Att ta del av journaluppgifter mellan vårdgivare och socialtjänst
Att ta del av uppgifter i journalsystem eller annan ärendedokumentation är en naturlig del för de flesta inom vård och omsorg. Diskussion uppstår dock när vård- och omsorgspersonal arbetar både med just vårddokumentation i journalsystem och samtidigt även arbetar med omsorgsinsatser enligt socialtjänstlagen som ska dokumenteras. När och på vilket sätt kan till exempel en sjuksköterska i kommunal hälso- och sjukvård ta del av omsorgsjournalen och när kan en enhetschef på ett särskilt boende läsa i omsorgstagarens patientjournal? Vår expert, regionjurist Linda Larsson, reder ut begreppen.
ATT TA DEL AV UPPGIFTER
Det finns olika regler att förhålla sig till när det gäller att ta del av uppgifter inom hälso- och sjukvården och inom socialtjänsten. Vilka regler som gäller när och på vilket sätt, beror på vem det är som ska ta del av uppgifterna och i vilket syfte uppgifterna behövs.
BEGÄRAN AV ALLMÄN HANDLING – UPPGIFTER LÄMNAS UT
Inom hälso- och sjukvården är utgångspunkten enligt 25 kap. 1 § offentlighets- och sekretesslagen (2009:400), OSL, att sekretess råder för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden. Inom socialtjänsten gäller på motsvarande sätt enligt 26 kap. 1 § OSL att sekretess gäller för uppgifter om enskildas personliga förhållanden. Uppgifter om enskild kan finnas i en allmän handling, exempelvis i en journal. Det betyder att en sekretessprövning behöver göras innan uppgifter från handlingen kan lämnas ut utanför myndigheten. Handlingar som berör enskildas personliga förhållanden ska förvaras så att obehöriga inte får tillgång till dem. Den enskilde kan samtycka till att någon annan ska få ta del av hela eller delar av dokumentationen, se 12 kap. 2 § OSL.
DIREKTÅTKOMST
Direktåtkomst är ett sätt att ta del av personuppgifter. Den som har direktåtkomst till någon annans register eller databas, som exempelvis ett dokumentationssystem, kan på egen hand söka efter uppgifter men kan inte påverka innehållet. Direktåtkomst för den enskilde tas inte upp inom ramen för denna analys.
Direktåtkomst inom hälso- och sjukvården
Utlämnande genom direktåtkomst till personuppgifter inom hälso- och sjukvården är enligt 5 kap. 4 § patientdatalagen (2008:355), PDL, tillåten endast i den utsträckning som anges i lag eller förordning. Om en region eller en kommun bedriver hälso- och sjukvård genom flera myndigheter, får en sådan myndighet ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet i samma region eller kommun.
PDL ger även en lagreglerad möjlighet till direktåtkomst enligt vad som krävs i 5 kap. 4 § PDL. Mellan två eller flera vårdgivare (definition enligt 2 kap. 3 § hälso- och sjukvårdslagen (2017:30), HSL råder som huvudregel sekretess. Så kallad sammanhållen vård- och omsorgsdokumentation (SVOD) gör det däremot möjligt att under vissa särskilda villkor ta del av personuppgifter mellan vårdgivare och också omsorgsgivare i vissa fall. Lagregleringen om SVOD återfinns i lag (2022:913) om sammanhållen vård- och omsorgsdokumentation (LSVOD). Med omsorgsgivare avses enligt 1 kap. 1 § LSVOD en myndighet i kommun eller region som har ansvar för eller utför insatser för äldre personer eller personer med funktionsnedsättning samt annan juridisk person eller enskild näringsidkare som utför sådana insatser. Att ansluta sig till ett SVOD-system är frivilligt.
Villkoren gör det då möjligt för en vårdgivare att ge eller få direktåtkomst till uppgifter hos en annan vårdgivare eller omsorgsgivare. Flera vårdgivare och/eller omsorgsgivare kan komma överens om ett SVOD-system där de kan ta del av varandras uppgifter via direktåtkomst eller annan elektroniskt utlämnande under vissa förutsättningar. SVOD innebär att behörig personal hos en vårdgivare kan ta del av information om en patient bland annat om en patient blivit informerad om och inte motsatt sig den sammanhållna journalföringen, uppgifterna behövs för vården och patienten samtycker till att aktuell vårdgivare tar del av annan vårdgivares dokumentation.
Direktåtkomst inom socialtjänst
För socialtjänsten finns bestämmelser om SVOD på liknande sätt som för vårdgivare i LSVOD men enbart vad avser vissa personkategorier. Förutsatt att socialtjänsten har anslutit sig till SVOD och de aktuella uppgifterna avser personer som får insatser för äldre eller personer med insatser för funktionsnedsatta kan omsorgsgivare emellan och omsorgsgivare och vårdgivare via direktåtkomst eller annat elektroniskt utlämnande ta del av varandras uppgifter. Det finns inte någon särskild reglering motsvarande 5 kap. 4 § PDL för socialtjänsten, utan samtlig reglering finns i LSVOD och i OSL. En kommunal socialtjänst kan alltså enbart för vissa personkategorier ha direktåtkomst till annan kommunal socialtjänst som finns i annan nämnd eller annan privat utförare av socialtjänstinsatser. I övrigt finns ingen möjlighet att dela uppgifter mellan omsorgsgivare.
Direktåtkomst mellan vårdgivare och socialtjänst
Förutsättningarna för socialtjänsten och hälso- och sjukvården att ha direktåtkomst till varandras dokumentation finns numera genom regleringen i LSVOD. Informationsöverföring kan också ske mellan hälso- och sjukvård och socialtjänst efter sekretessprövning, det vill säga om den enskilde samtycker, det finns någon sekretessbrytande regel eller efter en menprövning. Sekretessbrytande regler finns både för socialtjänsten och hälso- och sjukvården som i vissa fall ger en möjlighet eller skyldighet att lämna ut uppgifter, exempelvis för att kunna ge den enskilde nödvändig vård, behandling eller annat stöd.
Mer om regleringen av SVOD både för vårdgivare och omsorgsgivare samt sekretessen kopplat till SVOD finns att läsa i andra analyser i JP Infonet.
INRE SEKRETESS
Inre sekretess handlar om i vilka situationer personal får ta del av uppgifter inom sin organisation. En uppgift som omfattas av sekretess får inte röjas för enskilda eller för andra myndigheter, om inte något annat anges i OSL eller i en lag eller förordning som OSL hänvisar till. Sekretess gäller även mellan olika verksamhetsgrenar inom en myndighet, när de är att betrakta som självständiga i förhållande till varandra, se 8 kap. 1 och 2 §§ OSL. I sådana fall gäller alltså en sekretessgräns mellan dessa verksamheter. Inom en myndighet eller verksamhetsgren gäller för åtkomst till uppgifter istället vad som betecknas som inre sekretess.
Vad som menas med inre sekretess redovisas bland annat i betänkandet Ny sekretesslag (SOU 2003:99, del 2, s. 260 ff.). I allmänhet har det ansetts vara självklart att uppgifter som omfattas av sekretess får lämnas mellan befattningshavare hos en och samma myndighet i den utsträckning som är normal och behövlig för ett ärendes handläggning eller för verksamhetens bedrivande i övrigt. I vilken utsträckning sekretessbelagda uppgifter därutöver kan röjas inom en myndighet eller en verksamhetsgren har närmast ansetts vara en etisk fråga. Det har förutsatts att möjligheten att utbyta uppgifter inom en myndighet eller verksamhetsgren utnyttjas med omdöme. Det är denna form av begränsning som brukar betecknas som den inre sekretessen. Inre sekretess regleras inte i OSL, utan i andra speciallagar inom respektive område.
