Vad är ”GDPR” och skillnader till PuL?
I grund och botten handlar GDPR om att värna om den enskilde individens ”personliga integritet”. Begreppet finns med i grundlagen och syftar till att respektera den enskilde individens frihet och värna om privatliv. GDPR innebär ett ökat skydd och mer rättigheter till den enskilda individen. I linje med detta innebär det ökade skyldigheter för den som hanterar personuppgifter. Dessutom har definitionen av vad som klassificeras som personuppgifter utökats.
Gör det enkelt för dig:
Vi har sammanställt en klar mall för dataskyddspolicy som du kan tillämpa på din klinik. Markerat i gult, är fält du bör ersätta med din information.
Sammanfattningsvis är GDPR, förklarat i två meningar:
- Ett högre skydd och fler rättigheter för individen.
- Ökat ansvar och skyldigheter för den som behandlar personuppgifter.
Övergripande skillnader mellan PuL och GDPR
Nyheter | Konsekvenser |
Höga Sanktionsavgifter | Sanktionsavgift på upp till 20 miljoner Euro eller 4% av organisationens omsättning. |
Missbruksregeln försvinner | I Sverige har vi den så kallade missbruksregeln som innebär enklare regler för personuppgifter i ostrukturerat material. Denna regel försvinner den 25:e maj. |
Profilering | Automatiserat beslutsfattande/profilering är ej tillåtet. Det kan t.ex. vara ett automatiserat avslag på en kreditansökan på internet eller vid ett nekande besked från e-rekrytering via internet utan personlig kontakt. |
Nya principer | Principerna innebär b.la. att personuppgifter bara får samlas in för berättigade ändamål och att mängden uppgifter ska begränsas till vad som är nödvändigt för ändamålen. |
Ökad informationsskyldighet | Vad, när och hur personuppgifterna behandlas - ska tillhandahållas den registrerade kostnadsfritt i en lättillgänglig, skriftlig form. |
Dataportabilitet | Den som har lämnat sina personuppgifter har i vissa fall rätt att få ut och använda sina personuppgifter på annat håll. |
Personuppgiftsincidenter | Den som behandlar personuppgifter ska ha rutiner på plats för att kunna upptäcka, förhindra, rapportera och utreda personuppgiftsincidenter. |
Rätten till radering (rätten att bli glömd) |
Varje person har rätt att be att uppgifterna som avser honom eller henne raderas. (IVO beslutar om detta) |
Barns samtycke | Individen räknas som barn tills hen fyllt 16 år, men Sverige kan välja att sänka gränsen till, som yngst, 13 år. |
GDPR:s innebörd inom vården
Idag har patientdatalagen (”PDL”) företräde framför personuppgiftslagen (”PuL”). Detta kommer att fortsätta gälla efter GDPR. Men för en sammanhållen bild av hur vården ska förhålla sig till de nya dataskyddsreglerna bör man ta både GDPR och PDL i hänseende.
Den som är ansvarig för att kraven i dataskyddslagen uppfylls på kliniken kan däremot möjligen glädjas av att de resulterande förändringarna inom vården inte är lika omfattande som i övriga näringslivet. Delvis på grund av att PDL:s regler är hårdare än PuL:s, men även för att de nya processerna (t.ex. riskanalys-/hantering) redan tillämpas inom vården.
Checklista för att uppfylla kraven
Följande bör implementeras i din tandkliniks kvalitetsledningssystem:
- Ansvar och befogenheter, utse ett personuppgiftsombud.
- Dokumentera process och utför konsekvensbedömning/riskanalys
- Dokumentera process för personuppgiftsincidenter
- Dokumentera process för information om behandlingen av personuppgifter v. Bevaka fall efter att GDPR träder i kraft och anpassa (ej krav)
För dig som arbetar efter den harmoniserade standarden ISO 9001:2015 finns överlapp på bl.a. följande punkter (men ej uttömmande) som bör utvärderas och omstruktureras i enlighet med GDPR:
Krav ISO 9001 | Krav GDPR |
6.1 Årgärder för att hantera risker och möjligheter | Dokumentera process och utför konsekvensbedömning/riskanalys. |
1.3 Roller, ansvar och befogenheter inom organisationen 7.2 kompetens |
Utse ett personuppgiftsombud |
7.3 Medvetenhet 7.4 Kommunikation 8.2.1 Kommunikation med kund |
Information om behandling av personuppgifter
Process för personuppgiftsincidenter |
9.1 Övervakning, mätning, analys och utvärdering | Bevaka domslut och kommande praxis vad gäller GDPR. |
Utse ett personuppgiftsombud
Personuppgiftsombudet är personen på din klinik som ska se till att kraven i dataskyddsförordningen uppfylls. Denna person ska även vara kontaktperson vid personuppgiftsincidenter och sköta rapporteringen till lämpliga myndigheter.
