meny

Patientdatalagen

Reglerna för behandling av personuppgifter inom hälso- och sjukvården samlas i patientdatalagen.

Reglerna för behandling av personuppgifter inom hälso- och sjukvården finns i patientdatalagen (2008:355), som när den trädde i kraft 2008 ersatte vårdregisterlagen och patientjournallagen. Patientdatalagen ska tillämpas av alla vårdgivare, både i offentlig och privat regi.

Patientdatalagen kompletterar dataskyddsförordningen

Dataskyddsförordningen är direkt tillämplig som svensk lag. Ni som vårdgivare måste alltså tillämpa dataskyddsförordningen och kan endast tillämpa den kompletterande dataskyddslagen och patientdatalagen om de är förenliga med dataskyddsförordningen.

Patientdatalagens förhållande till brottsdatalagen

Dataskyddsförordningen är inte tillämplig på behandling av personuppgifter som utförs i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Vid hälso- och sjukvårdens behandling av personuppgifter för ett sådant syfte är det inte patientdatalagen utan den kommande brottsdatalagen som ska tillämpas. Brottsdatalagen föreslås träda i kraft den 1 augusti 2018.

Det innebär att i verksamheter som bedriver hälso- och sjukvård och behandlar personuppgifter för verkställighet av påföljder kan olika regelverk bli tillämpliga beroende på syftet med personuppgiftsbehandlingen. Inom rättspsykiatrisk vård kan till exempel både patientdatalagen och brottsdatalagen bli tillämpliga vid beslut avseende både den rättspsykiatriska vården och tvångsåtgärder.

Patientdatalagen reglerar bland annat:

  • Vårdgivare har möjlighet att ge patienten direktåtkomst, exempelvis via internet, till patientens vårddokumentation och loggar (det vill säga åtkomsthistoriken för personuppgiftsbehandlingen).
  • Sammanhållen journalföring, vilket innebär att flera vårdgivare kan ge och få direktåtkomst till varandras journalhandlingar om de uppfyller patientdatalagens krav.
  • Inre sekretess – en reglering som innebär att bara den som behöver uppgifterna i sitt arbete inom hälso- och sjukvården får ta del av patientuppgifter. Detta förtydligas genom att det i lagen ställs krav på behörighetstilldelning och åtkomstkontroll.
  • Patienten har rätt att spärra uppgifter både i vårdgivarens journalsystem och för andra vårdgivare vid sammanhållen journalföring.

Patientdatalagen kompletteras med patientdataförordningen (2008:360) och Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40).

Patienten har rätt att få tillgång till sina uppgifter

Ni som vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som ni utför. Ni är skyldiga att föra patientjournal för varje patient och behandling av personuppgifter får göras även om patienten motsätter sig det. Patienten har emellertid rätt att ta del av uppgifter i patientjournalen.

Patientens möjlighet till tillgång genom direktåtkomst

En vårdgivare har möjlighet, men ingen skyldighet, att genom direktåtkomst låta patienten få tillgång till uppgifter om den enskilde själv som får lämnas ut till honom eller henne och som behandlas för ändamålet vårddokumentation. För att en patient ska kunna få direktåtkomst till sina patientuppgifter krävs att det finns säkerhetsåtgärder i form av tekniska lösningar för att kunna säkerställa identifieringen av den som efterfrågar uppgifter.

Vårdgivaren ska på begäran från patienten informera om den åtkomst till patientens uppgifter som förekommit. Patienten har dock bara rätt att på detta sätt få reda på vilken vårdenhet som haft åtkomst till uppgifterna och vid vilken tid, och informationen ska vara utformad så att patienten kan bedöma om åtkomsten var befogad eller inte. Vårdgivaren är skyldig att lämna ut informationen på papper och får ge patienten direktåtkomst till informationen om säkerhetskraven är uppfyllda på samma sätt som vid patientens direktåtkomst till egna journaluppgifter.

Bara behörig personal får ta del av sekretessuppgifter

Inre sekretess innebär att det endast är personal som är inblandad i vården och behandlingen av patienten, eller av annat skäl behöver uppgifterna för att fullgöra sitt arbete inom hälso- och sjukvården, som får ta del av uppgifter om patienten. Ni som vårdgivare ansvarar för att behörigheten för åtkomst till patientuppgifter begränsas till vad som behövs för att vårdpersonalen ska kunna utföra sina arbetsuppgifter inom hälso- och sjukvården. Den inre sekretessen ska upprätthållas genom tekniska lösningar för behörighetstilldelning och åtkomstkontroll.

Annan vårdgivares åtkomst genom sammanhållen journalföring

Sammanhållen journalföring innebär att en vårdgivare under vissa förutsättningar kan få åtkomst till personuppgifter som hanteras av andra vårdgivare för ändamål som rör vårddokumentation. Bestämmelser om sammanhållen journalföring finns i 6 kap. patientdatalagen.

Innan en vårdgivare gör uppgifterna tillgängliga genom sammanhåller journalföring ska patienten informeras om vad sammanhållen journalföring är, om möjligheten att motsätta sig att uppgifter görs tillgängliga för andra vårdgivare och vårdgivarens skyldighet att då spärra uppgifterna.

För att en vårdgivare ska kunna behandla uppgifter som en annan vårdgivare gjort tillgängliga i systemet för sammanhållen journalföring krävs det att:

  1. uppgifterna rör en patient som det finns en aktuell patientrelation med
  2. uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten inom hälso- och sjukvården, och
  3. patienten samtycker till det.

Om dessa förutsättningar är uppfyllda får användaren ta del av uppgifterna genom att göra ett aktivt val i journalsystemet. Det aktiva valet bekräftar att användaren bedömt att förutsättningarna är uppfyllda. En vårdgivare som får tillgång till uppgifter genom sammanhållen journalföring är personuppgiftsansvarig för den behandling av personuppgifter som sker i verksamheten och ansvarar för att uppgifterna hanteras enligt reglerna i patientdatalagen.

Vårdgivaren ansvarar då för att behörigheten för åtkomst till patientuppgifter begränsas till vad vårdpersonal behöver för att kunna utföra sina arbetsuppgifter inom hälso- och sjukvården, och för att uppföljning av loggar sker.

Endast vårdgivare får ta del av personuppgifter genom elektronisk åtkomst

Det är endast den som arbetar hos en vårdgivare och som deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete som får ta del av patientuppgifterna. Andra aktörer, exempelvis socialtjänsten, kan därmed inte ta del av en patients journaler genom sammanhållen journalföring.

Patienten har rätt att spärra uppgifter

Om en patient begär det ska samtliga uppgifter i vårddokumentationen spärras, vilket innebär att andra vårdgivare inte har någon direktåtkomst till dem. Det går emellertid inte att spärra själva informationen om att det finns spärrade uppgifter och vilken vårdgivare som har gjort spärren.

Den vårdgivare som har lagt in spärren ska häva den om patienten begär det. Om patienten inte kan häva spärren och det föreligger fara för dennes liv eller annars allvarlig risk för patientens hälsa kan den vårdgivare som behöver ta del av spärrade uppgifter om patienten genom ett aktivt val få information om vilka spärrade uppgifter som finns hos andra vårdgivare. Om uppgifter hos andra vårdgivare kan antas ha betydelse för den vård som patienten oundgängligen behöver får vårdgivaren genom ännu ett aktivt val begära att spärren hävs. Det är bara den vårdgivare som lagt spärren som kan häva den, och då endast för det enskilda tillfället och avseende de uppgifter som behövs för den vård patienten oundgängligen behöver.

Nationella och regionala kvalitetsregister

Inom hälso- och sjukvårdens finns kvalitetsregister som används för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Patientdatalagen innehåller regler om att patienten har rätt att få information om registreringen, rätt att slippa bli registrerad i ett kvalitetsregister och rätt att i efterhand stryka sig från registret.

Behandling av genetiska uppgifter i nationella kvalitetsregister

Information till myndigheter som är personuppgiftsansvariga - och deras anställda - för central behandling av personuppgifter i nationella och regionala kvalitetsregister enligt 7 kap. patientdatalagen (2008:355).

Datainspektionen redogör här för sin bedömning i vilka fall det behövs medgivande från Datainspektionen för genetiska uppgifter i kvalitetsregister.

Genetiska uppgifter

Genetiska uppgifter har i och med dataskyddsförordningen tillkommit till kategorin känsliga personuppgifter och de beskrivs som uppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga (artikel 4.13 dataskyddsförordningen).

Uppgifter om hälsa

Personuppgifter om hälsa innefattar alla de uppgifter som hänför sig till en registrerad persons hälsotillstånd som ger information om den registrerades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd och detta inbegriper bland annat uppgifter som härrör från tester eller undersökning av en kroppsdel eller kroppssubstans, däribland genetiska uppgifter och biologiska prov, och andra uppgifter om exempelvis sjukdom, funktionshinder, sjukdomsrisk, sjukdomshistoria, klinisk behandling eller den registrerades fysiologiska eller biomedicinska tillstånd, oberoende av källan, exempelvis från en läkare eller från annan sjukvårdspersonal, ett sjukhus, en medicinteknisk produkt eller ett diagnostiskt in vitro-test (skäl 35 dataskyddsförordningen).

