Grundläggande principer och rättslig grund – för vårdgivare
Grundläggande principer
Hälso- och sjukvården behandlar en stor mängd personuppgifter och all behandling av personuppgifter som omfattas av bestämmelserna i dataskyddsförordningen, GDPR, måste följa de grundläggande principerna i GDPR. Det gäller till exempel vid journalföring.
Principerna gäller all personuppgiftsbehandling
De grundläggande principerna gäller för all personuppgiftsbehandling som utförs med stöd av GDPR. Principerna sätter de yttersta ramarna för vad som är ett tillåtet sätt att behandla personuppgifter på. Därför är det viktigt att som vårdgivare förstå principerna och att alltid tillämpa dem i verksamheten när ni behandlar personuppgifter.
Principerna innebär bland annat att ni
- måste ha stöd både i GDPR och tillämplig kompletterande rätt
- bara får samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål
- bara får behandla de personuppgifter som är nödvändiga för ändamålen
- ska se till att personuppgifterna är riktiga
- ska radera personuppgifterna när de inte längre behövs
- ska skydda personuppgifterna
- ska kunna visa hur ni lever upp till GDPR och tillämplig kompletterande rätt.
Grundläggande principer enligt GDPR
Rättslig grund
När ni som vårdgivare vill behandla personuppgifter i hälso- och sjukvårdsverksamheten måste ni ha stöd i någon av de rättsliga grunderna. Utan en rättslig grund är behandlingen av personuppgifter inte laglig. Ni behöver också ta hänsyn till övriga bestämmelser i GDPR och till kompletterande rätt, till exempel patientdatalagen, när ni behandlar personuppgifter.
Rättslig grund för att behandla personuppgifter inom hälso- och sjukvården
Vårdgivare kan använda sig av de rättsliga grunderna:
Rättslig förpliktelse för hälso- och sjukvården
Rättslig förpliktelse för hälso- och sjukvården finns i flera olika regelverk.
- Hur vårdgivare ska behandla patientuppgifter, till exempel vad gäller kravet på att föra patientjournal, anges i patientdatalagen (2008:355).
- Skyldigheter för vårdpersonal anges i patientsäkerhetslagen (2010:659).
- Vårdgivares övergripande ansvar för att ge god vård, vilket bland annat förutsätter behandling av hälsodata, anges i hälso- och sjukvårdslagen (2017:30).
- Skyldigheter vad gäller rapportering och behandling av uppgifter om smittsamma sjukdomar anges i smittskyddslagen (2004:168).
- Vilka krav som ställs vid forskning anges bland annat i etikprövningslagen (2003:460) och lagen (2024:1146) om vissa forskningsdatabaser.
- Bestämmelser om sekretess och tystnadsplikt och när uppgifter får lämnas ut finns i offentlighets- och sekretesslagen (2009:400) när det gäller offentliga vårdgivare. För privata vårdgivare finns bestämmelserna i patientsäkerhetslagen (2010:659).
Behandlingen ska vara nödvändig
För flera av de rättsliga grunderna krävs det att personuppgiftsbehandlingen ska vara nödvändig för att grunden ska kunna användas. Det gäller till exempel när ni fullgör en rättslig förpliktelse, när ni utför en uppgift av allmänt intresse eller vid skydd av intressen som är av grundläggande betydelse.
Om en arbetsuppgift kan utföras nästan lika enkelt och billigt utan att personuppgifter behandlas, är det enligt GDPR inte nödvändigt att behandla personuppgifter. Det kanske går lika bra att använda anonyma uppgifter.
Om behandlingen leder till effektivitetsvinster kan behandlingen anses vara nödvändig och tillåten. Myndigheter och företag skulle i teorin kunna bedriva sin verksamhet och utföra sina uppgifter manuellt, utan att behandla personuppgifter automatiskt. Det är dock inte ett realistiskt alternativ. Att använda tekniska hjälpmedel och därmed behandla personuppgifter automatiskt leder till effektivitetsvinster. En sådan effektivitetsvinst innebär normalt att en behandling anses nödvändig och därmed är den tillåten enligt GDPR.
Rättslig grund för behandling av personuppgifter
Dokumentera era val av rättslig grund och informera de registrerade
Dokumentera hur ni resonerar när ni väljer rättslig grund. Ni måste identifiera den rättsliga grunden innan ni påbörjar behandlingen av personuppgifter. Det är viktigt bland annat eftersom de registrerade har rätt att bli informerade om vilken rättslig grund som används för att behandla deras personuppgifter.
