Dataskyddsförordningen, GDPR

Transkript

1 Dataskyddsförordningen, GDPR

2 Vad är dataskyddsförordningen? Dataskyddsförordningen/GDPR, innehåller regler om hur man får behandla personuppgifter. GDPR syftar till att skydda människors integritet. Förordningen börjar gälla den 25 maj 2018 och ersätter då personuppgiftslagen (PuL). Läkemedelslag Dataskyddsförordningen Patientdatalag Brottsdatalag SOSFS 2008:14

3 Avgränsningar till andra lagar. PUL/Dataskyddsförordningen reglerar OM vi får samla in Personuppgifter, HUR vi får samla in dem och vad kriterierna för att göra detta isåfall är. Offentlighet och sekretesslagen reglerar om en handling hos en myndighet omfattas av sekretess eller ej. Patientdatalagen tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. Den anger laglig grund och även vilka uppgifter som måste dokumenteras/samlas in. Den definierar också information till patienter och bevarande.

4 Vilka lagar och regler styr personuppgiftsbehandling i landstinget? Skiljelinje mellan hälso- och sjukvård och annan dokumentation PDL Journalföring GDPR Forskning Bara för att personuppgifterna hanteras i landstingets lokaler av hälso- och sjukvårdspersonal är inte patientdatalagen tillämplig Skillnad i vad vi får registrera och vad vi kan lämna ut. Patientadministra tion Uppföljning av vården Kvalitets register Ta fram statistik Personaldokumen tation Sociala medier Kommunala protokoll Fakturering

5 När är Dataskyddsförordningen Det skall vara frågan om : tillämplig? Personuppgifter Dvs. alla uppgifter som direkt eller indirekt kan knytas till en person i livet. Behandling - Allt man gör med personuppgifter. Exempel på behandling av personuppgifter är: insamling, registrering, lagring, bearbetning och spridning. Automatiserad behandling - Dataskyddsförordningen gäller för helt eller delvis automatiserad behandling av personuppgifter. Den gäller också för manuell behandling av personuppgifter om personuppgifterna ingår eller är avsedda att ingå i ett manuellt register som är sökbart enligt särskilda kriterier.

6 När är Dataskyddsförordningen Privat behandling inte tillämplig? Undantag för yttrandefriheten Undantag för journalistiska ändamål och konstnärligt eller litterärt skapande. Tillgången till allmänna handlingar offentlighetsprincipen Avlidna OCH när annan lag är tillämplig..

7 Vad innebär personuppgiftsansvarig? Den som bestämmer ändamålen med och medlen för behandlingen av personuppgifter. (densamma i dataskyddsförordningen) Skyldigheten att föra register över behandlingar övergår från ombudet till personuppgiftsansvariga - Nämnderna i Landstinget, ingen enskild person - har ansvaret för att PuL/Dsf följs. (laglig grund) - ska vidta lämpliga åtgärder för att skydda uppgifterna - teckna PuB avtal om någon annan ska behandla uppgifterna - säkerställa att vi har kontroll på behandlingarna (register) - står ansvariga mot den enskilde och DI om vi inte följer lagstiftningen

8 Personuppgiftsbiträden (PuB) När någon annan behandlar uppgifter åt landstinget. Dvs. landstinget bestämmer fortfarande ändamålen och syftet med behandlingen men någon annan utför behandlingen (t.ex. lagring, support, samkörning) Detta skall skiljas från att faktiskt lämna ut uppgifterna till någon annan då de istället träder in i ett eget personuppgiftsansvar. Ett biträde kan inte heller vara en aktör som har ett eget personuppgiftsansvar för uppgifterna (ex. externa vårdgivare). Skyldighet att teckna personuppgiftsbiträdesavtal.

9 Förändringar i Dataskyddsförordningen Missbruksregeln försvinner (ostrukturerat material) Samtycken skall vara tydligare Den registrerades rättigheter Dataskyddsombudets roll Personuppgiftsincidenter Konsekvensbedömningar Privacy by default och by design Ansvarsskyldigheten

10 Vad är straffbart enligt Dataskyddsförordningen

11 Bedöm och ta ställning till samtliga delar!! Dokumentera samtliga val. Personuppgiftsbehandlingar - Integritetspyramiden Säkerhet Information Personnummer Känsliga uppgifter Tillåten behandling Grundläggande krav på behandlingen

12 Säkerhet Information Personnummer Grundläggande krav på behandlingen GDPR Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgiftsminimering Korrekthet Lagringsminimering Integritet och konfidentialitet Ansvarsskyldighet Grundläggande krav på behandlingen PDL Laglighet, korrekthet och öppenhet Ändamålsbegränsning Uppgiftsminimering Korrekthet Skyldighet att bevara och arkivera Integritet och konfidentialitet Ansvarsskyldighet Känsliga uppgifter Tillåten behandling Grundläggande krav på behandlingen

13 Samtycke Avtal Rättslig förpliktelse Skydd för grundläggande intressen Uppgift av allmänt intresse och myndighetsutövning Efter en intresseavvägning Säkerhet Information Personnummer Tillåten behandling GDPR Tillåten behandling PDL Samtycke krävs inte - Journalföring - Administration som rör patienter - Dokumentation som följer av lag, förordning eller annan författning - Systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten, - Administration, planering, uppföljning, utvärdering och tillsyn av verksamheten - Framställa statistik om hälso- och sjukvården - Nationella och regionala kvalitetsregister får behandlas för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Känsliga uppgifter Tillåten behandling Grundläggande krav på behandlingen

