Enskilda personer får genom dataskyddsförordningen större inflytande över behandlingen av personuppgifterna. Bland nyheterna kan nämnas rätten att få bli raderad, att få erhålla utdrag, att få komplettera ofullständiga personuppgifter och att få göra invändningar mot personuppgiftsbehandling. Rätten att bli raderad handlar om att privatpersoner kan kräva att raderas fullständigt från ett bolags databas om det inte föreligger särskilda bestämmelser som hindrar detta. Undantagen gäller till exempel brottsregister och patientjournaler. Patientdatalagen (PDL) kräver ju att vårdgivare för journal. Vidare får enskilda personer ökade möjligheter att invända mot en personuppgiftsbehandling och en rätt att begära att den som behandlar personuppgifter för över dem till andra tjänster eller personuppgiftsansvariga.
I vilken utsträckning påverkar dessa rättigheter en vårdgivares personuppgiftsbehandling?
Många av dessa rättigheter har också undantag och får inskränkas i nationell lagstiftning. Bara ett fåtal av dessa rättigheter kommer att kunna åberopas mot en vårdgivare. Det beror bl.a. på att en vårdgivare har en rättslig skyldighet att bedriva en god och säker vård samt upprätta och bevara en patientjournal. Denna skyldighet finns i patientdatalagen.
Patienters rättigheter enligt dataskyddsförordningen får sammanfattningsvis anses väl tillvaratagna i patientdatalagen redan idag, och några ändringar i lagen i skärpande riktning förväntas inte. Rättigheterna i dataskyddsförordningen för enskilda borde därmed inte innebära några förändringar i en vårdgivares hälso- och sjukvårdsverksamhet, inklusive bestämmelserna om sammanhållen journalföring. Inte heller förväntas nuvarande sekretess- och tystnadspliktsbestämmelser påverkas inom hälso- och sjukvården. Dock ska en vårdgivare iaktta andra nya krav, t.ex. ha rutiner på plats för att rapportera personuppgiftsincidenter (data breach på engelska) till Datainspektionen och ha en förteckning över kategorier av personuppgiftsbehandlingar.
Vad behöver ni som vårdgivare/företag/organisation göra?
- Läsa på om GDPR, börja på Datainspektionens hemsida med länkarna nedan.
- Identifiera var personuppgifter finns (manuell kartläggning) och dokumentera detta.
- Motivera den lagliga grunden för de personregister ni har eller den information ni sparar/skriver ut/förvarar utöver journalföringen.
- Se till att alla anställda vet vad som gäller i er verksamhet.
- Hur hanteras information i er verksamhet? Det finns flera generella utmaningar om hur information som innehåller personuppgifter ska hanteras. Utöver journalsystem kan det i verksamheten finnas behov av översyn av ex. arkivering, backuper som inte styrs av en IT-funktion.
- Hur hanterar ni personuppgifter i ostrukturerad form?
- Intrång i personuppgiftsregister ska rapporteras inom 72 timmar till berörda och till datainspektionen. Detta kallas incidentrapportering. (Data breach report på engelska.)
Som programleverantör ansvarar vi för att ha ett strukturerat säkerhetsarbete exempelvis genom att utföra riskanalyser avseende programmet och dess funktioner.
Läs mer om GDPR på Datainspektionens hemsida: http://www.datainspektionen.se/dataskyd ... ordningen/
De har även en bra lista med frågor och svar: http://www.datainspektionen.se/fragor-o ... ddsreform/