Här får du svar på vanliga frågor.
Vilka samtycken behöver vi bygga in?
Om er målgrupp är vårdgivare och ni exempelvis tillhandahåller en tjänst för att kommunicera med patienter kan nedan samtycken eventuellt vara lämpliga att inhämta:
- Samtycke sammanhållen journalföring
- Samtycke utskick SMS
Utgör skriftligt samtycke till SMS-utskick ett krav?
Skriftligt samtycke utgör inte en skyldighet. Däremot är det bevismässigt att föredra så att ni kan visa på att samtycke finns och när det inkom.
När behövs inte en konsekvensbedömning?
En konsekvensbedömning behövs inte i följande fall:
- En liknande behandling redan har bedömts och resultatet kan återanvändas.
- Behandlingen inte innebär hög risk för individers rättigheter.
- Behandlingen tidigare granskats enligt äldre regler (före GDPR) och inte har ändrats sedan dess.
Är min produkt en medicinteknisk produkt?
Om din produkt är avsedd att användas på människor i medicinskt syfte – till exempel för diagnos, behandling, övervakning eller förebyggande av sjukdom – kan den omfattas av reglerna för medicintekniska produkter. Det är tillverkarens avsikt med produkten, tydliggjord genom märkning, bruksanvisning och marknadsföring, som avgör detta. Programvaror, instrument, reagens och andra artiklar kan omfattas.
Två liknande produkter kan regleras olika beroende på avsedd användning. Reglerna styrs av EU:s förordningar MDR och IVDR, och bedömningen måste göras individuellt för varje produkt av tillverkaren själv.
Läs mer på Läkemedelsverket webbplats.
Vem bedömer att en medicinteknisk produkt kan börja säljas?
Tillverkaren ansvarar för att visa att produkten uppfyller kraven i EU:s medicintekniska regelverk (MDR eller IVDR). För vissa riskklasser krävs granskning av ett anmält organ innan produkten CE-märks. Till skillnad från läkemedel godkänns inte medicintekniska produkter av en myndighet innan försäljning – tillverkaren själv intygar att kraven är uppfyllda.
Läs mer på Läkemedelsverket webbplats.
Vilken roll har vi enligt regelverken om medicintekniska produkter?
Enligt EU:s förordningar MDR och IVDR måste varje aktör avgöra sin roll: tillverkare, distributör, importör eller auktoriserad representant. Rollen beror på vad ni faktiskt gör – utvecklar ni produkten, säljer den vidare inom EU eller för in den från ett land utanför EU? Det är inte titeln utan ert ansvar i leveranskedjan som avgör. Till exempel räknas ni som tillverkare om ni utvecklar eller modifierar en produkt och släpper den på marknaden under eget namn.
Läs mer i Läkemedelsverkets vägledning.
Vilken typ av medicinteknisk produkt har jag?
För att ta reda på vilken typ av medicinteknisk produkt du har behöver du utgå från produktens avsedda användning. En produkt kan omfattas av olika regelverk beroende på om den är en klassisk medicinteknisk produkt (MDR), en in vitro-diagnostisk produkt (IVDR) eller tillhör särskilda produktgrupper listade i regelverken. Det är också viktigt att identifiera om produkten är ett tillbehör, används för desinficering, eller om den är avsedd för fertilitetsstöd. Märkning, användarinstruktion och teknisk funktion är avgörande i bedömningen.
Läs mer i Läkemedelsverket vägledning.
När blir en programvara en medicinteknisk programvara?
En programvara räknas som medicinteknisk om den har ett medicinskt syfte, till exempel att diagnostisera, övervaka, behandla eller lindra en sjukdom eller skada. Det är tillverkarens avsikt med programvaran som avgör – och den måste då uppfylla kraven i EU:s regelverk (MDR eller IVDR).
Vad räknas som patientjournal?
En patientjournal omfattar all dokumentation som rör en enskild patients vård och behandling – till exempel anamnes, diagnoser, provsvar, åtgärder och beslut. Den kan innehålla både text, bilder och annan information och ska bidra till god och säker vård. Journalen kan föras i pappersform eller digitalt. Gråzoner uppstår när information samlas in i gränssnitt som inte tydligt är avsedda för journalföring – till exempel chattfunktioner, appar eller manuella anteckningar. Om uppgifterna har betydelse för vården, räknas de i regel som en del av journalen och omfattas då av dokumentations- och sekretessregler.
Läs mer i Socialstyrelsens kunskapsstöd.
Vilka regler gäller för kommunikation med patienter över öppna nät?
Kommunikation via öppna nät, som e-post eller sms, är tillåten om riskerna har bedömts, patienten informeras och samtycker. Vårdgivaren ansvarar för att skydda känsliga uppgifter enligt patientdatalagen och GDPR. Kryptering bör användas om informationen är integritetskänslig, och säkrare kanaler ska erbjudas vid behov.
Läs mer i Socialstyrelsens kunskapsstöd.
Vilka regler finns för vårdgivarens ansvar för personuppgiftsbehandling och journalföring?
Vårdgivaren är personuppgiftsansvarig och ansvarar för att patientuppgifter behandlas enligt GDPR och patientdatalagen. Det innebär att uppgifterna ska skyddas, dokumenteras korrekt och endast vara tillgängliga för behörig personal. Vårdgivaren ska också ha rutiner för journalföring, informationssäkerhet och loggkontroll, samt se till att personalen har rätt kompetens.
Vad gäller för överföring av personuppgifter till tredjeland (utanför EU/EES-området)?
Överföring av personuppgifter till tredjeland kräver att skyddsnivån motsvarar GDPR. Det kan ske om EU-kommissionen har beslutat att landet har adekvat skydd, eller genom standardavtalsklausuler, bindande företagsbestämmelser eller andra skyddsåtgärder. Före överföring måste riskbedömning göras och kompletterande skydd vidtas vid behov.