Stockholms läns landsting bryter mot lagen
Stockholms läns landsting bryter mot Offentlighets- och sekretesslagen när man rutinmässigt, utan individuella kontroller, lämnar ut namn på läkare med skyddade identiteter till patienter som begär ut logguppgifter om vem som varit inne i patientens journal.
Det beskedet ger Oskar Höllgren, biträdande jurist på Institutet för Medicinsk Rätt AB, till Sjukhusläkaren.
Det var under debatten om patientdatalagen på Vitalis (sjukvårdens IT-mässa) i Göteborg för en tid sedan, som frågan om skyddet av hotade läkare blev en het fråga.
Inga individuella kontroller
Under debatten avslöjades att Stockholms läns landsting, till skillnad från exempelvis landstinget i Östergötland, inte gör några som helst individuella kontroller innan landstinget lämnar ut namn på anställda som tagit del av en patients journal.
Från ansvariga för patientdatalagens införande i Stockholm gavs, för många i publiken, det överraskande beskedet att personer som vill ha skyddad identitet inte kan skydda namnet när de arbetar inom Stockholms läns landsting. Budskapet var att de som kräver att få namnet skyddat i så fall måste börja arbeta privat där andra lagar gäller.
Eva Jerilgård, tidigare projektledare för SKL:s ”Patientdatalagen i praktiken”, som nu är en av de ansvariga för att införa patientdatalagen i Stockholms läns landsting, sade att Stockholms läns landstings policy är att loggen är en allmän handling enligt Tryckfrihetsförordningen och att landstinget bara lämnar ut identifierbara handlingar.
– Eftersom uppgifter om namn finns i loggen lämnar vi rutinmässigt ut dem. Det är något vi kom fram till gemensamt när vi gjorde ”Patientdatalagen i praktiken”.
Namn lämnas ut rutinmässigt
Under debatten framkom också att patienter i Stockholm inte ens behöver begära ut namnen på de anställda som varit inne i patientens journal. Landstingtets policy är att förutsätta att patienten vill veta namnen. Därför lämnas alla namn rutinmässigt alltid ut, med hänvisning till förvaltningslagens krav på service.
Det här förhållningssättet fick kritik av Mikael Rolfs, ordförande i Läkarförbundets råd för läkemedel- och medicinsk teknik och styrelseledamot i Sjukhusläkarföreningen, som menade att det finns många läkare som lever under hot och har skyddad identitet och att Stockholms läns landstings tolkning av lagarna är orimlig.
Mikael Rolfs får stöd av Oskar Höllgren, biträdande jurist på Institutet för Medicinsk Rätt AB.
– Att loggen är en allmän handling betyder inte att alla uppgifter i den automatiskt får lämnas ut. Vissa uppgifter kan falla under sekretesskydd. Det regleras av Offentlighets- och sekretesslagen. Stockholms läns landsting gör inte fel när man hänvisar till offentlighetsprincipen och Tryckfrihetsförordningen och att loggen är en allmän handling. Det som är fel är om landstinget eliminerat bedömningen i det enskilda fallet, menar Oskar Höllgren.
Lagen kräver enskilda bedömningar
– Landstinget är skyldigt att göra en bedömning om utlämnandet av namnet underlättar för patienten att komma i kontakt med läkaren som har skyddad identitet. Gör landstinget inte den bedömningen bryter man mot sekretesslagen. Det kan förekomma fall där patienten inte varit i direkt kontakt med läkaren eller känner till läkarens namn och då underlättar ett utlämnande av namnet att läkaren kan ”spåras”, säger Oskar Höllgren.
Enligt patientdatalagen och Socialstyrelsens föreskrifter (SOSFS 2008:14) har patienten ingen rätt att få ut namn på de som varit inne i patientens journal. Vårdgivaren är enligt patientdatalagen skyldig att registerera och spara namnen på dem som loggat in i en journal, men vårdgivaren behöver bara lämna ut från vilken vårdenhet och när åtkomsten skett till patienten.
När det gäller hotade personer skyddas de av sekretesslagen som i 21 kapitlet 3 § stadgar att sekretess ska gälla för vissa uppgifter om röjandet av dem skulle kunna innebära att personen riskerar att utsättas för hot, våld eller annat allvarligt men.
Paragrafen gäller uttryckligen adress och telefonnummer, men även ”andra uppgifter” om de kan användas för att komma i kontakt med en person med skyddad identitet.
Enligt Oskar Höllgren är sekretesslagens mening att en myndighet inte får underlätta att en person med skyddad identitet ”spåras”.
Det kan alltså, enligt Oskar Höllgren, vara korrekt att lämna ut namnet på en läkare med skyddad identitet som varit inne i en patients journal om patienten träffat läkaren, eftersom uppgiften då inte underlättar för patienten att ta kontakt med läkaren. Utlämnandet av namn av personer med skyddad identitet får dock inte ske utan en individuell prövning.
– Landstinget kan inte ha en generell policy att lämna ut alla namn i alla situationer, säger Oskar Höllgren.
Enligt honom måste landstinget kunna besvara två frågor. För det första, finns det anledning att tro att någons hälsa eller välbefinnande riskeras om namnen lämnas ut? Om svaret är ja så måste den ansvarige på landstinget ställa frågan: Underlättar utlämnandet av uppgiften att det går att komma i kontakt med personen med skyddad identitet?
