JO dnr 3160-2017
Kritik mot Region Norrbotten och en hälsocentral inom regionen för bristfälliga rutiner i frågor om sekretess och utlämnande av uppgifter
Beslutet i korthet: En polis kontaktade en sjuksköterska vid en hälsocentral med frågor om en person som tidigare hade varit patient där. Sjuksköterskan gick in i patientens journal och lämnade ut vissa sekretessbelagda uppgifter om patienten utan att någon sekretessbrytande bestämmelse var tillämplig.
ChefsJO beslutade att inleda en förundersökning om dataintrång och brott mot tystnadsplikten eftersom hon ansåg att det fanns anledning att anta att sjuksköterskan hade gjort sig skyldig till brott. Förundersökningen lades senare ned och utredningen fortsatte i detta ärende. Sjuksköterskans handlande hade även anmälts till Inspektionen för vård och omsorg (IVO). IVO uttalade kritik mot sjuksköterskan för att muntligen ha lämnat ut sekretessbelagd uppgift om patienten till polisen. ChefsJO valde med anledning av IVO:s beslut att främst rikta in sin fortsatta granskning av ärendet på regionens och hälsocentralens ansvar för det inträffade.
I beslutet konstaterar chefsJO att anställda inom hälso- och sjukvården visserligen har ett personligt ansvar när det gäller handlande som kan utgöra sekretessbrott och dataintrång. I det här fallet måste dock en starkt bidragande orsak till det inträffade enligt chefsJO ha varit bristfälliga regionala och lokala rutiner samt otillräckliga utbildningsinsatser för personalen. ChefsJO uttalar att det tillämpliga regelverket är komplicerat och att det är angeläget att det finns korrekta och tydliga rutiner på detta mycket viktiga område. Såväl regionen som hälsocentralen kritiseras för de konstaterade bristerna.
Den 28 december 2016 ringde en polis (AA) till Gammelstads hälsocentral inom Region Norrbotten och pratade med sjuksköterskan BB Samtalet rörde en person (CC) som tidigare hade varit listad som patient på hälsocentralen. I samband med telefonsamtalet upprättade BB en anteckning i CC:s patientjournal, med följande innehåll:
Polis fr brottsofferjouren ringer […], behöver upplysningar kring pat. Uppger att ex flickvän har skydd och pat har besöksförbud. Pat hävdar nu att det är fel, att det är han som är förföljd. Lämnat tämligen osammanhängande historia och polisen undrar nu kring eventuell förskrivning av tex beroendeframkallande. Har tung polis/häkteshistorik. Listad annan HC men upplysningar lämnas.
De uppgifter som kom fram i journalanteckningen väckte frågor om hur sjuksköterskan BB hade agerat i samband med telefonsamtalet. Mot bakgrund av detta beslutade jag den 8 maj 2017 att ta upp den saken till utredning i ett särskilt ärende (dnr 3160-2017).
Eftersom jag ansåg att det fanns anledning att anta att BB hade gjort sig skyldig till dataintrång enligt 4 kap. 9 c § brottsbalken och brott mot tystnadsplikt enligt 20 kap. 3 § brottsbalken beslutade jag att inleda en förundersökning om sådana brott och gav en åklagare i uppdrag att verkställa utredningen.
Inom ramen för förundersökningen begärde JO att få ta del av vissa uppgifter och handlingar från Region Norrbotten, bl.a. regionala och lokala riktlinjer om utlämnande av uppgifter i patientjournaler. Vidare hölls förhör med hälsocentralens verksamhetschef DD, polisen AA samt med BB.
Med anledning av det som kom fram under förundersökningen fann jag den 20 december 2017 att det inte längre fanns anledning att fullfölja förundersökningen och beslutade därför att lägga ned den. Jag upplyste samtidigt om att den fortsatta granskningen av den aktuella händelsen skulle ske inom ramen för detta särskilda initiativärende.
Under den tid som förundersökningen pågick kom det fram att CC hade vänt sig till Inspektionen för vård och omsorg (IVO), med sina klagomål mot BB, och att ärendet var under utredning där (IVO:s ärende med dnr 8.2-9679/2017). Klagomålen i det ärendet avsåg samma händelse som var föremål för JO:s prövning i detta ärende.
Begäran om yttrande från regionen
JO begärde därefter att Regionstyrelsen i Region Norrbotten skulle yttra sig över det som hade kommit fram i ärendet. I yttrandet, som skulle innehålla en redogörelse för den aktuella händelsen, skulle även följande frågor behandlas:
1. Fanns det några regionala och lokala skriftliga styrdokument/riktlinjer vid det aktuella tillfället i fråga om rätten för sjukvårdspersonal att gå in i patientjournaler och för utlämnande av uppgifter ur patientjournaler? Om det inte fanns några skriftliga styrdokument, redogör för eventuell regional/lokal praxis och/eller andra rutiner på området.
3. Vilka eventuella kontrollåtgärder ska personalen vidta innan uppgifter ur en journal lämnas ut till en utomstående? Vilka överväganden ska personalen göra innan uppgifter lämnas ut till t.ex. en polis?
4. Vilken information och utbildning ges till sjukvårdspersonal inom regionen när det gäller rätten att gå in i en viss patientjournal och för utlämnande av uppgifter?
I sitt yttrande till JO framförde regionstyrelsen följande:
Redogörelse för inkomna frågor Fanns några riktlinjer vid det aktuella tillfället i fråga om rätten för sjukvårdspersonal att gå in i patientjournaler och för utlämnande av uppgifter ur patientjournaler? Regionstyrelsens svar: Vid det aktuella tillfället fanns det i Region Norrbottens dokumenthanteringsplan beskrivet hur utlämnande av journalhandlingar ska gå till väga. I regionens rutin Sekretess och tystnadsplikt i vården tydliggörs medarbetarnas och chefernas rättigheter och skyldigheter angående sekretess. Rutinen klargör vilket ansvar varje medarbetare och befattningshavare har.
Vid tillfället fanns även en anvisning för hantering av loggkontroller och intrång i journalsystem. I anvisningen tydliggörs bland annat vilket ansvar varje medarbetare har för att vara insatt i de lagar och regler som gäller vid journalåtkomst. Hur såg/ser arbets- och delegationsordningen ut i fråga om vem som är behörig att pröva framställningar om utlämnande av uppgifter ur journal till utomstående? Regionstyrelsens svar: När en begäran om utlämnande av journalinformation inkommer är det verksamheten som har hand om vården av handlingen som ska pröva framställningen. Enligt Region Norrbottens delegationsordning har regionstyrelsen delegerat till regiondirektören att besluta om att avslå begäran om utlämnande av allmän handling. Regiondirektören har i sin tur vidaredelegerat det beslutet till divisionschef eller avdelningsdirektör. Vilka eventuella kontrollåtgärder ska personal vidta innan uppgifter ur en journal lämnas ut till utomstående? Vilka överväganden ska personal göra innan uppgifter lämnas ut till exempel en polis? Regionstyrelsens svar: Vid utlämnande av uppgifter ur en journal måste personal alltid göra en menprövning enligt anvisning. När polisen begär ut uppgifter ur en journal måste verksamheten försäkra sig om att det finns en sekretessbrytande bestämmelse för ett utlämnande. Vilken information och utbildning ges till sjukvårdspersonal inom regionen när det gäller rätten att få gå in i en viss patientjournal och för utlämnande av uppgifter? Regionstyrelsens svar: Det är varje verksamhetschefs ansvar att försäkra sig om att sjukvårdspersonal har rätt information och kunskap vad gäller rätten att få gå in i en viss patientjournal samt för utlämnande av uppgifter. Till hjälp för detta finns framtagna rutiner och anvisningar.
I samband med anställning måste arbetstagare bekräfta att de har tagit del av socialstyrelsens anvisning om tystnadsplikt och gällande sekretessregler. Arbetstagare ska även skriva under ett sekretessbevis där det framgår vad som gäller vid åtkomst till patientuppgifter, loggkontroll samt att uppdragstagaren är ansvarig att följa fastställda rutiner gällande dokumentation och åtkomst till journalinformation enligt uppdrag
.
