Frågor och svar om lex Maria

Det kan vara möjligt att kopiera från den nedladdade anmälan som ni gör efter att anmälan är skickad. På sikt kan IVO tillsammans med er vårdgivare fortsätta utvecklingen mot en import. Vi har gått mot en allt mer gemensam terminologi med NITHA och SKL:s händelseanalys som möjliggör detta. 

Det är den som vårdgivaren utser som anmälningsansvarig. Det kan t ex vara verksamhetschef, chefläkare eller annan administrativ personal.

Ja, det stämmer. Yttrande från personal kan dock laddas upp och skickas med om det är relevant för utredningen, under ”Tillämpliga rutiner eller övriga handlingar som är relevanta för utredningen”.   

Anmälaren kommer att logga in med SITSH kort eller BankID. Alla handlingar i ärendet ska bifogas digitalt. Anmälaren signerar med sitt SITSH kort eller BankID. Då går anmälan in till IVO. Anmälaren får en sammanställd rapport i PDF/A till sitt diarium som kan sparas ned. Anmälaren kan även göra digital komplettering i ärendet. 

Ja men händelse, orsak, åtgärd görs som snabbval i anmälan och möjliggör för oss att återföra statistik på aggregerad och individuell nivå till er som vårdgivare och kan bidra till ett utvecklat lärande och uppföljning inom patientsäkerhetsområdet. 

Du kan påbörja en anmälan och fortsätta i samma anmälan allt eftersom ni blir färdiga med utredningen och sedan sända in en komplett anmälan. Detta möjliggör att ställning är tagen i och med er utredning att det faktiskt är en lex Maria. Tidigare har anmälan ofta sänts separat utan att utredning är gjord och ställning inte har varit tagen utifrån en utrednings resultat. 

I eSams arbete med rättslig reglering kring frågan om Eget utrymme har frågan diskuterats och någon fullständig klarhet har inte vunnits i alla delar. Detta gäller generellt och inte i det fall det i lag eller förordning, till exempel i särskilda registerförfattningar, anges vem som är personuppgiftsansvarig. 

 

För IVO gäller visserligen inte någon registerförfattning, men en sådan gäller för den som gör en lex Maria-anmälan till IVO.

 

En lex Maria-anmälan ska enligt 3 kap. 5 § patientsäkerhetslagen (2010:659) göras av en vårdgivare beträffande händelser som har medfört eller hade kunnat medföra en allvarlig vårdskada inom ramen för hälso- och sjukvård som bl.a. omfattas av hälso- och sjukvårdslagen (2017:30) och tandvårdslagen (1985:125). För sådan hälso- och sjukvård är patientdatalagen (2008:355, PDL) tillämplig (Se 1 kap. 1 och 3 §§ PDL samt prop. 2007/08:126 s. 228 där lex Maria-anmälningar nämns som exempel på behandling för sådana ändamål som anges i 2 kap. 4 § första stycket 3 PDL.)  och av 2 kap. 6 § PDL följer att vårdgivaren är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. (Där föreskrivs också och att det i landsting och kommun är varje myndighet som bedriver hälso- och sjukvård som är personuppgifts-ansvarig för den behandling av personuppgifter som myndigheten utför.)   

 

Av lag följer således att en vårdgivare, som upprättar en lex Maria-anmälan, är person-uppgiftsansvarig för de behandlingar som utförs för att upprätta och ge in anmälan till IVO.

 

Detta innebär att IVO:s bedömning är att vårdgivaren är personuppgiftsansvarig för den behandling som kan anses ske inom ramen för Eget utrymme. IVO är därmed personuppgiftsbiträde. IVO har utlokaliserat driften av Eget utrymme till extern leverantör som då kommer att hantera personuppgifter som underbiträde till IVO. Mellan IVO och den externa leverantören finns en reglering av personuppgiftshanteringen.

 

Däremot får IVO anses vara personuppgiftsansvarig för behandling av personuppgifter i ett eget register över användare av Eget utrymme och för behandlingar av personuppgifter som IVO utför i samband med att användare loggar in i Eget utrymme och andra kontroller av identitet och behörighet. (Jfr SOU 2017:23 s. 219. )

 

Ovanstående baseras i allt väsentligt på nuvarande lagstiftning men såvitt nu kan bedömas kommer de förändringar som kan förväntas ske i Patientdatalagen (Se SOU 2017:66) inte att påverka ovanstående bedömning. IVO kommer dock att bevaka frågan och den fortsatta rättslig reglering på området. 

Mot bakgrund av IVO:s bedömning att det är vårdgivaren som är personuppgiftsansvarig ser vi inte att avgörandet från Högsta förvaltningsdomstolen eller Datainspektionens tillsynsbeslut påverkar denna bedömning.

