Frågor och svar om personuppgifter i hälso- och sjukvården – för vårdgivare
Olika typer av personuppgifter
Personuppgifter är all slags information som direkt eller indirekt kan knytas till en person som är i livet. Även bild- och ljuduppgifter om en person räknas som personuppgifter, även om inga namn nämns. Krypterade eller kodade uppgifter kan också vara personuppgifter. Det finns ofta flera olika typer av personuppgifter i till exempel patientjournaler, kallelser, remisser och kvalitetsregister.
Känsliga personuppgifter är uppgifter om
- etniskt ursprung
- politiska åsikter
- religiös eller filosofisk övertygelse
- medlemskap i en fackförening
- hälsa
- en persons sexualliv eller sexuella läggning
- genetiska uppgifter
- biometriska uppgifter som används för att entydigt identifiera en person.
Inom hälso- och sjukvården behandlas ofta flera olika typer av känsliga personuppgifter.
Artikel 9 i GDPR Behandling av särskilda kategorier av personuppgifter
Uppgifter om hälsa är personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus.
Personuppgifter om hälsa innefattar alla de uppgifter som hänför sig till en registrerad persons hälsotillstånd som ger information om den registrerades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd och detta inbegriper bland annat uppgifter som härrör från tester eller undersökning av en kroppsdel eller kroppssubstans, däribland genetiska uppgifter och biologiska prov, och andra uppgifter om exempelvis sjukdom, funktionshinder, sjukdomsrisk, sjukdomshistoria, klinisk behandling eller den registrerades fysiologiska eller biomedicinska tillstånd, oberoende av källan, exempelvis från en läkare eller från annan sjukvårdspersonal, ett sjukhus, en medicinteknisk produkt eller ett diagnostiskt in vitro-test.
Genetiska uppgifter är uppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga.
Allmänt om regelverket
GDPR är direkt tillämplig som svensk lag. Ni som vårdgivare måste alltså tillämpa GDPR. Det finns också reglering som kompletterar GDPR inom hälso- och sjukvården. Kompletterande reglering är till exempel patientdatalagen (2008:355), lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation (SVOD) och Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40).
Patientdatalagen (2008:355), hos Sveriges riksdag
Lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation (SVOD), hos Sveriges riksdag
Grundläggande principer och rättslig grund
All behandling av personuppgifter som omfattas av GDPR måste följa samtliga grundläggande principerna i artikel 5 GDPR. Det gäller som utgångspunkt all behandling som sker inom hälso- och sjukvården, förutom behandling som omfattas av brottsdatalagen (2018:1177). Det innebär bland annat att personuppgifterna ska:
- behandlas lagligt, korrekt och transparent
- samlas in för specifika, uttryckligt angivna och berättigade ändamål
- vara adekvata, relevanta och begränsade till vad som är nödvändigt
- vara korrekta och uppdaterade
- förvaras på ett sätt som möjliggör identifiering av den registrerade endast så länge som nödvändigt
- behandlas på ett sätt som säkerställer lämplig säkerhet
- den personuppgiftsansvarige ska kunna visa att principerna följs (ansvarsskyldighet).
Artikel 5 i GDPR Principer för behandling av personuppgifter
Principen om ändamålsbegränsning innebär att personuppgifter bara får samlas in för specifika, uttryckligt angivna och berättigade ändamål. Tillåtna ändamål för behandling av personuppgifter i hälso- och sjukvården regleras i 2 kap. 4–5 §§ patientdatalagen (2008:355). Det är bland annat behandling som behövs för att föra patientjournal, upprätta annan dokumentation som behövs i och för vården av patienter och administration som rör patienter och som syftar till att ge vård i enskilda fall.
Ni får inte behandla uppgifterna för andra ändamål än de som angetts när uppgifterna samlades in, om inte det nya ändamålet är förenligt med det ursprungliga.
När ni ska behandla personuppgifter måste ni ha stöd i någon av de rättsliga grunderna i artikel 6. 1 GDPR. För er som vårdgivare kan det bli aktuellt att behandla personuppgifter med stöd av någon av följande rättsliga grunder:
- Rättslig förpliktelse (artikel 6.1 c GDPR), till exempel skyldigheten att föra patientjournal enligt 3 kap. patientdatalagen (2008:355).
- Uppgift av allmänt intresse eller myndighetsutövning (artikel 6.1 e GDPR), till exempel uppgiften av allmänt intresse att tillhandahålla vård enligt hälso- och sjukvårdslagen (2017:30).
- Skydd av intressen som är av grundläggande betydelse (artikel 6.1 d GDPR), till exempel vid akut vård när patienten inte kan samtycka i vissa fall.
- Samtycke (artikel 6.1 a GDPR), kan användas i undantagsfall, men det är ofta svårt att uppfylla kraven på ett giltigt samtycke inom hälso- och sjukvården.
