Hantering av personer med skyddade personuppgifter
Transcription
Hantering av personer med skyddade personuppgifter
Dokumentrubrik Dokumentnr Revision Riktlinje för hantering av personer med skyddade personuppgifter Förvaltning Ägare Reviderat datum Hälso- och sjukvård, Folktandvården, Företaghälsa och tolkförmedling, Regionservice Agata Cierzniak 2015-05-27 Verksamhet Slutgranskare Samtliga Sofia Öhrman Diarienr Dokumentkategori Fastställare Giltigt datum fr o m 15RS2440 Riktlinje Rickard Simonsson 2015-05-27 Hantering av personer med skyddade personuppgifter Innehållsförteckning 1 Inledning/syfte .................................................................................................................................1 1.1 Skyddade personuppgifter enligt Skatteverket .......................................................................2 1.1.1 Sekretessmarkering hos Skatteverket ....................................................................2 1.1.2 Kvarskrivning ...........................................................................................................3 1.1.3 Fingerade personuppgifter (”ny identitet”) ...............................................................3 2 Omfattning/tillämpningsområde ....................................................................................................3 3 Ansvar ..............................................................................................................................................3 4 Giltighetstid......................................................................................................................................4 5 Hantering av patienter med skyddade personuppgifter .............................................................4 5.1 Sekretessmarkering/kvarskrivning .........................................................................................4 5.1.1 Generella anvisningar .............................................................................................4 5.1.2 Patientadministration och journalföring ...................................................................4 5.1.3 Sjukresetransport ....................................................................................................5 5.1.4 Remisser .................................................................................................................5 5.1.5 Intyg och utlåtanden ................................................................................................5 5.1.6 Redan registrerade uppgifter ..................................................................................5 5.1.7 Sammanhållen journalföring ...................................................................................5 5.1.8 Telefon ....................................................................................................................5 5.1.9 E-post ......................................................................................................................5 5.1.10 Utlämnande av journalhandlingar ...........................................................................5 5.1.11 1177 Vårdguidens e-tjänst Mina vårdkontakter ......................................................6 5.1.12 Post .........................................................................................................................6 5.2 Högriskpatient .........................................................................................................................6 5.3 Vid frågor ................................................................................................................................7 6 Nyckelord .........................................................................................................................................7 1 Inledning/syfte Syftet med denna riktlinje är att klargöra vad som avses med skyddade personuppgifter samt uppnå en enhetlig hantering av personer med skyddade personuppgifter inom Region Örebro län (regionen). Alla personuppgifter, inklusive de skyddade personuppgifterna, avviseras automatiskt från Skatteverket senast inom en vecka efter registrering till de flesta myndigheterna, kommuner, Kopia utskriftsdatum: 2015-08-24 Sid 1 (7) Diarienr Dokumentkategori Dokumentrubrik Dokumentnr Revision Reviderat datum Giltigt datum fr o m landsting, regioner och SPAR1. Mottagande myndighet bestämmer utifrån egna behov hur hantering av personuppgifter ska ske. Uppgifter som registreras i Skatteverkets folkbokföringssystem exempelvis personnummer, namn och adress, är som huvudregel offentliga. I vissa fall kan utlämnande av personuppgifter till utomstående omfattas av sekretess om det kan antas att en person eller dennes närstående kan lida men om dessa uppgifter lämnas ut. Skyddade