4 kap. Grundläggande bestämmelser om inre sekretess och elektronisk åtkomst inom en vårdgivares verksamhet

Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.

En vårdgivare ska bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat. Sådan behörighet ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Personuppgifter som behandlas i en utredning enligt lagen (2018:744) om försäkringsmedicinska utredningar för ändamål som anges i 2 kap. 4 § första stycket 1 och 2 får inte göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vårdgivare. I den lagen finns särskilda bestämmelser om elektronisk åtkomst vid sådana utredningar. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tilldelning av behörighet enligt första stycket för åtkomst till uppgifter som förs helt eller delvis automatiserat. Lag (2022:915) .

En vårdgivare ska se till att åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat dokumenteras och kan kontrolleras. Vårdgivare ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om dokumentation och kontroll enligt första stycket. Lag (2022:915) .

Personuppgifter som dokumenterats för ändamål som anges i 2 kap. 4 § första stycket 1 och 2 hos en vårdenhet eller inom en vårdprocess får inte göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vårdgivare, om patienten motsätter sig det. I sådana fall ska uppgiften genast spärras. Vårdnadshavare till ett barn har dock inte rätt att spärra barnets uppgifter. Uppgift om att det finns spärrade uppgifter får vara tillgänglig för andra vårdenheter eller vårdprocesser.

En spärr enligt 4 § första stycket får hävas av en behörig befattningshavare hos vårdgivaren, om 1. patienten samtycker till det, eller 2. patientens samtycke inte kan inhämtas och informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver. Uppgift om vårdenheter eller vårdprocesser som spärrat uppgifterna ska i det fall som avses i 2 göras tillgängliga. Därefter får bara sådana uppgifter som kan antas ha betydelse för vården av patienten göras tillgängliga.

I 6 kap. 3 § lagen (2018:1212) om nationell läkemedelslista finns bestämmelser om att E-hälsomyndigheten ska lämna ut vissa uppgifter till regionerna om förskrivning av läkemedel och andra varor och att uppgifter om patientens identitet ska vara krypterade vid utlämnandet. Uppgifter som avses i första stycket får inte behandlas i syfte att röja en patients identitet utan att patienten samtycker till det. Uppgifter om en patients identitet som har dokumenterats inom hälso- och sjukvården och som regionerna ska sambearbeta med sådana uppgifter som avses i första stycket, ska vara krypterade så att patientens identitet skyddas vid behandlingen. Lag (2019:991) .