Behandling av personuppgifter inom hälso- och sjukvården

Det övergripande ändamålet med hälso- och sjukvårdens behandling av personuppgifter är att bedriva en god och patientsäker vård. För att kunna säkerställa det allmänna intresset att bedriva god vård behöver vi behandla dina personuppgifter.

Vi behöver behandla personuppgifter i samband med ditt besök i vården, exempelvis när du listar dig på eller bokar tid på en viss vårdmottagning. Personuppgifter behöver också hanteras bland annat för att:

  • identifiera patienten
  • beskriva sjukdomshistorik, diagnoser, allergier, blodgrupp och liknande
  • beskriva vidtagna och planerade åtgärder med vården
  • dokumentera uppgifter om den information som lämnats till patienten.

Vad säger GDPR?

Uppgifter om hälsa utgör känsliga personuppgifter. Känsliga personuppgifter får dock hanteras när allmänintresset motiverar detta. Detta gäller för hälsoändamål. I detta ingår folkhälsa och förvaltning av hälso- och sjukvårdstjänster.

Exempel på när känsliga personuppgifter om hälsa får behandlas är om behandlingen är nödvändig för:

  • förebyggande hälso- och sjukvård och yrkesmedicin
  • medicinska diagnoser
  • tillhandahållande av hälso- och sjukvård eller behandling
  • förvaltning av hälso- och sjukvårdstjänster, social omsorg samt deras system.

Vad säger patientdatalagen?

Inom hälso- och sjukvården finns särskild svensk lagstiftning som reglerar hur personuppgifter får behandlas. Det finns också särskilda regler om hur journaler och behandling av personuppgifter får ske.

Personuppgifterna ska hanteras så att de underlättar vården av patienten samtidigt som uppgifterna ska skyddas mot obehörig insyn. Patientdatalagen syftar till att stärka patientens integritet, säkerhet och trygghet.

Patientdatalagen bygger på bland annat följande principer

  • Personuppgifter ska utformas och behandlas så att patienters och övriga registrerades integritet respekteras.
  • Dokumenterade personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem.
  • Inom en vårdgivares verksamhet är det personal som deltar i vården av patienten, eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården, som är behörig att ta del av uppgifter om en patient.

Vilka personuppgifter får behandlas enligt patiendatalagen?

Personuppgifter får behandlas inom hälso- och sjukvården om det behövs för:

  • att föra journal och upprätta annan dokumentation vid vård av patienter
  • administration som rör patienter
  • utveckla och säkra kvalitén i verksamheten
  • administration som rör verksamheten
  • att framställa statistik om hälso- och sjukvården
  • att lämna uppgifter till andra myndigheter när detta krävs enligt lag.

Vilka är mina rättigheter enligt patiendatalagen?

Rätt till insyn

Du har som patient som utgångspunkt rätt att så snart som möjligt få del av din journalhandling och andra uppgifter inom hälso- och sjukvården som rör dig då du begär det.

Detta gäller så länge ingen lag ställer specifika krav. Exempelvis kan det finnas regler om sekretess och tystnadsplikt före vår skyldighet att lämna ut handlingen.

Rätt till rättelse

Du som är registrerad har rätt att under vissa förutsättningar begära att felaktiga personuppgifter rättas och kompletteras. Personuppgifter som behandlas i enlighet med patientdatalagen får till exempel endast ändras eller raderas endast under vissa förutsättningar.

Radering av patientjournal

Vi är som vårdgivare skyldiga enligt lag att föra patientjournal. Journalhandlingar ska sparas i minst tio år. Endast i vissa undantagsfall får uppgifter i en journalhandling raderas eller göras oläsliga. Ansökan om att förstöra journalen görs till Inspektionen för vård och omsorg. Förutsättningar för att förstöra en journal är att

  • godtagbara skäl anförs i ansökan
  • patientjournalen uppenbarligen inte behövs för patientens vård
  • det från allmän synpunkt uppenbarligen inte finns skäl att bevara journalen.

Information

Den som är personuppgiftsansvarig enligt PDL ska se till att du som registrerad får information om personuppgiftsbehandlingen. Du har exempelvis rätt att få information om

  • vem som är personuppgiftsansvarig
  • ändamålet med behandlingen
  • vilka kategorier av uppgifter som behandlas
  • rätten att i vissa fall begära att uppgifter spärras
  • rätten att få information om den direktåtkomst eller elektroniska åtkomst som förekommit.

Behandling av personuppgifter i e-post

Region Västerbotten hanterar dagligen en stor mängd e-postmeddelanden. När du skickar eller tar emot e-post från oss innebär detta att vi hanterar dina personuppgifter. Hanteringen sker till exempel för att kunna svara på frågor, kommunicera med berörda i samband med hantering av ärenden eller för att kontakta intressenter. Hantering av personuppgifter i e-post lyder under samma dataskyddslagstiftning som övrig behandling av personuppgifter.

Får någon annan tillgång till mina personuppgifter?

Genom att du är i kontakt med Region Västerbotten, så tar vi del av vissa personuppgifter om dig. Vi använder personuppgifterna medan vi hanterar ditt ärende och sedan måste vi bevara dem för att vårt arbete ska kunna följas upp och kvalitetssäkras. I många fall behandlar vi också personuppgifter med stöd av andra rättsliga grunder, som lagar och förordningar, myndighetsutövning, eller avtal. De personuppgifter som vi behandlar är främst de du själv delar med dig av i kontakten med oss.

Dina personuppgifter kan komma att lämnas ut till andra myndigheter, företag eller enskilda om vi har en laglig skyldighet att lämna ut dom. De kan också lämnas till personuppgiftsbiträden som hanterar information för vår räkning. Vi har personuppgiftsbiträden som bl.a. hjälper oss med:

  • Betalningar (t.ex. fakturahantering).
  • Marknadsföring och information (t.ex. sociala medier).
  • IT-tjänster (tillhandahålla verksamhetsstöd, hantera drift, support och underhåll av våra IT-lösningar).
  • Personal (t.ex. ledar- och medarbetarundersökningar)

Vart vänder jag mig med frågor om personuppgiftsbehandling?

Om du har frågor om vår personuppgiftshantering är du välkommen att kontakta oss på:

Dataskyddsombud@regionvasterbotten.se

Tillsynsmyndighet

Integritetsskyddsmyndigheten, före detta Datainspektionen, är ansvarig för att övervaka tillämpningen av lagstiftningen. Den som anser att ett företag hanterar personuppgifter på ett felaktigt sätt kan lämna in ett klagomål till Integritetsskyddsmyndigheten.