Vårdgivarens ansvar för personuppgiftsbehandling och journalföring. För hälso- och sjukvården.

Inom hälso- och sjukvården ansvarar vårdgivaren för all personuppgiftsbehandling. Det är vårdgivarens ansvar att det finns processer och rutiner som säkerställer att verksamheten uppfyller de krav och mål som ställs i lagar och föreskrifter. Nedan följer ett antal exempel.

Ledningssystem

Vårdgivaren ska ha dokumenterade processer och rutiner för journalföringen och behandling av personuppgifter. Det ska också finnas regler för vem som till exempel är behörig att dokumentera och läsa eller på annat sätt hantera uppgifterna.

Informationssäkerhet

Vårdgivaren ansvarar för att det finns en informationssäkerhetspolicy. Den ska innehålla övergripande mål och inriktning för informationssäkerhetsarbetet. Syftet är att säkerställa personuppgifters tillgänglighet, riktighet, konfidentialitet och spårbarhet.

Om vårdgivaren till exempel använder öppna nät vid behandling av personuppgifter har vårdgivaren ansvar för att obehöriga inte kan ta del av uppgifterna. Uppgifterna skyddas genom kryptering av förbindelsen och tillgången ska föregås av stark autentisering. Det innebär till exempel att vårdgivaren använder en inloggning som ställer krav på att den enskildes identitet kontrolleras på minst två olika sätt (e-legitimation eller motsvarande).

Vårdgivaren ska även utse en eller flera personer som ska leda och samordna arbetet med informationssäkerhet. Minst en gång om året ska detta arbete rapporteras till vårdgivaren. Sammanställningen ska bland annat innehålla

  • riskanalyser
  • incidenter som påverkat informationssäkerheten och medfört eller hade kunnat medföra vårdskada
  • uppföljningar som gjorts
  • förbättringsåtgärder som utförts.

IT-system

Olika vårdgivare får dela samma IT-system men kan inte få behörighet att se varandras patientjournaler, om inte reglerna för sammanhållen vård- och omsorgsdokumentation är aktuella. Om vårdgivaren är ansluten till sammanhållen vård- och omsorgsdokumentation får vårdgivaren, under vissa förutsättningar, ta del av patientjournaler. Man får dock inte skriva i andra vårdgivares patientjournaler. Läs mer under Direktåtkomst eller annat elektroniskt utlämnande - övergripande.

Behörigheter och åtkomstkontroll

Vårdgivaren har ansvar för att varje användare tilldelas en individuell behörighet för åtkomsten av personuppgifter som förs helt eller delvis automatiserat. Sådan behörighet ska begränsas till vad som behövs för att användaren ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Det ingår i vårdgivarens ansvar att bestämma villkoren för varje enskild användares behörighet. Vårdgivaren ansvarar också för åtkomstkontroll (granskning av logg).

Vårdgivarens ansvar för styrning av behörigheter och åtkomstkontroll gäller på samma sätt vid sammanhållen vård- och omsorgsdokumentation.

Arkivering och gallring

En journalhandling ska sparas i minst tio år efter den sista uppgiften fördes in. I offentlig hälso- och sjukvård gäller arkivlagens regler om bevaring och gallring. Vårdgivaren ska säkerställa att uppgifter i patientjournalen förvaras så att de är läsbara tills de gallras.

Senast uppdaterad:
Publicerad: