Grundläggande principer och rättslig grund – för vårdgivare
Grundläggande principer
Hälso- och sjukvården behandlar en stor mängd personuppgifter och all behandling av personuppgifter som omfattas av bestämmelserna i dataskyddsförordningen, GDPR, måste följa de grundläggande principerna i GDPR. Det gäller till exempel vid journalföring.
Principerna gäller all personuppgiftsbehandling
De grundläggande principerna gäller för all personuppgiftsbehandling som utförs med stöd av GDPR. Principerna sätter de yttersta ramarna för vad som är ett tillåtet sätt att behandla personuppgifter på. Därför är det viktigt att som vårdgivare förstå principerna och att alltid tillämpa dem i verksamheten när ni behandlar personuppgifter.
Principerna innebär bland annat att ni
- måste ha stöd både i GDPR och tillämplig kompletterande rätt
- bara får samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål
- bara får behandla de personuppgifter som är nödvändiga för ändamålen
- ska se till att personuppgifterna är riktiga
- ska radera personuppgifterna när de inte längre behövs
- ska skydda personuppgifterna
- ska kunna visa hur ni lever upp till GDPR och tillämplig kompletterande rätt.
Grundläggande principer enligt GDPR
Personuppgifter får endast behandlas för vissa ändamål
Inom hälso- och sjukvården finns det begränsningar när det gäller för vilka ändamål personuppgifter får behandlas. Ni får behandla personuppgifter i hälso- och sjukvårdsverksamheten om det behövs för:
- att fullgöra skyldigheten att föra patientjournal och upprätta annan dokumentation som behövs i och för vården av patienter
- administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall
- att upprätta annan dokumentation som följer av lag, förordning eller annan författning. Det kan till exempel vara skyldigheten enligt patientsäkerhetslagen (2010:659) att göra utredningar av händelser som har medfört eller hade kunnat medföra en vårdskada
- att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten
- administration, planering, uppföljning, utvärdering och tillsyn av verksamheten
- att framställa statistik om hälso- och sjukvården
- antalsberäkning inför klinisk forskning.
2 kap. 4 § Patientdatalag (2008:355), hos Sveriges riksdag
Personuppgifter som behandlas för ändamålen ovan får också behandlas för att lämna ut uppgifter i överensstämmelse med lag eller förordning. Det kan till exempel vara om det finns en skyldighet i lag eller förordning att lämna uppgifter till en myndighet eller att lämna ut uppgifter till en enskild eller forskare efter att en sekretessprövning har gjorts.
Personuppgifter som behandlas för ändamålen ovan får även behandlas för andra ändamål, förutsatt att behandlingen är förenlig med det ändamål för vilket uppgifterna samlades in. Kom ihåg att ni i så fall måste informera om den nya personuppgiftsbehandlingen innan den påbörjas. När ni bedömer om en ny personuppgiftsbehandling är förenlig med tidigare ändamål ska ni bland annat ställa er antal frågor.
Om ni däremot vill använda personuppgifterna på ett sätt som inte är förenligt med de ursprungliga ändamålen, är det fråga om en helt ny personuppgiftsbehandling. Ni måste då börja om från början och finna en rättslig grund för personuppgiftsbehandlingen, stämma av så att den sker i enlighet med de grundläggande principerna och så vidare.
2 kap. 5 § Patientdatalag (2008:355), hos Sveriges riksdag
Det finns särskilda bestämmelser om ändamålen med behandling av personuppgifter i nationella och regionala kvalitetsregister.
Nationella och regionala kvalitetsregister
Rättslig grund
När ni som vårdgivare vill behandla personuppgifter i hälso- och sjukvårdsverksamheten måste ni ha stöd i någon av de rättsliga grunderna. Utan en rättslig grund är behandlingen av personuppgifter inte laglig. Ni behöver också ta hänsyn till övriga bestämmelser i GDPR och till kompletterande rätt, till exempel patientdatalagen, när ni behandlar personuppgifter.
