Bakgrund. RÄTTSPROMEMORIA Version: Sid 1/6. Tel

Relevanta dokument
Juridiska frågor och svar om försäkringsmedicinska utredningar rörande personuppgiftsbehandling och dokumentation

Patientlag (SOU 2013:2)

HälsaFörMig en säker elektronisk lagringsplats där den enskilde kan samla sin hälsoinformation

Svevac - Beskrivning och tjänstespecifika villkor

Instruktioner gällande behandling av personuppgifter

Avtal om Kundens användning av Svevac Bilaga 3 - Instruktioner gällande behandling av personuppgifter

Avtal om Kundens mottagande av intyg från Mina intyg Bilaga 1 - Specifikation av tjänsten mottagande av intyg från Mina Intyg

Yttrande i Förvaltningsrätten i Stockholms mål

Patientlagen. Ny lag som reglerar vad som gäller ur patientens perspektiv. Börjar gälla 1 januari 2015

REGISTERFORSKNING OCH GRUNDLÄGGANDE JURIDIK FÖR KVALITETSREGISTER. Manólis Nymark, jurist, SKL

Stöd och behandling. Beskrivning och tjänstespecifika villkor

Insamling av hälsodata i hemmet

Regelverk för digital utomlänsfakturering

Svensk författningssamling

Dataskyddsförordningen

Kommittédirektiv. Tilläggsdirektiv till Utredningen om stärkt ställning för patienten genom en ny patientlagstiftning (S 2011:03) Dir.

Tillsyn enligt personuppgiftslagen (1998:204) - E-Hälsomyndighetens tjänst Hälsa För Mig

Gallring av information på invånarsidan i 1177 Vårdguidens e-tjänster

Patientdatalag (2008:355)

Bilaga 1. Preliminär juridisk rapport

Journalen på nätet ett nationellt projekt. Sofie Zetterström, programansvarig invånartjänster

Avtal om Kundens användning av Svevac Bilaga 2 - Instruktioner gällande behandling av personuppgifter

Avtal om Kundens användning av Personuppgiftstjänsten Bilaga 1 - Specifikation av Personuppgiftstjänsten

Samordnad individuell plan (Sip) i Uppsala län

Samordnad individuell planering (SIP) med Meddix Öppenvård

DOM Meddelad i Stockholm

Rätt information på rätt plats i rätt tid (SOU 2014:23) remissvar till kommunstyrelsen

Mål nr ; E-hälsomyndigheten./. Datainspektionen

Ramverk för invånares åtkomst till journalen

SIP - Samordnad individuell plan. Annika Nilsson-Wendel Verksamhetsutvecklare BUP Skåne

Vi ska genom att arbeta med utvecklingen av nationell e-hälsa bidra till en bättre hälsa, vård, och omsorg.

Dokumenthantering - legala förutsättningar och interna beslut

Från: Kent Sangmyr och Charlene Holmström Datum: 9 maj 2012 Angående: Utredning angående regelverket kring vårdens intyg till Försäkringskassan

Handlingsplan Samordnad Individuell Plan

Avtal om Kundens användning av

Enklare att utveckla e- tjänster med gemensam arkitektur och infrastruktur

Avtal om Kundens användning av Svevac Bilaga 1 - Specifikation av tjänsten Svevac

Förklaringar till Nationellt regelverk för enskilds direktåtkomst till journalinformation

Kvalitetsregisterdag

Yttrande över Idébetänkande SOU 2002:31 Vinst för vården. Landstingsstyrelsen föreslår landstingsfullmäktige

Modellavtal 2. Personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

I landsting, kommuner och hos privata vårdgivare

Personuppgiftsbiträdesavtal samt fullmakt för Inera AB att teckna personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

Lagstöd för att dela patientinformation vid MDK (Multidisciplinära konferenser)

Att. GDPR Humlegårdsgatan , Stockholm. Besök oss gärna på

DATA I EGNA HÄNDER EN ESO-RAPPORT OM PERSONLIGA HÄLSOKONTON

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter.

Samverkansrutin för landsting och kommun

SIP Samordnad Individuell Plan

Juridiken kring tillgång och användning av medicinsk information: till hjälp eller något som stjälper?

Tjänsteavtal för ehälsotjänst

Strategi för systematisk uppföljning och granskning av hälso- och sjukvården i Stockholms läns landsting

Välfärdsutredningens slutbetänkande Kvalitet i välfärden (SOU 2017:38)

Datainspektionen informerar

Elektronisk remiss. Beskrivning och tjänstespecifika villkor

Kvalitetsregister & Integritetsskydd. Patrik Sundström, jurist SKL

Varför en ny lag? Patientlag

Eva Leach Elfgren, ehälsomyndigheten

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Rådgivningsstödet webb. Beskrivning och tjänstespecifika villkor

Rätt information på rätt plats och i rätt tid (SOU 2014:23) remissvar

Värdegrund. för hälso- och sjukvården i Stockholms läns landsting

Marknadsundersökning Personligt Hälsokonto Personligt Hälsokonto (2) Datum: Version: Författare: I N T E R N T

Ds 2018:17 Ändring av det kön som framgår av folkbokföringen

Nationell tjänst för högkostnadsskydd och frikort

Hälso- och sjukvårdsnämnden

Viktigt förtydligande angående användningen av fråga-svarsfunktionen

Telia Healthcare Information-PTS, Samordnad efterfrågan Jörgen Fredriksson, Telia

1. Bakgrund. 2. Parter. 3. Definitioner

Rätt information på rätt plats och i rätt tid (SOU 2014:23) remissvar

Mina Vårdkontakter och HälsaFörMig - hur kompletterar de varandra?

Delbetänkande SOU 2017:40 För dig och för alla

Definition av begrepp vårdval fysioterapi inom primärvårdsrehabilitering

PERSONUPPGIFTSBITRÄDESAVTAL. Detta personuppgiftsbiträdesavtal har träffats mellan följande parter.

Möte med läns- och regionförbunden i september 2014

Nyheter inom regelverket som berör de medicinska insatserna inom elevhälsan Skolsköterskekongressen 2014

Patientlagen Sofie Tängman Staben för verksamhetsutveckling

Sammanhållen journalföring inom hälso- och sjukvård

Kvalitetsregister. Tårtbitar och beslutsstöd. Per Bergstrand personuppgiftsombud Region Skåne

Patientlagen Josefin Leijon och Sofie Tängman

Strand Kapitalförvaltning AB:s integritetspolicy

Västra Götalandsregionen Vårdval Rehab

Policy för hantering av privata leverantörer

Slutbetänkande SOU 2018:4 Framtidens biobanker

Information om patient för patient - arbetet med elektronisk kommunikation mellan patient och profession

Patientavgifter vid digitala vårdmöten

Patientlagen 2014:821. Anna Åberg Avdelningen för juridik Sveriges Kommuner och Landsting

Arbetsflöden för hantering av Försäkringskassans medicinska underlag

Det rättsliga utrymmet för programtrogen ACT-verksamhet

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Sammanhållen journalföring 6 kap. patientdatalagen

Rutin fö r samördnad individuell plan (SIP)

Några juridiska funderingar kring trygghetstekniker. Manólis Nymark MVT 2016

Ellinor Englund. Avdelningen för juridik

Samordnad individuell plan, SIP

E-hälsoutvecklingen i kommunerna

Fördjupning: Juridik vid införande av välfärdsteknik. Jeanna Thorslund, Jurist och Samordnare Informationssäkerhet, SKL Manólis Nymark, Jurist

Patientlagen inspirationsdagar om bemötande och kommunikation. Januari 2015

Samordnad individuell plan

Granskning av landstingets hantering av personuppgifter

Samtycke vid direktåtkomst till sammanhållen journalföring

Transkript:

