Vår integritetspolicy

Dataskyddsförordningen GPDR

Bakgrund
Personuppgiftslagen (PUL) bygger på gemensamma EU-regler och trädde i kraft 1998. Syftet med regleringen är att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas. För den kommande läsningen och för framtida arbete med personuppgifter är det viktigt att känna till begreppen ”personuppgift” och ”behandla”.

Med ”personuppgift” avses varje upplysning som avser en identifierad eller identifierbar person. All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet räknas som personuppgift. Även bilder (foton, röntgen) och ljudupptagningar på individer som behandlas i dator kan vara personuppgifter, även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer, räknas som personuppgifter om de kan kopplas till fysiska personer. Personuppgift är således ett vitt begrepp.

Även “behandlas” är ett vitt begrepp. Det omfattar insamling, registrering, lagring, bearbetning, spridning, utplåning m.m.Reglerna för behandling av personuppgifter inom hälso- och sjukvården samlas i Patientdatalagen (PDL). PDL trädde också i kraft 1998 och ersatte då Vårdregisterlagen och Patientjournallagen. PDL reglerar bland annat följande:

  • Inre sekretess. Bara den som behöver uppgifterna i sitt arbete inom hälso- och sjukvården får ta del av patientuppgifter. Detta förtydligas genom att det i lagen ställs krav på behörighetstilldelning och åtkomstkontroll.
  • Patienten har rätt att spärra uppgifter både i vårdgivarens journalsystem och för andra.
  • Sammanhållen journalföring. Flera vårdgivare kan ge och få direktåtkomst till varandras journalhandlingar om de uppfyller PDL:s krav.
  • Vårdgivare har en möjlighet att ge patienten direktåtkomst, exempelvis via internet, till vårddokumentation och loggar (det vill säga historiken för behandlingen av personuppgifterna).

PDL kompletteras med Patientdataförordningen samt föreskrifter om informationshantering och journalföring i hälso- och sjukvården från Socialstyrelsen. Notera, på förekommen anledning, att Socialstyrelsens föreskrift om att kallelser kan ske per sms kommer, så vitt vi vet, inte att ändras.

Ny lagstiftning
Dataskyddsförordningen, även kallad GDPR (General Data Protection Regulation), är del av en EU-reform för att säkerställa en enhetlig och hög skyddsnivå för fysiska personer och det fria flödet av personuppgifter. Dataskyddsförordningen anger bland annat att hanteringen av personuppgifter ska vara laglig, ha ett specifikt ändamål, vara korrekt, inte omfatta mer uppgifter än nödvändigt och att dessa inte ska lagras längre tid än nödvändigt. Personuppgifterna ska inte komma någon utomstående till del och det ska vara tydligt vem som ansvarar för hanteringen.

Dataskyddsförordningen tillämpas fr.o.m. den 25 maj 2018 och ersätter PUL. Förordningen kommer att kompletteras med en ny lag som kommer att kallas Ny dataskyddslag. Vi har informerat om denna reform tidigare och nedan följer ytterligare information och vägledning inför ert arbete för att uppfylla de krav som uppställs i Dataskyddsförordningen, om ni inte redan gjort det. Det är inte helt tydligt hur Dataskyddsförordningen kommer att tolkas och tillämpas i alla delar och vi kommer att uppdatera denna text löpande när vi får ny information från Datainspektionen och andra. PDL kommer att ändras, men ändringarna i sig bedöms inte att påverka Privattandläkarnas medlemmar.

Även efter att Dataskyddsförordningen börjar tillämpas kommer en hel del från PUL vara, i princip, oförändrat när det gäller personuppgiftshanteringen.

1) Struktur och begrepp är desamma. Exempelvis:

  • ”Personuppgift”, (se ovan under avsnitt ”Bakgrund”).
  • ”Personuppgiftsansvarig”, avser en fysisk eller juridisk person som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.
  • ”Personuppgiftsbiträde”, avser den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation. Personuppgiftsbiträdet får bara behandla personuppgifterna enligt givna instruktioner och riktlinjer från den personuppgiftsansvarige. Biträdet bestämmer således inte själv för vilka ändamål personuppgifterna ska behandlas. Även om en personuppgiftsansvarig väljer att anlita ett personuppgiftsbiträde har den personuppgiftsansvarige ansvar gentemot de registrerade. Personuppgiftsansvaret kan inte överlåtas. De personer vars uppgifter behandlas har alltid rätt att vända sig till den personuppgiftsansvarige och framställa eventuella krav eller klagomål på felaktig behandling av personuppgifter.Personuppgiftsbiträde kan t.ex. vara ett tandteknikföretag, bemanningsföretag eller ett it-företag.
  1. Tillämpningsområdet är detsamma, d.v.s. behandling av personuppgifter som helt eller delvis är automatiserad.
  2. Det måste fortfarande finnas en rättslig grund för att personuppgifter ska få behandlas. Det kan vara: a. Lagstöd. För privata vårdgivare t.ex. PDL:s bestämmelser när det gäller journalföring för utförd vård. b. Fullgöra ett avtal eller rättslig skyldighet. T.ex. sedvanliga uppgifter om anställda såsom personnummer, adress, telefonnummer. c. Samtycke. Ett giltigt samtycke enligt Dataskyddsförordningen har samma innebörd som i PUL. I Dataskyddsförordningen ställs det dock särskilda krav på samtycket i sig, se nedan. d. Generalklausul. Behandling kan även vara tillåten efter en intresseavvägning.
  3. Förbud mot registrering av känsliga personuppgifter kvarstår om det inte finns lagstöd. Som utgångspunkt krävs samtycke för sådan behandling, notera att intresseavvägning inte kan användas.
  4. Dataskyddsförordningen innehåller i likhet med PUL en skyldighet att på begäran lämna information till de registrerade om vilka uppgifter om dem som behandlas. Detta ska göras kostnadsfritt. Informationsskyldigheten blir dock väsentligt mer omfattande, se nedan 10Det finns dock många nyheter när det gäller personuppgiftshanteringen:
  5. Personuppgiftsansvarige ska kunna styrka att behandlingen av personuppgifter följer Dataskyddsförordningens principer/bestämmelser. Detta innebär i sin tur en skyldighet att dokumentera behandling av personuppgifter.
  6. Möjligheten att behandla ostrukturerat material försvinner. Den s.k. missbruksregeln i PUL försvinner. Missbruksregeln innebär att personuppgiftsansvarig, enligt PUL, ofta kan behandla personuppgifter i ostrukturerat material utan rättslig grund. Det gäller ofta till exempel information om personer i e-post, på internet eller i en enkel lista som man har i datorn. När missbruksregeln försvinner innebär det att samma regler som gäller för personuppgifter i övrigt gäller för det som skrivs om personer i exempelvis e-post och på webbplatser och att man måste ha rättslig grund för att hantera dessa uppgifter, se ovan 3).
  7. I Dataskyddsförordningen ställs det särskilda krav på den rättsliga grunden samtycke, se 3) ovan, bland annat att det ska vara frivilligt, att det ska lämnas genom ett uttalande eller en entydig bekräftande handling och att det ska ges efter att den registrerade har fått information om personuppgiftsbehandlingen. I vissa fall kan det vara lämpligt att överväga om någon annan rättslig grund är mer passande, till exempel ett avtal med den registrerade. Den som behandlar personuppgifter med stöd av ett samtycke måste kunna visa att ett giltigt samtycke har lämnats av den registrerade.
  8. Det blir i vissa fall obligatoriskt att ha ett dataskyddsombud. Om den ansvariges kärnverksamhet består av behandling i stor omfattning av så kallade känsliga personuppgifter ska ett dataskyddsombud utses. Som exempel på detta har det nämnts sjukhus. Huruvida mycket stora tandvårdsföretag ska ha dataskyddsombud har vi inte fått något närmare klargörande från Datainspektionen. Vi rekommenderar därför större vårdgivare att utnämna dataskyddsombud eller kontakta Datainspektionen för att utreda om ni behöver ett sådant. Om ni inte utser ett dataskyddsombud bör skälen till detta dokumenteras.
  9. De registrerades rättigheter står än mer i centrum:

Rätt till information:

Utökad informationsskyldighet till den registrerade. Information om personuppgiftsbehandlingen ska självmant lämnas av den personuppgiftsansvarige både när uppgifterna samlas in och när den registrerade annars begär det. Viktigt i sammanhanget är att Dataskyddsförordningen ställer krav på att informationen som lämnas ska vara kostnadsfri, kortfattad, lättbegriplig och utformad med ett tydligt och enkelt språk. Vårdgivaren behöver bl.a. informera om:

  1. Vem som är personuppgiftsansvarig.
  2. Ändamålet med insamlandet.
  3. Den rättsliga grunden för behandlingen, se avsnitt 3) ovan.
  4. Mottagare av uppgifterna.
  5. Hur länge personuppgifterna lagras.
  6. Den registrerades rättigheter, under denna punkt 10).
  7. Möjligheten att lämna klagomål till tillsynsmyndigheten (Datainspektionen) om man anser att ens personuppgifter har hanterats felaktigt.

Datainspektionen har tagit fram en ”modell” över vilken information som ska ges http://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/deregistrerades-rattigheter/ratt-till-information/

Hur lämnandet av information ska gå till praktiskt för vårdföretag har inte Datainspektionen klargjort. På fråga från Privattandläkarna har Datainspektionen angivit att anslag och broschyr behöver kompletteras med någon form av hänvisning till att den registrerade ska ta del av informationen. Vid möte kommer medlemmarna få mer information om hur informationsskyldigheten ska uppfyllas och dokumenteras. Exempel på integritetspolicy m.m. kommer att finnas på medlemssidorna senast den 15 mars 2018.

Rätt till rättelse:
Varje person har rätt att vända sig till ett företag som behandlar personuppgifter och be att få felaktiga uppgifter rättade. Det innebär att den enskilde har rätt att komplettera med sådana personuppgifter som saknas och som är relevanta med hänsyn till ändamålet med personuppgiftsbehandlingen. Att den som behandlar personuppgifter själv måste se till att uppgifterna är korrekta och uppdaterade framgår redan av de grundläggande principerna i Dataskyddsförordningen. Om uppgifter rättas på den enskildes begäran måste företaget också informera dem som de har lämnat ut uppgifter till om att uppgifter rättats. Det gäller dock inte om det skulle visa sig omöjligt eller innebära en alltför betungande insats. Den enskilde har även rätt att begära att få information om till vem uppgifter har lämnats ut. I PDL finns särskilda bestämmelser om rättelse. Notera att man normalt sett inte får utplåna eller göra journalhandling oläslig. Detta följer av PDL 3 kap 14 § och 8 kap 3 §.

Rätt till radering:
Varje person har rätt att vända sig till ett företag som behandlar personuppgifter och be att uppgifterna som avser honom eller henne raderas. Uppgifterna måste raderas i följande fall:

  1. Om uppgifterna inte längre behövs för de ändamål som de samlades in för.
  2. Om behandlingen grundar sig på den enskildes samtycke och denne återkallar samtycket.
  3. Om behandlingen sker för direktmarknadsföring och den enskilde motsätter sig att uppgifterna behandlas.
  4. Om den enskilde motsätter sig personuppgiftsbehandling som sker inom ramen för myndighetsutövning eller efter en intresseavvägning och det inte finns berättigade skäl som väger tyngre än den enskildes intresse.
  5. Om personuppgifterna har behandlats olagligt.
  6. Om radering krävs för att uppfylla en rättslig skyldighet.

Som ovan nämnts får dock uppgifter i en journalhandling inte utplånas eller göras oläsliga annat än i undantagsfall.