personuppgifter är Skatteverkets samlingsrubrik för skyddsåtgärderna2: Sekretessmarkering Kvarskrivning Fingerade personuppgifter Sekretessmarkering hos Skatteverket ska inte sammanblandas med uttrycken som finns i regionens interna system. I Infomedix och Klinisk Portal kan sekretess registreras för varje vårdtillfälle i syfte att stödja användaren i externa kontaker med bl.a. anhöriga. På patientens begäran kan sekretess markeras som: ”Delvis sekretess”- uppgifter om patientens tillstånd kan lämnas enbart till uttryckligt angivna personer, eller ”Full sekretess”- uppgifter om patientens hälsotillstånd kan inte lämnas Utöver det ovannämnda bör hänsyn tas till patienter som kan anses vara i behov av en skyddad identitet under vårdtiden, s.k. högriskpatienter. 1.1 1.1.1 Skyddade personuppgifter enligt Skatteverket Sekretessmarkering hos Skatteverket Enligt offentlighets- och sekretesslagen (2009:400), kan en markering för särskild sekretessprövning, s.k. sekretessmarkering, införas. För sekretessmarkering krävs det normalt att fråga är om ett konkret hot. Det räcker alltså inte att personen känner fruktan och anser sig förföljd. Det måste också objektivt föreligga en risk för förföljelse. Dessutom måste personen som är utsatt för hot eller förföljelse kunna styrka sin hotbild för Skatteverket. Sekretessmarkeringen löper ett år och därefter görs en ny prövning ifall hotbilden består. Denna markering innebär inte någon absolut sekretess utan fungerar som en varningssignal. OBS! Sekretessmarkering kan även avse närstående. Markering överförs även för personer som är folkbokförda på samma adress som personen med sekretessmarkering då även de berörs av en hotsituation. Från själva markeringen framgår inte vilka uppgifter som är skyddsvärda. Särskilt uppmärksamhet bör riktas mot uppgifter om: 1 Statens personadressregister, SPAR, är ett offentligt register som omfattar alla personer som är folkbokförda i Sverige, både svenska och utländska medborgare. I registret ingår även personer som erhållit samordningsnummer och vars identitet är fastställd. Skatteverket är huvudman och personuppgiftsansvarig för SPAR sedan 1 januari 2009. 2 I oktober 2013 hade 12153 personer skyddade personuppgifter i Sverige varav 10139 hade en sekretessmarkering, 2013 personer hade sekretessmarkering och kvarskrivning och 1 person hade enbart kvarskrivning. Kopia utskriftsdatum: 2015-08-24 Sid 2 (7) Diarienr Dokumentkategori 1.1.2 Dokumentrubrik Dokumentnr Revision Reviderat datum Giltigt datum fr o m Adress Nytt namn Närstående till personen med sekretessmarkering- barn, föräldrar, m.m. Könsbyte- kopplingen mellan det gamla och det nya personnummer resp. gammalt och nytt förnamn Kvarskrivning Kvarskrivning regleras i folkbokföringslagen (1991:481). En kvarskrivning innebär att personen får vara kvarskriven på sin gamla adress. Den gamla adressen tas bort från Skatteverkets folkbokföringsregister och i adressfältet anges: ”Förmedlingsuppdrag”. I motsatsen till sekretessmarkeringen registreras aldrig den nya adressen i folkbokföringsregister och sprids därmed inte heller till andra myndigheter (exempelvis: Region Örebro län). Kravet för att få bli kvarskriven är att personen av särskilda skäl kan antas bli utsatt för brott, förföljelser eller andra allvarliga trakasserier. Omständigheterna ska i princip motsvara de som gäller för meddelande av besöksförbud. Ansökan om kvarskrivning ska biträdas av polismyndigheten eller socialnämnden på Skatteverkets begäran. Ett beslut om kvarskrivning kan kombineras med sekretessmarkering. Kvarskrivningen gäller i högst tre år i taget räknat från dagen personen har flyttat. 1.1.3 Fingerade personuppgifter (”ny identitet”) Fingerade personuppgifter regleras i lagen om fingerade personuppgifter (1991:483) och innebär att alla personuppgifter tas bort och ersätts med nya. Detta tillgrips som en säkerhetsåtgärd för personer som utsatts för särskilt allvarlig brottslighet, brott som är direkt livshotande eller som syftar till grov kroppsskada eller frihetskränkning. Rikspolisstyrelsen är ensam ansvarig för handläggning och uppföljning av ärenden som avser fingerade personuppgifter. Koppling mellan den nya och den gamla identiteten finns endast hos Rikspolisstyrelsen och sekretessen gäller även för uppgifter som tillförs ärendet efter ett byte av personuppgifter. 2 Omfattning/tillämpningsområde Riktlinjen gäller inom Förvaltningen för hälso- och sjukvård, Förvaltningen för folktandvård, Förvaltningen för företagshälsa och tolkförmedling och Förvaltningen för regionservice. 