Dataskydd och integritet
Vad räknas som en personuppgift?
GDPR gäller för all behandling av personuppgifter. En personuppgift är all slags information som direkt eller inidrekt kan knytas till en levande person. Namn, personnummer och adress är vanliga exempel. Andra exempel är IP-adresser, foton, ljudinspelningar, uppgifter om hälsa och medlemskap i politiskt parti. Även uppgifter som inte ensamt går att koppla till en individ men som tillsammans med andra uppgifter möjlig gör identifiering, är en personuppgift. Personuppgifter som är krypterade utgör också personuppgifter så länge det finns en nyckel som gör det möjligt att koppla uppgifterna till en viss person.
Vilket bolag är personuppgiftsansvarig?
I GDPR finns det vissa definierade aktörer med olika ansvar för behandlingen av personuppgifter. En av dessa är den personuppgiftsansvarige. Det är det bolag som bestämmer vilka personuppgifter som ska behandlas och för vilka ändamål, som är personuppgiftsansvarig. Till sin hjälp kan ett bolag som är personuppgiftansvarig anlita ett personuppgiftsbiträde som behandlar personuppgifter för den personuppgiftsansvariges räkning och utifrån dennes instruktioner. Exempelvis kan ett bolag anlita en extern IT-leverantörs som hanterar lagring av data som Personuppgiftsansvarig har i sin organisation.
Hur vet vi om vi som företag är personuppgiftsbiträde eller personuppgiftsansvarig när vi levererar en digital tjänst till vården?
Om ni är personuppgiftsansvariga betyder det att ni själva bestämmer varför personuppgifterna behandlas och hur behandlingen ska gå till. Ni har alltså kontroll över både syftet och medlen. Det kan till exempel handla om att ni samlar in personuppgifter för att utveckla era egna tjänster, analysera användarbeteende eller använda uppgifterna för andra syften som ni själva har bestämt.
Om ni däremot är personuppgiftsbiträde behandlar ni personuppgifterna enbart för någon annans räkning, enligt deras instruktioner. Ni har då inte rätt att använda uppgifterna för egna syften. I så fall är det den kund ni levererar tjänsten till, som är personuppgiftsansvarig. Ni behandlar bara uppgifterna åt dem, exempelvis genom att lagra dem eller drifta en tjänst, men det är kunden (exempelvis en vårdgivare) som bestämmer varför uppgifterna behandlas och hur det ska ske. Huvudregeln är alltså enkel: Bestämmer ni själva över syftet och användningen av uppgifterna är ni personuppgiftsansvariga. Om ni bara hanterar uppgifterna på uppdrag av någon annan, utan att ha egen kontroll över syftet, är ni personuppgiftsbiträde.
Hur skriver vi lagliga personuppgiftsbiträdesavtal (PUB-avtal) med underleverantörer?
PUB-avtal krävs enligt GDPR artikel 28 när personuppgifter hanteras av ett personuppgiftsbiträde. Avtalet ska innehålla uppgifter om behandlingsändamål, säkerhetsåtgärder, sekretess, rätten att anlita underleverantörer samt rutiner för incidentrapportering. Avtalet måste säkerställa att biträdet endast behandlar uppgifterna enligt era instruktioner. Hos SKR finns en mall som kan användas.
Vad räknas som känsliga personuppgifter?
Enligt GDPR anses visa personuppgifter vara så kallande känsliga personuppgifter. Exempel på känsliga personuppgifter är uppgift om hälsa, politiska åsikter, uppgifter om sexuell läggning och etniskt ursprung. Som huvudregel är känsliga personuppgifter förbjudna att behandla, med det finns undantag. Vid behadnling av känsliga personuppgifter måste den personuppgiftsansvarige tills att lämpliga säkerhetsåtgärder införs.
Vilka rättigheter har en registrerad enligt GDPR?
Enligt GDPR har den registrerade, alltså den person vars personuppgifter behandlas, ett antal rättigheter som syftar till att ge individen kontroll över sina uppgifter. Den registrerade har rätt att få tydlig och begriplig information om hur uppgifterna används, samt rätt att begära tillgång till de uppgifter som behandlas. Vid felaktiga eller ofullständiga uppgifter har individen rätt att få dessa rättade, och i vissa fall även raderade (”rätten att bli bortglömd”).
Utöver detta finns rätten att begära begränsning av behandlingen, exempelvis när uppgifternas riktighet ifrågasätts, samt rätten till dataportabilitet vilket innebär att uppgifterna kan överföras i ett strukturerat, maskinläsbart format till en annan tjänst. Den registrerade har även rätt att invända mot viss behandling. Vid automatiserade beslut, inklusive profilering, har individen rätt att inte bli föremål för sådana beslut utan mänsklig inblandning. Slutligen har den registrerade alltid rätt att lämna klagomål till tillsynsmyndigheten, i Sverige Integritetsskyddsmyndigheten (IMY).
Måste vi ha ett Dataskyddsombud?
Enligt GDPR artikel 37 är det obligatoriskt att utse ett Dataskyddsombud om organisationen behandlar känsliga personuppgifter i stor skala eller systematiskt övervakar individer. I hälso- och sjukvårdssektorn är detta ofta fallet.
Vad händer om vi skulle bryta mot GDPR?
Ifall tillsyn skulle inledas finns det olika åtgärder som de kan vidta gentemot det bolag bryter eller riskerar att bryta mot reglerna. Varningar, reprimander och förelägganden är exempel. Administrativa sanktionsavgifter är en annan åtgärd. Beroende på vilken aktör bolaget är kan maxbeloppet skilja sig åt. De administrativa sanktionsavgifterna kan som mest uppgå till 20 miljoner euro, om det gäller ett företag, fyra procent av den globala årsomsättningen, beroende på vilket belopp som är högst. För de mindre allvarliga överträdelserna är maxbeloppet 10 miljoner euro, eller om det gäller ett företag, två procent av den globala årsomsättningen, beroende på vilket belopp som är högst.
Vilka samtycken behöver vi bygga in?
Om er målgrupp är vårdgivare och ni exempelvis tillhandahåller en tjänst för att kommunicera med patienter kan nedan samtycken eventuellt vara lämpliga att inhämta:
- Samtycke sammanhållen journalföring
- Samtycke utskick SMS
Utgör skriftligt samtycke till SMS-utskick ett krav?
Skriftligt samtycke utgör inte en skyldighet. Däremot är det bevismässigt att föredra så att ni kan visa på att samtycke finns och när det inkom.
När behövs inte en konsekvensbedömning?
En konsekvensbedömning behövs inte i följande fall:
- En liknande behandling redan har bedömts och resultatet kan återanvändas.
- Behandlingen inte innebär hög risk för individers rättigheter.
- Behandlingen tidigare granskats enligt äldre regler (före GDPR) och inte har ändrats sedan dess.
Vad gäller för överföring av personuppgifter till tredjeland (utanför EU/EES-området)?
Överföring av personuppgifter till tredjeland kräver att skyddsnivån motsvarar GDPR. Det kan ske om EU-kommissionen har beslutat att landet har adekvat skydd, eller genom standardavtalsklausuler, bindande företagsbestämmelser eller andra skyddsåtgärder. Före överföring måste riskbedömning göras och kompletterande skydd vidtas vid behov.
Läs mer på Integritetsskyddsmyndighetens webbplats.
Hur utformar vi en korrekt integritetspolicy för patienter och användare?
Den registrerade, det vill säga den person som ett bolag behandlar personuppgifter om, har rätt att får information om huruvida dennes personuppgifter behandlas. För att fullgöra kravet på information till de registrerade behöver bolag ta fram dataskyddsinformation vilket ofta benämns integritetspolicy.
Vilken information som ska ingå framgår i GDPR varför det inte är fritt fram för bolag att avgöra vilken information som ska finnas med. En korrekt integritetspolicy ska innehålla all information som krävs enligt artiklarna 13 och 14 i GDPR. Det innebär att integritetspolicyn exempelvis måste förklara vilken data som samlas in, syftet med behandlingen, den rättsliga grunden, hur länge datan sparas, vilka rättigheter individen har och kontaktuppgifter till både personuppgiftsansvarig och eventuellt dataskyddsombud. Finns inte de punkter som räknas upp i GDPR med i integritetspolicyn uppfyller inte bolaget sin informationsplikt gentemot den registrerade. Att kopiera andra bolags policys utan tillstånd bryter mot upphovsrätten.
Medicintekniska produkter
Vad innebär riskklasser i MDR?
Riskklasserna i MDR anger hur stor risk en medicinteknisk produkt innebär för patienters hälsa och styr de regulatoriska kraven. Produkter delas in i fyra klasser: I (låg risk), IIa (måttlig), IIb (betydande) och III (hög risk). Ju högre riskklass, desto mer omfattande granskning krävs, från tillverkarens egen deklaration till kliniska prövningar. Syftet är att balansera innovation med patientsäkerhet.
Läs mer om riskklasser i MDR i ett längre svar.
Hur bedömer vi riskklassen för vår produkt i MDR?
För att bedöma riskklass i MDR följer ni en process: först säkerställ att produkten är en medicinteknisk produkt. Därefter definierar ni det avsedda ändamålet och jämför med klassificeringsreglerna i bilaga VIII, särskilt regel 11 för programvara. Bedöm risk utifrån produktens påverkan och konsekvenser vid fel. Dokumentera syfte, regel och klass i er tekniska dokumentation. Vid osäkerhet, ta stöd av Läkemedelsverket, anmält organ eller jämför med andra produkter i EUDAMED (ett register som upprätthålls av Europeiska kommissionen).
Läs mer om bedömning av riskklasser i MDR i ett längre svar.
Vilka krav gäller för de olika riskklasserna i MDR?
Kraven i MDR ökar med riskklassen. För Klass I (låg risk) räcker oftast tillverkarens självdeklaration och teknisk dokumentation. Från Klass IIa och uppåt måste ett anmält organ granska den tekniska dokumentationen och ni behöver göra en klinisk utvärdering. För Klass IIb och III (hög risk) skärps kraven med djupare granskning och ofta krav på egna kliniska prövningar. Alla klasser delar gemensamma krav på bland annat riskhantering, märkning och eftermarknadsövervakning.
Läs mer om krav för olika riskklasser i MDR i ett längre svar.
Är min produkt en medicinteknisk produkt?
Om din produkt är avsedd att användas på människor i medicinskt syfte – till exempel för diagnos, behandling, övervakning eller förebyggande av sjukdom – kan den omfattas av reglerna för medicintekniska produkter. Det är tillverkarens avsikt med produkten, tydliggjord genom märkning, bruksanvisning och marknadsföring, som avgör detta. Programvaror, instrument, reagens och andra artiklar kan omfattas.
Två liknande produkter kan regleras olika beroende på avsedd användning. Reglerna styrs av EU:s förordningar MDR och IVDR, och bedömningen måste göras individuellt för varje produkt av tillverkaren själv.
Läs mer på Läkemedelsverket webbplats.
Vem bedömer att en medicinteknisk produkt kan börja säljas?
Tillverkaren ansvarar för att visa att produkten uppfyller kraven i EU:s medicintekniska regelverk (MDR eller IVDR). För vissa riskklasser krävs granskning av ett anmält organ innan produkten CE-märks. Till skillnad från läkemedel godkänns inte medicintekniska produkter av en myndighet innan försäljning – tillverkaren själv intygar att kraven är uppfyllda.
Läs mer på Läkemedelsverket webbplats.
Vilken roll har vi enligt regelverken om medicintekniska produkter?
Enligt EU:s förordningar MDR och IVDR måste varje aktör avgöra sin roll: tillverkare, distributör, importör eller auktoriserad representant. Rollen beror på vad ni faktiskt gör – utvecklar ni produkten, säljer den vidare inom EU eller för in den från ett land utanför EU? Det är inte titeln utan ert ansvar i leveranskedjan som avgör. Till exempel räknas ni som tillverkare om ni utvecklar eller modifierar en produkt och släpper den på marknaden under eget namn.
Läs mer i Läkemedelsverkets vägledning.
Vilken typ av medicinteknisk produkt har jag?
För att ta reda på vilken typ av medicinteknisk produkt du har behöver du utgå från produktens avsedda användning. En produkt kan omfattas av olika regelverk beroende på om den är en klassisk medicinteknisk produkt (MDR), en in vitro-diagnostisk produkt (IVDR) eller tillhör särskilda produktgrupper listade i regelverken. Det är också viktigt att identifiera om produkten är ett tillbehör, används för desinficering, eller om den är avsedd för fertilitetsstöd. Märkning, användarinstruktion och teknisk funktion är avgörande i bedömningen.
Läs mer i Läkemedelsverket vägledning.
När blir en programvara en medicinteknisk programvara?
En programvara räknas som medicinteknisk om den har ett medicinskt syfte, till exempel att diagnostisera, övervaka, behandla eller lindra en sjukdom eller skada. Det är tillverkarens avsikt med programvaran som avgör – och den måste då uppfylla kraven i EU:s regelverk (MDR eller IVDR).
Vårdjuridik
Vi bygger en tjänst som ska innehålla en patientportal där vårdgivare kan kommunicera med patienter smidigt. Här kommer vi lagra information om patienter. Kan vi använda användarnamn och lösenord?
För att säkert kunna kommunicera med patienter via en digital plattform uppställs krav på stark-autentisering och kryptering. Sistnämnda innebär ett skydd mot obehörig åtkomst. Stark autentisering innebär att användaren behöver identifiera sig via något den kan och något den har. Eempelvis utgör Bank-ID en vanlig lösning.
Hur uppfyller vi kravet på samtycke för databehandling av patientuppgifter?
För att samtycke ska vara giltigt enligt GDPR krävs att det är frivilligt, specifikt, informerat och otvetydigt. Detta framgår av GDPR artiklarna 4.11 och 7. Samtycket måste lämnas aktivt av den registrerade och får inte grundas på passivitet eller förvalda alternativ. Det ska också vara möjligt att när som helst återkalla samtycket, och samtyckena ska dokumenteras.
Vad räknas som patientjournal?
En patientjournal omfattar all dokumentation som rör en enskild patients vård och behandling – till exempel anamnes, diagnoser, provsvar, åtgärder och beslut. Den kan innehålla både text, bilder och annan information och ska bidra till god och säker vård. Journalen kan föras i pappersform eller digitalt. Gråzoner uppstår när information samlas in i gränssnitt som inte tydligt är avsedda för journalföring – till exempel chattfunktioner, appar eller manuella anteckningar. Om uppgifterna har betydelse för vården, räknas de i regel som en del av journalen och omfattas då av dokumentations- och sekretessregler.
Läs mer i Socialstyrelsens kunskapsstöd.
Hur länge får vi spara journalhandlingar och när måste radering ske?
Enligt GDPR artikel 5.1e får personuppgifter endast sparas så länge som det är nödvändigt för de ändamål de samlades in för. I Patientdatalgen (PDL) framgår att journalhandlingar inom vården måste sparas i minst tio år efter den sista anteckningen.
Krävs det IVO-tillstånd för vår verksamhet och vad ingår i kraven?
Enligt 2 kap 1 § Patientsäkerhetslagen (PSL) måste den som avser att bedriva verksamhet som omfattas av Inspektionen för vård och omsorgs tillsyn anmäla detta till IVO senast en månad innan verksamheten påbörjas. Formulär för anmälan finns på IVO:s hemsida.
Kan vi använda tredjepartsleverantörer för att lagra patientdata?
Ja, men endast om ni säkerställer att leverantören fullgör de krav som anges i GDPR. Det innebär att ni måste teckna ett personuppgiftsbiträdesavtal med leverantören som bland annat tydligt specificerar hur personuppgift får behandlas.
Vilka regler gäller för kommunikation med patienter över öppna nät?
Kommunikation via öppna nät, som e-post eller sms, är tillåten om riskerna har bedömts, patienten informeras och samtycker. Vårdgivaren ansvarar för att skydda känsliga uppgifter enligt patientdatalagen och GDPR. Kryptering bör användas om informationen är integritetskänslig, och säkrare kanaler ska erbjudas vid behov.
Läs mer i Socialstyrelsens kunskapsstöd.
Vilka regler finns för vårdgivarens ansvar för personuppgiftsbehandling och journalföring?
Vårdgivaren är personuppgiftsansvarig och ansvarar för att patientuppgifter behandlas enligt GDPR och patientdatalagen. Det innebär att uppgifterna ska skyddas, dokumenteras korrekt och endast vara tillgängliga för behörig personal. Vårdgivaren ska också ha rutiner för journalföring, informationssäkerhet och loggkontroll, samt se till att personalen har rätt kompetens.
Artificiell intelligens (AI)
Hur påverkas vår AI-tjänst av EU:s AI Act (AI-förordningen)?
AI-förordningen uppställer ett antal skyldigheter på de aktörer som omfattas av förordningen, beroende på roll och riskklass. Organisationer måste därför först identifiera om AI-förordningen gäller. Därefter bör man identifiera roll och riskklass. I AI-förordningen finns det förtydligat vilka skyldigheter som respektive roll innebär. Exempelvis måste en leverantör av ett AI-system med hög risk fullgöra krav som kvalitetsledningssystem, datasäkerhet och riskhantering.