Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Save this PDF as:
 WORD  PNG  TXT  JPG

Storlek: px
Starta visningen från sidan:

Download "Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen"

Transkript

1 Datum Diarienr Södersjukhuset AB Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen Datainspektionens beslut Datainspektionen förelägger Södersjukhuset att 1. upphöra att lämna ut personuppgifter till det nationella kvalitetsregistret Auricula till dess det står klart vilken myndighet inom hälso- och sjukvården som är personuppgiftsansvarig för central behandling, 2. upphöra att lämna ut personuppgifter till det nationella kvalitetsregistret Auricula till dess Södersjukhuset försäkrat sig om att mottagaren behandlar personuppgifterna i enlighet med 31 personuppgiftslagen och 2 kap. 5 SOSFS 2008:14, 3. vidta åtgärder för att se till att de registrerade får den information om personuppgiftsbehandlingen i Auricula som följer av 7 kap. 3 och 8 kap. 6 patientdatalagen, 4. upphöra att behandla de registrerades namn och adress i det nationella kvalitetsregistret Auricula, och 5. ta fram och införa rutiner för sin åtkomstkontroll i Auricula i enlighet med kraven i 4 kap. 3 patientdatalagen och 2 kap. 11 SOSFS 2008:14. Vidare bedömer Datainspektionen att Södersjukhuset har förutsättningar att leva upp till kraven på behörighetsstyrning i 4 kap. 2 patientdatalagen och 2 kap. 6 SOSFS 2008:14. I dagsläget saknas dock rutiner för regelbunden uppföljning av behörigheterna. Datainspektionen förutsätter att Södersjukhuset fullföljer sin avsikt att ta fram sådana rutiner för sin åtkomst till Auricula. Ärendet avslutas, men kan komma att följas upp. Postadress: Box 8114, Stockholm E-post: Besöksadress: Drottninggatan 29, plan 5 Telefon: Webbplats: Telefax:

2 Redogörelse för tillsynsärendet Den 17 november 2009 inspekterade Datainspektionen Södersjukhusets personuppgiftsbehandling, som lokalt personuppgiftsansvarig, i det nationella kvalitetsregistret Auricula. Syftet med inspektionen var att kontrollera om Södersjukhuset behandlar personuppgifter i Auricula i enlighet med kraven i patientdatalagen och personuppgiftslagen. Under inspektionen och i samband med efterföljande kompletteringar har bl.a. följande framkommit. Auricula är sedan är 2007 ett nationellt kvalitetsregister för förmaksflimmer och antikoagulation. Södersjukhuset hade fram till den 16 december 2009 registrerat 1517 unika patienter i Auricula. I det nationella registret som helhet fanns vid samma tidpunkt sammanlagt patienter registrerade. Av dessa utgör antikoagulationsregistret ca Förutom kvalitetsregistret använder Södersjukhuset ett särskilt doseringsstöd (journalsystem) för waranordinationer som är kopplat till och framtaget i samband med skapandet av Auricula. Auricula leds av en styrgrupp bestående av representanter från olika delar av landet samt två undergrupper. Uppsala Clinical Research Center, UCR, är ett s.k. nationellt kompetenscentra som stödjer ett antal olika kvalitetsregister, däribland Auricula. Närmare uppgifter om vad som framkommit i ärendet och därmed legat till grund för Datainspektionens bedömning framgår av skälen för beslutet. Tillämpliga rättsregler m.m. Översikt Bestämmelser om hanteringen av personuppgifter i nationella kvalitetsregister finns huvudsakligen i 7 kap. patientdatalagen (2008:355). Med kvalitetsregister avses enligt 7 kap. 1 en automatiserad och strukturerad samling av personuppgifter som inrättats för ändamålet att systematiskt och fortlöpande utveckla och stärka vårdens kvalitet. Vidare följer av 7 kap. 2 att personuppgifter inte får behandlas i ett nationellt kvalitetsregister om den enskilde motsätter sig det. I övrigt reglerar 7 kap. bl.a. frågor om personuppgiftsansvar, kvalitetsregisters ändamål, utlämnande genom direktåtkomst, bevarande och gallring. Ytterligare bestämmelser bl.a. rörande hanteringen av personuppgifter i hälso- och sjukvården återfinns i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring. Om inte annat följer av patientdatalagen eller föreskrifter som meddelats med stöd av lagen, gäller Sida 2 av 14

3 dessutom personuppgiftslagens (1998:204) bestämmelser t.ex. i fråga om säkerheten vid behandling av personuppgifter enligt Personuppgiftsansvar på olika nivåer (lokalt och centralt) I 3 personuppgiftslagen definieras personuppgiftsansvarig som den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. I patientdatalagen finns sedan särskilda bestämmelser om personuppgiftsansvar inom hälso- och sjukvården. För nationella kvalitetsregisters del innebär bestämmelserna att personuppgiftsansvaret finns på olika nivåer; lokalt hos inrapporterande vårdgivare och centralt hos den aktör som ansvarar för kvalitetsregistret som helhet. Av patientdatalagens grundläggande bestämmelse i 2 kap. 6 följer att respektive privat vårdgivare och myndighet i kommun och landsting som bedriver hälso- och sjukvård, är personuppgiftsansvarig för sin egen behandling av personuppgifter, d.v.s. den hantering som sker i samband med att personuppgifter registreras och rapporteras in till det nationella kvalitetsregistret. Detta lokala personuppgiftsansvar omfattar även den hantering som sker när en befattningshavare hos vårdgivaren genom direktåtkomst tar del av vårdgivarens redan inrapporterande uppgifter. Det innebär att vårdgivaren är ansvarig för att följa patientdatalagens grundläggande bestämmelser om inre sekretess, behörighetsstyrning och åtkomstkontroll. Vidare följer av 7 kap. 7 patientdatalagen att endast myndigheter inom hälso- och sjukvården får vara personuppgiftsansvarig för central behandling av personuppgifter i ett nationellt kvalitetsregister. Detta ansvar omfattar således den behandling av personuppgifter som sker på det samlade kvalitetsregistret, d.v.s. innehållande uppgifter från samtliga inrapporterande vårdgivare. Till den centrala hanteringen hör bl.a. frågor om säkerhet, utlämnande, framställning av nationell statistik, gallring och rättelse av personuppgifter. Om den centralt personuppgiftsansvarige anlitar en extern aktör för att t.ex. ta hand om driften av ett system och hantera personuppgifter för den centralt ansvariges räkning, är denne enligt 30 personuppgiftslagen skyldig att upprätta ett personuppgiftsbiträdesavtal med den externe aktören. Skäl för beslutet Tillåten behandling utlämnande av personuppgifter Datainspektionen konstaterar att Södersjukhuset, genom att lämna ut personuppgifter till det nationella kvalitetsregistret Auricula utan att Sida 3 av 14

