Bakgrund
Personuppgiftslagen (PUL) bygger på gemensamma EU-regler och trädde i kraft 1998. Syftet med regleringen är att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas. För den kommande läsningen och för framtida arbete med personuppgifter är det viktigt att känna till begreppen ”personuppgift” och ”behandla”.
Med ”personuppgift” avses varje upplysning som avser en identifierad eller identifierbar person. All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet räknas som personuppgift. Även bilder (foton, röntgen) och ljudupptagningar på individer som behandlas i dator kan vara personuppgifter, även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer, räknas som personuppgifter om de kan kopplas till fysiska personer. Personuppgift är således ett vitt begrepp.
Även “behandlas” är ett vitt begrepp. Det omfattar insamling, registrering, lagring, bearbetning, spridning, utplåning m.m.Reglerna för behandling av personuppgifter inom hälso- och sjukvården samlas i Patientdatalagen (PDL). PDL trädde också i kraft 1998 och ersatte då Vårdregisterlagen och Patientjournallagen. PDL reglerar bland annat följande:
- Inre sekretess. Bara den som behöver uppgifterna i sitt arbete inom hälso- och sjukvården får ta del av patientuppgifter. Detta förtydligas genom att det i lagen ställs krav på behörighetstilldelning och åtkomstkontroll.
- Patienten har rätt att spärra uppgifter både i vårdgivarens journalsystem och för andra.
- Sammanhållen journalföring. Flera vårdgivare kan ge och få direktåtkomst till varandras journalhandlingar om de uppfyller PDL:s krav.
- Vårdgivare har en möjlighet att ge patienten direktåtkomst, exempelvis via internet, till vårddokumentation och loggar (det vill säga historiken för behandlingen av personuppgifterna).
PDL kompletteras med Patientdataförordningen samt föreskrifter om informationshantering och journalföring i hälso- och sjukvården från Socialstyrelsen. Notera, på förekommen anledning, att Socialstyrelsens föreskrift om att kallelser kan ske per sms kommer, så vitt vi vet, inte att ändras.
Ny lagstiftning
Dataskyddsförordningen, även kallad GDPR (General Data Protection Regulation), är del av en EU-reform för att säkerställa en enhetlig och hög skyddsnivå för fysiska personer och det fria flödet av personuppgifter. Dataskyddsförordningen anger bland annat att hanteringen av personuppgifter ska vara laglig, ha ett specifikt ändamål, vara korrekt, inte omfatta mer uppgifter än nödvändigt och att dessa inte ska lagras längre tid än nödvändigt. Personuppgifterna ska inte komma någon utomstående till del och det ska vara tydligt vem som ansvarar för hanteringen.
Dataskyddsförordningen tillämpas fr.o.m. den 25 maj 2018 och ersätter PUL. Förordningen kommer att kompletteras med en ny lag som kommer att kallas Ny dataskyddslag. Vi har informerat om denna reform tidigare och nedan följer ytterligare information och vägledning inför ert arbete för att uppfylla de krav som uppställs i Dataskyddsförordningen, om ni inte redan gjort det. Det är inte helt tydligt hur Dataskyddsförordningen kommer att tolkas och tillämpas i alla delar och vi kommer att uppdatera denna text löpande när vi får ny information från Datainspektionen och andra. PDL kommer att ändras, men ändringarna i sig bedöms inte att påverka Privattandläkarnas medlemmar.
Även efter att Dataskyddsförordningen börjar tillämpas kommer en hel del från PUL vara, i princip, oförändrat när det gäller personuppgiftshanteringen.
1) Struktur och begrepp är desamma. Exempelvis:
- ”Personuppgift”, (se ovan under avsnitt ”Bakgrund”).
- ”Personuppgiftsansvarig”, avser en fysisk eller juridisk person som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.
- ”Personuppgiftsbiträde”, avser den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation. Personuppgiftsbiträdet får bara behandla personuppgifterna enligt givna instruktioner och riktlinjer från den personuppgiftsansvarige. Biträdet bestämmer således inte själv för vilka ändamål personuppgifterna ska behandlas. Även om en personuppgiftsansvarig väljer att anlita ett personuppgiftsbiträde har den personuppgiftsansvarige ansvar gentemot de registrerade. Personuppgiftsansvaret kan inte överlåtas. De personer vars uppgifter behandlas har alltid rätt att vända sig till den personuppgiftsansvarige och framställa eventuella krav eller klagomål på felaktig behandling av personuppgifter.Personuppgiftsbiträde kan t.ex. vara ett tandteknikföretag, bemanningsföretag eller ett it-företag.
- Tillämpningsområdet är detsamma, d.v.s. behandling av personuppgifter som helt eller delvis är automatiserad.
- Det måste fortfarande finnas en rättslig grund för att personuppgifter ska få behandlas. Det kan vara: a. Lagstöd. För privata vårdgivare t.ex. PDL:s bestämmelser när det gäller journalföring för utförd vård. b. Fullgöra ett avtal eller rättslig skyldighet. T.ex. sedvanliga uppgifter om anställda såsom personnummer, adress, telefonnummer. c. Samtycke. Ett giltigt samtycke enligt Dataskyddsförordningen har samma innebörd som i PUL. I Dataskyddsförordningen ställs det dock särskilda krav på samtycket i sig, se nedan. d. Generalklausul. Behandling kan även vara tillåten efter en intresseavvägning.
- Förbud mot registrering av känsliga personuppgifter kvarstår om det inte finns lagstöd. Som utgångspunkt krävs samtycke för sådan behandling, notera att intresseavvägning inte kan användas.
- Dataskyddsförordningen innehåller i likhet med PUL en skyldighet att på begäran lämna information till de registrerade om vilka uppgifter om dem som behandlas. Detta ska göras kostnadsfritt. Informationsskyldigheten blir dock väsentligt mer omfattande, se nedan 10Det finns dock många nyheter när det gäller personuppgiftshanteringen:
- Personuppgiftsansvarige ska kunna styrka att behandlingen av personuppgifter följer Dataskyddsförordningens principer/bestämmelser. Detta innebär i sin tur en skyldighet att dokumentera behandling av personuppgifter.
- Möjligheten att behandla ostrukturerat material försvinner. Den s.k. missbruksregeln i PUL försvinner. Missbruksregeln innebär att personuppgiftsansvarig, enligt PUL, ofta kan behandla personuppgifter i ostrukturerat material utan rättslig grund. Det gäller ofta till exempel information om personer i e-post, på internet eller i en enkel lista som man har i datorn. När missbruksregeln försvinner innebär det att samma regler som gäller för personuppgifter i övrigt gäller för det som skrivs om personer i exempelvis e-post och på webbplatser och att man måste ha rättslig grund för att hantera dessa uppgifter, se ovan 3).
- I Dataskyddsförordningen ställs det särskilda krav på den rättsliga grunden samtycke, se 3) ovan, bland annat att det ska vara frivilligt, att det ska lämnas genom ett uttalande eller en entydig bekräftande handling och att det ska ges efter att den registrerade har fått information om personuppgiftsbehandlingen. I vissa fall kan det vara lämpligt att överväga om någon annan rättslig grund är mer passande, till exempel ett avtal med den registrerade. Den som behandlar personuppgifter med stöd av ett samtycke måste kunna visa att ett giltigt samtycke har lämnats av den registrerade.
- Det blir i vissa fall obligatoriskt att ha ett dataskyddsombud. Om den ansvariges kärnverksamhet består av behandling i stor omfattning av så kallade känsliga personuppgifter ska ett dataskyddsombud utses. Som exempel på detta har det nämnts sjukhus. Huruvida mycket stora tandvårdsföretag ska ha dataskyddsombud har vi inte fått något närmare klargörande från Datainspektionen. Vi rekommenderar därför större vårdgivare att utnämna dataskyddsombud eller kontakta Datainspektionen för att utreda om ni behöver ett sådant. Om ni inte utser ett dataskyddsombud bör skälen till detta dokumenteras.
- De registrerades rättigheter står än mer i centrum:
Rätt till information:
Utökad informationsskyldighet till den registrerade. Information om personuppgiftsbehandlingen ska självmant lämnas av den personuppgiftsansvarige både när uppgifterna samlas in och när den registrerade annars begär det. Viktigt i sammanhanget är att Dataskyddsförordningen ställer krav på att informationen som lämnas ska vara kostnadsfri, kortfattad, lättbegriplig och utformad med ett tydligt och enkelt språk. Vårdgivaren behöver bl.a. informera om:
- Vem som är personuppgiftsansvarig.
- Ändamålet med insamlandet.
- Den rättsliga grunden för behandlingen, se avsnitt 3) ovan.
