Denna sida handlar om de lagar och bestämmelser som du som vårdgivare berörs av.
Att läsas upp sig på lagtexter är kanske inte den roligaste sysselsättningen men det skadar inte att sätta in sig i grunderna. Nedan följer ett försök att bena ut några av de vanligaste frågorna vi får från våra kunder ang. Patientdatalagen (PDL) och direktiven från Scocialstyrelsen.
Men låt oss först titta lite grundläggande information om de lagkrav/förslag som berör oss. Det är naturligtvis omöjligt att gå in på varje enskild punkt så för den med stort läsintresse finns länkar till mer djuplodande information. Avslutningsvis har vi också en kort genomgång av vad du skall tänka på och fråga om när du väljer journalsystem.
Innehållsförteckning
1. Datainspektionen – Patientdatalagen (PDL)
2. Socialstyrelsen – Gemensamma författningssamlingen avseende hälso- och sjukvård.
3. Datainspektionen – Dataskyddsförordningen (GDPR)
Datainspektionen – Patientdatalagen (PDL)
Patientdatalagen är regelverket för behandling av personuppgifter inom hälso- och sjukvården. Patientdatalagen ska tillämpas av alla vårdgivare, både i offentlig och privat regi.
Patientdatalagen kompletterar dataskyddsförordningen (GDPR)
Venturi har stöd för både Patientdatalagens personskyddsfunktioner och dataskyddsförordningens dito
Sammanhållen journalföring
Vilket innebär att flera vårdgivare kan ge och få direktåtkomst till varandras journalhandlingar om de uppfyller patientdatalagens krav.
Detta är inget som berör Venturi då vi inte har stöd för sammanhållen journalföring eftersom vi enbart inriktar oss på privata vårdbolag.
Inre sekretess
En reglering som innebär att bara den som behöver uppgifterna i sitt arbete inom hälso- och sjukvården får ta del av patientuppgifter.
Venturi är skyddat av en mycket sträng kryptering (256bitar) och varje anställd har ett unikt användarnamn och lösenord. All data sparas krypterat även backupkopior.
Patientens rätt
Patienten har rätt att spärra uppgifter både i vårdgivarens journalsystem och för andra vårdgivare vid sammanhållen journalföring.
Detta är inget som berör Venturi då vi inte har stöd för sammanhållen journalföring eftersom vi enbart inriktar oss på privata vårdbolag.
Endast vårdgivare får ta del av personuppgifter genom elektronisk åtkomst
I Venturi finns ingen möjlighet att logga in utan ett användarkonto vilket hindrar obehöriga från att ta del av data.
Socialstyrelsen
– Gemensamma författningssamlingen avseende hälso- och sjukvård, socialtjänster
Notera att detta inte är lagtext utan ”föreskrifter och allmänna råd”
Kontroll av uppgiven identitet
Venturi varnar om inte personnummer verkar stämma och journalrader kan endast skapas om man aktivt fyllt i ett personnummer alternativt aktivt valt att denna patient är utan svenskt personnummer.
Vårdgivaren ska genom ledningssystemet säkerställa att dokumenterade personuppgifter hos vårdgivaren är åtkomliga och användbara för den som är behörig.
Detta löses i Venturi genom att alla uppgifter är tillgänglig för all personal med inloggning.
Vårdgivaren ska genom ledningssystemet säkerställa att åtgärder kan härledas till en användare (spårbarhet) i informationssystemet
Venturi stämplar alla åtgärder med datum, tid och vem som utfört dem, dessutom spar en loggbok över vem som tar del av information om patient genom att exempelvis visa ett patientkort.
Vårdgivaren ska säkerställa att personuppgifter som behandlas i informationssystem säkerhetskopieras med en fastställd periodicitet. Säkerhetskopiorna ska förvaras på ett säkert sätt, väl åtskilda från originaluppgifterna.
Säkerhetskopiering i Venturi – Journalen sker löpande och utan att du som kund måste sätta dig in i komplicerade rutiner. Alla backuppkopior spara på krypterade diskar varav en ligger utanför serverhallen i fall något oväntad skulle hända i serverhallen. Backupkopior spars tre månader sedan raderas de.
Fysiskt skydd av informationssystem Vårdgivaren ska säkerställa att informationssystem som används för behandling av personuppgifter skyddas fysiskt mot skada, störning och obehörig åtkomst
Venturi serverhall är en av Sveriges högst skyddade miljöer, förutom fysiska spärrar, lås och larm så skyddas servrarna av avancerad släckningsutrustning och reservaggregat vid strömsvikt. Inga obehöriga har tillgång till hårdvaran och de som har tillgång till den har inte tillgång till mjukvaran (inloggning på servern)
Behandling av personuppgifter i öppna nät/mol m.m måste ske på ett sådant sätt att obehöriga inte kan ta del av dem inte ens personer med fysisk tillgång till hårdvaran.
Venturi skyddas av 256 bitars kryptering, en krypterad tunnel mellan klient och moln bildas när en klient kopplar upp sig, förutom detta skyddas inloggning med användarnamn och lösenord.
Datainspektionen – Dataskyddsförordningen (GDPR)
Det finns tre grundläggande punkter i GDPR (General Data Protection Regulation) eller dataskyddsförordnignen som förordningen heter på svenska.
1. En patient har rätt att bli glömd
Detta har vi löst i Venturi genom en raderingsfunktion som raderas alla persondata från hela systemet, notera att det för rtillfället är oklart vilken lag som väger tyngst Journalföringslagen eller Dataskyddsförordningen. Vi har byggt in funktion för bägge varianter för säkerhets skull.
2. En patient har rätt att få ut de data som sparats om honom/henne
I Venturi kan du enkelt exportera ut data från samtliga tabeller eller utvalda.
3. Ett samtycke måste inhämtas för att lagra personlig data
Det förväntas av dig att du skall skriva journal därför är det inte nödvändigt att inhämta samtycke men om du ändå vill göra detta så finns det ett antal samtyckesmallar i systemet och du kan själv lägga till nya.
Frågor du bör ställa innan du skaffar ett journalföringssystem.
- Uppfyller systemet kraven i Patientdatalagen?
- Uppfyller systemet rekommendationerna från socialstyrelsen?
- Uppfyller systemet Dataskyddsförordningen?
- Krypteras datan?
- Skyddas hårdvara mot fysisk intrång och skada?
- Kan inre sekretess garanteras?
- Hamnar persondata och journaldata utomlands?
- Tillgänglighet
- Sköts backup och hur ofta?
- Hur förvaras säkerhetskopior?
- Vem äger data juridiskt?
- Kan du ta ut data när du exempelvis vill byta system?
- Kostnader, löpande som fasta
- Bindningstid?
- Om du inte betalar vad händer då med journaler och patientdata?