Embed Size (px)
Citation preview
Dataskyddsförordningen, GDPR
Vad är dataskyddsförordningen?
Dataskyddsförordningen/GDPR, innehåller regler om hur man får behandla personuppgifter. GDPR syftar till att skydda människors integritet. Förordningen börjar gälla den 25 maj 2018 och ersätter då personuppgiftslagen (PuL).
Dataskyddsförordningen
Läkemedelslag
Patientdatalag
Brottsdatalag
SOSFS 2008:14
Avgränsningar till andra lagar.
PUL/Dataskyddsförordningen reglerar OM vi får samla in Personuppgifter, HUR vi får samla in dem och vad kriterierna för att göra detta isåfall är.
Offentlighet och sekretesslagen reglerar om en handling hos en myndighet omfattas av sekretess eller ej.
Patientdatalagen tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. Den anger laglig grund och även vilka uppgifter som måste dokumenteras/samlas in. Den definierar också information till patienter och bevarande.
Vilka lagar och regler styr
personuppgiftsbehandling i landstinget?
• Skiljelinje mellan hälso- och sjukvård och annan dokumentation
• Bara för att personuppgifterna hanteras i landstingets lokaler av hälso- och sjukvårdspersonal är inte patientdatalagen tillämplig
• Skillnad i vad vi får registrera och vad vi kan lämna ut.
PDL GDPR
Journalföring Forskning
Patientadministration
Personaldokumentation
Uppföljning av vården
Sociala medier
Kvalitets register Kommunala protokoll
Ta fram statistik Fakturering
När är Dataskyddsförordningen tillämplig?
• Det skall vara frågan om :
• Personuppgifter – Dvs. alla uppgifter som direkt eller indirekt kan knytas till en person i livet.
• Behandling - Allt man gör med personuppgifter. Exempel på behandling av personuppgifter är: insamling, registrering, lagring, bearbetning och spridning.
• Automatiserad behandling - Dataskyddsförordningen gäller för helt eller delvis automatiserad behandling av personuppgifter. Den gäller också för manuell behandling av personuppgifter om personuppgifterna ingår eller är avsedda att ingå i ett manuellt register som är sökbart enligt särskilda kriterier.
När är Dataskyddsförordningen inte tillämplig?
• Privat behandling
• Undantag för yttrandefriheten
• Undantag för journalistiska ändamål och konstnärligt eller litterärt skapande.
• Tillgången till allmänna handlingar – offentlighetsprincipen
• Avlidna
• OCH när annan lag är tillämplig..
Vad innebär personuppgiftsansvarig?
• Den som bestämmer ändamålen med och medlen för behandlingen av personuppgifter. (densamma i dataskyddsförordningen)
• Skyldigheten att föra register över behandlingar övergår från ombudet till personuppgiftsansvariga
- Nämnderna i Landstinget, ingen enskild person
- har ansvaret för att PuL/Dsf följs. (laglig grund)
- ska vidta lämpliga åtgärder för att skydda uppgifterna
- teckna PuB avtal om någon annan ska behandla uppgifterna
- säkerställa att vi har kontroll på behandlingarna (register)
- står ansvariga mot den enskilde och DI om vi inte följer lagstiftningen
Personuppgiftsbiträden (PuB)
• När någon annan behandlar uppgifter åt landstinget. Dvs. landstinget bestämmer fortfarande ändamålen och syftet med behandlingen men någon annan utför behandlingen (t.ex. lagring, support, samkörning)
• Detta skall skiljas från att faktiskt lämna ut uppgifterna till någon annan då de istället träder in i ett eget personuppgiftsansvar.
• Ett biträde kan inte heller vara en aktör som har ett eget personuppgiftsansvar för uppgifterna (ex. externa vårdgivare).
• Skyldighet att teckna personuppgiftsbiträdesavtal.