4 veta vilken myndighet som är personuppgiftsansvarig för den centrala behandlingen, behandlar personuppgifter i strid med grundläggande krav i 9 punkten a) personuppgiftslagen. Datainspektionen förelägger därför Södersjukhuset att upphöra att lämna ut personuppgifter till det nationella kvalitetsregistret Auricula till dess det står klart vilken myndighet inom hälso- och sjukvården som är personuppgiftsansvarig för central behandling. Omständigheterna i ärendet och skälen för Datainspektionens bedömning är följande. I ärendet har framkommit att Södersjukhuset inte vet vem eller vilka som är personuppgiftsansvarig för den centrala behandlingen av personuppgifter i Auricula. Enligt uppgift kommer Landstingstyrelsen i Uppsala län eventuellt att anges som centralt personuppgiftsansvarig, men det är i dagsläget inte förankrat i Landstingsstyrelsen. Vidare uppger Södersjukhuset att det även är nära till hands att betrakta Södersjukhuset som den centralt personuppgiftsansvarige och har i detta avseende efterfrågat Datainspektionens uppfattning. Datainspektionen finner det anmärkningsvärt att det saknas en tydligt utpekad aktör som centralt personuppgiftsansvarig. Konsekvenserna av detta är bl.a. att patienterna inte får information om vem som ansvarar för deras uppgifter. Patienten har således ingen att vända sig till t.ex. med begäran om utplåning och rättelse av personuppgifter. Det saknas även någon som kan besluta i frågor om gallring av personuppgifter i Auricula. Vidare innebär det att det inte funnits någon aktör som ansvarat för att vidta de säkerhetsåtgärder som ska omgärda och påverka förutsättningarna för åtkomst till det nationella kvalitetsregistret. Att systematiskt lämna ut känsliga personuppgifter om patienter utan att äga kännedom om vem som är mottagare av uppgifterna är inte förenligt vare sig med regleringar om offentlighet och sekretess eller med grundläggande bestämmelser i personuppgiftslagen. Den sekretessbrytande bestämmelsen till förmån för utlämnande av uppgifter till nationella kvalitetsregister som finns i 25 kap. 11 punkten 4) offentlighets- och sekretesslagen (OSL) förutsätter att utlämnandet sker i enlighet med patientdatalagens krav. Det innebär i sin tur bl.a. att utlämnandet måste ske till en myndighet inom hälso- och sjukvården. I annat fall gäller sekretess för uppgifterna enligt bestämmelsen om hälso- och sjukvårdssekretess i 25 kap. 1 OSL. Sammantaget saknas således rättsliga förutsättningar att lämna ut uppgifter till ett nationellt kvalitetsregister om det inte står klart att en myndighet inom hälso- och sjukvården är mottagare av uppgifterna och Sida 4 av 14

5 personuppgiftsansvarig för den centrala behandlingen. Mot denna bakgrund konstateras att Södersjukhusets utlämnande av personuppgifter till det nationella kvalitetsregistret Auricula strider såväl mot hälso- och sjukvårdssekretessen i 25 kap. 1 OSL som mot kravet i 9 punkten a) personuppgiftslagen om att personuppgifter får behandlas bara om det är lagligt. Tillåten behandling säkerhet vid direktåtkomst Datainspektionen konstaterar att Södersjukhuset behandlar personuppgifter i strid med kravet i 9 punkten a) personuppgiftslagen, eftersom Södersjukhuset lämnar ut personuppgifter till ett nationellt kvalitetsregister (Auricula) som i sin tur möjliggör direktåtkomst till de mottagna uppgifterna över öppet nät endast genom inloggning med användarnamn och lösenord. Datainspektionen förelägger därför Södersjukhuset att upphöra att lämna ut personuppgifter till det nationella kvalitetsregistret Auricula till dess Södersjukhuset försäkrat sig om att mottagaren behandlar personuppgifterna i enlighet med 31 personuppgiftslagen och 2 kap. 5 SOSFS 2008:14. Omständigheterna i ärendet och skälen för ovanstående bedömning är följande. I ärendet har framkommit att inrapporterande vårdgivares åtkomst till egna redan registrerade uppgifter sker i Sjunet genom inloggning med användarnamn och lösenord. Sjunet är, t.ex. i likhet med Internet, att betrakta som ett öppet nät. Vidare har framkommit att ambitionen är att inloggningen i framtiden kommer att ske genom s.k. stark autentisering. Auricula är ett nationellt kvalitetsregister som innehåller personuppgifter som vårdgivare över hela landet har rapporterat in (jfr 7 kap. 1 patientdatalagen). De personuppgifter som samlats in i ett nationellt kvalitetsregister är, enligt såväl offentlighets- och sekretesslagen som personuppgiftslagen, att betrakta som utlämnade från den inrapporterande vårdgivaren till den centralt personuppgiftsansvarige myndigheten. När den inrapporterande vårdgivaren sedan nyttjar sin möjlighet, enligt 7 kap. 9 patientdatalagen, till direktåtkomst till egna redan inrapporterade uppgifter äger ett nytt utlämnande rum. Detta innebär enligt Datainspektionen att den centralt personuppgiftsansvarige bl.a. har att svara för att utlämnandet genom direktåtkomst uppfyller de krav på säkerhetsåtgärder som följer av patientdatalagen och personuppgiftslagen. Sida 5 av 14

