Journalhantering

Här hittar du samlad information om rutiner för journalföring och sammanhållen journalföring, som bland annat patientens rätt att spärra information, medarbetaruppdrag och behörighetsbeställning i HSA-katalogen.

Rutiner för journalhantering

  • Behörighetsbeställning i HSA-katalogen
    • Tilldela behörighet för loggranskning

      Verksamhetschefen har det direkta ansvaret för såväl att tilldela som att kontrollera behörigheter. Principen är att den som har rätt att utdela behörigheter också har en skyldighet att kontrollera loggarna. Verksamhetschefen ska också informera sin personal om att:

      • det endast är tillåtet att ta del av de patientuppgifter som är nödvändiga för att utföra arbetsuppgiften
      • loggkontroll görs av personals åtkomst till patientuppgifter
      • ta del av patientuppgifter utöver vad arbetet kräver innebär att man gör sig skyldig till dataintrång

      I de fall då verksamhetschef/motsvarande chef väljer att delegera handläggningen av loggkontroll till annan personal ska delegeringen vara dokumenterad.

      På samma sätt som för hantering av behörigheter finns ett strategiskt tänk att samla loggar om personals åtkomst till patientuppgifter till en central plats utanför det IT-stöd där åtkomsten faktiskt sker. I en förlängning innebär detta att all loggranskning kan genomföras på ett ställe istället för som idag i varje enskilt IT-stöd. I den centrala loggtjänsten loggas idag personals åtkomst till patientuppgifter i nationella IT-stöd såsom NPÖ m fl. 

      Behörighetstilldelning för personal (verksamhetschefen och/eller delegerad personal) med uppdrag att loggranska i den centrala loggtjänsten sker med användande av medarbetaruppdrag i HSA.

    • Tilldela behörighet till patientuppgifter

      Det är respektive verksamhetschef som ansvarar för att tilldela personal inom sitt verksamhetsområde/vårdenhet individuell behörighet för åtkomst till patientuppgifter i vårdens IT-stöd. Behörigheten ska baseras på vad som är nödvändigt för att personalen ska kunna utföra sina arbetsuppgifter. För att kunna nyttja behörigheten och ta del av patientuppgifter krävs dessutom att den anställde antingen:

      • deltar i vården av patienten, eller
      • av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården

      Det finns ett strategiskt tänk att tilldelning av behörigheter ska ske samlat på ett ställe istället för som idag där det görs i varje separat IT-stöd. Den centraliserade lagringen av behörigheter kommer att ske i HSA-katalogen där respektive verksamhetschef tilldelar sin personal behörighet genom så kallade medarbetaruppdrag. Målsättningen är därmed att förhålla sig till och reglera behörighet för åtkomsten till information och inte till IT-stöd.

      Ett medarbetaruppdrag beskriver behörigheten uttryckt i begreppen:

      • Ändamål: till exempel vård och behandling (VoB), kvalitetssäkring, 
         kvalitetsregister och så vidare.
      • Aktivitet: läsa, skriva, signera.
      • Informationsresurstyp: diagnos, läkemedel, undersökningsresultat.
      • Omfattning: beskriver omfattningen för åtkomst till patientuppgifter så som inom egen vårdenhet (VE), inom egen vårdgivare (VG) eller i sammanhållen journalföring (SJF)

      Hur respektive medarbetaruppdrag kan användas för åtkomst till patientuppgifter beror också på personalens personliga egenskaper i HSA, såsom till exempel legitimerad yrkestitel, förskrivarkod och så vidare.

      Medarbetaruppdrag läggs upp per vårdenhet och personal tilldelas uppdrag per vårdenhet. Personal kan dock ha flera uppdrag, exempelvis på olika vårdenheter, och måste då välja det uppdrag som motsvarar den vårdenhet som den anställde befinner sig på. Vid behörighetstilldelning till nationella IT-stöd för hälso- och sjukvård används medarbetaruppdrag generellt. Införande och användning av medarbetaruppdrag i regionala IT-stöd sker successivt.

    • Medarbetaruppdrag

      I detta avsnitt beskrivs de typer av medarbetaruppdrag som idag används inom Region Skåne och vilken behörighet dessa ger avseende åtkomst till patientuppgifter.

      Hur respektive medarbetaruppdrag kan användas för åtkomst till patientuppgifter beror också på personalens personliga egenskaper i HSA, såsom till exempel legitimerad yrkestitel, förskrivarkod och så vidare.

