Steg 5. Juridiska frågor
När du nu vet lite mer om vilken information du skulle vilja hantera i din lösning, är det dags att titta på vad som är juridiskt tillåtet att göra med den tänkta informationen. Några saker är du helt enkelt tvungen att göra för att lösningen ska kunna utvecklas och säljas. Annat är inte strikt nödvändigt, men kan bidra till att höja kvaliteten i lösningen. Att du gör lite mer än du måste kan också underlätta när dina kommande kunder ska göra de analyser som de måste göra när de utvärderar lösningen.
Sidan uppdaterad 2023-12-18.
- Vad måste du som innovatör göra?
- Juridisk fallbeskrivning – ett bra sätt att dela upp lösningen i steg
- Hälsodata är känsliga personuppgifter – GDPR sätter ramarna
- Är lösningen en medicinteknisk produkt?
- Var lagras data i din lösning?
- Använder du tredjepartsprogram med kakor?
- Behöver du göra en rättsutredning?
- Länkar till regelverk för hälsodata
- Checklista juridisk analys
Vårt medskick är att juridiska frågor visserligen kan vara komplicerade och tidskrävande, men om du går till botten med dem sparar du både tid och pengar i slutändan.
Om du inte gör en tillräckligt bra slutlig analys riskerar du både andra individers personliga integritet och din egen ekonomi.
Det är också ett kvalitetstecken för kunder och samarbetspartner att du har ordning på de juridiska frågorna.
Vad måste du som innovatör göra?
Som innovatör finns det några saker som du absolut måste göra. Punkterna 1–3 regleras av dataskyddsförordningen, GDPR, och beskrivs närmare i avsnitten Hälsodata är känsliga personuppgifter – GDPR sätter ramarna och Var lagras data i din lösning? Punkt 4–5 styrs av regelverket för medicintekniska produkter och beskrivs närmare i avsnittet Är lösningen en medicinteknisk produkt?.
- Upprätta en så kallad registerförteckning över hur personuppgifter hanteras i lösningen.
- Se till att lösningen har en rimlig säkerhetsnivå i förhållande till riskerna och beskriv vad du gjort för att begränsa riskerna.
- Se till att lösningen inte bidrar till att personuppgifter överförs till ett land utanför EU, om du inte har ett godtagbart undantag för detta.
- Beskriv ändamålet med din lösning och utifrån det bedöma om den är en medicinteknisk produkt eller inte, och i så fall av vilken klass.
- Tillämpa det medicintekniska regelverket enligt bedömningen i punkt 4.
Utöver detta kan du också ha nytta av att göra fördjupade analyser:
- Juridisk riskanalys (laglighetsprövning), se avsnitt Behöver du göra en rättsutredning?
- Övergripande informationssäkerhetsanalys, se avsnitt Inte bara personuppgifter behöver skyddas
- Dataskyddskonsekvensbedömning, se avsnitt Det är klokt att göra en dataskyddskonsekvensbedömning.
Anlita jurist – men läs på själv först!
Med tanke på att juridiken är så central i utvecklingen kan det vara klokt att anlita en jurist redan tidigt i arbetet. Då kan du inleda strategiska diskussioner tidigt och ta upp dem igen vid behov under projektets gång. En bra start kan vara att ha en eller två workshoppar med juristen och dokumentera de råd och rekommendationer du får. Senare i arbetet, innan du börjar bygga din lösning, bör du också ta hjälp för de nödvändiga juridiska analyserna enligt dataskyddsförordningen. Och självklart behövs juristen om du bestämmer dig för att även göra en djupare juridisk utredning.
Men oavsett när och hur du tar hjälp av juristen bör du först gå igenom några huvudfrågeställningar i juridiken själv. Det gör det lättare för dig att ställa rätt frågor till juristen och få ut så mycket som möjligt av analyser och bedömningar utan att kostnaderna springer iväg. Juristen kommer att göra ett bättre och mer effektivt jobb om du har en tydlig och välstrukturerad dokumentation både av det du vet och av det du känner dig osäker på. Börja gärna med att göra en fallbeskrivning och formulera frågor utifrån de problem och otydligheter du identifierar i den. Vad en fallbeskrivning är kan du läsa mer om i avsnittet Juridisk fallbeskrivning – ett bra sätt att dela upp lösningen i steg.
Men först ska vi avliva ett par myter
Innan vi tittar närmare på fallbeskrivningar och huvudfrågeställningar behöver vi avliva ett par myter. Den första handlar om att en lösning för ”allt” är den bästa idén, medan den andra handlar om att det inte är någon idé att försöka, eftersom all informationshantering ändå är förbjuden.
Myt 1: ”En universallösning skulle lösa alla problem!”
Det är vanligt att nya initiativ leder fram till entusiastiska planer på allt-i-ett-lösningar som ska rymma all data och kunna kommunicera allt med alla. Det kan inledningsvis verka som den mest geniala lösningen – som bara ingen annan tänkt på! Men tyvärr slutar sådana planer alltför ofta med att arbetet tar tvärstopp för att lösningen blir omöjlig i praktiken.
Därför är kanske det viktigaste rådet i denna vägledning att du behöver se till att lösningen kan delas upp i små steg, där du kan klargöra juridiska förutsättningar som ändamål, typ av personuppgifter, rättslig grund och personuppgiftsansvar för varje steg. Var systematisk och noggrann i detta arbete. Först när du rett ut varje steg är det rimligt att överväga möjligheten att slå ihop flera steg till en mer sammansatt lösning.
Myt 2: ”Det är ingen idé, allt är ändå förbjudet”
Inledningsvis kan juridiken kännas hopplös och oöverstiglig, särskilt när du ser listorna över relevanta lagar och andra författningar, eller när du får mothugg från erfarna kolleger som förklarar att din briljanta lösning är för allomfattande för att fungera juridiskt. Men ge inte upp! När du lyckas bena upp och beskriva stegen i lösningen och motivera varför ditt behov av data ser ut som det gör, kommer du att inse att mer än du tror faktiskt är både tillåtet och möjligt. Nästan inga data är helt fridlysta, bara du har klart för dig vad du vill göra med dem och kan motivera varför. Men – med det sagt finns det saker som ur ett vård- och utvecklingsperspektiv kanske kan ses som önskvärda, men som i dag inte är juridiskt tillåtna. I dessa fall är det bara förändringar i regelverket som skulle möjliggöra utveckling.
Exempel på frågeställningar och potentiella lösningar
1. ”Stående” remisser och förbeställda prover möjliggör för patienten att ”beställa” sin egen provtagning
Det är bara hälso- och sjukvårdspersonal som kan ordinera hälso- och sjukvårdsåtgärder. Det är dock möjligt att skapa ”stående” remisser riktade till patienter som regelmässigt har behov av att ta vissa prover. Patienten kan då själv ”beställa” provtagning när det behövs. ”Beställningen” innebär egentligen att patienten aktiverar tidpunkten för den redan ordinerade provtagningen. Patienten gör detta via tjänsten 1177 egen provtagning,
Tjänsten kan också användas bredare för vanliga prover som klamydia, gonorré och covid-19. Provtagningen ses då som en ”resurs” som vårdgivaren beställt från ett godkänt laboratorium och betalat för. Vårdgivaren har sedan överlåtit till den patient som har behov av provtagning att bestämma när resursen ska användas, det vill säga när provet ska tas.
2) Strukturerade enkäter möjliggör informationsinhämtning från patienten
Det är i dag inte juridiskt möjligt för individen att dokumentera i sin egen journal. Däremot är det fullt möjligt för vården att samla in information från en patient med hjälp av strukturerade enkäter med precist ställda frågor. Enkäten blir en inkommen handling hos den vårdgivare där patienten behandlas, och uppgifterna kan lagras i journalen. I tjänsten PER (PER = patientens egen registrering) kan enkäten läggas som en ständigt ställd fråga från vården, som patienten besvarar vid behov.
Utmaning, tänkbar utveckling?
I dagens lösning för PER stannar ingen information hos individen, utan den besvarade enkäten finns bara hos vården. Det gör att individen på egen hand inte kan följa sina värden över tid, om inte vårdgivaren väljer att låta individen ta del av (titta på) dem via lösningar som Ineras Journalen.