Av sjuksköterskans redogörelse för händelsen framkommer följande: ”Jag utgick från att polisen som myndighet hade korrekta uppgifter då de begär upplysningar, dvs att straffsatsen är klarlagd. Polisen ringde och hänvisade till att hon ringde för patientens skull, jag utgick därför från att patienten givit sitt samtycke. Journalen har inte lämnats ut, polisen ville ha uppgifter om patientens ev missbruk. Jag handlade därför i god tro som myndighet till myndighet då det är svårt för oss enskilda sjuksköterskor att avgöra varje enskilt fall. Det är sedan länge praxis att polismyndigheten begär och får upplysningar av sjukvården, främst på jourtid då det är 1177/jourcentralen och framförallt häktet.”
Av verksamhetschefen för hälsocentralen framkommer följande: ”Anmälarens journal har inte lämnats ut till polismyndigheten. Sjuksköterskan har via telefonen fått en förfrågan om anmälaren av polisens brottsoffersamordnare vid polisen i Luleå. Polisen uppger i samtal med undertecknad att det var i syfte att skydda anmälaren. Rutinerna för utlämnande av journaluppgifter i kontakt med polismyndigheten är inte lätta att hantera för sjukvårdspersonalen då det kräver juridiska kunskaper och information som inte alltid finns tillgänglig. Det är lätt att hamna i en gråzon. Man känner till de allmänna reglerna men inte alltid hur de ska tolkas i varje enskilt fall. För att undvika gråzonen är rutinen vid Gammelstads HC att vid begäran om journaluppgifter/ utlämnande av journal ska verksamhetschefen kontaktas innan något utlämnande sker.”
Regionstyrelsens bedömning
Regionstyrelsens bedömning av händelsen är att patientuppgifter har lämnats ut i strid med gällande sekretessbestämmelser. Det har inte funnits några sekretessbrytande bestämmelser för utlämnandet till polisen, inte heller har det funnits något samtycke från patienten. Under tiden för händelsen har det inte funnits några rutiner för hur ett utlämnande av journaluppgifter till polis ska hanteras.
Regionstyrelsen kan konstatera att en rutin för utlämnande av journaluppgifter till polis är under framställning för att tydliggöra för verksamheterna hur de ska förhålla sig när en sådan begäran inkommer.
En anvisning för utlämnande av allmänna handlingar har tagits fram, med fokus på roller och ansvar samt tillvägagångssätt vid en begäran.
Hälsocentralen har även tagit fram egna rutiner där verksamhetschefen alltid ska kontaktas innan något utlämnande kan ske.
IVO:s beslut
IVO fattade den 9 maj 2018 beslut i ärendet som rörde CC:s klagomål mot BB (dnr 8.2-9679/2017). JO har hämtat in och tagit del av IVO:s beslut.
Av 6 § förvaltningslagen (1986:223) , som gällde vid den tidpunkt som är aktuell i ärendet, framgår att varje myndighet ska lämna andra myndigheter hjälp inom ramen för den egna verksamheten. Den 1 juli 2018 trädde en ny förvaltningslag ( 2017:900 ) i kraft. I 8 § i den nya lagen finns en motsvarande bestämmelse som anger att en myndighet inom sitt verksamhetsområde ska samverka med andra myndigheter.
Inom hälso- och sjukvården gäller sekretess för uppgifter om en enskilds personliga förhållanden om det inte står klart att uppgifterna kan lämnas ut utan att den enskilde eller någon närstående till honom eller henne lider men (25 kap.
I 10 kap. OSL finns vissa sekretessbrytande bestämmelser om undantag från sekretess. Av 10 kap. 1 § OSL framgår bl.a. att sekretess till skydd för en enskild inte hindrar att en uppgift lämnas ut till en annan enskild eller till en myndighet om den enskilde samtycker till det. Sekretess hindrar inte heller att en uppgift lämnas ut till en enskild eller till en annan myndighet om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet ( 10 kap. 2 § OSL ). Med stöd av bestämmelsen i 10 kap. 21 § OSL kan hälso- och sjukvården till bl.a. Polismyndigheten lämna ut uppgifter som normalt omfattas av sekretess vid misstanke om vissa brott mot barn. När det gäller begångna brott i övrigt kan hälso- och sjukvården lämna ut sekretessbelagda uppgifter vid bl.a. misstanke om fullbordat brott för vilket det är föreskrivet fängelse i minst ett år ( 10 kap. 23 § OSL ). Sekretessen hindrar inte heller att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning ( 10 kap. 28 § OSL ).
