Nyhetsarkiv

Rätt eller fel? Så undviker du att hamna i knipa

Bryter dagens röntgenronder mot lagen om inre sekretess eftersom inte alla närvarande deltar i den direkta vården av patienten?
• Pål Resare, jurist på Socialstyrelsen:
– Rondverksamhet är exempel på en arbetsmodell där det går runt ett antal läkare och sjuksköterskor som förväntas bidra på något vis i den vård som ska ges. För dem som deltar är det att likställa med att delta i ett teamarbete. Sedan är det upp till den som ansvarar för ronden att se till att inga obehöriga är med och se till att nödvändiga uppgifter från ronden antecknas i patientens journal.
• Anna Åberg, SKL: Min personliga åsikt är att om man arbetar i team och är med vid ronden så får man anses delta i vården av patienten.
• Magnus Bergström, Datainspektionen:
– Inte en fråga för oss.

I dag är det inte ovanligt att journalen projiceras på väggen under röntgenronder. Bryter det mot lagen?

• Pål Resare, Socialstyrelsen:
– Nej, men man ska inte visa bilder där folk som inte är inblandade i vården har tillträde. Kommer man in i lokalen och är obehörig har man ett personligt ansvar att inte titta på samma sätt som att man inte har rätt att tjuvtitta i andra läkares journaler.
• Magnus Bergström, Datainspektionen:
– Det är en behörighetsfråga som ligger utanför vårt område. Det är en fråga för Socialstyrelsen.

Om en patient söker för exempelvis ont i tån, har läkaren då rätt att läsa andra klinikers journalanteckningar utan att fråga patienten, för att utröna om patienten:
– är allergisk för något?
– har något som tyder på portvinstå, till exempel njursten eller alkoholism?
– läsa på för att få bakgrundsinformation lite i största allmänhet?
• Britt Lagerlund, ledamot i SKL:s arbetsgrupp ”Patientdatalagen i praktiken” som ska föreslå SKL:s nationella riktlinjer.
– Svaret är ja på alla frågorna om uppgifterna är ändamålsenliga för läkarens behandling av patienten och klinikerna tillhör samma vårdgivare. En förutsättning är förstås att patienten inte spärrat uppgifterna, eller att vårdgivaren begränsat läkarens behörighet till någon vårdenhet.
• Camilla Ziegler, chefsjurist på Region Skåne:
– Uppfattningen att det skulle vara nödvändigt att få patientens tillstånd först för att få inhämta uppgifter utanför den egna kliniken är totalt felaktig om syftet är ändamålsenligt och informationen finns hos läkarens vårdgivare.

I Skåne är Region Skåne vårdgivare för alla landstingsanställda läkare idag och därmed ett enda sekretessområde, så det är helt tillåtet för en ortoped i Ängelholm att gå in i patientens journal på medicinkliniken i Helsingborg eller en vårdcentral i Sjöbo utan att först fråga patienten, såvida patienten inte spärrat sin journal på medicinkliniken eller vårdcentralen i Sjöbo.
• Magnus Bergström, IT-säkerhetsspecialist
på Datainspektionen:
– Frågor om vad som är en arbetsuppgift och hur vården ska bedrivas lägger vi oss inte i. Däremot kräver vi att det ska finnas informationssäkerhetssystem. Läkaren ska till exempel inte få se allt med en gång i en journal från en annan vårdenhet utan att tvingas att göra aktiva val. Det ska framgå om patienter spärrat informationen, det ska finnas system för att utdela behörigheter till personalen och system för att kontrollera inloggningar.
• Pål Resare, Socialstyrelsen:
– Om det är en vårdgivare som har flera olika kliniker eller motsvarande inom sin verksamhet och uppgifterna inte är spärrade, så får läkaren ta del av uppgifterna, såvida de behövs för att ge den aktuella vården.
• Sjukhusläkarens kommentar: Patientdatalagen ger inte patienterma rätten till journalen, den tillhör fortfarande vårdgivaren. Patientdatalagen ger patienterna rätt att spärra journaluppgifter hos andra vårdenheter och andra vårdprocesser inom en och samma vårdgivare, men inte på den klinik där patienten behandlas.

Vad är syftet med patientdatalagen?

