Hem » Sjustegsmodellen » Juridiska frågor

Steg 5. Juridiska frågor

När du nu vet lite mer om vilken information du skulle vilja hantera i din lösning, är det dags att titta på vad som är juridiskt tillåtet att göra med den tänkta informationen. Några saker är du helt enkelt tvungen att göra för att lösningen ska kunna utvecklas och säljas. Annat är inte strikt nödvändigt, men kan bidra till att höja kvaliteten i lösningen. Att du gör lite mer än du måste kan också underlätta när dina kommande kunder ska göra de analyser som de måste göra när de utvärderar lösningen.

Sidan uppdaterad 2023-12-18.

Vad måste du som innovatör göra?

Som innovatör finns det några saker som du absolut måste göra. Punkterna 1–3 regleras av dataskyddsförordningen, GDPR, och beskrivs närmare i avsnitten Hälsodata är känsliga personuppgifter – GDPR sätter ramarna och Var lagras data i din lösning? Punkt 4–5 styrs av regelverket för medicintekniska produkter och beskrivs närmare i avsnittet Är lösningen en medicinteknisk produkt?.

  1. Upprätta en så kallad registerförteckning över hur personuppgifter hanteras i lösningen.
  2. Se till att lösningen har en rimlig säkerhetsnivå i förhållande till riskerna och beskriv vad du gjort för att begränsa riskerna.
  3. Se till att lösningen inte bidrar till att personuppgifter överförs till ett land utanför EU, om du inte har ett godtagbart undantag för detta.
  4. Beskriv ändamålet med din lösning och utifrån det bedöma om den är en medicinteknisk produkt eller inte, och i så fall av vilken klass.
  5. Tillämpa det medicintekniska regelverket enligt bedömningen i punkt 4.

Utöver detta kan du också ha nytta av att göra fördjupade analyser:

Anlita jurist – men läs på själv först!

Med tanke på att juridiken är så central i utvecklingen kan det vara klokt att anlita en jurist redan tidigt i arbetet. Då kan du inleda strategiska diskussioner tidigt och ta upp dem igen vid behov under projektets gång. En bra start kan vara att ha en eller två workshoppar med juristen och dokumentera de råd och rekommendationer du får. Senare i arbetet, innan du börjar bygga din lösning, bör du också ta hjälp för de nödvändiga juridiska analyserna enligt dataskyddsförordningen. Och självklart behövs juristen om du bestämmer dig för att även göra en djupare juridisk utredning.

Men oavsett när och hur du tar hjälp av juristen bör du först gå igenom några huvudfrågeställningar i juridiken själv. Det gör det lättare för dig att ställa rätt frågor till juristen och få ut så mycket som möjligt av analyser och bedömningar utan att kostnaderna springer iväg. Juristen kommer att göra ett bättre och mer effektivt jobb om du har en tydlig och välstrukturerad dokumentation både av det du vet och av det du känner dig osäker på. Börja gärna med att göra en fallbeskrivning och formulera frågor utifrån de problem och otydligheter du identifierar i den. Vad en fallbeskrivning är kan du läsa mer om i avsnittet Juridisk fallbeskrivning – ett bra sätt att dela upp lösningen i steg.

Men först ska vi avliva ett par myter

Innan vi tittar närmare på fallbeskrivningar och huvudfrågeställningar behöver vi avliva ett par myter. Den första handlar om att en lösning för ”allt” är den bästa idén, medan den andra handlar om att det inte är någon idé att försöka, eftersom all informationshantering ändå är förbjuden.

Myt 1: ”En universallösning skulle lösa alla problem!”

Det är vanligt att nya initiativ leder fram till entusiastiska planer på allt-i-ett-lösningar som ska rymma all data och kunna kommunicera allt med alla. Det kan inledningsvis verka som den mest geniala lösningen – som bara ingen annan tänkt på! Men tyvärr slutar sådana planer alltför ofta med att arbetet tar tvärstopp för att lösningen blir omöjlig i praktiken.

magisk burk juridiska frågor
”Den magiska burken” där alla aktörer kan dela information kan låta som en enkel och smart lösning – men juridiskt sett är den omöjlig. Lösningen behöver delas upp i små steg som beskrivs var för sig.

