Frågor och svar om lex Maria

lex Maria

Vi skulle önska att man direkt kunde importera från vårt avvikelsehanteringssystem när man gör anmälan. Fram till dess ska man kunna ha avvikelseärendet uppe och direkt kunna kopiera det som finns där till anmälningssidan. Går det?

Det kan vara möjligt att kopiera text från ert avvikelsehanteringssystem om systemet tillåter detta. På sikt finns det förutsättningar för att kunna utveckla en importfunktion, eftersom IVO:s system numera i stor utsträckning använder samma terminologi som SITHA och SKL:s händelseanalys.

Är det verksamhetscheferna som ska fylla i anmälan eller är det anmälningsansvarig?

Det är den som vårdgivaren utser som anmälningsansvarig. Det kan t ex vara verksamhetschef, chefläkare eller annan administrativ personal.

Den nya författningen anger inte att yttranden från medarbetare ska skickas med anmälan. Stämmer detta?

Ja, det stämmer. Yttrande från personal kan dock laddas upp och skickas med om det är relevant för utredningen, under ”Tillämpliga rutiner eller övriga handlingar som är relevanta för utredningen”.

Den nya digitala tjänsten som kommer att kräva behörighet för att logga in. Vem/vilka funktioner är det som kommer att ha behörighet?

Anmälaren kommer att logga in med SITSH kort eller BankID. Alla handlingar i ärendet ska bifogas digitalt. Anmälaren signerar med sitt SITSH kort eller BankID. Då går anmälan in till IVO. Anmälaren får en sammanställd rapport i PDF/A till sitt diarium som kan sparas ned. Anmälaren kan även göra digital komplettering i ärendet.

Är frågorna i webbversionen identiska med nya ”lex Maria-blanketten”?

Ja men händelse, orsak, åtgärd görs som snabbval i anmälan och möjliggör för oss att återföra statistik på aggregerad och individuell nivå till er som vårdgivare och kan bidra till ett utvecklat lärande och uppföljning inom patientsäkerhetsområdet.

I nuläget anmäler vi ofta händelser och kompletterar med tillhörande utredning i efterhand. Men i webbversionen ställs däremot många frågor om vad utredningen kommit fram till m.m. Min fråga är därför om vi efter den 1 september 2017 alltid ska invänta utredningen innan vi anmäler?

Du kan påbörja en anmälan och fortsätta i samma anmälan allt eftersom ni blir färdiga med utredningen och sedan sända in en komplett anmälan. Detta möjliggör att ställning är tagen i och med er utredning att det faktiskt är en lex Maria. Tidigare har anmälan ofta sänts separat utan att utredning är gjord och ställning inte har varit tagen utifrån en utrednings resultat.

Med vilket stöd motiverar IVO att vårdgivaren ska betraktas som personuppgiftsansvarig? Kan det istället inte vara IVO som är personuppgiftsansvarig?

I eSams arbete med rättslig reglering kring frågan om Eget utrymme har frågan diskuterats och någon fullständig klarhet har inte vunnits i alla delar. Detta gäller generellt och inte i det fall det i lag eller förordning, till exempel i särskilda registerförfattningar, anges vem som är personuppgiftsansvarig.

För IVO gäller visserligen inte någon registerförfattning, men en sådan gäller för den som gör en lex Maria-anmälan till IVO.

En lex Maria-anmälan ska enligt 3 kap. 5 § patientsäkerhetslagen (2010:659) göras av en vårdgivare beträffande händelser som har medfört eller hade kunnat medföra en allvarlig vårdskada inom ramen för hälso- och sjukvård som bl.a. omfattas av hälso- och sjukvårdslagen (2017:30) och tandvårdslagen (1985:125). För sådan hälso- och sjukvård är patientdatalagen (2008:355, PDL) tillämplig (Se 1 kap. 1 och 3 §§ PDL samt prop. 2007/08:126 s. 228 där lex Maria-anmälningar nämns som exempel på behandling för sådana ändamål som anges i 2 kap. 4 § första stycket 3 PDL.) och av 2 kap. 6 § PDL följer att vårdgivaren är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. (Där föreskrivs också och att det i landsting och kommun är varje myndighet som bedriver hälso- och sjukvård som är personuppgifts-ansvarig för den behandling av personuppgifter som myndigheten utför.)

Av lag följer således att en vårdgivare, som upprättar en lex Maria-anmälan, är person-uppgiftsansvarig för de behandlingar som utförs för att upprätta och ge in anmälan till IVO.

Detta innebär att IVO:s bedömning är att vårdgivaren är personuppgiftsansvarig för den behandling som kan anses ske inom ramen för Eget utrymme. IVO är därmed personuppgiftsbiträde. IVO har utlokaliserat driften av Eget utrymme till extern leverantör som då kommer att hantera personuppgifter som underbiträde till IVO. Mellan IVO och den externa leverantören finns en reglering av personuppgiftshanteringen.