      Följande medarbetaruppdrag finns att använda:

      • VoB Läkemedel: ger behörighet till personal som behöver ha åtkomst för att läsa uppgifter om patientens läkemedel. Personal med förskrivarkod (personlig egenskap) kan dessutom ordinera läkemedel. (Detta uppdrag ger i dagsläget behörighet till patientens uppgifter i nationella ordinationstjänsten Pascal) 
         
      • VoB SJF: ger behörighet till personal som med ändamålet vård och 
        behandling (VoB) som behöver kunna läsa patientens uppgifter även hos annan vårdgivare, det vill säga sammanhållen journalföring (SJF). (Detta uppdrag ger i dagsläget behörighet till patientens uppgifter i nationell patientöversikt (NPÖ). Medarbetaruppdraget VoB SJF omfattar även behörighet att läsa/ordinera patientens läkemedel. VoB Läkemedel tilldelas personal som endast ska ha behörighet för att läsa/ordinera läkemedelsuppgifter). 
         
      • Administration: ger behörighet till personal som fått i arbetsuppgift att utföra olika typer av administration, till exempel spärrhantering, 
        loggranskning, administration av IT-tjänster och så vidare. (Detta 
        uppdrag används i dagsläget för att ge behörighet till personal som delegerats arbetsuppgift att loggranska vårdenhetens åtkomst till NPÖ)

      Medarbetaruppdrag läggs upp och hanteras på vårdenhetsnivå och i medarbetaruppdragets namn ingår alltid vårdenhetens namn som suffix, till exempel "VoB SJF Vårdcentralen Granen".

      Hur vårdenhet beställer medarbetaruppdrag och hur personal tilldelas behörighet står att läsa om i följande dokument:

      "Rutin för hantering av behörighetsstyrande egenskaper i HSA-katalogen" (pdf)

    • Privata vårdgivare - behörighetsbeställning och medarbetaruppdrag

      Många privata vårdgivare saknar möjlighet att själva uppdatera Skånekatalogen. För dem ansvarar Enhet för uppdragsstyrning av hälso- och sjukvård respektive Enhet för tandvård för uppdateringen. (Det praktiska arbetet sköts för närvarande av personal på IT-avdelningen – e-postadress Contact). Enhet för uppdragsstyrning av hälso- och sjukvård respektive Enhet för tandvård svarar då även för att verksamhetschefen regelbundet får förteckning över personerna i vårdenhetens medarbetaruppdrag, så att denne kan säkerställa att medarbetaruppdraget bara innehåller relevanta personer.

      Verksamhetschefen beställer skriftligen registrering i Skånekatalogen av de personer som ska ingå i medarbetaruppdraget. Beställningen ska innehålla namn på medarbetaruppdraget samt namn och RSid på personerna och skickas till Enhet för uppdragsstyrning av hälso-och sjukvård respektive Enhet för tandvård eller av dem utsedd mottagare.

      Behov av nytt medarbetaruppdrag på privat vårdenhet ska framföras till berörd chef på Enhet för uppdragsstyrning av hälso- och sjukvård respektive Enhet för tandvård som beställer detta hos Skånekatalogens systemförvaltning.

    • Checklista för behörighetstilldelning via HSA

      Nedan ser du ett exempel på de steg som krävs för att ge personal behörighet via medarbetaruppdrag i HSA för åtkomst till den sammanhållna journalföringen/Nationell Patientöversikt.

      1. Vid varje vårdenhet ska det finnas en utsedd katalogadministratör med behörighet att kunna tilldela och administrera medarbetaruppdrag för vårdenhetens personal.

        Om vårdenheten saknar katalogadministratör med behörighet att ”Tilldela uppdrag” ska verksamhetschefen utse en sådan samt beställa behörighet till denne. Beställning sker per e-post till Contact

      2. Verksamhetschefen beställer medarbetaruppdrag VoB SJF och Administration till den egna vårdenheten per e-post till Contact
         
      3. Verksamhetschefen beslutar om personalens individuella behörigheter/uppdrag utifrån vad som är nödvändigt för att de ska kunna utföra sina arbetsuppgifter. 
         
      4. Katalogadministratören verkställer verksamhetschefens beslut om personalens tilldelning av medarbetaruppdrag. 
         
      5. Verksamhetschefen ansvarar för att tilldelade behörigheter i HSA är korrekta, det vill säga att de överensstämmer med underlaget. 

      Tilldelade behörigheter ska följas upp regelbundet och verksamhetschef ska därvid också säkerställa att personalen har relevant behörighet för att kunna utföra sina arbetsuppgifter, det vill säga att de varken har för mycket eller för liten behörighet.

  • Loggkontroll och begäran om loggutdrag
    • Regler för loggkontroll

      Patientdatalagen (PdL) ger hälso- och sjukvårdspersonal ökad möjlighet för åtkomst till patientuppgifter såväl inom Region Skåne som mellan olika vårdgivare. Detta ställer också krav på ökad spårbarhet och kontroll av vem som tar del av patientuppgifter.