Därför är kanske det viktigaste rådet i denna vägledning att du behöver se till att lösningen kan delas upp i små steg, där du kan klargöra juridiska förutsättningar som ändamål, typ av personuppgifter, rättslig grund och personuppgiftsansvar för varje steg. Var systematisk och noggrann i detta arbete. Först när du rett ut varje steg är det rimligt att överväga möjligheten att slå ihop flera steg till en mer sammansatt lösning.

processen med två burkar juridiska frågor.
En uppdelning i steg med tydlig beskrivning av rättslig grund, personuppgiftsansvar med mera är nödvändigt om lösningen ska kunna realiseras. Observera att bilden är schematisk och endast visar ett urval av de krav och möjligheter du kan behöva undersöka närmare. Mer utvecklade exempel finns i texten nedan.

Myt 2: ”Det är ingen idé, allt är ändå förbjudet”

Inledningsvis kan juridiken kännas hopplös och oöverstiglig, särskilt när du ser listorna över relevanta lagar och andra författningar, eller när du får mothugg från erfarna kolleger som förklarar att din briljanta lösning är för allomfattande för att fungera juridiskt. Men ge inte upp! När du lyckas bena upp och beskriva stegen i lösningen och motivera varför ditt behov av data ser ut som det gör, kommer du att inse att mer än du tror faktiskt är både tillåtet och möjligt. Nästan inga data är helt fridlysta, bara du har klart för dig vad du vill göra med dem och kan motivera varför. Men – med det sagt finns det saker som ur ett vård- och utvecklingsperspektiv kanske kan ses som önskvärda, men som i dag inte är juridiskt tillåtna. I dessa fall är det bara förändringar i regelverket som skulle möjliggöra utveckling.

Ett exempel på användning av PER är möjligheten för patienter med RA (reumatoid artrit, det vill säga ledgångsreumatism) att rapportera sina egna värden för att få en bedömning av läkare.
vit ikon Länken går till 1177 för Region Uppsala.

Detta är ett mer allmänt exempel på användning av PER från Region Jönköpings län. Tjänsten kallas här Egenregistrering via nätet och används för att patienten ska kunna lämna uppgifter i samband med sin utredning eller behandling.
vit ikon Egenregistrering via nätet i Jönköpings län

I rapporten Data i egna händer – en ESO-rapport om personliga hälsokonton beskrivs hur individen skulle kunna ha kvar och lagra sina egna uppgifter i ett personligt hälsokonto. Bland annat finns här förslaget om att en stiftelse skulle kunna vara ansvarig för en lagringstjänst.
vit ikon Data i egna händer

I Ansvarsförhållanden i digitala tjänster, med eller utan hälsokonto beskrivs hur dataflödet mellan hälso- och sjukvård, medicinteknisk utveckling och patienten skulle kunna designas.
vit ikon Ansvarsförhållanden i digitala tjänster

Ett exempel på hur en rutin för utlämnande kan se ut finns i Region Stockholms Vårdgivarguiden.
vit ikon Vårdgivarguiden

Anser du att regelverket behöver förändras? Det går att påverka …

Exemplen ovan beskriver lösningar som fungerar, eller skulle kunna fungera, inom ramen för dagens regelverk. Men som vi påpekade före exemplen[HP2] finns det situationer som inte går att lösa utan att regelverket förändras.

