Personuppgiftshantering
Du som vårdgivare är personuppgiftsansvarig när du behandlar personuppgifter i hälso- och sjukvården, till exempel i samband med journalhantering eller i kommunikation med patienter.
Som personuppgiftsansvarig behöver du bland annat ha koll på i vilka sammanhang personuppgifter kan anges och hur de ska skyddas, vad personuppgifter får användas till samt var och i vilka register det finns personuppgifter. Du behöver också ha personuppgiftsbiträdesavtal, så kallat PUB-avtal, med de leverantörer av it-system och -tjänster som du eventuellt anlitar. Detta är reglerat i bland annat patientdatalagen, dataskyddsförordningen och i sekretesslagstiftningen.
Lagstiftning om behandling av personuppgifter
Dataskyddsförordningen, GDPR, är en integritetsskyddslag som syftar till att säkerställa den personliga integriteten genom att reglera hur personuppgifter behandlas. Det är en EU/EES-gemensam förordning som ställer höga krav på den som behandlar personuppgifter, för att säkerställa ett gott integritetsskydd för enskilda individer.
En viktig princip är att all personuppgiftsbehandling måste ha ett definierat ändamål samt ha stöd i någon av de rättsliga grunderna i GDPR:s artikel 6 och, vid behandling av känsliga personuppgifter, artikel 9. GDPR kompletteras av svensk lagstiftning, till exempel lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. Vid journalföring och annan behandling av personuppgifter inom hälso- och sjukvården måste även patientdatalagen och sekretesslagar följas.
Det är du som vårdgivare som ansvarar för att lagstöd finns för behandling av personuppgifter och att denna behandling sker i enlighet med gällande lagstiftning.
Det här behöver du som vårdgivare förhålla dig till
Du som vårdgivare är personuppgiftsansvarig
Enligt patientdatalagen är det du som vårdgivare som är personuppgiftsansvarig för den behandling du gör av personuppgifter i hälso- och sjukvården, till exempel i samband med journalhantering eller kommunikation med patienter.
GDPR ställer höga krav på hanteringen av personuppgifter; i vilka sammanhang personuppgifter kan anges, hur de ska skyddas och till vad personuppgifter får användas. GDPR kräver också att vårdgivare har överblick över var och i vilka register det finns personuppgifter. Registerutdrag ska kunna lämnas till patient vid förfrågan.
I vårdavtalet regleras de krav som hälso- och sjukvårdsförvaltningen har på dig som vårdgivare kring utlämnande av personuppgifter, exempelvis för utbetalning av ersättning och uppföljning av utförd vård, se vidare; informationshanteringsbilagan. I grunden är du som vårdgivare alltid ansvarig för de personuppgifter som du behandlar i samband med vårdgivaruppdraget.
Säkerhetsåtgärder
Beroende på personuppgifternas art, omfattning, sammanhang och ändamål samt vilka risker och konsekvenser insamlingen innebär, ska den personuppgiftsansvarige och eventuella personuppgiftsbiträden (se nedan) vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder. Dessa anges i regionens riktlinje för informationssäkerhet.
It-system som tillhandahålls av Hälso- och sjukvårdsnämnden
Om du som vårdgivare använder de e-tjänster som hälso- och sjukvårdsförvaltningen erbjuder, eller ställer krav på, så regleras personuppgiftsbehandlingen via det personuppgiftsbiträdesavtal som ingår i vårdavtalet.
När du hanterar och behandlar personuppgifter i ett it-system eller en it-tjänst som Hälso- och sjukvårdsnämnden tillhandahåller, är alltså Hälso- och sjukvårdsnämnden ditt personuppgiftsbiträde. Nämnden kan låta en leverantör, till exempel av it-drift, utföra hela eller delar av behandlingen. Även leverantören är då ditt personuppgiftsbiträde (så kallat underbiträde).
Det finns dock ett antal situationer, när det gäller vissa behandlingar i olika system, som gör att det kan innebära ett gemensamt personuppgiftsansvar eller till och med att ansvaret går över från vårdgivare till Hälso- och sjukvårdsnämnden.
Personuppgiftsbiträdesavtal mellan personuppgiftsansvariga och -biträden
När ett personuppgiftsbiträde behandlar personuppgifter åt den personuppgiftsansvariga, ska behandlingen regleras genom ett personuppgiftsbiträdesavtal. Avtalet ska vara skriftligt och bindande för den personuppgiftsansvariga och personuppgiftsbiträdet.
En central bestämmelse i personuppgiftsbiträdesavtalet är att personuppgiftsbiträdet bara får behandla personuppgifter i enlighet med dokumenterade instruktioner som är utfärdade eller godkända av den personuppgiftsansvariga. Ett personuppgiftsbiträde som anlitar ett underbiträde måste teckna motsvarande avtal med underbiträdet. Biträdesavtal som tecknas med underbiträden ska ha minst motsvarande krav som i biträdesavtalet mellan personuppgiftsansvarig och personuppgiftsbiträdet.
Ett personuppgiftsbiträdesavtal mellan dig som personuppgiftsansvarig vårdgivare och Hälso- och sjukvårdsnämnden ingår i vårdavtalet avseende vissa av de tjänster och system som Hälso- och sjukvårdsnämnden tillhandahåller. Vilka it-system och -tjänster som omfattas och vilka instruktioner som gäller för personuppgiftsbehandlingen i respektive system eller tjänst, framgår av vårdavtalet och respektive system eller tjänst på sidan E-tjänster och system A–Ö.
Lista med Region Stockholms (inklusive Norrtälje) e-tjänster och system för vården.
Villkor för behandling av personuppgifter.
Hur en verksamhet kan jobba med informationssäkerhet i sex steg.
Definitioner
De ord som anges nedan är exempel på vad som kan vara en personuppgift respektive känslig personuppgift. Personuppgiftsbegreppet är väldigt vitt och kan innefatta all information som direkt eller indirekt kan identifiera en person.
Personuppgift
All information som unikt kan identifiera en fysisk person räknas som personuppgift, exempelvis:
- Namn, personnummer
- Bilder/foton
- Ljudupptagningar av individer
- Krypterade uppgifter
- Elektroniska identiteter till exempel IP-nummer, om de kan kopplas till fysiska personer
- E-postadress
Känslig personuppgift
- Ras/etnicitet
- Politiska åsikter
- Religiösa eller filosofiska uppfattningar
- Fackligt medlemskap
- Genetiska uppgifter
- Biometriska uppgifter
- Uppgifter om hälsa
- Sexuell läggning och sexualliv
Personuppgiftsbehandling
En åtgärd eller kombination av åtgärder som gäller personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller inte.
Exempel: insamling, registrering, strukturering, lagring, bearbetning, läsning, utlämning genom överföring, spridning, tillhandahållande, begränsning, radering, förstöring. Detta är några exempel, det finns fler sätt att behandla personuppgifter än de som nämns här.
Mer information
Kontakt
Alla nämnder eller bolag har ett eget dataskyddsombud. Vid frågor kontaktar du din organisations dataskyddsombud.
Johan Adolfsson|Dataskyddsombud
För frågor om personuppgiftsbehandlingar där Hälso- och sjukvårdsnämnden och Primärvårdsnämnden är ansvariga.
- johan.adolfsson@regionstockholm.se
- |
- | Hälso- och sjukvårdsförvaltningen
Peter Gröön|Regionjurist, enhetschef
För frågor om personuppgiftsbehandlingar för Smittskydd Stockholm.
Frågor om GDPR
- gdprfragor.hsf@regionstockholm.se
- |
- Hälso- och sjukvårdsförvaltningen