17Ansvar för informationssäkerhet – Personalens ansvar

• 
• Skriv ut

Vad innebär det att den som arbetar hos en vårdgivare har ett personligt ansvar för den inre sekretessen?

Enligt patientdatalagen (2008:355) gäller den inre sekretessen för alla dokumenterade personuppgifter om patienter eller andra enskilda registrerade, det vill säga även vårddokumentation, kvalitetsregisteruppgifter m.m. som behandlas enligt patientdatalagen. Den som arbetar åt en vårdgivare får endast ta del av sådana patientuppgifter om han eller hon deltar i vården av patienten, eller av något annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården. Bestämmelsen, som finns i 4 kap. 1 § patientdatalagen, gäller både manuellt och elektroniskt behandlade patientuppgifter, och även uppgifter om avlidna personer (prop. 2007/08:126 s. 143).

Med vård avses även undersökning och behandling, se 1 § hälso- och sjukvårdslagen (1982:763)  och 1 § tandvårdslagen (1985:125). Inre sekretess gäller inte enbart hälso- och sjukvårdspersonal vid en viss enhet och dess arbete på enheten, utan bestämmelsen är generell och omfattar all personal oavsett var den tjänstgör och oavsett varför uppgifterna behövs (prop. 2007/08:126 s. 238 ff.). Bestämmelsen i 4 kap. 1 § patientdatalagen lägger ett ansvar på individen att inte ta del av mer uppgifter än vad som är nödvändigt för att utföra sitt arbete åt vårdgivaren. Övriga bestämmelser i 4 kap. patientdatalagen lägger ett ansvar på vårdgivaren att ha kontroll över och begränsa åtkomsten till patientuppgifter.

Vilket ansvar har hälso- och sjukvårdspersonal och andra som arbetar hos vårdgivaren för hantering av patientuppgifter?

Vårdgivare och verksamhetschefer har alltså ett ansvar för hur verksamheten hanterar patientuppgifter, men också all hälso- och sjukvårdspersonal har ett ansvar för denna hantering. Det finns också andra yrkeskategorier som kommer i kontakt med patientuppgifter, till exempel läkarsekreterare, annan administrativ personal och IT-personal. IT-personalen kan behöva behörigheter utan inskränkningar, eller med bara små begränsningar i åtkomsten.

Kravet på att värna den inre sekretessen innebär att alla ska skydda sina inloggningsuppgifter i form av lösenord och andra hjälpmedel. Personalen får till exempel inte ha lösenord nedskrivna på lappar, och de ska även se till att ingen annan kan komma åt datorn när personen har loggat in i informationssystemet. Det kan få stora personliga konsekvenser om en inloggad dator lämnas utan tillsyn och utnyttjas för olovliga aktiviteter. Loggkontrollen kommer då att visa att det är den inloggade personen också har genomfört aktiviteterna. Ett sätt att undvika detta är att alltid låsa åtkomsten till datorn, exempelvis genom att trycka på tangenterna ”ctrl-alt-delete”, använda smartkort eller andra funktioner. Detta gäller även om man bara lämnar datorn utan tillsyn för en kort stund. Alla anställda har även ett ansvar för att inte ta del av några patientuppgifter som de inte har ett arbetsrelaterat behov av att använda.

Vad gäller för studerandes möjligheter att ta del av patientuppgifter?

Patientdatalagen ska enligt 1 kap. 1 § patientdatalagen tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. Utbildningsverksamhet är i allt väsentligt en egen verksamhetsgren också när den bedrivs inom en och samma myndighet som bedriver hälso- och sjukvård. Utbildningsverksamheten som sådan ingår därför inte i patientdatalagens tillämpningsområde (prop. 2007/08:126 s. 51). Eftersom renodlad utbildningsverksamhet är en egen verksamhetsgren får studerande inte läsa patientjournaler i utbildningssyfte utan patientens tillåtelse.

När studenter deltar i den faktiska patientvården gäller dock patientdatalagen för deras arbete. Det innebär bland annat att vårdgivaren då kan låta studenterna få ta del av elektroniska patientjournaler och även kunna föra anteckningar i dem när det behövs. Studenter kan dock bara delta i den faktiska patientvården om patienten samtycker och om en handledare har uppsikt över och leder studentens åtgärder (prop. 2007/08:126 s. 51). I sådana fall arbetar studenterna hos vårdgivaren och deltar i patientvården. Patientdatalagen blir då tillämplig på dennes hantering av patientuppgifter. Studenten behöver i så fall ha en egen personlig inloggning för att kunna ta del av de uppgifter som behövs för att utföra arbetsuppgifterna, och han eller hon måste kunna dokumentera arbetet. Studenter som deltar i den faktiska vården får därmed också ett ansvar för att bevaka den inre sekretessen och ska även följa bestämmelserna i 2 kap. 20 § Socialstyrelsen s föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården.

Vad gäller för direktåtkomst till patientuppgifter vid kliniska prövningar?

Direktåtkomst genom sammanhållen journalföring får bara användas för vårdsyften och för att utfärda intyg (5 kap. 4 § och 6 kap. 1–3 §§ patientdatalagen). Anledningen till denna begränsning är att patientuppgifterna är integritetskänsliga (prop. 2007/08:126 s. 204 ff.).