Att förändra regelverk är en process som ofta tar flera år, och konsekvenserna av förändringarna behöver utredas noga. Det är därför viktigt att diskussionen om möjliga förändringar baseras på konkreta exempel och goda idéer om utveckling. Skulle du under arbetet med din lösning identifiera ”omöjligheter” som du anser är orimliga, fundera på om du har tid, möjlighet och lust att gå vidare och hjälpa till med sådana exempel och idéer. Kartlägg i så fall problemet och de oönskade konsekvenser du ser i dag, föreslå en lösning och beskriv vinsterna med det. Gör din beskrivning så tydlig och detaljerad som möjligt, och visa särskilt på vad individen, utifrån perspektiv som patientsäkerhet, god vård och kostnadseffektivitet, skulle vinna på förändringen.

Därefter gäller det att spela in dina synpunkter till det sammanhang där den juridiska diskussionen inom området förs för tillfället. Kontakta i första hand en statlig utredning eller statlig kommitté, om du kan identifiera någon som verkar ha ett lämpligt fokus. Utredningar har som uppgift att kommunicera sina sakfrågor med alla, vilket inkluderar ”allmänheten” – och brukar vara tacksamma för konkreta och detaljerade exempel från verkligheten. Om du inte hittar någon utredning, kontakta i stället någon tjänsteperson på Regeringskansliet. De har skyldighet att besvara sakfrågor, alternativt hänvisa vidare till den som kan svara eller har uppdraget att undersöka problemområdet.

Juridisk fallbeskrivning – ett bra sätt att dela upp lösningen i steg

Ett bra sätt att dela upp en lösning i mindre steg är att göra en juridisk fallbeskrivning. Genom fallbeskrivningar kan du testa tillämpningen av juridiken på en verklighetsnära, konkret situation. På så sätt kan du bland annat identifiera oklarheter som behöver analyseras djupare. Observera att en fallbeskrivning inte ersätter en konsekvensbedömning av dataskydd enligt GDPR, men den är en bra start för en sådan.

Utgå gärna från kundresan och från informationsanalysen och fundera över hur och mellan vilka aktörer informationen i lösningen är tänkt att flöda och vad varje aktör förväntas göra med informationen. Centralt i din beskrivning är vem som i praktiken avgör varför och hur data hanteras.

Några av de frågor som du behöver ställa dig för varje steg är:

  • Vilken eller vilka typ(er) av aktör(er) handlar det om – vårdgivare, myndigheter, föreningar, företag eller individer?
  • Vilken aktör avgör i praktiken vilka ändamål data hanteras för och med vilka metoder?
  • Vad gör de olika aktörerna med informationen – ta till sig information, fatta beslut, göra beräkningar, eller något annat?
  • Ska information hanteras på individnivå eller aggregerat?
  • Ska individdata pseudonymiseras eller anonymiseras?
  • Var ska informationen lagras?

Genom fallbeskrivningen kan du identifiera och precisera utmaningar och huvudfrågeställningar som rör dataskydd, medicinteknisk produktklassificering och lagring i din lösning.

extern länk I denna förstudie om effektivt och hållbart nyttjande av hälsodata genom integrering av DIGITAL-projekten i Sverige finns exempel på fallbeskrivningar (se bilaga 1).

extern länk I Ineras utredning Åldersgränser i 1177- tjänster beskrivs sex fiktiva ungdomar och deras behov inom hälso- och sjukvården med fokus på digitala tjänster (se avsnitt 4.5.1)

Hälsodata är känsliga personuppgifter – GDPR sätter ramarna

Alla personbundna hälsodata vi pratar om i det här sammanhanget är personuppgifter. Alltså kommer GDPR, EU:s allmänna dataskyddsförordning, att gälla som utgångsläge. Uppgifter om individers hälsa är känsliga personuppgifter enligt GDPR och har därför ett särskilt starkt juridiskt skydd. Grundregeln i GDPR är att det är förbjudet att hantera känsliga personuppgifter, så för att din lösning överhuvudtaget ska gå att genomföra behöver du se till att

  • den ryms inom något av GDPR:s undantag till det generella förbudet att hantera personuppgifter – eller behandla personuppgifter, som det heter med GDPR:s terminologi
  • det finns en rättslig grund för hanteringen av personuppgifter i lösningen
  • hanteringen av personuppgifter i lösningen är förenlig med GDPR:s grundläggande dataskyddsprinciper, till exempel att hanteringen ska vara skälig eller rimlig och att inte fler personuppgifter används än vad som behövs för ett ändamål.

En bra guide till dataskydd och rättslig grund finns hos Integritetsskyddsmyndigheten, IMY. Där kan du också läsa om hur de svenska lagar och förordningar som styr dataskyddsområdet hänger ihop och vilka lagar gäller framför andra. IMY ger också särskild vägledning till innovatörer på sin innovationsportal.

extern länk IMY om dataskydd

extern länk IMY:s innovationsportal

Svenska lagar kompletterar GDPR

GDPR kompletteras också med nationella lagar, som det är bra om du sätter dig in i. Den allmänna, kompletterande lagen heter lag med kompletterande bestämmelser till EU:s dataskyddförordning (dataskyddslagen i vardagligt tal).

Inom den svenska hälso- och sjukvården är också bland annat patientdatalagen och offentlighets- och sekretesslagen viktiga komplement. Ibland kan diskussionen om hälsodata ge intrycket att patientdatalagen försvårar användningen av data, men i själva verket är den i grunden en möjliggörare. Det betyder inte att den möjliggör ”allt”, men tack vare den har vårdgivare rätt att använda känsliga personuppgifter utan särskilt samtycke för att bedriva vård, kvalitetssäkra verksamheten med mera.

Sedan 1 januari 2023 kompletteras GDPR även av lagen om sammanhållen vård- och omsorgsdokumentation, som möjliggör delning av information mellan vårdgivare och omsorgsgivare.

Personuppgiftsansvarig eller personuppgiftsbiträde?

Bland det viktigaste i din fallbeskrivning är att slå fast vilken aktör – en fysisk eller juridisk person – som bestämmer varför och hur personuppgifterna ska kunna hanteras i din lösning. Med GDPR:s terminologi kallas detta att ansvara för ändamål och medel med personuppgiftsbehandlingen. Den aktören är personuppgiftsansvarig (PUA).

Om någon annan aktör hanterar personuppgifterna enligt den personuppgiftsansvariges instruktioner utan att själv kunna påverka ändamål och medel, räknas denna aktör som personuppgiftsbiträde (PUB). Det kan till exempel handla om att lagra uppgifter åt den personuppgiftsansvarige, som du gör åt dina kunder.
I praktiken kan det vara svårt att identifiera vem som har vilket ansvar, men inför dina diskussioner med juristen är det viktigt att du är bekant med att de två rollerna finns.

När du, kanske tillsammans med juristen, identifierat personuppgiftsansvariga och eventuella personuppgiftsbiträden behöver du se till att det finns personuppgiftsbiträdesavtal (PUB-avtal) mellan den personuppgiftsansvarige och personuppgiftsbiträdena, det vill säga bland annat mellan dig och dina kunder. Avtalen ska bland annat beskriva vilka uppgifter det handlar om, reglerna för att hantera dem eller om det behövs särskilda åtgärder för att höja integriteten.

Sveriges Kommuner och Regioner (SKR), Inera AB och Adda AB har tillsammans tagit fram en mall för PUB-avtal som används allmänt av regioner och kommuner. Om du baserar dina avtal på mallen kan du dels känna dig trygg i att de uppfyller alla krav i GDPR, dels slippa hamna i utdragna avtalsdiskussioner med kunder som är regioner eller kommuner. PUB-avtalet finns även översatt till engelska samt kompletteras av en vägledning.

extern länk SKR-koncernens PUB-avtal med vägledning

Som personuppgiftsbiträde behöver du också för varje personuppgiftsansvarig (kund) beskriva hur personuppgifter hanteras i din lösning. En sådan beskrivning kallas registerförteckning. Vilka uppgifter registerförteckningen ska innehålla framgår av GDPR. Integritetsskyddsmyndigheten, IMY, har också mer information om detta.