• Så skriver regeringen på Socialdepartementets hemsida:
Den nya lagen ska göra det möjligt för vårdpersonal och patient att få en samlad bild av patientens vårdhistorik, oavsett hur många eller vilka vårdgivare patienten har.
• Så står det i patientdatalagen §2:
Informationshantering inom hälso- och sjukvården ska vara organiserad så att den tillgodoser patientsäkerhet och god kvalitet samt främjar kostnadseffektivitet. Personuppgifter ska utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras.

Kan man som läkare gå in och läsa sin egen journal?
• Pål Resare; Socialstyrelsen:
– Nej, när läkaren är patient gäller samma regler som för alla andra patienter.

Kan en senior läkare med stort ansvar och kunnande gå in i en journal för att kontrollera vad yngre oerfarna läkare gjort, vid exempelvis en operation där den seniora läkaren inte var närvarande.
• Pål Resare, Socialstyrelsen:
– Läkaren bör be att få ett formellt uppdrag från verksamhetschefen, med ett sådant uppdrag skulle han bättre kunna bidra till att systematiskt utveckla kvaliteten på kliniken. Det är verksamhetschefen som bestämmer hur en uppföljning ska gå till.
• Camilla Ziegler, chefsjurist i Region Skåne:
– Läkaren bör gå till verksamhetschfen och få ett specificerat uppdrag, eftersom det är verksamhetschefen som bestämmer läkarens uppdrag och arbetsuppgifter.

Bryter dagens morgonmöten på klinikerna där personuppgifter röjs mot lagen? Vid mötena är många läkare närvarande som då får reda på uppgifter om patienter som de inte deltar i vården av.
• Pål Resare, Socialstyrelsen:
– Morgonmöten är okey. De är att likna vid ronder. De är en del i det vardagliga kliniska arbetet som hälso- och sjukvårdspersonalen behöver delta i för att få kunskap om inneliggande patienter vårdbehov. På så vis kan man säga att alla som deltar på morgonmötet är delaktiga i vården, även kandidater. Om det skulle vara en ren utbildningssituation så måste patientuppgiftena avidentifieras.
• Magnus Bergström, Datainspektionen:
– Inte en fråga för datainspektionen.

Min granne ber om hjälp med ett recept. Får jag gå in i journalen och läsa på om grannen innan jag skriver ut receptet?
• Pål Resare, Socialstyrelsen: – Ja, grannen är som vilken patient som helst, men läkaren får bara ta del av de uppgifter som är nödvändiga för att kunna skriva ut receptet.

Vad har patienten rätt att läsa i journalen om patienten vänder sig till sjukhuset eller annan sjukvårdsinrättning?
• Pål Resare, Socialstyrelsen:
– I princip allting, men först efter att det gjorts en ”sekretssprövning”.
• Anna Åberg, SKL: Som huvudregel har patienten
rätt att läsa hela journalen, såvida inget ska skyddas av sekretess-skäl.

Vilken rätt har patienten att få direktåtkomst till sin egen journal via Internet?
• Pål Resare, Socialstyrelsen:
– Först och främst är det frivilligt för vårdgivaren att åstadkomma en sådan uppkoppling. Det inte frågan om en online direktåtkomst, utan det måste vara en viss fördröjning i åtkomst till uppgifter som är skyddade av sekretess eller tystnadsplikt för det ska ske en förhandsgranskning först. Det är vårdgivaren som bestämmer vad som ska lämnas ut via direktåtkomst så det kan bli lite olika mellan olika vårdgivare.
• Anna Åberg, SKL:
– Patienten har ingen rätt att få direktåtkomst till journalen enligt lagen, men vårdgivaren har möjlighet att medge det.
• Magnus Bergström, Datainspektionen:
– Ingen, men om vårdgivaren medger det så säger lagstiftningen och Socialstyrelsens föreskrifter att åtkomsten måste föregås av stark autentisering till exempel e-legitimation och så ska uppgifterna krypteras vid överföringen.