 

IVO ställer Eget utrymme till förfogande för de vårdgivare som avser att göra en lex Maria-anmälan och det Egna utrymmet ska närmast ses som en arbetsyta som kan användas för att förbereda en anmälan. Möjligheten att använda arbetsytan är begränsad i tiden. Domen från Högsta förvaltningsdomstolen kan möjligen ses som ett stöd för att även om Eget utrymme är en arbetsyta som ska användas under en begränsad tid och som ska följas av en anmälan till IVO, så blir personuppgiftslagen tillämplig på den behandling av personuppgifter som sker i Eget utrymme.

 

Vad gäller Datainspektionens tillsynsbeslut är en väsentlig faktor i detta beslut att E-Hälsomyndighetens möjlighet att behandla personuppgifterna utgår från det uppdrag myndigheten har, dvs. att tillhandahålla en lagringsplats för den enskildes hälsouppgifter. Således framgår ändamål och medel direkt av tillämplig lagstiftning.

 

Något liknande kan inte hänföras till IVO:s fall eftersom det inte ingår i IVO:s uppdrag att tillhandahålla Eget utrymme, utan det görs endast som en serviceåtgärd till vårdgivarna. 

Det är ingen lagring i tjänsten. Tjänsten tillhandahålls av IVO via en leverantör och i leverantörens datacenter, on premise (fysisk i en datahall), i Sverige. Tjänsten är utformad så att ingen information i det Egna utrymmet kan nås av IVO:s personal. När anmälan är inskickad till IVO blir den en inkommen handling och ingen mer information om anmälan finns kvar i det egna utrymmet. Skulle en ofullständig anmälan ligga i det egna utrymmet så rensas den efter 3 månader. 

Det regleras i avtal mellan parterna som säkerställer att leverantören upprätthåller fysisk och logisk säkerhet för klienter, klientprodukter, verksamhetssystem, servrar, nätverkstjänster och data i överensstämmelse med IVO:s säkerhetskrav och/eller gällande bransch praxis vid hantering av känsliga personuppgifter samt sekretessbelagd information.

Eget utrymme ska utformas på sådant sätt att IVO inte har tillgång till de uppgifter som finns i Eget utrymme. Konsekvensen blir att IVO inte kommer att kunna kontrollera innehållet i Eget utrymme. Som angivits är Eget utrymme en tjänst som ska kunna användas under en begränsad tid av en vårdgivare och efter viss tid kommer uppgifterna att rensas. IVO kommer inte att kunna utföra några kontroller av det material som finns i Eget utrymme utan bestämmelsen om rätt att i vissa situationer rensa förutsätter att information lämnas av annan, t.ex. en vårdgivare, varvid IVO kan rensa. Det skulle kunna vara en situation där vårdgivaren misstänker att material är virussmittat och informera IVO om detta förhållande, varefter IVO kan rensa materialet. Det kan också uppkomma situationer när uppgifter i Eget utrymme pga. tekniskt fel, missbruk, brottsligt angrepp, etc. av misstag blir allmänna handlingar hos IVO. I en sådan situation är huvudregeln att IVO beslutar att gallring ska ske av dessa uppgifter. 

Tjänsten är en utökning av en redan etablerad tjänst som IVO tillhandahåller till externa parter och som följer de riktlinjer myndigheten har på IT-säkerhet d v s man tar hänsyn till sekretess, riktighet, tillgänglighet och spårbarhet. Specifikt för tjänsten kan nämnas att man bara tillåter säker inloggning via e-legitimation vilket medför att man bara får tillgång till sitt eget utrymme och att all information/färdig anmälan som skickas från det egna utrymmet till IVO krypteras med TSL. Mot denna bakgrund är detta en utökad tillämpning av den befintliga tjänsten för lex Maria. Tillämpningen följer eSams rekommendationer och föreskrift och har varit grundkrav för den etablerade tjänsten men då Eget utrymme avser endast en ny tillämpning av en redan befintlig tjänst har IVO funnit att tidigare arbete med IT säkerhetsfrågorna, bl.a. vid kravställning av tjänsten, uppfyller de utredningskrav som kan ställas. Tyvärr är detta arbete inte sammanställt i ett sammanhållet dokument. 

Det är IVO:s avsikt att inget särskilt skriftligt personuppgiftsbiträdesavtal ska upprättas i förväg utan att samtliga villkor för användning av Eget utrymme ska anges i användarvillkoren.

Anmälan ska göras av den som vårdgivaren har utsett som ansvarig för anmälningsskyldigheten. Den som har ett sådant ansvar bör då också ha fått behörighet att använda Eget utrymme för att arbeta med att färdigställa anmälan. 

Eget utrymme ska utformas på ett sådant sätt att IVO inte får någon tillgång till material i Eget utrymme. Material i Eget utrymme blir därmed inte allmänna handlingar hos IVO. Begär någon ut handling som finns i Eget utrymme så har frågan att hanteras av vårdgivaren, upplysningsvis har detta angivits i punkt 3.4 i användarvillkoren. Sedan delar IVO bedömningen att med hänsyn till att Eget utrymme närmast är en tillfällig arbetsyta

Ämne