Regelverk

Behandling av hälsodata och i synnerhet personuppgifter om hälsa aktualiserar flera olika regelverk på olika nivåer men även flera olika rättsområden. Det primära rättsområdet för behandlingen av personuppgifter om hälsa handlar om dataskydd, som omfattar alltifrån högre normer om rätten till skydd för personuppgifter och personlig integritet i EU:s rättighetsstadga (art. 7  och 8), Europakonventionen (art. 8) och Regeringsformen (2 kap. 6 § st. 2) till sekundär dataskyddslagstiftning, som GDPR. På detta område finns också områdesspecifik reglering som offentlighets- och sekretesslagen (2009:400) samt registerlagstiftning, såsom patientsäkerhetslagen (2020:659) och lagen (1998:543) om hälsodataregister. De högre människorättsnormerna ska genomsyra tillämpningen av de normer som finns på lägre nivå.

Lagstitningen kring hälsodata finns på flera olika nivåer. Högst upp finns EU-lagstifning, sedan grundlag, sedan vanliga lagar, och längst ner förordningar. Internationella fördrag och myndigheternas föreskrifter visas inte i bilden. Bilden (klickbar) är gjord med hjälp av vår interaktiva ekosystemkarta.

Dataskyddsregleringen innebär att personuppgifter om hälsa karaktäriseras som särskilt skyddsvärda uppgifter, att de inte får behandlas för vilka ändamål som helst eller av vem som helst. Behandlingen ska ha en rättslig grund och måste följa vissa grundläggande principer för t.ex. uppgiftsminimering och lagringsminimering. Det spelar också roll var data lagras, om det till exempel i ett land utanför EU. Det ställer särskilt högra krav på säkra överföringar. Överlag ställs krav på en hög nivå på säkerheten vid behandlingen av personuppgifter för hälsa.

Behandling av hälsodata kan också aktualisera flera olika rättsområden som är kopplade den verksamhet som bedrivs, till exempel patientdatalagen (2008:355), hälso- och sjukvårdslagen (2017:30), socialtjänstlagen (2001:453), patientsäkerhetslagen (2020:659), patientlagen (2014:821), lagen (1998:543) om hälsodataregister, samt biobankslagen (2023:38).  

Säkerheten vid behandlingen av hälsodata spelar som nämnts en viktig roll utifrån flera aspekter. Produktsäkerheten måste garanteras, vilket kan innebära att det medicintekniska regelverket blir tillämplig. Använder du artificiell intelligens kan AI-förordningen komma att bli tillämplig från 2026. Det finns också särskilda krav på en hög nivå av informations- och cybersäkerhet enligt GDPR men också enligt den s.k. NIS-lagstiftningen (Network and Informationssystems). Därutöver kan din innovation komma att omfattas av konsumentlagstiftning.

Av särskilt intresse framöver är förslaget från EU-kommissionen till förordning om ett europeiskt hälsodataområde (EHDS), som lämnades 2022. Det innebär att hälsodata kommer att kunna vidareutnyttjas i större utsträckning för forskning och innovationer, under vissa givna förutsättningar och inom ramen för säkra behandlingsmiljöer. Förslaget väntas träda ikraft 2025 och kommer därefter att successivt börja tillämpas under loppet av flera år.

Härutöver finns föreskrifter och rekommendationer från olika myndigheter, till exempel Socialstyrelsen och Läkemedelsverket, som reglerar hälsodataområdet.

Det är också av vikt att ta reda på vilka standarder som kan användas för din innovation, till exempel ISO-standarder. Användning av standarder kan vara ett viktigt led i att skapa sig en önskvärd bevissituation.

Illustration lånad från IMY:s sajt som visar några av de viktigare lagarna inom hälsodata.
Illustration lånad från IMY:s sajt som visar några av de viktigare lagarna inom hälsodata.

Upp