Register nr OBS! Ta ut en papperskopia som undertecknas. Anvisningar hur blanketten ska fyllas i finns i slutet av detta formulär. Anmälan om behandling av personuppgifter samt ändring av tidigare anmälan Blanketten skickas till Bass Johansson, Sjukhuskansliet, Angereds Närsjukhus Personuppgiftslagen i fulltext kan hämtas på Datainspektionens hemsida: www.datainspektionen.se Personuppgiftsansvarig: 1. Förvaltning:... Verksamhetsområde:...... 2. Kontaktperson:.... Telefonnummer:.... Arbetsplats:....e-postadress.. Datum:... Ansvarig chefs underskrift Namnförtydligande:..... 3. Personregistrets benämning. 4. Hur sker information till de registrerade? 5. Innehållet i personregistret
6. Ändamålet för upprättande av personregister 7. Informationsklassning Offentliga uppgifter Medicinsk information Känsliga personuppgifter t.ex. genetiska uppgifter, sexualliv 8. Innehåller registret personidentifiering? Finns tillstånd från etikprövningsnämnd? Hur länge ska personuppgifterna användas/sparas? Om ja, medsänd ansökan och beslut.. 9. Kategorier av personer som behandlas i personregistret 10. På vilket sätt tillförs personuppgifterna till personregistret 2
11 Krävs lösenord för åtkomst till personregistret? Annat intrångsskydd, såsom: 12 Vem utdelar behörighet till registret? Namn:... Arbetsplats:... Ungefärligt antal registrerade användare:... 13. Kan behörighetsnivån delas upp i olika funktioner (titta, skriva, ändra eller makulera)? 14. Finns automatiskt system för registrering av samtliga händelser? (Händelselogg) Vem verkställer systematisk kontroll av loggar? 15. De mottagare till vilket uppgifterna kan komma att lämnas ut. 16. Var finns systemdokumentation? (Excel, Word e.dyl.) 3
17. Registret bearbetas i: 18. Bearbetningen utförs: Bärbara datorer Persondator Server i pc-nätverk internt inom enheten inom institutionen/sjukhuset externt Om bearbetning sker externt, finns sekretessavtal/biträdesavtal? 19 Kommer uppgifterna att överföras till tredje land (utanför EU/EES), vilket?. 20. Är registrets slutprodukt sådant att enskilds identitet inte röjs (aggregerade statistiska värden)? 21. Information ska efter ansökan lämnas till dem som registrerats. Finns rutin för framställning av registerutdrag? 22. Kontaktpersonen för behandling av personuppgifter är införstådd med att a) personuppgifter behandlas bara om det är lagligt b) personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed c) personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål d) personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlats in. En behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall anses som oförenligt med de ändamål för vilka uppgifterna samlades in e) de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålet med behandlingen f) inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålet med behandlingen g) de personuppgifter som behandlas är riktiga och om det är nödvändigt aktuella h) alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen och i) personuppgifter inte bevaras längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Tagit del av ovanstående Kontaktpersonens underskrift: Namnförtydligande. 4
Denna sida fylls inte i av personuppgiftsansvarig 23. Blanketten med uppgifter om behandlingen inkommen:... -... -... Uppgifterna om behandlingen av personuppgifter är registrerade och ingår nu i förteckning enligt 39 personuppgiftslagen. Observera att den personuppgiftsansvarige alltid själv svarar för att behandlingen är laglig. Noteringar:... Datum. - -..... Bass Johansson Personuppgiftsombud 5
Förklaring till blanketten Uppgifter om behandling av personuppgifter inom Västra Götalandsregionen Ett personregister (= behandling av personuppgifter) kan innehålla mer än patientuppgifter. Så fort du registrerar uppgifter om en person räknas det som ett personregister, t.ex. klinikens lista över personal, lista över tillgängliga vikarier och liknande. Alla de personregister som finns inom förvaltningen ska finnas med i en personregisterförteckning. Det är därför viktigt att anmäla alla typer av personregister. Denna blankett används även vid ändring av uppgifter i ett befintligt register, t.ex. namn på kontaktperson. Vid ändring fyller du endast i de fält som ska ändras. 1. Vem är personuppgiftsansvarig? Var ska personregistret upprättas, på vilket område, verksamhetsområde och underenhet/klinik kommer personregistret att installeras? 