Till Frågor & svar

Vid distansundervisning – hur ska EMI fortsätta sitt uppdrag och hur kan hälsosamtal genomföras?

9 april, 2020

Fråga:

Nu när många skolor går över till distansundervisning så kommer frågan: hur ska elevhälsan kunna fortsätta sitt uppdrag? Det är många tyckanden och tänkanden kring säkerheten runt t.ex. Google Meet. Vad gäller egentligen?
Kan man som skolsköterska hålla uppföljande samtal eller hälsosamtal över plattformen om förutsättningar finns för att sekretessen uppfylls i omgivningen?
Lena


Svar:

(Svaret uppdaterat 2020-07-28)

 Hej Lena,

nyligen har jag svarat på två frågor som handlar om en kurators möjlighet att kommunicera med elever under skolstängning. Grundregeln är densamma för en sköterska eller läkare. Sekretessen måste skötas och GDPR, patientsäkerhetslag, patientdatalag och svensk dataskyddslag följas.  
 
EMI i skolan ska fullgöras under skolstängningstid på det sätt som huvudmannen bestämmer. Tas kontakt med elever/patienter ska detta ske på ett lagenligt sätt. Jag är osäker på om Google Meet kan garantera säkerheten på ett för hälso- och sjukvården kvalitetsmässigt sätt. 

Säkrast är förstås att via vanliga telefonsamtal svara på frågor från patienter eller föra hälsosamtal. Så länge detta görs utan personregistrering tillämpas inte GDPR men frågor om sekretess och tystnadsplikt måste det tas hänsyn till. Skulle samtal spelas in  aktualiseras dataskyddslagstiftningen. Min rekommendation är att vanliga samtal förs och att det av samtalen som behöver antecknas görs i patientjournalen. Jag är tveksam till videosamtal. Dessa omfattas, även om de inte sparas, av GDPR:s regler. 

Skulle ett patientsamtal via telefon behöva följas upp kan detta ske via nytt telefonsamtal eller, om möjligt, vid ett personligt möte. Hur uppföljning sker måste man ta ställning till utifrån förutsättningarna i det enskilda fallet och utifrån huvudmannens  instruktioner. 

Vid ett telefonsamtal med en elev ska man förvissa sig om huruvida andra än patienten finns i rummet eller på annat sätt kan avlyssna samtalet. Skulle samtalet föras med en vuxen måste man veta att det är barnets vårdnadshavare och om barnet självt finns närvarande. Att någon annan finns med, t.ex. en vårdnadshavare, är oftast rimligt då patienten är ung, men i tonåren har patienten vanligen ett intresse av att ensam få samtala med en skolsköterska eller skolläkare. 

  Jag tog häromdagen kontakt med IVO för att höra ifall de har fattat något tillsynsbeslut kopplat till e-hälsa. Min fråga till dem var:

”Hej,

Via olika sjukvårdshuvudmän, t.ex. Doktor24, Mindler och KRY, erbjuds patienter numera hälso- och sjukvårdssamtal, bl.a. videosamtal, med sköterska, läkare eller psykolog. Vid sådana kontakter måste förstås bl.a. GDPR, patientdatalag och svensk dataskyddslag iakttas.

Min fråga är om IVO under 2018-20 har fattat något beslut ifråga om patientintegritet och patientsäkerhet gällande sjukvårdshuvudman som bedriver sådana nättjänster avseende hälso- och sjukvårdssamtal.

 Önskar i så fall få veta diariebeteckningar för dessa beslut.

Hälsningar

Staffan Olsson”

Jag fick ett snabbt svar. IVO har på senare tid granskat 13 vårdgivaren som bedriver e-hälsa, både företag och regioner. I stort fann man att verksamheten var patientsäker men påpekade några brister. Dessa var:

1) Vid företaget MediCheck AB hade en patient vid inloggning kunnat läsa en dialog mellan läkare och administrativ personal  som inte berörde patienten själv. Ledningen uppgav att all hälso- och sjukvårdspersonal får en genomgång av teknisk karaktär i samband med anställningen. Inloggning av både personal och patienter kräver säker identifiering med Bank-ID. Samtliga konsultationer sker inom företagets slutna IT-system efter säker identifiering med Bank-ID. 

