Personuppgiftslagen (PuL)
Transcription
Personuppgiftslagen (PuL)
Personuppgiftslagen (PuL) GCP, 2015-11-16, Anna Maria Lindberg Region Östergötland Anna Maria Lindberg Regionjurist/Personuppgiftsombud Region Östergötland 010-103 74 89 e-post: anna.maria.lindberg@regionostergotland.se Region Östergötland 2 Introduktion • Personuppgift - All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. • Behandling - Varje åtgärd som vidtas i fråga om personuppgifter t.ex. insamling, registrering, organisering, lagring, bearbetning, inhämtande, användning, spridning, förstöring etc. • Lagen gäller för alla organisationer/företag/myndigheter Region Östergötland 3 Vilka uppgifter omfattas av lagkraven? • Helt eller delvis automatiserad behandling (databas/register). • Manuell hantering om uppgifterna ingår i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. • Undantag: – ostrukturerat material (löpande text, bilder etc.) – journalistiska ändamål, t.ex. webbsidor med utgivningsbevis – behandling för privata ändamål Region Östergötland 4 Missbruksregeln/ Kränkningsregeln • Förenklade regler för ostrukturerat material • Endast förbud mot kränkning, övriga krav gäller ej • Följande ska beaktas vid en kränkningsbedömning: – vilken typ av personuppgifter – sammanhang – syfte – spridning – konsekvenser Region Östergötland 5 Viktiga begrepp att hålla isär • Personuppgiftsansvarig (PUA) – den organisation som ansvarar för behandlingen, ex landstingsstyrelsen, läkemedelsbolag, universitetet • Personuppgiftsombud (PUO) – en fysisk person som på organisationens uppdrag kontrollerar behandlingen • Personuppgiftsbiträde (PUB) – en organisation/företag/person som behandlar personuppgifter på uppdrag av PUA eller för dennes räkning Region Östergötland 6 Integritetstrappan Hanteringsreglerna Region Östergötland 7 Trappsteg 1 – Grundläggande krav • Behandlingen – laglig – korrekt och i enlighet med god sed • Ändamålen – uttryckligt angivna – ej behandla för ändamål som är oförenligt med ursprungliga ändamålet • Uppgifterna – relevanta, riktiga och aktuella – inte fler än nödvändigt – får ej bevaras längre än nödvändigt Region Östergötland 8 Trappsteg 2 – Tillåten behandling • • Huvudregeln är samtycke (frivilligt, särskilt och otvetydigt) Nödvändigt: a) b) c) d) e) f) Avtal med den registrerade Rättslig skyldighet Skydda vitala intressen för den registrerade Arbetsuppgift av allmänt intresse (t.ex. forskning) Myndighetsutövning Berättigat intresse – efter en intresseavvägning Region Östergötland 9 Samtycke vid forskning • Vid forskningsstudier krävs normalt patientens samtycke till deltagande • En patient kan alltid ta tillbaka sitt samtycke • EPN kan väga samhällsintresset mot patientintegritet och i vissa fall efterge kravet på samtycke för patienten • Vid registerstudier godkänns i princip alltid forskning utan samtycke från individerna Region Östergötland 10 Trappsteg 3 Känsliga uppgifter • Förbud mot behandling av känsliga uppgifter – – – – – • Ras eller etniskt ursprung Politiska åsikter Religiös eller filosofisk övertygelse Medlemskap i fackförening Hälsa och sexualliv Undantag från förbudet – Uttryckligt samtycke – Hälso- och sjukvård – Forskning (om godkänt av EPN) Region Östergötland 11 Trappsteg 4 Personnummer • Personnummer får som huvudregel endast behandlas med samtycke. • Undantag från samtyckeskrav om klart motiverat med hänsyn till – ändamålet med behandlingen – vikten av en säker identifiering – något annat beaktansvärt skäl Region Östergötland 12 Trappsteg 5 Överföring till tredje land • Förbud mot överföring till tredje land (land utanför EU/EES) som inte har en adekvat skyddsnivå. • Undantag om samtycke finns. • Publicering på Internet innebär inte per automatik överföring till tredje land. Region Östergötland 13 Trappsteg 6 Information • Informationen som ska lämnas självmant – Kontaktuppgifter till personuppgiftsansvarig – Ändamålen med behandlingen – Övrigt för att den registrerade ska kunna ta tillvara sina rättigheter t.ex. a) mottagare av uppgifter b) rätt att ansöka om registerutdrag c) rätt till rättelse Region Östergötland 14 Trappsteg 6 forts. Information efter ansökan (26 §) sk. ”Registerutdrag” • Gratis en gång per kalenderår • Information ska lämnas om: – vilka uppgifter som behandlas – varifrån uppgifterna har hämtats – ändamålen med behandlingen – mottagare av uppgifterna • Den registrerade ska ansöka skriftligt hos den personuppgiftsansvarige alt. PUO Region Östergötland 15 Säkerhetsåtgärder • Behandla personuppgifter enligt instruktioner • Lämpliga tekniska och organisatoriska åtgärder ska vidtas där följande ska beaktas: – de tekniska möjligheter som finns – kostnad att genomföra åtgärderna – särskilda risker som finns med behandlingen – känsligheten hos uppgifterna Region Östergötland 16 Registrering och bevarande • Forskning där regionen är forskningshuvudman ska anmälas till regionens PUO (blankettarkivet). • Krav på bevarande av forskningsmaterial, t.ex. kliniska studier, minst 10 år (LVFS 2011:19). • När regionen är forskningshuvudman finns längre bevarandekrav, ta kontakt med landstingsarkivet. Region Östergötland 17 Biträdesavtal • Om landstinget är forskningshuvudman och behandlingen av personuppgifterna sker av någon annan (t.ex. företag/universitet) krävs ett biträdesavtal. • Mall för biträdesavtal finns Region Östergötland 18 Patientdatalagen, PDL • Tillåter elektronisk åtkomst för vård och behandling • Övriga syften: – Kvalitetssäkring – Uppföljning/utvärdering/tillsyn – Statistik Region Östergötland 19 Forskning omfattas inte av PDL • Elektronisk åtkomst/direktåtkomst får inte användas i forskningssyfte • Selektion av patienter genom kontakt med verksamhetschef som förmedlar info • Utlämnande av patientjournaler för aktuella patienter Region Östergötland 20 Journalföring • Journalföring sker i Cosmic enligt riktlinje http://lisa.lio.se/Startsida/PM-medicinska-o-vardadm/PMdokument/Ledningsstab/Journalforing-i-Cosmic-av-forskningoch-kliniska-provningar/ • Läsning endast för vård och behandling • Uppgifter som behövs i forskningen måste tas ut från journalsystemet och tillföras forskningen. Region Östergötland 21 Dataintrång • Olovligen bereder sig tillgång till upptagning för automatiskt databehandling • Brott enligt brottsbalken • Böter eller fängelse • Upptäcks via loggranskning Region Östergötland 22 Forum Östergötland Hur får jag ut data för forskningsändamål? GCP-utbildning, 2015-11-16, BI-enheten Region Östergötland BI-enheten • Businesse Intelligence (Bra information) • Tillhandahålla data inom, Vård, KPP, HR, Läkemedel, Ekonomi • Vård/HR(facket)-sekretessklassat • EPN, ansökan och beslut • Beskriv vilka data ni vill beställa Region Östergötland 24 Uppföljningsportalen • Rapporter och KUBER • Vårddatalagret, administrativa data från Cosmic och Privera – Beskrivning på vår sida på LISA – http://lisa.lio.se/ – Kontakt/Beställningsformuläret – Frågor? Region Östergötland 25