Vårdgivares personuppgiftsansvar vid anlitande av tredjepartstjänster för hemmonitorering som kombineras med ett personligt lagringskonto för patienter Denna promemoria berör hur långt en vårdgivares personuppgiftsansvar sträcker sig vid anlitande av leverantörer som erbjuder tjänster och produkter som låter patienter mäta medicinska värden i hemmet och överföra dem till en vårdgivare. Promemorian berör också vem vårdgivaren eller leverantören som är personuppgiftsansvarig för personuppgiftsbehandlingen när mätvärden från samma mätutrustning överförs till ett personligt lagringskonto som patienter förfogar över och som tillhandahålls av antingen vårdgivaren eller leverantören. Bakgrund Promemorian är ett resultat av två samverkansmöten 1 mellan Telia, Sveriges Kommuner och Landsting (SKL), Inera AB, Region Östergötland (RÖ) och Landstinget i Uppsala län (LUL). Mötena har varit påkallade för att utvärdera rättsläget i ett flertal piloter. Piloter syftar till att utvärdera e-tjänster och produkter inom ehälsa som erbjuds av Telia. Den huvudsakliga frågeställningen är hur långt vårdgivares personuppgiftsansvar sträcker sig för den behandling av personuppgifter som aktualiseras när vårdgivare tar i anspråk tredjepartstjänster för hemmonitorering som kombineras med ett personligt lagringskonto för patienter, samt, i motsvarande mån, patientens utrymme att själv bestämma över de data som genereras i mätutrustningen i hemmet. Syftet med promemorian är att dokumentera och sprida kunskap om mötets slutsatser om rättsläget samt val av lösning i syfte att åstadkomma en tydlig separation mellan vårdgivarens respektive individens egen privata personuppgiftsbehandling i den nu aktuella situationen. Det är deltagande parters förhoppning att promemorian kan tjäna till vägledning för andra vårdgivare som överväger att anlita leverantörer som erbjuder motsvarande tjänster och produkter. 1 Två möten: 22 mars respektive 18 april 2016. Sid 1/6

Frågeställningar I aktuella piloter har följande gemensamma förutsättningar varit för handen: Vårdgivaren har tillhandahållit ett personligt hälsokonto åt patienten Vårdgivaren har tillhandahållit mätutrustning åt patienten. Vårdgivaren har finansierat hälsokontona. Hälsokontot är en tjänst på Telias tjänsteplattform HomeCare. Avtal om kontot tecknas mellan Telia och patienten. Telias HomeCare-koncept bygger på principen om patientens självbestämmande, anhörigvård samt individers önskemål om att kunna följa sin egen hälsoutveckling eller stimulera viss forskning genom att samla in och dela data med andra individer om sin egen sjukdom. Vårdgivaren finansierar i dagsläget kontona. Mätutrustningen kommunicerar med patientens personliga hälsokonto, inte med vårdgivaren. Telia erbjuder också appar som kommunicerar med kontot. I en av piloterna fyller patienten i hälsorelaterade uppgifter i en elektronisk enkät på sin mobila enhet som överförs till kontot. Med patientens godkännande lämnar Telia ut lagrade mätvärden från det personliga hälsokontot till mottagande vårdgivare. Det kan vara ett landsting eller en privat vårdgivare som landstinget har anlitat för att monitorera inkommande värden och agera på avvikelser, en s.k. vårdoperatör. Berörda vårdgivare i aktuella piloter har rest frågan vem som faktiskt bestämmer över personuppgiftsbehandlingen i mätutrustning och patientens personliga hälsokonto. De är tveksamma om patienten har en ensam förfoganderätt över mätuppgifter i ett konto som en vårdgivare tillhandahåller och finansierar, oavsett om det rör sig om s.k. egenvård eller sjukvård. De menar att övervägande skäl talar för att de i rollen som vårdgivare i aktuella piloter har ett utsträckt personuppgiftsansvar som omfattar inte bara de uppgifter som upparbetas i mätutrustning utan även för samma uppgifter när de momentant lagras på patientens personliga konto på Telias plattform, och vidare när de lämnas ut därifrån till vårdgivarens systemmiljö, trots att de inte i alla delar av personuppgiftsbehandlingen har kontroll över densamma. Problemet med ett sådant utsträckt personuppgiftsansvar för vårdgivare är enligt följande: Vårdgivaren har inte full kontroll över personuppgiftsbehandlingen i t.ex. patientens personliga hälsokonto Vårdgivaren riskerar att bli ansvarig för behandling av personuppgifter i kontot som en vårdgivare inte har efterfrågat utan som en annan aktör eller patienten själv tillför kontot. Sid 2/6

