Grunderna inom GDPR

De senaste 20 åren har personuppgiftslagen (PUL) styrt vem som får hantera personuppgifter och hur. Från och med 25 maj 2018 ersätts PUL av den europeiska dataskyddsförordningen GDPR (General Data Protection Regulation) och slår fast reglerna för all form av behandling av information som direkt eller indirekt kan knytas till en person.

Syftet med införandet av GDPR är att skydda människor från kränkning av den personliga integriteten, modernisera regleringen, ge individer ökad kontroll över sina personuppgifter samt öka harmoniseringen inom EU.

För ett företag som Orasolv innebär det en del förändringar i vår verksamhet och alla medarbetare behöver veta om att GDPR finns och hur vi behöver arbeta framåt. Den här informationen syftar därför till att ge dig grundläggande information kring GDPR och vi kommer successivt arbeta vidare tillsammans för att reda ut vad som gäller och hur det påverkar vår verksamhet. Mer information om hur det påverkar oss som är verksamma inom tandvården kan du hitta här: https://www.happident.info/vad-galler-inom-tandvarden/

Vad är en personuppgift?

Personuppgifter är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Det kan exempelvis vara:

  • Namn
  • Personnummer
  • Kontaktuppgifter
  • Patientnummer
  • Tandavtryck
  • Kontonummer
  • Bilder

Särskilda kategorier av personuppgifter som är förbjudet att behandla enligt GDPR

Det är förbjudet att behandla personuppgifter som rör: hälsa, ras / etnicitet, politiska åsikter, religiös eller filosofisk övertygelse, fackföreningstillhörighet, sexuell läggning samt genetiska eller biometriska uppgifter om det inte finns ett undantag i lagen.

Inom Orasolv arbetar vi med tillhandahållande av tandvårdstjänster och personuppgifterna vi behandlar klassas som hälsouppgifter och är som regel förbjudet att behandla. Dock finns nationella lagar (såsom patientdatalagen) som reglerar detta och vi får behandla dessa hälsouppgifter.

Vad innebär behandling av personuppgifter?

Behandling av personuppgifter är allt som sker med personuppgifterna. Varje åtgärd som vidtas med personuppgifter utgör en behandling, oberoende av om den utförs automatiserat eller ej. Exempel på vanliga behandlingar är:

  • Insamling
  • Registrering
  • Organisering
  • Strukturering
  • Lagring
  • Bearbetning
  • Överföring
  • Radering

Vilka principer gäller när man behandlar personuppgifter?

Det finns ett antal grundläggande principer som gäller för all behandling av personuppgifter. Kortfattat innebär principerna bland annat att personuppgifter endast får samlas in och behandlas för berättigade ändamål, att det ska finnas en laglig grund för behandlingen och att mängden personuppgifter som behandlas ska begränsas till vad som är nödvändigt för ändamålet. Uppgifterna får heller inte sparas längre än nödvändigt eller behandlas på ett oförenligt sätt med ändamålet för vilka de samlades in.

Vilket stöd i lagen kan man ha för att behandla personuppgifter?

För att det ska vara tillåtet att behandla personuppgifter måste det alltid finnas ett stöd i GDPR, en s.k. rättslig eller laglig grund. Följande är en kort beskrivning av de olika grunderna:

  • Rättslig förpliktelse: personuppgifter får behandlas om det är nödvändigt för att uppfylla lag. Som exempel kan nämnas skyldigheter enligt bokföringslagen eller patientdatalagen.
  • Fullgöra avtal med den registrerade: behandlingen kan vara nödvändig för att en part ska kunna uppfylla skyldigheter enligt ett avtal. Exempel kan vara en arbetsgivares förpliktelse att utbetala lön eller teckna försäkringar för sina medarbetare.
  • Intresseavvägning: behandlingen är nödvändig för berättigade intressen och att den registrerades intresse av skydd för sina personuppgifter inte väger tyngre.
  • Skydda grundläggande intressen: behandling är tillåten om det är nödvändigt för att skydda intressen som är av grundläggande betydelse för den registrerade eller någon annan person.
  • Uppgift av allmänt intresse eller myndighetsutövning: behandling av personuppgifter är tillåten om den är nödvändig för att utföra en uppgift av allmänt intresse.
  • Samtycke: uppgifter får behandlas om man har ett samtycke från den registrerade.

Vem är personuppgiftsansvarig och vad innebär det?

En personuppgiftsansvarig bestämmer ändamål och medel för personuppgiftsbehandlingen.

Den juridiska personen Orasolv är personuppgiftsansvarig för all behandling som görs inom verksamheten. Respektive klinik är ansvarig för den behandling som sker på kliniken.

