Vårdgivarens ansvar för personuppgiftsbehandling och journalföring. För hälso- och sjukvården.
Ledningssystem
Vårdgivaren ska ha dokumenterade processer och rutiner för journalföringen och behandling av personuppgifter. Det ska också finnas regler för vem som till exempel är behörig att dokumentera och läsa eller på annat sätt hantera uppgifterna.
Informationssäkerhet
Vårdgivaren ansvarar för att det finns en informationssäkerhetspolicy. Den ska innehålla övergripande mål och inriktning för informationssäkerhetsarbetet. Syftet är att säkerställa personuppgifters tillgänglighet, riktighet, konfidentialitet och spårbarhet.
Om vårdgivaren till exempel använder öppna nät vid behandling av personuppgifter har vårdgivaren ansvar för att obehöriga inte kan ta del av uppgifterna. Uppgifterna skyddas genom kryptering av förbindelsen och tillgången ska föregås av stark autentisering. Det innebär till exempel att vårdgivaren använder en inloggning som ställer krav på att den enskildes identitet kontrolleras på minst två olika sätt (e-legitimation eller motsvarande).
Vårdgivaren ska även utse en eller flera personer som ska leda och samordna arbetet med informationssäkerhet. Minst en gång om året ska detta arbete rapporteras till vårdgivaren. Sammanställningen ska bland annat innehålla
- riskanalyser
- incidenter som påverkat informationssäkerheten och medfört eller hade kunnat medföra vårdskada
- uppföljningar som gjorts
- förbättringsåtgärder som utförts.
IT-system
Olika vårdgivare får dela samma IT-system men kan inte få behörighet att se varandras patientjournaler, om inte reglerna för sammanhållen vård- och omsorgsdokumentation är aktuella. Om vårdgivaren är ansluten till sammanhållen vård- och omsorgsdokumentation får vårdgivaren, under vissa förutsättningar, ta del av patientjournaler. Man får dock inte skriva i andra vårdgivares patientjournaler. Läs mer under Direktåtkomst eller annat elektroniskt utlämnande - övergripande.
Behörigheter och åtkomstkontroll
Vårdgivaren har ansvar för att varje användare tilldelas en individuell behörighet för åtkomsten av personuppgifter som förs helt eller delvis automatiserat. Sådan behörighet ska begränsas till vad som behövs för att användaren ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Det ingår i vårdgivarens ansvar att bestämma villkoren för varje enskild användares behörighet. Vårdgivaren ansvarar också för åtkomstkontroll (granskning av logg).
Vårdgivarens ansvar för styrning av behörigheter och åtkomstkontroll gäller på samma sätt vid sammanhållen vård- och omsorgsdokumentation.
Arkivering och gallring
En journalhandling ska sparas i minst tio år efter den sista uppgiften fördes in. I offentlig hälso- och sjukvård gäller arkivlagens regler om bevaring och gallring. Vårdgivaren ska säkerställa att uppgifter i patientjournalen förvaras så att de är läsbara tills de gallras.
Mer information
Handbok
Meddelandeblad
Lagar och föreskrifter
- EU:s allmänna dataskyddsförordning (EU/2016/679)
- Patientdatalagen (2008:355)
- Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete (konsoliderad version)
- Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården (konsoliderad version)
Texten på denna sida presenterar endast vissa huvuddrag i lagstiftningen på området. Texten innehåller förenklingar och är inte uttömmande. Det är författningstexten som gäller.