Dataskyddsförordningen

Dataskyddsförordningen (GDPR) gäller från och med 25 maj i år som lag i alla EU:s medlemsländer. För den enskilde är avsikten ökad personlig integritet och stärkta rättigheter. För dig - i din yrkesutövning och arbetsvardag - innebär GDPR att personuppgifter ska hanteras på rättslig grund och skyddas enligt gällande lagstiftning. Marie Sand, egenföretagare och ledamot i STHF:s styrelse, reder ut begrepp och förändringar. Marie deltog i Thusabs första och välbesökta kurs för egenföretagare om den nya dataskyddsförordningen.

JURIDIK ÄR LÄRAN OM RÄTTSREGLERNA, deras tolkning och tillämpning.
I Sverige har vi fyra nivåer i lagstiftningen. Grundlagarna reglerar vårt statsskick och är överordnade alla andra lagar. En grundlag kan ändras först efter att riksdagen fattat två likalydiga beslut med ett val emellan. Vanliga lagar stiftas av riksdagen, förordningar av regeringen och författningar av myndigheter.
Själva lagtexten är ett koncentrat av vad lagstiftaren vill med lagen. Förarbeten till lagen, till exempel propositioner, förtydligar bakgrunden till och vad syftet med lagen är. För den som till fullo vill tolka och förstå en lag räcker det inte med att läsa lagboken utan vederbörande måste sätta sig in i både förarbeten, rättspraxis och doktriner (vetenskapliga artiklar inom juridik).

Regelverk ska följas

Begreppet ansvar kommer från isländskans "svara emot". Att vara ansvarig innebär att vara skyldig att rätta sig efter de regler som gäller och att kunna utsättas för konsekvenser om regelverk inte följs. Den som bryter mot etiska regler kan fördömas, den som bryter mot juridiska regler kan dömas.
För offentlig hälso- och sjukvård samt tandvård har den politiska församling som driver verksamheten det yttersta ansvaret. Inom övriga verksamheter innehar vårdgivaren, den som bedriver verksamheten, det högsta ansvaret. Ny eller förändrad verksamhet ska anmälas till Vårdgivarregistret på Inspektionen för vård och omsorgs (IVO) webbsida (patientsäkerhetslagen, PSL, SFS 2010:659).

Fem nya lagar

Nästa ansvarsnivå är verksamhetschefen, som utses av vårdgivaren (tandvårdslagen, TVL, SFS 1985:125). I lagförarbeten kan läsas att det är verksamhetschefens ansvar att hälso- och sjukvårdens personal känner till författningarna som styr och att dessa efterlevs. Under det senaste dryga året har fem nya författningar/lagar trätt ikraft som även gäller tandvård:

  • HSLF-FS 2016:40 om journalföring och hantering av personuppgifter i hälso- och sjukvården,
  • HSLF-FS 2017:37 om hantering av läkemedel,
  • HSLF-FS 2017:40 om systematiskt patientsäkerhetsarbete,
  • HSLF-FS 2017:41 om anmälan av allvarlig vårdskada och
  • SFS 2017:378 om vårdgivarens utvidgade skyldighet att utreda klagomål.

HSLF står för Gemensamma författningssamlingen avseende hälso- och sjukvård, socialtjänst, läkemedel, folkhälsa m.m. Författningar som trädde ikraft före den 1 juli 2015 har kvar sina gamla prefix SOS- (Socialstyrelsen), LMV- (Läkemedelsverket) och TLV- (Tandvårds- och läkemedelsförmånsverket).

Ansvar som egenföretagare

Hälso- och sjukvårdspersonalen, slutligen, ska utföra sitt arbete enligt vetenskap och beprövad erfarenhet och bär själv ansvaret för hur han eller hon fullgör sina arbetsuppgifter (PSL). Som tandhygienist med egen verksamhet har de flesta ansvar på samtliga nivåer och vederbörande ska se till att de personuppgifter som hanteras har rättslig grund och skyddas enligt gällande lagstiftning. Patienters personuppgifter har redan ett mycket starkt skydd genom PSL, patientdatalagen (PDL, SFS 2008:355) och HSLF-FS 2016:40. GDPR, som den 25 maj ersätter personuppgiftslagen (PuL, SFS 1998:204), är subsidiär, vilket innebär att lagen inte ska tillämpas om det finns avvikande bestämmelser i en annan lag eller förordning.

Bidra till säker och god vård

Lagkrav är rättslig grund för hantering av personuppgifter i patientjournaler. Journalens syfte är i första hand att bidra till god och säker vård. I andra hand är den en informationskälla för patienter och andra. Journalen ska vara skriven på det svenska språket, endast i undantagsfall och efter myndighetsbeslut får den föras på norska eller danska. Texten ska vara så lätt som möjligt att förstå för patienten.
Enligt Socialstyrelsens beslut (Dnr. 44-9129/08) är 48 timmar den maximala tidsgränsen för när en uppgift ska vara införd i patientens journal. Genom sin signatur intygar behandlaren att innehållet är korrekt och signeringen ska ha skett inom 14 dagar. Om behandlaren råkat skriva i fel patients journal krävdes tidigare en ansökan till IVO om förstörande av journaluppgiften, men enligt ett principbeslut från november 2013 kan texten numera flyttas till rätt patient utan IVO:s godkännande. Journalen måste bevaras i minst tio år efter att den sista uppgiften fördes in. Ansökan om förstörande till IVO är det enda sättet att ta bort en journalanteckning innan bevarandetiden löpt ut.

Journalen ska endast innehålla de uppgifter som behövs för en god och säker vård. Obligatoriskt innehåll i journalen:

  • Namn (entydig identifikation), adress.
  • Bakgrunden till vården.
  • Ställd diagnos och anledning till betydande åtgärder, samman- fattningar av genomförd vård och andra vidtagna och planerade åtgärder.
  • Läkemedelsordinationer och orsak.
  • Information som lämnats till patienten.
  • Patients önskemål och om patienten har avvikande uppfattning.
  • Alla samtycken.

Uppgifter om hälsa räknas till känsliga personuppgifter och därför omgärdas sekretessen för patientjournaler av stränga regler. Endast anmälningsplikt enligt lag och förordning kan bryta sekretessen, t.ex. orosanmälan till Socialtjänsten vid misstanke om att ett barn far illa (socialtjänstlagen). Tystnadsplikten för hälso- och sjukvårdspersonal inom offentlig sektor regleras av sekretesslagen och för personal inom privat sektor av PSL.

"Den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården får inte obehörigen röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden." (PSL 6 kap. 12 §)
Efter en behovs- och riskanalys tilldelar vårdgivaren varje användare en individuell behörighet för åtkomst till patientuppgifter. Vårdgivaren ska även säkerställa att uppdragstagare eller andra som arbetar för eller har slutit avtal med vårdgivaren förbinder sig att skydda uppgifter om patienter mot obehörig åtkomst. Alla åtgärder i journalen ska vara spårbara genom loggar med identitet och tidpunkt. Hälso- och sjukvårdspersonalen bär själv ansvaret för att personliga lösenord och andra hjälpmedel för autentisering inte kan bli tillgängliga för andra och att datorer etc. inte lämnas obevakade.

"Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården."
(PDL 4 kap. 1 §)

Personuppgiftsansvarig är vårdgivaren, som ska säkerställa att uppgifter i patientjournalen förvaras på ett sådant sätt att de är läsbara fram till dess att de gallras. Datorer ska skyddas mot skada, störning och obehörig åtkomst. Personuppgifter som hanteras elektroniskt ska säkerhetskopieras och det ska finnas en rutin för återläsning. Säkerhetskopior ska förvaras på ett säkert sätt väl åtskilt från originaluppgifterna. För verksamheten ska finnas en informationssäkerhetspolicy med vårdgivarens övergripande mål för och inriktning på verksamhetens arbete med informationssäkerhet.

"Vårdgivaren ska vid utveckling, idrifttagande och ändring av informationssystem som används för behandling av personuppgifter säkerställa att personuppgifternas tillgänglighet, riktighet, konfidentialitet och spårbarhet inte riskeras." (HSLF-FS 2016:40 3 kap. 10 §)

Om vårdgivaren tillåter öppna nät (t.ex. internet, e-post eller sms) vid överföring av personuppgifter, ska dessa skyddas från obehörig åtkomst t.ex.
genom kryptering. Patienters elektroniska åtkomst till sina personuppgifter ska föregås av stark autentisering såsom Bank-ID eller att identiteten på annat sätt styrks på två olika sätt. Efter vårdgivarens behovs- och riskanalys får påminnelser och kallelser till vård och behandling undantas från kraven på identifikation för öppna nät om patienten samtyckt till detta och om inga detaljer avseende hälsotillstånd eller andra personliga förhållanden avslöjas i meddelandet.

Den personuppgiftsansvarige har ett omfattande informationsansvar gentemot den registrerade. Enligt PDL 8 kap. 6 § ska informationen innehålla upplysningar om:
1. vem som är personuppgiftsansvarig,
2. ändamålet med behandlingen,
3. vilka kategorier av uppgifter som behandlas,
4. den uppgiftsskyldighet som kan följa av lag eller förordning,
5. de sekretess- och säkerhetsbestäm- melser som gäller för uppgifterna och behandlingen,
6. rätten enligt 4 kap. 4 § att i vissa fall begära att uppgifter spärras,
7. rätten enligt 5 § att få information om den direktåtkomst och elektro- niska åtkomst som förekommit,
8. rätten att ta del av uppgifter enligt 26 § personuppgiftslagen (1998:204),
9. rätten till rättelse och underrättelse av tredje man enligt 28 § person-
uppgiftslagen,
10. rätten enligt 10 kap. 1 § till skade- stånd vid behandling av personuppgifter i strid med denna lag,
11. vad som gäller i fråga om sökbe- grepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling,
12. vad som gäller i fråga om bevarande och gallring, samt
13. huruvida personuppgiftsbehandlingen är frivillig eller inte. 

TEXT: MARIE SAND