extern länk IMY om registerförteckning

Det är klokt att göra en dataskyddskonsekvensbedömning

Hantering av känsliga personuppgifter kan leda till en hög risk för de personer vars uppgifter hanteras. Därför bör du också göra en dataskyddskonsekvensbedömning (DPIA) enligt GDPR. Ansvaret för att göra en sådan ligger rent juridiskt på den som är personuppgiftsansvarig, det vill säga din framtida kund, men vi anser att det är klokt att du gör en konsekvensbedömning själv också. Förutom att du lär dig mycket om dataskydd, har du chans att förebygga och minimera riskerna, redan innan din lösning byggts och ska börja användas.

Konsekvensbedömningen ska bygga på en dataskyddsinriktad riskanalys. En sådan riskanalys fokuserar på riskerna för fri- och rättigheter för de personer vars personuppgifter hanteras i lösningen (”de registrerade”). Riskerna kan vara materiella, fysiska eller psykiska. Som en del av analysen ska du också beskriva vilka åtgärder (kompensatoriska mekanismer) du vill använda för att skydda hanteringen av känsliga personuppgifter, det vill säga för att minska riskerna. Enligt GDPR ska du som leverantör (personuppgiftsbiträde) nämligen kunna visa att – och hur – de personuppgifter som hanteras i din lösning skyddas.

Vårt råd är att du tar hjälp av en jurist om du gör en dataskyddskonsekvensbedömning. Men tänk på att juristen kommer att pröva förslaget precis som det är formulerat; juristen ska i det här läget bedöma om du är ute och cyklar eller inte, inte komma med alternativa förslag. Det är alltså ditt ansvar att ställa frågorna så tydligt och avskalat som möjligt. Ju tydligare och mer detaljerad du kan vara, desto större är chansen att juristen kan komma till slutsatsen att din lösning är realistisk och genomförbar i praktiken.

Integritetsskyddsmyndigheten, IMY, har mer information om riskanalyser och konsekvensbedömningar. SKR har också publicerat en pedagogisk mall för en konsekvensbedömning med inriktning på vård- och omsorg.

extern länk IMY om konsekvensbedömningar

extern länk SKR:s mall för dataskyddskonsekvensbedömning

Inte bara personuppgifter behöver skyddas

Dataskydd handlar om personuppgifter och individens personliga integritet. Men även annan information som inte är kopplade till individer kan vara skyddsvärd och behöva hanteras på ett säkert sätt. Det kan till exempel handla om företagshemligheter, forsknings- eller utvecklingsuppgifter, innovationer eller affärsuppgörelser. Som innovatör behöver du se till att även sådana data skyddas i den verksamhet som använder din lösning. Kanske hanterar lösningen även skyddsvärd information från din egen verksamhet, till exempel patent. Den informationen behöver i så fall också skyddas.

Om du bestämmer dig för att göra en riskanalys är det därför klokt att inte begränsa den till dataskydd, utan även göra en informationssäkerhetsriskanalys. En del av analysen handlar även för denna typ av riskanalys om att beskriva vilka åtgärder (kompensatoriska mekanismer) du vill använda för att skydda hanteringen av informationen, det vill säga för att minska riskerna. I många fall är det också samma eller liknande åtgärder som behövs för att skydda både personuppgifter och annan skyddsvärd information.

extern länk På Informationssäkerhet.se hittar du ett praktiskt stöd för systematiskt informationssäkerhetsarbete för alla som arbetar med informationssäkerhet i organisationer.

extern länk Sveriges Kommuner och Regioner om informationssäkerhet i kommuner och regioner

Är lösningen en medicinteknisk produkt?

Som tillverkare av tekniska lösningar som hanterar hälsodata är det du som ska beskriva lösningens avsedda användningsområde och avgöra om lösningen är en medicinteknisk produkt. Som tillverkare står du också för CE-märkning om det är aktuellt.

