Varför behövs Patientdatalagen?
Patientdatalagen (2008:355) finns för att skapa en balans mellan två viktiga behov inom hälso- och sjukvården: patientens rätt till integritet och vårdgivarens behov av information för att kunna ge god och säker vård. Lagen styr hur patientuppgifter får behandlas och dokumenteras, både i pappersform och elektroniskt. Den gör det möjligt att införa moderna lösningar som elektroniska journaler och informationsdelning mellan olika vårdgivare, men utan att kompromissa med dataskydd och sekretess. Genom tydliga regler bidrar lagen också till att minska risken för felbehandlingar och underlätta samordnad vård.
Vem omfattas?
Lagen gäller för alla som bedriver hälso- och sjukvård i Sverige – oavsett om det är en offentlig aktör som en region eller kommun, eller en privat aktör såsom en klinik eller enskild vårdgivare. Det innebär att både stora sjukhus och små mottagningar omfattas.
Även företag som tillhandahåller IT-system för journalhantering eller behandlar patientuppgifter för en vårdgivares räkning omfattas indirekt genom sin roll som personuppgiftsbiträde enligt GDPR. Personalen som arbetar inom vården påverkas också av lagen eftersom den styr vilka uppgifter de får ta del av och hur de får användas.
Rättigheter och skyldigheter
Patienter har flera viktiga rättigheter enligt lagen. De har rätt att ta del av sin egen journal, att begära rättelse av felaktiga uppgifter, och att spärra viss information från att delas mellan vårdgivare. De har också rätt att se vem som varit inne och läst deras journal, vilket möjliggör transparens och ansvarstagande.
På vårdgivarsidan finns tydliga skyldigheter. Journal ska föras enligt lagens krav, patientuppgifter ska skyddas med lämpliga tekniska och organisatoriska åtgärder, och tillgången till uppgifter ska begränsas till personer med ett legitimt behov. Det är också ett krav att patienten informeras om hur deras uppgifter används. Samtidigt måste behandlingen av uppgifter följa GDPR:s grundläggande principer, såsom laglighet, ändamålsbegränsning och säkerhet.
Vem står för stöd och tillsyn?
Integritetsskyddsmyndigheten (IMY) är tillsynsmyndighet för frågor som rör behandling av personuppgifter, inklusive patientuppgifter. IMY har befogenhet att granska vårdgivare, utfärda förelägganden och besluta om sanktionsavgifter vid överträdelser.
Socialstyrelsen spelar en kompletterande roll genom att ta fram föreskrifter och vägledningar för hur vårdgivare bör dokumentera, lagra och skydda patientuppgifter i praktiken. Det är också Socialstyrelsen som ger råd om hur journalsystem och informationssäkerhet ska utformas.
Kompletterande regelverk i urval
- Offentlighets- och sekretesslagen (2009:400) – innehåller bestämmelser om sekretess för uppgifter i patientjournaler och annan vårddokumentation.
- Arkivlagen (1990:782) – styr hur journaler och andra vårdrelaterade handlingar ska bevaras och gallras inom offentlig verksamhet.
- Socialstyrelsens föreskrifter – HSLF-FS 2016:40: Innehåller detaljerade krav på hur patientjournaler ska föras, vad de ska innehålla (t.ex. identitet, diagnos, behandling, tidpunkt), hur de ska rättas vid fel, samt hur information får spärras eller göras tillgänglig vid sammanhållen journalföring. Föreskriften reglerar också åtkomstkontroll, loggning och behörighetsstyrning i journalsystem, i linje med patientdatalagen.
- E-hälsomyndighetens tekniska specifikationer och vägledningar – Tekniska specifikationer: Nationella tekniska specifikationer styr hur IT-system ska byggas för att uppfylla krav på interoperabilitet, informationssäkerhet och patientintegritet.