Läkemedelsverket har frågat Datainspektionen om patientdatalagen tillåter att en monitor får direktåtkomst till det elektroniska patientjournalsystemet i samband med kliniska läkemedelsprövningar. Datainspektionen svarade i ett yttrande till Läkemedelsverket den 3 september 2008 (Dnr 1038-2008). Datainspektionen utgick i sitt svar från att den hantering av personuppgifter som görs i samband med monitorering har rättsligt stöd genom att etikprövningsnämnden har godkänt den. Ett sådant godkännande innebär att personuppgifterna får behandlas för forskningsändamål, men inte att uppgifterna får lämnas ut från hälso- och sjukvården genom direktåtkomst. Denna fråga regleras i patientdatalagen som också anger att patienten själv och olika vårdgivare kan få direktåtkomst inom ramen för ett system med sammanhållen journalföring. Det finns dock ingen bestämmelse i patientdatalagen som särskilt tillåter direktåtkomst för monitorering vid kliniska prövningar.

Vid direktåtkomst enligt patientdatalagen har den som är ansvarig för informationen ingen kontroll över vilka uppgifter som användaren tar del av. I monitoreringen får monitorn dock bara ta del av vissa specifika uppgifter förutsatt att man har patientens samtycke, en signerad sekretessförbindelse och den journalansvariges medgivande. Datainspektionen passade också på att förtydliga att det samtycke som hämtas in till monitorering bryter den sekretess som gäller för patientuppgifter. De patienter som deltar i en klinisk prövning kan dock inte samtycka till att en monitor, genom direktåtkomst, kan logga in i en vårdgivares journalsystem eller till att monitorn tar del av andras patientuppgifter.

Anställda inom hälso- och sjukvården som har behörighet att ta del av uppgifter i ett journalsystem får inte använda denna behörighet för att utföra monitorering vid kliniska prövningar. Behörigheten är kopplad till personens arbetsuppgifter inom hälso- och sjukvården, och därför tillåter lagen inte att behörigheten används för att ta del av uppgifter för forskningsändamål. Forskning tillhör inte samma verksamhetsgren som den egentliga vården, och därmed gäller det normalt sekretess mellan en vårdgivares vårdinriktade verksamhet och forskningsverksamhet. Datainspektionens slutsats blir att en monitor inte får ta del av patientuppgifter genom direktåtkomst – oavsett om monitorn finns inom hälso- och sjukvården eller inte. Uppgifterna måste alltså lämnas på något annat sätt.

I förarbetena framhålls att patientuppgifterna kan vara tillgängliga för forskning trots att de inte får delas ut genom direktåtkomst till den sammanhållna journalföringen. Efter en sekretessprövning kommer forskare även i fortsättningen att kunna få uppgifter på medium för automatiserad behandling, till exempel på CD-rom. Enligt regeringen ger detta bättre möjligheter att bedriva forskning, eftersom efterfrågade uppgifter ofta kommer att finnas i elektronisk form och därmed vara lättillgängliga (prop. 2007/07:126 s. 205 ff.).

I sitt yttrande nämner Datainspektionen också att det finns många tekniska alternativ så länge utlämnandet föregås av en sekretessprövning och ett beslut om utlämnande eller motsvarande. Mottagaren bör exempelvis kunna logga in i ett IT-system och där få tillgång till enbart de uppgifter som behövs för monitoreringen. Datainspektionen påminner dock i sitt yttrande att kravet på skydd för personuppgifter alltid gäller, oavsett vilka tekniska lösningar som kan komma att användas. Därför är det viktigt att vårdgivaren vidtar de IT-säkerhetsåtgärder som behövs för den aktuella formen för elektroniskt utlämnande.

Vad händer om en användare bereder sig tillgång till patientuppgifter som denne inte har rätt att ta del av?

Ett olovligt intrång och olovligt efterforskande i elektroniska informationssystem, till exempel ett journalsystem, kan vara straffbart enligt straffbestämmelsen om dataintrång. Den som ”olovligen bereder sig tillgång till upptagning för automatisk databehandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift” döms enligt 4 kap. 9 c § brottsbalken för dataintrång till böter eller fängelse i högst två år. Bestämmelsen torde vara tillämplig om någon använder sin behörighet till ett elektroniskt journalsystem för att läsa uppgifter om en patient utan att informationen behövs, till exempel på grund av nyfikenhet. Enligt rättspraxis kan även läsning i utbildningssyfte räknas som dataintrång, även om användaren söker förebilder på lämpliga formuleringar (RH 2002:36).

Om intrånget inte polisanmäls kan en anställd som bryter mot bestämmelsen om inre sekretess få disciplinpåföljd enligt 5 kap. 3 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område (prop. 2007/08:126 s. 238 ff.). Den som är anställd hos vårdgivaren riskerar även arbetsrättsliga åtgärder.

En anställd person kan alltså ställas till svars enligt brottbalken eller lagen om yrkesverksamhet på hälso- och sjukvårdens område för hur han eller hon skaffat tillgång till uppgifter i vårdgivarens system. Om behandlingen av personuppgifter har brutit mot patientdatalagen har vårdgivaren ett skadeståndsansvar enligt 48 § personuppgiftslagen (1998:204) jämfört med 10 kap. 1 § patientdatalagen.