Ett sätt att säkerställa att individen behåller tillgången till sin egen information redan från början skulle kunna vara att skapa en stiftelse som personuppgiftsansvarig för individens uppgifter. Stiftelsen skulle i så fall ansvara för att skapa appen och lagra värdena i den. En sådan lösning har utretts juridiskt men såvitt vi vet har den ännu inte prövats i praktiken.
3. Utlämning av journaluppgifter till patienten för användning i en digital applikation
Många nya idéer om användning av hälsodata förutsätter att individen snabbt, strukturerat och digitalt kan få ut sina egna journaluppgifter från vården, så att uppgifterna kan användas och analyseras i en digital lösning. Det skulle till exempel kunna underlätta vården av patienter med kroniska sjukdomar som diabetes och astma.
Men även om individen har rätt att begära ut sina uppgifter är ett sådant utlämnande i praktiken krångligt i dag. En anledning till det är att det inte finns några krav på att uppgifterna ska lämnas ut i ett visst format – eller ens att de ska lämnas ut digitalt. Individen kan därför lika gärna få ut uppgifterna i form av pappersutskrifter. En annan anledning är det oftast görs en manuell kontroll av om aktuella, lokala riktlinjer tillåter utlämning eller om det krävs en särskild menprövning av den ansvariga läkaren. Allt detta tar tid.
Rent juridiskt finns det dock inget som hindrar att vårdgivaren skapar rutiner för att avgöra att en viss typ av uppgift inte ska anses vara till men för individen. Uppgiften skulle då, teoretiskt sett, kunna lämnas ut snabbt, strukturerat och digitalt, så att individen kan använda den i en digital lösning.
Anser du att regelverket behöver förändras? Det går att påverka …
Exemplen ovan beskriver lösningar som fungerar, eller skulle kunna fungera, inom ramen för dagens regelverk. Men som vi påpekade före exemplen[HP2] finns det situationer som inte går att lösa utan att regelverket förändras.
Att förändra regelverk är en process som ofta tar flera år, och konsekvenserna av förändringarna behöver utredas noga. Det är därför viktigt att diskussionen om möjliga förändringar baseras på konkreta exempel och goda idéer om utveckling. Skulle du under arbetet med din lösning identifiera ”omöjligheter” som du anser är orimliga, fundera på om du har tid, möjlighet och lust att gå vidare och hjälpa till med sådana exempel och idéer. Kartlägg i så fall problemet och de oönskade konsekvenser du ser i dag, föreslå en lösning och beskriv vinsterna med det. Gör din beskrivning så tydlig och detaljerad som möjligt, och visa särskilt på vad individen, utifrån perspektiv som patientsäkerhet, god vård och kostnadseffektivitet, skulle vinna på förändringen.
Därefter gäller det att spela in dina synpunkter till det sammanhang där den juridiska diskussionen inom området förs för tillfället. Kontakta i första hand en statlig utredning eller statlig kommitté, om du kan identifiera någon som verkar ha ett lämpligt fokus. Utredningar har som uppgift att kommunicera sina sakfrågor med alla, vilket inkluderar ”allmänheten” – och brukar vara tacksamma för konkreta och detaljerade exempel från verkligheten. Om du inte hittar någon utredning, kontakta i stället någon tjänsteperson på Regeringskansliet. De har skyldighet att besvara sakfrågor, alternativt hänvisa vidare till den som kan svara eller har uppdraget att undersöka problemområdet.
Juridisk fallbeskrivning – ett bra sätt att dela upp lösningen i steg
Ett bra sätt att dela upp en lösning i mindre steg är att göra en juridisk fallbeskrivning. Genom fallbeskrivningar kan du testa tillämpningen av juridiken på en verklighetsnära, konkret situation. På så sätt kan du bland annat identifiera oklarheter som behöver analyseras djupare. Observera att en fallbeskrivning inte ersätter en konsekvensbedömning av dataskydd enligt GDPR, men den är en bra start för en sådan.
Utgå gärna från kundresan och från informationsanalysen och fundera över hur och mellan vilka aktörer informationen i lösningen är tänkt att flöda och vad varje aktör förväntas göra med informationen. Centralt i din beskrivning är vem som i praktiken avgör varför och hur data hanteras.
Några av de frågor som du behöver ställa dig för varje steg är:
- Vilken eller vilka typ(er) av aktör(er) handlar det om – vårdgivare, myndigheter, föreningar, företag eller individer?
- Vilken aktör avgör i praktiken vilka ändamål data hanteras för och med vilka metoder?
- Vad gör de olika aktörerna med informationen – ta till sig information, fatta beslut, göra beräkningar, eller något annat?
- Ska information hanteras på individnivå eller aggregerat?
- Ska individdata pseudonymiseras eller anonymiseras?
- Var ska informationen lagras?
Genom fallbeskrivningen kan du identifiera och precisera utmaningar och huvudfrågeställningar som rör dataskydd, medicinteknisk produktklassificering och lagring i din lösning.
Hälsodata är känsliga personuppgifter – GDPR sätter ramarna
Alla personbundna hälsodata vi pratar om i det här sammanhanget är personuppgifter. Alltså kommer GDPR, EU:s allmänna dataskyddsförordning, att gälla som utgångsläge. Uppgifter om individers hälsa är känsliga personuppgifter enligt GDPR och har därför ett särskilt starkt juridiskt skydd. Grundregeln i GDPR är att det är förbjudet att hantera känsliga personuppgifter, så för att din lösning överhuvudtaget ska gå att genomföra behöver du se till att
- den ryms inom något av GDPR:s undantag till det generella förbudet att hantera personuppgifter – eller behandla personuppgifter, som det heter med GDPR:s terminologi
- det finns en rättslig grund för hanteringen av personuppgifter i lösningen
- hanteringen av personuppgifter i lösningen är förenlig med GDPR:s grundläggande dataskyddsprinciper, till exempel att hanteringen ska vara skälig eller rimlig och att inte fler personuppgifter används än vad som behövs för ett ändamål.
En bra guide till dataskydd och rättslig grund finns hos Integritetsskyddsmyndigheten, IMY. Där kan du också läsa om hur de svenska lagar och förordningar som styr dataskyddsområdet hänger ihop och vilka lagar gäller framför andra. IMY ger också särskild vägledning till innovatörer på sin innovationsportal.
Svenska lagar kompletterar GDPR
GDPR kompletteras också med nationella lagar, som det är bra om du sätter dig in i. Den allmänna, kompletterande lagen heter lag med kompletterande bestämmelser till EU:s dataskyddförordning (dataskyddslagen i vardagligt tal).
Inom den svenska hälso- och sjukvården är också bland annat patientdatalagen och offentlighets- och sekretesslagen viktiga komplement. Ibland kan diskussionen om hälsodata ge intrycket att patientdatalagen försvårar användningen av data, men i själva verket är den i grunden en möjliggörare. Det betyder inte att den möjliggör ”allt”, men tack vare den har vårdgivare rätt att använda känsliga personuppgifter utan särskilt samtycke för att bedriva vård, kvalitetssäkra verksamheten med mera.
Sedan 1 januari 2023 kompletteras GDPR även av lagen om sammanhållen vård- och omsorgsdokumentation, som möjliggör delning av information mellan vårdgivare och omsorgsgivare.
Personuppgiftsansvarig eller personuppgiftsbiträde?
Bland det viktigaste i din fallbeskrivning är att slå fast vilken aktör – en fysisk eller juridisk person – som bestämmer varför och hur personuppgifterna ska kunna hanteras i din lösning. Med GDPR:s terminologi kallas detta att ansvara för ändamål och medel med personuppgiftsbehandlingen. Den aktören är personuppgiftsansvarig (PUA).
Om någon annan aktör hanterar personuppgifterna enligt den personuppgiftsansvariges instruktioner utan att själv kunna påverka ändamål och medel, räknas denna aktör som personuppgiftsbiträde (PUB). Det kan till exempel handla om att lagra uppgifter åt den personuppgiftsansvarige, som du gör åt dina kunder.
I praktiken kan det vara svårt att identifiera vem som har vilket ansvar, men inför dina diskussioner med juristen är det viktigt att du är bekant med att de två rollerna finns.
När du, kanske tillsammans med juristen, identifierat personuppgiftsansvariga och eventuella personuppgiftsbiträden behöver du se till att det finns personuppgiftsbiträdesavtal (PUB-avtal) mellan den personuppgiftsansvarige och personuppgiftsbiträdena, det vill säga bland annat mellan dig och dina kunder. Avtalen ska bland annat beskriva vilka uppgifter det handlar om, reglerna för att hantera dem eller om det behövs särskilda åtgärder för att höja integriteten.
Sveriges Kommuner och Regioner (SKR), Inera AB och Adda AB har tillsammans tagit fram en mall för PUB-avtal som används allmänt av regioner och kommuner. Om du baserar dina avtal på mallen kan du dels känna dig trygg i att de uppfyller alla krav i GDPR, dels slippa hamna i utdragna avtalsdiskussioner med kunder som är regioner eller kommuner. PUB-avtalet finns även översatt till engelska samt kompletteras av en vägledning.
Som personuppgiftsbiträde behöver du också för varje personuppgiftsansvarig (kund) beskriva hur personuppgifter hanteras i din lösning. En sådan beskrivning kallas registerförteckning. Vilka uppgifter registerförteckningen ska innehålla framgår av GDPR. Integritetsskyddsmyndigheten, IMY, har också mer information om detta.
Det är klokt att göra en dataskyddskonsekvensbedömning
Hantering av känsliga personuppgifter kan leda till en hög risk för de personer vars uppgifter hanteras. Därför bör du också göra en dataskyddskonsekvensbedömning (DPIA) enligt GDPR. Ansvaret för att göra en sådan ligger rent juridiskt på den som är personuppgiftsansvarig, det vill säga din framtida kund, men vi anser att det är klokt att du gör en konsekvensbedömning själv också. Förutom att du lär dig mycket om dataskydd, har du chans att förebygga och minimera riskerna, redan innan din lösning byggts och ska börja användas.
Konsekvensbedömningen ska bygga på en dataskyddsinriktad riskanalys. En sådan riskanalys fokuserar på riskerna för fri- och rättigheter för de personer vars personuppgifter hanteras i lösningen (”de registrerade”). Riskerna kan vara materiella, fysiska eller psykiska. Som en del av analysen ska du också beskriva vilka åtgärder (kompensatoriska mekanismer) du vill använda för att skydda hanteringen av känsliga personuppgifter, det vill säga för att minska riskerna. Enligt GDPR ska du som leverantör (personuppgiftsbiträde) nämligen kunna visa att – och hur – de personuppgifter som hanteras i din lösning skyddas.
Vårt råd är att du tar hjälp av en jurist om du gör en dataskyddskonsekvensbedömning. Men tänk på att juristen kommer att pröva förslaget precis som det är formulerat; juristen ska i det här läget bedöma om du är ute och cyklar eller inte, inte komma med alternativa förslag. Det är alltså ditt ansvar att ställa frågorna så tydligt och avskalat som möjligt. Ju tydligare och mer detaljerad du kan vara, desto större är chansen att juristen kan komma till slutsatsen att din lösning är realistisk och genomförbar i praktiken.
Integritetsskyddsmyndigheten, IMY, har mer information om riskanalyser och konsekvensbedömningar. SKR har också publicerat en pedagogisk mall för en konsekvensbedömning med inriktning på vård- och omsorg.
Inte bara personuppgifter behöver skyddas
Dataskydd handlar om personuppgifter och individens personliga integritet. Men även annan information som inte är kopplade till individer kan vara skyddsvärd och behöva hanteras på ett säkert sätt. Det kan till exempel handla om företagshemligheter, forsknings- eller utvecklingsuppgifter, innovationer eller affärsuppgörelser. Som innovatör behöver du se till att även sådana data skyddas i den verksamhet som använder din lösning. Kanske hanterar lösningen även skyddsvärd information från din egen verksamhet, till exempel patent. Den informationen behöver i så fall också skyddas.