Du behöver alltså ställa dig frågan om din lösning är en medicinteknisk produkt eller inte. För att en produkt ska klassas som medicinteknisk produkt ska den ha ett medicinskt syfte på individnivå – exempel på medicintekniska produkter är hjärtstartare, hörapparater, medicinska förband och graviditetstest. Men även applikationer eller programvaror med tydligt medicinskt syfte, till exempel medicinska beslutsstöd, kan vara medicintekniska produkter.

Medicintekniska produkter lyder under EU:s förordning om medicintekniska produkter (MDR) och medicintekniska produkter för in vitro-diagnostik lyder under EU:s förordning om medicintekniska produkter för in vitro-diagnostik (IVDR). I Sverige är Läkemedelsverket den myndighet som är ansvarig för regleringar kring medicintekniska produkter och CE-märkningar.

Om du landar i att din lösning inte är en medicinteknisk produkt, kan det ändå finnas besläktade regelverk som du behöver ta hänsyn till. Ett exempel är Läkemedelsverkets föreskrifter om nationella medicinska informationssystem som gäller informationssystem som i sig själva inte är medicintekniska produkter men i sin avsedda användning ligger nära medicintekniska produkter. Ett annat är produktsäkerhetslagen, som gäller allmänt för alla typer av varor riktade till konsumenter. I det kommande regelverket om ett europeiskt hälsodataområde (European Health Data Space, EHDS) kan det också komma mer explicita regler för journalsystem och hälsoappar.

Fundera också över var någonstans du utvecklar din lösning. Den medicintekniska förordningen har en särskild, förenklad reglering för egentillverkning. Egentillverkning innebär att utveckla lösningar som endast ska användas internt inom en organisation. Egentillverkning kan bli utmanande om resultatet blir så lyckat och generellt användbart att det är värt en spridning utanför vårdgivaren, eller om det redan finns liknande produkter till försäljning på marknaden. Då behöver lösningen klassas om till medicinteknisk produkt, vilket innebär att produkten måste CE-märkas och leva upp till alla andra krav på sådana produkter. Det kan därför vara bra att ha systematisk kontroll på dokumentation och annat som krävs för en CE-märkning redan i ett skede då CE-märkning inte är aktuellt.

Även om du kommer fram till att det inte är aktuellt med CE-märkning för just din produkt är det ändå klokt att klargöra och beskriva produktens tänkta syfte, användning, funktion och prestanda. En sådan beskrivning kan komma till nytta i många andra sammanhang – inte minst i dialogen med juristen.

Här kommer några matnyttiga länkar om medicinteknik:

extern länk Läkemedelsverkets information om medicinteknik

extern länk Läkemedelsverkets information om riskklassning

extern länk Läkemedelsverkets information om egentillverkning enligt MDR

extern länk EU-kommissionens vägledning om medicintekniska produkter

extern länk Vårdhandbokens information om medicintekniska produkter

Om du planerar att sprida din lösning utanför EU är det bra att veta att andra länder (till exempel USA) har en annan typ av klassning av medicintekniska produkter. Omvänt behöver du som börjat lanseringen i USA och vill sprida din lösning inom EU vara medveten om att regelverken ser olika ut.

extern länk Food and Drug Administrations (FDA) klassificering av medicintekniska produkter i USA

extern länk Vetenskaplig artikel där skillnaderna mellan EU:s och USA:s medicintekniska regelverk analyseras

Var lagras data i din lösning?

En fråga som har varit aktuell sedan flera år är om det är tillräckligt säkert att använda amerikanska företag och amerikanska servrar för lagring av data. Det finns ingen nationell enighet om vilken infrastruktur som är okej att använda för vård och lagring av hälsodata. I stället har det bildats två läger.

Det ena lägret tycker att det är tillräckligt säkert, medan det andra menar att europeiska medborgares personuppgifter riskerar att hamna hos amerikanska myndigheter utan möjlighet till insyn utifrån. Den som framför allt drivit det andra lägrets talan är den österrikiske advokaten Maximilian Schrems.

Schrems menar att det strider mot EU-rätten att amerikanska myndigheter kan hänvisa till nationell säkerhet och därmed få rätt att begära ut personuppgifter från amerikanska företag som har uppgifter om europeiska medborgare. Schrems motiverar detta med att de personer det gäller inte har någon möjlighet till insyn i användningen av personuppgifterna eller några rättsliga sätt att påverka den. Han har drivit frågan till EU-domstolen i två omgångar, vilket lett till att domstolen underkänt överenskommelser mellan USA och EU om överföring av personuppgifter.

Det senaste som hänt i frågan är att EU-kommissionen fattat ett så kallat adekvansbeslut (10 juli 2023). Beslutet innebär att kommissionen bedömer att skyddet för enskilda personers personuppgifter nu är tillräckligt högt. I beslutet konstaterar kommissionen att det finns ett krav på amerikanska myndigheter att avlyssning och liknande ska vara proportionerlig i förhållande till ingreppet i den personliga integriteten. Kommissionen pekar på att det finns en klagomålsinstans i USA för den europeiska medborgare som tycker att en viss personuppgiftshantering inte är korrekt.

Det är sannolikt att Schrems överklagar även denna gång, men en sådan process tar flera år.
I Sverige har adekvansbeslutet fått ett blandat mottagande. Enligt vissa, som tidigare var överens med Schrems, är det nu möjligt att använda amerikanska molntjänster för lagring av känsliga personuppgifter. Andra hävdar fortfarande att det inte är förenligt med europeisk lag. Ytterligare andra menar att det beror på vilka personuppgifter det handlar om.

Kontentan för dig som innovatör är att du ska känna till att det finns en risk, åtminstone hypotetiskt, för att personuppgifter hamnar i amerikanska myndigheters händer utan att du kan påverka det. I praktiken ställs du inför en sammanvägd bedömning av faktorer som hur känsliga varje typ av personuppgifter faktiskt är, sannolikheten för att den hypotetiska överföringen ska ske, kostnaden och effektiviteten vid användning av den amerikanska tekniken ändå, och så vidare. Antal promenerade steg som samlas in från en smart klocka kanske inte är känsligt, medan till exempel genetisk information eller sjukdomshistoria kanske är det.

Men redan det långa avståndet till amerikanska servrar och rättsprocesser kan göra det svårare för dig att ha kontrollen över de lagrade personuppgifterna. Det kan också vara klokt att undvika avtal med långa bindningstider, eller åtminstone inkludera exitklausuler, så att du har möjlighet att snabbt byta lagringslösning om rättsläget drastiskt skulle förändras genom en dom i EU-domstolen.

Så summan är att du ändå behöver göra din egen bedömning för just din hantering av personuppgifterna. Vid svårare bedömningar är det klokt att söka stöd från jurister och informationssäkerhetsexperter. Se i vart fall till att du är medveten om vad du gör, om vilka beslut du fattar och varför, så att du kan beskriva och motivera dem.

extern länk Adekvansbeslutet från 10 juli 2023

Använder du tredjepartsprogram med kakor?

En särskild aspekt på lagring är kakor. Kakor, eller cookies, är små textfiler som lagras på en dator, surfplatta eller mobiltelefon, när en användare besöker en webbsida. Kakorna innehåller information om webbläsare, IP-adress, skärmupplösning och aktiviteter på webbplatsen. Det kan handla om vilket innehåll användaren har sett och klickat på vid vilken tidpunkt och vilken webbplats användaren har besökt innan besöket på den aktuella webbplatsen.

I dag ställer lag och praxis krav på en så kallad cookie-banner, en dialogruta där användaren vid det första besöket på en webbplats påminns om vilka kakor som finns och kan välja att säga nej till alla kakor utom de som är nödvändiga. En cookie-banner ska ha åtminstone tre snabbval:

  1. En knapp där användaren kan säga nej till alla kakor utom de nödvändiga
  2. En knapp för att godkänna alla kakor
  3. En knapp där användaren kan göra individuella inställningar för varje typ av kaka.