      Vad är en logg?

      Varje gång någon läser i en elektronisk journal registreras aktiviteten. Det går då att i efterhand, via en så kallad logg, spåra vem som har läst journalen, var personen arbetar och när det ägde rum. Vid sammanhållen journalföring med andra vårdgivare utanför Region Skåne så loggas också åtkomst till patientuppgifter.

      Information till personal om logg (pdf)

      Loggutdraget

      Ett loggutdrag innehåller uppgifter om vem som har varit inne i en patients journal och vid vilken tidpunkt detta har skett. Beroende på vilket IT-stöd som finns kan loggutdraget vara mer eller mindre detaljerat. Har patienten frågor kring loggutdraget, exempelvis kring förkortningar eller yrkesroller kan patienten kontakta berörd vårdenhet. Vårdenheten kan i sin tur behöva kontakta förvaltarorganisationen för respektive IT-stöd. 

      Läs mer på sidan "Patients begäran om loggutdrag".  

      Loggkontroll

      Region Skåne är som vårdgivare skyldig att följa upp personalens elektroniska åtkomst till patientjournaler och kontrollera så att ingen obehörig tittat i dem. Loggutdrag behövs som underlag för att kunna följa upp åtkomst till patientuppgifter. Ansvaret för att kontrollera loggar ligger på verksamhetschefen och instruktioner för detta finns i följande dokument "Loggkontroll – granskning av åtkomst till patientuppgifter". Uppföljningen ska ske regelbundet och strukturerat, samt riktat vid misstanke om otillåten åtkomst. Personal som tar del av patientuppgifter utan att ha rätt till det polisanmäls som huvudregel, men kan även bli föremål för arbetsrättsliga påföljder.

      Verksamhetschefen ansvarar även för att kontrollera medarbetarnas åtkomst till andra vårdgivares patientuppgifter. Detta innebär att den verksamhetschef som har gett sin personal behörighet att titta på patientuppgifter hos andra vårdgivare, till exempel via systemen PMO eller NPÖ, ska följa upp detta. För att åtkomsten ska vara tillåtet ska personalen utöver behörigheten även ha en aktuell patientrelation, patientuppgifterna ska ha betydelse för vården och patienten måste samtycka till läsningen.

      Samtycke ges vanligen i direkt anslutning till vårdtillfället, men kan även ges i förväg vid planerade och konkreta vårdsituationer. Samtycke kan ges för en person eller vårdenhet. Exempel på sådana situationer är remisser och samordnad vårdplanering. Samtycke ska vara dokumenterat, till exempel i patientens journal, så att det går att spåra i efterhand. Det bör även framgå hur och när patienten har samtyckt.

      Om det vid loggkontroll uppstår misstanke att personal olovligen tagit del av patientuppgifter ska verksamhetschef agera enligt anvisningen:

      Dataintrång - åtgärder vid misstanke om olovlig åtkomst (pdf)

      Loggkontroll - granskning av åtkomst till patientuppgifter (pdf)

      Loggkontroll - förutsättningar i IT-stöden (pdf)

    • Patients begäran om loggutdrag

      En patient har rätt att ta del av logguppgifter, det vill säga en lista över vilka som har tittat i journalen, exempelvis i samband med ett mottagningsbesök. Här hittar du praktisk information om hur du går tillväga när en patient begär ut ett loggutdrag.

      Loggutdrag ska således tas fram när en patient begär att få veta vem som har läst dennes patientuppgifter. En logg kan komma att bli mycket omfattande beroende på antalet vårdtillfällen, eftersom varje aktivitet registreras. Vid begäran om utdrag av logguppgifter underlättar det därför mycket om patienten kan avgränsa begäran så mycket som möjligt gällande tid och rum.

      Följande blankett  ska fyllas i vid patients begäran om utdrag av logguppgifter. Blanketten skickas till nedanstående adress.

      Patients begäran om loggutdrag (pdf)

      Visa kontaktuppgifter

      Kontakt

      • Enheten för journal- och arkivservice
      • Postadress Regionarkivet Porfyrvägen 20 224 78 Lund
      Visa fler kontaktuppgifter
    • Om patient misstänker dataintrång

      Om en patient misstänker att någon har varit inne i dennes journal utan att ha rätt till det, ska patienten hänvisas till att kontakta verksamhetschefen på berörd vårdenhet eller personuppgiftsombudet i Region Skåne. En utredning ska då ske enligt anvisningen "Dataintrång - åtgärder vid misstanke om olovlig åtkomst". Du hittar dokumentet på sidan "Regler för loggkontroll". 