Däremot får IVO anses vara personuppgiftsansvarig för behandling av personuppgifter i ett eget register över användare av Eget utrymme och för behandlingar av personuppgifter som IVO utför i samband med att användare loggar in i Eget utrymme och andra kontroller av identitet och behörighet. (Jfr SOU 2017:23 s. 219.)

Ovanstående baseras i allt väsentligt på nuvarande lagstiftning men såvitt nu kan bedömas kommer de förändringar som kan förväntas ske i Patientdatalagen (Se SOU 2017:66) inte att påverka ovanstående bedömning. IVO kommer dock att bevaka frågan och den fortsatta rättslig reglering på området.

Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Användaren av tjänsten i det här fallet har inga möjligheter att påverka vare sig innehållet i tjänsten eller säkerheten. Jämför gärna med Integritetsskyddsmyndigheten, IMY:s tillsynsbeslut angående ”eHälsa för mig” dnr 2276-2016 och Högsta Förvaltningsdomstolens dom i mål nr 4453-10 som avsåg en elektronisk anmälan av tillfällig föräldrapenning via sms till Försäkringskassan samt arbetsgivares anmälan av sjukfall via en s.k. Infratjänst. Av dessa framgår att ett personuppgiftsansvar kan inledas innan uppgifterna kommit den ansvarige till del om denne bestämt ändamål och medel även för den initiala personuppgiftsbehandlingen.

Mot bakgrund av IVO:s bedömning att det är vårdgivaren som är personuppgiftsansvarig ser vi inte att avgörandet från Högsta förvaltningsdomstolen eller Integritetsskyddsmyndigheten, IMY:s tillsynsbeslut påverkar denna bedömning.

IVO ställer Eget utrymme till förfogande för de vårdgivare som avser att göra en lex Maria-anmälan och det Egna utrymmet ska närmast ses som en arbetsyta som kan användas för att förbereda en anmälan. Möjligheten att använda arbetsytan är begränsad i tiden. Domen från Högsta förvaltningsdomstolen kan möjligen ses som ett stöd för att även om Eget utrymme är en arbetsyta som ska användas under en begränsad tid och som ska följas av en anmälan till IVO, så blir personuppgiftslagen tillämplig på den behandling av personuppgifter som sker i Eget utrymme.

Vad gäller Integritetsskyddsmyndigheten, IMY:s tillsynsbeslut är en väsentlig faktor i detta beslut att E-Hälsomyndighetens möjlighet att behandla personuppgifterna utgår från det uppdrag myndigheten har, dvs. att tillhandahålla en lagringsplats för den enskildes hälsouppgifter. Således framgår ändamål och medel direkt av tillämplig lagstiftning.

Något liknande kan inte hänföras till IVO:s fall eftersom det inte ingår i IVO:s uppdrag att tillhandahålla Eget utrymme, utan det görs endast som en serviceåtgärd till vårdgivarna.

Hur ska tjänsten fungera rent tekniskt när det gäller lagring? Finns uppgifterna på en server hos IVO, eller anlitas extern leverantör för serverlagring? Används molntjänster?

Det är ingen lagring i tjänsten. Tjänsten tillhandahålls av IVO via en leverantör och i leverantörens datacenter, on premise (fysisk i en datahall), i Sverige. Tjänsten är utformad så att ingen information i det Egna utrymmet kan nås av IVO:s personal. När anmälan är inskickad till IVO blir den en inkommen handling och ingen mer information om anmälan finns kvar i det egna utrymmet. Skulle en ofullständig anmälan ligga i det egna utrymmet så rensas den efter 3 månader.

Hur säkerställer IVO att extern part som hanterar systemet uppfyller gällande krav på IT-säkerhet m.m.?

Det regleras i avtal mellan parterna som säkerställer att leverantören upprätthåller fysisk och logisk säkerhet för klienter, klientprodukter, verksamhetssystem, servrar, nätverkstjänster och data i överensstämmelse med IVO:s säkerhetskrav och/eller gällande bransch praxis vid hantering av känsliga personuppgifter samt sekretessbelagd information.

Är det korrekt att IVO inte kan komma åt uppgifterna i ”Eget utrymme”? Hur ska då IVO kunna genomföra kontroller och gallring om en vårdgivare inte uppfyller sina skyldigheter vid användning av tjänsten (bl. a. § 3.3 och 6.4)?

Eget utrymme ska utformas på sådant sätt att IVO inte har tillgång till de uppgifter som finns i Eget utrymme. Konsekvensen blir att IVO inte kommer att kunna kontrollera innehållet i Eget utrymme. Som angivits är Eget utrymme en tjänst som ska kunna användas under en begränsad tid av en vårdgivare och efter viss tid kommer uppgifterna att rensas. IVO kommer inte att kunna utföra några kontroller av det material som finns i Eget utrymme utan bestämmelsen om rätt att i vissa situationer rensa förutsätter att information lämnas av annan, t.ex. en vårdgivare, varvid IVO kan rensa. Det skulle kunna vara en situation där vårdgivaren misstänker att material är virussmittat och informera IVO om detta förhållande, varefter IVO kan rensa materialet. Det kan också uppkomma situationer när uppgifter i Eget utrymme pga. tekniskt fel, missbruk, brottsligt angrepp, etc. av misstag blir allmänna handlingar hos IVO. I en sådan situation är huvudregeln att IVO beslutar att gallring ska ske av dessa uppgifter.

