Policy för informationsutbyte

Fastställd av Hälso- och sjukvårdsnämnden § 8/2005-01-24
Utskriftsvänlig version (pdf-format, öppnas i ett nytt fönster)

 
Policy och tillämpningsförslag för informationsutbyte mellan externa vårdgivare och Region Skåne

 

Innehållsförteckning

  1.   Inledning 1.1 Bakgrund
1.2 Mål
1.3 Avgränsningar

2. Definitioner

3. Grundläggande princip – behörighet

4. Grundläggande förutsättningar/krav för externa vårdgivare
4.1 Behörigheten hos den externa vårdgivaren skall finnas och kunna styrkas
4.2 Den externa vårdgivaren ska vara säkert identifierad
4.3 Säkert informationsutbyte
4.4 Uppföljning
4.5 Avtal rörande informationsutbytet

5. Interimslösning

1.1 Bakgrund

Verksamhets- och organisationsförändringar inom hälso- och sjukvården innebär en utveckling mot ökad samverkan. Samverkan sker delvis i nya former. Detta gäller inom Region Skåne men också i allt högre grad också mellan Region Skåne och enheter inom andra landsting, kommunal sjukvård och privat sjukvård.  Genomförandet av Skånsk Livskraft kommer att ställa högre krav på en fungerande samverkan mellan Region Skåne och dessa - ur Region Skånes synvinkel - ”externa vårdgivare”.

Det finns därför ett starkt behov av policys som reglerar en sådan samverkan inte minst när det gäller tillgång till och utbyte av patientinformation mellan Region Skåne och externa vårdgivare och även vilka regler som ska gälla för tillgång till och användning av respektive parts informationssystem samt – förslag på hur en sådan policy skall tillämpas i praktiken.

1.2 Mål

Policyn skall ange de principer och förutsättningar som ska gälla för:

1.2.1 Tillgång till vårdinformation

a) Externa vårdgivares tillgång till sådan vårdinformation som idag finns i Region Skånes vårdinformationssystem

b) Region Skånes vårdgivares tillgång till sådan vårdinformation som idag finns i externa vårdgivares vårdinformationssystem

1.2.2 Tillgång till användning av respektive parts (Regions Skånes och externa vårdgivares) vårdinformationssystem.

1.3 Avgränsningar/kommentar

Eftersom Region Skåne inte i en policy kan ange vad som skall gälla för externa vårdgivares utlämnande av information så tas här endast upp sådana förutsättningar som skall gälla för att Region Skåne i sitt informationsutbyte med externa vårdgivare skyddar den egna informationen från intrång, förvanskning, virus i nätverk osv. Tillgång för Region Skåne till informationen från externa vårdgivares system får regleras i avtal 

Informationsutbyte och tillgång till informationssystem inom Region Skåne (Region Skånes ”inre” sekretessområde) regleras i annan policy.

2. Definitioner

Följande definitioner gäller:

Vårdgivare
Med vårdgivare avses här enhet där hälso- och sjukvård bedrivs (klinik, vårdcentral, privat mottagning, kommunalt sjukhem etc. – juridisk person) och enskilda personer som har ett avtal som privata vårdgivare.

 

Extern vårdgivare – yttre sekretessområde
Med extern vårdgivare avses juridisk person eller fysisk person (hälso- och sjukvårdspersonal) som arbetar privat eller för annan arbetsgivare utanför Region Skåne. Exempel på detta är privata vårdgivare (med eller utan avtal med Region Skåne) vårdgivare i kommunal eller statlig regi eller vårdgivare anställda i andra landsting. Till extern vårdgivare räknas också i denna policy myndigheterna ”Habilitering och hjälpmedel” samt ”Tandvårdsförvaltningen” som är enheter inom Region Skåne.

Behov
Behovet avser den relevanta vårdinformation som vårdgivaren anses behöva för att lösa uppgiften visavi patienten. Behovet avgörs av situationen och är hälso- och sjukvårdspersonalens ansvar. 

Vårdrelation
Vårdrelation uppstår när personal ansvarar för eller deltar i en patientrelaterad aktivitet. Med sådan aktivitet avses när personal planerar, utför eller följer upp aktivitet i förhållande till patienten. En vårdrelation uppkommer även i verksamheter, som inte kommer i direkt kontakt med patienten t ex laboratorier.

Samtycke
Ett samtycke i detta sammanhang avser patientens samtycke för tillgång till vårdinformation. Samtycke krävs vid informationstillgång som skall gå mellan sekretessområdesgränserna från yttre sekretessområde till inre och vice versa.

Menprövning
Menprövning innebär att myndigheten (Region Skåne) prövar om det är till men för patienten om information utlämnas. Menprövning kan endast göras av myndighet och inte av privat vårdgivare. Menprövningen skall avse specifik information och gälla en identifierad mottagare samt avse viss situation eller visst tillfälle.

