2 kap. 13 § SOSFS 2008:14
Vårdgivaren ska ansvara för att det i ledningssystemet finns rutiner som säkerställer att en enskilds direktåtkomst till sina patientuppgifter och till dokumentation om åtkomst endast tillåts efter det att den enskilde har identifierats genom stark autentisering.
Enligt 5 kap. 5 § patientdatalagen (2008:355) kan vårdgivaren ge en patient direktåtkomst till delar av eller hela sin patientjournal. Om direktåtkomsten sker genom kommunikation över Internet ställs höga krav på säkerheten. Patientdatalagen innebär enbart att vårdgivaren får erbjuda detta. Det är ingen skyldighet. Genom direktåtkomst kan vårdgivaren dock få bättre kommunikation och dialog med sina patienter. För direktåtkomst används vanligen öppna nät, se ovan 2 kap. 5 § Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården. För att nå ut till en bred patientskara är också Internet svårslaget som kommunikationskanal, men då måste vårdgivaren kunna identifiera patienten på ett säkert sätt och även ha ett skydd mot att obehöriga tar del av informationen när den förs över. Kraven på identifiering genom stark autentisering är desamma som har omnämnts under 2 kap. 5 § Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården.
2 kap. 13 § SOSFS 2008:14
Vårdgivaren ska ansvara för att det i ledningssystemet finns rutiner som säkerställer att en enskilds direktåtkomst till sina patientuppgifter och till dokumentation om åtkomst endast tillåts efter det att den enskilde har identifierats genom stark autentisering.
För att en patient ska få direktåtkomst till sina patientuppgifter måste vårdgivaren enligt 2 kap. 13 § Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården. kräva så kallad stark autentisering. Det innebär att vårdgivaren använder inloggningslösningar som ställer krav på att identiteten kontrolleras på minst två olika sätt, exempelvis
- med någonting användaren kan – till exempel lösenord
- med någonting användaren har – till exempel kodbox, certifikat, smartkort, engångskoder eller mobiltelefon
- med hjälp av användaren själv – till exempel fingeravtryck eller avläsning av iris
En etablerad metod för autentisering är att använda en e-legitimation. Det är ett certifikat som man antingen sparar på sin dator (certifikat på fil), på ett smartkort eller i en mobiltelefon. Med hjälp av certifikatet och det tillhörande lösenordet skapas förutsättningar för stark autentisering. Denna metod används exempelvis av Skatteverket och Försäkringskassan för att låta kunderna identifiera sig och signera sina handlingar när de använder e-tjänster, till exempel deklaration och begäran av föräldraledighet.
I samband med att patientuppgifter lämnas ut genom direktåtkomst ska det tydligt framgå vart patienten ska vända sig för att få hjälp med att tyda dokumentationen (2 kap. 15 § Socialstyrelsens föreskrifter [2008:14] om informationshantering och journalföring i hälso- och sjukvården). Det kan exempelvis gälla att ge kontaktuppgifter till patientens behandlande läkare.
2 kap. 14 § SOSFS 2008:14
Den vårdgivare som medger en enskild direktåtkomst till sina patientuppgifter ska även ansvara för att det finns ett system för bedömning av de uppgifter som kräver ett särskilt skydd i förhållande till den enskilde och som inte ska kunna lämnas ut genom direktåtkomst.
För att kunna avgöra om patientuppgifter kan lämnas ut genom direktåtkomst eller inte måste vårdgivaren först göra en sekretessprövning. Utan en sådan prövning kan inga uppgifter lämnas direkt till patienten. Det finns också exempel på uppgifter som är lämpligare att lämna i direktkontakt mellan den som ansvarar för patientens vård och patienten, till exempel vissa diagnoser, provsvar och undersökningsresultat. Efter sekretessprövningen måste vårdgivaren även ta ställning till om hela journalen ska lämnas ut, om endast vissa delar av journalen görs tillgängliga eller enbart uppgifter från vissa vårdenheter.
Direktåtkomsten behöver alltså inte gälla alla patientuppgifter, utan kan begränsas till delar av en patientjournal eller andra patientuppgifter (prop. 2007/08:126 s. 248.). Det är vårdgivaren som beslutar vilken information som ska lämnas ut på detta sätt.
2 kap. 15 § SOSFS 2008:14
Om vårdgivaren endast medger den enskilde en begränsad direktåtkomst till sina patientuppgifter, ska vårdgivaren informera honom eller henne om detta.Vårdgivaren ska även informera den enskilde om vart han eller hon kan vända sig för att få hjälp med att förstå dokumentationen.
I samband med att informationen lämnas ut via direktåtkomst ska det tydligt framgå vart patienten ska vända sig för att få hjälp med att tyda informationen, exempelvis genom att ge kontaktuppgifter till patientens behandlande läkare.
Om tillgången till information är begränsad, till exempel genom ett beslut om sekretess, ska det finnas information till patienten om detta. Patienten måste också få information om hur han eller hon få ytterligare vägledning.