Dataportabilitet:
När uppgifter behandlas med stöd av samtycke eller för att uppfylla ett avtal, ska den registrerade ha rätt att få ut de uppgifter man själv lämnat i ett särskilt format för att föra över dem till en annan tjänst. Det kallas dataportabilitet. Notera att när behandlingen i stället sker med stöd av lag, såsom för patientjournaler, gäller inte skyldigheten till dataportabilitet. Vad gäller estetiska behandlingar som inte omfattas av Tandvårdslagen är den rättsliga grunden avtal och då blir bestämmelsen om dataportabilitet tillämplig. Vi har tillskrivit Datainspektionen om hur medlem ska gå tillväga rent praktiskt, men har inte fått ett tydligt svar. Datainspektionen har angivit att PDF-filer ej torde vara acceptabla utan det bör vara i ett format så att alla metadata kan vidareutnyttjas. Ni får stämma av formatet med er journalprogramsleverantör.
11) Notera att Dataskyddsförordningen innebär att alla EU:s medlemsstater anses ha ett likvärdigt skydd för personuppgifter och personlig integritet. Detta gäller även EES-länderna Norge, Island och Liechtenstein. Därför kan personuppgifter föras över fritt inom detta område utan begränsningar. För överföring av personuppgifter till länder utanför EU och EES (så kallad tredjelandsöverföring) måste det regleras särskilt med mottagaren eller de registrerade.
12) Dataskyddsförordningen innehåller också generella regler om när personuppgiftsbehandling får ske inom hälso- och sjukvård. I förarbetena till den förväntade Dataskyddslagen (SOU 2017:266) har det utretts i vilken mån reglerna i PDL behöver anpassas till förordningens regler. Såvitt vi kan bedöma kommer inte de föreslagna ändringarna i PDL att påverka medlemmarna i Privattandläkarna i något praktiskt hänseende.
13) Säkerställande av säkerhetsnivå. Personuppgifterna ska skyddas så att de inte stjäls eller oavsiktligt raderas eller ändras. Här är det särskilt viktigt att den personuppgiftsansvarige förvissar sig om att uppgifterna behandlas i ett säkert system. Är ert journalprogram CE-märkt? Tala med er journalprogramleverantör och den som sköter it-tekniken på ert företag. Notera också vad som redan idag står i PDL:s kapitel 4, se https://www.riksdagen.se/sv/dokumentlagar/dokument/svensk-forfattningssamling/patientdatalag-2008355_sfs-2008- 355. Ni måste också ingå ett biträdesavtal med journalprogramsleverantör. Ett exempel på ett sådant kommer att finnas tillgänglig på medlemssidorna senast den 15 mars 2018. Det kan också vara bra att låta personal och inhyrd personal få underteckna sekretessavtal. Ett exempel på ett sådant kommer att finnas tillgängligt på medlemssidorna senast den 15 mars 2018. Om det inträffar en personuppgiftsincident, t.ex. ett dataintrång eller en oavsiktlig förlust av uppgifter, kan man behöva anmäla det till Datainspektionen.

När ska incidenten anmälas?
Inom 72 timmar från det att man upptäckt vad som hänt. Någon anmälan behöver dock inte göras om det är osannolikt att incidenten leder till några risker för enskildas fri- och rättigheter. De risker man tänker på är till exempel att enskilda förlorar kontrollen över sina uppgifter eller att deras rättigheter inskränks, att man utsätts för diskriminering, identitetsstöld eller bedrägeri, finansiell förlust, skadlig ryktesspridning samt brott mot sekretess eller tystnadsplikt. Om det inte är möjligt att lämna all information inom 72 timmar kan man dela upp det och lämna uppgifter vid olika tillfällen allt eftersom det blir möjligt. Hinner man inte göra anmälan alls inom 72 timmar ska man ändå informera Datainspektionen och ange skälen för förseningen. Informationen ska innehålla uppgifter om

a)Vilken typ av incident det är fråga om.
b) Vilka kategorier av personer som kan komma att beröras.
c) Hur många personer det berör.
d) Vilka konsekvenser incidenten kan få.
e) Vilka åtgärder man vidtagit för att motverka eventuella negativa konsekvenser.

Vem ska göra anmälan?
Den personuppgiftsansvarige d.v.s. företaget som bestämmer ändamål och medel för behandlingen ska göra anmälan till Datainspektionen.
14) Nytt i Dataskyddsförordningen är också att personuppgiftsbiträdet får ett utökat eget . Biträdet har bl.a. ansvar för att föra register, för anlitande av underbiträde, för att samarbeta med tillsynsmyndigheten, för att vidta säkerhetsåtgärder, för att underrätta personuppgiftsansvarig om personuppgiftsincidenter och för att bistå den personuppgiftsansvarige än mer. Se även http://www.datainspektionen.se/dataskyddsreformen/forberedelser/forberedelserfor-personuppgiftsbitraden/.
15) Datainspektionen kan komma att utdöma en sanktionsavgift för den som bryter mot förordningens regler. Avgiften ska bedömas utifrån hur allvarlig överträdelsen är, om det skett avsiktligt eller inte, vilka åtgärder man har vidtagit för att minska skadan, om man tjänat ekonomiskt på överträdelsen och andra försvårande eller förmildrande omständigheter.