- Mottagare av uppgifterna.
- Hur länge personuppgifterna lagras.
- Den registrerades rättigheter, under denna punkt 10).
- Möjligheten att lämna klagomål till tillsynsmyndigheten (Datainspektionen) om man anser att ens personuppgifter har hanterats felaktigt.
Datainspektionen har tagit fram en ”modell” över vilken information som ska ges http://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/deregistrerades-rattigheter/ratt-till-information/
Hur lämnandet av information ska gå till praktiskt för vårdföretag har inte Datainspektionen klargjort. På fråga från Privattandläkarna har Datainspektionen angivit att anslag och broschyr behöver kompletteras med någon form av hänvisning till att den registrerade ska ta del av informationen. Vid möte kommer medlemmarna få mer information om hur informationsskyldigheten ska uppfyllas och dokumenteras. Exempel på integritetspolicy m.m. kommer att finnas på medlemssidorna senast den 15 mars 2018.
Rätt till rättelse:
Varje person har rätt att vända sig till ett företag som behandlar personuppgifter och be att få felaktiga uppgifter rättade. Det innebär att den enskilde har rätt att komplettera med sådana personuppgifter som saknas och som är relevanta med hänsyn till ändamålet med personuppgiftsbehandlingen. Att den som behandlar personuppgifter själv måste se till att uppgifterna är korrekta och uppdaterade framgår redan av de grundläggande principerna i Dataskyddsförordningen. Om uppgifter rättas på den enskildes begäran måste företaget också informera dem som de har lämnat ut uppgifter till om att uppgifter rättats. Det gäller dock inte om det skulle visa sig omöjligt eller innebära en alltför betungande insats. Den enskilde har även rätt att begära att få information om till vem uppgifter har lämnats ut. I PDL finns särskilda bestämmelser om rättelse. Notera att man normalt sett inte får utplåna eller göra journalhandling oläslig. Detta följer av PDL 3 kap 14 § och 8 kap 3 §.
Rätt till radering:
Varje person har rätt att vända sig till ett företag som behandlar personuppgifter och be att uppgifterna som avser honom eller henne raderas. Uppgifterna måste raderas i följande fall:
- Om uppgifterna inte längre behövs för de ändamål som de samlades in för.
- Om behandlingen grundar sig på den enskildes samtycke och denne återkallar samtycket.
- Om behandlingen sker för direktmarknadsföring och den enskilde motsätter sig att uppgifterna behandlas.
- Om den enskilde motsätter sig personuppgiftsbehandling som sker inom ramen för myndighetsutövning eller efter en intresseavvägning och det inte finns berättigade skäl som väger tyngre än den enskildes intresse.
- Om personuppgifterna har behandlats olagligt.
- Om radering krävs för att uppfylla en rättslig skyldighet.
Som ovan nämnts får dock uppgifter i en journalhandling inte utplånas eller göras oläsliga annat än i undantagsfall.
Dataportabilitet:
När uppgifter behandlas med stöd av samtycke eller för att uppfylla ett avtal, ska den registrerade ha rätt att få ut de uppgifter man själv lämnat i ett särskilt format för att föra över dem till en annan tjänst. Det kallas dataportabilitet. Notera att när behandlingen i stället sker med stöd av lag, såsom för patientjournaler, gäller inte skyldigheten till dataportabilitet. Vad gäller estetiska behandlingar som inte omfattas av Tandvårdslagen är den rättsliga grunden avtal och då blir bestämmelsen om dataportabilitet tillämplig. Vi har tillskrivit Datainspektionen om hur medlem ska gå tillväga rent praktiskt, men har inte fått ett tydligt svar. Datainspektionen har angivit att PDF-filer ej torde vara acceptabla utan det bör vara i ett format så att alla metadata kan vidareutnyttjas. Ni får stämma av formatet med er journalprogramsleverantör.
11) Notera att Dataskyddsförordningen innebär att alla EU:s medlemsstater anses ha ett likvärdigt skydd för personuppgifter och personlig integritet. Detta gäller även EES-länderna Norge, Island och Liechtenstein. Därför kan personuppgifter föras över fritt inom detta område utan begränsningar. För överföring av personuppgifter till länder utanför EU och EES (så kallad tredjelandsöverföring) måste det regleras särskilt med mottagaren eller de registrerade.
