Fråga:
Jag är ansvarig för PMO-systemet för skolhälsovården (EMI) i vår kommun. Vi har en verksamhetschef som inte är medicinskt utbildad och som nu vill ha tillgång till PMO-skolhälsovårdsjournal. Vid diskussioner tidigare har det oftast framhållits att det är tveksamt om en ”ickemedicinsk”-personal skall ha tillgång till skolhälsovårdsjournalerna på ett generellt plan, alltså kunna logga in själv. Att en verksamhetschef måste kunna granska enskilda ärenden är förstås en självklar sak, men när diskussioner tidigare har först i detta ärende har det sagts att verksamhetschefen kan få tillgång till dessa uppgifter vid granskningen tillsammans med t.ex. den medicinskt ansvarige i kommunen. Jag ställer mig mycket tveksam till att verksamhetschefen skall kunna ha en generell tillgång till skolhälsovårdsjournalerna på ett generellt plan. Vad är din uppfattning i frågan?
Hälsningar P
Svar:
(Svaret uppdaterat 2020-07-28)
Hej P,
Jag har tidigare svarat på en liknande fråga som din (se https://www.elevhalsan.se/ staffan/rektor-som- verksamhetschef-tillgang-till- medicinsk.htm ) men vill komplettera detta svar med ytterligare några synpunkter.
En verksamhetschef i sådan verksamhet som gäller HSL tillhör hälso- och sjukvårdens personal oavsett legitimation eller inte. Även denne chef bör alltså ha en möjlighet att vid behov och utifrån bestämmelserna om inre sekretess i PDL 4:1 logga in sig för att ta del av patientinformation. Socialstyrelsen skriver så här på sin hemsida:
”Vem får ta del av patientuppgifter enligt patientdatalagen?
Inom en vårdgivares verksamhet är endast den befattningshavare som deltar i vården av patienten, eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården, behörig att ta del av uppgifter om en patient. För att kravet på inre sekretess ska kunna upprätthållas finns bestämmelser om behörighetstilldelning och åtkomstkontroll.”
Om behörighetstilldelning sägs i PDL 4:2 att ”en vårdgivare ska bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat. Sådan behörighet ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården.”
Det innebär i praktiken att man i varje HSL-verksamhet ska fastställa vilka som ska tilldelas behörighet att logga in för att hämta patientuppgifter, att detta ska ske utifrån ett behov och att regelbundna åtkomstkontroller ska ske. Hur detta i praktiken kommer att lösas är sjukvårdshuvudmannens ansvar att fastställa. Självklart kan en verksamhetschefs befattningsbeskrivning i viss mån avgöra om denne ska tilldelas behörighet. Vid innebär t.ex. att i en viss verksamhet ”av annat skäl” kunna behöva enskilda patientuppgifter?
Jag föreslår alltså att ni, innan behörighet tilldelas verksamhetschefen, för en noggrann diskussion om varför denne i vissa fall kan behöva direktåtkomst till patientuppgifter. Mycket talar dock enligt min uppfattning för att en chef, som ansvarig för verksamheten, ska ges behörighet, oavsett om denne är legitimerad eller inte.
Hälsningar
Staffan