Känsliga personuppgifter i kvalitetsregister

Uppgifter om hälsa får behandlas i nationella och regionala kvalitetsregister, andra känsliga personuppgifter får behandlas i kvalitetsregister efter medgivande från Datainspektionen, enligt 7 kap. 8 § tredje stycket patientdatalagen.

För att få behandla genetiska uppgifter i ett kvalitetsregister behövs därför som huvudregel ett medgivande från Datainspektionen.När genetiska uppgifter innefattas i uppgifter om en persons hälsotillstånd, är det Datainspektionens bedömning, att det inte krävs ett särskilt medgivande för att få behandla dessa uppgifter. Det innebär att den som är personuppgiftsansvarig för ett kvalitetsregister inte behöver ansöka om ett medgivande hos Datainspektionen för att få behandla genetiska uppgifter, om dessa uppgifter också är uppgifter om hälsa.

Dataskyddsförordningen är ett EU-gemensamt regelverk som ska tillämpas och tolkas enhetligt inom EU. Datainspektionens tolkning kan därför komma att omprövas.

Tillsyn

Datainspektionen har tillsyn över hur vårdgivarna tillämpar dataskyddsbestämmelser, vilket innebär att Datainspektionen till exempel kan kontrollera att vårdgivare vidtar säkerhetsåtgärder för att skydda patientuppgifterna. Inspektionen för vård och omsorg (IVO) är tillsynsmyndighet för hälso- och sjukvården.

Alla vårdgivare ska ha systematisk logguppföljning, vilket betyder att de ska logga aktiviteter i systemen där patientinformation behandlas. Systemen ska vara utformade för att kontrollera att bara personal som har rätt behörighet kommer åt patientuppgifter. Här följer en checklista som sammanfattar vad en vårdgivare bör tänka på när den ska utföra logguppföljning. Checklistan är en vägledning för att utveckla de rutiner och metoder som krävs för att säkerställa ett gott integritetsskydd. Checklistan baseras på patientdatalagen (2008:355) och Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40), samt på Datainspektionens tolkning av regelverket.

Checklista för systematisk logguppföljning

CheckInformera personalen

Informera personalen om att logguppföljning sker. Informera även om under vilka omständigheter personalen får ta del av patientuppgifter, om att personalen har ett eget ansvar att endast ta del av uppgifter som de behöver i arbetet och om vilka följderna av att olovligen ta del av patientuppgifter kan bli.

CheckKontrollera de tekniska förutsättningarna

Kontrollera att de tekniska förutsättningarna för åtkomstkontroll och vilka krav som ställs på loggarna i 4 kap. 9 § i HSLF-FS 2016:40. Av loggarna ska det framgå:

    • Vilka åtgärder som vidtagits med patientuppgifterna, till exempel om personal har läst, ändrat, lämnat ut, kopierat, upprättat eller skrivit ut vårddokumentation
    • Vid vilken vårdenhet åtgärderna har vidtagits
    • Vid vilken tidpunkt åtgärderna har vidtagits
    • Vem som har vidtagit åtgärder
    • Vilken patient åtgärderna avsåg

CheckTa fram rutiner för loggarna genom att bestämma urval och omfattning av loggposterna

Fastställ en skriftlig rutin för hur loggposterna följs upp och där urvalet av vilka loggposter som kontrolleras framgår. Det är till exempel lämpligt att kombinera systematik och viss slumpmässighet när loggposter väljs ut, och flera parametrar bör användas vid urvalet. Utred om det går att identifiera åtkomster där behörigheter skulle kunna användas på ett felaktigt sätt.

Man kan till exempel välja att kontrollera åtkomst:

    • Till en viss patients uppgifter
    • Som en viss anställd har haft
    • Som skett ett stort antal gånger avseende en viss patient
    • På avvikande tider på dygnet
    • Till skyddade personuppgifter
    • Till uppgifter om barn
    • Till uppgifter om allmänt kända personer
    • Till uppgifter från vissa mottagningar eller medicinska specialiteter
    • Där spärrar forcerats eller där åtkomst skett över vårdenhetsgränser eller mellan vårdprocesser

Rutinen ska beskriva omfattningen av logguppföljningen, det vill säga hur många loggposter ni ska kontrollera och med vilket tidsintervall. Eftersom det inte är enbart antalet loggposter som avgör kvaliteten finns det inget generellt svar på hur många loggposter som bör granskas vid varje tillfälle. Hänsyn måste tas till verksamhetens omfattning, antalet patienter och personal med behörighet och logguppföljningens urval och systematik.

Det finns också tekniska hjälpmedel som kan underlätta logguppföljningen, som exempelvis logganalysverktyg.

CheckDokumentera logguppföljningen och följ upp rutinen

Enligt Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40), ska logguppföljningarna dokumenteras. Dokumentationen bör utformas så att den kan utgöra ett underlag för att utvärdera rutinen för logguppföljning.