Vårdgivare personuppgiftsansvarig
Genom att göra inställningar i din webbläsare kan du välja att blockera kakor.
Vårdgivarens ansvar för personuppgiftsbehandling och journalföring. För hälso- och sjukvården.
Detta är normalt aktiverat som förval. Du som vårdgivare är personuppgiftsansvarig när du behandlar personuppgifter i hälso- och sjukvården, till exempel i samband med journalhantering eller i kommunikation med patienter. Som personuppgiftsansvarig behöver du bland annat ha koll på i vilka sammanhang personuppgifter kan anges och hur de ska skyddas, vad personuppgifter får användas till samt var och i vilka register det finns personuppgifter.
Du behöver också ha personuppgiftsbiträdesavtal, så kallat PUB-avtal, med de leverantörer av it-system och -tjänster som du eventuellt anlitar. Detta är reglerat i bland annat patientdatalagen, dataskyddsförordningen och i sekretesslagstiftningen. Dataskyddsförordningen, GDPR, är en rättighetslagstiftning som syftar till att säkerställa skyddet av den personliga integriteten genom att reglera hur personuppgifter ska behandlas.
Personuppgifter inom hälso- och sjukvård
En viktig princip är att all personuppgiftsbehandling måste ha ett definierat ändamål samt ha stöd i någon av de rättsliga grunderna i GDPR:s artikel 6 och, vid behandling av känsliga personuppgifter, artikel 9. GDPR kompletteras av svensk lagstiftning, till exempel lagen med kompletterande bestämmelser till EU:s dataskyddsförordning. Vid journalföring och annan behandling av personuppgifter inom hälso- och sjukvården måste även patientdatalagen och sekretesslagar följas.
Det är du som vårdgivare som ansvarar för att lagstöd finns för behandling av personuppgifter och att denna behandling sker i enlighet med gällande lagstiftning. Enligt patientdatalagen är det du som vårdgivare som är personuppgiftsansvarig för den behandling du gör av personuppgifter i hälso- och sjukvården, till exempel i samband med journalhantering eller kommunikation med patienter.
Integritetsskyddslagstiftningen ställer höga krav på hanteringen av personuppgifter; i vilka sammanhang personuppgifter kan anges, hur de ska skyddas och till vad personuppgifter får användas. GDPR ställer också krav på att vårdgivare har överblick över hur och var personuppgifter behandlas. Vidare ska ett så kallat registerutdrag kunna lämnas ut till patient vid förfrågan.
Vårdgivare Skåne
I vårdavtalet regleras de krav som hälso- och sjukvårdsförvaltningen har på dig som vårdgivare kring utlämnande av personuppgifter, exempelvis för utbetalning av ersättning och uppföljning av utförd vård, se vidare; informationshanteringsbilagan. I grunden är du som vårdgivare alltid ansvarig för de personuppgifter som du behandlar i samband med vårdgivaruppdraget. Beroende på personuppgifternas art, omfattning, sammanhang och ändamål samt vilka risker och konsekvenser insamlingen innebär, ska den personuppgiftsansvarige och eventuella personuppgiftsbiträden se nedan vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder.
Dessa anges i regionens riktlinje för informationssäkerhet. Om du som vårdgivare använder de e-tjänster som hälso- och sjukvårdsförvaltningen erbjuder, eller ställer krav på, så regleras personuppgiftsbehandlingen via det personuppgiftsbiträdesavtal som ingår i vårdavtalet. När du hanterar och behandlar personuppgifter i ett it-system eller en it-tjänst som Hälso- och sjukvårdsnämnden tillhandahåller, är alltså Hälso- och sjukvårdsnämnden ditt personuppgiftsbiträde.
Nämnden kan låta en leverantör, till exempel av it-drift, utföra hela eller delar av behandlingen.
Personuppgiftshantering
Även leverantören är då ditt personuppgiftsbiträde så kallat underbiträde. Det finns dock ett antal situationer, när det gäller vissa behandlingar i olika system, som gör att det kan innebära ett gemensamt personuppgiftsansvar eller till och med att ansvaret går över från vårdgivare till Hälso- och sjukvårdsnämnden. När ett personuppgiftsbiträde behandlar personuppgifter åt den personuppgiftsansvariga, ska behandlingen regleras genom ett personuppgiftsbiträdesavtal.
Avtalet ska vara skriftligt och bindande för den personuppgiftsansvariga och personuppgiftsbiträdet.
En central bestämmelse i personuppgiftsbiträdesavtalet är att personuppgiftsbiträdet bara får behandla personuppgifter i enlighet med dokumenterade instruktioner som är utfärdade eller godkända av den personuppgiftsansvariga. Ett personuppgiftsbiträde som anlitar ett underbiträde måste teckna motsvarande avtal med underbiträdet. Biträdesavtal som tecknas med underbiträden ska ha minst motsvarande krav som i biträdesavtalet mellan personuppgiftsansvarig och personuppgiftsbiträdet.
Ett personuppgiftsbiträdesavtal mellan dig som personuppgiftsansvarig vårdgivare och Hälso- och sjukvårdsnämnden ingår i vårdavtalet avseende vissa av de tjänster och system som Hälso- och sjukvårdsnämnden tillhandahåller. Vilka it-system och -tjänster som omfattas och vilka instruktioner som gäller för personuppgiftsbehandlingen i respektive system eller tjänst, framgår av vårdavtalet och respektive system eller tjänst på sidan E-tjänster och system A—Ö.
Lista med Region Stockholms inklusive Norrtälje e-tjänster och system för vården. De ord som anges nedan är exempel på vad som kan vara en personuppgift respektive känslig personuppgift. Personuppgiftsbegreppet är väldigt vitt och kan innefatta all information som direkt eller indirekt kan identifiera en person. All information som unikt kan identifiera en fysisk person räknas som personuppgift, exempelvis:.