Hantering av patientuppgifter
Här är ett urval av centrala frågor som rör integritet och som SDV-programmet arbetar med.
Hur kommer patientuppgifter att hanteras i det nya patientjournalsystemet?
Region Skåne samverkar kring SDV med leverantören Oracle Svenska AB (dåvarande Cerner Sverige AB). Alla patientuppgifter i detta vårdsystem kommer att lagras i datacenter i Sverige. Ett så kallat PUB-avtal (personuppgiftsbiträdesavtal) mellan Region Skåne och Oracle reglerar hur personuppgiftsbehandlingen ska ske.
Under SDV-projektets gång kommer personuppgifter/patientuppgifter att migreras vid olika tillfällen, det vill säga föras över till det nya patientjournalsystemet. I ett första skede handlar det om personuppgifter/patientuppgifter för testverksamhet, vilket regionstyrelsen tog beslut om 2022-09-27; ”Driftsgodkännande av Migrering till M1912, Millennium steg 1”. I det beslutet omfattas både patientuppgifter samt anställdas personuppgifter. Överföringen av data startade under hösten 2022.
Kommer skånska patientjournaler att finnas tillgängliga för amerikanska myndigheter?
Nej. Leverantören Oracle Svenska AB är ett svenskt självständigt bolag, och all data kommer att lagras i Sverige i enlighet med svensk lagstiftning. Detta regleras också i avtalen mellan Region Skåne och Oracle. Oracle har även skriftligen bekräftat att de inte kommer att lämna ut några patientuppgifter på begäran av amerikanska myndigheter.
Kan Region Skåne lagra journalerna i en egen lösning?
Precis som när det gäller andra produkter och system som vi använder oss av, vänder vi oss till olika externa leverantörer med särskild expertkompetens och -resurser, som vi inte själva har. Detta gäller även de journalsystem som vi använder oss av idag.
När SDV införs, vad blir skillnaden?
I och med SDV, får vi en gemensam digital miljö, till skillnad från dagens miljö som inbegriper ett femtiotal olika system. Det ökar både patientsäkerheten och effektiviteten. Vi blir också bättre rustade att möta IT-hot.
Vissa av Region Skånes nuvarande IT-system är från 1970-talet och med det följer problematik som bland annat innebär att det är svårt att uppgradera dem så att de uppfyller alla säkerhetskrav. Med SDV blir möjligheterna att möta nya typer av IT-hot förbättrade och att kraven på hantering av patientkänslig information uppfylls. Hantering av patientdata ska både följa svensk lagstiftning och högsta standard vad gäller IT-säkerhet.
Hur skyddas patienternas journaluppgifter?
När du söker vård lagrar vårdgivaren journaluppgifterna i journalsystemet. Några olika lagar styr hur dessa uppgifter får användas. Journaluppgifter är skyddade av stark sekretess, och du kan begära att dina uppgifter ska spärras för andra vårdgivare eller för andra vårdenheter hos en och samma vårdgivare.
Läs vad som gäller för dina personuppgifter och din journal på 1177.se
Vad säger patientdatalagen om hantering av patientjournaler
Enligt patientdatalagen (2008:355) ska det föras patientjournal vid vård av patienter. Region Skåne har därmed en rättslig förpliktelse att behandla personuppgifter vid vård och behandling av patienter. Syftet med att föra en patientjournal är enligt patientdatalagen i första hand att bidra till en god och säker vård av patienten.
Patientdatalagen slår också fast att den behandling av personuppgifter som är tillåten får utföras även om den enskilde motsätter sig det. Det är Inspektionen för vård och omsorg (IVO) som beslutar om en patientjournal helt eller delvis ska förstöras. Det innebär att Region Skåne inte har rättslig möjlighet att besluta om radering eller begränsning av personuppgifter som behandlas inom hälso- och sjukvården.
Dina rättigheter
När dina personuppgifter behandlas av Region Skåne har du vissa rättigheter. Särskilda regler för hur vi måste hantera allmänna handlingar kan påverka dessa rättigheter på olika sätt.
Mer information om dina rättigheter på skane.se
Fakta PUB-avtal
Personuppgiftsbiträdesavtal säkerställer att:
- Båda parter, personuppgiftsansvarig och personuppgiftsbiträde, följer dataskyddsförordningen
- Båda parter är medvetna om sina åtaganden och skyldigheter mot varandra och de registrerade
- Båda parter skyddar kunders, personals och andra kategorier av registrerades personuppgifter
- Båda parter dokumenterar tydligt och kan visa att de följer reglerna (ansvarsskyldighet)
Personuppgiftsansvarig ska säkerställa att biträdet hanterar uppgifterna på ett säkert sätt. I PUB-avtalet regleras hur uppgifterna ska lagras och behandlas samt alla skyddsåtgärder för att det ska vara säkert.