Den registrerades rättigheter – för vårdgivare
Allmänt om den registrerades rättigheter
Den registrerade har ett antal rättigheter enligt GDPR och kompletterande rätt. Därför behöver ni som vårdgivare ha rutiner på plats för att kunna tillgodose rättigheterna.
Den registrerade
Med registrerad menas den vars personuppgifter behandlas, till exempel en patient inom hälso- och sjukvården.
Personuppgiftsansvarig
Med personuppgiftsansvarig menas den som ansvarar för personuppgiftsbehandlingen. Inom hälso- och sjukvården är det ni som vårdgivare som är personuppgiftsansvarig för den behandling av personuppgifter som ni utför.
Personuppgiftsansvarig och personuppgiftsbiträde för vårdgivare
Rättigheter gäller enligt GDPR
Enligt GDPR har den registrerade som utgångspunkt ett flertal rättigheter, till exempel rätt till information och rätt till tillgång till uppgifter.
Rättigheterna enligt GDPR är förenade med olika villkor och vissa av rättigheterna har även undantagsbestämmelser. Vidare gäller att behandling av personuppgifter som är tillåten enligt patientdatalagen (2008:355) som huvudregel får utföras även om den enskilde motsätter sig det. Därför är det inte alltid möjligt att exempelvis radera uppgifter eller begränsa en behandling inom hälso- och sjukvården. För alla tillämpliga rättigheter enligt GDPR gäller dock att ni som personuppgiftsansvarig vårdgivare bland annat ska:
- underlätta för den registrerade när denne utövar sina rättigheter
- kunna identifiera den som gör en begäran för att se till att kraven på säkerhet följs samt för att minimera risken för ett obehörigt utlämnande av personuppgifter
- hantera en begäran så snabbt som möjligt och agera på den senast inom en månad från att begäran inkom. Om det behövs får tidsfristen förlängas med två månader.
Den registrerade har också rättigheter enligt annan lagstiftning
Inom hälso- och sjukvården har den registrerade även rättigheter enligt kompletterande rätt. Rättigheterna handlar bland annat om
- rätt till viss information utöver den information som ska ges enligt GDPR, såsom rätt att få veta om och när någon har läst den registrerades journal
- rätt till notering i journalen
- rätt för den registrerade att begränsa åtkomsten till journalen.
Kompletterande rätt är till exempel patientdatalagen (2008:355) och lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation (SVOD).
Patientdatalag (2008:355), PDL, hos Sveriges riksdag
Lagen om (2022:913) sammanhållen vård- och omsorgsdokumentation, SVOD, hos Sveriges riksdag
Rättigheter enligt förordningen om det europeiska hälsodataområdet, EHDS
Den registrerades rättigheter regleras även i EHDS. När det gäller primäranvändning, det vill säga användning av uppgifter för att bland annat tillhandahålla hälso- och sjukvård, regleras följande rättigheter för den registrerade:
- rätt till tillgång till sina elektroniska hälsodata med personuppgifter
- rätt att föra in information i sin egen elektroniska hälsodokumentation
- rätt till rättelse
- rätt till dataportabilitet
- rätt att begränsa tillgång
- rätt att få information om tillgång till data
- rätt att motsätta sig tillgång avseende primäranvändning.
EHDS trädde i kraft den 26 mars 2025. Bestämmelserna om primäranvändning kommer att börja tillämpas stegvis från mars 2029. Det pågår arbete för att anpassa svensk lagstiftning till EHDS.
Information till den registrerade
Allmänt om den registrerades rätt till information
Den registrerade har rätt att få information när hens personuppgifter behandlas. Information om personuppgiftsbehandlingen ska lämnas av er som vårdgivare både när uppgifterna samlas in och när den registrerade begär det. Dessutom finns det vissa tillfällen när särskild information ska ges till den registrerade, till exempel om det inträffar en personuppgiftsincident och det finns risk för exempelvis identitetsstöld eller bedrägeri.
Vad ska informationen innehålla?
Ni som personuppgiftsansvarig vårdgivare ska enligt GDPR bland annat informera om:
- för vilka ändamål personuppgifter kommer att behandlas
- den rättsliga grunden för behandlingen
- hur länge personuppgifterna kommer att lagras
- vem som kommer att ta del av personuppgifterna
- registrerades rättigheter enligt GDPR
- om personuppgifter kommer att överföras till ett tredjeland, det vill säga ett land utanför EU/EES
- att den registrerade kan lämna in klagomål till IMY
- kontaktuppgifterna till den er som personuppgiftsansvarig och till ert eventuella dataskyddsombud.
