Västra Götalandsregionens arbete kring dataskyddsförordningen (GDPR)

Transkript

1 1 (5) Bilaga 1 Datum Handläggare: Fredrika Holm Telefon: E-post: fredrika.holm@vgregion.se Till samtliga förvaltningschefer och Verkställande direktörer i de majoritetsägda bolagen Västra Götalandsregionens arbete kring dataskyddsförordningen (GDPR) Sammanfattning GDPR gäller från och med den 25 maj 2018 och berör alla styrelser, nämnder och bolag inom Västra Götalandsregionen (VGR). GDPR ställer krav på en bättre kontroll över vilka personuppgifter som behandlas och hur man gör det. Den personuppgiftsansvarige ska kunna visa att man efterlever de grundläggande principerna för personuppgiftsbehandling. GDPR medför nya detaljregler som kräver mer kontroll och administration. Personuppgiftsombudet (PUO:s) kontrollerande och rådgivande funktion för organisationen förtydligas vilket innebär att rollen måste förändras. PUO byter namn till dataskyddsombud (DSO). Regionalt projekt är tillsatt för att säkerställa en regiongemensam anpassning till GDPR. Varje personuppgiftsansvarig (förvaltningschef/vd) ska utse en kontaktperson som ansvarar för anpassningsarbetet på lokal nivå. Namnet på den som utsetts mailas till det regionala projektet (sakerhet-beredskap@vgregion.se) senast den 28 februari Vad är GDPR? I april 2016 beslutade Europaparlamentet och Rådet om en ny EU-förordning om dataskydd, sk dataskyddsförordningen (General Data Protection Regulation; GDPR). GDPR blir direkt tillämplig i Sverige och alla andra EU-medlemsländer den 25 maj GDPR kommer att ersätta det nuvarande dataskyddsdirektivet och därigenom upphör Personuppgiftslagen (PuL), liksom Datainspektionens föreskrifter som har anslutning till PuL att gälla. Regeringen har tillsatt ett flertal utredningar som ser Postadress: Skaraborgs Sjukhus Skövde Besöksadress: Lövängsvägen Skövde Telefon: Webbplats: E-post: diariet.skas@vgregion.se

2 2 (5) över vilken ytterligare lagstiftning som måste anpassas men nuvarande förslag innebär inte några väsentliga ändringar av patientdatalagen (PdL). GDPR:s påverkan på Västra Götalandsregionen Varje styrelse, nämnd och bolag inom VGR är personuppgiftsansvarig för sin personuppgiftsbehandling. GDPR berör därför alla styrelser, nämnder och bolag inom VGR. Ansvaret för behandling av personuppgifter och vilka skyldigheter sådan behandling medför förtydligas och utökas genom GDPR. Inom VGR hanteras idag en stor mängd personuppgifter av olika känslig karaktär. I och med GDPR ställs inte bara krav på att hanteringen av de personuppgifter som flödar sker på ett lagligt sätt utan också på att de som hanterar personuppgifter kan visa på att de satta lagkraven efterlevs. De ändamål som är tillåtna att behandla personuppgifter för enligt nu gällande lagstiftning är emellertid till stor del desamma även i GDPR. Det kommer därför inte att ske några stora förändringar i med vilket rättsligt stöd som VGR kan fortsätta att behandla personuppgifter. Personuppgiftsansvariga kommer däremot inte längre att kunna behandla personuppgifter med stöd av en intresseavvägning, vilket kan innebära att man i vissa fall kan behöva motivera något tydligare med vilket stöd man får behandla personuppgifter. GDPR innebär också att de registrerades rättigheter och skyddet för den personliga integriteten stärks. GDPR ställer krav på en utökad informationsskyldighet till registrerade, vilket innebär att den information som idag lämnas till patienter och andra registrerade behöver kompletteras. Ett nytt krav införs om att informationen ska vara begriplig och lämnas i en lättillgänglig form. De registrerade har även rätt att få veta var deras personuppgifter registreras och de har även rätt till att uppgifterna raderas i den mån den som behandlar personuppgifter inte har lagligt stöd, exempelvis journalföring, för att spara uppgifterna. Detta innebär att den som behandlar personuppgifter (personuppgiftsansvarig) måste veta hur och var personuppgifter hanteras, måste kunna motivera och ha lagstöd för den behandling som äger rum samt även måste kunna ha möjlighet att radera uppgifter i de fall sådan skyldighet inträder. Andra skillnader som GDPR medför är exempelvis att det blir obligatoriskt för personuppgiftsansvariga att ha ett dataskyddsombud. Personuppgiftsombuden (PuO) byter namn till dataskyddsombud (DSO) och får en starkare och förändrad roll i organisationen då den kontrollerande och rådgivande funktionen i förhållande till den personuppgiftsansvarige renodlas. Den personuppgiftsansvarige ska säkerställa att DSO på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter men DSO har en självständig roll i förhållande till den personuppgiftsansvarige. Den personuppgiftsansvariga nämnden eller styrelsen kan välja att utse PuO till DSO men organisationen måste självständigt bedriva ett aktivt dataskyddsarbete som inte leds av dataskyddsombudet. Enligt GDPR är det den personuppgiftsansvariges skyldighet att säkerställa att DSO har tillräcklig kompetens.

3 3 (5) För mer information kring dataskyddsombudens roll och uppdrag, se ng%20kring%20dataskyddsombud.pdf Aktörer som behandlar personuppgifter för VGR:s räkning, så kallade personuppgiftsbiträden, kommer också att omfattas av nya bestämmelser i GDPR. Till exempel blir personuppgiftsbiträdet skyldig att föra en förteckning över sin personuppgiftsbehandling. De nya bestämmelserna kan också i viss omfattning göra det möjligt att ställa vissa högre krav på leverantörer som behandlar personuppgifter på uppdrag av VGR. Inom VGR hanteras som ovan nämnt varje dag en mängd olika personuppgifter, framför allt i våra patientdatasystem, men även såväl i det personaladministrativa arbetet som i medarbetarnas G: och H: mappar för att nämna några exempel. GDPR kommer att innebära att en omfattande inventering måste genomföras för att kunna få kontroll på den hantering som sker. All hantering som sker ska kunna motiveras och skälen för personuppgiftsbehandlingen ska även dokumenteras. När hanteringen inte längre har lagstöd ska behandlingen avslutas. Detta ställer höga krav på att rutiner för kontinuerlig kontroll på personuppgiftsbehandlingen finns och efterföljs. Sammanfattningsvis innebär GDPR större krav på VGR och medarbetare vilket innebär att kompetensen inom organisationen behöver säkerställas och att det kommer att behöva införas ett flertal nya administrativa rutiner vilket kan komma att kräva mer resurser. Regionalt projekt Ett regionalt projekt har startat inom VGR för att säkerställa en regiongemensam anpassning till de nya reglerna. Projektet syftar till att tydliggöra roll-och ansvarsfördelningen vid anpassningen mellan regional och lokal nivå samt gentemot objekten, ansvara för att de regionala anpassningarna genomförs samt att ta fram lämpliga lösningsförslag så att samtliga personuppgiftsansvariga inom VGR ska kunna göra rätt i det anpassningsarbete som måste ske på lokal nivå. Inom projektet finns också ett delprojekt som drivs av VGR IT. Förankring och samordning inom projektet sker i Funktionsgrupp Säkerhet och beredskap, undergrupp Informationssäkerhet. På Intranätet finns en projektsida där uppdaterad information kring projektet kommer att publiceras löpande, se Dataskyddsforordningen/. Pågående arbeten inom projektet Intensivt arbete pågår inom projektet och flera arbetsgrupper är tillsatta för att utreda och leverera regiongemensamma lösningar inom olika områden där GDPR medför förändringar. Exempelvis pågår arbete med att ta fram information kring de förändringar