Rättsläget är oklart Rättsläget är oklart beträffande vem som ansvarar för vad med avseende på personuppgifter som genereras vid distansvård och egenvård som utövas med tekniska hjälpmedel av olika slag. Lagstiftning, förarbeten och praxis ger ingen vägledning. Det är omständigheterna i varje enskilt fall som avgör om en vårdgivare blir personuppgiftsansvarig samt i vilken omfattningen och utsträckningen vis a vis patientens egen behandling av personuppgifter som är av rent privat natur. Som exempel på omständigheter som talar för att en vårdgivare får ett utsträckt personuppgiftsansvar för patientens behandling av uppgifter kan nämnas följande: Vårdgivaren tillhandahåller mätutrustningen eller finansierar den Vårdgivaren tillhandahåller det personliga kontot eller finansierar det Vårdgivaren instruerar vilka data som ska lämnas ut och i vilka intervaller Patienten är föremål för ett pågående vårdärende Det råder också konsensus om att det är oklart vem som förfogar eller bestämmer över de uppgifter som genereras av mätutrustning som tillhandahålls av vårdgivare i hemmet vårdgivaren eller patienten? Hos vem är uppgifterna är förvarade i det ögonblick de skapas i utrustningen? (Jfr förvaringsrekvisitet för allmänna handlingar i 2 kap. 3 tryckfrihetsförordningen.) Å ena sidan torde data inte vara tillgängliga för en vårdgivare i det ögonblick den skapas av mätutrustningen i patientens hem, t.ex. i en intern minneskrets, utan först när utrustningen lämnar ut (överför) den till vårdgivaren. Patienten kontrollerar också till stora delar när data ska genereras och har därmed ett bestämmande inflytande över dess tillkomst. Å andra sidan äger vårdgivaren mätutrustningen. Utrustningen utgör hjälpmedel enligt hälso- och sjukvårdslagen. Hjälpmedel överlåts sällan av vårdgivare till patienter med en äganderätt utan lämnas ut med en nyttjanderätt. En vårdgivare kan dessutom tänkas ha viss kontroll över de hjälpmedel som lämnas ut, t.ex. huruvida ett trygghetslarm fungerar. Övervägande skäl talar för att patienten förfogar över data i det ögonblick den skapas i mätutrustning som tillhandahålls av en vårdgivare, men omständigheterna, t.ex. tekniska lösningar, i det enskilda fallet kan visa på motsatsen. Paralleller kan dras till en situation där patienten får två pappersenkäter av en vårdgivare och fyller i båda. En enkät ges in till vårdgivaren (och blir förvarad först då hos vårdgivaren) och den andra enkäten behåller patienten. Frågan om var uppgifterna är förvarade när de genereras i mätutrustningen behöver dock utredas vidare. Ägandefrågan ska separeras från personuppgiftsansvaret och persondataskyddsregleringen. Det är två olika regelverk. Om omständigheterna är sådana att en vårdgivare är personuppgiftsansvarig för behandlingen av personuppgifter Sid 3/6

i mätutrustning, ansvarar vårdgivaren för skyddet av personuppgifterna i mätutrustning, t.ex. förhindra manipulation av data. Det är således vårdgivaren som bestämmer vilka nätverk och mottagare som mätutrustningen får kommunicera med, trots att patienten äger uppgifterna. Det torde dock inte finnas några praktiska problem med ett sådant ansvar; en vårdgivare torde sällan ha anledning att neka patienten att få ta del av uppgifter från mätutrustning. Konsumentfallet I rena konsumentfall, där en invånare tecknar ett bilateralt avtal med en privat leverantör om ett personligt konto och införskaffar själv eller erhåller från leverantören mätutrustning som genererar data, råder det ingen tvekan om att behandlingen av personuppgifter är av rent privat natur, och att leverantören har ett begränsat personuppgiftsansvar som begränsar sig till skyddet av uppgifter på kontot och i övrigt behandlar personuppgifterna med stöd av kundens samtycke. Att patienten sedan väljer självmant eller på uppmaning av en vårdgivare att lämna ut uppgifter som finns förvarade på kontot till vårdgivaren innebär inte att vårdgivaren blir personuppgiftsansvarig för uppgifterna på kontot. Vårdgivaren har ju inte ett bestämt ett faktiskt inflytande över insamlingen och efterföljande behandling i kontot. Lösningar Ett sätt att bevara patientens autonomi och rådighet över sina data samt undvika att vårdgivare hamnar i en situation där de blir personuppgiftsansvariga för personuppgifter på kontot som saknar helt relevans för vårdgivarens verksamhet är att t.ex. överföra data från mätutrustning direkt till vårdgivaren utan att passera kontot. Med en sådan lösning är vårdgivaren enbart personuppgiftsansvarig för de uppgifter som överförs från mätutrustningen till vårdgivaren. Lösningen kräver alltså inte att patienten disponerar över ett personligt konto. Sid 4/6

Grundidén med ett personligt hälsokonto är emellertid att invånare och patienter, som har ett intresse för sin egen hälsa och ser sig själva som en jämbördig part med vården, vill ta del av och bevara samma data som en vårdgivare efterfrågar. Kan en överföring av uppgifter därför också ske till det personliga kontot, förutom att de överförs direkt till en vårdgivare? Det finns inga juridiska hinder för en sådan lösning. Den råder bot på de problem som berörda vårdgivare har rest i ärendet samtidigt som patientens självbestämmande och autonomi inte beskärs. Lösningen förutsätter att vårdgivaren inte tillhandahåller ett personligt hälsokonto. Lösningen har flera fördelar förutom att skapa klarhet om vårdgivarens personuppgiftsansvar respektive patientens utrymme att bestämma och ta ansvar för sin egen hälsa och hälsoutveckling, själv eller tillsammans med andra patienter med samma diagnos eller anhöriga. Vårdgivaren har bättre kontroll över personuppgiftsbehandlingen Offentlig vårdgivare riskerar inte att bryta mot kommunalrättsliga förbud, t.ex. förbudet mot stöd till enskild genom att gratis överlåta ett personligt konto till patienter hos en kommersiell marknadsaktör Vårdgivaren kan styra över vilka uppgifter och mätvärden man vill ha och i vilken omfattning Patienten kan styra över vilka uppgifter och mätvärden man vill ha och i vilken omfattning till det personliga hälsokontot Sid 5/6

Den omständigheten att en vårdgivare tillhandhåller mätutrustningen påverkar inte negativt lösningen/modellen. Vem som äger de data som upparbetas i mätutrustningen i det ögonblick de skapas har diskuterats ovan. Det erinras att denna promemoria berör de fallsituationer/piloter som har avhandlats vid mötet. Det går inte att uteslutas att andra varianter av fallsituationerna kan behöva bedömas juridiskt annorlunda. På uppdrag av mötesdeltagarna Manólis Nymark Sid 6/6

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss