journalföringen i TC har, efter ett samtycke från patienten som registreras i journalsystemet, som utgångspunkt alltid direktåtkomst till ospärrade uppgifter hos alla vårdgivare som ingår i den sammanhållna •journalföringen.

44 DI granskar journalspärrar hos samtliga landsting (26 maj 2011) •Patienternas möjlighet att spärra uppgifter i sina journaler undersöks nu i en omfattande granskning av samtliga landsting och fem av de största privata vårdgivarna. •Enligt patientdatalagen har patienten rätt att spärra uppgifter från att lämnas ut dels mellan olika vårdenheter inom samma vårdgivare, dels mellan olika vårdgivare som använder sammanhållen journalföring för att utbyta uppgifter med varandra. •Vårdgivaren har en skyldighet att spärra patientens uppgifter i sitt journalsystem om patienten vill det. Vi har fått indikationer på att det ofta brister i hanteringen av dessa spärrar och det är därför som vi nu genomför den här granskningen, säger Datainspektionens projektledare Maria Bergdahl.

45 Granskning spärrar fortsättning… 23 nov 2011 kom information från DI att de ytterligare skärpt kraven, nu pratar man inte längre om journalsystem utan säger nu att: ”resultatet från den inledande granskningen indikerar att vårdgivarna har patientuppgifter i ett stort antal olika IT-system. Enligt lagen måste det finnas möjlighet att spärra uppgifter i samtliga IT-system som innehåller vårddokumentation 45

46 Ett nationellt framtaget material som finns tillgängligt sedan mars Se cehis.se/ sammanhållen journalföring Information om Sammanhållen journalföring

47 • Lanstinget i Uppsala, UAS • Karolinska Sjukhuset • Västerbottens Läns Landsting, NUS • Västra Götalandsregionen, SU • Landstinget Östergötland, Linköping US • Region Skåne, SuS Tillsyn Socialstyrelsen (SOSFS 2008:14)

48 •Informationssäkerhetspolicy saknas •Återrapportering från informationssäkerhetsansvarig till vårdgivare sker ej enligt gällande författning •Verksamhetschefernas uppdrag kring informationssäkerhet finns inte samlat och dokumenterat •Det finns brister vid överföring av patientuppgifter över öppna nät •Journalsystem klarar inte författningskrav avseende spärr Vilka brister ska åtgärdas enligt Socialstyrelsen ?

49 •Rutiner för systematisk uppföljning av behörigheter saknas •Rutiner för förändring och borttag av behörigheter saknas •Risk- och behovsanalys för tilldelning av behörigheter görs ej •Kontinuitetsplaner saknas •Tidplan för information om Sammanhållen journalföring saknas •Brister i drift-, utvecklings- och utbildningsrutiner Forts: Vilka brister ska åtgärdas enligt Socialstyrelsen?

50 Förändringar i verksamhet och teknik: •Kunna hantera information som går över öppna nät (kryptering och stark autentisering) •Ha en aktiv behörighetshantering •Tillgång till patientuppgifter ska ske på ett korrekt sätt - Inre sekretessområdet (aktiva val) - Sammanhållen journalföring (aktiva val) •Kontroll av åtkomst till patientuppgifter måste ske •Patientens rättigheter ska tillgodoses (loggar och möjlighet att begränsa vårdens tillgång till sin information genom att kunna sätta spärrar) Vad behöver vårdgivarna göra? 50

51 Stark Autentisering - Vem du är Behörighetsstyrning- Vad du får göra Åtkomstkontroll (logguppföljning) Uppföljning om du hade behov Patienten har rätt till loggutdrag Patientens möjlighet att begränsa vårdens tillgång till sin information genom spärrar och samtycke Krav från PDL Bild: Ulf Palmgren

52 Viktiga termer Vårdgivare Vårdenhet Verksamhetschef Uppdrag – vem, var och i vilket uppdrag För behörighetstilldelning och åtkomstkontroll

53 •Ha en informationssäkerhetspolicy och rutiner för att bedriva ett bra informationssäkerhetsarbete SOSFS 2011:9 skyldiga att ha ett ledningssystem för kvalitetsarbete (föreskrifterna ersatte vid årsskiftet SOSFS 2005:12 om ledningssystem för kvalitet och patientsäkerhet i hälso- och sjukvården). När man i 2008:14 säger ledningssystem är det detta ledningssystem som avses •Verksamhetschefernas uppdrag kring informationssäkerhet måste bli kommunicerat och känt •Personalen måste utbildas Vad behöver vårdgivarna göra?