6 Av 31 personuppgiftslagen följer att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Vid val av åtgärder ska hänsyn bl.a. tas till hur pass känsliga personuppgifterna är och vilka särskilda risker som finns med behandlingen. Bestämmelsen i 31 personuppgiftslagen innebär enligt Datainspektionen att känsliga personuppgifter enligt personuppgiftslagen (t.ex. uppgifter om hälsa), får lämnas ut via Internet eller annat öppet nät endast till identifierade användare vars identitet är säkerställd med en teknisk funktion som asymmetrisk kryptering, exempelvis e-legitimation, engångslösenord eller motsvarande. Vidare följer av 2 kap. 5 SOSFS 2008:14 bl.a. att en vårdgivare som använder öppna nät för att hantera patientuppgifter har ansvar för att det finns rutiner som säkerställer att åtkomst till patientuppgifter föregås av stark autentisering. Innebörden av ovanstående är att det inte är förenligt med varken personuppgiftslagen eller SOSFS 2008:14 att, som i Auricula, göra känsliga personuppgifter åtkomliga över Sjunet endast genom inloggning med användarnamn och lösenord. I egenskap av personuppgiftsansvarig för sin hantering av personuppgifter i Auricula, ansvarar Södersjukhuset för att den behandling av personuppgifter som utlämnandet till det nationella kvalitetsregistret utgör är laglig. Om Södersjukhuset kan anta att mottagaren, i detta fall den myndighet som ansvarar för central personuppgiftsbehandling i Auricula, inte kommer att följa bestämmelserna i personuppgiftslagen vid den fortsatta behandlingen av personuppgifterna, är Södersjukhusets utlämnande av uppgifter att betrakta som olagligt. Ett sådant utlämnande skulle nämligen strida mot det grundläggande kravet i 9 punkten a) personuppgiftslagen om att den personuppgiftsansvarige ska se till att personuppgifter behandlas bara om det är lagligt. Ovanstående innebär att Södersjukhuset, med vetskap om de i ärendet konstaterade bristerna avseende direktåtkomst till uppgifter i Auricula, saknar lagligt stöd för att lämna ut personuppgifter till kvalitetsregistret. Södersjukhuset ska därför upphöra att lämna ut personuppgifter till det nationella kvalitetsregistret Auricula till dess Södersjukhuset försäkrat sig om att personuppgifterna behandlas på ett lagligt sätt. Datainspektionen vill upplysningsvis informera Södersjukhuset om att ett lagligt utlämnande till Auricula möjliggörs antingen genom att de aktuella bristerna åtgärdas eller om den centralt personuppgiftsansvarige, så länge bristerna kvarstår, undandrar möjligheten till direktåtkomst för inrapporterande vårdgivare. Detta förutsätter naturligtvis att Södersjukhuset äger kännedom om vilken myndighet inom hälso- och sjukvården som är centralt personuppgiftsansvarig. Sida 6 av 14

7 Information till registrerade Datainspektionen konstaterar att Södersjukhuset, genom bristfälliga informationsinsatser om personuppgiftsbehandlingen i Auricula, behandlar personuppgifter i strid med informationskraven i 7 kap. 3 och 8 kap. 6 patientdatalagen. Datainspektionen förelägger därför Södersjukhuset att vidta åtgärder för att se till att de registrerade får den information om personuppgiftsbehandlingen i Auricula som följer av 7 kap. 3 och 8 kap. 6 patientdatalagen. Omständigheterna i ärendet och skälen för ovanstående bedömning är följande. Information om Auricula och den personuppgiftsbehandling som sker hos Södersjukhuset ges till de registrerade genom en mindre affisch på väggen i väntrum och bredvid kassan på vårdavdelningen. Det finns även planer på att informera på Internet. Det ges ingen muntlig information om personuppgiftsbehandlingen. Innehållet i informationsaffischen framgår av bilaga 1. Regeringen anför i propositionen (prop. 2007/08:126 s. 208) att det från integritetssynpunkt är angeläget att den registrerade får utförlig information om personuppgiftsbehandlingen. Informationen behövs för att den registrerade ska kunna ta tillvara sina rättigheter i samband med personuppgiftsbehandlingen. Vidare anför regeringen att informationen även är viktig för att skapa en nödvändig grund för allmänhetens förtroende för behandlingen. För behandling av personuppgifter i nationella kvalitetsregister gäller patientdatalagens allmänna bestämmelse om informationsskyldighet i 8 kap. 6. Av bestämmelsen följer att den personuppgiftsansvarige bl.a. ska se till att den registrerade får information om vem som är personuppgiftsansvarig, ändamålet med behandlingen, rätten att ta del av uppgifter enligt 26 personuppgiftslagen, vad som gäller i fråga om bevarande och gallring, rätten till skadestånd m.m. Utöver detta finns, i 7 kap. 3 patientdatalagen, särskilda krav på information för nationella kvalitetsregister. Enligt bestämmelsen ska den personuppgiftsansvarige, innan personuppgifter behandlas i ett nationellt kvalitetsregister, se till att den enskilde får information om 1. rätten att när som helst få uppgifter om sig själv utplånade i registret, 2. i vilken utsträckning personuppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal, och Sida 7 av 14

8 3. vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till. Det finns i patientdatalagen inget krav på att informationen till de registrerade ska lämnas på ett särskilt sätt, t.ex. skriftligt. I propositionen (prop. 2007/08:126 Patientdatalag m.m. s. 258) anför regeringen att det bör överlåtas åt varje personuppgiftsansvarig att bestämma hur informationen ska ges. En förutsättning är att varje personuppgiftsansvarig utarbetar rutiner för hur informationsskyldigheten ska fullgöras. Enligt regeringen åligger det också den personuppgiftsansvarige att se till att informationen är utformad på ett sätt som kan förstås av den registrerade. När det gäller patienter som inte talar svenska bör den personuppgiftsansvarige se till att någon översätter informationen eller att det finns skriftliga informationsblanketter på flera språk. Vidare anför regeringen (s. 249 f) följande av betydelse i sammanhanget. Säkra rutiner ligger i den personuppgiftsansvariges eget intresse, eftersom denne då det gäller information till en registrerad vid personuppgiftsbehandling anses ha bevisbördan för att obligatorisk information faktiskt har lämnats till patienten. Även om ovanstående uttalande lämnas i ett avsnitt som berör informationskravet vid sammanhållen journalföring, är det enligt Datainspektionen gällande även vid behandling av personuppgifter i kvalitetsregister. Såväl kvalitetsregisterföringen som den sammanhållna journalföringen bygger på att patienten ska få information och ges rätt att motsätta sig personuppgiftsbehandlingen. För den personuppgiftsansvarige är det således nödvändigt att ha säkra rutiner både för att information faktiskt lämnas och att den uppfyller patientdatalagens krav på innehåll. Den personuppgiftsansvarige behöver därför tillhandahålla informationen på ett sådant sätt att den kommer samtliga registrerade till del. Mot den bakgrunden är det, enligt Datainspektionen, i allmänhet inte tillräckligt att den personuppgiftsansvarige endast informerar exempelvis på Internet eller genom broschyr eller annat anslag i väntrum, om inte detta kompletteras med någon form av hänvisning till den registrerade att ta del av informationen. Eftersom hänsyn ska tas till den enskilde registrerades möjligheter att tillgodogöra sig informationen, kan den personuppgiftsansvarige även behöva olika informationsrutiner för olika kvalitetsregister. Datainspektionen konstaterar att den information om personuppgiftsbehandlingen i Auricula som lämnas till de registrerade har fundamentala brister. Det framgår bl.a. felaktigt att uppgifter i Sida 8 av 14