Den registrerades rättigheter – för vårdgivare
Följ alltid hela GDPR
Förutom kravet på rättslig grund måste ni också uppfylla andra krav och följa övriga bestämmelser i GDPR. Möjligheten att behandla personuppgifter begränsas av de grundläggande principerna och andra krav som tillkommer för vissa typer av personuppgifter, till exempel känsliga personuppgifter och uppgifter om lagöverträdelser.
Känsliga personuppgifter
Vissa personuppgifter är till sin natur särskilt känsliga och har därför ett starkare skydd. De kallas för känsliga personuppgifter. Det är som huvudregel förbjudet att behandla känsliga personuppgifter, men det finns undantag i GDPR. Personuppgifter om hälsa räknas som känsliga personuppgifter. Även andra personuppgifter som exempelvis uppgifter om en persons sexualliv eller sexuella läggning, genetiska uppgifter och biometriska uppgifter räknas som känsliga personuppgifter.
Inom hälso- och sjukvården behandlas ett stort antal uppgifter om hälsa och även andra kategorier av känsliga personuppgifter kan behöva behandlas. Innan ni börjar behandla känsliga personuppgifter måste ni veta vilken rättslig grund ni använder er av i GDPR och vilket stöd ni har för behandlingen av känsliga personuppgifter.
Kunskapsfilmer om GDPR
Hur kan en behandling av personuppgifter inom hälso- och sjukvården se ut?
Exempel på stöd för behandling av personuppgifter vid journalföring av patientuppgifter
Checklista
Checklista
-
1
Rättslig grund
Bestäm vilken rättslig grund som ska användas för att behandla personuppgifter. Bestämmelser om detta finns i artikel 6 GDPR.
Enligt artikel 6.1 c GDPR kan rättslig förpliktelse vara en rättslig grund.
-
2
Rättslig förpliktelse i kompletterande rätt
Om rättslig förpliktelse används som rättslig grund behöver stöd för förpliktelsen finnas i kompletterande rätt.
Vid journalföring gäller att en patientjournal ska föras för varje patient och den ska innehålla de uppgifter som behövs för en god och säker vård, det anges i 3 kap. 1 § patientdatalagen (2008:355).
-
3
Nödvändig behandling
För att behandlingen ska vara laglig krävs också att behandlingen är nödvändig. Det är den personuppgiftsansvarige som ska göra en bedömning av om behandlingen av personuppgifter är nödvändig.
-
4
Känsliga personuppgifter
I en journal finns bland annat uppgifter om hälsa, som är känsliga personuppgifter enligt GDPR. Känsliga personuppgifter får bara behandlas om det finns stöd för det i artikel 9.2 GDPR.
Stöd för behandling av känsliga personuppgifter vid journalföring finns i artikel 9.2 h GDPR som anger att känsliga personuppgifter får behandlas för hälso- och sjukvårdsändamål om behandlingen av personuppgifter är nödvändig för bland annat medicinsk diagnos, tillhandahållande av hälso- och sjukvård och behandling.
En förutsättning är dock att uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt, enligt artikel 9.3 GDPR.
Bestämmelser om sekretess och tystnadsplikt finns i offentlighets- och sekretesslagen (2009:400) och i patientsäkerhetslagen (2010:659).
-
5
Ändamål vid journalföring av patientuppgifter
I nationell rätt anges för vilka ändamål som personuppgifter får behandlas. Enligt patientdatalagen får vårdgivare behandla personuppgifter inom hälso- och sjukvården om det behövs för att fullgöra de skyldigheter som anges i 3 kap. patientdatalagen.
-
6
Patientjournal ska föras
Enligt 3 kap. 1 § patientdatalagen ska en patientjournal föras vid vård av en patient. En patientjournal får inte vara gemensam för flera patienter utan ska föras för varje patient. Syftet med att föra en patientjournal är enligt 3 kap. 2 § patientdatalagen i första hand att bidra till en god och säker vård av patienten. Patientjournalen ska även vara en informationskälla för till exempel patienten själv, för uppföljning, tillsyn och forskning.
Några exempel på stöd vid behandling av personuppgifter
Tabell med exempel på stöd vid behandling av personuppgifter - för vårdgivare. Samma information finns här nedanför.