Ni behöver också ta hänsyn till övriga bestämmelser i GDPR och till kompletterande rätt, till exempel patientdatalagen (2008:355), när ni behandlar personuppgifter.
Rättslig förpliktelse kan användas när det finns lagar eller regler som kräver att ni behandlar personuppgifter. Inom hälso- och sjukvården kan detta till exempel vara:
- Skyldigheten att föra patientjournal enligt 3 kap. patientdatalagen (2008:355).
- Skyldigheten att rapportera smittsamma sjukdomar enligt smittskyddslagen (2004:168).
- Skyldigheten att följa patientsäkerhetslagen (2010:659).
För flera av de rättsliga grunderna krävs det att behandlingen av personuppgifter är nödvändig. Så är fallet till exempel för de rättsliga grunderna rättslig förpliktelse, uppgift av allmänt intresse och myndighetsutövning. Om en arbetsuppgift kan utföras nästan lika enkelt och billigt utan att personuppgifter behandlas, är det enligt GDPR inte nödvändigt att behandla personuppgifter. Om behandlingen leder till effektivitetsvinster kan behandlingen anses vara nödvändig och tillåten.
Ofta är samtycke varken en möjlig eller lämplig rättslig grund för behandling av personuppgifter i hälso- och sjukvården, men det kan användas i undantagsfall. I en vårdsituation är det vanligen svårt att nå upp till de krav som ställs i GDPR på ett samtycke, eftersom det råder ett ojämlikt förhållande mellan vårdgivaren och patienten.
Även om samtycke inte används som rättslig grund för behandlingen av personuppgifter kan det i vissa fall bli aktuellt att inhämta patientens samtycke inom hälso- och sjukvården av andra skäl, t.ex. för att en vård- eller omsorgsgivare ska få tillgång till personuppgifter som registrerats av andra vård- eller omsorgsgivare inom ramen för sammanhållen vård- och omsorgsdokumentation.
Artikel 6.1 i GDPR Laglig behandling av personuppgifter
Artikel 7 i GDPR Villkor för samtycke
3 kap. 1–2 §§ Lag (2022:913) om sammanhållen vård- och omsorgsdokumentation, hos Sveriges riksdag
Det är som huvudregel förbjudet att behandla känsliga personuppgifter, men det finns undantag. Ni som vårdgivare får endast behandla känsliga uppgifter om det finns ett tillämpligt undantag för behandlingen. Ett undantag finns i artikel 9.2 h GDPR som anger att känsliga personuppgifter får behandlas för hälso- och sjukvårdsändamål om behandlingen av personuppgifter är nödvändig för bland annat medicinsk diagnos, tillhandahållande av hälso- och sjukvård och behandling. En förutsättning är dock att uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt.
Artikel 9 i GDPR Behandling av särskilda kategorier av personuppgifter
Personuppgiftsansvar
Vårdgivaren är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför.
Personuppgiftsansvarig och personuppgiftsbiträde för vårdgivare
Ni som personuppgiftsansvarig vårdgivare ska se till att behandlingen av personuppgifter sker i enlighet med GDPR och kompletterande rätt. Kompletterande rätt är till exempel patientdatalagen (2008:355), lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation (SVOD) och Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40). Det innebär bland annat att ni ska
- efterleva de grundläggande principerna i GDPR och kunna visa detta
- se till att de registrerades rättigheter kan tillgodoses
- vidta lämpliga tekniska och organisatoriska åtgärder för att se till att personuppgifterna omfattas av en lämplig säkerhetsnivå
- endast anlita personuppgiftsbiträden som ger tillräckliga garantier för att behandlingen uppfyller kraven i GDPR
- göra en konsekvensbedömning inför en sådan behandling som sannolikt leder till hög risk för fysiska personers rättigheter och friheter.
Artikel 4.7 GDPR Definition av personuppgiftsansvarig
Personuppgiftsansvarig och personuppgiftsbiträde för vårdgivare
Ett personuppgiftsbiträde är en aktör som behandlar personuppgifter för den personuppgiftsansvarige vårdgivarens räkning. Det kan till exempel vara en IT-leverantör av journalsystem.
Artikel 4.8 i GDPR Definition av personuppgiftsbiträde
Personuppgiftsansvarig och personuppgiftsbiträde för vårdgivare
Ett personuppgiftsbiträde får bara behandla personuppgifter enligt den personuppgiftsansvarige vårdgivarens instruktioner, men har också ett visst självständigt ansvar att uppfylla krav som ställs i GDPR. Om personuppgiftsbiträdet anser att instruktionerna står i strid med vad som gäller enligt GDPR måste biträdet omedelbart informera vårdgivaren om det.
Det måste tecknas ett avtal mellan personuppgiftsansvarig vårdgivare och personuppgiftsbiträdet.
