/
/
/

Socialstyrelsen ändrar reglerna för sms-påminnelser

den 12 juli 2011 kl. 11:28 Nyhet

Genom ett begränsat undantag i Socialstyrelsens föreskrifter blir det möjligt för vårdgivare att använda sms och e-post vid kallelser och påminnelser till sina patienter.

Vårdgivarens ansvar regleras i patientdatalagen och Socialstyrelsens föreskrifter

Patientdatalagen (2008:355), förkortad PDL, reglerar vårdgivarens ansvar för hantering av personuppgifter inom hälso- och sjukvården, tillsammans med Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring.

Villkor för sms-kallelser

För att en vårdgivare ska få använda sig av påminnelser och kallelser till vård och behandling genom sms eller e-post måste vårdgivaren uppfylla följande villkor:

Vårdgivaren måste

  • göra en behovs- och riskanalys
  • i sin informationssäkerhetspolicy besluta om att använda sig av denna typ av påminnelser eller kallelser
  • ta fram rutiner för hur påminnelser och kallelser ska användas på ett säkert sätt
  • få patientens medgivande och få den adress eller telefonnummer som ska användas.

Vårdgivaren ansvarar för personuppgifter

Patientdatalagen säger följande (1 kap. 2 §):

  • Informationshanteringen inom hälso- och sjukvården ska vara organiserad så att den tillgodoser patientsäkerhet och god kvalitet samt främjar kostnadseffektiviteten.
  • Personuppgifter ska utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras.
  • Dokumenterade uppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem.

Säker överföring av patientuppgifter

Enligt Socialstyrelsens föreskrift ansvarar vårdgivaren för att ledningssystemets rutiner säkerställer att patientuppgifter överförs så att ingen obehörig kan ta del av uppgifterna. Det kräver krypterade överföringar. Denna regel är mycket viktig för att vårdgivare ska hantera patientuppgifter, till exempel över internet, på ett säkert sätt.

En ändring träder i kraft den 1 september 2011

Enligt en ändring i bestämmelsen, som träder i kraft den 1 september 2011, får vårdgivaren under vissa villkor besluta om undantag från dessa säkerhetskrav.

Behovs- och riskanalys

Det finns påtagliga säkerhetsrisker när man överför integritetskänslig information via allmänt tillgängliga elektroniska kommunikationsmedel. Det är svårt att vara säker på vem som använder en telefon eller står bakom en uppgiven e-postadress. Därför är det också svårt att veta att det är rätt mottagare som får påminnelsen eller kallelsen. Verksamheten måste väga behovet av den här typen av påminnelser eller kallelser mot sådana risker.

Vårdgivaren ska göra en behovs- och riskanalys och sedan ta ställning till om verksamheten ska använda sig av någon form av kallelse eller påminnelse över öppna nät, och i så fall inom vilken del av verksamheten. Om vårdgivaren beslutar om ett sådant undantag får vårdgivaren sedan ge direktiv till verksamheten att ta fram rutiner för ett säkert genomförande.

Beslut i informationssäkerhetspolicyn

Vårdgivaren ska ha en dokumenterad informationssäkerhetspolicy (2 kap. SOSFS 2008:14) som gör att personuppgifter hanteras på ett säkert sätt i verksamheten. Vårdgivaren får i policyn besluta om undantag från säkerhetskraven för överföring av patientuppgifter, när det gäller överföring till patienter av påminnelser och kallelser till vård och behandling. Ett sådant undantag ska föregås av en behovs- och riskanalys.

Säkra rutiner

Verksamhetens rutiner ska säkerställa att patienternas integritet inte kränks, och minimera riskerna för att meddelanden hamnar på avvägar. Det innebär till exempel att vårdgivaren behöver ha rutiner för att vara säker på att adresser eller telefonnummer är korrekta och aktuella, och för att  överföringen inte ska avslöja detaljer om en patients hälsotillstånd eller andra personliga förhållanden.

Patienten måste ge sitt medgivande

En påminnelse eller kallelse får bara skickas per sms eller e-post efter att patienten gett sitt medgivande. Det innebär att vårdgivaren ska fråga patienten om han eller hon vill bli kallad eller påmind på detta sätt och i så fall på vilket telefonnummer eller e-postadress.

För att kunna ta ställning till det, behöver patienten få information om vilka rutiner vårdgivaren har för denna typ av kallelser. Det kan till exempel vara vad kallelsen eller påminnelsen innehåller, hur länge patientens medgivande gäller och hur ofta adressuppgifterna uppdateras. Patienten behöver också få information om vart han eller hon ska vända sig för att lämna nya kontaktuppgifter.