Här kan du läsa dig till grunderna om juridiken kring hälsodata. Om det är mycket att ta in på en gång så kan du istället närma dig området genom till exempel våra typfall eller AI-agenter.
Vad är hälsodata i juridisk mening?
Det finns många sätt att definiera hälsodata. Det kan handla om biologiska data i form av laboratorieprover eller data från biobanker, biometriska data om t.ex. hjärtfunktion (EKG) eller elektroniska data som patientjournaler och hälsoappar.
I juridiska sammanhang gäller det att undersöka juridiska definitioner som kan vara avgörande för att bedöma om din innovation omfattas av viss lagstiftning. Det är därför inte säkert att ett sätt på vilket hälsodata definieras inom en viss profession eller ett visst område helt stämmer överens med en juridisk definition.
En viktig utgångspunkt är att uppgifter om hälsa tillhör s.k. särskilda kategorier av personuppgifter i art. 9 i den allmänna dataskyddsförordningen (härefter GDPR), vilket innebär att de anses särskilt skyddsvärda. ”Uppgifter om hälsa” har också en egen definition i art. 4.15 i GDPR som definierar hälsodata på följande sätt:
”uppgifter om hälsa: personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus.”
Denna kan betraktas som en sammanfattning med utgångpunkt i den definition som ges i skäl 35 till GDPR, som inte är bindande men som har relevans vid tolkningen av GDPR.
I skäl 35 sägs att:
”Personuppgifter om hälsa bör innefatta alla de uppgifter som hänför sig till en registrerad persons hälsotillstånd som ger information om den registrerades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd. Detta inbegriper uppgifter om den fysiska personen som insamlats i samband med registrering för eller tillhandahållande av hälso- och sjukvårdstjänster till den fysiska personen enligt Europaparlamentets och rådets direktiv 2011/24/EU 1) ett nummer, en symbol eller ett kännetecken som den fysiska personen tilldelats för att identifiera denne för hälso- och sjukvårdsändamål, uppgifter som härrör från tester eller undersökning av en kroppsdel eller kroppssubstans, däribland genetiska uppgifter om exempelvis sjukdom, funktionshinder, sjukdomsrisk, sjukdomshistoria, klinisk behandling eller den registrerades fysiologiska eller biomedicinska tillstånd, oberoende av källan, exempelvis från en läkare eller från annan sjukvårdspersonal, ett sjukhus en medicinteknisk produkt eller ett diagnostiskt in vitro-test.”
Av detta kan vi utläsa att begreppet ”personuppgifter om hälsa” har en vidsträckt innebörd i den europeiska dataskyddslagstiftningen Det framgår också av t.ex. EU-domstolens praxis i det så kallade konfirmandlärarmålet från 2003 som handlade om tolkningen av detta begrepp enligt det tidigare dataskyddsdirektivet från 1995 (Mål C-101/01, Bodil Lindqvist). I målet hade en kvinna, som arbetade ideellt som konfirmandlärare, skapat en hemsida på sin persondator för att ge information till konfirmanderna, vilken under en begränsad tid var länkad till Svenska kyrkans server. På hemsidan beskrev hon sina kollegor i församlingen i lättsam ton och informerade bland annat om att en av dem hade skadat foten och var deltidssjukskriven. En fråga i målet var om denna uppgift kunde anses utgöra en känslig personuppgift om hälsa.
EU-domstolen uttalade att med hänsyn till syftet med dataskyddsdirektivet ska uttrycket ”uppgifter om hälsa” ges en vidsträckt tolkning och anses omfatta uppgifter som rör alla aspekter av en persons hälsa, såväl fysiska som psykiska sådana. EU-domstolen fann därför att en uppgift om att en person skadat sin fot och är deltidssjukskriven är en personuppgift om hälsa enligt direktivets mening.
Mot bakgrund av detta kan vi därför konstatera att om din innovation använder data som på något sätt är hänförligt till enskilda individers hälsotillstånd den troligen kommer falla in under de definitionen ”uppgifter om hälsa” enligt GDPR, vilket innebär att tillämpningen omfattas av GDPR och annan dataskyddslagstiftning.
Översikt över regelverket kring hälsodata
Behandling av hälsodata och i synnerhet personuppgifter om hälsa aktualiserar flera olika regelverk på olika nivåer men även flera olika rättsområden. Det primära rättsområdet för behandlingen av personuppgifter om hälsa handlar om dataskydd, som omfattar alltifrån högre normer om rätten till skydd för personuppgifter och personlig integritet i EU:s rättighetsstadga (art. 7 och 8), Europakonventionen (art. 8) och Regeringsformen (2 kap. 6 § st. 2) till sekundär dataskyddslagstiftning, som GDPR. På detta område finns också områdesspecifik reglering som offentlighets- och sekretesslagen (2009:400) samt registerlagstiftning, såsom patientsäkerhetslagen (2020:659) och lagen (1998:543) om hälsodataregister. De högre människorättsnormerna ska genomsyra tillämpningen av de normer som finns på lägre nivå.
Dataskyddsregleringen innebär att personuppgifter om hälsa karaktäriseras som särskilt skyddsvärda uppgifter, att de inte får behandlas för vilka ändamål som helst eller av vem som helst. Behandlingen ska ha en rättslig grund och måste följa vissa grundläggande principer för t.ex. uppgiftsminimering och lagringsminimering. Det spelar också roll var data lagras, om det till exempel i ett land utanför EU. Det ställer särskilt högra krav på säkra överföringar. Överlag ställs krav på en hög nivå på säkerheten vid behandlingen av personuppgifter för hälsa.
Behandling av hälsodata kan också aktualisera flera olika rättsområden som är kopplade den verksamhet som bedrivs, till exempel patientdatalagen (2008:355), hälso- och sjukvårdslagen (2017:30), socialtjänstlagen (2001:453), patientsäkerhetslagen (2020:659), patientlagen (2014:821), lagen (1998:543) om hälsodataregister, samt biobankslagen (2023:38).
Säkerheten vid behandlingen av hälsodata spelar som nämnts en viktig roll utifrån flera aspekter. Produktsäkerheten måste garanteras, vilket kan innebära att det medicintekniska regelverket blir tillämplig. Använder du artificiell intelligens kan AI-förordningen komma att bli tillämplig från 2026. Det finns också särskilda krav på en hög nivå av informations- och cybersäkerhet enligt GDPR men också enligt den s.k. NIS-lagstiftningen (Network and Informationssystems). Därutöver kan din innovation komma att omfattas av konsumentlagstiftning.
Av särskilt intresse framöver är förslaget från EU-kommissionen till förordning om ett europeiskt hälsodataområde (EHDS), som lämnades 2022. Det innebär att hälsodata kommer att kunna vidareutnyttjas i större utsträckning för forskning och innovationer, under vissa givna förutsättningar och inom ramen för säkra behandlingsmiljöer. Förslaget väntas träda ikraft 2025 och kommer därefter att successivt börja tillämpas under loppet av flera år.
Härutöver finns föreskrifter och rekommendationer från olika myndigheter, till exempel Socialstyrelsen och Läkemedelsverket, som reglerar hälsodataområdet.
Det är också av vikt att ta reda på vilka standarder som kan användas för din innovation, till exempel ISO-standarder. Användning av standarder kan vara ett viktigt led i att skapa sig en önskvärd bevissituation.