Är svaret ja på den första frågan, och ja på den andra frågan får namnet inte lämnas ut. Men är svaret nej på den andra frågan kan landstinget helt korrekt lämna ut namnet, under förutsättning att det sker en bedömning i det enskilda fallet.
Även Socialstyrelsen har uppmärksammat problemet med skyddade identiteter och bristande rutiner inom landstingen.
I ett meddelandeblad skriver Socialstyrelsen: ”För personer med sekretessmarkering (skyddad identitet) är risken för att skyddade uppgifter av misstag lämnas ut p.g.a. bristande rutiner hos någon myndighet eller organisation ett allvarligt problem.”
Lång väg kvar innan sjukvården kan uppfylla lagens krav
Under debatten framkom också att vägen är lång innan sjukvården kommer att kunna leva upp till patientdatalagens krav, trots att den nu gällt i 1.000 dagar.
Fortfarande saknas fungerande behörighetssystem, system och kunskap för sammanhållen journalföring, spärrar och mycket, mycket annat centralt som lagen kräver.
Eva Jerilgård uttryckte stor oro för att nuvarande tolkning av patientdatalagen håller på att tippa över till att nästan uteslutande handla om integritet.
– Vi lägger mer och mer tid och resurser på integritetssidan och mindre på säkerhetssidan. Just nu har vi en tolkning av patientdatalagen som passar en frisk 40-åring som själv kan bära sin information.
Lagen försämrar fortbildningen?
En het fråga för läkarkåren, som diskuterades, är om patientdatalagen skapar hinder för fortbildningen och uppföljningen av vården.
Är det tillåtet att gå in i en patientjournal ”efteråt” för att se hur det gått för patienten? När upphör en vårdrelation? Är det när patienten går ut genom dörren, eller först flera år efteråt?
Under debatten framkom att det idag i praktiken förekommer alla varianter på skalan i brist på rättspraxis.
Mikael Rolfs menade att patientdatalagen, som den tolkas idag på många håll, skapar allvarliga problem och måste ses över.
– Våra kliniska utbildningar och kliniska fortbildningar blir bara sämre och sämre. Här måste det klargöras tydligt att det är okey att gå in i patientjournaler för att se om vi gjort ett fullgott jobb, eftersom det är enda sättet att få återkoppling på, menade han.
– Varför ska inte medicinska studenter få vara med på röntgenronder och behandlingskonferenser? Det är då man lär sig hur man resonerar runt medicinska frågeställningar. Varför ska vi behöva chansa med juridiska omvägar och kalla det för systematiskt kvalitetsarbete när det handlar om fort- och vidareutbildning eller uppföljning, undrade Miakel Rolfs.
Beskedet från Erik Janzon, jurist på Datainspektionen, var att om vården tycker att det är en naturlig del för att följa upp vården, så såg han inget hinder för att gå in i journalen enligt patientdatalagen.
Men i brist på rättspraxis och tydliga lagtexter framkom det under debatten att ingen av deltagarna var säker på vad lagen säger.
Fakta | Skyddad identitet
Sekretessmarkering (Det som i dagligt tal kallas skyddad identitet) är inget formellt skydd i sig, men innebär att en allmän uppgift, exempelvis adress eller personnummer, förses med en notering om att utlämnande enligt Tryckfrihetsförordningen ska ske efter en särskilt noggrann prövning.
Detta innebär i praktiken oftast att uppgiften inte kommer att gå att få ut för enskilda. Grundregeln är att en sekretessprövning ska göras i varje enskilt fall.
Sekretessmarkering begärs av den person det gäller hos Skatteverket. Landstinget kan inte skydda personer på egen hand, men kan som arbetsgivare hjälpa till då Skatteverket kräver intyg eller annat bevis som styrker behovet av sekretess.
Olagligt kalla patienter med SMS
I framtiden kan det bli möjligt att bli kallad till doktorn via SMS. Idag är det faktiskt olagligt.
Socialstyrelsen ska efter sommaren se över föreskriften som nu förbjuder sjukvården att kalla patienter via SMS, något som är tillåtet både i exempelvis Norge och Danmark.
När patientdatalagen infördes kodifierade Socialstyrelsen en praxis för att skydda den personliga integriteten som gällt före patientdatalagens tillkomst.
Socialstyrelsen ska nu se över föreskriften och se om det går att göra den mer flexibel så att det blir möjligt att värdera känsligheterna i de uppgifter som lämnas ut mot säkerhetskraven.
Anders Printz, avdelningschef på Socialstyrelsen:
– Vi ska se om det går att göra undantag när det gäller den här typen av påminnelser som inte innehåller så känslig information. Frågan är om vi måste ställa samma krav som vi gör när vi lämnar ut andra uppgifter.
Fakta | IMR
Institutet för Medicinsk Rätt AB ( IMR) är ett ledande informations- och utbildningsföretag inom området för medicinsk rätt.
IMR erbjuder konsulttjänster och håller kurser, seminarier och uppdragsutbildningar om medicinsk rätt. IMR grundades 1980.