54 ”En privat/extern utförare som har avtal med kommun eller landsting utgör en egen vårdgivare eftersom den har ett uppdrag som den självständigt utför inom den ram som kommunen eller landstinget satt upp.” Råd från AL-S okt 2011 Vem är vårdgivare när vård utförs av extern utförare?

55 Vårdenhet – att tänka på Avser en organisatorisk enhet som bedriver hälso- och sjukvård och som leds av en verksamhetschef eller motsvarande. Tänk på! - Att dela in verksamheten i vårdenheter är en förutsättning för att kunna leva upp till lagstiftarens krav. - I regel har de flesta vårdgivare flertalet vårdenheter. Endast de riktigt små kommunerna kan anses ha en enda vårdenhet. - Se över er verksamhet och försök identifiera vilka organisatoriska gränser och enheter som finns och som kan anses utgöra olika vårdenheter. - Personal kan arbeta vid flera vårdenheter och ska utifrån varje vårdenhet tilldelas medarbetaruppdrag.

56 Jourverksamhet Enheter som bedriver jourverksamhet och under jourtid hanterar många olika boenden/vårdenheter kan inte läggas upp som en egen vårdenhet för att kunna ge ett medarbetaretaruppdrag för den ingående personalen.

57 Verksamhetschef – vem? Begreppet verksamhetschef är i detta avseende den befattningshavare som enligt 29 § hälso- och sjukvårdslagen svarar för verksamheten. Det är alltså en funktion utpekad av lagstiftaren och inte att förväxla med en funktion som chef för en viss verksamhet. Verksamhetschefen har ett omfattande rättsligt ansvar bl.a. för att journalföringen sker på ett korrekt sätt, för att personalens behörigheter är korrekta och lagliga utifrån personalens behov och arbetsuppgifter samt för att kontroller av personalens åtkomst till patientuppgifter sker (loggkontroll).

58 Verksamhetschef forts Verksamhetschefen behöver dock inte vara den som själv utför dessa arbetsuppgifter, utan de kan delegeras till en befattningshavare med kompetens för saken. I kommunal hälso- och sjukvård kan det t.ex. vara den medicinskt ansvariga sjuksköterskan eller enhetschefer som ser till att personalens behörigheter är korrekta och ändamålsenliga.

59 Rätt person, rätt information rätt tillfälle Verksamhetschef ansvarar för: 1. att att utdelade behörigheter för åtkomst till patientuppgifter är ändamålsenliga och förenliga med hälso- och sjukvårdspersonalens och andra befattningshavares aktuella arbetsuppgifter 2. uppföljning av informationssystemens användning genom regelbunden kontroll av loggarna. - detta kräver information i logg om vem och i vilket uppdrag denne tog del av/uppdaterade information om en patient/person och vilket syftet (ändamålet) var med åtkomsten. SOSFS 2008:14

60 Patient uppgift Patient uppgift Patient uppgift Vårdgivare Andra Vårdenhet Egen Vårdenhet Sammanhållen Journal (SHJ) Andra Vårdgivare Personal Patientdatalagen 60 Bild: Ulf Palmgren

61 Patient uppgift Patient uppgift Patient uppgift Vårdgivare Andra Vårdenhet Egen Vårdenhet Behörighet Stark Autentisering Åtkomstkontroll (Loggning/Logguppföljning) Sammanhållen Journal (SHJ) Patient-/Vårdrelation Andra Vårdgivare Personal 61 Bild: Ulf Palmgren

62 Patient uppgift Patient uppgift Patient uppgift Vårdgivare Andra Vårdenhet Egen Vårdenhet Behörighet Stark Autentisering Åtkomstkontroll (Loggning/Logguppföljning) Sammanhållen Journal (SHJ) Patientens begärda spärrar Patient-/Vårdrelation Aktivt Val Vårdgivarens undantag Andra Vårdgivare Personal 62 Bild: Ulf Palmgren

