Rekommendation om behandling av personuppgifter om hälsa inom försäkringsbranschen

Relevanta dokument
Rekommendation om behandling av personuppgifter om hälsa inom försäkringsbranschen

Rekommendation om behandling av personuppgifter om hälsa inom försäkringsbranschen

Rekommendation om hantering av personuppgifter om hälsa och andra känsliga personuppgifter inom försäkringsbranschen

Rekommendation om behandling av personuppgifter inom försäkringsföretagens utredningsverksamhet

Rekommendation om behandling av personuppgifter inom försäkringsföretagens utredningsverksamhet

Intern åtkomst till känsliga personuppgifter hos försäkringsbolag. Datainspektionens rapport 2010:2

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

ALLMÄNNA LEVERANSVILLKOR

Rådgivardokumentation, Företag Liv

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Att. GDPR Humlegårdsgatan , Stockholm. Besök oss gärna på

Integritetspolicy. Senast uppdaterad:

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Behandling av kundernas personuppgifter vid FINE

INTEGRITET OCH BEHANDLING AV PERSONUPPGIFTER

Integritetspolicy för Bernhold Ortodonti

INTEGRITETSPOLICY FÖR ROSENDAL106 AB OCH DOTTERBOLAG

Punkt 21 Riktlinje för fritextfält

Kameraövervakning inomhus i skolor

INFORMATION OM BEHANDLING AV DINA PERSONUPPGIFTER

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Vi värnar om din integritet

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

PERSONUPPGIFTSBITRÄDESAVTAL

Skolorna visar brister i att hantera personuppgifter

1. INLEDNING 2. PERSONUPPGIFTSANSVARIG 3. INSAMLING OCH ÄNDAMÅL

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande av uppgifter om medlemmar

Denna integritetspolicy har upprättats för alla bolag i Creative Headzkoncernen (nedan gemensamt kallade Creative Headz, vi eller vår/vårt ).

Asitis personuppgiftspolicy. Asitis personuppgiftspolicy Syfte Ändamål Riktlinjer Asitis personuppgiftsbehandling...

Integritet och behandling av personuppgifter

GDPR POLICY Behandling av personuppgifter

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Innehåll. Vilka personuppgifter samlar vi in?... 3

Personuppgiftsbiträdesavtal

1. behandlingen är nödvändig för att vi ska kunna fullgöra vårt avtal med dig,

1.2. Advokatfirman Carler är personuppgiftsansvarig för den behandling som utförs av Advokatfirman Carler i enlighet med denna personuppgiftspolicy.

Anticimex integritetspolicy för försäkringsförmedlare

Personuppgiftsbehandling i forsknings- och kvalitetsstudier inom hälso- och sjukvård

PERSONUPPGIFTSBITRÄDESAVTAL

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Betänkandet Ny dataskyddslag, SOU 2017:39; Ju2017/04264/L6

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

Kameraövervakning inomhus i skolor

Personuppgiftsansvarig: Alpklyftan AB, Företrädare: Anna Wiklund, Administrativ chef,

1. Förvaltning:... Verksamhetsområde: Kontaktperson: Personregistrets benämning. 4. Hur sker information till de registrerade?

Integritet och behandling av personuppgifter. Näringslivets Regelnämnd samt Näringslivets Regelnämnd NNR AB

Integritetspolicy. Innehåll

Personuppgiftsbiträdesavtal

Integritet och behandling av personuppgifter

INTEGRITETSPOLICY FÖR RYHED IDROTT OCH REHAB AB

Riktlinjer för hälso- och sjukvårdsdokumentation

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

Riktlinjer för dataskydd

Bilaga Personuppgiftsbiträdesavtal

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

Personuppgiftsbiträde

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

Arkiv- och sekretessregler

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Behandling av personuppgifter hos S:t Erik Livförsäkring AB. Information till registrerade

Vad är en personuppgift och vad är en behandling av personuppgifter? Vilka personuppgifter samlar vi in om dig och varför?