Vårdinformation
Med vårdinformation avses här både:

  • Patientinformation - sådan information som rör patientadministrativa uppgifter såsom: Personnummer, reservnummer, debiteringsunderlag, adress, telefonnummer, civilstånd, vald familjeläkare etc.
  • Vårdinformation - information av typen kontaktorsak, patientrelaterade aktiviteter (planerade, genomförda och utvärderade) liksom uppfattade tillstånd (diagnos t.ex.) samt resultat.

Exempel på information som kan vara intressant och relevant för externa vårdgivare är:

  • Personuppgifter i personregister och patientregister
  • Listningsinformation
  • Tidböcker/väntelistor
  • Laboratoriesvar röntgensvar och remisser, läkemedelslistor, Viktig Medicinsk Information etc.
  • Information för samordnad vårdplanering
  • Patientjournaluppgifter i övrigt

Exempel på information som kan vara intressant och relevant för Region Skåne är:

  • Debiteringsunderlag från privata vårdgivare
  • Diagnosuppgifter
  • Läkemedelsförskrivningar
  • Information för samordnad vårdplanering
  • Patientjournaluppgifter i övrigt

Systemägare
Person i organisationen som leder den verksamhet som systemet betjänar och ansvarig för att ändamålsenliga resurser finns för verksamheten.

3. Grundläggande princip för behörighet

Grundläggande principer för behörighet är

  • Tillgång till vårdinformation ska baseras på behov. Informationen ska göras tillgänglig för hälso- och sjukvårdspersonalen för de behov som aktualiseras vid vård och behandling av en patient.
  • En vårdrelation ska finnas. För att få tillgång till information krävs att det finns en vårdrelation mellan den vårdsökande/patienten och personalen.
  • Patient och hälso- och sjukvårdspersonal ska vara säkert identifierade personer. Säker identifiering av alla aktörer – personer/patienter och personal – är en förutsättning för tillgång till vårdinformation.
  • Hanteringen av vårdinformation ska gå att följa upp både avseende patient och personal. All hantering ska kunna spåras. Detta gäller såväl när man tagit del av, mottagit, bearbetat, ändrat som lämnat ut information.

4. Grundläggande förutsättningar/krav för informationsutbyte med externa vårdgivare

För informationsutbyte med extern vårdgivare krävs – förutom att de grundläggande principiella skälen finns (punkt 3 ovan) – att ett antal förutsättningar är uppfyllda. Anledningen till detta är att känslig information journalinformation och dylikt måste skyddas från obehörigt utnyttjande och de system som håller informationen från skador i form av virus mm som kan uppstå på grund av dålig säkerhet.

4.1 Behörigheten hos den (från Region Skånes synpunkt) externa vårdgivaren skall finnas och kunna styrkas

Behörigheten kan delas upp i två olika delar med olika innebörd:

a)      Behörighet = användarrättighet

Med detta avses att det finns en användarrättighet för den externa vårdgivaren att använda systemet/tjänsten – användaren skall i praktiken vara upplagd med någon form av behörighetsprofil i berört system/tjänst.

Användarrättighet kan tilldelas juridisk person eller fysisk person men varje fysisk persons användarrättighet administreras av den informationsansvarige eller den i Region Skåne som den informationsansvarige delegerat ansvaret till.

b)      Behörighet = rättigheten till information

Behörigheten hos den externa vårdgivaren till viss information och som hänger på att vårdrelation och behov föreligger samt att det finns ett samtycke – skall kunna kontrolleras.

Ansvaret att kontrollera denna behörighet åligger den som är informationsansvarig eller den som den informationsansvarige delegerat uppgiften till, exempelvis den som tecknat avtal med den externa vårdgivaren. 

Uppföljning skall ske regelbundet och strukturerat samt riktat, vid misstanke om regelöverträdelse. (Se även punkt 4.4 nedan)

4.2  Hälso- och sjukvårdspersonalen ska vara säkert identifierad

Med säker identifiering menas att hälso- och sjukvårdspersonalen hos den externa vårdgivaren har en unik identitet som kan kontrolleras av Region Skåne i samband med begäran om tillgång till vårdinformation. Identiteten skall vara känd och spårbar.

För externa vårdgivare gäller att identifieringen skall ske med e-legitimation baserat på elektroniskt ID-kort (”säkert kort”) kompletterat med ett hälso- och sjukvårdscertifikat.

Genom ett hälso- och sjukvårdscertifikat intygas hälso- och sjukvårdspersonens identitet och yrkestitel samt knytningen till den organisation där personen har uppdrag. För närmare information om hur säkra kort, hälso- och sjukvårdscertifikat mm fungerar i praktiken hänvisas till nedanstående länk.