2) I ett annat beslut kritiserades Stockholms läns sjukvårdsområde (Alltid öppet) för  att vårdgivarens introduktion och utbildning av personalen gällande arbetssätt vid digital distanskontakt var otillräcklig.  Man bedömdes inte uppfylla kraven i 3 kap. 1-4 §§, patientsäkerhetslagen på att planera, leda och kontrollera den digitala vårdtjänsten Alltid öppet så att kravet på god vård i hälso- och sjukvårdslagen upprätthålls. Patienternas identitet säkerställs genom att de loggar in med e-legitimation. Bokning av barn görs på barnet, identifieringen säkerställs genom att föräldern identifierar sig med bank-ID. Barnet ska vara med och synas i bild. 

Här finns en länk till en kort IVO-film om resultatet av e-hälso-tillsynen, utlagd på Youtube: https://www.youtube.com/watch?v=6RtY90OvjCc&feature=youtu.be

Sammanfattningsvis- telefonkontakt är att föredra vid patientkontakt när skolan stängts. Kraven för videosamtal eller andra e-hälsokontakter med patienten och/eller dennes vårdnadshavare är svåra att uppfylla inom ramen för EMI. Patientsäkerheten fordrar att tekniken fungerar tillfredsställande och att en omfattande lagstiftning följs. 

Hälsningar

Staffan
Ovanstående svar uppdaterat med anledning av K N, IKT-pedagogs kritik nedan
Har idag fått en kritisk kommentar till mitt svar ovan. Denna kritik, som jag tackar för, finns inlagd efter mitt tidigare svar, se nedan. Inlägget belyser hur komplicerade dessa frågor är. Fortfarande hävdar jag att ett vanligt telefonsamtal är den bästa lösningen näst efter direktkontakt med en patient. Ett vanligt telefonsamtal kan och får spelas in av en elev eller dennes vårdnadshavare vid en telefonkontakt. Det är tillåtet och omfattas inte  av GDPR, eftersom den lagstiftningen inte gäller för privatpersoner. Skulle sköterska eller läkare spela in gäller bestämmelserna i GDPR. 
Jag vet för litet om just Google Meet och om den kryptering som finns där är tillfredsställande. Jag har inte ännu sett om den frågan har prövats av Datainspektionen. Däremot har man i en mängd beslut genom åren haft kritik mot Google för uppenbara brister i sin registrering, bl.a. för att användare inte har kunnat ta bort egen information. Vore intressant att få se Google Meets funktioner och krypteringsnivå prövad för att få klargjort ifall den uppfyller kraven så att videolänkar via Meet säkert kan krypteras . Är detta möjligt så är det upp till varje skolhuvudman (=personuppgiftsansvarig) att avgöra om den tekniken ska få användas.  Det måste dessutom finnas riktlinjer för informationssäkerhet hos skolhuvudmannen där det framgår vilken typ av information som får utbytas i olika kanaler. Finns sådana riktlinjer hos er, det måste klargöras?  Klassning ska göras av all information och den klassningen för elevhälsan måste utgå ifrån att all information som utbyts, via alla slags medier, ska hanteras med försiktighet p.g.a. den stränga sekretess som gäller för alla i elevhälsan men särskilt för EMI. 
Jag är glad över kriiken, eftersom dessa frågor om personregistrering är komplicerade och praxis utifrån GDPR till stora delar saknas.

Kommentar av K N 8/4 till mitt tidigare svar:
Hej!
Det är både tekniskt och juridiskt fel att säga att ett telefonsamtal skulle vara säkrare eller undantaget från GDPR.
Att telefonsamtalet ägt rum har registrerats av minst tre aktörer. De båda deltagarnas fysiska telefoner och minst en telefonoperatör. Deltagare, samtalets längd, start- och sluttid, båda personernas plats plus en mängd andra attribut. Allt är personuppgifter, dock inte känsliga sådana.
Innehållet i samtalet har inte registrerats. Såvida inte någon av deltagarna väljer att spela in sitt telefonsamtal; en funktion inbyggd i moderna smartphones.
Det är exakt samma förutsättningar som under ett videosamtal med Google Meet. Om ingen spelar in samtalet så registreras exakt samma typ av okänsliga attribut, men inte det potentiellt känsliga innehållet. Dessutom är Meet krypterat på en mängd olika sätt, vilket förklaras här.
Skulle uppskatta en uppdatering av artikeln, så inte människor skräms bort från bra verktyg i onödan.

K N, IKT-pedagog