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

INTEGRITETSPOLICY ADCARE NORDIC GROUP

Information om behandling av personuppgifter på Tellus bostadsrättsförening

INTEGRITETSTSPOLICY AVSEENDE RESTAURANGGÄSTER MED FLERA

PERSONUPPGIFTSBITRÄDESAVTAL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Sekretess i försäkringsbolag om medicinsk genetik

Ny personuppgiftsförordning Försäkringsjuridiska Föreningen. Agnes A Hammarstrand / Advokat 3 mars 2016

INTEGRITETSPOLICY Målet med denna policy är att säkerställa att personuppgifter hanteras i enlighet med gällande lagstiftning.

Personuppgiftsbiträdesavtal

Nordic Waterproofings AB Integritetspolicy 1 Inledning Vilka personuppgifter samlar vi in om dig och varför?... 2

Bilaga 1a Personuppgiftsbiträdesavtal

PERSONUPPGIFTSPOLICY

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

INTEGRITETSPOLICY för Webcap i Sverige AB

F3:10 AVTALSMALL LÅN AV PATIENTJOURNALER MM NÄRSJUKVÅRD I KRISTINEHAMN

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER. VA SYD, org. nr , är personuppgiftsansvarig enligt personuppgiftslagen (1998:204).

Personuppgiftsbiträdesavtal

Victoria Behandlingscenter AB Integritetspolicy

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Svensk författningssamling

Vilka personuppgifter behandlar vi, i vilket ändamål (varför) och på vilken laglig grund?

Integritetspolicy leverantör

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister

Integritetspolicy kunder

Viktigt förtydligande angående användningen av fråga-svarsfunktionen

Stadgar för Personförsäkringsnämnden (1 januari 2018)

Bilaga 1: Personuppgiftsbiträdesavtal 1/10

Transkript:

Rekommendation om behandling av personuppgifter om hälsa inom försäkringsbranschen Rekommendation om behandling av personuppgifter om hälsa inom försäkringsbranschen Sveriges Försäkringsförbund (Förbundet) är en branschorganisation för svenska försäkringsföretag. De försäkringsgivare som har rätt att meddela trafikförsäkring i Sverige är skyldiga att vara medlemmar i Trafikförsäkringsföreningen (TFF). Inom båda organisationerna administreras även ett flertal skadereglerings- och försäkringsnämnder. 1. Syfte och omfattning I försäkringsverksamhet behandlas frekvent uppgifter om enskilda personers hälsa. Sådana personuppgifter är alltid att anse som känsliga, d v s oavsett till exempel en skadas/sjukdoms art och omfattning. Denna rekommendation lägger fast allmänna principer för försäkringsgivares behandling av personuppgifter avseende hälsa. Rekommendationen utgör endast en komplettering i vissa avseenden av de grundläggande bestämmelser som finns i försäkringsrörelselagen (FRL), försäkringsavtalslagen (FAL), övrig lagstiftning för försäkringsgivare samt personuppgiftslagen (PUL). Enligt PUL måste personuppgifter alltid behandlas enligt god sed. Denna rekommendation är ett uttryck för vad som utgör god sed vid behandling av personuppgifter avseende hälsa inom försäkringsbranschen. Rekommendationens syfte är: att fastställa höga krav på integritetsskydd i försäkringsgivares och nämnders behandling av personuppgifter om hälsa att öka tydligheten i hur försäkringsgivare behandlar personuppgifter om hälsa. Rekommendationen omfattar sådan behandling av personuppgifter avseende hälsa som utförs av: TFF försäkringsgivare/återförsäkringsgivare som är medlem i Förbundet och/eller TFF försäkrings-/skaderegleringsnämnd som administreras av Förbundet eller TFF. Även Försäkringsförbundet har att i tillämpliga delar beakta hanteringsreglerna i rekommendationen. Försäkringsgivare används som övergripande term för alla tre kategorier i nedanstående rekommendation. Svensk Försäkring Box 24043 104 50 Stockholm Karlavägen 108 Tel 08-522 785 00 www.svenskforsakring.se