2. Vem är kontaktperson för detta personregister? Vem ska man prata med, när man har frågor angående detta personregister eller när någon begär ett utdrag. Denna blankett ska skrivas på av områdeschefen. På så vis blir områdeschefen informerad om vilka behandlingar av personuppgifter som finns inom hans/hennes ansvarsområde. 3. Namnet på personregistret. 4. Här anger du hur informationen till de registrerade sker. Muntligt eller skriftligt. Medsänd ev. skriftlig information. Se 23-25 Personuppgiftslagen. 5. Vilka uppgifter kommer personregistret att innehålla? Ange så noggrant som möjligt de olika fält som personregistret kommer att innehålla, t.ex. personnummer, namn, adress, inskrivningsdatum, diagnos, etc. 6. Anledningen/ändamålet till att du upprättar detta personregister. Kan vara i samband med installation av applikation, t.ex. Melior, Optimer. Det kan vara för att göra en studie eller annan undersökning. Beskriv noggrant. Skriv inte bara studie eller forskning utan ange typ av studie, ändamål etc. 7. Hur känslig information kommer personregistret att innehålla? Grundnivå innebär att uppgifterna i registret är att betrakta som offentliga uppgifter. Hög nivå är uppgifter som inte är offentliga, hit hör exempelvis journaluppgifter. Mycket hög nivå är sekretessbelagd information. Beroende på hur personregistret är klassat vad gäller innehållet, ställs olika höga krav på hur det ska skyddas vid bearbetning. 8. Innehåller personregistret uppgifter som kan identifiera en person? Exempel på sådana uppgifter är personnummer, fullständigt namn, adress eller ett foto. Har du kodat varje person med ett nummer, men har en lista som visar vilket nummer som motsvarar personerna, är detta också att betrakta som en identifierbar uppgift. Ange här också hur länge uppgifterna i registret ska sparas. Vissa uppgifter måste sparas för alltid medan andra kanske bara används under en kortare tid. Bifoga ev. tillstånd från etikprövningsnämnden. 9. Vilken kategori av personer kommer att registreras? Beskriv kort vilken/vilka kategorier av personer, som kommer att registreras. 6
10. Var/hur får man fram de uppgifter som registreras i personregistret? Frågar man patienten, hämtar man uppgifter från journaler, sker intervjuer. Bifoga ev. formulär/blanketter som används för att ta fram uppgifterna. 11. Finns det ett behörighetssystem som skyddar personregistret mot obehörig användning, dvs. krävs det åtminstone användarnamn och lösenord för att komma åt uppgifterna i personregistret? Vilka andra åtgärder är gjorda för att förhindra obehörig användning av personregistret? Ex. låsta dörrar, skärmsläckare med lösenord. 12. Vem delar ut behörighet för att kunna använda registret? Ett personregister som är datoriserat och innehåller känsliga uppgifter måste ha ett lösenord för att förhindra att obehöriga kan gå in och läsa i det. Den som delar ut denna behörighet ska ha en förteckning över vilka som har fått behörighet att använda personregistret. Det ska ske en kontinuerlig uppdatering av behörigheterna! Ange även på ett ungefär hur många användare som beräknas komma att använda personregistret. 13. Kan behörigheten delas upp i flera behörighetsnivåer (läsa, läsa & skriva, ändra)? 14. Finns det en logg som visar alla händelser som skett i personregistret? Ex. vilken användare som har jobbat mot detta personregister och vad som gjorts (läst eller ändrat)? Om sådan logg finns, kontrolleras den regelbundet och vem kontrollerar den? 15. Kommer uppgifterna i personregistret att lämnas vidare till någon annan person eller myndighet utanför förvaltningen? Ex. myndigheter, återförsäljare av läkemedel, privat vårdgivare. 16. Var finns dokumentationen angående detta personregister? I vilket program är det gjort (Word, Excel osv.) eller är det i pappersform? Var förvaras det? 17. Vilket typ av dator använder man, när man bearbetar detta register? Flera rutor kan fyllas i. 18. Var utförs bearbetningen av personregistret? Flera rutor kan fyllas i. Om personregistret bearbetas utanför VGR, måste det finnas ett biträdesavtal skrivet med extern part. 19. Kan uppgifterna i personregistret komma att överföras till tredje land (utanför EU/EES)? Publicering på Internet? 20. Svara eller. 21. Varje medborgare i Sverige har rätt att få en utskrift från personregistret med all information som finns om honom/henne (26 PUL). Finns det färdiga rutiner som gör att man kan ta fram sådana uppgifter ur personregistret? 22. Till kontaktpersonen: Läs och bekräfta innehållet! Är det frågor du får problem med eller är det något annat du funderar över, är du välkommen att kontakta personuppgiftsombudet. 7