PUL och patientdata – den allmänna rättsuppfattningen

DI: Karolinska har olaglig personuppgiftshantering – DN.SE.

Take Care systemet skall därför uppdateras så att det bättre följer lagarna. Jag har länge varit bekymrad över hur väl de olika journalsystemet följer de svenska lagarna och hur väl de skyddar patienternas personliga information. Tycker att detta är något sjukhusen borde ha bättre koll på när de upphandlar IT-system för vården.

Varför fanns inte detta kravet med och en kontroll att man uppfyller detta kravet då systemet upphandlades eller då lagarna ändrades ? För det är faktiskt sjukhusets uppgift att se till att de följer lagarna. Det är även systemleverantörernas uppgift att hänga med i lagstiftningen och se till att deras system faktiskt följer lagarna.

Vad är det som går så fel i svenska samhället att man ofta ser att det är kontrollorganen som måste säga till för att data skall hanteras korrekt ? Är det myndigheterna som inte följer vilka nya lagar som stiftas på sitt område. Är det regeringen som inte klarar av att informera om de nya lagarna. Är det socialstyrelsen som inte ger tillräckligt information till sjukhusen. Vet inte, men hade inte Datainspektionen sagt ifrån så hade man förmodligen fortsatt att köra på utan att bry sig om lagen.

Vi har sett hur FRA-lagen har misshandlats och missbrukats av FRA. Även där har datainspektionen varit framme och påpekat de stora problem FRA har haft med sin verksamhet.

Inom Säpo har man haft liknande problem och där har politikerna i stället valt att ändra lagen så SÄPO kan fortsätta som de gjort tidigare. I fallet med säpo så fick ingen skulden för man ansåg att Säkerhetspolisen inte var kompetenta nog att följa lagarna. Tyvärr gäller även detsamma den vanliga polisen också. Hur skall vi vanliga klara av att följa lagen när inte ens polisen gör det ?

Men även staterna i EU klarar inte av att följa sina egna EU-direktiv. Man har inte följt datalagringsdirektivet och inrapporterat information om hur ofta som data har tagits ut ur lagringen årligen som de måste enligt datalagringsdirektivet. Varför för EU länderna bryta mot lagarna men inte dess medborgare ? EU kommissionären Cecilia Malmström sitter därmed löst för att hon inte fått länderna att följa direktivet. Nu har direktivet i många länder förklarats olagligt med hänvisning till lagtexter som kommit pga Lissabonfördraget med krav på mänskliga rättigheter och i andra länder så har det inte ens införts i lagarna (t.ex. Sverige). Så kanske man borde lägga ner datalagringsdirektivet – för uppföljningen visar ju på att länderna inte följer direktivet själva.

På hur många andra ställen i landet finns det myndigheter som bryter mot lagen och inte bryr sig om att så sker. På hur många andra stället sker det övergrepp mot lagarna och dess intentioner för att man alltid har gjort så som man gör och inte inser hur olagligt det är ?


3 Responses to PUL och patientdata – den allmänna rättsuppfattningen

  1. Nu är det ju inte riktigt så enkelt som att kravet skulle funnits med i upphandling då detta är ett system som funnits med redan innan patientdatalagen trädde ikraft.
    Utvecklingen för att uppfylla PDL har pågått och pågår sedan 2008 men det är inga enkla saker det handlar om när man ska uppfylla krav i en ny lag.
    Sammanhållen journalföring erbjuder möjlighet att dela information samtidigt som integriteten ska bibehållas, en svår ekvation men nu införs en version som gör att användarna måste inhämta samtycke och göra aktiva val för att se information utanför sin egen enhet. Vägen hit har varit lång och krokig men nu är man iaf i mål och införandet påbörjas.
    Sedan är det alltid så att en granskning av datainspektionen kan peka på andra brister som man då får se över lösningar för. lagtolkningar är inget enkelt jobb…

  2. Varför fanns inte detta kravet med och en kontroll att man uppfyller detta kravet då systemet upphandlades eller då lagarna ändrades ? För det är faktiskt sjukhusets uppgift att se till att de följer lagarna. Det är även systemleverantörernas uppgift att hänga med i lagstiftningen och se till att deras system faktiskt följer lagarna.