2. Interna regler Försäkringsgivare ska ha utarbetade interna regler för behandling av personuppgifter avseende hälsa. Dessa regler och rutiner ska fastställas genom beslut av styrelsen, vd eller företagsledningen. Försäkringsgivare ska även fastställa regler och rutiner för medicinska rådgivare och nämndledamöter som hanterar personuppgifter avseende hälsa. Dessa personer ska även skriftligen förbinda sig att följa dessa regler och rutiner. Av de fastställda reglerna och rutinerna ska framgå vilka sekretessregler som ska tillämpas när det gäller hälsouppgifter, exempelvis till vilka kategorier av mottagare som uppgifter får lämnas ut och vilka rutiner för identitetskontroll som ska tillämpas vid utlämnande. Försäkringsgivare ska kontinuerligt informera anställda, medicinska rådgivare och nämndledamöter om de regler och rutiner som gäller för hanteringen av uppgifter om enskildas hälsa. 3. Inhämtande av personuppgifter om hälsa Enligt PUL är det förbjudet att behandla sådana personuppgifter som rör hälsa. Det finns dock undantag från detta förbud. Ett av dessa undantag innebär att uppgifter om hälsa får behandlats om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen. Ett annat undantag innebär att uppgifter om hälsa får behandlas om behandlingen är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras. 1 Fullmakt ska endast omfatta en försäkringsansökan, ett skaderegleringsärende eller annat specifikt ärende. 2 Fullmakt som utfärdats vid försäkringsansökan får dock utformas så att den även innefattar sådan skadereglering som sker efter dödsfall eller där det på grund av sjukdom, personskada eller därmed jämförlig omständighet inte är möjligt att inhämta ny fullmakt. Fullmakter ska helst ligga i separata dokument. 3 I annat fall ska de markeras så att det framgår mycket tydligt att det ingår en fullmakt i dokumentet. Inhämtande av patientjournal från en vårdgivare kan inte ske utan fullmakt från vårdtagaren. 1 Se även punkt 9 Ikraftträdande. 2 En försäkringsansökan eller skadeanmälan kan omfatta flera försäkringsprodukter. 3 Med dokument avses såväl dokument i pappersform som motsvarande elektroniska lösningar. 2 (7)

Fullmakter ska innehålla tydlig information om syfte, omfattning och vad fullmakten innebär. Det ska tydligt framgå av fullmakt att den gäller till dess den återkallas eller ärendet avslutas. Fullmakten bör även innehålla information om de konsekvenser som kan följa av att fullmakt återkallas innan ett ärende avslutas. 4. Sekretessförbindelse Inom försäkringsbranschen har det sedan lång tid tillbaka tillämpats en frivilligt påtagen tystnadsplikt. PUL innebär en lagreglerad begränsning av rätten att lämna ut uppgifter. Enligt PUL får uppgifter lämnas ut endast om det inte är oförenligt med det ändamål för vilket uppgifterna har samlats in. När det gäller uppgifter om genetisk undersökning eller genetisk information finns det en lagstadgad tystnadsplikt även enligt gällande försäkringsrörelselagstiftning. Begränsningen enligt PUL gäller alla personuppgifter. Känsliga uppgifter bör behandlas med särskilt sträng sekretess. Av PUL framgår att uppgifter om en persons hälsa generellt är känsliga. Datainspektionen har dessutom angivit att alla uppgifter om enskilds personliga och ekonomiska förhållanden inom försäkringsväsendet normalt är att anse som känsliga. 4 Försäkringsgivare ska se till att en tydlig sekretessförbindelse avseende uppgifter om enskilda personers hälsa undertecknas av anställda samt övriga som kan komma att hantera sådana uppgifter. Av sekretessförbindelsen ska det framgå till vilka kategorier av mottagare uppgifter får lämnas ut. Det ska också tydliggöras att uppgifter om hälsa är särskilt känsliga enligt PUL. 5. Säkerhet PUL ställer krav på att den personuppgiftsansvarige vidtar lämpliga säkerhetsåtgärder för att skydda de uppgifter som behandlas. Uppgifterna måste skyddas både mot obehörigt intrång och mot förlust av information. PUL kompletteras av DI:s allmänna råd angående säkerhet för personuppgifter. Vid fastställande av säkerhetsnivån måste det beaktas vilka tekniska möjligheter som finns och vad det skulle kosta att genomföra åtgärderna. En viktig utgångspunkt vid bedömning av vilka säkerhetsåtgärder som krävs är vidare vilken typ av uppgifter som behandlas, d v s hur känsliga uppgifterna är och vilken typ av behandling som utförs, d v s vilka risker som är förenade med behandlingen. 4 Datainspektionen, Allmänna råd angående säkerhet för personuppgifter, 1999, s. 17. 3 (7)