Kan patienten kräva att få se vem som varit inne i journalen?
• Sjukhusläkaren: Nej, det finns ingen skyldighet i lagen att lämna ut vem som varit inne i journalen. Lagen säger att det av logguppgifterna ska framgå från vilken vårdenhet och vid vilken tidpunkt någon varit inne journalen.
Informationen ska vara utformad så att patienten kan göra en bedömning om inloggningen varit befogad eller inte, men lagen kräver inte att vårdgivaren lämnar ut vem som varit inne i journalen.
Patienten kan dock begära att få reda på det med stöd av tryckfrihetsförordningen om det är en offentlig vårdgivare, exempelvis landstinget, eftersom logglistorna är allmänna handlingar.
När det gäller privata vårdgivare har patienten inte den möjligheten. Vårdgivaren, exempelvis ett landsting, kan emellertid själv bestämma att lämna ut vem som varit inne i journalen om patienten vill se loggen.
SKL kommer troligtvis att rekommendera landsting och kommuner det.

Kan patienten överklaga om patienten inte får ut alla uppgifter via Internet?
•Pål Resare, Socialstyrelsen:
– Ja, på samma sätt som om man begär att få ut en journal och inte får det men först bör man vända sig till vårdgivaren och begära att få ut uppgifterna på vanligt sätt, så kan man överklaga till länsrätten. För att kunna överklaga ska man också begära att få ett beslut från vårdgivaren på samma sätt som tidigare.
• Anna Åberg, SKL: Inte som jag ser det eftersom detta är frivilligt från landstingets sida.
• Magnus Bergsgtröm, Datainspektionen:
– Det finns ingen skyldighet.för vårdgivaren att lämna ut uppgifter elektroniskt. Det räcker för vårdgivaren att svara: Här medger vi inte åtkomst via Internet. Punkt. Men patienten kan ju alltid kräva att få läsa journalen på papper som vanligt.

Får man läsa på om patienter som ligger inne på avdelning inför ett nattjourspass?

• Pål Resare, Socialstyrelsen:
– Ja. Hälso- och sjukvårdspersonalen behöver skapa sig en uppfattning om vilka patienter som de ska ha ansvar för över natten för att kunna vidta nödvändiga vårdåtgärder.
• Anna Åberg, SKL: Ja, om man deltar i vården av patienterna.
• Magnus Bergström, Datainspektionen:
– Inte en fråga för datainspektionen.

Hur långt in i patientjournalen får man i så fall läsa?
• Pål Resare, Socialstyrelsen:
– Läkaren får läsa allt som har relevans för den aktuella behandlingen.

Vid ett jourpass på akuten undersöker läkaren en patient som läkaren inte minns efternamnet på dagen därpå när läkaren vill göra en uppföljning. Kan läkarens söka på Elsa född 1924 och titta i alla journaler där patienten heter Elsa och är född 1924 för att hitta sin patient.
• Pål Resare, Socialstyrelsen:
– Nej, man måste ha klarare uppgifter när man ska söka. I det här fallet bör läkaren kanske kontakta akuten igen och höra om någon har mer precisa uppgifter innan läkaren börja söka.

Jag får allt oftare mail från mina patienter med frågor om allt från att de vill boka en ny tid till att de vill ha svar om diagnoser och undersökningsresultat? Vi har inget speciellt IT-system för detta, men jag skulle gärna vilja svara mina patienter på deras frågor. Är det okey?
• Magnus Bergström, Datainspektionen:
Det finns inget förbud mot e-post om man vidtar rätt säkerhetsåtgärder, men det är besvärligt och tekniskt mycket komplicerat att använda e-post och leva upp till säkerhetskraven. Problemet är att e-postprotokollet inte innehåller några säkerhetsmekanismer som gör att man vet vem som läser mailet och var.
Det är svårt att garantera att det vid överföringen inte hamnar hos någon obehörig. Om man skickar till någon annan än patienten kan patientsekretessen åsidosättas. Man får svara, men då måste svaret kryperas och då måste patienten ha en kryptoprogramvara och ge nyckeln till läkaren. Ett enklare alternativ är en portallösning.

Hur stor är risken att läkaren kommer att drunkna i informationssamtal och administration, eftersom vårdgivaren enligt lagen har skyldighet att informera patienterna om deras rätt att spärra uppgifter?

