Vårdgivarens ansvar för personuppgiftsbehandling och journalföring

Inom hälso- och sjukvården ansvarar vårdgivaren för all personuppgiftsbehandling. Det är vårdgivarens ansvar att det finns processer och rutiner som säkerställer att verksamheten uppfyller de krav och mål som ställs i lagar och föreskrifter. Nedan följer ett antal exempel.

Ledningssystem

Vårdgivaren ska ha dokumenterade processer och rutiner för journalföringen och behandling av personuppgifter. Det ska också finnas regler för vem som till exempel är behörig att dokumentera och läsa eller på annat sätt hantera uppgifterna.

Informationssäkerhet

Vårdgivaren ansvarar för att det finns en informationssäkerhetspolicy. Den ska innehålla övergripande mål och inriktning för informationssäkerhetsarbetet. Syftet är att säkerställa personuppgifters tillgänglighet, riktighet, konfidentialitet och spårbarhet.

Om vårdgivaren till exempel använder öppna nät vid behandling av personuppgifter har vårdgivaren ansvar för att obehöriga inte kan ta del av uppgifterna. Uppgifterna skyddas genom kryptering av förbindelsen och tillgången ska föregås av stark autentisering. Det innebär till exempel att vårdgivaren använder en inloggning som ställer krav på att den enskildes identitet kontrolleras på minst två olika sätt (e-legitimation eller motsvarande).

Vårdgivaren ska även utse en eller flera personer som ska leda och samordna arbetet med informationssäkerhet. Minst en gång om året ska detta arbete rapporteras till vårdgivaren. Sammanställningen ska bland annat innehålla

  • riskanalyser
  • incidenter som påverkat informationssäkerheten och medfört eller hade kunnat medföra vårdskada
  • uppföljningar som gjorts
  • förbättringsåtgärder som utförts.

IT-system

Olika vårdgivare får dela samma IT-system men kan inte få behörighet att se varandras patientjournaler, om inte reglerna för sammanhållen journalföring blir aktuella. Om det finns avtal för sammanhållen journalföring får man, under vissa förutsättningar, ta del av patientjournaler. Man får dock inte skriva i andra vårdgivares patientjournaler. Läs mer under Ta del av uppgifter mellan vårdgivare och Direktåtkomst. 

Behörigheter och åtkomstkontroll

Vårdgivaren har ansvar för tilldelning och begränsning av behörigheter för IT-system i sin verksamhet, och att dessa är korrekta och aktuella. Varje behörighet ska vara individuell och föregås av en behovs- och riskanalys.

Behörigheten ska begränsas till vad som behövs för att användaren ska kunna utföra sina arbetsuppgifter inom hälso- och sjukvården.

Det ska finnas rutiner för ändring, borttagning och regelbunden uppföljning av behörigheter.

Vårdgivaren ska även ha rutiner för kontroll av elektronisk åtkomst till patientuppgifter (åtkomstkontroll). Vårdgivarens ansvar för styrning av behörigheter och åtkomstkontroll gäller på samma sätt vid sammanhållen journalföring.

Arkivering och gallring

En journalhandling ska sparas i minst tio år efter den sista uppgiften fördes in. I offentlig hälso- och sjukvård gäller arkivlagens regler om bevaring och gallring. Vårdgivaren ska säkerställa att uppgifter i patientjournalen förvaras så att de är läsbara tills de gallras.

Mer information

Ta del av uppgifter inom en vårdgivares verksamhet

Ta del av uppgifter mellan vårdgivare

Socialstyrelsens handbok: Journalföring och behandling av personuppgifter i hälso- och sjukvården

Samrådsgruppens gallringsråd nr 6, Bevara eller gallra

Lagar och föreskrifter

Patientdatalag (2008:355)

Personuppgiftslag (1998:204)

Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete

Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården


I texten på denna sida presenteras endast vissa huvuddrag i lagstiftningen på området. Texten innehåller förenklingar och är inte uttömmande. Det är författningstexten som gäller.


Informationen är framtagen i samarbete med ehälsomyndigheten logotyp