Hantering av personer med skyddade personuppgifter

Transcription

Hantering av personer med skyddade personuppgifter
Dokumentrubrik
Dokumentnr Revision
Riktlinje för hantering av personer med skyddade
personuppgifter
Förvaltning
Ägare
Reviderat datum
Hälso- och sjukvård, Folktandvården,
Företaghälsa och tolkförmedling, Regionservice
Agata Cierzniak
2015-05-27
Verksamhet
Slutgranskare
Samtliga
Sofia Öhrman
Diarienr
Dokumentkategori
Fastställare
Giltigt datum fr o m
15RS2440
Riktlinje
Rickard Simonsson
2015-05-27
Hantering av personer med skyddade personuppgifter
Innehållsförteckning
1
Inledning/syfte .................................................................................................................................1
1.1
Skyddade personuppgifter enligt Skatteverket .......................................................................2
1.1.1
Sekretessmarkering hos Skatteverket ....................................................................2
1.1.2
Kvarskrivning ...........................................................................................................3
1.1.3
Fingerade personuppgifter (”ny identitet”) ...............................................................3
2
Omfattning/tillämpningsområde ....................................................................................................3
3
Ansvar ..............................................................................................................................................3
4
Giltighetstid......................................................................................................................................4
5
Hantering av patienter med skyddade personuppgifter .............................................................4
5.1
Sekretessmarkering/kvarskrivning .........................................................................................4
5.1.1
Generella anvisningar .............................................................................................4
5.1.2
Patientadministration och journalföring ...................................................................4
5.1.3
Sjukresetransport ....................................................................................................5
5.1.4
Remisser .................................................................................................................5
5.1.5
Intyg och utlåtanden ................................................................................................5
5.1.6
Redan registrerade uppgifter ..................................................................................5
5.1.7
Sammanhållen journalföring ...................................................................................5
5.1.8
Telefon ....................................................................................................................5
5.1.9
E-post ......................................................................................................................5
5.1.10 Utlämnande av journalhandlingar ...........................................................................5
5.1.11 1177 Vårdguidens e-tjänst Mina vårdkontakter ......................................................6
5.1.12 Post .........................................................................................................................6
5.2
Högriskpatient .........................................................................................................................6
5.3
Vid frågor ................................................................................................................................7
6
Nyckelord .........................................................................................................................................7
1
Inledning/syfte
Syftet med denna riktlinje är att klargöra vad som avses med skyddade personuppgifter samt uppnå en
enhetlig hantering av personer med skyddade personuppgifter inom Region Örebro län (regionen).
Alla personuppgifter, inklusive de skyddade personuppgifterna, avviseras automatiskt från
Skatteverket senast inom en vecka efter registrering till de flesta myndigheterna, kommuner,
Kopia utskriftsdatum: 2015-08-24
Sid 1 (7)
Diarienr
Dokumentkategori
Dokumentrubrik
Dokumentnr Revision
Reviderat datum
Giltigt datum fr o m
landsting, regioner och SPAR1. Mottagande myndighet bestämmer utifrån egna behov hur hantering
av personuppgifter ska ske. Uppgifter som registreras i Skatteverkets folkbokföringssystem
exempelvis personnummer, namn och adress, är som huvudregel offentliga. I vissa fall kan
utlämnande av personuppgifter till utomstående omfattas av sekretess om det kan antas att en person
eller dennes närstående kan lida men om dessa uppgifter lämnas ut.
Skyddade personuppgifter är Skatteverkets samlingsrubrik för skyddsåtgärderna2:



Sekretessmarkering
Kvarskrivning
Fingerade personuppgifter
Sekretessmarkering hos Skatteverket ska inte sammanblandas med uttrycken som finns i regionens
interna system. I Infomedix och Klinisk Portal kan sekretess registreras för varje vårdtillfälle i syfte att
stödja användaren i externa kontaker med bl.a. anhöriga. På patientens begäran kan sekretess markeras
som:


”Delvis sekretess”- uppgifter om patientens tillstånd kan lämnas enbart till uttryckligt angivna
personer, eller
”Full sekretess”- uppgifter om patientens hälsotillstånd kan inte lämnas
Utöver det ovannämnda bör hänsyn tas till patienter som kan anses vara i behov av en skyddad
identitet under vårdtiden, s.k. högriskpatienter.