9 kvalitetsregistret betraktas som en del av patientjournalen. Vidare anges att registret drivs av Sveriges hjärtläkarförening i samarbete Socialstyrelsen och Landstingsförbundet (numera SKL). Vidare informeras inte specifikt om Auricula, utan informationen rör flera nationella kvalitetsregister för hjärtsjukvård. Informationen till de registrerade är dessutom ofullständig eftersom det saknas information om att Södersjukhuset är personuppgiftsansvarig för sin behandling, att den registrerade när som helst har rätt att få uppgifterna utplånade, i vilken utsträckning personuppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal, vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till, vilka sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen, rätten att få information om den direktåtkomst och elektroniska åtkomst som förekommit, rätten till skadestånd vid behandling av personuppgifter i strid med patientdatalagen, vad som gäller ifråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling samt rätten till rättelse av sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen. När det gäller tillvägagångssättet för att informera de registrerade anser Datainspektionens att det inte är tillräckligt endast med en mindre affisch på väggen i väntrum och bredvid kassan på vårdavdelningen. Eftersom affischen inte kompletteras med andra informationsinsatser eller ens en muntlig hänvisning till patienten att ta del av affischen, måste det tas för sannolikt att informationen på affischen inte kommer samtliga patienter till del. Mot bakgrund av ovanstående konstaterar Datainspektionen att Södersjukhusets information om personuppgiftsbehandlingen i Auricula inte lever upp till patientdatalagens krav. Personuppgifter som registreras Datainspektionen konstaterar att Södersjukhuset, genom att registrera uppgifter om namn och adress i Auricula, behandlar personuppgifter i strid med 7 kap. 8 patientdatalagen. Datainspektionen förelägger Södersjukhuset att upphöra att behandla de registrerades namn och adress i det nationella kvalitetsregistret Auricula. Omständigheterna i ärendet och skälen för ovanstående bedömning är följande. I ärendet har framkommit att Södersjukhuset, förutom hälsouppgifter, behandlar uppgifter om namn, personnummer och adress. Registreringen av personnummer görs bl.a. för att kunna köra registret mot andra register, Sida 9 av 14

10 medan Södersjukhuset inte har gjort någon särskild bedömning av behovet av att registrera namn och adress. Av 7 kap. 8 patientdatalagen följer att endast uppgifter som behövs för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet får behandlas i ett nationellt kvalitetsregister. Vidare följer att en enskilds personnummer eller namn endast får behandlas om det inte är tillräckligt, för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet, att använda kodade personuppgifter eller personuppgifter som endast indirekt kan hänföras till den enskilde. I propositionen Patientdatalag m.m. prop. 2007/08:126 s. 261 anför regeringen att paragrafen utgår från förutsättningen att kvalitetsregister i första hand ska bygga på användningen av kodade personuppgifter eller indirekt utpekande personuppgifter, t.ex. ålder, kön och hemort i kombination med sjukdomsrelaterade uppgifter. Regeringen anför även att behandling av personnummer kan vara tillåten om registeruppgifterna ska samköras med andra register för kvalitetssäkringsändamål eller att patienterna ska följas upp över lång tid. För att det ska vara lagligt att registrera enskildas namn och adress i kvalitetsregister krävs att det, med hänsyn till ändamålet med behandlingen, inte är tillräckligt att använda kodade uppgifter. Den personuppgiftsansvarige behöver således göra en noggrann bedömning av behovet av att registrera personuppgifter som t.ex. direkt pekar ut den registrerade. Södersjukhuset har inte gjort någon sådan bedömning. Behörighetsstyrning Datainspektionen konstaterar att Södersjukhuset har förutsättningar att leva upp till kraven på behörighetsstyrning i 4 kap. 2 patientdatalagen och 2 kap. 6 SOSFS 2008:14. I dagsläget saknas dock rutiner för regelbunden uppföljning av behörigheterna. Datainspektionen förutsätter att Södersjukhuset fullföljer sin avsikt att ta fram sådana rutiner för sin åtkomst till Auricula. Omständigheterna i ärendet och skälen för ovanstående bedömning är följande. I ärendet har framkommit att tilldelning av behörigheter i Auricula styrs av behov och sker genom lokal koordinator, som även kan ta bort/inaktivera behörigheter. I dagsläget finns ingen rutin för uppföljning av behörigheter, men Södersjukhuset har för avsikt att upprätta en sådan. Av 4 kap. 2 patientdatalagen följer att vårdgivaren ska bestämma villkor för tilldelning av behörigheter samt att behörigheterna ska begränsas till vad som Sida 10 av 14

11 behövs för att användaren ska kunna fullgöra sina arbetsuppgifter. Detta kompletteras sedan av bestämmelserna i 2 kap. 6 Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården. Av denna bestämmelse framgår följande. - Det ska finnas rutiner som säkerställer att behörigheter begränsas till vad som behövs för en god och säker vård. - Varje användare ska tilldelas en individuell behörighet. - Beslut om tilldelning av behörighet ska föregås av en behovs- och riskanalys. - Det ska finnas rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheterna. Åtkomstkontroll Datainspektionen konstaterar att Södersjukhuset, genom avsaknad av rutiner för systematisk och återkommande åtkomstkontroll, inte lever upp till kraven i 4 kap. 3 patientdatalagen och 2 kap. 11 SOSFS 2008:14. Datainspektionen förelägger därför Södersjukhuset att ta fram och införa rutiner för åtkomstkontroll i kvalitetsregistret Auricula i enlighet med kraven i 4 kap. 3 patientdatalagen och 2 kap. 11 SOSFS 2008:14. Omständigheterna i ärendet och skälen för ovanstående bedömning är följande. I ärendet har framkommit att det finns åtkomstloggar som ger information om vilka åtgärder som vidtagits, från vilken vårdenhet, när detta skett samt användarens och patientens identitet. Södersjukhuset har emellertid aldrig gjort någon åtkomstkontroll rörande Auricula och har heller ingen rutin som avser åtkomstkontroll i registret. Enligt 4 kap. 3 patientdatalagen ska vårdgivare göra systematiska och återkommande kontroller av om någon obehörigen kommer åt patientuppgifter. Detta kompletteras sedan av 2 kap. 11 SOSFS 2008:14, där det bl.a. framgår att vårdgivaren ska ansvara för att det finns rutiner som säkerställer att 1. det av dokumentationen av åtkomsten (loggarna) framgår vilka åtgärder som har vidtagits med patientuppgifterna, 2. det av loggarna framgår vid vilken vårdenhet och vid vilken tidpunkt åtgärderna har vidtagits, 3. användarens och patientens identitet framgår av loggarna, och 4. systematiska och återkommande stickprovskontroller av loggarna görs. Sida 11 av 14

12 Av regeringens proposition 2007/080:126 s. 149 f framgår bl.a. följande avseende åtkomstkontroll. För att främja patientsäkerheten bör vårdgivarna åläggas att systematiskt och fortlöpande företa kontroller av om obehörig åtkomst till uppgifter om patienter förekommer. Regeringen föreslår att detta uttryckligen föreskrivs som ett krav i patientdatalagen. En sådan bestämmelse innebär inte bara att faktiska dataintrång med större säkerhet kommer att kunna beivras. Bestämmelsen bör även få en starkt avhållande verkan på personal att olovligen läsa uppgifter. Rutinerna för åtkomstkontroll ska vara utformade på sådant sätt att de blir verkningsfulla i förhållande till den behandling av personuppgifter som sker hos vårdgivaren. En förutsättning för detta är bl.a. att berörd personal får tydlig information om logguppföljningarna och deras syfte. Vårdgivaren måste även kontinuerligt utvärdera rutinerna för åtkomstkontroll för att säkerställa att rutinerna är verkningsfulla. Gallring Datainspektionen konstaterar att personuppgifter i Auricula inte gallras, men vidtar inga åtgärder mot Södersjukhuset i denna del. Det motiveras av att det är den centralt personuppgiftsansvarige som har att följa bestämmelsen om gallring i 7 kap. 10 patientdatalagen. Omständigheterna i ärendet och skälen för ovanstående bedömning är följande. I ärendet har framkommit att uppgifter i Auricula inte gallras. Något särskilt beslut om bevarande har dock inte fattats. Av 7 kap. 10 patientdatalagen följer att personuppgifter i ett nationellt kvalitetsregister ska gallras när uppgifterna inte längre behövs för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Från detta kan dock undantag göras, t.ex. genom beslut från arkivmyndighet i landsting eller kommun. Bestämmelsen innebär således att det krävs ett aktivt ställningstagande för att föreskriven gallring ska kunna underlåtas. Det är den myndighet som är ansvarig för central behandling av personuppgifter i det nationella kvalitetsregistret som har att iaktta bestämmelsen om gallring i 7 kap. 10 patientdatalagen. Med hänsyn till detta vidtas inga ytterligare åtgärder mot Södersjukhuset i denna del. Övriga upplysningar Fråga om Södersjukhuset omfattas av begreppet myndighet i 7 kap. 7 patientdatalagen I ärendet har framkommit att Södersjukhuset i några sammanhang, bl.a. i den senaste anmälan till Sveriges Kommuner och Landsting, angetts som Sida 12 av 14

13 personuppgiftsansvarig och den person som utsetts till registerhållare är anställd på Södersjukhuset. Enligt Södersjukhuset är det nära till hands att betrakta Södersjukhuset som centralt personuppgiftsansvarig för Auricula. Då Södersjukhuset AB är helägt av Stockholms läns landsting och därför i bl.a. offentlighets- och sekretessammanhang är att likställa med en myndighet, undrar Södersjukhuset om man även kan omfattas av begreppet myndighet i den mening som avses i 7 kap. 7 patientdatalagen. Södersjukhuset har i denna fråga hemställt om Datainspektionens ställningstagande. När det gäller Södersjukhusets fråga gör Datainspektionen följande bedömning. Bestämmelsen i 7 kap. 7 patientdatalagen innebär att för sådan personuppgiftsbehandling i nationella kvalitetsregister som sker på central nivå ska endast myndigheter inom hälso- och sjukvården få vara personuppgiftsansvariga. Detta är enligt regeringen motiverat eftersom det är mindre lämpligt att stora samlingar integritetskänsliga personuppgifter samlas i enskild verksamhet utan att förutsättningarna för detta närmare övervägs (Prop. 2007/08:126 Patientdatalag m.m. s. 183). Regeringen, eller den myndighet regeringen bestämmer, kan därför besluta om att även annan får vara personuppgiftsansvarig. Regeringen har hittills inte meddelat möjlighet för någon myndighet att fatta ett sådant beslut. Det hindrar i och för sig inte Datainspektionen att ha en uppfattning i frågan om Södersjukhuset kan anses vara en sådan myndighet som avses i ovan nämnda paragraf. Till ledning för bedömningen kan regeringens följande uttalande i samband med den grundläggande bestämmelsen om personuppgiftsansvar i 2 kap. 6 patientdatalagen tas (prop. 2007/08:126 Patientdatalag m.m. s. 230). Enligt förevarande paragraf är det emellertid inte landstinget eller kommunen som är personuppgiftsansvarig. Istället är det den myndighet, nämnd, som behandlar personuppgifterna som är personuppgiftsansvarig. Sådan myndighet omfattar också sådana kommunala företag som avses i 1 kap. 9 sekretesslagen (1980:100), dvs. bolag, föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande. Bestämmelsen i sekretesslagen som regeringen hänvisar till ovan, återfinns nu i 2 kap. 3 offentlighets- och sekretesslagen (2009:400). Datainspektionen bedömer att Södersjukhuset, för det fall man är ett sådant aktiebolag som avses i 2 kap. 3 offentlighets- och sekretesslagen, omfattas av begreppet myndighet både i 2 kap. 6 patientdatalagen och i 7 kap. 7. Såvitt Datainspektionen kan bedöma utgör därför 7 kap. 7 patientdatalagen inget hinder för Södersjukhuset att vara personuppgiftsansvarig för central Sida 13 av 14

14 behandling av personuppgifter i Auricula. Det är dock i första hand en fråga för Södersjukhuset och övriga inrapporterande vårdgivare att avgöra. Hur man överklagar Om ni vill överklaga beslutet ska ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet ska ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Hans-Olof Lindblom, teamledaren Erik Janzon, ITsäkerhetsspecialisten Magnus Bergström och juristen Patrik Sundström, föredragande. Göran Gräslund Patrik Sundström Sida 14 av 14

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen Datum Diarienr 2010-10-11 1604-2009 Landstingsstyrelsen i Uppsala län Box 602 751 25 Uppsala Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen Datum Diarienr 2010-10-11 1725-2009 Styrelsen för Karolinska Universitetssjukhuset Stockholms läns landsting Box 22550 104 22 Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen Datum Diarienr 2010-10-11 1605-2009 Styrelsen för Karolinska Universitetssjukhuset 171 76 Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datum Diarienr 2010-05-21 1319-2009 Styrelsen för Sahlgrenska Universitetssjukhuset Torggatan 1 431 35 Mölndal Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datum Diarienr 2010-02-23 1333-2009 City Dental i Stockholm AB Box 16156 111 51 Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen konstaterar

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datum Diarienr 2010-02-23 1464-2009 Folktandvården i Stockholms län AB Huvudkontoret Olivecronas väg 7 113 82 Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens

Läs mer

Tillsyn - äldreomsorg

Tillsyn - äldreomsorg Datum Diarienr 2011-12-07 876-2010 TioHundranämnden Box 801 761 28 Norrtälje Tillsyn - äldreomsorg Datainspektionens beslut Datainspektionen konstaterar att TioHundranämnden i strid med 6 lagen om behandling

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datum Diarienr 2010-05-21 1318-2009 Regionstyrelsen Region Skåne 291 89 Kristianstad Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen konstaterar

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 573-2013 Vuxennämnden Eskilstuna kommun Vuxenförvaltningen 631 86 Eskilstuna Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 580-2013 Vård- och omsorgsnämnden Lunds kommun Vård- och omsorgsförvaltningen Box 41 221 00 Lund Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso-

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 571-2013 Vård- och omsorgsnämnden Botkyrka kommun Vård- och omsorgsförvaltningen 147 85 Tumba Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 587-2013 Vård- och omsorgsnämnden Östersunds kommun Vård- och omsorgsförvaltningen 831 82 Östersund Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso-

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 572-2013 Socialnämnden Emmaboda kommun Socialförvaltningen Box 54 361 21 Emmaboda Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 579-2013 Äldre- och handikappnämnden Lidingö stad Äldre- och handikappförvaltningen 181 82 Lidingö Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso-

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 578-2013 Äldrenämnden Karlskrona kommun Äldreförvaltningen 371 83 Karlskrona Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens

Läs mer

Tillsyn - äldreomsorg

Tillsyn - äldreomsorg Datum Diarienr 2011-12-07 877-2010 TioHundra AB Box 905 761 29 Norrtälje Tillsyn - äldreomsorg Datainspektionens beslut Datainspektionen konstaterar att TioHundra AB 1. I Procapita genom direktåtkomst

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 574-2013 Socialnämnden Falkenbergs kommun 311 80 Falkenberg Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens beslut

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 576-2013 Socialnämnden Hultsfreds kommun Box 508 577 26 Hultsfred Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens

Läs mer

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert. Beslut Diarienr 2013-03-15 1049-2012 Socialnämnden i Umeå kommun Skolgatan 31 A 901 84 Umeå Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert. Datainspektionens

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 586-2013 Omsorgsnämnden Trollhättans stad 461 83 Trollhättan Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens beslut

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 577-2013 Omsorgsnämnden Kalmar kommun Omsorgsförvaltningen Box 848 391 28 Kalmar Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 570-2013 Socialnämnden Bollnäs kommun 821 80 Bollnäs Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens beslut Socialnämnden,

Läs mer

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert. Beslut Diarienr 2013-03-15 1048-2012 Kommunstyrelsen Älvsbyns kommun 942 85 Älvsbyn Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert. Datainspektionens beslut

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datum Diarienr 2011-12-12 749-2011 Capio S:t Görans Sjukhus 112 81 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datainspektionens beslut Datainspektionen

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datum Diarienr 2011-12-12 750-2011 Landstingsstyrelsen Landstinget Blekinge 371 81 Karlskrona Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datainspektionens beslut

Läs mer

Samråd om registrering av beslutsoförmögna i det nationella kvalitetsregistret Senior Alert

Samråd om registrering av beslutsoförmögna i det nationella kvalitetsregistret Senior Alert Datum Diarienr 2011-09-16 708-2011 Personuppgiftsombudet NN Samråd om registrering av beslutsoförmögna i det nationella kvalitetsregistret Senior Alert Frågeställning Du har ställt en fråga om hur ni ska

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 584-2013 Socialnämnden Skellefteå kommun Socialkontoret 931 85 Skellefteå Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datum Diarienr 2010-04-28 1650-2009 AB Previa Box 4080 171 04 Solna Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen konstaterar att AB Previa (härefter

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Sammanhållen journalföring 6 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Sammanhållen journalföring 6 kap. patientdatalagen Datum Diarienr 2010-06-29 1390-2009 Landstingsstyrelsen Örebro läns landsting Box 1613 701 16 Örebro Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Sammanhållen journalföring 6 kap. patientdatalagen

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post Datum Diarienr 2011-12-12 751-2011 Landstingsstyrelsen Jämtlands läns landsting Box 602 832 23 Frösön Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post Datainspektionens

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Sammanhållen journalföring 6 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Sammanhållen journalföring 6 kap. patientdatalagen Datum Diarienr 2010-06-29 1392-2009 1512-2009 Örebro kommun Vård- och omsorgsnämnderna Öster och Väster Box 34600 701 35 Örebro Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Sammanhållen journalföring

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller Beslut Diarienr 1 (8) 2017-06-13 990-2016 Feelgood Företagshälsovård AB Box 101 11 100 55 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) 4 kap. patientdatalagen m.m.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) 4 kap. patientdatalagen m.m. Datum Diarienr 2010-07-07 748-2009 Landstingsstyrelsen Gävleborgs läns landsting 801 87 Gävle Beslut efter tillsyn enligt personuppgiftslagen (1998:204) 4 kap. patientdatalagen m.m. Datainspektionens beslut

Läs mer

Kvalitetsregister & Integritetsskydd. Patrik Sundström, jurist SKL

Kvalitetsregister & Integritetsskydd. Patrik Sundström, jurist SKL Kvalitetsregister & Integritetsskydd Patrik Sundström, jurist SKL Varför finns det ett regelverk för nationella kvalitetsregister? - Många känsliga uppgifter - Om många människors hälsa - Samlade på ett

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen Beslut Diarienr 2011-02-17 616-2010 Landstingsstyrelsen Landstinget i Uppsala län Box 602 751 25 Uppsala Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte Beslut Diarienr 2011-04-01 1579-2010 Socialnämnden i Botkyrka Kommun 147 785 Tumba Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte Datainspektionens beslut Datainspektionen

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande genom direktåtkomst

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande genom direktåtkomst Beslut Diarienr 1 (7) 2016-12-19 1567-2016 Regionstyrelsen Region Jönköpings län Box 1024 551 11 Jönköping Tillsyn enligt personuppgiftslagen (1998:204) utlämnande genom direktåtkomst Datainspektionens

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) behörighetsstyrning m.m. enligt patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) behörighetsstyrning m.m. enligt patientdatalagen Datum Diarienr 2013-08-26 920-2012 Styrelsen för Karolinska universitetssjukhuset Sjukhusledningen C1:89 141 86 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) behörighetsstyrning m.m. enligt patientdatalagen

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datum Diarienr 2011-12-12 757-2011 Socialnämnden Lunds Kommun 221 00 Lund Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen Beslut Diarienr 2012-02-21 642-2011 Karolinska universitetssjukhuset Styrelsen Sjukhusledningen C 1 89 141 86 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap.

Läs mer

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården Yttrande Diarienr 1(7) 2015-09-15 1284-2015 Ert diarienr 4.1-39055/2013 Socialstyrelsen 106 30 Stockholm Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i

Läs mer

Tillgång till patientuppgifter - krav på spärrar och aktiva val. Katja Isberg Amnäs Magnus Bergström Datainspektionen

Tillgång till patientuppgifter - krav på spärrar och aktiva val. Katja Isberg Amnäs Magnus Bergström Datainspektionen Tillgång till patientuppgifter - krav på spärrar och aktiva val Katja Isberg Amnäs Magnus Bergström Datainspektionen En presentation i fem delar Behörighetsstyrning Åtkomstkontroll Regler om inre sekretess

Läs mer

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen Datainspektionens granskningar av integritetsskyddet inom vård och omsorg Erik Janzon Datainspektionen Några utgångspunkter Lagstiftaren och EU vill ha integritet Digitala vinster & digitala risker Integritet

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL 1 (8) Beslut Dnr 2008-09-09 128-2008 Internationella Engelska Skolan AB Styrelsen Nytorpsvägen 5A 183 53 Täby Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Beslut Dnr 2008-09-09 685-2008 Produktionsnämnden för vård och bildning Uppsala kommun 753 75 UPPSALA Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datum Dnr 2008-06-23 473-2008 Stadsdelsnämnden Södra Innerstaden, Malmö stad Box 7070 200 42 Malmö samt via e-post och fax sodrainnerstaden@malmo.se 040-346460 Beslut efter tillsyn enligt personuppgiftslagen

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datum Diarienr 2011-12-12 755-2011 Socialnämnden Södertälje Kommun 151 89 Södertälje Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen

Läs mer

Kvalitetsregisterdag 2009-04-22

Kvalitetsregisterdag 2009-04-22 Kvalitetsregisterdag 2009-04-22 Patientdatalagen och kvalitetsregister Camilla Ziegler Enheten för juridik Region Skåne 1 Nationella och regionala kvalitetsregister Syfte Inrättats för ändamålet att systematiskt

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte Beslut Diarienr 2011-04-01 1523-2010 Försäkringskassan Klara Västra kyrkogata 11 103 51 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte Datainspektionens

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Beslut Dnr 2008-09- 09 810-2008 Utbildningsnämnden i Skövde kommun 541 83 SKÖVDE Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen konstaterar att

Läs mer

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datum Diarienr 2013-05-31 1383-2012 Regionstyrelsen Region Halland Box 517 301 80 Halmstad Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datainspektionens beslut Datainspektionen

Läs mer

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datum Diarienr 2013-05-31 1380-2012 Landstingsstyrelsen Landstinget i Värmland 651 82 Karlstad Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datainspektionens beslut

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datum Diarienr 2011-12-12 756-2011 Socialnämnden Sundsvalls kommun 851 85 Sundsvall Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Beslut Dnr 2008-02-25 1161-2007 Apoteket AB 118 81Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datainspektionen konstaterar följande. Apoteket AB (Apoteket) saknar rutiner för systematiska

Läs mer

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datum Diarienr 2013-05-31 1445-2012 Landstingsstyrelsen Landstinget i Västmanland 721 89 Västerås Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datainspektionens beslut

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datum Diarienr 2010-02-23 1646-2009 Praktikertjänst AB Adolf Fredriks Kyrkogata 9A 103 55 Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datum Diarienr 2013-05-08 643-2012 Socialnämnden Järfälla kommun 177 80 Järfälla Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Socialdemokraternas medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Socialdemokraternas medlemsregister Datum Diarienr 2014-03-31 1287-2013 Socialdemokraterna 105 60 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Socialdemokraternas medlemsregister Datainspektionens beslut

Läs mer

Tillsynsbeslut; omdömen om elever

Tillsynsbeslut; omdömen om elever 20 Datum Diarienr 2010-05-03 986-2009 Enköpings kommun Nämnden för förskola och grundskola 745 80 Enköping Tillsynsbeslut; omdömen om elever Datainspektionens beslut 1. Datainspektionen konstaterar att

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister Datum Diarienr 2014-03-31 1293-2013 Kristdemokraterna Box 2373 103 18 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister Datainspektionens

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Försäkringskassan

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Försäkringskassan Datum Diarienr 2009-06-23 1764-2008 Försäkringskassan 103 51 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Försäkringskassan Datainspektionens beslut Datainspektionen

Läs mer

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datum Diarienr 2012-06-15 738-2011 Landstingsstyrelsen Norrbottens läns landsting 971 89 Luleå Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datainspektionens beslut

Läs mer

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datum Diarienr 2012-06-15 723-2011 Landstingsstyrelsen Landstinget i Kalmar län Box 601 391 26 Kalmar Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datainspektionens

Läs mer

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datum Diarienr 2013-05-31 1401-2012 Landstingsstyrelsen Västerbottens läns landsting 901 89 Umeå Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datainspektionens beslut

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar

Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar Datum Diarienr 2013-09-11 1613-2011 Danske Bank A/S Filial Sverige NN Box 7523 103 92 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar Datainspektionens beslut Danske

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datum Diarienr 2009-12-11 1345-2009 Utbildningsnämnden i Stockholms stad Box 22049 104 22 Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datum Diarienr 2013-05-08 1552-2012 Socialnämnden i Norrköpings kommun Rådhuset 601 81 Norrköping Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning

Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning Beslut Diarienr 1 (9) 2015-07-03 518-2015 Vård- och omsorgsnämnden Österåkers kommun 184 86 Åkersberga Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning

Läs mer

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datum Diarienr 2012-06-15 724-2011 Hälso- och sjukvårdnämnden Region Gotland 621 81 Visby Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datainspektionens beslut Datainspektionen

Läs mer

Kvalitetsregister & legala förutsättningar. Moa Malviker Wellermark, Jurist SKL, Landstingsjurist LiÖ

Kvalitetsregister & legala förutsättningar. Moa Malviker Wellermark, Jurist SKL, Landstingsjurist LiÖ Kvalitetsregister & legala förutsättningar Moa Malviker Wellermark, Jurist SKL, Landstingsjurist LiÖ Vad är ett kvalitetsregister i lagen? - Samling av uppgifter om individer (personuppgifter) för syftet

Läs mer

Bilaga 1. Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL. Ärendet avslutas men kan komma att följas upp.

Bilaga 1. Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL. Ärendet avslutas men kan komma att följas upp. Bilaga 1 Datum Diarienr 2009-12-11 1344-2009 Utbildningsnämnden i Stockholms stad Box 22049 104 22 Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag Beslut Dnr 2008-07-02 632-2008 Eslövs Bostads AB Box 225 241 23 Eslöv Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag Datainspektionens beslut

Läs mer

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datum Diarienr 2012-06-15 745-2011 Carema Sjukvård AB Carema Vårdcentral Skogås Melodivägen 6 142 40 Skogås Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datainspektionens

Läs mer

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datum Diarienr 2013-05-31 1398-2012 Landstingsstyrelsen Landstinget Blekinge 371 81 Karlskrona Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datainspektionens beslut

Läs mer

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datum Diarienr 2013-05-31 1419-2012 Landstingsstyrelsen Landstinget i Östergötland 581 91 Lidköping Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datainspektionens

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Beslut Dnr 2006-12-12 1896-2005 Landstingsstyrelsen Landstinget i Värmland 651 82 Karlstad (er beteckning LK/052693) Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datainspektionens beslut

Läs mer

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datum Diarienr 2012-06-15 730-2011 Landstingsstyrelsen Landstinget i Värmland 651 82 Karlstad Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datainspektionens beslut Datainspektionen

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 585-2013 Omvårdnadsnämnden Solna stad Omvårdnadsförvaltningen 171 86 Solna Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister Datum Diarienr 2014-03-31 1288-2013 Vänsterpartiet Box 12660 112 93 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister Datainspektionens beslut

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande av uppgifter om medlemmar

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande av uppgifter om medlemmar Beslut Dnr 2008-10-15 1176-2008 De handikappades riksförbund Box 47305 100 74 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) utlämnande av uppgifter om medlemmar Datainspektionens beslut Datainspektionen

Läs mer

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datum Diarienr 2013-05-31 1405-2012 Landstingsstyrelsen Landstinget i Sörmland Repslagaregatan 19 611 32 Nyköping Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datainspektionens

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering Beslut Dnr 2009-01-12 780-2008 Big Travel Sweden AB Jöns Filsgatan 3 203 12 Malmö Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering Datainspektionens

Läs mer

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28) Yttrande Diarienr 2012-04-13 1825-2011 Ert diarienr Ju2011/1164 Ju2011/7648 Justitiedepartementet Straffrättsenheten 103 33 STOCKHOLM Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade

Läs mer

Patientdatalagen (PdL) och Informationssäkerhet

Patientdatalagen (PdL) och Informationssäkerhet Patientdatalagen (PdL) och Informationssäkerhet Maria Bergdahl, jurist Mikael Ejner, IT-säkerhetsspecialist Datainspektionen Några utgångspunkter Lagstiftaren och EU vill ha integritet Integritet ej motsatt

Läs mer

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datum Diarienr 2012-06-15 736-2011 Landstingsstyrelsen Jämtlands läns landsting Box 654 831 27 Östersund Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datainspektionens

Läs mer

Patientdatalag (2008:355)

Patientdatalag (2008:355) Patientdatalag (2008:355) SFS nr: 2008:355 Departement/myndighet: Socialdepartementet Utfärdad: 2008-05-29 Ändrad: t.o.m. SFS 2013:1024 Tryckt version: pdf, utan ändringar (Lagrummet) Ändringsregister:

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 575-2013 Omsorgsnämnden Gävle kommun 801 84 Gävle Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens beslut Datainspektionen

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Datum Diarienr 2013-05-03 653-2012 Max Matthiessen AB Att: N N Box 5908 114 89 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) Datainspektionens beslut Datainspektionen konstaterar att Max Matthiessen

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204); behandling av personuppgifter för kontroll av anställda

Tillsyn enligt personuppgiftslagen (1998:204); behandling av personuppgifter för kontroll av anställda Beslut Dnr 2007-06-27 87-2007 Carlsberg Sverige AB Bryggerivägen 10 161 86 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204); behandling av personuppgifter för kontroll av anställda Beslut Datainspektionen

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Patientdatalag; utfärdad den 29 maj 2008. SFS 2008:355 Utkom från trycket den 11 juni 2008 Enligt riksdagens beslut 1 föreskrivs följande. 1 kap. Lagens tillämpningsområde m.m.

Läs mer

Datainspektionens tillsyn av länsstyrelsernas elektroniska förvaltning

Datainspektionens tillsyn av länsstyrelsernas elektroniska förvaltning Bilaga 1 Datainspektionens tillsyn av länsstyrelsernas elektroniska förvaltning Datainspektionen granskade under år 2010 Länsstyrelsen i Västra Götalands hantering av personuppgifter i den elektroniska

Läs mer

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation Presentation Informationssäkerhet Kim Strandberg Informationssäkerhetsstrateg/jurist kim.strandberg@regionostergotland.se 010-103 03 385 Region Informationssäkerhet, Östergötland 2015-03-11, Kim Strandberg

Läs mer

Kom med du också ditt bidrag hjälper till att göra vården bättre!

Kom med du också ditt bidrag hjälper till att göra vården bättre! Nationellt kvalitetsregister samt stöd i den individuella vården för patienter med primär immunbrist och/eller ökad infektionskänslighet Kom med du också ditt bidrag hjälper till att göra vården bättre!

Läs mer

Svar från Datainspektionen på er begäran om samråd angående hälsoverktyg inom elevhälsovården

Svar från Datainspektionen på er begäran om samråd angående hälsoverktyg inom elevhälsovården Datum Diarienr 2015-01-19 2132-2014 Gnosjö kommun Per Kjöllerström per.kjollerstrom@edu.gnosjo.se Eksjö kommun Roger Hvitman roger.hvitman@eksjo.se Svar från Datainspektionen på er begäran om samråd angående

Läs mer

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datum Diarienr 2012-06-15 741-2011 Capio S:t Görans sjukhus AB 112 81 Stockholm Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datainspektionens beslut Datainspektionen

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte Beslut Diarienr 2011-04-01 1578-2010 Socialnämnden i Jönköpings Kommun Socialförvaltningen V Störgatan 16 (Juneporten) 551 89 Jönköping Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL 1 (6) Beslut Dnr 2008-09-09 1310-2007 Bildningsnämnden Upplands-Bro kommun 196 81 Kungsängen Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen konstaterar

Läs mer

Tillsyn mot Wihlborgs Fastigheter AB avseende användning av positioneringssystemet ABAX

Tillsyn mot Wihlborgs Fastigheter AB avseende användning av positioneringssystemet ABAX Datum Diarienr 2014-02-07 234-2013 Wihlborgs Fastigheter AB Dockplatsen 16 Box 97 201 20 Malmö Tillsyn mot Wihlborgs Fastigheter AB avseende användning av positioneringssystemet ABAX Datainspektionens

Läs mer

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datum Diarienr 2012-06-15 718-2011 Landstingsstyrelsen Landstinget i Uppsala län Box 602 751 25 Uppsala Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datainspektionens

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering Beslut Dnr 2009-01-12 786-2008 Kuoni Scandinavia AB Box 454 39 113 47 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering Datainspektionens

Läs mer