Rutiner för journalhantering

• Loggkontroll och begäran om loggutdrag
  • Regler för loggkontroll

    Patientdatalagen (PDL) ger hälso- och sjukvårdspersonal ökad möjlighet för åtkomst till patientuppgifter såväl inom Region Skåne som mellan olika vårdgivare. Detta ställer också krav på ökad spårbarhet och kontroll av vem som tar del av patientuppgifter.

    Vad är en logg?

    Varje gång någon läser i en elektronisk journal registreras aktiviteten. Det går då att i efterhand, via en så kallad logg, spåra vem som har läst journalen, var personen arbetar och när det ägde rum. Vid sammanhållen journalföring med andra vårdgivare utanför Region Skåne så loggas också åtkomst till patientuppgifter.

    Information till personal om logg (pdf)

    Loggutdraget

    Ett loggutdrag innehåller uppgifter om vem som har varit inne i en patients journal och vid vilken tidpunkt detta har skett. Beroende på vilket IT-stöd som finns kan loggutdraget vara mer eller mindre detaljerat. Har patienten frågor kring loggutdraget, exempelvis kring förkortningar eller yrkesroller kan patienten kontakta berörd vårdenhet. Vårdenheten kan i sin tur behöva kontakta förvaltarorganisationen för respektive IT-stöd. 

    Läs mer under rubriken "Patients begäran om loggutdrag". 

    Patients begäran om loggutdrag

    Loggkontroll

    Region Skåne är som vårdgivare skyldig att följa upp personalens elektroniska åtkomst till patientjournaler och kontrollera så att ingen obehörig tittat i dem. Loggutdrag behövs som underlag för att kunna följa upp åtkomst till patientuppgifter.

    Ansvaret för att kontrollera loggar ligger på verksamhetschefen och instruktioner för detta finns i följande dokument "Loggkontroll – granskning av åtkomst till patientuppgifter". Uppföljningen ska ske regelbundet och strukturerat, samt riktat vid misstanke om otillåten åtkomst.

    Personal som tar del av patientuppgifter utan att ha rätt till det polisanmäls som huvudregel, men kan även bli föremål för arbetsrättsliga påföljder.

    Verksamhetschefen ansvarar även för att kontrollera medarbetarnas åtkomst till andra vårdgivares patientuppgifter. Detta innebär att den verksamhetschef som har gett sin personal behörighet att titta på patientuppgifter hos andra vårdgivare, till exempel via systemen PMO eller NPÖ, ska följa upp detta.

    För att åtkomsten ska vara tillåtet ska personalen utöver behörigheten även ha en aktuell patientrelation, patientuppgifterna ska ha betydelse för vården och patienten måste samtycka till läsningen.

    Samtycke ges vanligen i direkt anslutning till vårdtillfället, men kan även ges i förväg vid planerade och konkreta vårdsituationer. Samtycke kan ges för en person eller vårdenhet. Exempel på sådana situationer är remisser och samordnad vårdplanering. Samtycke ska vara dokumenterat, till exempel i patientens journal, så att det går att spåra i efterhand. Det bör även framgå hur och när patienten har samtyckt.

    Om det vid loggkontroll uppstår misstanke att personal olovligen tagit del av patientuppgifter ska verksamhetschef agera enligt anvisningen:

    • Dataintrång - åtgärder vid misstanke om olovlig åtkomst (pdf)
    • Loggkontroll - granskning av åtkomst till patientuppgifter (pdf)
  • Patients begäran om loggutdrag

    En patient har rätt att ta del av logguppgifter, det vill säga en lista över vilka som har tittat i journalen, exempelvis i samband med ett mottagningsbesök. Här hittar du praktisk information om hur du går tillväga när en patient begär ut ett loggutdrag.

    Loggutdrag ska således tas fram när en patient begär att få veta vem som har läst dennes patientuppgifter. En logg kan komma att bli mycket omfattande beroende på antalet vårdtillfällen, eftersom varje aktivitet registreras. Vid begäran om utdrag av logguppgifter underlättar det därför mycket om patienten kan avgränsa begäran så mycket som möjligt gällande tid och rum.

    Patienten kan beställa ett loggutdrag från Region Skånes Journalservice. Använd denna  blankett.

    Patients begäran om loggutdrag (pdf)

  • Om patient misstänker dataintrång

    Om en patient misstänker att någon har varit inne i dennes journal utan att ha rätt till det, ska patienten hänvisas till att kontakta verksamhetschefen på berörd vårdenhet. Om loggutdrag visar på åtkomst som kan vara olovlig ska en utredning enligt "Instruktion åtgärder vid misstanke om dataintrång avseende patientuppgifter" ske. Instruktionen finns på sidan "Regler för loggkontroll". 