Behörighetstilldelning och åtkomststyrning
För att kunna ta del av uppgifter inom en och samma myndighet eller organisation krävs en behörighetstilldelning och åtkomststyrning för varje person som ska bereda sig åtkomst till uppgifterna. Åtkomststyrning handlar, lite förenklat beskrivet, om att se till så att rätt person har den åtkomst och behörighetsnivå som krävs för dennes roll, vid varje given tidpunkt, till den information som personen behöver. Varken mer eller mindre. Åtkomst bör regleras på individuell basis för alla typer av information. Behörighet bör tilldelas med en minimalistisk princip i grunden, det vill säga inte tilldela högre behörighet än vad behovet för respektive roll är. Detta innebär således även att se till så att åtkomst och behörigheter tas bort alternativt förändras när någon träder ur eller förändrar sin roll och därmed behovet av behörighet och åtkomst förändras. Behörighetstilldelning och åtkomststyrning syftar alltså därmed även till att förhindra obehörig åtkomst till information. Behörighetsstyrning eller tilldelning omfattar även att ansvarig kommunicerar inloggningsuppgifter till användaren på ett säkert sätt. Den som olovligen bereder sig åtkomst till uppgift för automatiserad behandling kan dömas för dataintrång enligt 4 kap. 9 c § brottsbalken.
Vårdgivare har ansvar för att varje användare tilldelas en individuell behörighet för åtkomsten av personuppgifter som förs helt eller delvis automatiserat. Sådan behörighet ska begränsas till vad som behövs för att användaren ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Det ingår i vårdgivarens ansvar att bestämma villkoren för varje enskild användares behörighet, efter en behovs- och riskanalys. Bestämmelser om vårdgivarens ansvar för tilldelning och begränsning av behörigheter för åtkomst till uppgifter om patienter finns i 4 kap. 2 § och 6 kap. 7 § PDL samt i kompletterande föreskrifter och allmänna råd från Socialstyrelsen (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården.
För socialtjänsten finns inte samma tydliga reglering kring behörighetstilldelning och åtkomststyrning. Vägledning får sökas i de regleringar som finns kring den inre sekretessen och personuppgiftsbehandling i övrigt. I diverse utredningar har föreslagits en motsvarande ”socialtjänstdatalag”, utan resultat. För närvarande har Socialstyrelsen ett regeringsuppdrag att tillsammans med en särskild utredare analysera kommunernas förutsättningar och behov inför införandet av en socialtjänstdataregisterlag, diarienummer S2023/02123.
Inre sekretess inom socialtjänst
Socialtjänstens individinriktade verksamheter omfattar ett brett område med olika typer av verksamheter och information behöver därav hanteras för många olika ändamål. Socialtjänstens verksamheter har i hög grad behov av att behandla uppgifter om personers hälsa och andra personliga förhållanden. Liksom i hälso- och sjukvården handlar det ofta om känsliga personuppgifter som omfattas av sekretess. Den rättsliga regleringen för informationshantering i socialtjänsten är emellertid inte lika detaljerad som den för hälso- och sjukvården, där det finns detaljerade bestämmelser kring exempelvis behörighetsstyrning och laglig grund för åtkomst.
Lag (2001:454) om behandling av personuppgifter inom socialtjänsten, (SoLPUL), är den registerförfattning som särskilt reglerar behandling av personuppgifter inom socialtjänstens verksamheter. I 6 § 1 stycket SoLPUL anges de förutsättningar som medger att personuppgifter får behandlas inom socialtjänsten. Behandlingen ska vara nödvändig för att arbetsuppgifter inom socialtjänsten ska kunna utföras. Även den övergripande dataskyddsregleringen i Europaparlamentets och rådets förordning (EU) 2016/679, (GDPR), stadgar i art. 25.2 en skyldighet för den personuppgiftsansvarige att tillse att inga obehöriga får ta del av uppgifter i exempelvis ett verksamhetssystem.
Även i bestämmelserna 11 kap. 5 § andra stycket socialtjänstlagen (2001:453), SoL, och 21 a § lagen (1993:387) om stöd och service till vissa funktionshindrade, (LSS), fastställs att handlingar som rör enskildas personliga förhållanden ska förvaras så att obehöriga inte får tillgång till dem. Handlingar är enligt bestämmelserna i 2 kap. 3 § tryckfrihetsgrundlagen som bekant helt teknikneutrala, vilket innebär att även uppgifter i handlingar som finns i ett dokumentationssystem ska förvaras så att obehöriga inte får tillgång till dem. På samma sätt som sekretessreglerna syftar dessa regler till att skydda den som vänder sig till socialtjänsten från obehörig insyn i hennes eller hans privatliv. Bestämmelserna tar alltså närmast sikte på handlingar för vilka det gäller sekretess, vilken då kan utgöra exempelvis socialtjänstsekretessen i 26 kap. 1 § OSL eller allmänna sekretessbestämmelsen för uppgifter om hälsa i 21 kap. 1 § OSL. Obehörig får anses vara envar som ”inte har legitim anledning att ta del av handlingen i sin tjänsteutövning”, se prop. 1979/80:1, del 2, s. 563. Läs mer om personuppgiftsbehandling i socialtjänsten i Socialstyrelsens vägledning, Säker personuppgiftsbehandling i socialtjänsten – Rättsläge och utgångspunkter.
Inom socialtjänsten har nämndorganisationen naturligtvis betydelse för hur information får lämnas mellan personalen. Det finns sekretessgränser mellan verksamheter som leds av olika nämnder och även inom en nämnd kan finnas sekretessgränser. För att en sekretessbelagd uppgift inom socialtjänsten ska få lämnas ut från en nämnd till en annan krävs antingen en sekretessbrytande bestämmelse, den enskildes samtycke, eller att en sekretessprövning resulterar i att uppgifterna kan lämnas ut. Detta utlämnande gäller då vad som ibland benämns den yttre sekretessen, det vill säga över en sekretessgräns. I 26 kap. 9 c § OSL finns en sekretessbrytande möjlighet som innebär att socialtjänsten utan hinder av socialtjänstsekretessen i 26 kap. 1 § OSL, ska kunna dela uppgifter om enskilda som avser insatser för äldre personer och personer med funktionsnedsättning. Uppgiftsdelningen kan ske mellan myndigheter inom en kommun eller mellan kommun och annan myndighet som till exempel religion.
Om det istället handlar om den inre sekretessen gäller istället frågan om åtkomst inom ett sekretessområde, det vill säga exempelvis inom en nämnd. Generellt går det därför inte att ha direktåtkomst till en annan nämnds information rörande en enskild på socialtjänstens område. LSVOD medger dock sådan direktåtkomst om det är fråga om en enskild som får insatser för äldre eller med funktionsnedsättning. I så fall kan två olika nämnder genom SVOD ha direktåtkomst för dessa personers uppgifter, förutsatt att villkor för åtkomsten är uppfyllda. Villkoren regleras i 2 och 3 kap. LSVOD. Mellan till exempel privata utförare som kommunen anlitar och kommunens biståndshandläggare inom socialtjänsten gäller sekretess. Anställda vid den privata utföraren får därför enbart ta del av uppgifter från socialtjänstens dokumentationssystem för bistånd genom direktåtkomst i SVOD för personer med insatser för äldre eller funktionsnedsättning, förutsatt att både den privata verksamheten och kommunen är ansluten till samma SVOD-system. I övrigt kan alla begära att få ta del av uppgifterna genom utlämnande av allmän handling hos kommunen.
