Hoppa till innehåll på sidan

Personuppgifter inom hälso- och sjukvård

Patientdatalagen kompletterar dataskyddsförordningen och innehåller regler för behandling av personuppgifter inom hälso- och sjukvården. Patientdatalagen ska tillämpas av alla vårdgivare, både i offentlig och privat regi.

Dataskyddsförordningen är direkt tillämplig som svensk lag. Ni som vårdgivare måste alltså tillämpa dataskyddsförordningen och kan endast tillämpa den kompletterande dataskyddslagen och patientdatalagen om de är förenliga med dataskyddsförordningen.

Patientdatalagen

Patientdatalagen reglerar bland annat:

  • Vårdgivare har möjlighet att ge patienten direktåtkomst, exempelvis via internet, till patientens vårddokumentation och loggar (det vill säga åtkomsthistoriken för personuppgiftsbehandlingen).
  • Inre sekretess – en reglering som innebär att bara den som behöver uppgifterna i sitt arbete inom hälso- och sjukvården får ta del av patientuppgifter. Detta förtydligas genom att det i lagen ställs krav på behörighetstilldelning och åtkomstkontroll.
  • Patienten har rätt att spärra uppgifter i vissa fall.

Patientdatalagen kompletteras med patientdataförordningen (2008:360) och Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40).

Patientdatalagens förhållande till brottsdatalagen

Dataskyddsförordningen är inte tillämplig på behandling av personuppgifter som utförs i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Vid hälso- och sjukvårdens behandling av personuppgifter för ett sådant syfte är det inte patientdatalagen utan brottsdatalagen som ska tillämpas. Det innebär att i verksamheter som bedriver hälso- och sjukvård och behandlar personuppgifter för verkställighet av påföljder kan olika regelverk bli tillämpliga beroende på syftet med personuppgiftsbehandlingen. Inom rättspsykiatrisk vård kan till exempel både patientdatalagen och brottsdatalagen bli tillämpliga vid beslut avseende både den rättspsykiatriska vården och tvångsåtgärder.

Patienten har rätt att få tillgång till sina uppgifter

Ni som vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som ni utför. Ni är skyldiga att föra patientjournal för varje patient och behandling av personuppgifter får göras även om patienten motsätter sig det. Patienten har emellertid rätt att ta del av uppgifter i patientjournalen.

Patientens möjlighet till tillgång genom direktåtkomst

En vårdgivare har möjlighet, men ingen skyldighet, att genom direktåtkomst låta patienten få tillgång till uppgifter om den enskilde själv som får lämnas ut till honom eller henne och som behandlas för ändamålet vårddokumentation. För att en patient ska kunna få direktåtkomst till sina patientuppgifter krävs att det finns säkerhetsåtgärder i form av tekniska lösningar för att kunna säkerställa identifieringen av den som efterfrågar uppgifter.

Vårdgivaren ska på begäran från patienten informera om den åtkomst till patientens uppgifter som förekommit. Patienten har dock bara rätt att på detta sätt få reda på vilken vårdenhet som haft åtkomst till uppgifterna och vid vilken tid, och informationen ska vara utformad så att patienten kan bedöma om åtkomsten var befogad eller inte. Vårdgivaren är skyldig att lämna ut informationen på papper och får ge patienten direktåtkomst till informationen om säkerhetskraven är uppfyllda på samma sätt som vid patientens direktåtkomst till egna journaluppgifter.

Bara behörig personal får ta del av patientuppgifter

Inre sekretess innebär att det endast är personal som är inblandad i vården och behandlingen av patienten, eller av annat skäl behöver uppgifterna för att fullgöra sitt arbete inom hälso- och sjukvården, som får ta del av uppgifter om patienten. Ni som vårdgivare ansvarar för att behörigheten för åtkomst till patientuppgifter begränsas till vad som behövs för att vårdpersonalen ska kunna utföra sina arbetsuppgifter inom hälso- och sjukvården. Den inre sekretessen ska upprätthållas genom tekniska lösningar för behörighetstilldelning och åtkomstkontroll.

Vägledning: Behovs- och riskanalys inom hälso- och sjukvården

1 december 2020

Pdf, 487 kB

Läs dokumentet (pdf, 487 kB)

Vägledning: Behovs- och riskanalys inom hälso- och sjukvården

1 december 2020

Pdf, 487 kB

Läs dokumentet (pdf, 487 kB)

Sammanhållen vård- och omsorgsdokumentation

Sammanhållen vård- och omsorgsdokumentation är ett elektroniskt system som gör det möjligt för en vård- eller omsorgsgivare att ge eller få tillgång till personuppgifter hos andra vård- eller omsorgsgivare.

Innan uppgifter om en patient eller en omsorgsmottagare görs tillgängliga ska patienten eller omsorgsmottagaren av vård- eller omsorgsgivaren få information om bland annat möjligheten att motsätta sig att uppgifter görs tillgängliga för andra vård- eller omsorgsgivare. I lagen finns också regler för vad som krävs för att en vård- eller omsorgsgivare ska få tillgång till personuppgifter som registrerats av andra vård- eller omsorgsgivare. Samtycke från patienten eller omsorgsmottagaren är ett av kraven. Lagen innehåller också regler för vad som gäller om en patient eller omsorgsmottagare inte kan ta ställning.

Bestämmelserna finns i lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation som gäller från den 1 januari 2023. Samtidigt upphävs bestämmelserna i 6 kap. patientdatalagen om sammanhållen journalföring.

Lag (2022:913) om sammanhållen vård- och omsorgsdokumentation

Nationella och regionala kvalitetsregister

Inom hälso- och sjukvårdens finns kvalitetsregister som används för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Patientdatalagen innehåller regler om att patienten har rätt att få information om registreringen, rätt att slippa bli registrerad i ett kvalitetsregister och rätt att i efterhand stryka sig från registret.

Behandling av genetiska uppgifter i nationella kvalitetsregister

Information till myndigheter som är personuppgiftsansvariga - och deras anställda - för central behandling av personuppgifter i nationella och regionala kvalitetsregister enligt 7 kap. patientdatalagen (2008:355).

IMY redogör här för sin bedömning i vilka fall det behövs medgivande från oss för genetiska uppgifter i kvalitetsregister.

Genetiska uppgifter har i och med dataskyddsförordningen tillkommit till kategorin känsliga personuppgifter och de beskrivs som uppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga (artikel 4.13 dataskyddsförordningen).

Personuppgifter om hälsa innefattar alla de uppgifter som hänför sig till en registrerad persons hälsotillstånd som ger information om den registrerades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd och detta inbegriper bland annat uppgifter som härrör från tester eller undersökning av en kroppsdel eller kroppssubstans, däribland genetiska uppgifter och biologiska prov, och andra uppgifter om exempelvis sjukdom, funktionshinder, sjukdomsrisk, sjukdomshistoria, klinisk behandling eller den registrerades fysiologiska eller biomedicinska tillstånd, oberoende av källan, exempelvis från en läkare eller från annan sjukvårdspersonal, ett sjukhus, en medicinteknisk produkt eller ett diagnostiskt in vitro-test (skäl 35 dataskyddsförordningen).

Uppgifter om hälsa får behandlas i nationella och regionala kvalitetsregister, andra känsliga personuppgifter får behandlas i kvalitetsregister efter medgivande från IMY, enligt 7 kap. 8 § tredje stycket patientdatalagen.

För att få behandla genetiska uppgifter i ett kvalitetsregister behövs därför som huvudregel ett medgivande från IMY. När genetiska uppgifter innefattas i uppgifter om en persons hälsotillstånd, är det IMY:s bedömning, att det inte krävs ett särskilt medgivande för att få behandla dessa uppgifter. Det innebär att den som är personuppgiftsansvarig för ett kvalitetsregister inte behöver ansöka om ett medgivande hos IMY för att få behandla genetiska uppgifter, om dessa uppgifter också är uppgifter om hälsa.

Dataskyddsförordningen är ett EU-gemensamt regelverk som tillämpas och tolkas enhetligt inom EU. IMY:s tolkning kan därför komma att omprövas.

 

Tillsyn

IMY har tillsyn över hur vårdgivarna tillämpar dataskyddsbestämmelser, vilket innebär att vi till exempel kan kontrollera att vårdgivare vidtar säkerhetsåtgärder för att skydda patientuppgifterna. Inspektionen för vård och omsorg (IVO) är tillsynsmyndighet för hälso- och sjukvården.

Senast uppdaterad: 30 juli 2024