    Utredningen ska visa om det finns godtagbara skäl för åtkomsten. Det ska finnas underlag för misstanken i form av logglistor och den berörda medarbetaren ska ges möjlighet att förklara skälen till att hen har tagit del av patientuppgifterna. Om misstanken om dataintrång kvarstår informerar verksamhetschefen den berörda patienten, samt förvaltningschefen, som efter samråd med HR-funktion, beslutar om eventuellt fortsatt straff- och arbetsrättsliga åtgärder. Huvudregeln är att en polisanmälan görs. En polisanmälan kan även göras av patienten själv.

    Den som olovligen bereder sig tillgång till ett elektroniskt personregister, till exempel patientuppgifter, kan dömas för dataintrång till fängelse eller böter enligt Brottsbalk (1962:700) 4 kap. 9 c §.

• Om patient vill spärra uppgifter

  Uppgifter i patientens elektroniska journal som han/hon inte vill ska vara tillgängliga för andra vårdenheter inom Region Skåne eller för andra vårdgivare kan patienten spärra.

  Begäran om spärr registreras i patientjournalen. En patient kan när som helst låta häva spärren. För att häva spärr satt inom vårdgivaren Region Skåne kan patienten antingen fylla i blanketten föransökan om hävning och skicka den till Journalservice eller använda sig av e-tjänsterna på 1177.se. Patienten ansöker då om hävande av spärr.

  Uppstår en nödsituation i patientens hälsotillstånd och vårdpersonal behöver ha omedelbar tillgång till elektroniska uppgifter kan spärren hävas tillfälligt, utan patientens samtycke, via så kallad nödöppning.

  När kan vårdpersonal begära nödöppning av journal?

  Patientinformation

  Du kan hänvisa patienter till 1177.se. Där finns både informationsmaterial och blankett för att spärra uppgifter i journalen.

  Din journal (1177.se)

  Spärrens omfattning inom vårdgivaren Region Skåne – två olika val

  En patient kan välja att spärra sina journaluppgifter på två olika sätt, nämligen att:

  1. Sätta spärr på sin elektroniska patientinformation som finns på en eller flera enheter (enhet = klinik, vårdcentral).
  2. Endast sätta spärr på sin patientinformation inom vårdgivaren Region Skåne gentemot andra vårdgivare.

  Sätta spärr på sin elektroniska patientinformation som finns på en eller flera enheter

  Detta innebär att patientinformation som finns registrerad på den vårdenheten inte är tillgänglig för andra vårdenheter eller för andra vårdgivare (regioner, privata aktörer).

  Endast sätta spärr på sin patientinformation inom vårdgivaren Region Skåne gentemot andra vårdgivare.

  Detta innebär att andra vårdgivare inte kan komma åt den registrerade patientinformationen men att olika vårdenheter inom Region Skåne fortfarande har åtkomst. Enligt patientdatalagen 6 kap. 2 § 4 st. kan patient motsätta sig att dennes uppgifter hos en vårdgivare tillgängliggörs för andra vårdgivare och ska då kunna spärra uppgifterna.

  Patienten ska vända sig till den vårdgivare där uppgifterna, som ska spärras, finns.

  Så ska privata vårdgivare hantera spärren

  Privata vårdgivare som använder IT-stöd som Region Skåne tillhandahåller ska följa Region Skånes anvisningar och rapportera patienters begäran om spärr till Journalservice. Privata vårdgivare som har egna journalsystem har ett ansvar att själva hantera att spärrförfrågningar från patienter blir införda i sådana system.

  Häva spärren

  Det är bara den vårdgivare som satt spärren som kan häva den. Detta innebär att uppgifterna inte kan göras tillgängliga genom sammanhållen journalföring även om patienten samtycker till det i det enskilda fallet.

  En spärr omfattar alla uppgifter

  En spärr omfattar alltid samtliga uppgifter på en vårdenhet, det går alltså inte att spärra delar av uppgifterna. En patient kan inte heller spärra uppgifter gentemot viss personal (yrkeskategori eller namngiven). I dagsläget innebär också spärr med omfattning enligt alternativ ett att all information inom Region Skåne spärras gentemot andra vårdgivare.

  Observera att spärr endast gäller för elektroniska uppgifter i vården och inte för pappersburna uppgifter som kan utlämnas på sedvanligt sätt.

  Vem kan spärra patientinformation?

  En patient har rätt att spärra sina egna journaluppgifter enligt alternativen ovan. Vårdnadshavare har däremot inte rätt att spärra uppgifter om sina barn. Barn och ungdomar under 18 år kan beroende på mognads- och utvecklingsgrad spärra sina uppgifter på en vårdenhet trots att vårdnadshavare inte har rätt att göra det.