Om du bestämmer dig för att göra en riskanalys är det därför klokt att inte begränsa den till dataskydd, utan även göra en informationssäkerhetsriskanalys. En del av analysen handlar även för denna typ av riskanalys om att beskriva vilka åtgärder (kompensatoriska mekanismer) du vill använda för att skydda hanteringen av informationen, det vill säga för att minska riskerna. I många fall är det också samma eller liknande åtgärder som behövs för att skydda både personuppgifter och annan skyddsvärd information.
Är lösningen en medicinteknisk produkt?
Som tillverkare av tekniska lösningar som hanterar hälsodata är det du som ska beskriva lösningens avsedda användningsområde och avgöra om lösningen är en medicinteknisk produkt. Som tillverkare står du också för CE-märkning om det är aktuellt.
Du behöver alltså ställa dig frågan om din lösning är en medicinteknisk produkt eller inte. För att en produkt ska klassas som medicinteknisk produkt ska den ha ett medicinskt syfte på individnivå – exempel på medicintekniska produkter är hjärtstartare, hörapparater, medicinska förband och graviditetstest. Men även applikationer eller programvaror med tydligt medicinskt syfte, till exempel medicinska beslutsstöd, kan vara medicintekniska produkter.
Medicintekniska produkter lyder under EU:s förordning om medicintekniska produkter (MDR) och medicintekniska produkter för in vitro-diagnostik lyder under EU:s förordning om medicintekniska produkter för in vitro-diagnostik (IVDR). I Sverige är Läkemedelsverket den myndighet som är ansvarig för regleringar kring medicintekniska produkter och CE-märkningar.
Om du landar i att din lösning inte är en medicinteknisk produkt, kan det ändå finnas besläktade regelverk som du behöver ta hänsyn till. Ett exempel är Läkemedelsverkets föreskrifter om nationella medicinska informationssystem som gäller informationssystem som i sig själva inte är medicintekniska produkter men i sin avsedda användning ligger nära medicintekniska produkter. Ett annat är produktsäkerhetslagen, som gäller allmänt för alla typer av varor riktade till konsumenter. I det kommande regelverket om ett europeiskt hälsodataområde (European Health Data Space, EHDS) kan det också komma mer explicita regler för journalsystem och hälsoappar.
Fundera också över var någonstans du utvecklar din lösning. Den medicintekniska förordningen har en särskild, förenklad reglering för egentillverkning. Egentillverkning innebär att utveckla lösningar som endast ska användas internt inom en organisation. Egentillverkning kan bli utmanande om resultatet blir så lyckat och generellt användbart att det är värt en spridning utanför vårdgivaren, eller om det redan finns liknande produkter till försäljning på marknaden. Då behöver lösningen klassas om till medicinteknisk produkt, vilket innebär att produkten måste CE-märkas och leva upp till alla andra krav på sådana produkter. Det kan därför vara bra att ha systematisk kontroll på dokumentation och annat som krävs för en CE-märkning redan i ett skede då CE-märkning inte är aktuellt.
Även om du kommer fram till att det inte är aktuellt med CE-märkning för just din produkt är det ändå klokt att klargöra och beskriva produktens tänkta syfte, användning, funktion och prestanda. En sådan beskrivning kan komma till nytta i många andra sammanhang – inte minst i dialogen med juristen.
Här kommer några matnyttiga länkar om medicinteknik:
Om du planerar att sprida din lösning utanför EU är det bra att veta att andra länder (till exempel USA) har en annan typ av klassning av medicintekniska produkter. Omvänt behöver du som börjat lanseringen i USA och vill sprida din lösning inom EU vara medveten om att regelverken ser olika ut.
Var lagras data i din lösning?
En fråga som har varit aktuell sedan flera år är om det är tillräckligt säkert att använda amerikanska företag och amerikanska servrar för lagring av data. Det finns ingen nationell enighet om vilken infrastruktur som är okej att använda för vård och lagring av hälsodata. I stället har det bildats två läger.
Det ena lägret tycker att det är tillräckligt säkert, medan det andra menar att europeiska medborgares personuppgifter riskerar att hamna hos amerikanska myndigheter utan möjlighet till insyn utifrån. Den som framför allt drivit det andra lägrets talan är den österrikiske advokaten Maximilian Schrems.
