EU:s dataskyddsförordning (2016/679)
EU:s dataskyddsförordning (i dagligt tal kallat GDPR) började tillämpas i Sverige den 25 maj 2018 och ersätter därmed den befintliga personuppgiftslagen (PUL). GDPR reglerar all behandling av personuppgifter som sker i en personuppgiftsansvarigs verksamhet.
GDPR stärker dataskyddet och integriteten genom att sätta mer fokus på ansvar och säkerhet. De som behandlar personuppgifter kommer nu både behöva följa den nya lagstiftningen och visa att de har uppfyllt kraven.
Genom den nya förordningen ges mindre tolkningsutrymme för medlemsstaterna, reglerna om behandling av personuppgifter är modernare och skillnaderna
i tillämpning mellan medlemsstaterna ska minska. Detta ska öka skyddet, möjliggöra för enskilda att få större kontroll över sina personuppgifter men även att möjliggöra ett friare flöde av personuppgifter inom medlemsländerna (exempelvis för företag när de verkar i flera EU-länder). Inom området hälso- och sjukvård kommer det fortfarande att finnas vissa möjligheter att ha kompletterande svensk lagstiftning, vägledningar och regler, eftersom det är ett område där EU tillåter en nationell lagstiftning.
I Sverige kompletteras förordningen bland annat av Dataskyddslagen, Patientdatalagen (som reglerar behandling av personuppgifter i patientjournal) och Offentlighets- och sekretesslagstiftningen (som reglerar hur uppgifter får lämnas ut). Den rättsliga grunden för laglig behandling av personuppgifter är i stort sett oförändrad från tidigare personuppgiftslagstiftning. En viktig förändring är att myndigheter måste kunna ange en laglig grund för sin behandling av personuppgifter. Inom hälso- och sjukvården i Sverige finns den lagliga grunden för behandling av personuppgifter framför allt i de rättsliga förpliktelser som följer av Patientdatalagen.
Enligt Patientdatalagen är det en skyldighet för hälso- och sjukvårdspersonalen att dokumentera uppgifter om den vård patienterna fått i journalen. Sparande av prov i en biobank och personuppgiftsbehandling i samband, utgör därmed den rättsliga grunden av patientens uttryckliga samtycke. Ett sådant samtycke måste vara frivilligt, informerat, specifikt och otvetydigt. Information om prov som endast sparas för patientens vård och behandling omfattas av patientdatalagens bestämmelser. Oavsett om provgivaren önskar spara eller kasta sitt prov så ska enligt biobankslagen uppgifterna om samtycket på lämpligt sätt dokumenteras i patientens journal.
Artikel 5
I artikel 5 i dataskyddsförordningen finns ett antal grundläggande principer för behandling av personuppgifter (se nedan). Många av dessa principer är desamma som de som funnits i personuppgiftslagen, men dataskyddsförordningen ställer högre krav på att den personuppgiftsansvariga ska kunna visa att de grundläggande principerna efterlevs.
Laglighet, korrekthet och öppenhet (artikel 5.1a, skäl 39, 58, 60). Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.
Ändamålsbegränsning (artikel 5.1b, skäl 39, 50). Uppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen.
Uppgiftsminimering (artikel 5.1c, skäl 39). Uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de
behandlas.
Korrekthet (artikel 5.1d, skäl 39). Uppgifterna ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att
personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål.
Lagringsminimering (artikel 5.1e, skäl 39). Uppgifterna får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att
säkerställa den registrerades rättigheter och friheter.
Integritet och konfidentialitet (artikel 5.1f, skäl 39) De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder.
Några viktiga nyheter med GDPR är:
Register över behandling (artikel 30, skäl 82): Både personuppgiftsansvariga och personuppgiftsbiträden är skyldiga att föra ett register eller en förteckning över behandlingar av personuppgifter. Dessa register ska upprättas skriftligen, vara tillgängliga i elektronisk format och hållas uppdaterade. Vad som ska finnas med i förteckningen beskrivs i artikel 30 i dataskyddsförordningen. Detta innebär att biobanken ska anmäla den personuppgiftsbehandling som sker inom biobanken till personuppgiftsansvarig så att den finns tillgänglig i den personuppgiftsansvarigas registerförteckning. Den personuppgiftsansvariga har riktlinjer för hur detta ska gå till.
Konsekvensbedömning avseende dataskydd (artikel 35): Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. En enda bedömning kan omfatta en serie liknande behandlingar som medför liknande höga risker.
Personuppgiftsincidenthantering (artikel 33, 34, skäl 85-88): De organisationer som behandlar personuppgifter behöver ha rutiner för att kunna upptäcka,
rapportera och utreda personuppgiftsincidenter. En personuppgiftsincident kan innebära risker för människors friheter och rättigheter kränks. Vissa typer av personuppgiftsincidenter behöver anmälas till Datainspektionen. En anmälan av personuppgiftsincident till tillsynsmyndigheten ska normalt ske inom 72 timmar och till den registrerade utan onödigt dröjsmål efter det att överträdelsen har upptäckts. Personuppgiftsbiträdet ska underrätta den personuppgiftsansvarige utan onödigt dröjsmål efter att denna har fått vetskap om en personuppgiftsincident. Om en personuppgiftsincident inte rapporteras kan det innebära en överträdelse av dataskyddsförordningen, vilket kan leda till att huvudmannen kan drabbas av höga sanktionsavgifter. Mer information hittas på www.datainspektionen.se
Sonja Eaker, ordförande Beredningsgruppen för Biobank Sverige