Problembild – ett urval Socialstyrelsen Socialstyrelsen

Under åren 2009–2010 genomförde Socialstyrelsen en nationell granskning av vårdgivarnas patientsäkerhetsarbete. I arbetet utgick tillsynsmyndigheten från Socialstyrelsens föreskrifter (SOSFS 2005:12) om ledningssystem för kvalitet och patientsäkerhet i hälso- och sjukvården. Resultatet visade bland annat att en förut-sättning för att vårdskadorna ska minska är att vårdgivaren, det vill säga den nämnd eller styrelse som ansvarar för hälso- och sjukvård inom respektive region eller landsting, måste ta ett större och tydligare ansvar för kvalitet och patientsäkerhet.3

Socialstyrelsen har analyserat fyra it-haverier i vården 2008 och 2009.4 De brister som identifierats pekar på behovet av ledning och styrning av it-verksamheten. Kvalitetsledningssystemen måste innehålla mer av aktiv styrning och uppföljning av vårdgivarens patientkritiska it-system. Standarder om säkerhetstekniker och ledningssystem för informationssäkerhet bör användas. Skydd och system för autentisering måste kontinuerligt och utan dröjsmål hållas aktuella. Det måste finnas strikta regler som anger villkor för att få ansluta datorer, medicinteknisk utrustning och externa enheter till organisationens nätverk. Med interna regelbundna kon-troller måste organisationen förvissa sig om att alla användare rättar sig efter dessa regler. Tillverkarnas ansvar för skyddet mot virus i medicinteknisk utrustning måste beskrivas tydligt i upphandlings-avtal och i upphandlings-avtal om underhåll så att ansvarsförhållandena blir tyd-liga i de avtal som upprättas. Dataprogram som är avsedda att användas för samma syften som en medicinteknisk produkt ska betraktas och bedömas som en sådan. Vårdgivaren ansvarar för att det finns rutiner för egentillverkning av medicintekniska produk-ter. I alla dessa frågor är, menar Socialstyrelsen, ändamålsenliga system för ledning och uppföljning på övergripande nivå och verksamhetsnivå avgörande för en säker hälso- och sjukvård och socialtjänst.

3 Socialstyrelsen (2008–2011), Nationell tillsyn av vårdgivares ledningssystem för kvalitet och patientsäkerhet.

4 Socialstyrelsen (2011), IT-haverier i vården – Erfarenheter och förslag till åtgärder från aktuella fall, Kamedo-rapport 96.

Socialstyrelsen genomförde 2011 tillsyn av sex av landets univer-sitetssjukhus avseende informationssäkerheten. Tillsynen visade att två av sex vårdgivare saknade en informationssäkerhetspolicy. De övriga vårdgivarna hade haft svårt att kommunicera den policy som fanns framtagen på ett sådant sätt att den nådde ut till de medar-betare som omfattades av den. Få vårdgivare hade arbetat med att informera personalen specifikt om policyn, dess innehåll och var den fanns att tillgå. Vid samtliga sjukhus fanns brister som hade kunnat leda till att patienter kommit till skada. Exempelvis fram-kom att ett journalsystem hade räknat fram fel dos medicin. Vidare att personalen inte hade kunnat läsa eller skriva in uppgifter i journalen på grund av driftstopp. Ett annat exempel på brist var journalsystem som inte klarat att snabbt ge en översikt av de uppgifter som krävs för att göra en bedömning av kritiskt sjuka patienter. Resultatet pekade på brister i driftsäkerheten beroende på kvalitetsproblem i systemutvecklingen, bristande kontinuitets-planering samt bristande styrning av informationssäkerhetsarbetet.5

Enligt Socialstyrelsens risk- och sårbarhetsanalys 2012 var en sårbarhet kopplad till tillgången till personella resurser.6 Personer som är verksamma i hälso- och sjukvården, smittskydd, socialtjänst och hälsoskydd har ofta kunskap och kompetens som är svår att ersätta. En annan sårbarhet som återigen identifierats är att lands-ting och kommuner behöver, i kravställandet vid upphandling, säkerställa att verksamheten kan fortsätta fungera vid allvarlig händelse. Enligt Socialstyrelsen har landstingen inte tillräcklig för-måga att upprätthålla informationstillgångarnas konfidentialitet, riktighet och tillgänglighet. Anledningen är att aktörerna ofta har förbisett viktiga aspekter i upphandlingen av sina it-verksamheter.

