Dataskyddsförordningen, GDPR
Dataskyddsförordningen, GDPR, är en integritetsskyddslag som syftar till att säkerställa den personliga integriteten genom att reglera personuppgiftsbehandling. Det är en EU-gemensam förordning som ersätter bland annat PUL.
Hela EU/EES har samma lagstiftning som reglerar hur man får behandla personuppgifter; Dataskyddsförordningen (GDPR). Syftet med lagen är att stärka personers grundläggande fri- och rättigheter och särskilt skyddet av personuppgifter. Förordningen ställer höga krav på den som behandlar personuppgifter, för att säkerställa ett gott integritetsskydd för enskilda individer.
En viktig princip är att all personuppgiftsbehandling måste ha ett definierat ändamål samt ha stöd i någon av de rättsliga grunderna i GDPR:s artikel 6 samt vid behandling av känsliga personuppgifter artikel 9. GDPR kompletteras av svensk lagstiftning, till exempel lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. Vid journalföring och annan behandling av personuppgifter inom hälso- och sjukvården måste även patientdatalagen, sekretesslagar etcetera följas.
Det här behöver du som vårdgivare förhålla dig till
GDPR ställer höga krav på hanteringen av personuppgifter; i vilka sammanhang personuppgift kan anges och hur den ska skyddas, till vad personuppgift får användas samt kräver att vårdgivare har överblick över var/i vilka register det finns personuppgifter. Registerutdrag ska kunna lämnas till patient vid förfrågan.
I vårdavtalet regleras de krav som beställaren har på vårdgivaren kring utlämnande av personuppgifter, exempelvis för utbetalning av ersättning och uppföljning av utförd vård, se vidare informationshanteringsbilagan. I grunden är du som vårdgivare alltid ansvarig för de personuppgifter som du behandlar i samband med vårdgivaruppdraget.
Om du som vårdgivare använder de e-tjänster som beställaren erbjuder eller ställer krav på så regleras personuppgiftsbehandlingen via det personuppgiftsbiträdesavtal som ingår i vårdavtalet, se vidare Personuppgiftsbiträdesavtal
Beroende på personuppgifternas art, omfattning, sammanhang och ändamål samt vilka risker och konsekvenser insamlingen innebär, ska den personuppgiftsansvarige och eventuella biträden vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder. Dessa anges i regionens riktlinje för informationssäkerhet.
Definition av personuppgift
All information som unikt kan identifiera en fysisk person räknas som personuppgift;
- Namn, personnummer
- Bilder/foton
- Ljudupptagningar på individer
- Krypterade uppgifter
- Elektroniska identiteter t.ex. IP-nummer, om de kan kopplas till fysiska personer
- E-postadress
Definition av känslig personuppgift
- Ras/etnicitet
- Politiska åsikter
- Religiösa eller filosofiska uppfattningar
- Fackligt medlemskap
- Genetiska uppgifter
- Biometriska uppgifter
- Uppgifter om hälsa
- Sexuell läggning och sexualliv
Definition av personuppgiftsbehandling
En åtgärd/kombination av åtgärder angående personuppgifter/uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller inte.
Exempel: insamling, registrering, strukturering, lagring, bearbetning, läsning, utlämning genom överföring, spridning, tillhandahållande, begränsning, radering, förstöring.
Mer information
Hur en verksamhet kan jobba med informationssäkerhet i sex steg.
Kontakt
Dataskyddsombud
Alla nämnder eller bolag har ett eget dataskyddsombud. Vid frågor kontaktar du din organisations dataskyddsombud.
För personuppgiftsbehandlingar där Hälso- och sjukvårdsnämnden och Vårdens kunskapsstyrningsnämnd är ansvariga:
Lenah Hedberg
För Smittskydd Stockholm
Peter Gröön
Mejladress: gdprfragor.hsf@regionstockholm.se