INRE SEKRETESS INOM HÄLSO- OCH SJUKVÅRDEN
Den inre sekretessen avseende hur vårdpersonal får lov att ta del av sekretessbelagda uppgifter är tydligt reglerad inom hälso- och sjukvården. Enligt 4 kap. 1 § PDL får den som arbetar hos en vårdgivare ta del av uppgifter om en patient om hen deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete. Inom hälso- och sjukvården finns alltså en uttrycklig reglering med rekvisit som utöver den grundläggande behörighetstilldelningen och åtkomststyrningen måste vara uppfyllda för att personal ska kunna ta del av sekretessbelagd information om patienter. Regleringen om åtkomst inom den inre sekretessen hos en vårdgivare preciseras sedan ytterligare i 4 kap 4 § Socialstyrelsens föreskrifter (HSLF-FS 2016:40) genom att vårdgivaren ska ansvara för att information om på vilka andra vårdenheter eller i vilka andra vårdprocesser det finns uppgifter om en viss patient, inte kan göras tillgänglig utan att den behörige användaren gör ett ställningstagande till om han eller hon har rätt att ta del av denna information. Denna begränsning görs genom att den behörige användaren, det vill säga den personal som behöver uppgifter antingen genom en vårdrelation till patienten eller genom annat skäl har behov av uppgifterna för sitt arbete måste göra ett så kallat aktivt val. Uppgifterna får sedan inte göras tillgängliga utan att den behörige användaren gör ytterligare ett aktivt val. Här har alltså i föreskrifterna ytterligare preciserats att användaren måste tänka efter och aktivt visa att hen de facto har rätt att ta del av just de tänkta uppgifterna inom ramen för den inre sekretessen. Det innebär alltså ett ansvar för den som arbetar hos en vårdgivare att inte ta del av mer uppgifter än vad som är nödvändigt för sitt arbete. Ett samtycke från patient kan alltså inte heller ”tillåta” åtkomst, då det inte är fråga om ett utlämnande av uppgifterna utan handlar inom elektronisk åtkomst.
VERKSAMHETER SOM BEDRIVER BÅDE HÄLSO- OCH SJUKVÅRD OCH SOCIALTJÄNST
Eftersom sekretess råder mellan socialtjänst och hälso- och sjukvård och det enbart efter vissa givna förutsättningar är tillåtet med direktåtkomst via SVOD, är det inte i alla situationer möjligt att ta del av uppgifter mellan dessa verksamheter. Det innebär till exempel att kommunens biståndshandläggare inte regelmässigt kan eller får ta del av uppgifter i en patientjournal genom direktåtkomst.
Ibland vid till exempel särskilda boendeformer bedrivs dock både hälso- och sjukvård och socialtjänst. Motsvarande gäller även hälso- och sjukvård som utförs av regioner i förhållande till kommunala sociala insatser i hemmet, så kallad hemsjukvård. Om en medarbetare som inte är legitimerad, till exempel en undersköterska, deltar i vården av patienter, får hen ta del av de uppgifter som behövs för att arbetet med patienten ska kunna utföras utifrån sin tilldelade behörighet och eftersom hen är anställd vid vårdgivaren och har en vårdrelation med patienten.
Icke-legitimerad personal på särskilda boenden arbetar även ofta med socialtjänstinsatser. Om undersköterskan alltså även arbetar med socialtjänstinsatser ska hen även inom ramen för sin behörighetstilldelning till socialtjänstens dokumentationssystem, dokumentera relevanta uppgifter i det systemet. Varje verksamhet ansvarar alltså för sin egna dokumentation och det sker i respektive system. På samma sätt krävs en individuell behörighet och förutsättningar för respektive system för att kunna ta del av uppgifter som finns där. Personal dokumenterar i patientjournal och socialtjänstens journal beroende på om det är hälso- och sjukvård eller socialtjänst som har utförts. Behörighetstilldelningen, behovet och förutsättningar av att ta del av uppgifter om boende på exempelvis ett särskilt boende omfattar kanske inte alla anställda vid boendet. Den personal som har behov och legala förutsättningar av att ha åtkomst ska ha det, men tanken är att alla ska inte alltid kunna se allt. Förutsatt att verksamheterna har anslutit sig till ett SVOD-system har de dock under vissa givna förutsättningar möjlighet att ”kika in” i varandras dokumentationssystem och på så sätt ta del av uppgifter som behövs för vården eller omsorgen av exempelvis en äldre eller funktionsnedsatt.