63 Patient uppgift Patient uppgift Patient uppgift Vårdgivare Andra Vårdenhet Egen Vårdenhet Behörighet Stark Autentisering Åtkomstkontroll (Loggning/Logguppföljning) Sammanhållen Journal (SHJ) Patientens ställningstagande ( SHJ) Patientens begärda spärrar Patient-/Vårdrelation Patientens samtycke Aktivt Val Vårdgivarens undantag Andra Vårdgivare Personal med Medarbetaruppdrag Patientdatalagen Tillgänglig patient (TGP)

64 Aktuella juridiska frågor •Översyn av Socialstyrelsens föreskrifter 2008:14 •Patientrörlighetsdirektivet •John Assarsson ska lämna 30 juni 2012 förslag till hur Patientens ställning ska kunna stärkas genom lagstiftning, Patientmaktsutredningen •Dir 2011:111, kommittédirektiv sid 64

65 Dir 2011:111, kommittédirektiv Förbättrad tillgång till personuppgifter inom och mellan hälso- och sjukvården och socialtjänsten m.m Delbetänkande klart (HOSP) Slutbetänkande senast 1 dec 2012

66 Vad ingår i utredningen Bland annat: Tillgång till personuppgifter - behov av lagändringar för att behörig ska få ha tillgång till nödvändiga uppgifter för den aktuella behandlingen eller det aktuella stödet inom eller över organisatoriska gränser. Fokus ska ligga på grupperna äldre personer, personer med missbruk eller beroenden samt personer med psykisk sjukdom och funktionsnedsättning. •

67 Vad ingår i utredningen - Utlämnande av uppgifter om patienten till vårdgivare i andra länder (efter samtycke av patienten) -Icke beslutskompetenta – kan de ingå i SHJ - Hantering av personuppgifter vid verksamhetsövergång. - Analysera vilka nationella kontrollmekanismer som måste finnas för att nödvändiga säkerhets- och behörighetslösningar ska användas. -Se över möjligheter för den enskildes tillgång till sina personuppgifter (ehr/phr) -Analysera vilka åtgärder som ökar patientsäkerheten och stärker den enskildes faktiska möjligheter att utöva sin rätt att spärra hela eller delar av sin journal.

68 Vad ingår i utredningen Övrigt Utredaren är oförhindrad att ta upp frågor som inte nämns i dessa direktiv, men som utredaren anser behöver analyseras eller regleras för att utredaren ska kunna fullgöra sitt uppdrag på ett tillfredsställande sätt. Särskild utredare är Lena Lundgren, Hälso- och sjukvårdsdirektör i Östergötland. Förste sekreterare är Patrik Sundström, jurist SKL och Cehis

69 Tillgång till information över huvudmannagränser - kommun och landsting - För hälso- och sjukvård (styrs av hälso- och sjukvårdslagen) är utlämnande av information från en part till den andra parten vanligast, men system för sammanhållen journalföring (direktåtkomst) får användas. - För samordnad vårdplanering kan ALDRIG direktåtkomst och sammanhållen journalföring användas. Det får användas enbart för ändamålet vård och behandling. Samordnad vårdplanering innefattar även socialtjänst (Socialtjänstlagen) och då måste information utlämnas.

70 Personuppgiftsansvar vid sammanhållen journalföring •Den vårdgivare som gör patientuppgifter tillgängliga för andra vårdgivare är ansvarig för att det sker i enlighet med reglerna. •Den vårdgivare som bereder sig åtkomst till andra vårdgivares patientuppgifter är ansvarig för att förutsättningarna för den åtkomsten är uppfyllda. (Nyhet!)

71 Länkar Patientdatalagen: Föreskrifter och handbok (Socialstyrelsen) eringochjournalforing

72 Länkar Datainspektionen (FAQ om PdL): Dokumentarkiv Cehis (sök på säkerhetsarkitektur): HSA –behörighetsstyrning: ”Patriks utredning – direktiv 2011:111 ”

73 Kontaktpersoner


Ladda ner ppt "Patientdatalagen – i teori och praktik. Patientdatalagen •Inledning •Behörighetshantering (verksamhetschef) •Inre sekretessområdet •Sammanhållen journalföring."

Liknande presentationer


Google-annonser