    Kan kanske bidra med lite insikter kring denna frågeställning. Jag har nu jobbat med IT i vården i drygt ett år, efter att ha spenderat mitt tidigare yrkesliv på den privata sidan. Redan från första början så blev jag förbluffad över hur otydlig styrnigen är inom vården/landstinget.

    Beslut fattas på löpande band men ingen vet riktigt vem man ska rätta sig efter. Inom Stockholms Läns Landsting finns en politisk nivå, därefter tjänstemän på landstingsnivå som landstingsdirektör, IT-direktör och gärna någon form av centralt samordningsfunktion. Sen har vi det enskilda sjukhuset där det finns en styrelse, en sjukhusdirektör, en CITO, en informationssäkerhetsansvarig, systemägare och förvaltare av enskilda system, samt en IT-avdelning med chefer och tjänstemän. Till det kommer en inköpsavdelning, och vid beslut om större inköp ofta någon form av fristående projektgrupp. Utöver det finns det också en nationell nivå där socialstyrelsen, läkemedelsverket, datainspektionen med flera kan ge ut föreskrifter som ska följas. Plus förordningar, lagar och direktiv från regering, riksdag och EU. Och så finns det självfallet en nationell samordningsfunktion (CeHIS)

    ALLA dessa personer och nivåer kan fatta beslut som på ett eller annat sätt påverkar IT-miljön på ett sjukhus. Och det är inte tydligt för någon vem som har beslutsmandat över den andre. Hur mycket måste egentligen det enskilda sjukhuset anpassa sig efter det som kommer från landstingets eller den nationella samordningsfunktionen? Om sjukhusdirektören fattar ett beslut som inte är koordinerat med beslut från landstingets IT-direktör, vems beslut gäller? (De flesta beslutsfattare vill självfallet inte fatta beslut som hamnar i konflikt med beslut från andra beslutsfattare, men med den mängd inblandade personer så är det i princip omöjligt för någon enskild beslutsfattare att ha den överblick som skulle krävas)

    Till det kommer samma struktur inom själva huvuduppgiften – vården. Det är en mängd olika nivåer och strukturer som kan fatta beslut.

    Lagstiftarna har löst detta genom att utse Verksamhetschefen (ofta en klinikchef)som högste ansvarig för verksamheten. I den juridiska världen är det alltså, oaktat alla andra beslutsfattare enligt ovan, klinikcheferna som, med hänvisning till ”hög patientsäkerhet och god kvalitet av vården samt främjar kostnadseffektivitet”, kan avgöra hur den lokala IT-miljön ska se ut. Och på ett större sjukhus kan det finnas flera hundra verksamhetschefer.

    Samordning och styrning av en så pass spretig organisation där varje verksamhetschef är kung i sitt eget rike är en ledningsmässig mardröm. Organisationens följsamhet till fattade beslut är i princip helt beroende av att varje enskild verksamhetschef ser nyttan för sin egen verksamhet. Ett beslut som innebär en sjukhusövergripande besparing på 10 miljoner, kan fastna på att vissa enskilda kliniker får kostnadsökningar.

    För ett system som TakeCare som ska finnas i hela landstinget så innebär det att beslut och förändringar går otroligt långsamt. För att överhuvudtaget få acceptans för systemet från vårdverksamheterna måste man göra det lättillgängligt och öppet, villket ofta hamnar i konflikt med lagkraven på sekretess. Men skulle man uppfyllt lagkraven på sekretess redan från början så hade systemet aldrig blivit acceptarat ute i verksamheterna.

    Mycket av det som blir fel inom IT i vården har den otydliga styrningen som grundorsak, och jag kan se att även problemen med TakeCare kan förklaras med det. En enkel lösning vore självklart att ändra på organisationen så att ansvar och befogenheter följer med uppåt i hierarkin, men tyvärr är nog varken Verksamhetscheferna (småkungar som kan bli av med sin makt) eller politikerna (de som det yttersta ansvaret skulle hamna hos) speciellt intresserade av en sådan lösning.

    • Stort tack for din mycket intressanta kommentar. Som utomstående som tittar in på hur det verkar vara inom vården så förklarar det mycket av den problematik som dyker upp inom vården.