Vägledande medskick till vården och omsorgen efter IMY:s tillsyner

Utvecklingstakten i digitaliseringen av vården och omsorgen är hög, både i Sverige och inom EU. Nya digitala lösningar ställer krav på ett systematiskt och kontinuerligt arbete för att skydda de personuppgifter som behandlas. 

På e-hälsokonferensen Vitalis höll vi ett föredrag där vårt fokus var att bidra med lärdomar till personuppgiftsansvariga verksamheter inom vården och omsorgen, baserat på några av våra senaste granskningar. Här är en sammanfattning av våra medskick.

Känsliga personuppgifter kräver ett starkt skydd

• Verksamheter inom vård och omsorg behandlar i väldigt stor utsträckning känsliga personuppgifter. Det vilar ett extra stort ansvar hos personuppgiftsansvariga att hantera känsliga personuppgifter på ett säkert sätt.
• Analysera därför noga vad en behandling av personuppgifter kommer att innebära.

Inbyggt dataskydd och lämpliga säkerhetsåtgärder

• Arbeta med inbyggt dataskydd och dataskydd som standard – det ska vara lätt att göra rätt för medarbetare.
• Den personuppgiftsansvariga verksamheten är ansvarig för att bedöma och vidta lämpliga säkerhetsåtgärder. Inte den enskilda medarbetaren.
• Red ut alla aktörers roller och ansvar i en behandling av personuppgifter.
• Personuppgiftsbiträden har också en skyldighet att upprätthålla säkerheten vid behandling av personuppgifter.
• Följ upp och kontrollera upphandlade tjänster så att de levererar det som har upphandlats vad gäller behandling av personuppgifter.

Tvärfunktionellt samarbete och konsekvensbedömning

• Vid digitalisering och utvecklingsarbete krävs ett kontinuerligt och strukturerat tvärfunktionellt samarbete mellan de funktioner – till exempel jurister, tekniker, operativ personal och chefer – som deltar i arbetet.
• Använd konsekvensbedömningar som ett verktyg vid digital utveckling.
• Använd IMY:s högriskförteckning för att bedöma om det behöver göras en konsekvensbedömning. 

Beakta GDPR och nationella regler tillsammans

• Nationella regler ska beaktas tillsammans med dataskyddsförordningen (GDPR) vid behandling av personuppgifter inom hälso- och sjukvården och omsorgen.
• En organisation måste beakta GDPR och nationell rätt löpande under arbetets gång.

Information till de registrerade

• Den personuppgiftsansvariga verksamheten har en långtgående skyldighet att informera de registrerade om hur deras personuppgifter behandlas.

För dig som vill veta mer

Nedan finns länkar till mer information för dig som vill fördjupa dig ytterligare. Det är beslut, rapporter och annan vägledning som vi har tagit fram för att underlätta arbetet med att följa dataskyddsreglerna. 

Tillsynsbeslut från IMY inom området

• Region Skåne
• Region Dalarna 
• Barn- och utbildningsnämnden, Östersunds kommun

Vårdguiden 1177

• Medhelp Sjukvårdsrådgivning
• Voice Integrate Nordic
• Inera
• Region Sörmland
• Region Värmland
• Region Stockholm

Lästips

• Vägledning om dataskydd
• Översikt av IMY:s praxisbeslut från 2023 och framåt
• IMY Play – digitala kunskapsfilmer om grundläggande GDPR
• Slutrapport om federerad maskininlärning mellan två vårdgivare
• Rapport om 1177
• DIGG och IMY:s metodstöd för dataskydd vid innovation (digg.se)

Linn Sandmark, chef, enheten för vägledning offentlig verksamhet