GDPR och klinikerna

Patientdatalagen (2008:355) reglerar hur personuppgifter får hanteras inom hälso- och sjukvården och lagen måste ligga i linje med kraven i GDPR.

Dagens patientdatalag är i stort sett förenlig med GDPR, vilket är positivt för vår verksamhet eftersom att det då inte innebär några större förändringar i hur vi ska arbeta ut mot våra patienter. Det innebär att om vi följer patientdatalagen så efterlever vi även kraven i GDPR. Nya dataskyddslagen (se mer info nedan) och patientsäkerhetslagen (2010:659) är andra relevanta lagar som påverkar behandlingen av personuppgifter.

Patientdatalagen (2008:355)

Nedan är de viktigaste paragraferna som rör personuppgiftsbehandling i patientdatalagen (2008:355):

1 § Vid vård av patienter ska det föras patientjournal. En patientjournal ska föras för varje patient och får inte vara gemensam för flera patienter.

2 § Syftet med att föra en patientjournal är i första hand att bidra till en god och säker vård av patienten.

6 § En patientjournal ska innehålla de uppgifter som behövs för en god och säker vård av patienten. Om uppgifterna finns tillgängliga, ska en patientjournal alltid innehålla:

  1. uppgift om patientens identitet,
  2. väsentliga uppgifter om bakgrunden till vården,
  3. uppgift om ställd diagnos och anledning till mera betydande åtgärder,
  4. väsentliga uppgifter om vidtagna och planerade åtgärder,
  5. uppgift om den information som lämnats till patienten, dennes vårdnadshavare och övriga närstående och om de ställningstaganden som gjorts i fråga om val av behandlingsalternativ och om möjligheten till en ny medicinsk bedömning, samt
  6. uppgift om att en patient har beslutat att avstå från viss vård eller behandling.

Patientjournalen ska vidare innehålla uppgift om vem som har gjort en viss anteckning i journalen och när anteckningen gjordes (2014:827).

11 § Om en journalhandling eller en avskrift eller kopia av handlingen har lämnats ut till någon, ska det dokumenteras i patientjournalen vem som har fått handlingen, avskriften eller kopian och när denna har lämnats ut. Detta gäller dock inte utlämnande genom direktåtkomst.

Personuppgiftslagen (1998:204) och nya dataskyddslagen

Det kommer införas en ny dataskyddslag som är en nationell anpassning av GDPR. I dagsläget har det inte klubbats igenom men inom hälso- och sjukvården kommer det mycket troligt att vara liknande riktlinjer som i tidigare personuppgiftslagen (1998:204). Följande paragrafer är viktiga för vår verksamhet:

1 § Inre sekretess
Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.

2 § Tilldelning av behörighet för elektronisk åtkomst
En vårdgivare ska bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat.

3 § Kontroll av elektronisk åtkomst
En vårdgivare ska se till att åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat dokumenteras och kan kontrolleras. Vårdgivare ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter.

Lämna ett svar