En kommunal sjuksköterska kan alltså mycket väl ha behov av att ta del av dokumentation enligt SoL, det vill säga ha egen inloggning till socialtjänstjournalen om hen har bedömts ha det behovet. Likaså får exempelvis en enhetschef på ett boende ta del av journaldokumentation i hälso- och sjukvårdsjournal, det vill säga ha egen inloggning till det systemet, om de legala förutsättningarna är uppfyllda.
SÄRSKILT OM DIREKTÅTKOMST OCH INRE SEKRETESS VID KOMMUNAL HÄLSO- OCH SJUKVÅRD OCH SOCIALTJÄNST
I samband med den så kallade ÄDEL-reformen på 1990-talet, när flertalet av de verksamhetsområden som numera kännetecknar den kommunala hälso- och sjukvården överfördes från regionerna till kommunerna, uttalade sig lagstiftaren i förarbetena kring sekretessgränserna mellan just kommunal hälso- och sjukvård och socialtjänst. Kommunal hälso- och sjukvård anses vanligtvis tillhöra samma verksamhetsområde som den kommunala socialtjänsten i sekretesshänseende, se prop. 1990/91:14 s. 85. JO har i ett avgörande (JO 2020/21 s. 274) reflekterat kring frågan om olika verksamhetsgrenar på ett SiS-hem där det förekom både insatser enligt socialtjänstlagen såväl som hälso- och sjukvårdande insatser.
Uttalandena i ÄDEL-reformspropositionen hänför sig just till frågan om att hälso- och sjukvård som då skulle överföras från regionernas ansvar till kommunal verksamhet skulle inkluderas i samma verksamhetsgren som socialtjänst, det vill säga även anses vara inom den inre sekretessen. Inom den inre sekretessen kan uppgifter delas utan att regleringen i OSL behöver beaktas – det sker som sagt inget utlämnande eller menprövning av uppgifter inom samma verksamhetsgren inom den inre sekretessen. Men även inom inre sekretessen är det inte fritt fram att ta del av samtliga uppgifter ändå, eftersom regelverket kring behörighetsstyrning och elektronisk åtkomst måste beaktas.
Uttalandena handlar just om att hälso- och sjukvård som kommunen ansvarar för ges till personer som bor i till exempel särskilda boenden och vistas i dagverksamhet, det vill säga samtidigt som de får insatser enligt socialtjänstlagen. Dessa personer ska givetvis kunna få sina behov av insatser av både medicinsk och social karaktär inom ramen för en samlad kommunal organisation. Den kommunala hälso- och sjukvården och socialtjänsten ses därför ofta inte som självständiga verksamhetsgrenar i förhållande till varandra i den mening som avses i 8 kap. 2 § OSL. I sekretessrättsligt hänseende är dessa båda områden alltså vanligen inte att anse som verksamheter av olika slag. Denna bedömning är dock något som varje enskild kommun har att ta ställning till utifrån hur verksamheterna är organiserade i förhållande till varandra.
I och med införande av LSVOD infördes också en sekretessbrytande regel i 26 kap. 9 c § OSL. Den nya bestämmelsen innebär att uppgiftsdelning om enskilda som avser insatser för äldre personer och personer med funktionsnedsättning kan ske mellan myndigheter inom en kommun, utan hinder av socialtjänstsekretessen i 26 kap. 1 § OSL. Varje kommun har alltså också att självständigt ta ställning till vilka delar av den kommunala verksamheten som uttryckligen faller inom regleringen i 26 kap. 9 c § OSL och därmed avseende uppgifter kopplat till insatser för äldre och funktionsnedsatta som kan anses omfattas av den sekretessbrytande regeln.
Av Linda Larsson, regionjurist i Region Skåne, Linda Larsson juridik AB.
Ursprungligen publicerad i JP Socialnet.
Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.
Publicerad 18 aug 2023
Jurist, Linda Larsson juridik AB