Artikel 28 i GDPR Personuppgiftsbiträden
Personuppgiftsansvarig och personuppgiftsbiträde för vårdgivare
Rättigheter
Den registrerade har ett antal rättigheter enligt GDPR och kompletterande rätt, som patientdatalagen (2008:355), lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation (SVOD) och EHDS. Rättigheterna gäller bland annat:
- Rätt till viss information om personuppgiftsbehandlingen och om åtkomst till uppgifter
- Rätt till tillgång till de uppgifter som behandlas om patienten
- Rätt till notering i journalen
- Rätt att begränsa åtkomsten till journalen
Flera av rättigheterna är förenade med olika villkor och vissa av rättigheterna har även undantagsbestämmelser.
Rättigheterna i hälso- och sjukvården enligt EHDS börjar tillämpas i mars 2029.
Kapitel III i GDPR Den registrerades rättigheter enligt det allmänna dataskyddsregelverket
Informationssäkerhet
Regler om informationssäkerhet som berör skyddet av personuppgifter i hälso- och sjukvården finns i flera olika regelverk, bland annat:
- GDPR
- patientdatalagen (2008:355)
- lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation (SVOD)
- Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40)
- EHDS-förordningen
- AI-förordningen
- NIS 2-direktivet
IMY har också beskrivit vissa säkerhetsåtgärder som inte är författningsstyrda, men som enligt IMY ändå är kan vara relevanta inom hälso- och sjukvården: Informationssäkerhet – för vårdgivare
Vägledning finns också hos bland annat Socialstyrelsen.
Patientdatalagen (2008:355), hos Sveriges riksdag
Lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation (SVOD), hos Sveriges riksdag
Förordningen om det europeiska hälsodataområdet, EHDS, hos europa.eu
AI-förordningen, hos europa.eu
NIS 2-direktivet (engelska), hos europa.eu
Informationssäkerhet – för vårdgivare
Journalföring och behandling av personuppgifter inom hälso- och sjukvården, hos Socialstyrelsen
Det finns många delar som är viktiga. Vilka säkerhetsåtgärder som tillämpas och på vilket sätt behöver utgå från gällande regelverk och den behandling av personuppgifter som ni utför.
När det gäller övergripande styrning behöver ni som vårdgivare ha ett ledningssystem och en policy för informationssäkerhet. Ni behöver också arbeta med bland annat effektiv och säker autentisering, kontroll av åtkomst till uppgifter om patienter, fysisk säkerhet och riskhantering.
Kryptering nämns i GDPR som exempel på något som under vissa förutsättningar kan utgöra en lämplig skyddsåtgärd för personuppgifter. En bedömning av om kryptering krävs behöver dock göras med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter.
Inom hälso- och sjukvården utförs ofta omfattande och integritetskänslig personuppgiftsbehandling, varför det enligt IMY som utgångspunkt kan vara lämpligt att kryptera personuppgifter som behandlas i sådan verksamhet. Det gäller bland annat när patientinformation skickas mellan olika system, regioner och vårdnivåer. Data under överföring och data i vila är två områden som vårdgivare kan behöva uppmärksamma särskilt.
Om en typ av behandling av personuppgifter sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska ni som vårdgivare före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter, en så kallad konsekvensbedömning. Det kan exempelvis bli aktuellt när nya e-hälsotjänster eller AI-stöd ska införas, eller när system mellan vårdgivare ska integreras.
Om en konsekvensbedömning visar att behandlingen skulle leda till en hög risk om ni inte vidtar åtgärder för att minska risken, ska ni ska samråda med IMY före behandlingen av personuppgifter.
Nationella och regionala kvalitetsregister
Ett kvalitetsregister är en automatiserad och strukturerad samling av personuppgifter som inrättats för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Kvalitetsregistren ska möjliggöra jämförelse inom hälso- och sjukvården på nationell eller regional nivå. I patientdatalagen (2008:355) finns bestämmelser om nationella och regionala kvalitetsregister i vilka personuppgifter samlas in från flera vårdgivare.
Patienten har bland annat rätt att:
- Få information om registreringen
- Motsätta sig att bli registrerad
- I efterhand få sina uppgifter strukna från registret
Artikel 13 i GDPR Rätt till information
Endast personuppgifter som behövs för att utveckla och säkra vårdens kvalitet får behandlas. Det kan inkludera uppgifter om hälsa, men även andra känsliga personuppgifter om IMY medger det.
Personnummer eller namn får bara behandlas om det inte är tillräckligt att använda kodade personuppgifter eller uppgifter som endast indirekt kan hänföras till den enskilde.
Som huvudregel krävs ett medgivande från IMY för att genetiska uppgifter ska få behandlas i nationella och regionala kvalitetsregister. Undantaget är om de genetiska uppgifterna redan ingår i uppgifter om en persons hälsotillstånd – då är IMY:s bedömning att det inte behövs ett särskilt medgivande.