Samtliga kommuner, landsting och sjukvårdsregioner blev 2010– 2012 granskade i Socialstyrelsens nationella tillsyn av vård och omsorg om äldre.7 Resultatet presenterades i en slutrapport från IVO 2013. I rapporten konstateras att äldre personer med stora, sammansatta behov av vård och omsorg ofta är omgivna av en mängd olika aktörer och personal. Tillsynen visade att det var 5 www.socialstyrelsen.se/pressrum/nyhetsarkiv/it-problemskaparriskerforpatienter, hämtat 2014-10-17.

6 Socialstyrelsen (2012), Risk- och sårbarhetsanalys 2012.

7 Äldre efterfrågar kontinuitet, Nationell tillsyn av vård och omsorg av äldre, Slutrapport 2013.

ovanligt att mottagande verksamheter i öppenvården och inom äldreomsorgen fick uppgifter om läkemedel eller annan viktig information om den äldre senast samma dag som hen skrivs ut från sjukhuset. Det fanns även risker för brister i informationsöver-föring och patientsäkerhet vid utskrivning inför kvällar eller helger. I rapporten konstateras också att det ställs stora krav på personalen att informera och samordna insatserna när det finns flera aktörer med olika ansvar och uppdrag runt den äldre, särskilt i de delar av landet som har många privata utförare av vård och omsorg. Social-styrelsen konstaterar att det som krävs för att säkerställa kvaliteten på de insatser som den äldre behöver, och för att förebygga att äldre drabbas av vårdskador i hälso- och sjukvården, är fungerande system för informationsöverföring och vårdplanering där olika yrkesgrupper i kommunen, öppenvården och den slutna vården samverkar i samråd med den äldre själv.

Socialstyrelsen konstaterade i tillsynsrapporten 2012 att vård-givare och huvudmän inom hälso- och sjukvården och socialtjän-sten inte tar sitt ansvar när det gäller kvalitetsarbetet.8 Vårdgivarna och huvudmännen måste utveckla sin egenkontroll och följa upp sitt kvalitetsarbete på ett mycket tydligare sätt. Vidare måste vård-givarna och huvudmännen komma till rätta med de brister i doku-mentationen som Socialstyrelsen rapporterat om under en rad år. Sådana brister kan, påtalade Socialstyrelsen, innebära risker för såväl patientsäkerheten som rättssäkerheten för den enskilde. Det fanns även stora brister i primärvårdens utredningar av anmälningar enligt Lex Maria och verksamheterna hade inte tillräckliga kunska-per om sina skyldigheter i arbetet med lex Sarah.

Inspektionen för vård och omsorg

Inspektionen för vård och omsorg (IVO) pekade i tillsynsrap-porten 2013 på brister i hantering av anmälningar om barn som far illa och uppföljning av familjehemsvård, om brister i vårdkedjan kring äldre, om låg kunskapsnivå hos personal om bestämmelserna i lex Sarah eller om att händelser som anmäls enligt lex Maria ofta är samma slags händelser som inträffat upprepade gånger och lett 8 Socialstyrelsen (2013), Tillsynsrapport 2013 – Hälso- och sjukvård och socialtjänst.

till vårdskador.9 Vidare pekade IVO på brister i kompetensförsörj-ningen och att vårdgivaren har ansvar för att bemanna med den kompetens som verksamheten kräver, men också att organisera hälso- och sjukvården så att patienter får en god och säker vård.

IVO har sett brister i vårdgivarnas riskförebyggande arbete och systematiska kvalitetsarbete.10 Informationsöverföringen försvåras av brister i övergångar, mellan vårdgivare eller mellan enheter inom samma vårdgivare. Enligt IVO är brister i rutiner och riktlinjer den vanligaste bakomliggande orsaken till händelser som har lett till allvarliga vårdskador. Det handlar för det mesta om bristande följ-samhet till rutiner men även att det har saknats fastställda rutiner, alternativt att rutinerna inte har varit kända för vårdpersonalen. IVO påtalade också att det ofta saknas att någon följer upp att ruti-ner och riktlinjer inom hälso-och sjukvården faktiskt fungerar så som det var tänkt.

En liknande bild framträdde i IVO:s systemtillsyn av Region Skåne.11 IVO pekade särskilt på att det inom flera delar av hälso- och sjukvården fanns kända brister som inte åtgärdats, rutiner och regler som inte följs, nationella riktlinjer som inte följs, underrap-portering av Lex Maria, brist på kompetens hos personalen etc.

I en granskning av apotekens vårdskador identifierade IVO bris-ter i eller okunskap om apotekens IT-system i ungefär en femtedel av de undersökta ärendena.12 Det kan handla om allt ifrån att receptexpeditionssystemet inte varnar vid uppenbara felexpedie-ringar till att streckkoder inte går att läsa in eller att personalen inte har tillräcklig kunskap i hur systemet fungerar. IVO påtalade också problematiken med att fem myndigheter är inblandade i tillsynen av apotek.

IVO har analyserat ett urval av 22 tillsynsärenden från Södra sjukvårdsregionen (Blekinge och Kronobergs läns landsting samt region Skåne) utifrån observerade brister i informationsöverför-ingen. Det är känt att det ofta är i övergångarna mellan olika team eller vårdenheter som brister i informationsöverföringen kan 9 IVO (2014), Tillsynsrapport – Tillsynens viktigaste iakttagelser verksamhetsåret 2013. 10 IVO (2014), Systematiskt kvalitetsarbete behöver utvecklas – Klagomål och anmälningar enligt lex Maria inom den somatiska specialistsjukvården.

11 IVO (2014), Systemanalys Region Skåne.

12 IVO (2014), Apotekens vårdskador– analys av lex Maria och klagomål inom apoteksverk-samhet 2010–2013.

ras, men IVO ser att dessa brister kan uppkomma var som helst i vårdkedjan. De kan uppstå mellan öppenvård och slutenvård, mellan olika personalkategorier, mellan personal och patient/anhöriga och mellan företrädare för olika specialiteter, avdelningar eller huvudmän. I flertalet av de studerade fallen har brister i informa-tionsöverföringen enligt IVO lett till allvarliga konsekvenser för patienterna. IVO:s slutsatser är bland annat att WHO:s modell, som Socialstyrelsen vidareutvecklat, för informationsöverföring (en form av standard) ska användas, begränsa dokumentationen till nödvändig information samt standardisera och förenkla journal-hanteringen.13

Datainspektionen

Datainspektionen har granskat 18 kommuners hälso- och sjukvård (främst vid särskilda boenden och i hemsjukvården) och undersökt vilka åtgärder som tas för att hindra obefogad och okontrollerad spridning av patientuppgifter.14 Granskningen visade på brister hos samtliga undersökta kommuner. Bristerna gällde bland annat behovs- och riskanalyser samt om kommunernas tekniska möjlig-heter och rutiner för att genomföra loggkontroller.

Datainspektionen har sedan patientdatalagen trädde ikraft utövat tillsyn över hur lagen implementerats i hälso- och sjukvården. I denna tillsyn har Datainspektionen funnit en rad brister som gäller patienternas möjlighet att spärra information, hur patienterna informerats om vad sammanhållen journalföring innebär samt att vårdpersonalen har fått alltför omfattande behörighet att ta del av uppgifter. En granskning 2012 av hur vårdgivare kan spärra känsliga patientuppgifter när en patient begär det visade att inga vårdgivare då uppfyllde sina skyldigheter. Datainspektionens uppföljande kontroll visade dock att vårdgivarna nu börjat satsa ordentligt på att införa de möjligheter till spärrar som måste finnas enligt patientdatalagen, men att skillnaderna mellan vårdgivare är stora.15

13 IVO (2014), Kommunikationsbrister i vården.

14 Datainspektionen (2014-05-09), hämtat från www.datainspektionen.se, 2014-08-20. 15 Datainspektionens beslut 2011-06-01, dnr 461-2010 och ett antal beslut på grund av Data-inspektionens nationella projekt om spärrar i IT-system inom hälso- och sjukvården 2012 med uppföljning 2013 m.m.

Datainspektionen har också granskat behörighetstilldelningen på Karolinska Universitetssjukhuset i Stockholm. Granskningen visade enligt inspektionens bedömning att personalen hade för vid behörighet att komma åt patientuppgifter.16

Nätverket för informationssäkerhet17

Nätverket för informaitonssäkerhet (NIS) har framfört till utredningen att vårdgivarnas personuppgiftsansvar vid anslutning till nationella tjänster skapar problem i verksamheterna. Eftersom personuppgiftslagen kräver att personuppgiftsansvariga vårdgivare styr personuppgiftsbiträden har landstingen tecknat kaskadavtal med möjlighet att i flera underliggande led teckna biträdesavtal. Med ökande antal nationella tjänster, personuppgifts-biträden och anslutna vårdgivare har det också skapats en mängd avtal som enligt NIS dels är svårförståeliga för många vårdgivare, dels inte ger den styrning som personuppgiftslagen kräver.

Professionsorganisationer

Inom ramen för den nationella e-hälsostrategin har Vårdförbundet tillsammans med Kommunal, Sveriges läkarförbund, Svenska Läkaresällskapet och Svensk sjuksköterskeförening undersökt hur e-hälsosystemens användbarhet kan förbättras.18 Även här åter-kommer behovet av ett tydligt ledningsansvar för informationshan-tering och informationssystem. E-hälsa måste bli en del av verk-samhetsutvecklingen, användarna måste delta mer i utveckling och kopplingen mellan verksamhet och teknik måste stärkas. Vård- och omsorgsgivares organisationer för drift och förvaltning måste sam-ordnas bättre. Den tekniska infrastrukturen måste utvecklas och stärkas för att få bort ineffektiva inloggningar, dubbelregistreringar 16 Datainspektionens beslut 2013-08-26, dnr. 920-2012.

17 Nätverket för Informationssäkerhet (NIS), som bildades i slutet av 1990-talet, består främst av informationssäkerhetschefer och verkar för en gemensam syn på it-säkerhetsfrågor inom vård- och omsorg. NIS stöds av Sveriges Kommuner och Landsting, Inera AB, Myn-digheten för samhällsskydd och beredskap samt Socialstyrelsen.

18 Vårdförbundet, Svensk sjuksköterskeförening, Sveriges Läkarförbund, Svenska Läkaresäll-skapet och Kommunal (2013), Störande eller stödjande? Om eHälsosystemens användbarhet 2013.

och liknande. Användare måste också utbildas fortlöpande för att få bättre förståelse för informationssystemen och det behövs fler hälsoinformatiker.

Vårdanalys

Vårdanalys har konstaterat att de stora utmaningarna som framför allt vårdgivarna står inför när det gäller informationssystem är att nuva-rande system inte är särskilt användarvänliga (design, funktionalitet) och att de informationssystem som används sällan är kompatibla med varandra.19 Därtill kommer att ingen automatisk överföring av information sker. Allt detta sammantaget skapar merarbete. Vidare pekar Vårdanalys på att det finns ett ”kommunikationsgap” mellan användare och utvecklare samt att det behövs utbildningsinsatser för professionerna.

6.2.2 Utredningens bild av problem med