Schrems menar att det strider mot EU-rätten att amerikanska myndigheter kan hänvisa till nationell säkerhet och därmed få rätt att begära ut personuppgifter från amerikanska företag som har uppgifter om europeiska medborgare. Schrems motiverar detta med att de personer det gäller inte har någon möjlighet till insyn i användningen av personuppgifterna eller några rättsliga sätt att påverka den. Han har drivit frågan till EU-domstolen i två omgångar, vilket lett till att domstolen underkänt överenskommelser mellan USA och EU om överföring av personuppgifter.
Det senaste som hänt i frågan är att EU-kommissionen fattat ett så kallat adekvansbeslut (10 juli 2023). Beslutet innebär att kommissionen bedömer att skyddet för enskilda personers personuppgifter nu är tillräckligt högt. I beslutet konstaterar kommissionen att det finns ett krav på amerikanska myndigheter att avlyssning och liknande ska vara proportionerlig i förhållande till ingreppet i den personliga integriteten. Kommissionen pekar på att det finns en klagomålsinstans i USA för den europeiska medborgare som tycker att en viss personuppgiftshantering inte är korrekt.
Det är sannolikt att Schrems överklagar även denna gång, men en sådan process tar flera år.
I Sverige har adekvansbeslutet fått ett blandat mottagande. Enligt vissa, som tidigare var överens med Schrems, är det nu möjligt att använda amerikanska molntjänster för lagring av känsliga personuppgifter. Andra hävdar fortfarande att det inte är förenligt med europeisk lag. Ytterligare andra menar att det beror på vilka personuppgifter det handlar om.
Kontentan för dig som innovatör är att du ska känna till att det finns en risk, åtminstone hypotetiskt, för att personuppgifter hamnar i amerikanska myndigheters händer utan att du kan påverka det. I praktiken ställs du inför en sammanvägd bedömning av faktorer som hur känsliga varje typ av personuppgifter faktiskt är, sannolikheten för att den hypotetiska överföringen ska ske, kostnaden och effektiviteten vid användning av den amerikanska tekniken ändå, och så vidare. Antal promenerade steg som samlas in från en smart klocka kanske inte är känsligt, medan till exempel genetisk information eller sjukdomshistoria kanske är det.
Men redan det långa avståndet till amerikanska servrar och rättsprocesser kan göra det svårare för dig att ha kontrollen över de lagrade personuppgifterna. Det kan också vara klokt att undvika avtal med långa bindningstider, eller åtminstone inkludera exitklausuler, så att du har möjlighet att snabbt byta lagringslösning om rättsläget drastiskt skulle förändras genom en dom i EU-domstolen.
Så summan är att du ändå behöver göra din egen bedömning för just din hantering av personuppgifterna. Vid svårare bedömningar är det klokt att söka stöd från jurister och informationssäkerhetsexperter. Se i vart fall till att du är medveten om vad du gör, om vilka beslut du fattar och varför, så att du kan beskriva och motivera dem.
Använder du tredjepartsprogram med kakor?
En särskild aspekt på lagring är kakor. Kakor, eller cookies, är små textfiler som lagras på en dator, surfplatta eller mobiltelefon, när en användare besöker en webbsida. Kakorna innehåller information om webbläsare, IP-adress, skärmupplösning och aktiviteter på webbplatsen. Det kan handla om vilket innehåll användaren har sett och klickat på vid vilken tidpunkt och vilken webbplats användaren har besökt innan besöket på den aktuella webbplatsen.
I dag ställer lag och praxis krav på en så kallad cookie-banner, en dialogruta där användaren vid det första besöket på en webbplats påminns om vilka kakor som finns och kan välja att säga nej till alla kakor utom de som är nödvändiga. En cookie-banner ska ha åtminstone tre snabbval:
- En knapp där användaren kan säga nej till alla kakor utom de nödvändiga
- En knapp för att godkänna alla kakor
- En knapp där användaren kan göra individuella inställningar för varje typ av kaka.
