Personuppgifter

Flera regioner kommunicerar idag med patienterna via sms och e-post. SKR rekommenderar att regionerna följer Socialstyrelsens rekommendationer när kommunikation sker via dessa kanaler.

SKR rekommenderar regionerna att följa Socialstyrelsens föreskrifter och allmänna råd om behandling av personuppgifter i öppna nät, vilket omfattar till exempel internet, sms och e-post.

Journalföring, personuppgifter hälso-och sjukvården, Socialstyrelsen

Hälso-och sjukvårdslagen (HSLF-FS 2016:40) har flera paragrafer som reglerar överföring av information mellan vårdgivare och patient.

Behandling av personuppgifter i öppna nät

Innan en vårdgivare börjar behandla uppgifter om patienter i öppna nät behöver en behovs- och riskanalys genomföras. Behovs- och riskanalysen ska dokumenteras.

Vid behandling av uppgifter om patienter i öppna nät måste uppgifterna överföras genom en krypterad förbindelse eller genom att kryptera uppgifterna.

3 kap. 15 § hälso-och sjukvårdslagen

Om vårdgivaren använder öppna nät vid behandling av personuppgifter, ska denne ansvara för att:

1. överföring av uppgifterna görs på ett sådant sätt att inte obehöriga kan ta del av dem
2. elektronisk åtkomst eller direktåtkomst till uppgifterna föregås av stark autentisering.

Undantag från behandling av personuppgifter i öppna nät

Undantag från kraven om skyddad överföring i 3 kap. 15 § 1 får göras efter genomförd behovs- och riskanalys då uppgifter om patienter ingår i påminnelser och kallelser.

Det betyder att uppgifter om patienter i påminnelser och kallelser som kommuniceras över öppna nätverk inte behöver krypteras. Däremot behöver kommunikationen föregås av stark autentisering.

3 kap. 16 § hälso-och sjukvårdslagen

Efter att ha gjort en behovs- och riskanalys får vårdgivaren besluta om undantag från kraven i 15 § 1. Vårdgivaren ska dokumentera beslutet och behovs- och riskanalysen.

3 kap. 17 § hälso-och sjukvårdslagen

En överföring av en påminnelse eller en kallelse får:

1. endast göras efter att patienten har gett sitt medgivande
2. inte avslöja detaljer om patientens hälsotillstånd eller andra personliga förhållanden.

Vårdgivaren bör ha rutiner som säkerställer att patientens kontaktuppgifter är riktiga och aktuella.

Exempel på vad ovanstående konkret kan innebär:

• SMS eller e-post ska till exempel inte innehålla information om att en patient har besökt en viss verksamhet. Det utgör information om patientens hälsotillstånd eller personliga förhållanden.
• Länkar i SMS eller e-post bör undvikas eftersom länkar ibland kan innehålla personinformation men också för att länkar används i bedrägerisyfte.
• Om länkar ändå används:
  • Länkar i SMS eller e-post till enkäter som avslöjar information om en verksamhet som har besökts ska föregås av stark autentisering. Det ska göras för att inte riskera att avslöja information om patientens hälsotillstånd eller personliga förhållanden.
  • Det är säkrare att navigera patienten till en landningssida där patienten själv får ange sina uppgifter med stark autentisering, i stället för att patienten kommer direkt till enkäten via en länk.

Personuppgiftsbehandling inom hälso-och sjukvården, Socialstyrelsen