1.1
1.1.1
Skyddade personuppgifter enligt Skatteverket
Sekretessmarkering hos Skatteverket
Enligt offentlighets- och sekretesslagen (2009:400), kan en markering för särskild sekretessprövning,
s.k. sekretessmarkering, införas. För sekretessmarkering krävs det normalt att fråga är om ett konkret
hot. Det räcker alltså inte att personen känner fruktan och anser sig förföljd. Det måste också objektivt
föreligga en risk för förföljelse. Dessutom måste personen som är utsatt för hot eller förföljelse kunna
styrka sin hotbild för Skatteverket. Sekretessmarkeringen löper ett år och därefter görs en ny
prövning ifall hotbilden består. Denna markering innebär inte någon absolut sekretess utan fungerar
som en varningssignal.
OBS! Sekretessmarkering kan även avse närstående. Markering överförs även för personer som är
folkbokförda på samma adress som personen med sekretessmarkering då även de berörs av en
hotsituation.
Från själva markeringen framgår inte vilka uppgifter som är skyddsvärda. Särskilt uppmärksamhet
bör riktas mot uppgifter om:
1
Statens personadressregister, SPAR, är ett offentligt register som omfattar alla personer som är folkbokförda i Sverige, både svenska och
utländska medborgare. I registret ingår även personer som erhållit samordningsnummer och vars identitet är fastställd. Skatteverket är
huvudman och personuppgiftsansvarig för SPAR sedan 1 januari 2009.
2
I oktober 2013 hade 12153 personer skyddade personuppgifter i Sverige varav 10139 hade en sekretessmarkering, 2013 personer hade
sekretessmarkering och kvarskrivning och 1 person hade enbart kvarskrivning.
Kopia utskriftsdatum: 2015-08-24
Sid 2 (7)
Diarienr
Dokumentkategori




1.1.2
Dokumentrubrik
Dokumentnr Revision
Reviderat datum
Giltigt datum fr o m
Adress
Nytt namn
Närstående till personen med sekretessmarkering- barn, föräldrar, m.m.
Könsbyte- kopplingen mellan det gamla och det nya personnummer resp. gammalt och nytt
förnamn
Kvarskrivning
Kvarskrivning regleras i folkbokföringslagen (1991:481). En kvarskrivning innebär att personen får
vara kvarskriven på sin gamla adress. Den gamla adressen tas bort från Skatteverkets
folkbokföringsregister och i adressfältet anges: ”Förmedlingsuppdrag”. I motsatsen till
sekretessmarkeringen registreras aldrig den nya adressen i folkbokföringsregister och sprids därmed
inte heller till andra myndigheter (exempelvis: Region Örebro län).
Kravet för att få bli kvarskriven är att personen av särskilda skäl kan antas bli utsatt för brott,
förföljelser eller andra allvarliga trakasserier. Omständigheterna ska i princip motsvara de som gäller
för meddelande av besöksförbud. Ansökan om kvarskrivning ska biträdas av polismyndigheten eller
socialnämnden på Skatteverkets begäran. Ett beslut om kvarskrivning kan kombineras med
sekretessmarkering. Kvarskrivningen gäller i högst tre år i taget räknat från dagen personen har flyttat.
1.1.3
Fingerade personuppgifter (”ny identitet”)
Fingerade personuppgifter regleras i lagen om fingerade personuppgifter (1991:483) och innebär att
alla personuppgifter tas bort och ersätts med nya. Detta tillgrips som en säkerhetsåtgärd för personer
som utsatts för särskilt allvarlig brottslighet, brott som är direkt livshotande eller som syftar till grov
kroppsskada eller frihetskränkning.
