En juridisk genomgång av patientdatalagen (PDL) inklusive Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården samt Socialstyrelsens handbok till dessa föreskrifter, allt med fokus på informationssäkerhet och integritetsfrågor inom vården. Kopplingar sker hela tiden under kursdagen till det regelverk som står över PDL när det gäller behandling av patientuppgifter, nämligen GDPR. På kursen kommer också tas upp den nya EU-förordningen om ett europeiskt hälsodataområde.
– Vilka regler finns det för behandling av personuppgifter, patientuppgifter, inom vården, med fokus på informationssäkerhet?
– Vilket är tillämpningsområdet för PDL såvitt avser behandling av patientuppgifter i vården?
– Kan man använda molntjänster vid behandling av patientuppgifter i vården eller förhindras det av tystnadsplikterna och GDPR?
Större delen av den personuppgiftsbehandling som äger rum inom hälso- och sjukvården avser personuppgifter som primärt samlas in för att dokumenteras i en patientjournal. Hur patientjournalföringen regleras är därför av avgörande betydelse för utformningen av lagstiftningen om personuppgiftsbehandling inom hälso- och sjukvården i stort. Idag ställs det stora krav på att vården får korrekt, riktig, information om patienterna som också snabbt kan tillgängliggöras för vårdpersonalen. Detta är en mycket viktig patientsäkerhetsfråga. De tekniska möjligheterna att snabbt få tillgång till information är numera mycket stora, på gränsen till oändligt stora. Lättare tillgänglig patientinformation, och ett smidigare utbyte av patientuppgifter, ställer samtidigt ökade krav på hur informationen hanteras så att patientens personliga integritet inte hotas. Att skydda patientens integritet är i sig viktigt men också avgörande för om patienterna ska ha förtroende för vården.
Utan patienternas förtroende för säkerheten i den elektroniska informationshanteringen kommer ett sådant system inte att fungera i praktiken. Det är därför mycket viktigt att ställa synnerligen höga krav på informationssäkerheten vid vårdgivares behandling av patientinformation. Här innebär informationssäkerhet såväl krav på att patientinformationen finns tillgänglig för vårdpersonalen som att den är korrekt/riktig. Brister i detta hänseende kan leda till en patientskada. Men det gäller också att skydda patientintegriteten, det vill säga att patientuppgifterna t.ex. inte sprids till obehöriga.
På denna kursdag kommer kursledaren detaljerat gå igenom gällande juridiska regelverk såvitt avser informationssäkerheten vid elektronisk behandling av patientuppgifter. Detta regelverk innefattar främst GDPR, PDL, Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården samt Socialstyrelsens handbok till dessa föreskrifter. Det blir därför även en generell genomgång av hur GDPR:s regler samspelar med och kompletterar de specifika reglerna i PDL och i de angivna Socialstyrelsens föreskrifter.
Vidare lanserade EU-kommissionen 2022 ett förslag till förordning om ett europeiskt hälsodataområde och den 24 april 2024 nåddes en politisk överenskommelse mellan Europaparlamentet och EU:s ministerråd om förslaget. Syftet med förslaget är dels att ge enskilda inom EU en ökad kontroll över sina hälsodata i form av bland annat patientuppgifter, dels att göra det lättare att dela och få tillgång till olika typer av hälsodata. Detta gäller såväl inom vården, så kallad primäranvändning, som för bland annat forskning, innovation och beslutsfattande, kallat sekundäranvändning.
Hälsodataområdet ska exempelvis göra det möjligt för medborgare i hela EU att få tillgång till en elektronisk patientjournal som innehåller recept, bilder och laboratorietester. Detta innebär till exempel att en svensk medborgare som tidigare sökt vård i Spanien ska kunna få elektronisk åtkomst till sina spanska patientjournaler när hen besöker en vårdcentral i Stockholm. Ett annat exempel är att en svensk medborgare som är på semesterresa i Frankrike ska kunna hämta ut ett recept, som har utfärdats av en svensk läkare, på ett franskt apotek. Vidare ska Hälsodataområdet göra det möjligt att dela anonymiserade hälsouppgifter för forskning, till exempel uppgifter om sällsynta sjukdomar.
Detta nya regelverk och dess betydelse kommer också att gås igenom på kursdagen.
Ur kursen:
- PDL:s tillämpningsområde
- Definitioner i PDL
- Grundläggande bestämmelser om personuppgiftsbehandling i PDL
- Skyldigheten enligt PDL att föra patientjournal
- Grundläggande bestämmelser i PDL om inre sekretess och elektronisk åtkomst inom en vårdgivares verksamhet
- Grundläggande bestämmelser i PDL om utlämnande av uppgifter och handlingar samt viss uppgiftsskyldighet
- Regelverket i PDL om sammanhållen journalföring
- Särskilda rättigheter för patienten enligt PDL och GDPR
- Reglerna om omhändertagande och återlämnande av patientjournal enligt PDL
- Regler om skadestånd och andra sanktioner enligt PDL och GDPR
- Vem har ansvaret för informationssäkerheten enligt gällande regelverk
- Kravet på att ledningssystem för kvalitet och patientsäkerhet finns i en dokumenterad informationssäkerhetspolicy
- Olika standarder såvitt avser informationshanteringen inom vården, t.ex. ISO 27000-serien
- Kraven vid hantering av patientuppgifter via så kallade öppna nät, t.ex. Internet, behörighetsstyrning och kryptering
- Regelverket rörande patienters direktåtkomst till sina patientuppgifter
- Regelverket för konsekvensbedömningar, främst i GDPR
- Regelverket för rutiner vid säkerhetskopiering av patientuppgifter
- Verksamhetschefens och annan vårdpersonals ansvar för informationssäkerheten vid behandling av patientuppgifter
- Regelverket vid nyttjande av externa underleverantörer vid behandlingen av patientuppgifter i vården
- Regelverket rörande IT-säkerhet i GDPR
- Något om de särskilda problemen med informationshanteringen inom vården vid nyttjande av molntjänster
- Rapportering av personuppgiftsincidenter enligt GDPR och även enligt NIS-direktivet
- Genomgång av reglerna i den nya förordningen om ett europeiskt hälsodataområdet
Sagt av tidigare deltagare:
”Bra överskådlig utbildning om vad patientdatalagen innebär.”
”Bra att kunna ställa frågor direkt, och få adekvata svar.”
”Kalle har en bra ”kunskapsbank” att ösa exempel från, så att svåra frågeställningar blir konkretiserade. Oavsett vilket organisation man representerar.”
”Jag är väldigt nöjd, precis vad jag behövde och med koppling till GDPR!”
”Lättsam att lyssna på i ett komplicerat område med bra förklaringar.”
”Han är duktig och kan hela tiden dra paralleller till olika lagar och beslut i instanser som är relevanta för det som man pratar om eller diskuterar”
”Oerhört bra kompendium/material att få med sig hem! Det är bra att få så mycket material som man kan gå tillbaka till när kursen är slut.”
”Karl-Fredrik ger ett mycket kompetent intryck och tar sig tid att förklara så att alla deltagare är med innan han går vidare.”
”Det var lätt att lyssna på föreläsaren, trots att utbildningen höll på hela dagen. Han hade en mycket bra kontakt med gruppen medan han talade.”
”Väldigt kunnig och påläst. Dessutom en väldigt duktig och inspirerande talare. K-F lyckas göra ett tungt ämne intressant.”
”Mycket bra material, bra kursledare. Grundläggande info om PDL och GDPR, vilket var bra.”
”Mycket bra. Fantastisk personlighet och attityd. Jag fick ut mycket både glädje och fakta.”
Mycket kunnig.
”Betyg 5/5 på kursens innehåll, föreläsare, kursmaterial och lokal.”
”Praktiskt att få alla lagar, föreskrifter och förordningar samlade med exempel från DI:s kommentarer mm.”
Tid:
10 april 2025 kl 09.30 – 16.30
Registrering och frukost från kl. 09.00
Kursen motsvarar 6 undervisningstimmar
Affärsjurister, advokater, bolagsjurister och myndighetsjurister samt IT-folk och IT-säkerhetsfolk, verksamma inom såväl den privata som den offentliga vården. Kursen vänder sig även till personer som verkar hos systemleverantörer till vården, som kommer i kontakt med dessa frågor. Kursen är sålunda även lämplig för icke jurister.