Sekretessbelagda uppgifter

SEKRETESS

Menprövning och presumtivt samtycke

Menprövning kallas det när man prövar om personuppgifter kan röjas utan att det är till men för den som uppgifterna rör eller dennes närstående. Huvudregeln är att en menprövning ska göras innan uppgifter om en patient får lämnas ut. Undantag från denna regel finns om uppgiftsskyldighet föreligger enligt lag eller informationsöverföring får ske på grund av särskild bestämmelse i offentlighets- och sekretesslagen. Prövningen bör göras av någon som har god överblick över den totala situationen. Undantag gäller som huvudregel om patienten samtycker till att uppgifterna lämnas ut. Det gäller dock inte om det finns uppgifter om annan person, till exempel anhörig, i journalen. Då måste vanlig menprövning göras.

Det är vanligtvis den för vården ansvarige läkaren eller omvårdnadsansvarig sjuksköterska som ansvarar för att menprövning har gjorts innan sekretessbelagda uppgifter lämnas ut. Varje vårdgivare är skyldig att ha rutiner för vem eller vilka som har rätt att på vårdgivarens uppdrag fatta ett beslut om utlämnande av patientuppgifter.

När man som personal informerar en patient om kommande vårdåtgärder, till exempel en remiss, och patienten inte protesterar, förutsätts att patienten har gett sitt samtycke till att nödvändigt journalmaterial överförs med remissen. Detta är ett exempel på så kallat presumtivt samtycke.

Offentlighets- och sekretesslagen gäller inte för enskilt bedriven hälso- och sjukvård. Här gäller istället bestämmelser om tystnadsplikt i patientsäkerhetslagen (se nedan).

Informationssäkerhet

Enligt Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården ska vårdgivarens ledningssystem innehålla en informationssäkerhetspolicy. Denna policy ska innehålla vårdgivarens övergripande mål för och inriktning på verksamhetens arbete med informationssäkerhet och ska syfta till att bland annat säkerställa personuppgifternas konfidentialitet, det vill säga att obehöriga inte ska kunna ta del av dokumenterade personuppgifter hos vårdgivaren. Se 3 kap. 2 § p. 3 och 4 §.

Överföring av sekretessbelagda uppgifter

När sekretessbelagd information ska meddelas vidare måste det ske på ett sådant sätt så att inte obehöriga kan ta del av informationen. Var särskilt aktsam när informationen ska överföras via så kallade öppna nät. Med öppna nät avses datornätverk som en enskild användare har tillgång till, exempelvis Internet och telenätet.

En vårdgivare som använder öppna nät vid behandling av personuppgifter är ansvarig dels för att överföring av uppgifterna görs på ett sådant sätt att inte obehöriga kan ta del av dem, och dels för att elektronisk åtkomst eller direktåtkomst till uppgifterna föregås av så kallad stark autentisering (det vill säga inloggningslösningar som ställer krav på att identiteten kontrolleras på minst två olika sätt, till exempel e-legitimation). Se 3 kap. 15 § i HSLF-FS 2016:40. Kravet på att överföringen av uppgifterna ska göras på ett sådant sätt att obehöriga inte kan få tillgång till dessa innebär i praktiken att uppgifterna måste vara krypterade eller annars överföras genom en krypterad förbindelse.

När det gäller överföring av påminnelser och kallelser till vård och behandling som riktar sig till patienter så får vårdgivaren under vissa förutsättningar besluta om undantag från kravet på kryptering. Det innebär att uppgifter om patienter i elektroniska påminnelser och kallelser som kommuniceras över öppna nätverk, exempelvis via sms eller e-post, inte behöver krypteras. Se 3 kap. 16 och 17 §§ i HSLF-FS 2016:40.

Förvaring av sekretessbelagda uppgifter

Dokument som innehåller sekretessbelagda uppgifter om patienter ska antingen förvaras under uppsikt eller vara inlåsta. För patientuppgifter som förs helt eller delvis automatiserat gäller att vårdgivaren ska säkerställa att informationssystem som används för behandling av personuppgifter skyddas fysiskt mot skada, störning och obehörig åtkomst (3 kap. 14 § i HSLF-FS 2016:40).

Till toppen av sidan