14 Känsliga uppgifter GDPR Känsliga uppgifter PDL Säkerhe t Informatio n Personnummer Känsliga uppgifter Utgångspunkt: Det är förbjudet att behandla känsliga personuppgifter. Undantag: tex. samtycke samt laglig grund. Känsliga personuppgifter: ras eller etniskt ursprung politiska åsikter religiös eller filosofisk övertygelse medlemskap i en fackförening Hälsa och en persons sexualliv eller sexuella läggning genetiska uppgifter och biometriska uppgifter som entydigt identifierar en person. - Generellt undantag för att registrera känsliga personuppgifter om de är nödvändiga för ändamålen. Dock inte uppgifter om lagöverträdelser. - Begränsning för sökbegrepp: (bokstäver, koder, siffror + sökmotor) hälsa (sjukdom och hälsotillstånd samt i viss mån smittsamma sjukdomar) att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård. Tillåten behandling Grundläggande krav på behandlingen

15 Personnummer GDPR Personnummer PDL Dataskyddsutredningen: Bara om det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. - Vi ska kunna visa varför detta är nödvändigt Säkerhet - Patientjournal: Om uppgifterna finns tillgängliga, ska en patientjournal alltid innehålla uppgift om patientens identitet, - Nationella/Regionala kvalitetsregister: En enskilds personnummer eller namn får behandlas endast om det inte är tillräckligt för ändamålet att använda kodade personuppgifter eller personuppgifter som endast indirekt kan hänföras till den enskilde. Information Personnummer Känsliga uppgifter Tillåten behandling Grundläggande krav på behandlingen

16 Personuppgiftsans varig Information GDPR När personuppgifter samlas in från den registrerade (art. 13) När personuppgifter samlas in från annan (art. 14) Dataskyddsombud Ändamål Rättslig grund Kategorier av personuppgifter Intresse vid intresseavvägning Mottagare av uppgifter Överföring av uppgifter till tredje land Nej Lagringstid De registrerades rättigheter Rätten att dra tillbaka ett samtycke Rätten att lämna klagomål till DPA Uppgiftsskyldighet enligt avtal eller lag Automatiserat beslutsfattande Källa varifrån uppgifterna har Säkerhet hämtats Nej Nej Säkerhetsåtgärder Information Nej Nej Behandling för Personnummer annat ändamål Information PDL För personuppgiftsbehandlingar i Landstinget skall vi informera om generellt: Utöver detta gäller för Nationella eller regionala kvalitetsregister även information om, enligt opt out: Rätten att när som helst få uppgifter om sig själv utplånade ur registret, I vilken utsträckning personuppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal, Vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till. Om det inte är möjligt att lämna informationen innan personuppgiftsbehandlingen påbörjas, ska den lämnas så snart som möjligt därefter Känsliga uppgifter Tillåten behandling Grundläggande krav på behandlingen

17 Säkerhet GDPR Säkerställa en lämplig säkerhetsnivå i förhållande till risken. (Riskbedömning) Säkerhet PDL - Utöver bestämmelserna om säkerhet i GDPR även Med hänsyn till : senaste utvecklingen, genomförandekostnad, behandlingens art, omfattning, sammanhang och ändamål samt riskerna av fysiska personers rättigheter och friheter. - Organisatoriska åtgärder - Tekniska åtgärder (psedonymisering, kryptering, återställa tillgänglighet vid incident, regelbundet testa åtgärderna) Särskild hänsyn: oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst. Säkerhet - Behörighetstilldelning - Tvåstegs autensieringsmekanismer - Direktåtkomst, inre sekretess - Spärrfunktioner - Dokumentera beslut om att ta i drift informationssystem - Krav på kravställning av informationssystem - CE-märkning - Mm. Information Personnummer Känsliga uppgifter Tillåten behandling Grundläggande krav på behandlingen

18 Förteckningsskyldigheten Samtliga personuppgiftsbehandlingar i VLL skall rapporteras till personuppgiftsombudet. För det syftet finns Registerforteckning enligt 39.doc Skyldighet enligt lag att föra förteckning -sanktionsavgifter För att kunna rikta rekommendationer, riktlinjer, utbildningsinsatser eller snabbt agera på lagförändringar måste det vara möjligt att nå kontaktpersoner från en strategisk nivå i landstinget.

19 Utlämnande av handlingar Offentlig het och sekretess lag - Menprövning OSL (men för patient/anhörig, personal, upphandling mm samt strider mot PUL/GDPR) - Etikprövning enbart en prövning mot PUL. - Finns uppgifterna? (potentiella handlingar 4-6 h) - Vem prövar? Inget formellt i TF, möjligen i rutiner - Avslag? Jurist skriver beslut - Hur ska det lämnas ut? Direktåtkomst ej godtagbart - Ansökan om datauttag av patientdata från patientdatasystem

20 Sammanfattning Laglighet i behandlingar - Analysera och ta ställning till alla delar i behandlingen Säkerhet Information Personnummer Känsliga uppgifter Tillåten behandling - Registerförteckna alla behandlingar - Dokumentera beslut som tas (utifrån pyramiden) vid införandet av en personuppgiftsbehandling - - Handlingsplan finns men varje enhet måste själva fundera över vilka åtgärder som måste vidtas och vilket stöd som behövs. Grundläggande krav på behandlingen Rådfråga personuppgiftsombud vid knepiga situationer

21 Tack för mig! Josefin Leijon