Uppgifter om en enskild persons hälsa är alltid att anse som känsliga. Detta förhållande ställer krav på en hög säkerhetsnivå hos försäkringsgivare vid all behandling av sådana uppgifter. Om försäkringsgivare outsourcar verksamhet eller på annat sätt anlitar utomstående för behandling av personuppgifter, föreligger det enligt PUL en skyldighet att upprätta ett avtal med uppdragstagaren om behandlingen. Avtalet ska säkerställa att de säkerhetskrav som föreskrivs i PUL uppfylls. Utöver regleringen i PUL, har Finansinspektionen (FI) i allmänna råd ställt krav på att ett företag som outsourcar delar av verksamheten ska försäkra sig om att uppdragstagaren skyddar konfidentiell information både när det gäller företaget och dess kunder. 5 Behandling av uppgifter om enskildas hälsa ska alltid ske med beaktande av DI:s vid var tidpunkt gällande allmänna råd angående säkerhet för personuppgifter. Försäkringsgivare som behandlar uppgifter om enskilds hälsa måste observera att distansarbete är förenat med säkerhetsrisker. I den mån distansarbete tillåts måste det säkerställas att arbetet kan utföras med en godtagbar säkerhetsnivå. Detta gäller även vid outsourcad verksamhet och arbete som utförs av exempelvis rådgivande läkare. En personakt i pappersform är oftast mycket svår att återskapa om den förstörs eller förloras på annat sätt. Pappershandlingar med uppgifter om enskilds hälsa bör därför förvaras på brandskyddat sätt. Vid elektronisk kommunikation måste säkerhetsåtgärder vidtas för att hindra obehörig åtkomst. Som exempel kan nämnas att om hälsouppgifter förmedlas genom e-post bör denna vara krypterad eller skyddas på annat sätt. 6. Gallring Enligt PUL får personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. I detta sammanhang måste det å ena sidan beaktas att det i till exempel patientjournaler ofta finns information som är både omfattande och dessutom av mycket integritetskänslig natur. Å andra sidan måste det också beaktas att försäkringsgivare ofta har starkt behov av att bevara hälsouppgifter under mycket lång tid, bland annat på grund av gällande lagstiftning om preskription, skadelidandes rätt till omprövning och verkan av oriktiga uppgifter i personförsäkring. Försäkringsgivare har behov av att kunna kontrollera att den 5 Se Finansinspektionens allmänna råd om styrning och kontroll av finansiella företag(fffs 2005:1) 7 kap 2. 4 (7)

försäkrade risken överensstämmer med verkliga förhållanden. En avvägning mellan dessa intressen och behov måste ske. DI har i en rapport avseende ett tillsynsprojekt uttalat att försäkringsgivare ska tillämpa vissa rutiner för gallring. 6 De hanteringsregler som anges nedan återger i allt väsentligt dessa rutiner. Personuppgifter avseende hälsa som avser icke beviljade alternativt avslutade försäkringar ska gallras genom att avskiljas från uppgifter som behövs för ändamålet att hantera beviljade och alltjämt pågående försäkringar. Avskiljande betyder att personuppgifterna lagras på ett sådant sätt att de inte längre hålls tillgängliga i den dagliga hanteringen. Ett alternativ är att uppgifterna förstörs. Rutiner för att avskilja uppgifterna eller för att förstöra uppgifterna ska tas fram. När det gäller icke beviljade försäkringar bör tidsfristen för avskiljande (alternativt förstörande) av uppgifterna vara relativt kort, förslagsvis längst sex månader, jfr 7 kap 6 och 16 kap 7 FAL. Om det i enskilt fall är nödvändigt med hänsyn till ändamålen med behandlingen, kan uppgifter bevaras (d v s utan att avskiljas eller förstöras) under längre tid än vad som nyss angivits. Detta kan exempelvis vara erforderligt med hänsyn till livförsäkringsbolags behov av att kunna jämföra med tidigare uppgifter till följd av regleringen i 12 kap 4, första meningen FAL. När det gäller avskiljande (alternativt förstörande) av hälsouppgifter beträffande avslutade försäkringar bör vägledning hämtas i de skrifter som utges av DI. Försäkringsgivare bör i tillämpliga delar använda ovan angivna rutiner även för att avskilja hälsouppgifter som hämtats in i ett skaderegleringsärende. 7. Mängden information I PUL föreskrivs det att den personuppgiftsansvarige inte får behandla fler personuppgifter än som är nödvändigt med hänsyn till ändamålen med behandlingen. Vidare föreskrivs det att den ansvarige ska se till att de uppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen. Försäkringsgivare har ofta anledning att begära in patientjournaler i samband med ansökan om försäkring och/eller vid skadereglering. Som konstaterats ovan kan sådana journaler innehålla både omfattande och mycket integritetskänslig information. Det är angeläget att försäkringsgivare inte behandlar fler uppgifter än nödvändigt. Å andra sidan är det ofta inte möjligt för en handläggare att i förväg 6 Så bör försäkringsbolag behandla känsliga personuppgifter. Rapport efter ett tillsynsprojekt 2006. 5 (7)