• Britt Lagerlund, informationssäkerhetsschef och personuppgiftsombud i Region Skåne:
– Jag tror att informationen om att man har sammanhållen journalföring kommer att ske med informationsbroschyrer eller anslagstavlor.
Problemet med dem är att samarbetena med andra vårdgivare förändras, så det mest hållbara kanske blir anslagstavlor till en förteckning på webbsidor där det aktuella läget framgår med vilka man har sammanhållen journalföring och vad som ingår. Jag tror inte att det kommer att bli något som läkaren behöver diskutera med patienterna vid varje läkarbesök, men tar patienten upp frågan om spärrar så måste såklart läkaren svara på frågorma.
• Sjukhusläkarens kommentar:
Patienten har enligt lagen möjlighet att vid varje vårdepisod spärra journalhandlingar för andra vårdgivare, men lagen är konstruerad som en opt-out-möjlighet. Säger patienten inte uttryckligen att han eller hon vill spärra journaluppgifter så anses patienten ha givit ett tyst samtycke.
Patienten måste dock på något sätt informeras av vårdgivaren om rätten att spärra journaluppgifter.
I propositionen till patientdatalagen skriver regeringen att det inte generellt kan anges hur informationen ska lämnas till patienten, men att regeringen förutsätter att hälso- och sjukvårdens aktörer hittar lämpliga former.

Jag har hört att patientdatalagen innebär att patienter kan spärra journalen – kan ni utveckla det?
• Sjukhusläkaren: Patientdatalagen kan
liknas vid ett mynt med två sidor.
Samtidigt som lagen ger hälso- och sjukvårdspersonalen utökade möjligheter att komma åt patienternas hela vårdhistorik med den nya IT-teknologin så får patienterna också fler möjligheter att spärra journaluppgifter om de så önskar av integritetsskäl.

En patient har enligt den nya lagen tre möjligheter att spärra journaluppgifter.
1. Patienten kan spärra hela journalen eller delar av den när det gäller sammanhållen journalföring, det vill säga att uppgifter inte får lämnas ut från en vårdgivare till en annan.
2. Patienten kan enligt paragrafen om inre sekretess i patientdatalagen spärra journaluppgifter mellan vårdenheter hos en och samma vårdgivare.
En vårdenhet är enligt Socialstyrelsens definition en enhet som bedriver hälso- och sjukvård. Enligt lagen bestämmer vårdgivarna själva hur de vill organisera sig och hur de definierar en vårdenhet. Definitionerna kan vara olika, men en defintion måste alla vårdgivare göra.
I Region Skåne har man gjort ett tillägg till Socialstyrelsens definition, som är densamma som SKL:s nationella grupp föreslår och det är att lägga till att en vårdenhet är en enhet som bedriver hälso- och sjukvård och som har en verksamhetschef eller motsvarande. Det innebär att en vårdenhet kan vara allt från flera sammanslagna kliniker med många hundra anställda till en liten klinik med endast en handfull anställda.
3. Patienten kan enligt lagen också spärra journaluppgifter mellan olika vårdprocesser.

Kan en läkare ta del av patientuppgifter även om de är spärrade?
• Sjukhusläkaren: Ja, om patienten samtycker vid vårdtillfället eller om det vid en nödsituation inte går att få patientens samtycke och informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver.Vad som är oundgängligt kommer att få fastställas i praxis av Socialstyrelsen, men förarbetena till lagen talar om livsfara eller att patienten riskerar att invalidiseras.
• Magnus Bergström, Datainspektionen: Här bör man observera att det står att det är tillåtet att inhämta uppgifterna om de KAN ANTAS ha betydelse för den vård som patienten oundgängligen behöver. Det kanske visar sig att uppgifterna inte behövdes, men det är viktigt att hälso- och sjukvårdspersonalen inte av rädsla att göra fel låter bli att inhämta uppgifter som de tror är nödvändiga för oundgänglig vård. Har personalen en rimlig förklaring så begår de inget fel enligt min bedömning.

Hur ska läkaren agera om läkaren behöver komma åt spärrade uppgifter?
• Sjukhusläkaren: I det första skedet ska läkaren få ett meddelande att det finns spärrade uppgifter. Om läkaren då gör ett aktivt val att gå vidare får han eller hon besked om hos vilken vårdgivare de spärrade uppgifterna finns. Av det ska läkaren göra ytterligare ett aktiv val om han eller hon kan tänkas behöver uppgifterna från just den vårdgivaren.
Om läkaren anser att uppgifterna kan behövas ska han eller hon begära att vårdgivaren som spärrat uppgifterna häver spärren.

Om jag remitterat en patient – har jag då rätt att gå in i journalen och se hur patienten blev handlagd?
• Pål Resare, Socialstyrelsen:
– Det ska inte göras på eget bevåg utan enligt fastlagda rutiner. Verksamhetschefen har enligt Socialstyrelsens föreskrifter om ansvar för remisser för patienter ansvar för att göra upp rutiner hur det här ska gå till så att man har en viss kontroll av de patienter som remitterats till andra verksamheter.

Vid sökningar efter patient är det inte ovanligt att man kommer fel eftersom det till och från är nödvändigt och viktigt att söka med ofullständiga uppgifter. Hur ska man agera för att inte begå lagbrott?
• Pål Resare, Socialstyrelsen: Det är inte lätt att svara på det, men när man kontrollerar en logg så ser man ju hur länge patienten varit inne i journalen. Var det inte läkarens patient bör läkaren märka det ganska snabbt.

Hur mycket ansvar har min verksamhetschef?

• Sjukhusläkaren: Det gäller att skaffa sig en bra verksamhetschef för verksamhetschefen har tilldelats stort ansvar i patientdatalagen.
Verksamhetscherfen ska inte bara ansvara för att det finns säkerhetssystem med ändamålsenliga behörigheter och loggar utan verksamhetschefen ska också enligt Socialstyrelsens föreskrifter ta fram och fastställa rutiner för hur det systematiska kvalitetsarbetet kontinuerligt ska bedrivas och följas upp. Verksamhetschefen ska också formulera mål och se till att de nås. Det hänger även på verksamhetschefen att informera personalen om vad som gäller.

Särskilt läkare under vidareutbildning, AT-ST, men även behandlande läkare söker efter information om de patienter de handlagt till exempel via akuten. När upphör en vårdrelation?
• Pål Resare, Socialstyrelsen:
– Det är tillåtet så länge som man fortfarande har en vårdrelation till patienten eller har vårdgivarens uppdrag att följa upp sina patienter. Vårdrelationen upphör när man inte längre är inblandad i vården av den aktuella patienten eller/och inte har några kvarvarande arbetsuppgifter att utföra i anslutning till vården.

Jag arbetar som ortoped och har hört att det ska gå att komma åt journaluppgifter elektroniskt från alla kliniker i mitt landsting. Hur ska det fungera? Är det fritt fram eller finns det begränsningar?
• Sjukhusläkaren: Det är inte fritt fram. Förutsättningen är att landstinget har ett fungerande säkerhetssystem och bland annat utdelat behörigheter till de anställda där var och en inte fått mer behörighet än vad man behöver föra att fullgöra sina arbetsuppgifter.
Det ska också finnas ett system som tvingar dig att göra aktiva val.
Datainspektionen tillåter inte att du som ortoped, när du loggar in på patientens journal på medicnikliniken, får se all information om patienten i det första skedet.
Journalsystemet måste vara uppbygt i skikt så att du kan göra aktiva val om vad du anser dig behöva veta.
Dessutom har vårdgivaren ansvar att det finns ett system som kan kontrollera dina inloggningar.
Men finns dessa säkerhetssystem är det rätt att du kan hämta uppgifter om din patient elektroniskt hos andra vårdenheter hos den vårdgivare där du arbetar om du behöver uppgifterna i jobbet och patienten inte spärrat dem.

Om patienten säger till en enskild läkare att han eller hon vill spärra uppgifter är det då läkarens skyldighet att göra det omedelbart?
• Britt Lagerlund, SKL:
– Ja.

Vem ska ta diskussionen med patienten om konsekvenserna?
• Britt Lagerlund, SKL:
Det kan jag inte svara på. Ansvaret för rutinerna ligger på verksamhetschefen.

Till vem ska patienten vända sig för att få informationen spärrad?