4 4 (5) som GDPR medför då dataskyddsombudet (DSO) ersätter personuppgiftsombudet (PuO) samt upprättande av en DSO-instruktion. Arbete pågår även med att ta fram en rutin för hur kraven på incidentrapportering som ställs i GDPR framöver ska ske. Parallellt med de utredningar som pågår arbetar projektet med att ta fram ett informationspaket som ska kunna förmedlas ut inom VGR. Ett mer grundläggande utbildningspaket kommer att tas fram härefter. Härutöver pågår även intensivt arbete med att ta fram en instruktion för inventering. Inventeringen kommer att vara det primära i det anpassningsarbete som behöver genomföras. I arbetet med att ta fram en inventeringsinstruktion ingår att hitta en lösning för hur kravet på registerföring ska hanteras utifrån de utökade dokumentationskrav som GDPR ställer. Samarbete pågår även med det Sharepoint-projekt som finns etablerat inom regionen då det finns flera gemensamma beröringspunkter projekten emellan. Kontaktperson För att det arbete som sker inom projektet på ett framgångsrikt sätt ska nå ut till personuppgiftsansvariga styrelser, nämnder och bolag är kanalen mellan projektet och de personuppgiftsansvariga oerhört viktigt. Projektet ser därför att respektive personuppgiftsansvarig utser en kontaktperson som ansvarar för det lokala anpassningsarbetet. Kontaktpersonen har att ansvara för att utbildningsmaterial kommer respektive myndighet och medarbetare inom den tillgodo samt utgör en kanal såväl till övriga inom verksamheten som till och från projektet. Kontaktpersonen har att säkerställa att inventeringen och övrigt anpassningsarbete genomförs. Kontaktpersonen utgör även den personuppgiftsansvariges länk till dataskyddsombudet (DSO). På grund av DSO:s förändrade roll är det lämpligt att utse en kontaktperson som inte samtidigt är DSO. Anpassningsarbetet till GDPR kommer att kräva en hel del resurser. Kontaktpersonen behöver därför få utrymme att arbeta med dessa frågor i den mån det behövs tillsammans med övriga nödvändiga resurser för att ett framgångsrikt arbete ska kunna genomföras. Kontaktperson ska utses för varje personuppgiftsansvarig. Namnet på den som utsetts mailas till det regionala projektet (sakerhet-beredskap@vgregion.se) senast den 28 februari Styrgruppen för GDPR-projektet Eva Arrdal, Göran Ejbyfeldt, Johan Flarup och Erik Lagersten

5 5 (5) FAKTARUTA GDPR EU:s dataskyddsförordning om behandling av personuppgifter, DSF eller GDPR (General Data Protection Regulation) beslutades i april 2016 och gäller som lag i alla medlemsstater från och med den 25 maj Syftet med GDPR är att stärka och skydda enskildas grundläggande fri-och rättigheter såsom integritet, rätt till privatliv och skydd för personuppgifter. Det nya regelverket syftar även till att skapa en enhetlighet och likvärdig nivå på skyddet av personuppgifter inom EU samt utgör en anpassning till det nya digitala samhället. GDPR ersätter det tidigare dataskyddsdirektivet, personuppgiftslagen (PuL) och nu gällande föreskrifter kring PuL från Datainspektionen. Bristande följsamhet till GDPR kan bestraffas med höga administrativa sanktionsavgifter. GDPR förutsätter att Sverige antar eller anpassar befintliga nationella regler vad gäller personuppgiftsbehandling. För närvarande pågår ett intensivt lagstiftningsarbete i frågor som rör dataskydd och personlig integritet. Några nya eller reviderade regler är ännu inte antagna. GDPR kommer enligt nuvarande förslag att kompletteras av en ny dataskyddslag, vilket innebär att nuvarande PuL, enligt förslaget, ersätts av både GDPR och den föreslagna dataskyddslagen. Enligt nuvarande förslag kan VGR fortsätta behandla personuppgifter med stöd av patientdatalagen (PdL) men GDPR, och föreslagen dataskyddslag, påverkar dock vilka kompletterande generella hanteringsregler man har att förhålla sig till vid exempelvis behandling av patientuppgifter. För mer info kring GDPR eller det regionala projektets arbete, se projektsida Anpassning till dataskyddsförordningen på VGR:s Intranät