Det finns många sätt att definiera hälsodata. Det kan handla om biologiska data i form av laboratorieprover eller data från biobanker, biometriska data om till exempel hjärtfunktion (EKG) eller elektroniska data som patientjournaler och hälsoappar.
I juridiska sammanhang gäller det att undersöka juridiska definitioner som kan vara avgörande för att bedöma om din innovation omfattas av viss lagstiftning. Det är därför inte säkert att ett sätt på vilket hälsodata definieras inom en viss profession eller ett visst område helt stämmer överens med en juridisk definition.
En viktig utgångspunkt är att uppgifter om hälsa tillhör s.k. särskilda kategorier av personuppgifter i art. 9 i den allmänna dataskyddsförordningen (härefter GDPR), vilket innebär att de anses särskilt skyddsvärda. ”Uppgifter om hälsa” har också en egen definition i art. 4.15 i GDPR som definierar personuppgifter om hälsodata på följande sätt:
”uppgifter om hälsa: personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus.”
Denna kan betraktas som en sammanfattning med utgångpunkt i den definition som ges i skäl 35 till GDPR, som inte är bindande men som har relevans vid tolkningen av GDPR.
I skäl 35 sägs att:
”Personuppgifter om hälsa bör innefatta alla de uppgifter som hänför sig till en registrerad persons hälsotillstånd som ger information om den registrerades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd. Detta inbegriper uppgifter om den fysiska personen som insamlats i samband med registrering för eller tillhandahållande av hälso- och sjukvårdstjänster till den fysiska personen enligt Europaparlamentets och rådets direktiv 2011/24/EU 1) ett nummer, en symbol eller ett kännetecken som den fysiska personen tilldelats för att identifiera denne för hälso- och sjukvårdsändamål, uppgifter som härrör från tester eller undersökning av en kroppsdel eller kroppssubstans, däribland genetiska uppgifter om exempelvis sjukdom, funktionshinder, sjukdomsrisk, sjukdomshistoria, klinisk behandling eller den registrerades fysiologiska eller biomedicinska tillstånd, oberoende av källan, exempelvis från en läkare eller från annan sjukvårdspersonal, ett sjukhus en medicinteknisk produkt eller ett diagnostiskt in vitro-test.”
Av detta kan vi utläsa att begreppet ”personuppgifter om hälsa” har en vidsträckt innebörd i den europeiska dataskyddslagstiftningen Det framgår också av t.ex. EU-domstolens praxis i det så kallade konfirmandlärarmålet från 2003 som handlade om tolkningen av detta begrepp enligt det tidigare dataskyddsdirektivet från 1995 (Mål C-101/01, Bodil Lindqvist). I målet hade en kvinna, som arbetade ideellt som konfirmandlärare, skapat en hemsida på sin persondator för att ge information till konfirmanderna, vilken under en begränsad tid var länkad till Svenska kyrkans server. På hemsidan beskrev hon sina kollegor i församlingen i lättsam ton och informerade bland annat om att en av dem hade skadat foten och var deltidssjukskriven. En fråga i målet var om denna uppgift kunde anses utgöra en känslig personuppgift om hälsa.
EU-domstolen uttalade att med hänsyn till syftet med dataskyddsdirektivet ska uttrycket ”uppgifter om hälsa” ges en vidsträckt tolkning och anses omfatta uppgifter som rör alla aspekter av en persons hälsa, såväl fysiska som psykiska sådana. EU-domstolen fann därför att en uppgift om att en person skadat sin fot och är deltidssjukskriven är en personuppgift om hälsa enligt direktivets mening.
Mot bakgrund av detta kan vi därför konstatera att om din innovation använder data som på något sätt är hänförligt till enskilda individers hälsotillstånd den troligen kommer falla in under de definitionen ”uppgifter om hälsa” enligt GDPR, vilket innebär att tillämpningen omfattas av GDPR och annan dataskyddslagstiftning.