Rikspolisstyrelsen är ensam ansvarig för handläggning och uppföljning av ärenden som avser
fingerade personuppgifter. Koppling mellan den nya och den gamla identiteten finns endast hos
Rikspolisstyrelsen och sekretessen gäller även för uppgifter som tillförs ärendet efter ett byte av
personuppgifter.
2
Omfattning/tillämpningsområde
Riktlinjen gäller inom Förvaltningen för hälso- och sjukvård, Förvaltningen för folktandvård,
Förvaltningen för företagshälsa och tolkförmedling och Förvaltningen för regionservice.
3
Ansvar
Verksamhetschef/motsvarande ska se till att denna riktlinje görs känd inom verksamheten, nyanställd
personal informeras samt att uppföljning av att reglerna om hantering av skyddade personuppgifter
efterföljs.
Initiering av loggkontroll efter avslutad behandling av en patient med skyddade personuppgifter
ankommer på verksamhetchefen/motsvarande. Loggkontroll kan överlåtas till personuppgiftsombudet
enligt överenskommelse.
På verksamhetsnivå ska det snarast upprättas rutiner på hur denna riktlinje efterlevs. En rutin ska
innehålla sammanställning av åtgärder som ska vidtas när en patient med skyddade personuppgifter
kontaktar verksamheten. Detta gäller alla steg från telefon bokning, omhandärtagande av patient vid
besök fram till utskrivning och ev. uppföljning.
Kopia utskriftsdatum: 2015-08-24
Sid 3 (7)
Diarienr
Dokumentkategori
Dokumentrubrik
Dokumentnr Revision
Reviderat datum
Giltigt datum fr o m
Det kan finnas behov av snabbt agerande i brådskande situationer varför en rutin ska göras känd inom
verksamheten och genomgås grundligt med personalen. Detta åligger
verksamhetschefen/motsvarande.
Det kan vara befogat att patienten får fortsatt kontakt med samma person under ett pågående
vårdtillfälle. Den anställde som ansvarar för patienten med skyddade personuppgifter har möjlighet att
direkt samråda med personuppgiftsombudet i frågor som berör denna riktlinje.
4
Giltighetstid
Riktlinjen gäller tills vidare. Uppdateringar ska ske regelbundet med beaktande av
författningsändringar dock minst vart fjärde år. Regiondirektören utser ansvarig för genomgången.
5
Hantering av patienter med skyddade personuppgifter
5.1
5.1.1
Sekretessmarkering/kvarskrivning
Generella anvisningar
Den enskilde har ett ansvar för att själv upplysa om eventuell skyddsåtgärd eftersom det inte åligger en
myndighet att utan anledning kontrollera om en person har sekretessmarkeringen/kvarskrivning i
folkbokföringen.
5.1.2
Patientadministration och journalföring
Kontrollera i befolkningsregistret eller begär en handling från patienten som styrker
sekretessmarkeringen/kvarskrivning ifall uppgifter om säkerhetsåtgärden inte finns i
befolkningsregistret.
Adressuppgifterna, varken permanenta eller tillfälliga som kan ge ledning om var personen befinner
sig får aldrig läggas till trots patientens medgivande. Detsamma gäller uppgifter om kontaktpersoner,
telefonnummer, arbetsplats, skola, vårdcentral eller annan information som kan avslöja patientens
vistelse.
Egen kodning av patient i systemet då patientens identitet är känd, ska inte ske.
Patienten ska inte registreras som okänd/skyddad identitet/mm. Personuppgifter uppdateras
dagligen/resp. veckovis från Skatteverket.
Inom Region Örebro län visas enbart personnummer för personer med skyddade
personuppgifter. I fältet namn anges: skyddad identitet.
Om patienten motsätter sig att registrera sitt besök, eller att dennes personnummer blir känt för de
anställda ska patienten registreras med OID- nr eller pappersjournal föras, enligt patientens önskemål.
Vid osäkerhet rådgör med närmaste chef.
Ropa aldrig upp patientens namn i samband med besök. Det kan finnas anledning att i samråd med
patienten komma överens om vilket namn som ska användas vid det aktuella vårdtillfället.
Vid inläggning på sjukhus kan det finnas anledning att tilldela patienten ett enbäddsrum om det finns
möjlighet till detta. Detta kan bestämmas utifrån omständigheter rådande på mottagningen vid det
aktuella vårdtillfället.
Om patienten är inlagd på ett sjukhus ska uppgiften om patienten inte lämnas ut trots patientens
uppmaning. Patientens uppgifter ska markeras som ”full sekretess”.
Kopia utskriftsdatum: 2015-08-24
Sid 4 (7)
Diarienr
5.1.3
Dokumentkategori
Dokumentrubrik
Dokumentnr Revision
Reviderat datum
Giltigt datum fr o m
Sjukresetransport
Vid utskrivning och hemresa bör patienten åka enskilt om behov av sjukresetransport föreligger och
patienten uttrycker sådant önskemål.
5.1.4
Remisser
Adress, telefonnummer eller andra uppgifter som kan avslöja patientens vistelse får aldrig
dokumenteras.
5.1.5
Intyg och utlåtanden
Intyg och utlåtanden måste innehålla personnummer, namn och uppgift om utfärdaren. Dessa uppgifter
röjer därför patientens vistelse. Kom överens med patienten om hur ni säkerställer att endast rätt
mottagare får se intyget/utlåtandet. Postförsändelsen till namngiven mottagare skickas alltid
rekommenderat.
5.1.6
Redan registrerade uppgifter
Om den skyddade uppgiften (ej personnummer) finns registrerad i journalen sedan tidigare ska
uppgiften markeras och inte användas (trots patientens samtycke).
Är det inte möjligt att markera informationen ska uppgifterna döljas eller sparas på någon säker plats.
5.1.7
Sammanhållen journalföring
Uppgifter om patienter med skyddade personuppgifter får ingå i sammanhållen journalföring endast
om de kan hanteras på ett säkert sätt och i enlighet med denna riktlinje.
Det bör inte vara möjligt att få direktåtkomst till journalhandlingar genom Nationell Patientöversikt,
NPÖ. Patienten ska informeras om möjligheten att spärra tillgång till NPÖ.
5.1.8
Telefon
För att underlätta patienten tillgång till information och säkerställa kontakt mellan patienten och
vårdenheten ska patienten tilldelas namn och telefonnummer till en anställd som patienten kan vända
sig till vid frågor om provsvar/inläggning/epikris/andra vårdsinstatser. Patienten ska inte behöva
förklara sig på telefon varför denne inte önskar lämna ut sitt namn eller telefonnummer.
Handläggning av patienten ska göras skyndsamt och utan onödigt dröjsmål.
Telefonförfrågningar avseende en patient med skyddade personuppgifter ska hanteras med stor
försiktighet. Om förfrågan som gäller en person med skyddade personuppgifter kommer in till
vårdenheten från en annan enhet eller myndighet- motring alltid och bekräfta.
Rådfråga regionjurist vid osäkerhet.
5.1.9
E-post
Patienten bör avrådas kontakta vården genom e-post.
5.1.10 Utlämnande av journalhandlingar
Patienten har rätt att få ta del av handlingar som berör honom/henne.
Det är mycket viktigt att en noggrann menprövning görs när anhöriga till en patient med skyddad
identitet begär journalhandlingar. Finns det tveksamheter kring utlämnandet ska verksamhetschef
kontaktas.
Kopia utskriftsdatum: 2015-08-24
Sid 5 (7)
Diarienr
Dokumentkategori
Dokumentrubrik
Dokumentnr Revision
Reviderat datum
Giltigt datum fr o m
5.1.11 1177 Vårdguidens e-tjänst Mina vårdkontakter
Personer med kvarskrivning och sekretessmarkering kan skaffa konto i 1177 Vårdguidens e-tjänst
Mina Vårdkontakter (i fortsättningen Mina Vårdkontakter) med e-legitimation. I dagsläget visas
däremot bara ett begränsat urval av tjänster.
För att personer med kvarskrivning ska kunna kontakta mottagningar i Mina Vårdkontakter behöver
mottagningen godkänna dem för kommunikation genom att manuellt lägga till personnumret. Namn
kommer att hämtas upp automatisk från Skatteverkets befolkningsregister.
För personer med sekretessmarkering är tjänsten tillgänglig som för övriga länsbor. Namn och
adressuppgifter kommer att hämtas upp automatiskt från Skatteverkets befolkningsregister.
Det finns anledning att informera patienten innan kontakten godkänns/när patienten kontaktar vården
för första gången om risker som användning av tjänsten medför, dvs. att uppgifter som skyddas
särskilt (namn och adressuppgifter) i regionens vårdsystem kommer att synliggöras i Mina
Vårdkontakter. Det krävs ett uttryckligt samtycke från patienten som ska dokumenteras i
patientjournalen.
5.1.12 Post
Skattekontorets adress anges som en särskild postadress. All post går till ett skattekontor som har den
skyddade adressen manuellt förvarad och kan vidarebefordra posten.
Meddelanden förmedlas via förmedlingsuppdrag i Göteborg via Postförmedling.
Gör så här:
1. Lägg försändelse i ett slutet kuvert
2. Kuvertet förses med adressatens (patientens) personnummer (och) adressatens namn
(patientens).
3. Kuvertet läggs i ett ytterkuvert, med uppgifter om avsändaren (Region Örebro län), som sänds
till:
Förmedlingsuppdrag
Box 2820
403 20 Göteborg
Det ska vidare observeras att Skatteverket inte har med innehållet att göra, varför ett innerkuvert alltid
ska vara väl förslutet.
5.2 Högriskpatient
Med högriskpatient avses en person med kända personuppgifter, dvs. att
sekretessmarkeringen/kvarskrivning inte finns hos Skatteverket, men särskild hänsyn till anonymitet
under vårdtiden krävs. Det kan exempelvis avse situationer där personen vänder sig till vårdgivaren
innan Skatteverket har beslutat om sekretessmarkeringen/kvarskrivningen eller vid misstanke om
hedersrelaterat våld. Bedömning ska ske för varje enskilt fall i samråd med närmaste chef.
Det kan finnas anledning att hantera en högriskpatient på liknande sätt som en person med skyddade
personuppgifter i enlighet med denna riktlinje.
Om patienten motsätter sig att registrera sitt besök, eller att dennes personnummer blir känt för de
anställda ska patienten registreras med OID- nr eller pappersjournal föras, enligt patientens önskemål.
Vid osäkerhet rådgör med närmaste chef. Patienten bör underrättas om möjligheten att sammanslå
reservnummer/pappersjournaler med de riktiga uppgifterna.
Personuppgiftsombudet kan bistå Kvinnohuset eller motsvarande organisation med att kontakta
kliniker/vårdenheter inför besök.
Kopia utskriftsdatum: 2015-08-24
Sid 6 (7)
Diarienr
5.3
Dokumentkategori
Dokumentrubrik
Dokumentnr Revision
Reviderat datum
Giltigt datum fr o m
Vid frågor
Frågor gällande riktlinjen besvaras av författaren av detta dokument Agata Cierzniak,
personuppgiftsombudet, eller Mikael Ericsson, informationssäkerhetssamordnare eller någon annan
vid enheten för juridik och informationssäkerhet.
6
Nyckelord
sekretesspatient, skyddad identitet, kvarskrivning, högriskpatient, sekretessmarkering, skyddade
personuppgifter, full sekretess, förmedlingsuppdrag.
Kopia utskriftsdatum: 2015-08-24
Sid 7 (7)