Introduktion
Det här behöver du ha koll på innan du för över uppgifter
Hej, du som arbetar inom hälso- och sjukvården. Har du någonsin funderat på hur remisser, journalkopior, provsvar och andra känsliga dokument lagligen får skickas till patienter, vårdgivare och andra berörda parter? Eller vilka säkerhetskrav som ställs på webbportaler och e-tjänster när dessa innehåller patientdata? Så bra! I den här artikeln hoppas jag nämligen att kunna räta ut eventuella frågetecken och klargöra vad som gäller.
Styrande regelverk
När du grubblar över vad det kan finnas för säkerhetsregler rörande överföring av patientdata är kanske EU:s dataskyddsförordning (GDPR) det första regelverk som dyker upp i huvudet. I artikel 32 GDPR kan du läsa att personuppgiftsansvariga (vårdgivare) och personuppgiftsbiträden (t.ex. leverantörer av journalsystem) ska vidta ”lämpliga tekniska och organisatoriska åtgärder”. Aktuell artikel svarar dock inte explicit på om du till exempel får skicka en journalkopia via mejl, eller om säkerhetsnivån är tillräckligt hög hos den e-tjänst som används för att kommunicera med patienter. Faktum är att GDPR överhuvudtaget inte ger några tydliga svar på frågan om hur patientdata lagligen eller lämpligen får föras över inom hälso- och sjukvården.
För att få en något mer konkret vägledning behöver vi titta på den nationella dataskyddslagstiftning som kompletterar GDPR. Vad gäller svensk hälso- och sjukvård är patientdatalagen (PDL) den lag som vi huvudsakligen har att förhålla oss till. Där finns det bland annat bestämmelser om personuppgiftsansvar, behandling av patientdata, inre sekretess och elektronisk åtkomst. De mest centrala reglerna för hur patientdata får skickas från t.ex. en vårdgivare till en patient finns dock inte i PDL, utan i en föreskrift från Socialstyrelsen (HSLF-FS 2016:40).
Huvudregel – Höga säkerhetskrav när patientdata behandlas i öppna nät
När patientdata behandlas (till exempel förs över) via öppna nät aktualiseras vissa specifika regler i HSLF-FS 2016:40. I Socialstyrelsens handbok för tillämpningen av nämnda föreskrift definieras “öppna nät” som ett nätverk som är allmänt åtkomligt, exempelvis internet eller telefonnätverket, och som i regel gör det enkelt för en tredje part att se information som skickas mellan två andra parter. Men ett öppet nät kan också vara ett felaktigt uppsatt trådlöst nätverk hos en vårdgivare, där obehöriga personer kan ansluta sig till nätverket och bereda sig åtkomst till information som skickas över detta.
Man brukar prata om att identiteten ska kontrolleras genom att användaren – i minst två kombinationer – nyttjar något den kan, något den har och något den själv är
Vi vet nu hur Socialstyrelsen definierar begreppet “öppna nät” och kan därmed gå vidare till själva kärnfrågan. Nämligen vilka säkerhetskrav som aktualiseras när patientdata skickas via öppna nät. Enligt HSLF-FS 2016:40 gäller nedanstående huvudregel:
”Om vårdgivaren använder öppna nät vid behandling av personuppgifter, ska denne ansvara för att
- överföring av uppgifterna görs på ett sådant sätt att inte obehöriga kan ta del av dem, och
- elektronisk åtkomst eller direktåtkomst till uppgifterna föregås av stark autentisering.”
Det första kravet innebär att vårdgivaren måste se till att patientdata krypteras på lämpligt sätt. Krypteringen kan liknas vid en tunnel, där avsändaren står på den ena sidan och mottagaren på den andra. Om tunneln är tillräckligt bra byggd ska ingen kunna se vilken information som passerar igenom den.
Det andra kravet innebär att vårdgivaren är skyldig att säkerställa att åtkomst till patientdata föregås av stark autentisering. Om vi återgår till tunnelliknelsen så ska de personer som står vid tunnelns ändar endast kunna komma åt informationen om de verifierar sin identitet med minst två faktorer, och därigenom visar sig ha åtkomsträtt. Man brukar prata om att identiteten ska kontrolleras genom att användaren – i minst två kombinationer – nyttjar något den kan, något den har och något den själv är. I Socialstyrelsens handbok för tillämpningen av HSLF-FS 2016:40 definieras ”stark autentisering” som att användaren verifierar sin identitet på minst två av följande sätt:
- med någonting användaren kan − till exempel lösenord eller pinkod
- med någonting användaren har − till exempel kodbox, certifikat, smart-kort, engångskoder eller mobiltelefon
- med hjälp av användaren själv – till exempel fingeravtryck eller avläsning av iris.
Några exempel på etablerade svenska identifieringsmetoder som uppfyller kravet på stark autentisering är BankID, Freja eID och SITHS-kort. Med en stark autentisering kan användaren tappa kontrollen över en identifieringsfaktor (t.ex. sitt lösenord) utan att säkerheten för patientdatan helt går förlorad. Dessutom kan användaren i sådana situationer ofta själv ta tillbaka tillgången till sin data.
Undantag – Vid utskick av påminnelser och kallelser
Kraven på kryptering och stark autentisering gäller som huvudregel. Vårdgivaren får göra avsteg från denna huvudregel i en enda situation – vid utskick av påminnelser och kallelser. Det är då tillåtet att kommunicera via mejl eller sms, om följande tre förutsättningar är uppfyllda:
- Vårdgivaren har gjort en behovs- och riskanalys, vilken finns dokumenterad.
- Vårdgivaren har inhämtat patientens samtycke. Till exempel att patienten kryssar i en ”ja-ruta” eller på annat sätt aktivt ger sitt medgivande.
- Vårdgivaren ser till att sms:et/mejlet inte avslöjar några detaljer om patientens hälsotillstånd eller andra personliga förhållanden. Endast rent administrativ information får finnas med, såsom dag och tid för besöket.
Säkerhetsmässigt är det förstås också viktigt att vårdgivaren ser till att kontaktuppgifterna till patienten är riktiga och aktuella. Annars riskerar vårdgivaren att orsaka en personuppgiftsincident, där numret/mejladressen som påminnelsen eller kallelsen skickas till inte längre tillhör patienten. I värsta fall kanske numret/mejladressen visar sig tillhöra någon annan än patienten. En sådan händelse kan få mycket svåra konsekvenser beroende på vem patienten respektive denna ”någon annan” är.
”Dos and don’ts” – Vilka metoder får användas vid överföring av patientdata?
| Metod | Laglighet/lämplighet |
|---|---|
| Vanliga mejl och sms | Olagligt, förutom (under vissa förutsättningar) vid utskick av påminnelser och kallelser. |
| Krypterade filer med patientdata som skickas via vanliga mejl eller sms | Olagligt, förutom (under vissa förutsättningar) vid utskick av påminnelser och kallelser. |
| ”Säker e-post”-lösningar | Lagligt under förutsättning att kraven i HSLF-FS 2016:40 kan uppfyllas. D.v.s. att patientdatan skyddas genom kryptering samt BankID, Freja eID, SITHS-kort eller motsvarande tvåfaktorsautentisering. |
| Vanlig fax | Olagligt |
| ”Säker fax”-lösningar | Lagligt under förutsättning att kraven i HSLF-FS 2016:40 kan uppfyllas. D.v.s. att patientdatan skyddas genom kryptering samt BankID, Freja eID, SITHS-kort eller motsvarande tvåfaktorsautentisering. |
| E-tjänst där inloggning endast sker via användarnamn och lösenord | Olagligt |
| ”Säker e-tjänst”-lösningar | Lagligt under förutsättning att kraven i HSLF-FS 2016:40 kan uppfyllas. D.v.s. att patientdatan skyddas genom kryptering samt BankID, Freja eID, SITHS-kort eller motsvarande tvåfaktorsautentisering. |
| USB-stickor | Ej öppet nät och omfattas därav inte av kraven i
HSLF-FS 2016:40. Dock i många fall otillåtet utifrån artikel 32 GDPR, som ställer krav på lämpliga tekniska och organisatoriska säkerhetsåtgärder. |
| Fysiska brev | Ej öppet nät och omfattas därav inte av kraven i
HSLF-FS 2016:40. Lagligt att använda. Rekommenderat brev ger extra säkerhet och är ofta lämpligt, men det är ej ett uttryckligt lagkrav. Några skäl till att brev anses vara säkert: – Brev går inte att massövervaka på samma sätt som kommunikation som sker över öppna nät. |
Notera att samtliga ”säker” lösningar i tabellen ovan nyttjar någon form av inloggningsportal för att kunna säkerställa att mottagaren är den rätta. ”Säker e-post” eller ”säker fax” skickas exempelvis till en portal och lagras där, medan användaren får en notis om att denne har ny information att hämta. Användaren kan då välja att logga in i portalen med hjälp av en säker inloggning såsom BankID eller Freja eID.
Avslutning
Vi kan konstatera att fysiska brev anses vara det säkraste sättet att skicka patientdata på, tillsammans med sådana säkra e-post, fax- och e-tjänstlösningar som uppfyller kraven på kryptering och stark autentisering. Det är alltså i normalfallet inte lagligt att föra över patientdata via vanliga mejl, sms, fax, osäkra e-tjänster eller USB-stickor. Om vårdgivaren brister i sina legala skyldigheter att skydda patientdata på lämpligt sätt, kan den komma att få allvarlig kritik och höga sanktionsavgifter från Integritetsskyddsmyndigheten (IMY).
Du som är anställd då, vad bör du göra om din arbetsgivares rutiner mer eller mindre tvingar er medarbetare att skicka eller ta emot patientdata på ett olagligt sätt? Som anställd ska du egentligen endast följa din arbetsgivares rutiner. Om dessa är legalt felaktiga så är det som utgångspunkt din arbetsgivare som bär det juridiska ansvaret, inte du. Det ska vara lätt att göra rätt, och svårt att göra fel.
Men! Jag vill tro att du är mån om patientsäkerheten, av vilken informationssäkerheten utgör en oerhört viktig del. Jag vill också tro att du i någon mån har möjlighet att påverka befintliga rutiner. Kanske sitter du själv i en ledande position eller har möjlighet att prata med någon som gör det. Oavsett hoppas jag att du genom den här artikeln har fått en ökad förståelse för hur patientdata lagligen får skickas inom hälso- och sjukvården. Och att du på något sätt kommer att ha nytta av detta i ditt arbete. Du är varmt välkommen att höra av dig till oss på Secify om du önskar ytterligare vägledning i den snåriga djungel som kallas dataskydd, informationssäkerhet och cybersäkerhet.
- Säker överföring av patientdata inom hälso- och sjukvården - 26 februari, 2024
- Den medvetna kollegan – del 1. Vad behöver min personal veta om dataskydd? - 28 juni, 2023