Förändringar i Dataskyddsförordningen
• Missbruksregeln försvinner (ostrukturerat material)
• Samtycken skall vara tydligare
• Den registrerades rättigheter
• Dataskyddsombudets roll
• Personuppgiftsincidenter
• Konsekvensbedömningar
• Privacy by default och by design
• Ansvarsskyldigheten
Vad är straffbart enligt Dataskyddsförordningen
Personuppgiftsbehandlingar - Integritetspyramiden
Säkerhet
Information
Personnummer
Känsliga uppgifter
Tillåten behandling
Grundläggande krav på behandlingen
• Bedöm och ta ställning till samtliga delar !!
• Dokumentera samtliga val.
• Laglighet, korrekthet och öppenhet
• Ändamålsbegränsning • Uppgiftsminimering
• Korrekthet• Lagringsminimering
• Integritet och konfidentialitet
• Ansvarsskyldighet
• Laglighet, korrekthet och öppenhet
• Ändamålsbegränsning • Uppgiftsminimering
• Korrekthet• Skyldighet att bevara
och arkivera• Integritet och
konfidentialitet• Ansvarsskyldighet
Grundläggande krav på behandlingen GDPR
Grundläggande krav på behandlingen PDL
Säkerhet
Information
Personnummer
Känsliga uppgifter
Tillåten behandling
Grundläggande krav på behandlingen
• Samtycke
• Avtal
• Rättslig förpliktelse
• Skydd för grundläggande intressen
• Uppgift av allmänt intresse och myndighetsutövning
• Efter en intresseavvägning
Samtycke krävs inte
- Journalföring
- Administration som rör patienter
- Dokumentation som följer av lag, förordning eller annan författning
- Systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten,
- Administration, planering, uppföljning, utvärdering och tillsyn av verksamheten
- Framställa statistik om hälso- och sjukvården
- Nationella och regionala kvalitetsregister får behandlas för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet.
Tillåten behandling GDPR
Tillåten behandling PDL
Säkerhet
Information
Personnummer
Känsliga uppgifter
Tillåten behandling
Grundläggande krav på behandlingen
Utgångspunkt: Det är förbjudet att behandla känsliga personuppgifter.
Undantag: tex. samtycke samt laglig grund.
Känsliga personuppgifter:
• ras eller etniskt ursprung
• politiska åsikter
• religiös eller filosofisk övertygelse
• medlemskap i en fackförening
• Hälsa och en persons sexualliv eller sexuella läggning
• genetiska uppgifter och biometriska uppgifter som entydigt identifierar en person.
- Generellt undantag för att registrerakänsliga personuppgifter om de är nödvändiga för ändamålen. Dock inte uppgifter om lagöverträdelser.
- Begränsning för sökbegrepp: (bokstäver, koder, siffror + sökmotor)
• hälsa – (sjukdom och hälsotillstånd samt i viss mån smittsamma sjukdomar)
• att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård.
Känsliga uppgifter
GDPR
Känsliga uppgifter
PDL
Säkerhet
Information
Personnummer
Känsliga uppgifter
Tillåten behandling
Grundläggande krav på behandlingen
Dataskyddsutredningen:
Bara om det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.
- Vi ska kunna visa varför detta är nödvändigt
- Patientjournal: Om uppgifterna finns tillgängliga, ska en patientjournal alltid innehålla uppgift om patientens identitet,
- Nationella/Regionala kvalitetsregister: En enskilds personnummer eller namn får behandlas endast om det inte är tillräckligt för ändamålet att använda kodade personuppgifter eller personuppgifter som endast indirekt kan hänföras till den enskilde.
Personnummer
GDPR
Personnummer
PDL
Säkerhet
Information
Personnummer
Känsliga uppgifter
Tillåten behandling
Grundläggande krav på behandlingen
Information
GDPR
Information
PDL
För personuppgiftsbehandlingar i Landstinget
skall vi informera om generellt:
Utöver detta gäller för Nationella eller
regionala kvalitetsregister även information
om, enligt opt out: • Rätten att när som helst få uppgifter om
sig själv utplånade ur registret,
• I vilken utsträckning personuppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal,
• Vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till.
Om det inte är möjligt att lämna informationen
innan personuppgiftsbehandlingen påbörjas,
ska den lämnas så snart som möjligt därefter
När personuppgifter
samlas in från den registrerade (art.
13)
När personuppgifter samlas in från annan (art. 14)
Personuppgiftsansvarig
Ja Ja
Dataskyddsombud Ja Ja
Ändamål Ja Ja
Rättslig grund Ja Ja
Kategorier av personuppgifter
Nej Ja
Intresse vid intresseavvägning
Ja Ja
Mottagare av uppgifter
Ja Ja
Överföring av uppgifter till tredje land
Ja Ja
Lagringstid Ja Ja
De registrerades rättigheter
Ja Ja
Rätten att dra tillbaka ett samtycke
Ja Ja
Rätten att lämna klagomål till DPA
Ja Ja
Uppgiftsskyldighet enligt avtal eller lag
Ja Nej
Automatiserat beslutsfattande
Ja Ja
Källa varifrån uppgifterna har hämtats
Nej Ja
Säkerhetsåtgärder Nej Nej
Behandling för annat ändamål
Ja Ja
Säkerhet
Information
Personnummer
Känsliga uppgifter
Tillåten behandling
Grundläggande krav på behandlingen
Säkerställa en lämplig säkerhetsnivå i förhållande till risken. (Riskbedömning)
Med hänsyn till : senaste utvecklingen, genomförandekostnad, behandlingens art, omfattning, sammanhang och ändamål samt riskerna av fysiska personers rättigheter och friheter.
- Organisatoriska åtgärder
- Tekniska åtgärder (psedonymisering, kryptering, återställa tillgänglighet vid incident, regelbundet testa åtgärderna)
Särskild hänsyn: oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst.
- Utöver bestämmelserna om säkerhet i GDPR även
- Behörighetstilldelning
- Tvåstegs autensieringsmekanismer
- Direktåtkomst, inre sekretess
- Spärrfunktioner
- Dokumentera beslut om att ta i drift informationssystem
- Krav på kravställning av informationssystem
- CE-märkning
- Mm.
Säkerhet
GDPR
Säkerhet
PDL
Säkerhet
Information
Personnummer
Känsliga uppgifter
Tillåten behandling
Grundläggande krav på behandlingen
Förteckningsskyldigheten
• Samtliga personuppgiftsbehandlingar i VLL skall rapporteras till personuppgiftsombudet. För det syftet finns Registerforteckningenligt 39.doc
• Skyldighet enligt lag att föra förteckning -sanktionsavgifter
• För att kunna rikta rekommendationer, riktlinjer, utbildningsinsatsereller snabbt agera på lagförändringar måste det vara möjligt att nå kontaktpersoner från en strategisk nivå i landstinget.
Utlämnande av handlingar
Offentlighet och sekretesslag
- Menprövning OSL (men för patient/anhörig, personal, upphandling mm samt
strider mot PUL/GDPR)
- Etikprövning enbart en prövning mot PUL.
- Finns uppgifterna? (potentiella handlingar 4-6 h)
- Vem prövar ? Inget formellt i TF, möjligen i rutiner
- Avslag ? Jurist skriver beslut
- Hur ska det lämnas ut? Direktåtkomst ej godtagbart
- Ansökan om datauttag av patientdata från patientdatasystem
Sammanfattning
Laglighet i behandlingar
- Analysera och ta ställning till alla delar i behandlingen
- Registerförteckna alla behandlingar
- Dokumentera beslut som tas (utifrån pyramiden) vid införandet av en personuppgiftsbehandling
- - Handlingsplan finns men varje enhet måste själva fundera över vilka åtgärder som måste vidtas och vilket stöd som behövs.
Rådfråga personuppgiftsombud vid knepiga situationer
Säkerhet
Information
Personnummer
Känsliga uppgifter
Tillåten behandling
Grundläggande krav på behandlingen