Det kan vara du som läser detta dokument som är mest lämplig för denna roll. Dokumentera vem det är som ska genomföra arbetsuppgifterna i klinikens kvalitetsledningssystem och begränsa behörigheter till lämplig personal.
Konsekvensbedömning och riskanalys
Har du inte gjort en riskanalys tidigare finner du en Excel-mall i länken nedan! Ladda ner din Excel-mall här!
Identifiera risker och farofyllda situationer
Konkret bör kliniken kartlägga inom vilka delar av verksamheten som risk för personuppgiftsincidenter kan förekomma. Den största (och kanske mest självklara) källan för faror är klinikens journalsystem. Men detta är inte uttömmande, du bör även överväga allt som innehåller personuppgifter. Inte lika självklara källor kan t.ex. vara:
- Affärssystem/Ekonomistöd
- Hemsida
- E-postkonton
- Arbetstelefoner
I vissa verksamheter finns en risk att många företag försummar eller glömmer vart och hur personuppgifter lagras. En hemsida som bygger på plattformar som t.ex. Wordpress innehåller ofta olika typer av funktioner/insticksmoduler som kan lagra personuppgifter. En självklar sådan kan vara ett kontaktformulär. En patient som via klinikens hemsida fyller i ett kontaktformulär med e-post, namn etc.
Vi rekommenderar att kartlägga alla tjänster som kliniken använder eller har använt. Se till att gamla leverantörer sägs upp på ett korrekt sätt och raderar/skickar information till er.
Utvärdera riskerna
I riskanalysen ska alla risker/faror som identifieras dokumenteras. Samtliga risker ska sedan utvärderas utifrån:
- Sannolikhet/risk att faran inträffar, och
- Konsekvens om faran inträffar.
När riskerna/faktorerna utvärderas riskerna/farorna ska först ”nuläget” speglas. Dvs. riskerna som de är idag utan att några åtgärder vidtagits.
Sannolikhet kan t.ex. definieras enligt nedanstående (återfinns även i Excel-mall).
Sannolikhet | Värde | Innebörd |
Förekommer mycket ofta | 5 | t.ex. kan inträffa varje dag |
Förekommer ofta | 4 | t.ex. kan inträffa varje vecka |
Förekommer | 3 | t.ex. kan inträffa varje månad |
Förekommer sällan | 2 | t.ex. kan inträffa någon gång per år |
Förekommer mycket sällan | 1 | t.ex. kan inträffa någon gång vart tredje år |
Konsekvens kan t.ex. definieras enligt nedanstående exempel (återfinns även i Excel-mall).
Konsekvens | Värde | Innebörd |
Katastrof | 4 | t.ex. mycket allvarlig personskada (känsliga personuppgifter läcker, data korrumperas eller försvinner). |
Allvarlig | 3 | t.ex. personskada (personuppgifter läcker). |
Måttlig | 2 | t.ex. föreligger risk för personskada. |
Försumbar | 1 | innebär att faran inte spelar så stor roll. |
GAP-analys (godtagbar risknivå)
När riskerna har utvärderats ska riskhanteringsåtgärder dokumenteras och utföras. Dvs. aktiviteter som antingen minskar sannolikheten att faran inträffar eller minskar konsekvensen.
I nedanstående matris (återfinns även i Excel-mall) ger vi ett exempel på hur kliniken kan utvärdera om risknivån är godtagbar eller ej. Röd betyder ”är ej godtagbar” och grön ”godtagbar”. Vad gäller de gula är det upp till kliniken att göra en bedömning. Det är viktigt att kunna motivera sitt val.
Process för personuppgiftsincidenter
En personuppgiftsincident definieras ordagrant enligt följande:
”säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.”
Inträffar detta är du skyldig att anmäla detta till Datainspektionen. Följande gäller:
- Anmälan ska ske omedelbart (senaste inom 72 timmar) från att incidenten upptäcks. I de fall där uppgifter går förlorade, korrumperas eller dylikt kan det finnas skäl att göra avvikelse eller Lex Maria. Försämrad åtkomst till patientdata kan t.ex. påverka patientsäkerheten. En anmälningsplikt utesluter inte en annan. Du är ansvarig att göra flera anmälningar om det krävs.
- Anmälan till Datainspektionen ska göras i de fall det är sannolikt att personuppgiftsincidenten leder till konsekvenser för fysiska personers rättigheter och friheter.
- Patienten ska informeras om incidenten lett till ”hög risk för fysiska personers rättigheter eller skyldigheter”. Anmälan ska innehålla dels en beskrivning av incidenten, dels sannolika konsekvenser och dels vilka åtgärder kliniken avser vidta.
Undantag gäller dock om kliniken har vidtagit åtgärder som innebär att risken sannolikt inte kommer att realiseras, om det skulle innebära en orimlig ansträngning, samt om t.ex. kryptering gör uppgifterna omöjliga att tyda för utomstående. Datainspektionen kan dock i samband med anmälan fatta beslut om huruvida patienten ska underrättas eller ej. I dagsläget finns ingen uttrycklig skyldighet att informera patienten i dessa fall.
Datainspektionen har uttryckligen sagt att fall som inte anmäls straffas hårdare än fall som tillkännagivits.
Information om behandling av personuppgifter
Som tidigare nämnts är ökad informationsskyldighet en av de övergripande skillnaderna i GDPR. Vad som efterfrågas konkret är en dokumenterad dataskyddspolicy.
Om tandkliniken har en hemsida bör dataskyddspolicyn vara tillgänglig för besökare att läsa. Innehåller din hemsida dessutom kontaktformulär eller dylikt ska du även lägga till text som informerar besökaren om hur de specifika uppgifterna som anges kommer att behandlas.
Vi rekommenderar inte att enbart lägga till en länk till klinikens dataskyddspolicy. Istället bör policy skrivas i klartext och på ett synligt sätt i anslutning till t.ex. kontaktformulär.
Hitta mallen till Muntras färdiga dataskyddspolicy här!
Process för behandling av personuppgifter
Tandkliniken måste dokumentera processer för hur personuppgifterna ska behandlas. Ett exempel på process är hur personuppgifter behandlas i samband med att de skickas. Fall när detta förekommer är när tandkliniken skickar kallelse till patienten eller remisser till annan vårdgivare.
Att skicka information kommer alltid att utgöra en risk. Frågan blir således huruvida vi kan acceptera risken? (Se avsnitt om riskanalys/GAP-analys)
Idag skickar många tandkliniker kallelse/vykort till patienter. Personuppgifterna är synliga på kortets baksida och utgör hög risk för att en obehörig kan tillgå informationen. I de fall PostNord delar ut brevet till fel adress, t.ex. till en granne, är informationen direkt synlig. Tandkliniken kan minimera denna risk genom att lägga vykortet i ett kuvert. Tandkliniken kan därigenom argumentera för att risken är godtagbar i och med att den inte lika enkelt tillgås.
Kallelser via e-post och SMS omfattas av Socialstyrelsens föreskrifter för informationshantering och journalföring inom hälso- och sjukvården. Detta är fortfarande gällande när GDPR träder i kraft. Inom hälso- och sjukvården är det tillåtet att skicka kallelser via e-post och SMS om man genomfört en riskanalys. Meddelandet måste inte vara krypterat (även om det såklart är bra). Det är däremot viktigt att ha patientens medgivande att deras personuppgifter behandlas på detta sätt. Risken/ansvaret förskjuts på så vis till patienten.
Remisser bör hanteras med högsta graden av säkerhet och försiktighet. Den innehåller med hög sannolikhet känsliga personuppgifter. Många skickar idag remisser genom att ladda ner filer på en CD-skiva eller ett USB-minne som sedan skickas via post. Detta är ej att rekommendera! Kliniken bör se över denna process noggrant och finna bättre lösningar för detta. Tänk på att kryptering och hög säkerhet är ett måste.
Bevakning
Det finns många gråzoner och oklarheter i direktivet. T.ex. är det oklart hur kliniken ska förhålla sig till rekvisiter och begrepp, och vad som egentligen menas med dessa. Därför rekommenderar vi att hålla utkik för domar och dylikt efter att Dataskyddsförordningen träder i kraft.
T.ex. är alla rapporterade personuppgiftsincidenter allmänna handlingar. Dessa kommer att kunna tillgås via Datainspektionens hemsida. Men även dagspress såsom SvjT (Svenska juristtidningen) och Dagens juridik kan vara bra källor för information.
Datainspektionen kommer senare i år göra det möjligt att rapportera personuppgiftsincidenter via deras hemsida. Alla anmälningar är allmänna handlingar och således synliga för vem som helst att tillgå och läsa. Detta är en bra källa för information som underlag för fortlöpande riskanalys och riskhantering.
Övrigt och bra att tänka på
- Bilder på patienters tandhälsa bör inte spridas i branschgrupper på Facebook. Detta kan vara en personuppgift och således ett lagbrott.
- Be anställda på kliniken att godkänna hur du behandlar deras personuppgifter. Vi rekommenderar ett skriftligt avtal. Ge dina medarbetare i samband med detta möjlighet att bestämma huruvida t.ex. en bild på dem ska vara synlig på hemsidan.
- Patientkallelse via vykort bör skickas i ett kuvert.
- Patientkallelse via e-post och SMS kräver patientens medgivande. (Se dataskyddspolicy, bilaga 1.
- Remisser som skickas via post utgör risk. Remissen innehåller med stor sannolikhet känsliga personuppgifter. Överväg nya alternativ.