Om du använder dig av tredjepartsprogramvaror i din lösning behöver du också undersöka vilka kakor programvaran använder. Det är till exempel etiskt tveksamt att bygga en lösning med kommuner eller regioner som målgrupp och inkludera kakor där leverantören eller en tredje part kan rikta marknadsföring av kommersiella tjänster eller produkter till användarna. Det är också viktigt att kontrollera att tredjepartsprogramvaran eller kakan inte överför personuppgifter till mottagare i tredje land.
Behöver du göra en rättsutredning?
I vissa fall kan det finnas skäl att låta juristen göra en rättsutredning med ett annat fokus än dataskyddskonsekvensbedömningen och informationssäkerhetsriskanalysen. Det kan vara särskilt lämpligt om lagstiftningen just har ändrats eller är på väg att ändras, eller när det handlar om stora och kostsamma lösningar.
Ambitionsnivån och inriktningen för ett sådant arbete kan variera beroende på lösningens karaktär, dina egna juridiska kunskaper, dina ekonomiska möjligheter och så vidare. Kanske vill du säkerställa att lösningen håller sig inom ramen för alla författningar som påverkar den. Detta kallas ibland även laglighetsprövning.
Beroende på vad ni kommer överens om, kan juristen begränsa sig till att svara på specifika frågor, eller så kan uppdraget innebära ett större ansvar och mer fri analys. Det kan bland annat handla om att detaljera fallbeskrivningen, undersöka och precisera frågeställningarna om exakt vem som ska hantera vilka data och på vilket sätt, inventera potentiella juridiska problem utifrån fallbeskrivningen, föreslå och beskriva ett (eller flera) lösningsalternativ samt identifiera riskerna med dessa i olika skeden.
Oavsett ambitionsnivå är den eller de fallbeskrivningar du gjort är en bra utgångspunkt för juristen. Om det inte redan ingår i fallbeskrivningen, komplettera också med
- en textbaserad beskrivning av tjänsten inklusive arkitektur, aktörer och informationsflöden
- en textbaserad beskrivning av de tekniska och organisatoriska skyddsåtgärder du planerar för att skydda hanteringen av känsliga personuppgifter
- bilder som förtydligar – men observera att det inte räcker med enbart bilder
- tydligt formulerade frågeställningar där du behöver särskilda råd.
Länkar till regelverk för hälsodata
I detta kapitel har vi tagit upp ett antal lagar och föreskrifter som är särskilt viktiga för dig som vill utveckla en lösning som hanterar hälsodata.
Fler relevanta lagar och föreskrifter
Utöver dessa kan det också vara bra om du sätter dig in i ytterligare lagar och föreskrifter som direkt eller indirekt påverkar hanteringen av data inom vård och omsorg. Observera att denna vägledning fokuserar på Sverige i första hand och EU i andra hand. Andra EU-länder har annan kompletterande, nationell lagstiftning än Sverige, och länder utanför EU har i sin tur lagstiftning som kan avvika från EU:s.
HSL är den centrala lagen för hälso- och sjukvården i Sverige. Den ger övergripande mål och riktlinjer för verksamheten utifrån att målet med hälso- och sjukvård är att ge god hälsa och en vård på lika villkor för hela befolkningen.
SoL är den centrala lagen för socialtjänstens verksamhet i Sverige.
Lagen anger när personuppgifter får hanteras inom socialtjänsten.
Patientlagen syftar till att främja patientens integritet, självbestämmande och delaktighet.
Föreskriften beskriver bland annat vilka informationsmängder som åtminstone ska finnas i en patientjournal och att varje individanpassad vårdprocess ska kunna ses överskådligt.
Här hittar du en fullständig förteckning över myndighetens gällande föreskrifter.
Lagen baseras på EU:s NIS-direktiv. NIS-direktivet syftar till att uppnå en hög gemensam nivå på säkerhet i nätverk och informationssystem inom EU. Lagstiftningen gäller leverantörer av samhällsviktiga tjänster, för nätverk och informationssystem.
Checklista juridisk analys
I projektet har vi
- upprättat registerförteckning över personuppgifter
- klarlagt personuppgiftsansvar i olika delar av lösningen
- formulerat fallbeskrivning och frågor till jurist
- klargjort eventuell tredjelandsöverföring och dess grund
- beskrivit och klassat eventuell medicinteknisk produkt
- beskrivit hur risker ska begränsas.