Har IVO tagit fram något internt underlag eller någon utredning kring IT-säkerhetsaspekter av den nya tjänsten? Kan man i så fall få del av detta?

Tjänsten är en utökning av en redan etablerad tjänst som IVO tillhandahåller till externa parter och som följer de riktlinjer myndigheten har på IT-säkerhet d v s man tar hänsyn till sekretess, riktighet, tillgänglighet och spårbarhet. Specifikt för tjänsten kan nämnas att man bara tillåter säker inloggning via e-legitimation vilket medför att man bara får tillgång till sitt eget utrymme och att all information/färdig anmälan som skickas från det egna utrymmet till IVO krypteras med TSL. Mot denna bakgrund är detta en utökad tillämpning av den befintliga tjänsten för lex Maria. Tillämpningen följer eSams rekommendationer och föreskrift och har varit grundkrav för den etablerade tjänsten men då Eget utrymme avser endast en ny tillämpning av en redan befintlig tjänst har IVO funnit att tidigare arbete med IT säkerhetsfrågorna, bl.a. vid kravställning av tjänsten, uppfyller de utredningskrav som kan ställas. Tyvärr är detta arbete inte sammanställt i ett sammanhållet dokument.

Är det IVO:s avsikt att inget skriftligt PB-avtal upprättas i förväg, utan att avtal upprättas i den stund som användaren klickar i rutan ”Villkor för användning …” (2.8)? I många fall kommer den användare som gör detta inte vara behörig att för en region/landsting ingå ett PB-avtal.

Det är IVO:s avsikt att inget särskilt skriftligt personuppgiftsbiträdesavtal ska upprättas i förväg utan att samtliga villkor för användning av Eget utrymme ska anges i användarvillkoren.

Anmälan ska göras av den som vårdgivaren har utsett som ansvarig för anmälningsskyldigheten. Den som har ett sådant ansvar bör då också ha fått behörighet att använda Eget utrymme för att arbeta med att färdigställa anmälan.

Anser IVO att uppgifterna i ”Eget utrymme ” kan begäras ut till följd av handlingsoffentlighet (3.4)? Uppgifter som lagras i Eget Utrymme torde inte utgöra upprättade handlingar utan snarare arbetsmaterial som inte behöver lämnas ut?

Eget utrymme ska utformas på ett sådant sätt att IVO inte får någon tillgång till material i Eget utrymme. Material i Eget utrymme blir därmed inte allmänna handlingar hos IVO. Begär någon ut handling som finns i Eget utrymme så har frågan att hanteras av vårdgivaren, upplysningsvis har detta angivits i punkt 3.4 i användarvillkoren. Sedan delar IVO bedömningen att med hänsyn till att Eget utrymme närmast är en tillfällig arbetsyta

Vad behöver jag tänka på när jag hanterar känslig information, som exempelvis journaler som jag vill ladda upp till e-tjänsten?

Följ din organisations rutiner för informationssäkerhet. När informationen väl bifogats e-tjänsten så är det IVO som garanterar en säker hantering.

Kan flera personer logga in och arbeta i samma ärende?

Nej, det är bara den personen som först loggar in och påbörjar en anmälan som kan fortsätta att arbeta i anmälan, skicka in och komplettera anmälan. På sikt kommer en utveckling av tjänsten att ske som möjliggör att fler personer från samma vårdgivare kan arbeta i och ta del av anmälan.

Kan man vid inloggning i tjänsten se redan inskickade anmälningar?

Nej, du kan i dagsläget inte se en anmälan som är inskickad efter att du har loggat in i e-tjänsten. På sikt kommer e-tjänsten att utvecklas och då blir det möjligt att läsa och följa alla anmälningar du har skickat in.

Kan anmälan skickas in först och sedan kompletteras med utredningen via e-tjänsten?

Nej, anmälan ska vara komplett när den skickas in. Du kan bara komplettera anmälan via e-tjänsten om du fått en kompletteringslänk från IVO. Kompletteringslänken skickas till dig som anmälare via e-post när IVO begär komplettering.

Kan man spara uppgifterna i anmälan som PDF och skriva ut anmälan innan den har skrivits under och skickats in till IVO?

Nej, först efter att du har signerat och skickat in anmälan kan du spara ner den som PDF-A och skriva ut den.

Hur fås återkoppling på att anmälan är inskickad? Kommunicerar IVO via e-tjänsten?

När anmälan inkommit till IVO skickas en bekräftelse till dig som anmälare och till vårdgivaren med säker e-post. All kommunicering i ärendet sker sedan via e-post. På sikt kommer e-tjänsten att utvecklas så att all kommuniceringen i ärendet sker via e-tjänsten.