Vilka är personuppgiftsbiträden och vad innebär det?

Personuppgiftsbiträde är den som behandlar personuppgifter i olika syften för den personuppgiftsansvariges räkning. I vårt fall kan det gälla exempelvis leverantörer av journalsystem eller tandtekniker.

Av patientdatalagen framgår att alla vårdgivare är personuppgiftsansvarig för sin behandling av personuppgifter. Om vi exempelvis skickar vidare en remiss så är de därför inte ett personuppgiftsbiträde till oss utan själva ansvariga för hur de hanterar patientens uppgifter.

Efter 25 maj måste det finnas skriftliga biträdesavtal mellan personuppgiftsansvarige och alla biträden.

Vem är dataskyddsombud på Orasolv och vad innebär det?

Dataskyddsombudet ska kontrollera att företaget följer GDPR genom att informera och ge råd till personuppgiftsansvarige, -biträden och registrerade samt samarbeta med Datainspektionen. Ni kan alltså kontakta dataskyddsombudet om ni har generella frågor kring GDPR.

Det har fortfarande inte tagits något beslut av VD om vem som är dataskyddsombud på Orasolv men detta kommer ske inom kort och därefter kommuniceras på intranätet.

Krav på registerförteckning

Orasolv måste föra ett register över vilka behandlingar av personuppgifter som genomförs. I dagsläget har det upprättats av en GDPR-projektgrupp på huvudkontoret där vi har försökt samla in information från olika håll och sammanställt. Är det så att du vet med dig att ni har någon behandling som inte hör till vanligheterna, hör av er till någon av oss i GDPR-projektgruppen (se kontaktuppgifter längre ned i dokumentet) så kan vi diskutera om det är något ni kan fortsätta med och i så fall registrera det i registerförteckningen.

Registrerades rättigheter

De viktigaste rättigheterna för registrerade personer är rätten…

  • … till information om behandlingen
  • … att få tillgång till sina personuppgifter
  • … att få felaktiga uppgifter rättade
  • … att få sina personuppgifter raderade
  • … att invända mot att personuppgifterna används
  • … till begränsning av behandling
  • … att få ut personuppgifter i maskinläsbart format (s.k. dataportabilitet)

Flera av dessa rättigheter är inte tillämpliga för vår verksamhet eftersom patientdatalagen har andra regler som har företräde framför GDPR. Om ni får en fråga kring detta så kan ni dels kolla i patientdatalagen och annan relevant lagstiftning för att kunna avgöra om det är aktuellt eller diskutera med någon av oss på huvudkontoret så slår vi våra kloka huvuden ihop.

Personuppgiftsincidenter

En säkerhetsincident är någon typ av händelse som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring som leder till obehörigt röjande av eller obehörig åtkomst till registrerades personuppgifter.

Om en säkerhetsincident inträffar i verksamheten så måste det rapporteras till GDPR-projektgruppen så fort som möjligt. Vi gör då, tillsammans med dig, en konsekvensbedömning och om incidenten medför en risk för fysiska personers rättigheter och friheter så måste det rapporteras till Datainspektionen inom 72 timmar från det inträffade.

Säkerhetsåtgärder som behöver vidtas

Orasolv måste vidta vissa åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till riskerna i verksamheten. Exempel på åtgärder som behöver vidtas på alla kliniker är:

  • Kryptering av alla mail som innehåller känslig information
  • Införande av personliga inloggningar och olika behörighetsnivåer i journalsystem
  • Personliga Windows-inloggningar
  • Radera de patientjournaler som inte längre ska sparas enligt krav i patientdatalagen och annan relevant lagstiftning

Detta kommer bli ett löpande arbete och vi får hjälpas åt för att hitta bra lösningar. Ser du att det finns en stor risk i någon typ av personuppgiftsbehandling som görs så vill vi att du hör av dig till någon i GDPR-projektgruppen så att vi kan prata vidare om det.

Tillsynsmyndighet och sanktionsavgifter

Datainspektionen är tillsynsmyndighet för GDPR och ansvarar för utredningar och korrigerande befogenheter samt utfärdar tillstånd och ger råd till verksamheten.

De kan därmed besluta att ett företag som bryter mot reglerna i dataskyddsförordningen ska påföras en administrativ sanktionsavgift. Storleken på vitet beror på dels på vilken bestämmelse överträdelsen gäller, dels på omständigheterna i det enskilda fallet. Avgiften kan som mest vara 20 miljoner euro eller fyra procent av bolagets globala årsomsättning.

 

Lämna ett svar