3 Ansvar Verksamhetschef/motsvarande ska se till att denna riktlinje görs känd inom verksamheten, nyanställd personal informeras samt att uppföljning av att reglerna om hantering av skyddade personuppgifter efterföljs. Initiering av loggkontroll efter avslutad behandling av en patient med skyddade personuppgifter ankommer på verksamhetchefen/motsvarande. Loggkontroll kan överlåtas till personuppgiftsombudet enligt överenskommelse. På verksamhetsnivå ska det snarast upprättas rutiner på hur denna riktlinje efterlevs. En rutin ska innehålla sammanställning av åtgärder som ska vidtas när en patient med skyddade personuppgifter kontaktar verksamheten. Detta gäller alla steg från telefon bokning, omhandärtagande av patient vid besök fram till utskrivning och ev. uppföljning. Kopia utskriftsdatum: 2015-08-24 Sid 3 (7) Diarienr Dokumentkategori Dokumentrubrik Dokumentnr Revision Reviderat datum Giltigt datum fr o m Det kan finnas behov av snabbt agerande i brådskande situationer varför en rutin ska göras känd inom verksamheten och genomgås grundligt med personalen. Detta åligger verksamhetschefen/motsvarande. Det kan vara befogat att patienten får fortsatt kontakt med samma person under ett pågående vårdtillfälle. Den anställde som ansvarar för patienten med skyddade personuppgifter har möjlighet att direkt samråda med personuppgiftsombudet i frågor som berör denna riktlinje. 4 Giltighetstid Riktlinjen gäller tills vidare. Uppdateringar ska ske regelbundet med beaktande av författningsändringar dock minst vart fjärde år. Regiondirektören utser ansvarig för genomgången. 5 Hantering av patienter med skyddade personuppgifter 5.1 5.1.1 Sekretessmarkering/kvarskrivning Generella anvisningar Den enskilde har ett ansvar för att själv upplysa om eventuell skyddsåtgärd eftersom det inte åligger en myndighet att utan anledning kontrollera om en person har sekretessmarkeringen/kvarskrivning i folkbokföringen. 5.1.2 Patientadministration och journalföring Kontrollera i befolkningsregistret eller begär en handling från patienten som styrker sekretessmarkeringen/kvarskrivning ifall uppgifter om säkerhetsåtgärden inte finns i befolkningsregistret. Adressuppgifterna, varken permanenta eller tillfälliga som kan ge ledning om var personen befinner sig får aldrig läggas till trots patientens medgivande. Detsamma gäller uppgifter om kontaktpersoner, telefonnummer, arbetsplats, skola, vårdcentral eller annan information som kan avslöja patientens vistelse. Egen kodning av patient i systemet då patientens identitet är känd, ska inte ske. Patienten ska inte registreras som okänd/skyddad identitet/mm. Personuppgifter uppdateras dagligen/resp. veckovis från Skatteverket. Inom Region Örebro län visas enbart personnummer för personer med skyddade personuppgifter. I fältet namn anges: skyddad identitet. Om patienten motsätter sig att registrera sitt besök, eller att dennes personnummer blir känt för de anställda ska patienten registreras med OID- nr eller pappersjournal föras, enligt patientens önskemål. Vid osäkerhet rådgör med närmaste chef. Ropa aldrig upp patientens namn i samband med besök. Det kan finnas anledning att i samråd med patienten komma överens om vilket namn som ska användas vid det aktuella vårdtillfället. Vid inläggning på sjukhus kan det finnas anledning att tilldela patienten ett enbäddsrum om det finns möjlighet till detta. Detta kan bestämmas utifrån omständigheter rådande på mottagningen vid det aktuella vårdtillfället. Om patienten är inlagd på ett sjukhus ska uppgiften om patienten inte lämnas ut trots patientens uppmaning. Patientens uppgifter ska markeras som ”full sekretess”. Kopia utskriftsdatum: 2015-08-24 Sid 4 (7) Diarienr 5.1.3 Dokumentkategori Dokumentrubrik Dokumentnr Revision Reviderat datum Giltigt datum fr o m Sjukresetransport Vid utskrivning och hemresa bör patienten åka enskilt om behov av sjukresetransport föreligger och patienten uttrycker sådant önskemål. 5.1.4 Remisser Adress, telefonnummer eller andra uppgifter som kan avslöja patientens vistelse får aldrig dokumenteras. 5.1.5 Intyg och utlåtanden Intyg och utlåtanden måste innehålla personnummer, namn och uppgift om utfärdaren. Dessa uppgifter röjer därför patientens vistelse. Kom överens med patienten om hur ni säkerställer att endast rätt mottagare får se intyget/utlåtandet. Postförsändelsen till namngiven mottagare skickas alltid rekommenderat. 5.1.6 Redan registrerade uppgifter Om den skyddade uppgiften (ej personnummer) finns registrerad i journalen sedan tidigare ska uppgiften markeras och inte användas (trots patientens samtycke). Är det inte möjligt att markera informationen ska uppgifterna döljas eller sparas på någon säker plats. 