Förslag till föreskrifter och allmänna råd om

 Yttrande
Diarienr
2015-09-15
1284-2015
Ert diarienr
4.1-39055/2013
Socialstyrelsen 106 30 Stockholm Förslag till föreskrifter och allmänna råd om
behandling av personuppgifter och
journalföring i hälso- och sjukvården
Datainspektionen har granskat förslaget utifrån sin uppgift att verka för att människor skyddas mot att deras integritet kränks genom behandling av personuppgifter. Socialstyrelsen har tidigare samrått med Datainspektionen i enlighet med 2 och 3 §§ patientdataförordningen. Datainspektionen har avgett skriftliga yttranden den 28 mars 2013 och 30 januari 2015. Övergripande synpunkter
Under samrådsförfarandet har framförts synpunkter på vilka bestämmelser Datainspektionen anser omfattas av samrådsskyldigheten enligt 2 och 3 §§ patientdataförordningen. I Datainspektionens yttrande från den 30 januari 2015 angavs att samrådsskyldigheten bör omfatta även 6 kap. 3 och 7 §§ i föreskrifterna. Dessa bestämmelser anges i det nu aktuella förslaget. På grund av ändringar i förslaget jämfört med det som då var föremål för samråd stämmer dock inte dessa bestämmelser. De aktuella bestämmelserna är i det föreliggande förslaget 6 kap. 2 och 6 §§. Datainspektionen motsätter sig att Socialstyrelsen ska ha en generell möjlighet att medge undantag från bestämmelserna i föreskrifterna. Ett sådant undantag kan få konsekvenser bland annat beträffande föreslagna föreskrifter i 3 kap. 1‐21 §§, 4 kap. 2‐11 §§ samt 6 kap. 2 och 6 §§. Dessa föreskrifter återspeglar i huvudsak kravet på lämpliga säkerhetsåtgärder enligt 31 § personuppgiftslagen. Socialstyrelsen kan inte ges mandat att meddela undantag till regler som ska gälla enligt ett EU‐direktiv. Av förarbetena till patientdatalagen (2008:355) framgår det att bestämmelserna om säkerhet för behandling av personuppgifter i 30‐32 §§ personuppgiftslagen är tillämpliga vid vårdgivares Postadress: Box 8114, 104 20 Stockholm
Webbplats: www.datainspektionen.se
E-post: datainspektionen@datainspektionen.se
Telefon: 08-657 61 00
1 (7) Datainspektionen
2015-09-15
Diarienr 1284-2015
behandling av patientuppgifter enligt patientdatalagen (prop. 2007/08:126 s. 215). 31 § personuppgiftslagen införlivar det så kallade dataskyddsdirektivet (95/46/EG) och Socialstyrelsen kan därför inte bevilja undantag från bestämmelser som preciserar vad lämpliga säkerhetsåtgärder är enligt bestämmelsen. Föreskrifterna i 3 kap., 4 kap. samt 6 kap. 3 och 7 §§ ger uttryck för några säkerhetsåtgärder som är lämpliga att vidta enligt 31 § personuppgiftslagen när det rör sig om behandling av integritetskänsliga personuppgifter. Föreskrifterna är dock inte uttömmande. För att vårdgivaren inte ska förbise att överväga behovet av andra lämpliga säkerhetsåtgärder än de som anges i föreskrifterna, anser Datainspektionen att det bör förtydligas att 30‐32 §§ personuppgiftslagen är tillämpliga på vårdgivarens behandling av patientuppgifter. Se även Datainspektionens yttrande av den 28 mars 2013 (dnr 404‐2013, ert dnr 31 409/11). Särskilt om aktiva val
Socialstyrelsen har särskilt efterfrågat synpunkter på om bestämmelserna om aktiva val är ändamålsenliga ur såväl patientsäkerhets‐ som integritets‐
synpunkt eller om de bör utgå. Det är en fråga som inte berörts i samrådsförfarandet mellan Socialstyrelsen och Datainspektionen. Datainspektionens avstyrker förslaget att ta bort de aktiva valen. En sådan ändring riskerar att leda till att vårdpersonal – i strid med sekretess‐ och dataskyddsbestämmelser – tar del av uppgifter som de inte har rätt att ta del av. Ett av de grundläggande kraven vid behandling av personuppgifter är att inte fler personuppgifter än vad som är nödvändigt behandlas. Denna begränsning gäller oavsett uppgifternas känslighet (se art. 6 dataskyddsdirektivet och prop. 2007/08:126 s. 63). I 2 kap. 4 § patientdatalagen anges att en vårdgivare endast får behandla sådana personuppgifter som behövs för de ändamål som räknas upp i bestämmelsen. Enligt 4 kap. 1 § får den som arbetar hos en vårdgivare ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna i sitt arbete inom hälso‐ och sjukvården. Vårdpersonalen ska inte kunna ta del av fler uppgifter än vad som är nödvändigt för att ge en god och säker vård 2 (7)
Datainspektionen
2015-09-15
Diarienr 1284-2015
(prop. 2007/08:126 s. 149). Vårdpersonal har inte alltid behov av att veta vilka andra vårdenheter som patienten har besökt och det är viktigt att personuppgifter även fortsättningsvis behandlas i olika ”skikt” i enlighet med detta (prop. 2007/08:126 s. 149). Genom de aktiva valen får vårdpersonal ta ställning till om fler uppgifter behövs för att bereda patienten en god och säker vård. Kan en behandling av personuppgifterna inte motiveras av den aktuella vården är vårdpersonalen inte behörig att ta del av uppgifterna. De aktiva valen utgör därför en förutsättning för att tillse att behandling som inte har stöd i lag inte äger rum. 2 kap. Definitioner
Socialstyrelsen föreslår en definition av begreppet vårdprocess. Datainspektionen har tidigare påpekat att den allmänna uppfattningen om vad en vårdprocess är kan skilja sig från begreppets innebörd i patientdatalagen (jfr SOU 2014:23 s. 89 f.). För att undvika missförstånd anser Datainspektionen att det av definitionen tydligt bör framgå att en vårdprocess endast omfattar aktiviteter inom en vårdgivares gränser eftersom begreppet används på det sättet i såväl patientdatalagen som i Socialstyrelsens förslag till föreskrifter. 3 kap. Ledningssystem
3 kap. 1 §
I 3 kap. 1 § i föreslagen föreskrift anges att det av Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete framgår att vårdgivaren ska uppfylla de krav som ställs i det följande. SOSFS 2011:9 innehåller dock enbart bestämmelser om kvalitetssäkring. Bestämmelserna i förslagets 3 kap. behandlar även frågor om informationssäkerhet enligt personuppgiftslagen och patientdatalagen och det bör uttryckligen framgå av 3 kap. 1 §. Genom samrådsförfarandet har Datainspektionen förstått att Socialstyrelsen är av uppfattningen att SOSFS 2011:9 även omfattar kraven på informationssäkerhet enligt personuppgiftslagen och patientdatalagen. För att inte leda till missförstånd bör detta framgå tydligare av föreskriften. 3 (7)
Datainspektionen
2015-09-15
Diarienr 1284-2015
3 kap. 5 §
I 3 kap. 5 § i föreslagen föreskrift hänvisas till 5 kap. 1 § SOSFS 2011:9 som anger att riskanalyser ska göras beträffande händelser som kan medföra brister i verksamhetens kvalitet. Datainspektionen anser att riskanalyser även bör avse informationssäkerheten och det bör uttryckligen framgå av bestämmelsen. 3 kap. 16 och 17 §§ Öppna nät
De föreslagna föreskrifterna i 3 kap. 16 och 17 §§ behandlar överföring av patientuppgifter i öppna nät. Det är inte allmänt känt vad som utgör ett öppet nät. En vanlig missuppfattning är att endast Internet är ett öppet nät. Det är därför viktigt att vårdgivaren får vägledning till vad som avses med begreppet (se Datainspektionens yttrande 2013‐03‐28, dnr 404‐2013, ert dnr 31 409/11). 3 kap. 19 § Skydd mot olovlig åtkomst
Det är viktigt att vårdgivarna inte får uppfattningen att 3 kap. 19 § i föreslagen föreskrift ersätter 4 kap. 1‐3 §§ patientdatalagen. Enligt dessa bestämmelser har vårdgivaren en skyldighet att begränsa personalens åtkomst till patientuppgifter och att vårdgivaren måste göra systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter. 3 kap. 20 § Flyttbart medium för informationslagring
Datainspektionen anser att 3 kap. 20 § i föreslagen föreskrift är otydligt utformad och föreslår följande lydelse: Den vårdgivare som tillåter behandling av personuppgifter på flyttbara lagringsmedia ska säkerställa att obehöriga inte kan ta del av uppgifterna och att uppgifterna inte går förlorade. Det innebär också att rubriken bör ändras till Flyttbara lagringsmedia. 4 kap. Åtkomst till uppgifter om patienter
4 kap. 1-3 § Tilldelning av behörigheter
Det nu gällande kravet på behovs‐ och riskanalys har tagits bort i förslaget. Detta har inte aktualiserats i samrådsprocessen mellan Socialstyrelsen och Datainspektionen. Datainspektionen anser att det är direkt olämpligt att ta 4 (7)
Datainspektionen
2015-09-15
Diarienr 1284-2015
bort kravet på behovs‐ och riskanalys då det skulle minska föreskrifternas tydlighet gentemot vårdgivarna. Datainspektionen har senast under våren 2015 meddelat beslut i ärenden där landstingens och regionernas utformning av behovs‐ och riskanalyser har granskats. Datainspektionen fann brister hos samtliga tillsynsobjekt och konstaterade att bristerna riskerar leda till en obefogad spridning av patientuppgifter. I förarbetena till patientdatalagen konstateras att de grundläggande kraven i 9 § personuppgiftslagen är tillämpliga även vid behandling enligt patientdatalagen. En grundläggande princip är att anställda endast bör ha elektronisk tillgång till personuppgifter som de behöver för sitt arbete. Behovs‐ och riskanalyser är nödvändiga för att vårdgivaren ska kunna tilldela vårdpersonalen de behörigheter de har behov av i sitt arbete för att ge en god och säker vård. Vårdgivarna har alltså en skyldighet att genomföra behovs‐ och riskanalyser även om föreskrifterna ändras i enlighet med förslaget. Av 4 kap. 2 § patientdatalagen framgår att behörigheter ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso‐ och sjukvården. Av förarbetena framgår det att det som är avgörande vid behörighetstilldelningar för åtkomst till uppgifter i patientjournaler bör vara att behörigheten ska begränsas till vad befattningshavaren behöver för ändamålet en god och säker patientvård (prop. 2007/08:126 s. 149). Det perspektivet bör framgå även av föreskrifterna. Se även vårt tidigare yttrande (Datainspektionens yttrande 2013‐03‐28, dnr 404‐2013, ert dnr 31 409/11). Sammanfattningsvis anser Datainspektionen att den föreslagna lydelsen rörande tilldelning av behörigheter kan missuppfattas eftersom det kan tolkas som att det sker en ändring i kraven om lydelsen ändras. Det riskerar att leda till ett försämrat skydd för den personliga integriteten. Datainspektionen anser att lydelsen i 2 kap. 6 § SOSFS 2008:14 överensstämmer med de krav som finns på behandling av patientuppgifter generellt, och anser därför att denna bestämmelse bör vara kvar. Datainspektionen anser vidare att det i bestämmelsen bör införas ett dokumentationskrav avseende behovs‐ och riskanalyser och beslut om behörighetstilldelning. 5 (7)
Datainspektionen
2015-09-15
Diarienr 1284-2015
4 kap. 9 § Kontroll av åtkomst till uppgifter om patienter
Logguppföljningen är i sig en behandling av patientuppgifter och ger därför upphov till nya integritetsfrågor. Datainspektionen anser att en bevarandetid på 10 år är en alltför lång tid (se Datainspektionens yttrande 2013‐03‐28, dnr 404‐2013, ert dnr 31 409/11). 4 kap. 11 och 13 §§ Direktåtkomst till uppgifter om den enskilde själv
Autentisering är en process i två led. Först identifierar användaren sig, sedan verifierar den ansvarige att den uppgivna identiteten stämmer. Att ange att en person identifieras genom stark autentisering är missvisande eftersom identifiering är en del av autentiseringsprocessen, som innefattar såväl identifiering som verifiering. Datainspektionen föreslår därför att 9 § ges följande lydelse: Vårdgivaren ska ansvara för att en enskilds direktåtkomst till sina patientuppgifter och till dokumentation om åtkomst, tillåts endast efter att patientens identitet har säkerställts genom stark autentisering. Datainspektionen anser att det är viktigt att vårdgivaren även fortsättningsvis ska ansvara för att informera den enskilde vart han eller hon ska vända sig för att få hjälp med att förstå dokumentationen (se 2 kap. 15 § SOSFS 2008:14 och prop. 2007/08:126 s. 158). 6 kap. Hantering av personuppgifter
6 kap. 2 § Skydd mot obehörig åtkomst
6 kap. 2 § kan uppfattas som en specifikation av lämpliga organisatoriska säkerhetsåtgärder som den personuppgiftsansvarige ska säkerställa att ett personuppgiftsbiträde vidtar enligt 30 och 31 §§ personuppgiftslagen. Eftersom föreskriften inte kan anses vara uttömmande bör det framgå att vårdgivaren även är skyldig att säkerställa att ett personuppgiftsbiträde vidtar de övriga säkerhetsåtgärder som krävs enligt 31 § personuppgiftslagen. Detta kan tydliggöras med ett allmänt råd. Se även vad inspektionen anfört under rubriken Övergripande synpunkter ovan. 6 (7)
Datainspektionen
2015-09-15
Diarienr 1284-2015
Detta yttrande har beslutats av generaldirektören Kristina Svahn Starrsjö efter föredragning av juristen Martina Lindkvist. Vid den slutliga handläggningen har även chefsjuristen Hans‐Olof Lindblom, enhetschefen Katarina Tullstedt och it‐säkerhetsspecialisten Magnus Bergström deltagit. Kristina Svahn Starrsjö Martina Lindkvist 7 (7)