Gå tillbaka

Kåseri om patientdatalagen i lekmansjuridisk språkdräkt

Publicerad av Jonas Öholm, kategoriserad under Blogg.

Ingen av oss vill väl bryta mot patientdatalagen, men kan det vara så att du gör det, omedvetet?
Låt oss se på några exempel (Skrivet i all välmening, vill inte peka finger åt något särskilt håll, bara väcka tankar och diskussion):

Fall A) Inloggning med namn och lösenord (t.ex de flesta system) =>

§1 Lämna datorn och se hur fönstret med patientdata ligger kvar på skärmen oavsett hur långt bort du går
§2 Hallå där din lilla latmask! Gå genast tillbaka till datorn och stäng fönstret med känslig patientinformation
§3 Om §2 inte är realistiskt p.g.a. någon anledning bryter du mot patientdatalagen!
§4 Skyll på IT-avdelningen, IT-industrin och hävda ”fara i nöd” samt allmän utmattning vilket gjorde att du glömde stänga fönstret med ett musklick. Hoppas på friande dom.

Fall B) Inloggning med engångskod via SMS (t.ex Pascal) =>

§1 Radera ditt engångskods-SMS från din telefon och se hur fönstret med känslig patientinformation på datorn på något magiskt stängs och sessionen inte kan återtas
§2 Om magin nämnd i §1 inte fungerar vilar ansvaret på dig som anställd inom vården eftersom radering av SMS ännu inte kopplats till fönsterstängning
§3 Skyll på IT-avdelningen, IT-industrin och hävda ”fara i nöd” samt allmän utmattning vilket gjorde att du glömde stänga fönstret med ett musklick. Hoppas på friande dom.

Fall C) Inloggning med smartkort (t.ex Pascal, NPÖ, MVK osv) =>

§1 Ryck kortet och a) fönstret stängs och b) sessionen kan inte återtas
§2 Om §1 a) inte fungerar har du, eller din IT-avdelning, glömt att konfigurera rätt, t.ex. ”Betrodda sajter”
§3 Om §1 b) inte fungerar och session kan återtas sätt, eller be din IT-avdelning sätta, TabProcGrowth till 0, eller vänd (ut och in) på varje sten.
§4 Om ingen orkar ta tag i ovanstående så skyll allt på det smarta kortet, gå ut i IT-pressen och be om att få tillbaka fall A) som kändes tryggt och hemvant.

Relevanta lag- och författningsrum

Patientdatalag (2008:355)
3 kap. Skyldigheten att föra patientjournal
10 § En journalanteckning ska, om det inte finns något synnerligt hinder, signeras av den som ansvarar för uppgiften.
Kommentar: Bisak i sammanhanget, men vem vet vad ”signera” är i dagens läge? Jag vet många olika sätt att ”signera”
4 kap. Grundläggande bestämmelser om inre sekretess och elektronisk åtkomst inom en vårdgivares verksamhet
Inre sekretess
1 § Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.
Kommentar: Av detta följer väl rimligen att folk i allmänhet som dräller runt i korridorerna inte få ta del av patientuppgifter på dataskärmar som står utställda. Bra paragraf!

Socialstyrelsens föreskrifter (SOSFS 2008:14)

Öppna nät
5 § Om vårdgivaren använder öppna nät för att hantera patientuppgifter, ska denne ansvara för att det i ledningssystemet finns rutiner som säkerställer att
1. överföring av patientuppgifter görs på ett sådant sätt att ingen obehörig kan ta del av uppgifterna, och
2. åtkomst till patientuppgifter föregås av stark autentisering.
Kommentarer:
– Även näten inne på sjukhusen närmar sig den gräns när de av IT klassas som ”öppna”
– Överföring torde handla om när man skickar datapaket, men man kan ju tolka det som så att överföringen kan ske med hjälp av ljus mellan dataskärm och godtycklig person som dräller runt i korridoren eller smyger in i ett tomt behandlingsrum.
– Notera att det står ”föregås”. Jag väljer att tolka det som att man utan vidare kan logga på en domän eller IDP med sitt kort och där få en biljett som sedan används för att få åtkomst till patientuppgifter.

Här synes vissa samtal i frågan landa i att Patientdatalagen (2008:355) samt Socialstyrelsens föreskrifter (SOSFS 2008:14) ska läsas på så vis att de smarta korten och programmen på datorn (Windows, Internet Explorer, Net iD, SAML-biljetter osv) ”bryter mot patientdatalagen” om inte alla ”känsliga” fönster på skärmen stängs när man rycker kortet.

Jag vill då hänvisa till ovan beskrivna fall A), B) och C) samt ställa en fråga:
– Vem är ansvarig om läkaren glömmer dra ur kortet?

• Inera och eHälsomyndigheten?
• Läkaren själv?
• Killen som kom in med en skottskada vilken gjorde att läkaren blev stressad och glömde ta ur kortet?
• IT-avdelningen som underlåtit att tillhandahålla en ”skidlifts-jojo” mellan läkarens kort och läkarens egen kropp?
• SecMaker och Net iD?
• Microsoft?
• Tieto och CGI?
• Socialstyrelsen?
• Riksdagen?
• Läkarfacket som sagt nej till att medlemmarna opererar in NFC eller Bluetooth-kretsar under huden så att allt kan stängas om man kommer mer än 3 meter från dataskärmen?
• Främmande makt?
• Ren otur, ingen ansvarig går att utse?

Jag önskar en balans mellan tekniska lösningar och personligt ansvar. Är det en orimlig önskan?

Jonas Öholm

Kommentera