12) Dataskyddsförordningen innehåller också generella regler om när personuppgiftsbehandling får ske inom hälso- och sjukvård. I förarbetena till den förväntade Dataskyddslagen (SOU 2017:266) har det utretts i vilken mån reglerna i PDL behöver anpassas till förordningens regler. Såvitt vi kan bedöma kommer inte de föreslagna ändringarna i PDL att påverka medlemmarna i Privattandläkarna i något praktiskt hänseende.
13) Säkerställande av säkerhetsnivå. Personuppgifterna ska skyddas så att de inte stjäls eller oavsiktligt raderas eller ändras. Här är det särskilt viktigt att den personuppgiftsansvarige förvissar sig om att uppgifterna behandlas i ett säkert system. Är ert journalprogram CE-märkt? Tala med er journalprogramleverantör och den som sköter it-tekniken på ert företag. Notera också vad som redan idag står i PDL:s kapitel 4, se https://www.riksdagen.se/sv/dokumentlagar/dokument/svensk-forfattningssamling/patientdatalag-2008355_sfs-2008- 355. Ni måste också ingå ett biträdesavtal med journalprogramsleverantör. Ett exempel på ett sådant kommer att finnas tillgänglig på medlemssidorna senast den 15 mars 2018. Det kan också vara bra att låta personal och inhyrd personal få underteckna sekretessavtal. Ett exempel på ett sådant kommer att finnas tillgängligt på medlemssidorna senast den 15 mars 2018. Om det inträffar en personuppgiftsincident, t.ex. ett dataintrång eller en oavsiktlig förlust av uppgifter, kan man behöva anmäla det till Datainspektionen.
WEBBAKTIVITET
Vi samlar själva in uppgifter om hur du som besökare använder webbplatsen, och i samband med det sparas din IP-adress, din ungefärliga position, information om dina webbläsarinställningar och hur ditt operativsystem använder sidorna. Denna information behandlas med stöd av en intresseavvägning och används för att utveckla webbplatsens funktioner och innehåll.
SYFTE MED BEHANDLING AV PERSONUPPGIFTER
Den information du själv lämnar till oss eller som vi samlar in kan användas för att:
Kontakta dig via e-post eller telefonnummer (om du fyller i det i kontaktformuläret)
Förbättra vår hemsida.
Förbättra vår service och våra tjänster.
Information och marknadsföring.
Om du har aktiverat cookies i din webbläsare kan den informationen användas för att ge en personlig användarupplevelse.
MOTTAGARE AV PERSONUPPGIFTERNA
Vi använder bara din personliga information i den mån det är nödvändigt för de ändamål som anges i denna integritetspolicy.
Vi har avtal med tredje parts tjänsteleverantörer för att hjälpa oss att få en bättre bild av besökarna på webbplatsen. Dessa tjänsteleverantörer får inte använda den information som de samlar å våra vägnar för något annat än att hjälpa oss att driva och förbättra vår verksamhet. I övrigt gäller att vi inte säljer, handlar med, eller på annat sätt överför, personligt identifierbar information till utomstående parter.
ANVÄNDNING AV COOKIES
Vår webbplats kan använda ”cookies” och ”spårningspixlar” för en rad olika ändamål, bland annat för att driva och anpassa webbplatsen. Webbläsare placerar cookies på din dator/mobil/surfplatta för arkivändamål, och kan användas för att spåra hur du använder webbplatsen för att rikta annonser till dig på andra webbplatser. Du kan välja att ställa in webbläsaren till att vägra cookies, eller att varna dig när cookies skickas. Då bör du notera att vissa delar av webbplatsen kanske inte fungerar korrekt.
En cookie är en liten textfil som lagras på besökarens dator i syfte att förbättra upplevelsen och förenkla användandet av webbplatsen. Genom att använda någon av våra tjänster godkänner du detta.
Det finns två typer av cookies, permanenta cookies och session cookies, varav båda används på vår webbplats.
En permanent cookie ligger kvar på besökarens dator under en bestämd tid medan en session cookie lagras tillfälligt i datorns minne under tiden en besökare är inne på en webbplats.
Session cookies försvinner när besökaren stänger sin webbläsare. Har du en nyare webbläsare har den ofta stöd för så kallad privat surfning eller inkognito-surfning. Det betyder att alla cookies rensas ut varje gång du stänger din webbläsare.
Om du inte vill tillåta cookies kan du välja att ändra inställningarna i din webbläsare så att de inte accepteras. Se webbläsarens hjälpsidor för mer information. Vissa funktioner på webbplatsen kan påverkas om inte cookies tillåts.
Cookies används även för att få en mer tillförlitlig statistik av besökarflöden på vår sida vilket hjälper oss att bibehålla och förbättra den service vi erbjuder. Vår webbplats använder Facebook och Google Analytics från Google som analysverktyg. Denna tjänst använder sig av cookies, men samlar ingen personligt identifierbar information (IP-adresser maskeras vid insamlingen).
VEM DELAR NI MINA UPGIFTER MED?
Vi kommer inte dela, sälja, överlåta eller på annat sätt lämna ut dina uppgifter utöver vad som anges i denna policy, om vi inte är skyldiga att göra det för att fullgöra en rättslig förpliktelse eller om vi har fått ditt samtycke till ett sådant utlämnande. Detta utesluter inte att vi kan använda personuppgiftsbiträden som behandlar uppgifter för vår räkning i enlighet med skriftliga personuppgiftsbiträdesavtal och våra instruktioner. Personuppgiftsbiträden som får tillgång till dina uppgifter (t.ex. när vi använder en tredje part för att lagra uppgifter på en server), ges inte någon rätt att använda dina uppgifter för andra syften än de syften som anges i denna policy.
MEDDELANDE
Vi kommer att fråga dig när vi behöver information som personligen identifierar dig (personuppgifter) eller tillåter oss att kontakta dig. I allmänhet begärs denna information när du skapar ett registrerings-ID på webbplatsen eller när du laddar ner gratis programvara, deltar i en tävling, beställer nyhetsbrev via e-post eller går med i en premium-webbplats med begränsad tillgång. Vi använder din personliga information för fyra primära ändamål:
För att göra webbplatsen lättare för dig att använda genom att inte behöva ange information mer än en gång.
För att hjälpa dig att snabbt hitta program, tjänster eller information.
För att hjälpa oss att skapa innehåll som är mest relevanta för dig.
För att påminna dig om produktuppgraderingar, specialerbjudanden, uppdaterad information och andra nya tjänster från Landalatandläkarna.
När ska incidenten anmälas?
Inom 72 timmar från det att man upptäckt vad som hänt. Någon anmälan behöver dock inte göras om det är osannolikt att incidenten leder till några risker för enskildas fri- och rättigheter. De risker man tänker på är till exempel att enskilda förlorar kontrollen över sina uppgifter eller att deras rättigheter inskränks, att man utsätts för diskriminering, identitetsstöld eller bedrägeri, finansiell förlust, skadlig ryktesspridning samt brott mot sekretess eller tystnadsplikt. Om det inte är möjligt att lämna all information inom 72 timmar kan man dela upp det och lämna uppgifter vid olika tillfällen allt eftersom det blir möjligt. Hinner man inte göra anmälan alls inom 72 timmar ska man ändå informera Datainspektionen och ange skälen för förseningen. Informationen ska innehålla uppgifter om
a)Vilken typ av incident det är fråga om.
b) Vilka kategorier av personer som kan komma att beröras.
c) Hur många personer det berör.
d) Vilka konsekvenser incidenten kan få.
e) Vilka åtgärder man vidtagit för att motverka eventuella negativa konsekvenser.
Vem ska göra anmälan?
Den personuppgiftsansvarige d.v.s. företaget som bestämmer ändamål och medel för behandlingen ska göra anmälan till Datainspektionen.
14) Nytt i Dataskyddsförordningen är också att personuppgiftsbiträdet får ett utökat eget . Biträdet har bl.a. ansvar för att föra register, för anlitande av underbiträde, för att samarbeta med tillsynsmyndigheten, för att vidta säkerhetsåtgärder, för att underrätta personuppgiftsansvarig om personuppgiftsincidenter och för att bistå den personuppgiftsansvarige än mer. Se även http://www.datainspektionen.se/dataskyddsreformen/forberedelser/forberedelserfor-personuppgiftsbitraden/.
15) Datainspektionen kan komma att utdöma en sanktionsavgift för den som bryter mot förordningens regler. Avgiften ska bedömas utifrån hur allvarlig överträdelsen är, om det skett avsiktligt eller inte, vilka åtgärder man har vidtagit för att minska skadan, om man tjänat ekonomiskt på överträdelsen och andra försvårande eller förmildrande omständigheter.