Röjer någon uppgift, som han eller hon är skyldig att hemlighålla enligt lag eller annan författning eller enligt förordnande eller förbehåll som har meddelats med stöd av lag eller annan författning kan denne dömas för brott mot tystnadsplikt ( 20 kap. 3 § brottsbalken ).
Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården ( 4 kap. 1 § patientdatalagen [2008:355], PDL). Den här bestämmelsen om inre sekretess uttrycker ett personligt ansvar för den som arbetar hos en vårdgivare. Olovligt intrång i ett journalsystem kan vara straffbart enligt bestämmelsen om dataintrång i 4 kap. 9 c § brottsbalken .
En vårdgivare ska bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat. Sådan behörighet ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården (4 kap. 2 § första stycket PDL).
Enligt 2 kap. 7 § PDL får vårdgivare endast behandla sådana personuppgifter som behövs för de ändamål som anges i 2 kap. 4 § PDL. Uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får endast behandlas om det är absolut nödvändigt för ett sådant ändamål.
Syftet med att föra en patientjournal är i första hand att bidra till en god och säker vård av patienten (3 kap. 2 § PDL). Enligt 3 kap. 5 § PDL får en patientjournal endast innehålla de uppgifter som behövs för de ändamål som
Av Socialstyrelsens föreskrifter och allmänna råd Ledningssystem för systematiskt kvalitetsarbete (SOSFS 2011:9) framgår i 3 kap. 1 § att vårdgivaren ska ansvara för att det finns ett ledningssystem för verksamheten. Ledningssystemet ska användas för att systematiskt och fortlöpande utveckla och säkra verksamhetens kvalitet. Vårdgivaren ska enligt 4 kap. 2 och 4 §§ identifiera, beskriva och fastställa de processer i verksamheten som behövs för att säkra verksamhetens kvalitet. För varje aktivitet ska vårdgivaren vidare utarbeta och fastställa de rutiner som behövs för att säkra verksamhetens kvalitet. Rutinerna ska dels beskriva ett bestämt tillvägagångssätt för hur en aktivitet ska utföras, dels ange hur ansvaret för utförandet är fördelat i verksamheten.
Genom utredningen i ärendet har det kommit fram att polisen AA den 28 december 2016 kontaktade hälsocentralen om CC, som tidigare varit patient där. AA samtalade i telefon med sjuksköterskan BB, som inte tidigare hade deltagit i vården av CC. Under samtalet gick BB in i CC:s patientjournal och tog del av vissa uppgifter om honom. Av den journalanteckning som BB skrev efter telefonsamtalet framgår bl.a. att ”polisen undrar kring eventuell förskrivning av tex beroendeframkallande” samt att ”upplysningar lämnas”. I journalen har BB vidare fört in uppgifter om att CC har besöksförbud som avser en tidigare flickvän samt att han har ”tung polis/häkteshistorik”.
Uppgifter i en patientjournal inom hälso- och sjukvården är typiskt sett information som är mycket känslig ur integritetssynpunkt. Utgångspunkten är att sekretess råder för sådana uppgifter och att det krävs lagstöd för att lämna ut dessa, t.ex. till en annan myndighet. Som framgått av redogörelsen för den rättsliga regleringen finns det vissa sekretessbrytande bestämmelser som innebär att hälso- och sjukvårdspersonal under vissa förutsättningar får lämna uppgifter ur patientjournaler till Polismyndigheten, bl.a. om patienten har lämnat sitt samtycke eller om uppgiften angår misstanke om brott av en viss allvarlighetsgrad.
IVO har utrett samma händelse som är föremål för JO:s prövning i detta ärende. I sitt beslut den 9 maj 2018 uttalade IVO kritik mot BB på grund av att hon muntligen lämnat ut sekretessbelagd uppgift om CC till polisen. Mot den bakgrunden kommer jag inte att göra några uttalanden om BB:s handlande i den delen. Min granskning kommer i stället främst att inriktas på regionens och hälsocentralens ansvar för det inträffade.