Säkerhetsplattform>>

4.3 Säkert informationsutbyte

Följande skall gälla för att informationsutbytet med externa vårdgivare skall anses säkert:

  • Det skall finnas en säker identifiering av de applikationer/tjänster som används
  • Information skall vara spårbar till ursprung och hantering (läst, skrivet, ändrat och av vem)
  • Information skall skyddas från förvanskning under transport mellan informationsskällorna
  • Informationen skall skyddas för insyn under transport och endast vara läsbara av den som är avsedd mottagare

Hög klientsäkerhet är viktig. Det innebär uppdaterat virusskydd, uppdaterat operativsystem (särskilt säkerhetspatchar), uppdaterade programvaror på klienten och uppdaterad personlig brandvägg.

4 .4 Uppföljning

Syftet med uppföljning av informationsutbytet med externa vårdgivare är att granska hur utnyttjande av tillgång till vårdinformation sker i förhållande till behörigheten.

  • Uppföljning skall ske regelbundet och strukturerat
  • Uppföljning skall ske riktat vid misstanke om regelöverträdelse

För att kunna göra uppföljning krävs att loggning sker av:

  • Vem som har utnyttjat tillgång till vårdinformation
  • Vilken vårdinformation som utnyttjats
  • Vad som gjorts
  • När detta gjorts
  • Hur länge

Ansvarig för uppföljningen är den som är informationsansvarig för berörd information eller den som fått ansvaret delegerat till sig exempelvis den som tecknat avtal med den externa vårdgivaren.

Systemägaren ansvarar för att vårdinformationssystemet har verktyg för att ge tillgång till vårdinformation, att loggning sker och att verktyg för uppföljning finns.

 4.5 Avtal rörande informationsutbytet  

Åtkomsten till information/system ska regleras i avtal. Avtalet skall bland annat reglera sekretessfrågor, säkerhetsfrågor och ekonomi. Andra viktiga frågor som ska regleras är ansvar, förvaltning och underhåll rörande det informationsutbyte som sker mellan Region Skåne och den externa vårdgivaren.

Ett avtal bör därför vara tydligt när det gäller ansvarsfördelningen och hur support, helpdesk, nya versioner, kontaktpersoner etc. skall hanteras och finansieras.

Avtal om informationsutbyte tecknas endast med enheter som har avtal om sin verksamhet med Region Skåne i form av t.ex. vårdavtal, samverkansavtal eller samarbetsavtal (exempelvis kommuner).

Förutsättningarna för utbyte och tillgång till information liksom behörighetsfrågorna och uppföljning regleras i respektive avtal eller som ett tillägg till tidigare tecknade avtal.

5. Interimslösning – Handläggningsordning för framtagning av lösningar i nuläget

Punkt fyra uttrycker en ambitionsnivå för hur informationssäkerheten skall hanteras i en väl utbyggd infrastruktur och med en ny generation IT-tjänster. Majoriteten av nuvarande IT-applikationer/tjänster i Region Skåne saknar i dagsläget (år 2004) förutsättningar att uppfylla de krav som ställs i punkt fyra ovan.

Samtidigt ställs allt högre krav på en fungerande samverkan mellan Region Skåne - externa vårdgivare och att det snabbt skapas praktiskt tillämpbara lösningar.

För att därför få till stånd praktiska lösningar idag som, i avvaktan på att nya ”säkrare” IT-tjänster tas fram, ändå uppfyller rimliga krav på säkerhet, anges följande ordning för framtagning av dessa lösningar.

Handläggningsordning

 

Deltagande

I samband med upprättande av ett informationsutbyte med externa vårdgivare skall samråd ske mellan följande aktörer. Handläggningen bör ske skyndsamt

  • Systemägare eller dennes delegerade
  • Ansvarig för Skånet eller dennes delegerade
  • Representant från ITT (Knutpunkten)
  • Representant från informationssäkerhetsgruppen
  • Avtalsansvarig/motsvarande i Region Skåne gentemot den externa vårdgivaren eller dennes delegerade
  • Ev leverantör till Applikationen/tjänsten (vid behov)
  • Ev. extern vårdgivare (vid behov)

Ansvarig för att samordning sker är den som är beställare av lösningen.

Målet med samordningen är att:

  • Klargöra problem och mål med föreslaget informationsutbyte
  • Anvisa (praktiskt) förslag på lösning
  • Visa på hot och risk med föreslagen lösning
  • Lämna projektförslag för genomförande

Kan man inte enas om en godtagbar lösning skall frågan inklusive en hot- och riskanalys föreläggas Regiondirektören för beslut om fortsatt handläggning.

Projektgenomförande

  • I projektgenomförande ingår att ta fram:
  • Fungerande lösning i enlighet med projektförslaget
  • Avtal (se punkten 4.5 ovan) inklusive
  • Ansvar för lösningen
  • Förvaltning och support
  • Kontaktpersoner
  • Finansiering
  • etc.
  • Sidan uppdaterad
    2011-01-28 av Torbjörn Petersson torbjorn.a.petersson@skane.se
    Faktaägare: Charlotta Gyland

  • Kontakta Region Skåne

    • Region Skåne, J A Hedlunds väg, 291 89 KRISTIANSTAD
    • 044 - 309 30 00
    • Om cookies