5.1.7 Sammanhållen journalföring Uppgifter om patienter med skyddade personuppgifter får ingå i sammanhållen journalföring endast om de kan hanteras på ett säkert sätt och i enlighet med denna riktlinje. Det bör inte vara möjligt att få direktåtkomst till journalhandlingar genom Nationell Patientöversikt, NPÖ. Patienten ska informeras om möjligheten att spärra tillgång till NPÖ. 5.1.8 Telefon För att underlätta patienten tillgång till information och säkerställa kontakt mellan patienten och vårdenheten ska patienten tilldelas namn och telefonnummer till en anställd som patienten kan vända sig till vid frågor om provsvar/inläggning/epikris/andra vårdsinstatser. Patienten ska inte behöva förklara sig på telefon varför denne inte önskar lämna ut sitt namn eller telefonnummer. Handläggning av patienten ska göras skyndsamt och utan onödigt dröjsmål. Telefonförfrågningar avseende en patient med skyddade personuppgifter ska hanteras med stor försiktighet. Om förfrågan som gäller en person med skyddade personuppgifter kommer in till vårdenheten från en annan enhet eller myndighet- motring alltid och bekräfta. Rådfråga regionjurist vid osäkerhet. 5.1.9 E-post Patienten bör avrådas kontakta vården genom e-post. 5.1.10 Utlämnande av journalhandlingar Patienten har rätt att få ta del av handlingar som berör honom/henne. Det är mycket viktigt att en noggrann menprövning görs när anhöriga till en patient med skyddad identitet begär journalhandlingar. Finns det tveksamheter kring utlämnandet ska verksamhetschef kontaktas. Kopia utskriftsdatum: 2015-08-24 Sid 5 (7) Diarienr Dokumentkategori Dokumentrubrik Dokumentnr Revision Reviderat datum Giltigt datum fr o m 5.1.11 1177 Vårdguidens e-tjänst Mina vårdkontakter Personer med kvarskrivning och sekretessmarkering kan skaffa konto i 1177 Vårdguidens e-tjänst Mina Vårdkontakter (i fortsättningen Mina Vårdkontakter) med e-legitimation. I dagsläget visas däremot bara ett begränsat urval av tjänster. För att personer med kvarskrivning ska kunna kontakta mottagningar i Mina Vårdkontakter behöver mottagningen godkänna dem för kommunikation genom att manuellt lägga till personnumret. Namn kommer att hämtas upp automatisk från Skatteverkets befolkningsregister. För personer med sekretessmarkering är tjänsten tillgänglig som för övriga länsbor. Namn och adressuppgifter kommer att hämtas upp automatiskt från Skatteverkets befolkningsregister. Det finns anledning att informera patienten innan kontakten godkänns/när patienten kontaktar vården för första gången om risker som användning av tjänsten medför, dvs. att uppgifter som skyddas särskilt (namn och adressuppgifter) i regionens vårdsystem kommer att synliggöras i Mina Vårdkontakter. Det krävs ett uttryckligt samtycke från patienten som ska dokumenteras i patientjournalen. 5.1.12 Post Skattekontorets adress anges som en särskild postadress. All post går till ett skattekontor som har den skyddade adressen manuellt förvarad och kan vidarebefordra posten. Meddelanden förmedlas via förmedlingsuppdrag i Göteborg via Postförmedling. Gör så här: 1. Lägg försändelse i ett slutet kuvert 2. Kuvertet förses med adressatens (patientens) personnummer (och) adressatens namn (patientens). 3. Kuvertet läggs i ett ytterkuvert, med uppgifter om avsändaren (Region Örebro län), som sänds till: Förmedlingsuppdrag Box 2820 403 20 Göteborg Det ska vidare observeras att Skatteverket inte har med innehållet att göra, varför ett innerkuvert alltid ska vara väl förslutet. 5.2 Högriskpatient Med högriskpatient avses en person med kända personuppgifter, dvs. att sekretessmarkeringen/kvarskrivning inte finns hos Skatteverket, men särskild hänsyn till anonymitet under vårdtiden krävs. Det kan exempelvis avse situationer där personen vänder sig till vårdgivaren innan Skatteverket har beslutat om sekretessmarkeringen/kvarskrivningen eller vid misstanke om hedersrelaterat våld. Bedömning ska ske för varje enskilt fall i samråd med närmaste chef. Det kan finnas anledning att hantera en högriskpatient på liknande sätt som en person med skyddade personuppgifter i enlighet med denna riktlinje. Om patienten motsätter sig att registrera sitt besök, eller att dennes personnummer blir känt för de anställda ska patienten registreras med OID- nr eller pappersjournal föras, enligt patientens önskemål. Vid osäkerhet rådgör med närmaste chef. Patienten bör underrättas om möjligheten att sammanslå reservnummer/pappersjournaler med de riktiga uppgifterna. Personuppgiftsombudet kan bistå Kvinnohuset eller motsvarande organisation med att kontakta kliniker/vårdenheter inför besök. Kopia utskriftsdatum: 2015-08-24 Sid 6 (7) Diarienr 5.3 Dokumentkategori Dokumentrubrik Dokumentnr Revision Reviderat datum Giltigt datum fr o m Vid frågor Frågor gällande riktlinjen besvaras av författaren av detta dokument Agata Cierzniak, personuppgiftsombudet, eller Mikael Ericsson, informationssäkerhetssamordnare eller någon annan vid enheten för juridik och informationssäkerhet. 6 Nyckelord sekretesspatient, skyddad identitet, kvarskrivning, högriskpatient, sekretessmarkering, skyddade personuppgifter, full sekretess, förmedlingsuppdrag. Kopia utskriftsdatum: 2015-08-24 Sid 7 (7)