      Vid en sådan utredning kommer den misstänkte bland annat att konfronteras med utredningsmaterialet och få möjlighet att yttra sig. Patienten kommer också att informeras om utredningens resultat. Om misstanke fortfarande kvarstår är huvudregeln att en polisanmälan görs. En polisanmälan kan göras av vårdgivaren och/eller av patienten själv. Vårdgivaren har också möjlighet att hantera ärendet arbetsrättsligt, exempelvis genom avstängning.

      Den som olovligen bereder sig tillgång till ett elektroniskt personregister, till exempel patientuppgifter, kan dömas för dataintrång till fängelse eller böter enligt Brottsbalk (1962:700) 4 kap. 9 c §.

  • Om patient vill spärra uppgifter

    Uppgifter i patientens elektroniska journal som han/hon inte vill ska vara tillgängliga för andra vårdenheter inom Region Skåne eller för andra vårdgivare kan patienten spärra.

    Begäran om spärr registreras i patientjournalen. En patient kan när som helst låta häva spärren. För att häva spärr satt inom vårdgivaren Region Skåne kan patienten antingen fylla i blanketten föransökan om hävning och skicka den till Journal- och arkivservice eller använda sig av 1177 Vårdguidens e-tjänster. Patienten ansöker då om hävande av spärr.

    Uppstår en nödsituation i patientens hälsotillstånd och vårdpersonal behöver ha omedelbar tillgång till elektroniska uppgifter kan spärren hävas tillfälligt, utan patientens samtycke, via så kallad nödöppning.

    Läs mer om nödöppning vid sammanhållen journalföring på följande sida:
    När kan vårdpersonal begära nödöppning av journal?

    Patientinformation

    Spärra uppgifter i journal - blankett och informationsblad

    Spärrens omfattning inom vårdgivaren Region Skåne – två olika val

    En patient kan välja att spärra sina journaluppgifter på två olika sätt, nämligen att:

    1. Sätta spärr på sin elektroniska patientinformation som finns på en eller flera enheter (enhet = klinik, vårdcentral). Detta innebär att patientinformation som finns registrerad på den vårdenheten inte är tillgänglig för andra vårdenheter eller för andra vårdgivare (landsting, privata aktörer).
       
    2. Endast sätta spärr på sin patientinformation inom vårdgivaren Region Skåne gentemot andra vårdgivare. Detta innebär att andra vårdgivare inte kan komma åt den registrerade patientinformationen men att olika vårdenheter inom Region Skåne fortfarande har åtkomst. Enligt patientdatalagen 6 kap. 2 § 4 st. kan patient motsätta sig att dennes uppgifter hos en vårdgivare tillgängliggörs för andra vårdgivare och ska då kunna spärra uppgifterna. Patienten ska vända sig till den vårdgivare där uppgifterna, som ska spärras, finns.

      Privata vårdgivare som använder IT-stöd som Region Skåne tillhandahåller ska följa Region Skånes anvisningar och rapportera patienters begäran om spärr till Journal- och arkivservice. Privata vårdgivare som har egna journalsystem har ett ansvar att själva hantera att spärrförfrågningar från patienter blir införda i sådana system.

    Det är bara den vårdgivare som satt spärren som kan häva den. Detta innebär att uppgifterna inte kan göras tillgängliga genom sammanhållen journalföring även om patienten samtycker till det i det enskilda fallet.

    En spärr omfattar alltid samtliga uppgifter på en vårdenhet, det går alltså inte att spärra delar av uppgifterna. En patient kan inte heller spärra uppgifter gentemot viss personal (yrkeskategori eller namngiven). I dagsläget innebär också spärr med omfattning enligt alternativ ett att all information inom Region Skåne spärras gentemot andra vårdgivare.

    Observera att spärr endast gäller för elektroniska uppgifter i vården och inte för pappersburna uppgifter som kan utlämnas på sedvanligt sätt.

    Vem kan spärra patientinformation?

    En patient har rätt att spärra sina egna journaluppgifter enligt alternativen ovan. Vårdnadshavare har däremot inte rätt att spärra uppgifter om sina barn. Barn och ungdomar under 18 år kan beroende på mognads- och utvecklingsgrad spärra sina uppgifter på en vårdenhet trots att vårdnadshavare inte har rätt att göra det.

Tack för att du kontaktar oss, vi har tagit emot dina synpunkter

När du skickar in formuläret kommer vi att behandla dina personuppgifter för att utföra den uppgift som formuläret avser. Tänk på att det du skickar in kan bli en allmän handling.

Läs om hur Region Skåne hanterar personuppgifter