Personuppgiftsbiträdesavtal
Enligt patientdatalagen är det vårdgivaren som är personuppgiftsansvarig för sin behandling av personuppgifter i hälso- och sjukvården, till exempel i samband med sin journalhantering eller sin kommunikation med patienter.
När vårdgivaren utför sin behandling av personuppgifter i ett IT-system/tjänst som Hälso- och sjukvårdsnämnden tillhandahåller, är Hälso- och sjukvårdsnämnden vårdgivarens personuppgiftsbiträde. Nämnden kan låta en leverantör, till exempel av IT-drift, utföra hela eller delar av behandlingen. Även leverantören är då vårdgivarens personuppgiftsbiträde (s.k. underbiträde).
När ett personuppgiftsbiträde behandlar personuppgifter åt den personuppgiftsansvariga, ska behandlingen regleras genom ett avtal (s.k. personuppgiftsbiträdesavtal, PUB-avtal). Avtalet ska vara skriftligt och bindande för den personuppgiftsansvariga och personuppgiftsbiträdet. En central bestämmelse i personuppgiftsbiträdesavtalet är att personuppgiftsbiträdet endast får behandla personuppgifter i enlighet med dokumenterade instruktioner som är utfärdade eller godkända av den personuppgiftsansvariga. Ett personuppgiftsbiträde som anlitar ett underbiträde måste teckna motsvarande avtal med underbiträdet.
Ett personuppgiftsbiträdesavtal mellan dig som personuppgiftsansvarig vårdgivare och Hälso- och sjukvårdsnämnden ingår i vårdavtalet avseende vissa av de tjänster och system som Hälso- och tillhandahåller. Vilka IT-system/tjänster som omfattas och vilka instruktioner som gäller för personuppgiftsbehandlingen i respektive system/tjänst, framgår av vårdavtalet och respektive tjänst/systems sida på Vårdgivarguiden.
Utdrag ur Informationshanteringsbilagan i förfrågningsunderlaget.
Mer information
Kontakt
Lenah Hedberg
- lenah.hedberg@regionstockholm.se
- |
- Hälso- och sjukvårdsförvaltningen