Under utredningen har JO begärt in och granskat vissa regionala rutiner och riktlinjer om informationssäkerhet och för dataintrång samt anvisningar i fråga om hantering av loggkontroller och intrång i journalsystem och informationssäkerhet. Såvitt jag kan se innehåller inte något av dessa dokument rutiner eller anvisningar i fråga om sekretess och utlämnande av uppgifter/handlingar till andra myndigheter, t.ex. till polisen. Vissa av de styrdokument som jag tagit del av är vidare upprättade 2008 och 2009, och ett av dessa var giltigt t.o.m. maj 2013, dvs. ett datum som för länge sedan hade passerat vid den aktuella händelsen.
BB har i förhör under förundersökningen bl.a. anfört att det inte fanns några rutiner vid hälsocentralen för hur personalen skulle hantera telefonsamtal från t.ex. polisen och att hon inte hade fått någon utbildning om den saken. Hon har vidare uppgett att det inte har genomförts några utbildningsinsatser i sekretessfrågor under hennes sex–sju år på hälsocentralen men att personalen uppmärksammas på om det kommer ”nyheter eller nya paragrafer”. I det förhör som hölls med verksamhetschefen för hälsocentralen under förundersökningen framkom bl.a. att han, vid en inventering av vilka styrdokument som fanns ”vad gäller sekretessfrågor och annat” vid den aktuella tidpunkten inom landstinget, hade konstaterat att det inte fanns några skrivna rutiner, men att sekretessreglerna ändå var ”kända” för hälso- och sjukvårdspersonalen.
Regionstyrelsen har i sitt remissvar uppgett att det vid det aktuella tillfället fanns en rutin för sekretess och tystnadsplikt inom regionen och att det i regionens dokumenthanteringsplan fanns beskrivet hur utlämnande av journalhandlingar skulle gå till. Vidare framgår av remissvaret att en anvisning för utlämnande av allmänna handlingar med fokus på roller och ansvar samt tillvägagångssätt vid en sådan begäran har tagits fram och att en rutin för utlämnande av journaluppgifter till polis var under framställning. Regionen har senare meddelat att rutinen är färdigställd och antogs den 1 november 2018.
Region Norrbotten och Gammelstads hälsocentral får kritik för bristfälliga rutiner och otillräcklig kompetensförsörjning
Anställda inom hälso- och sjukvården har visserligen ett personligt ansvar när det gäller handlande som kan utgöra sekretessbrott och dataintrång. Under ärendets gång har det dock för mig blivit uppenbart att en starkt bidragande orsak till det inträffade måste ha varit bristfälliga regionala och lokala rutiner samt otillräckliga utbildningsinsatser för personalen. Det tillämpliga regelverket är komplicerat och det är enligt min uppfattning angeläget att det finns korrekta och tydliga rutiner på detta mycket viktiga område. Såväl regionen som hälsocentralen förtjänar kritik för de konstaterade bristerna.
Regionstyrelsen har anfört att såväl regionala som lokala rutiner har setts över efter den aktuella händelsen. Jag utgår från att dessa rutiner nu är uppdaterade
Påminnelse om vikten av en korrekt journalföring
Med anledning av att frågan om journalföring inte behandlades i IVO:s beslut om BB vill jag även nämna följande: I den anteckning som BB gjorde i CC:s journal efter det aktuella telefonsamtalet noterade hon bl.a. uppgifter om besöksförbud och ”tung polis/häkteshistorik”. Jag har under avsnittet om rättslig reglering redogjort för vissa bestämmelser i patientdatalagen om behandling av personuppgifter inom hälso- och sjukvården och om vilka uppgifter en patientjournal får innehålla. Mot bakgrund av dessa bestämmelser ifrågasätter jag den rättsliga grunden för att ovannämnda uppgifter dokumenterades i CC:s journal. Jag vill därför avslutningsvis erinra om vikten av att journalföring görs med noggrannhet och i enlighet med gällande regelverk.