Personuppgiftslagen (PuL)

Transcription

Personuppgiftslagen (PuL)
Personuppgiftslagen (PuL)
GCP,
2015-11-16,
Anna Maria Lindberg
Region
Östergötland
Anna Maria Lindberg
Regionjurist/Personuppgiftsombud
Region Östergötland
010-103 74 89
e-post: anna.maria.lindberg@regionostergotland.se
Region Östergötland
2
Introduktion
• Personuppgift - All slags information som direkt eller
indirekt kan hänföras till en fysisk person som är i livet.
• Behandling - Varje åtgärd som vidtas i fråga om
personuppgifter t.ex. insamling, registrering, organisering,
lagring, bearbetning, inhämtande, användning, spridning,
förstöring etc.
• Lagen gäller för alla organisationer/företag/myndigheter
Region Östergötland
3
Vilka uppgifter omfattas av
lagkraven?
•
Helt eller delvis automatiserad behandling (databas/register).
•
Manuell hantering om uppgifterna ingår i en strukturerad samling
av personuppgifter som är tillgängliga för sökning eller
sammanställning enligt särskilda kriterier.
•
Undantag:
– ostrukturerat material (löpande text, bilder etc.)
– journalistiska ändamål, t.ex. webbsidor med utgivningsbevis
– behandling för privata ändamål
Region Östergötland
4
Missbruksregeln/
Kränkningsregeln
•
Förenklade regler för ostrukturerat material
•
Endast förbud mot kränkning, övriga krav gäller ej
•
Följande ska beaktas vid en kränkningsbedömning:
– vilken typ av personuppgifter
– sammanhang
– syfte
– spridning
– konsekvenser
Region Östergötland
5
Viktiga begrepp att hålla isär
• Personuppgiftsansvarig (PUA) – den organisation som
ansvarar för behandlingen, ex landstingsstyrelsen,
läkemedelsbolag, universitetet
• Personuppgiftsombud (PUO) – en fysisk person som på
organisationens uppdrag kontrollerar behandlingen
• Personuppgiftsbiträde (PUB) – en
organisation/företag/person som behandlar personuppgifter
på uppdrag av PUA eller för dennes räkning
Region Östergötland
6
Integritetstrappan Hanteringsreglerna
Region Östergötland
7
Trappsteg 1 – Grundläggande
krav
•
Behandlingen
– laglig
– korrekt och i enlighet med god sed
•
Ändamålen
– uttryckligt angivna
– ej behandla för ändamål som är oförenligt med ursprungliga ändamålet
•
Uppgifterna
– relevanta, riktiga och aktuella
– inte fler än nödvändigt
– får ej bevaras längre än nödvändigt
Region Östergötland
8
Trappsteg 2 – Tillåten
behandling
•
•
Huvudregeln är samtycke (frivilligt, särskilt och otvetydigt)
Nödvändigt:
a)
b)
c)
d)
e)
f)
Avtal med den registrerade
Rättslig skyldighet
Skydda vitala intressen för den registrerade
Arbetsuppgift av allmänt intresse (t.ex. forskning)
Myndighetsutövning
Berättigat intresse – efter en intresseavvägning
Region Östergötland
9
Samtycke vid forskning
• Vid forskningsstudier krävs normalt patientens samtycke till
deltagande
• En patient kan alltid ta tillbaka sitt samtycke
• EPN kan väga samhällsintresset mot patientintegritet och i
vissa fall efterge kravet på samtycke för patienten
• Vid registerstudier godkänns i princip alltid forskning utan
samtycke från individerna
Region Östergötland
10
Trappsteg 3 Känsliga
uppgifter
•
Förbud mot behandling av känsliga uppgifter
–
–
–
–
–
•
Ras eller etniskt ursprung
Politiska åsikter
Religiös eller filosofisk övertygelse
Medlemskap i fackförening
Hälsa och sexualliv
Undantag från förbudet
– Uttryckligt samtycke
– Hälso- och sjukvård
– Forskning (om godkänt av EPN)
Region Östergötland
11
Trappsteg 4 Personnummer
• Personnummer får som huvudregel endast behandlas med
samtycke.
• Undantag från samtyckeskrav om klart motiverat med
hänsyn till
– ändamålet med behandlingen
– vikten av en säker identifiering
– något annat beaktansvärt skäl
Region Östergötland
12
Trappsteg 5 Överföring till
tredje land
• Förbud mot överföring till tredje land (land utanför EU/EES)
som inte har en adekvat skyddsnivå.
• Undantag om samtycke finns.
• Publicering på Internet innebär inte per automatik
överföring till tredje land.
Region Östergötland
13
Trappsteg 6 Information
•
Informationen som ska lämnas självmant
– Kontaktuppgifter till personuppgiftsansvarig
– Ändamålen med behandlingen
– Övrigt för att den registrerade ska kunna ta tillvara sina
rättigheter t.ex.
a) mottagare av uppgifter
b) rätt att ansöka om registerutdrag
c) rätt till rättelse
Region Östergötland
14
Trappsteg 6 forts.
Information efter ansökan (26 §) sk. ”Registerutdrag”
•
Gratis en gång per kalenderår
•
Information ska lämnas om:
– vilka uppgifter som behandlas
– varifrån uppgifterna har hämtats
– ändamålen med behandlingen
– mottagare av uppgifterna
•
Den registrerade ska ansöka skriftligt hos den
personuppgiftsansvarige alt. PUO
Region Östergötland
15
Säkerhetsåtgärder
• Behandla personuppgifter enligt instruktioner
• Lämpliga tekniska och organisatoriska åtgärder ska vidtas
där följande ska beaktas:
– de tekniska möjligheter som finns
– kostnad att genomföra åtgärderna
– särskilda risker som finns med behandlingen
– känsligheten hos uppgifterna
Region Östergötland
16
Registrering och bevarande
• Forskning där regionen är forskningshuvudman ska
anmälas till regionens PUO (blankettarkivet).
• Krav på bevarande av forskningsmaterial, t.ex. kliniska
studier, minst 10 år (LVFS 2011:19).
• När regionen är forskningshuvudman finns längre
bevarandekrav, ta kontakt med landstingsarkivet.
Region Östergötland
17
Biträdesavtal
• Om landstinget är forskningshuvudman och behandlingen
av personuppgifterna sker av någon annan (t.ex.
företag/universitet) krävs ett biträdesavtal.
• Mall för biträdesavtal finns
Region Östergötland
18
Patientdatalagen, PDL
• Tillåter elektronisk åtkomst för vård och behandling
• Övriga syften:
– Kvalitetssäkring
– Uppföljning/utvärdering/tillsyn
– Statistik
Region Östergötland
19
Forskning omfattas inte av
PDL
• Elektronisk åtkomst/direktåtkomst får inte användas i
forskningssyfte
• Selektion av patienter genom kontakt med
verksamhetschef som förmedlar info
• Utlämnande av patientjournaler för aktuella patienter
Region Östergötland
20
Journalföring
• Journalföring sker i Cosmic enligt riktlinje
http://lisa.lio.se/Startsida/PM-medicinska-o-vardadm/PMdokument/Ledningsstab/Journalforing-i-Cosmic-av-forskningoch-kliniska-provningar/
• Läsning endast för vård och behandling
• Uppgifter som behövs i forskningen måste tas ut från
journalsystemet och tillföras forskningen.
Region Östergötland
21
Dataintrång
• Olovligen bereder sig tillgång till upptagning för automatiskt
databehandling
• Brott enligt brottsbalken
• Böter eller fängelse
• Upptäcks via loggranskning
Region Östergötland
22
Forum Östergötland
Hur får jag ut data för forskningsändamål?
GCP-utbildning,
2015-11-16, BI-enheten
Region Östergötland
BI-enheten
• Businesse Intelligence (Bra information)
• Tillhandahålla data inom, Vård, KPP, HR, Läkemedel,
Ekonomi
• Vård/HR(facket)-sekretessklassat
• EPN, ansökan och beslut
• Beskriv vilka data ni vill beställa
Region Östergötland
24
Uppföljningsportalen
• Rapporter och KUBER
• Vårddatalagret, administrativa data från Cosmic och Privera
– Beskrivning på vår sida på LISA
– http://lisa.lio.se/
– Kontakt/Beställningsformuläret
– Frågor?
Region Östergötland
25