Personuppgifter i hälso- och sjukvården

I VGR är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Vi ska bedriva god och patientsäker vård

Det övergripande ändamålet med hälso- och sjukvårdens behandling av personuppgifter är att bedriva en god och patientsäker vård. För att kunna säkerställa det allmänna intresset att bedriva god vård behöver vi behandla dina personuppgifter.

Vi behöver behandla personuppgifter i samband med ditt besök i vården, exempelvis när du listar dig på eller bokar tid på en viss vårdmottagning. Personuppgifter behöver också hanteras bland annat för att:

  • identifiera patienten
  • beskriva sjukdomshistorik, diagnoser, allergier, blodgrupp och liknande
  • beskriva vidtagna och planerade åtgärder med vården
  • dokumentera uppgifter om den information som lämnats till patienten:

Vad säger GDPR?

Uppgifter om hälsa utgör känsliga personuppgifter. Känsliga personuppgifter får dock hanteras när allmänintresset motiverar detta. Detta gäller för hälsoändamål. I detta ingår folkhälsa och förvaltning av hälso- och sjukvårdstjänster.

Exempel på när känsliga personuppgifter om hälsa får behandlas är om behandlingen är nödvändig för

  • förebyggande hälso- och sjukvård och yrkesmedicin
  • medicinska diagnoser
  • tillhandahållande av hälso- och sjukvård eller behandling
  • förvaltning av hälso- och sjukvårdstjänster, social omsorg samt deras system.

Vad säger patientdatalagen?

Inom hälso- och sjukvården finns särskild svensk lagstiftning som reglerar hur personuppgifter får behandlas. Det finns också särskilda regler om hur journaler och behandling av personuppgifter får ske.

Personuppgifterna ska hanteras så att de underlättar vården av patienten samtidigt som uppgifterna ska skyddas mot obehörig insyn. Patientdatalagen syftar till att stärka patientens integritet, säkerhet och trygghet.

Patientdatalagen bygger på bland annat följande principer:

  • Personuppgifter ska utformas och behandlas så att patienters och övriga registrerades integritet respekteras.
  • Dokumenterade personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem.
  • Inom en vårdgivares verksamhet är det personal som deltar i vården av patienten, eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården, som är behörig att ta del av uppgifter om en patient.

Vilka personuppgifter får behandlas enligt patientdatalagen?

Personuppgifter får behandlas inom hälso- och sjukvården om det behövs för

  • att föra journal och upprätta annan dokumentation vid vård av patienter
  • administration som rör patienter
  • utveckla och säkra kvalitén i verksamheten
  • administration som rör verksamheten
  • att framställa statistik om hälso- och sjukvården
  • att lämna uppgifter till andra myndigheter när detta krävs enligt lag.

Vilka är mina rättigheter enligt patientdatalagen?

Rätt till insyn

Du har som patient som utgångspunkt rätt att så snart som möjligt få del av journalhandling och andra uppgifter inom hälso- och sjukvården som rör dig.

Detta gäller så länge ingen lag ställer specifika krav. Exempelvis kan det finnas regler om sekretess och tystnadsplikt före vår skyldighet att lämna ut handlingen.

Rätt till rättelse

Du som är registrerad har rätt att under vissa förutsättningar begära att felaktiga personuppgifter rättas och kompletteras. Personuppgifter som behandlas i enlighet med patientdatalagen får till exempel endast ändras eller raderas endast under vissa förutsättningar.

Förstörande av patientjournal

Vi är som vårdgivare skyldiga enligt lag att föra patientjournal. Journalhandlingar ska sparas i minst tio år. Endast i vissa undantagsfall får uppgifter i en journalhandling raderas eller göras oläsliga. Ansökan om att förstöra journalen görs till Inspektionen för vård och omsorg. Förutsättningar för att förstöra en journal är att

  • godtagbara skäl anförs i ansökan
  • patientjournalen uppenbarligen inte behövs för patientens vård
  • det från allmän synpunkt uppenbarligen inte finns skäl att bevara journalen.

Information

Den som är personuppgiftsansvarig enligt PDL ska se till att du som registrerad får information om personuppgiftsbehandlingen. Du har exempelvis rätt att få information om

  • vem som är personuppgiftsansvarig
  • ändamålet med behandlingen
  • vilka kategorier av uppgifter som behandlas
  • rätten att i vissa fall begära att uppgifter spärras
  • rätten att få information om den direktåtkomst eller elektroniska åtkomst som förekommit.