Rättslig grund för att behandla personuppgifter inom hälso- och sjukvården
Vårdgivare kan använda sig av de rättsliga grunderna:
I första hand bör ovannämnda rättsliga grunder kunna övervägas för de flesta behandlingar av personuppgifter inom hälso- och sjukvården. I vissa undantagssituationer kan de rättsliga grunderna skydd av intressen som är av grundläggande betydelse och samtycke bli aktuella att använda. I en vårdsituation är det dock vanligen svårt att nå upp till de krav som ställs i GDPR på ett samtycke eftersom det råder ett ojämlikt förhållande mellan vårdgivaren och patienten. Det är därför sällan en lämplig eller möjlig rättslig grund att använda.
Rättslig förpliktelse för hälso- och sjukvården
Rättslig förpliktelse för hälso- och sjukvården finns i flera olika regelverk.
- Hur vårdgivare ska behandla patientuppgifter, till exempel vad gäller kravet på att föra patientjournal, anges i patientdatalagen (2008:355).
- Skyldigheter för vårdpersonal anges i patientsäkerhetslagen (2010:659).
- Vårdgivares övergripande ansvar för att ge god vård, vilket bland annat förutsätter behandling av hälsodata, anges i hälso- och sjukvårdslagen (2017:30).
- Skyldigheter vad gäller rapportering och behandling av uppgifter om smittsamma sjukdomar anges i smittskyddslagen (2004:168).
- Vilka krav som ställs vid forskning anges bland annat i etikprövningslagen (2003:460) och lagen (2024:1146) om vissa forskningsdatabaser.
- Bestämmelser om sekretess och tystnadsplikt och när uppgifter får lämnas ut finns i offentlighets- och sekretesslagen (2009:400) när det gäller offentliga vårdgivare. För privata vårdgivare finns bestämmelserna i patientsäkerhetslagen (2010:659).
Behandlingen ska vara nödvändig
För flera av de rättsliga grunderna krävs det att personuppgiftsbehandlingen ska vara nödvändig för att grunden ska kunna användas. Det gäller till exempel när ni fullgör en rättslig förpliktelse, när ni utför en uppgift av allmänt intresse eller vid skydd av intressen som är av grundläggande betydelse.
Om en arbetsuppgift kan utföras nästan lika enkelt och billigt utan att personuppgifter behandlas, är det enligt GDPR inte nödvändigt att behandla personuppgifter. Det kanske går lika bra att använda anonyma uppgifter.
Om behandlingen leder till effektivitetsvinster kan behandlingen anses vara nödvändig och tillåten. Myndigheter och företag skulle i teorin kunna bedriva sin verksamhet och utföra sina uppgifter manuellt, utan att behandla personuppgifter automatiskt. Det är dock inte ett realistiskt alternativ. Att använda tekniska hjälpmedel och därmed behandla personuppgifter automatiskt leder till effektivitetsvinster. En sådan effektivitetsvinst innebär normalt att en behandling anses nödvändig och därmed är den tillåten enligt GDPR.
Rättslig grund för behandling av personuppgifter
Dokumentera era val av rättslig grund och informera de registrerade
Dokumentera hur ni resonerar när ni väljer rättslig grund. Ni måste identifiera den rättsliga grunden innan ni påbörjar behandlingen av personuppgifter. Det är viktigt bland annat eftersom de registrerade har rätt att bli informerade om vilken rättslig grund som används för att behandla deras personuppgifter.
Den registrerades rättigheter – för vårdgivare
Följ alltid hela GDPR
Förutom kravet på rättslig grund måste ni också uppfylla andra krav och följa övriga bestämmelser i GDPR. Möjligheten att behandla personuppgifter begränsas av de grundläggande principerna och andra krav som tillkommer för vissa typer av personuppgifter, till exempel känsliga personuppgifter och uppgifter om lagöverträdelser.