bedöma vilka uppgifter i en patientjournal som är relevanta i ett försäkrings-/ skaderegleringsärende. Det är också ofta av stor vikt att få tillgång till en fullständig journal med en sammanhängande kedja av noteringar för att kunna göra en korrekt bedömning av ärendet. 7 Beställning av patientjournal ska begränsas i de fall där det i förväg är möjligt att konstatera att endast uppgifter av visst slag och/eller beträffande viss tidsperiod är av betydelse för ärendets bedömning. Om det säkert kan konstateras att vissa uppgifter i en inkommen journal saknar betydelse för ärendets bedömning, ska dessa uppgifter avskiljas eller förstöras om detta är möjligt och inte medför en uppenbart oproportionerlig arbetsinsats. 8. Uppföljning och kontroll De interna regler och rutiner för behandling av personuppgifter avseende hälsa som fastställs av försäkringsgivare, ska säkerställa att samtliga medarbetare, inhyrd personal och uppdragstagare erhåller kunskap om rutinernas innebörd. Försäkringsgivare ska även införa rutiner för löpande utvärdering och kontroll av hur riktlinjerna efterlevs i ovan angivna avseenden. 9. Ikraftträdande och övergångsbestämmelser 8 Rekommendationen gäller från och med den 1 april 2010 med de begränsningar som anges nedan. För livförsäkringsbolag gäller reglerna i punkt 3, Inhämtande av personuppgifter om hälsa, endast fullmakter som eventuellt inhämtas i samband med att försäkringsavtal ingås eller förnyas efter den 31 mars 2010. 7 När det gäller värdet av en sammanhängande kedja av noteringar kan det nämnas att Högsta domstolen i rättsfallet NJA 2001 s 657 gjort följande bedömning: Generellt sett får journalanteckningar från besök som den olycksdrabbade tidigare har gjort hos läkare anses utgöra ett viktigt underlag för bedömningen av huruvida patientens tidigare svagheter under alla förhållanden skulle ha medfört de symptom som visat sig efter försäkringsfallet. Ett skäl till detta är att uppgifterna lämnats och anteckningarna gjorts utan tanke på det aktuella försäkringsärendet. Samtidigt måste beaktas att journalanteckningar kan vara behäftade med en betydande osäkerhet. Läkaren kan bl a ha missuppfattat eller överbetonat något patienten sagt. Osäkerheten förstärks av att journalanteckningarna kan ha upprättats med ett visst dröjsmål efter patientbesöket. Om det finns flera journalanteckningar med ett likartat innehåll, bör de dock kunna tillmätas ett avsevärt bevisvärde såvitt avser patientens status vid de aktuella läkarbesöken. 8 Se även punkt 3 Inhämtande av personuppgifter om hälsa. 6 (7)

För andra försäkringsgivare än livförsäkringsbolag gäller reglerna i punkt 3, Inhämtande av personuppgifter om hälsa med följande undantag. - Skaderegleringsärenden som inletts före den 1 april 2010. - Fullmakter som inhämtats vid försäkringsansökan före denna rekommendations ikraftträdande får, utan hinder av vad som annars gäller enligt punkt 3, användas vid skadereglering eller annat specifikt ärende som handläggs efter dödsfall eller där det på grund av sjukdom, personskada eller därmed jämförlig omständighet inte är möjligt att inhämta ny fullmakt. För nämnder och andra organisationer som inte är försäkringsgivare, omfattas ärenden som inkommer från och med den 1 april 2010. 7 (7)

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss