Personvern i pasienterfaringsundersøkingar

Tegningen nedenfor viser hvordan dine data behandles i WPCM. Den illustrerer hvordan data kommer inn i og leveres ut fra WPCM og hva systemet utfører av funksjoner.

Videre viser tegningen hvilke data som kan ses av administratorer (markert lys rød), og hvilke data som kun benyttes av systemet for at det skal være i stand til å ivareta ønskede funksjoner (markert lys blå).

Begrepsforklaringer

GUID - er et begrep som brukes for å beskrive en unik systemgenerert ID som er anonymisert, og som brukes av systemet for å sikre at data som hører sammen kan kobles sammen. Den brukes også til å hindre at en og samme person kan levere mer enn en besvarelse på en spørreundersøkelse.

SMS-gateway – er en tjeneste som utfører masseutsendelser av sms-er til mange mottakere samtidig.

Hvordan systemet virker og behandler data

a. Fra sykehusets pasientadministrative system hentes det ut nøkkelinformasjon om en pasients besøk ved sykehuset, for å sørge for at de riktige pasientene velges ut til undersøkelsen. Disse får en sms med tilbud om å besvare anonym pasienterfaringsundersøkelse.

b. Persondata benyttes kun av systemet for å sørge for at pasienter ikke mottar mer enn ett tilbud om å besvare spørreundersøkelse innenfor et tidsrom på 30 dager. Det er kun systemet som kan se disse dataene. Ingen mennesker ser dataene. Dataene blir slettet etter 30 dager.

c. Det er et reservasjonsregister i løsningen som inneholder telefonnummer til de som har reservert seg mot å få tilsendt undersøkelsen. Alle data som er knyttet til at det ikke blir sendt sms til feil person slettes når sms-utsendelsen går ut. Kun reservasjonslisten lagres. Reservasjonslisten er synlig for administratorer.

d. Mobilnummer hentes ved hjelp av en spørring mot pasientadministrativt system. Selve spørringen sørger for at personer som har reservert seg mot sms-utsendelser fra sykehuset (registrert i det pasientadministrative systemet), eller mot denne spørreundersøkelsen (eget reservasjonsregister) ikke mottar sms-invitasjon. Sms sendes ikke ut til personer under 18 år, eller andre som sykehuset vurderer at det av ulike grunner ikke passer å invitere til undersøkelsen.

e. Sammen med GUID registreres det alder, kjønn og enhet(er) i sykehuset hvor en pasient har møtt de siste 30 dagene. Dataene lagres separat fra andre data, administratorer kan se dem, og de kan benyttes for å gi mer informasjon om hvilke demografiske grupper som besvarer undersøkelsen, hvilke som ikke gjør det, og om det er forskjeller i hvilke erfaringer ulike demografiske grupper har med tilbudet i sykehuset.

f. SMS sendes gjennom en SMS-gateway ut til pasientens mobiltelefon. I sms-en er det en lenke til et skjema hvor pasienten kan besvare spørsmål.

g. Systemet identifiserer ved hjelp av GUID hvilke(t) opphold i sykehuset pasienten skal ha anledning til å gi en tilbakemelding om.

h. Alle besvarelser av spørreskjema lagres sammen med GUID. Alle besvarelser blir kryptert på den ytre tjeneren. Tjeneren er sikret, men står på utsiden av den indre sikrede sonen i sykehuset. Dataene som sendes inn krypteres på ytre server av systemet ved hjelp av en standard krypteringsalgoritme for denne typen løsninger.

i. Besvarelser overføres fra ytre tjener til indre tjener ved hjelp av kryptert kommunikasjon. På innsiden pakkes besvarelsene ut, fritekstsvar anonymiseres, og dataene gjøres tilgjengelig for et internt kvalitetsregister i Helse Bergen HF.

j. Dataene lastes over til egen rapporttjener som presenterer dataene anonymt til medarbeidere ved alle enheter i sykehuset. Denne rapporttjeneren sikrer også at det aldri presenteres data fra grupper av mindre enn 5 personer. Dette for å ivareta anonymiteten til de som har besvart undersøkelsen

k. Når dataene er flyttet over til rapporttjener slettes dataene fra besvarelser innen 6 måneder.

l. Demografiske data lagres i systemet sammen med GUID. Disse dataene slettes ikke. GUID benyttes for på et seinere tidspunkt å kunne koble besvarelse mot demografiske data