GDPR gäller för de flesta verksamheter, även hälso- och sjukvården. När det kommer till hälso- och sjukvården är det dock inte bara GDPR som reglerar hur personuppgiftshanteringen ska gå till. Inom detta område finns det flera speciallagar att ta hänsyn till. Vi kommer i detta blogginlägg gå igenom den speciallag inom hälso- och sjukvård som ni främst behöver ha koll på – patientdatalagen.

 

Publicerad den 11 maj 2020

 

Patientdatalagen

Patientdatalagen ska tillämpas av alla vårdgivare. Det innebär att både privata och offentliga vårdgivare är skyldiga att följa denna. Vårdgivare definieras som ”statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare)”.

Patientdatalagen reglerar hur personuppgifter ska hanteras inom hälso- och sjukvården och kompletterar GDPR, som reglerar hur personuppgifter ska hanteras generellt. Utöver patientdatalagen finns det nationella kompletterande regelverk i form av patientdataförordningen och Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter.

 

Ändamål med behandlingen

En av de viktigaste delarna med GDPR är att en personuppgiftsansvarig alltid ska ha ett ändamål, ett syfte, med den behandling som sker. Gällande behandling av patientdata finns det ändamål bestämda i patientdatalagen. Där anges att bl.a. att personuppgifter får behandlas inom hälso- och sjukvården om det behövs för:

  • Att fullgöra skyldigheten att föra patientjournal.
  • Administration som rör patienter och som syftar till att ge vård i enskilda fall.
  • Att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten.

De ändamål som uppräknas i patientdatalagen utgör en uttömmande lista. Det innebär att en vårdgivare enbart får behandla de personuppgifter som krävs för att uppfylla de ändamål som nämns i lagtexten.

 

Personuppgiftsansvar

Enligt GDPR är den personuppgiftsansvarig som ensamt eller tillsammans med andra bestämmer ändamål och medel för behandlingen av personuppgifter. Det följer dock av GDPR att personuppgiftsansvaret inte alltid bestäms på detta sätt. Om ändamål och medel är reglerat i nationell rätt eller unionsrätten kan det även föreskrivas vem som är personuppgiftsansvarig i nationell rätt eller unionsrätten. Så är fallet med personuppgiftsansvaret inom hälso- och sjukvård. Inom detta område är nämligen personuppgiftsansvaret direkt reglerat i lag. Av patientdatalagen framkommer det att en vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför.

 

Lagstöd

I GDPR finns det sex olika lagstöd, eller rättsliga grunder som det också kallas. Dessa är samtycke, avtal, rättslig förpliktelse, myndighetsutövning eller allmänt intresse, grundläggande intresse och intresseavvägning. Offentlig sektor använder sig främst av de rättsliga grunderna avtal, rättslig förpliktelse och myndighetsutövning eller allmänt intresse. Detta gäller även när vården bedrivs i privat regi.

Det kan vara svårt för vårdgivare att använda de rättsliga grunderna samtycke och intresseavvägning. Det beror på att behandlingen måste uppfylla en del rättsliga krav för att vara giltig med stöd av någon av dessa två rättsliga grunder. Kontakta oss gärna på support@gdprhero.se för att få mer information!

 

Känsliga personuppgifter

Känsliga personuppgifter är exempelvis uppgifter om hälsa. Det förekommer därför mycket känsliga personuppgifter inom vården. När det gäller känsliga personuppgifter ställs det hårdare krav på säkerhet kring behandlingen.

Känsliga personuppgifter kräver även ett extra övervägande av den personuppgiftsansvariga. Förutom att det krävs ett lagstöd (exempelvis samtycke eller rättslig förpliktelse) och ett ändamål med behandlingen, krävs det att det föreligger ett undantag. I GDPR uppställs nämligen en huvudregel som innebär att känsliga personuppgifter inte får behandlas om det inte föreligger ett undantag från denna huvudregel.

Ett undantag kan vara om det föreligger ett uttryckligt samtycke till behandlingen. Det innebär att om de krav som uppställs för ett giltigt samtycke är uppfyllda, så kan ni behandla personuppgifter med stöd av samtycke. Läs mer om kraven för samtycke här. OBS! Glöm inte att det ställs upp stränga krav för att ett samtycke ska vara giltigt och att det många gånger finns bättre lösningar för att genomföra en laglig behandling.

Ett annat undantag är om personuppgiftsbehandlingen sker för att skydda någons grundläggande intressen. Så kan vara fallet om någon är rättsligt eller fysiskt förhindrad att lämna sitt samtycke. Ett exempel kan vara om någon svimmat och därmed är fysiskt förhindrad att lämna sitt samtycke.

I patientdatalagen finns dessutom en uttrycklig bestämmelse om att känsliga personuppgifter får behandlas med stöd av artikel 9.2.h i GDPR, det vill säga om behandlingen är nödvändig av skäl som hör samman med bland annat medicinska diagnoser. Detta undantag kommer personuppgiftsansvariga inom hälso- och sjukvården främst använda sig av.

 

Sammanhållen journalföring

Enligt patientdatalagen har vårdgivare under vissa förutsättningar möjlighet att få åtkomst till patientjournaler hos en annan vårdgivare. Detta kallas sammanhållen journalföring.

För att den andra vårdgivaren ska få ta del av uppgifterna om patienten genom sammanhållen journalföring krävs det att den andra vårdgivaren har en aktuell relation med patienten och att patienten samtycker till det. Det krävs dessutom att uppgifterna kan antas ha betydelse för att exempelvis behandla sjukdomar hos patienten. Den vårdgivare som tar del av patientjournalerna blir personuppgiftsansvarig för den behandling som sker där. Läs mer om ansvaret som personuppgiftsansvarig här.

Patienten ska alltid informeras innan journalen görs tillgänglig för en annan vårdgivare. Informationen ska innehålla vad det innebär med sammanhållen journalföring och att patienten kan motsätta sig sammanhållen journalföring. Om patienten motsätter sig, spärras uppgifterna i journalen. Den andra vårdgivaren får då enbart information att det finns spärrade uppgifter samt vilken vårdgivare som spärrat dem.

 

Behöver ni hjälp att hålla koll på regelverket?

Vi finns tillgängliga om ni skulle behöva hjälp att göra er personuppgiftshantering laglig. Vi kan hjälpa er med:

  • Utbildning
  • Granskning
  • Registerföring
  • Upprätta avtal och andra dokument

… och mycket mer! Kontakta oss gärna på mejlen support@gdprhero.se eller boka en demo för att få veta mer!

 

Josefin Karlström

josefin@gdprhero.se

046 – 273 17 17

Innehållet i denna blogg innehåller allmän information och är inte att betrakta som rådgivning. Användning av denna information sker på egen risk.
Share This