Känsliga personuppgifter
Vissa personuppgifter är till sin natur särskilt känsliga och har därför ett starkare skydd. De kallas för känsliga personuppgifter. Personuppgifter om hälsa räknas som känsliga personuppgifter. Även uppgifter om bland annat en persons sexualliv eller sexuella läggning, genetiska uppgifter och biometriska uppgifter räknas som känsliga personuppgifter.
Det är som huvudregel förbjudet att behandla känsliga personuppgifter, men det finns undantag i GDPR. Stöd för behandling av känsliga personuppgifter som är nödvändig i hälso- och sjukvården finns i artikel 9.2 h GDPR. En förutsättning är dock att uppgifterna behandlas av eller under ansvar av en yrkesutövare eller annan person som omfattas av tystnadsplikt, enligt artikel 9.3 GDPR. Tystnadsplikten ska gälla enligt EU-rätten, en medlemsstats nationella rätt eller bestämmelser som fastställs av nationella behöriga organ.
Kunskapsfilmer om GDPR
Hur kan en behandling av personuppgifter inom hälso- och sjukvården se ut?
Exempel på stöd för behandling av personuppgifter vid journalföring av patientuppgifter
Checklista
Checklista
-
1
Rättslig grund
Bestäm vilken rättslig grund som ska användas för att behandla personuppgifter. Bestämmelser om detta finns i artikel 6 GDPR.
Enligt artikel 6.1 c GDPR kan rättslig förpliktelse vara en rättslig grund.
-
2
Rättslig förpliktelse i kompletterande rätt
Om rättslig förpliktelse används som rättslig grund behöver stöd för förpliktelsen finnas i kompletterande rätt.
Vid journalföring gäller att en patientjournal ska föras för varje patient och den ska innehålla de uppgifter som behövs för en god och säker vård, det anges i 3 kap. 1 § patientdatalagen (2008:355).
-
3
Nödvändig behandling
För att behandlingen ska vara laglig krävs också att behandlingen är nödvändig. Det är den personuppgiftsansvarige som ska göra en bedömning av om behandlingen av personuppgifter är nödvändig.
-
4
Känsliga personuppgifter
I en journal finns bland annat uppgifter om hälsa, som är känsliga personuppgifter enligt GDPR. Känsliga personuppgifter får bara behandlas om det finns stöd för det i artikel 9.2 GDPR.
Stöd för behandling av känsliga personuppgifter vid journalföring finns i artikel 9.2 h GDPR som anger att känsliga personuppgifter får behandlas för hälso- och sjukvårdsändamål om behandlingen av personuppgifter är nödvändig för bland annat medicinsk diagnos, tillhandahållande av hälso- och sjukvård och behandling.
En förutsättning är dock att uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt, enligt artikel 9.3 GDPR.
Bestämmelser om sekretess och tystnadsplikt finns i offentlighets- och sekretesslagen (2009:400) och i patientsäkerhetslagen (2010:659).
-
5
Ändamål vid journalföring av patientuppgifter
I nationell rätt anges för vilka ändamål som personuppgifter får behandlas. Enligt patientdatalagen får vårdgivare behandla personuppgifter inom hälso- och sjukvården om det behövs för att fullgöra de skyldigheter som anges i 3 kap. patientdatalagen.
-
6
Patientjournal ska föras
Enligt 3 kap. 1 § patientdatalagen ska en patientjournal föras vid vård av en patient. En patientjournal får inte vara gemensam för flera patienter utan ska föras för varje patient. Syftet med att föra en patientjournal är enligt 3 kap. 2 § patientdatalagen i första hand att bidra till en god och säker vård av patienten. Patientjournalen ska även vara en informationskälla för till exempel patienten själv, för uppföljning, tillsyn och forskning.
Några exempel på stöd vid behandling av personuppgifter
Tabell med exempel på stöd vid behandling av personuppgifter - för vårdgivare. Samma information finns här nedanför.