Riktlinjer om information till den registrerade, hos EDPB (pdf, 462 kB)
Ni ska dessutom lämna information till den registrerade utöver den som ska lämnas enligt GDPR. Det följer bland annat av patientdatalagen och SVOD. Det gäller information om bland annat
- den uppgiftsskyldighet som kan följa av lag eller förordning
- de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen
- rätten att i vissa fall begära att uppgifter spärras
- rätten att få information om vilken åtkomst som har förekommit
- rätten till skadestånd vid behandling av personuppgifter i strid med patientdatalagen
- vad som gäller i fråga om sökbegrepp, direktåtkomst, utlämnande av uppgifter på medium för automatiserad behandling och annat elektroniskt utlämnande.
Patientdatalag (2008: 355), PDL, hos Sveriges riksdag
Lag om (2022:913) om sammanhållen vård- och omsorgsdokumentation (SVOD), hos Sveriges riksdag
När en patient begär det ska ni som vårdgivare också lämna information om vilken direktåtkomst och vilka elektroniska åtkomster till uppgifter om patienten som har förekommit.
Det finns vissa undantagsbestämmelser kopplade till de beskrivna kraven på information. Informationskraven gäller exempelvis inte uppgifter som ni som personuppgiftsansvarig vårdgivare inte får lämna ut till den registrerade enligt lag eller annan författning, till exempel uppgifter som omfattas av sekretess i förhållande till den registrerade själv.
Hur ska informationen tillhandahållas?
Informationen ska lämnas i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk. Det gäller i synnerhet för information som är särskilt riktad till barn. Informationen ska tillhandahållas skriftligt eller i någon annan form. När det är lämpligt kan informationen lämnas i elektronisk form. Om den registrerade begär det får informationen lämnas muntligt.
Den information som ska ges till de registrerade får innehålla standardiserade symboler för att ge en överskådlig, begriplig, lättläst och meningsfull överblick över den planerade behandlingen. Om symbolerna visas elektroniskt ska de vara maskinläsbara. Generellt sett ska informationen tillhandahållas kostnadsfritt.
Möjligheten att ge patienten tillgång till uppgifter genom direktåtkomst
Ni som vårdgivare har möjlighet, men ingen skyldighet, att genom direktåtkomst låta patienten få tillgång till de uppgifter om sig själv som får lämnas ut till patienten och som behandlas för ändamålet vårddokumentation. Ni ansvarar för att patientens tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, endast tillåts efter att den enskildes identitet har säkerställts genom flerfaktorsautentisering.
Rättsinformation
Fördjupa dig- Kapitel III i GDPR Den registrerades rättigheter enligt det allmänna dataskyddsregelverket
- Rättigheter för den enskilde i hälso- och sjukvården: 3 kap. 8 §, 4 kap. 4 §, 7 kap. 2 och 3 §§ samt 8 kap. patientdatalagen (2008:355)
- 2 kap. 2 § patientdatalagen (2008:355) Behandling trots att patienten motsätter sig det
- 3 kap. Patientdatalag (2008:355) Skyldigheten att föra patientjournal
- 5 kap. 5 § Patientdatalag (2008:355) Möjligheten att ge patienten tillgång till uppgifter genom direktåtkomst
- 2 kap. 2 och 3 §§ samt 7 kap. 3 § Lag om (2022:913) om sammanhållen vård- och omsorgsdokumentation (SVOD) Rättigheter för den enskilde vid sammanhållen vård- och omsorgsdokumentation
- 4 kap. 2 § Lag om (2022:913) om sammanhållen vård- och omsorgsdokumentation (SVOD) Patientens och omsorgsmottagarens elektroniska tillgång till dokumentation
- 4 kap. 11 § Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården Enskilds tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, endast efter flerfaktorsautentisering
3 kap. patientdatalagen (2008:355) (Skyldigheten att föra patientjournal)
5 kap. 5 § patientdatalagen (2008:355) (Möjligheten att ge patienten tillgång till uppgifter genom direktåtkomst)
2 kap. 2 och 3 §§ samt 7 kap. 3 § lagen om (2022:913) om sammanhållen vård- och omsorgsdokumentation (SVOD) (Rättigheter för den enskilde vid sammanhållen vård- och omsorgsdokumentation)
4 kap. 2 § lagen om (2022:913) om sammanhållen vård- och omsorgsdokumentation (SVOD) (Patientens och omsorgsmottagarens elektroniska tillgång till dokumentation)
4 kap. 11 § Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården (Enskilds tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, endast efter flerfaktorsautentisering)