• Britt Lagerlund, SKL:
– I första hand till den enhet där man varit eftersom det idag saknas färdiga rutiner för att uppfylla kraven, men i framtiden ska patienten inte behöva gå till alla enheter separat och begära spärrar utan patienten måste kunna vända sig centralt till Region Skåne i vårt fall. Men det är en stor utmaning och det krävs mycket utvecklingsarbete i verksamheten för att både dra nytta av möjligheterna och kunna uppfylla kraven i patientdatalagen.

Vad menas med inre sekretess?
• Sjukhusläkaren: Med inre sekretess menas vanligen att personalen inom en verksamhet inte får – muntligen eller på något annat sätt – lämna ut uppgifter som omfattas av sekretess till sina arbetskamrater.
Den enskilde läkaren har dessutom enligt lagen ett personligt ansvar som innebär att läkaren måste se till att andra inte kommer åt uppgifter om hans eller hennes patienter, vilket exempelvis innebär att läkaren ska logga ut sin dator då den lämnas obevakad och att inte själv försöka tillskansa sig uppgifter om personer som läkaren inte behöver för sitt eget arbete.

Tandvården har ett utmärkt system med sms-påminnelser. Skulle det kunna fungera inom hälso- och sjukvården?
• Magnus Bergström, Datainspektionen:
– På hälso- och sjukvårdens område innebär det juridiskt att det sker hantering av patientuppgifter över öppna nät. Såsom regelverket är utformat idag, så finns det inga möjligheter till säkerhetsåtgärder i sms och bör därför inte användas.

Vad är det för skillnad på vårdgivare och vårdenhet?
Sjukhusläkaren: En vårdgivare är en statlig myndighet, landsting, kommun eller annan juridisk person (privat vårdgivare) som bedriver hälso- och sjukvård.
Vårdgivaren bestämmer själv hur organisationen ska se ut och hur många vårdenheter man vill ha. Det betyder att vårdenheter kan vara olika stora. En vårdenhet kan vara allt från flera kliniker med en och samma verksamhetschef till mycket små kliniker med en verksamhetschef.

Vad är ”sammanhållen journalföring” för något?
• Sjukhusläkaren: Det är ett elektroniskt system som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare.
Det innebär inte att vårdgivarna för en gemensam journal. Varje vårdgivare för sin egen journal. Läkaren har inte heller rätt att skriva i den andre vårdgivarens journal.
Sammanhållen journalföring är frivillig. En vårdgivare väljer själv vilka andra vårdgivare man vill teckna avtal med om sammahållen journalföring och hur omfattande den ska vara.
Man kan sluta avtal om att ha sammanhållen journalföring om allt från all patientdokumentation till bara exempelvis labbresultat.
Idag ställer landstingen krav på privata vårdgivare vid upphandlingen att de ska medge sammanhållen journalföring med landstinget.

Vad menas med direktåtkomst. Det verkar som det betyder olika saker?
• Sjukhusläkaren: Du har helt rätt. Det har rått förvirring. Begreppet direktåtkomst har använts av olika myndigheter på olika sätt, men nu har man enats om att begreppet direktåtkomst ska användas då någon får elektronisk åtkomst till information hos en annan vårdgivare eller då patienten utifrån får direktåtkomst till journalen via nätet.
När du hämtar information inom din egen vårdgivare, exempelvis mellan två kliniker, ska det i fotsättningen kallas elektronisk åtkomst.
Se också
Patientdatalagen en rysare, eller rysligt bra?

Analyser, reportage, debatt och nyheter från sjukhusvärlden Vi ser till att hålla dig i händelsernas centrum

GDPR

Ur Sjukhusläkaren 2020-03

Hur kommer coronakrisen att påverka världen och sjukvården? Läkare experter och forskare ger sin syn på saken / Bill Gates förslag i talet från 2015 / Johan Giesecke: "Bill Gates underskattade de politiska svårigheterna" / Björn Olsen om beredskapen framtiden och vad som behöver göras / Intensivvårdsläkare berättar om månaderna som passerat / Debatt: "Coronakrisen – en möjlighet till framtida lärdomar?" / Krönika: "Det vi genomlever nu är resultatet av ett gigantiskt politiskt misslyckande"

Prenumerera