Om du använder dig av tredjepartsprogramvaror i din lösning behöver du också undersöka vilka kakor programvaran använder. Det är till exempel etiskt tveksamt att bygga en lösning med kommuner eller regioner som målgrupp och inkludera kakor där leverantören eller en tredje part kan rikta marknadsföring av kommersiella tjänster eller produkter till användarna. Det är också viktigt att kontrollera att tredjepartsprogramvaran eller kakan inte överför personuppgifter till mottagare i tredje land.

extern länk Använder du AI i din lösning? Då rekommenderar vi dig att läsa Läkemedelsverkets vägledning för användning av artificiell intelligens i svensk hälso- och sjukvård

Behöver du göra en rättsutredning?

I vissa fall kan det finnas skäl att låta juristen göra en rättsutredning med ett annat fokus än dataskyddskonsekvensbedömningen och informationssäkerhetsriskanalysen. Det kan vara särskilt lämpligt om lagstiftningen just har ändrats eller är på väg att ändras, eller när det handlar om stora och kostsamma lösningar.
Ambitionsnivån och inriktningen för ett sådant arbete kan variera beroende på lösningens karaktär, dina egna juridiska kunskaper, dina ekonomiska möjligheter och så vidare. Kanske vill du säkerställa att lösningen håller sig inom ramen för alla författningar som påverkar den. Detta kallas ibland även laglighetsprövning.

Beroende på vad ni kommer överens om, kan juristen begränsa sig till att svara på specifika frågor, eller så kan uppdraget innebära ett större ansvar och mer fri analys. Det kan bland annat handla om att detaljera fallbeskrivningen, undersöka och precisera frågeställningarna om exakt vem som ska hantera vilka data och på vilket sätt, inventera potentiella juridiska problem utifrån fallbeskrivningen, föreslå och beskriva ett (eller flera) lösningsalternativ samt identifiera riskerna med dessa i olika skeden.

Oavsett ambitionsnivå är den eller de fallbeskrivningar du gjort är en bra utgångspunkt för juristen. Om det inte redan ingår i fallbeskrivningen, komplettera också med

  • en textbaserad beskrivning av tjänsten inklusive arkitektur, aktörer och informationsflöden
  • en textbaserad beskrivning av de tekniska och organisatoriska skyddsåtgärder du planerar för att skydda hanteringen av känsliga personuppgifter
  • bilder som förtydligar – men observera att det inte räcker med enbart bilder
  • tydligt formulerade frågeställningar där du behöver särskilda råd.

extern länk Längst ner på kunskapsstyrningens sida om kunskapsstöd för läkemedel och medicinteknik finns fyra exempel på laglighetsprövning av diabetesprodukter.

Länkar till regelverk för hälsodata

I detta kapitel har vi tagit upp ett antal lagar och föreskrifter som är särskilt viktiga för dig som vill utveckla en lösning som hanterar hälsodata.

extern länk EU:s allmänna dataskyddsförordning (GDPR)

extern länk Dataskyddslagen

extern länk Patientdatalagen

extern länk Lagen om sammanhållen vård- och omsorgsdokumentation

extern länk Offentlighets- och sekretesslagen

extern länk EU:s förordning och medicintekniska produkter (MDR)

extern länk EU:s förordning om medicintekniska produkter för in vitro-diagnostik (IVDR)

extern länk Läkemedelsverkets föreskrifter om nationella medicinska informationssystem (NMI)

extern länk Produktsäkerhetslagen

extern länk Amerikanska Cloud act

Fler relevanta lagar och föreskrifter

Utöver dessa kan det också vara bra om du sätter dig in i ytterligare lagar och föreskrifter som direkt eller indirekt påverkar hanteringen av data inom vård och omsorg. Observera att denna vägledning fokuserar på Sverige i första hand och EU i andra hand. Andra EU-länder har annan kompletterande, nationell lagstiftning än Sverige, och länder utanför EU har i sin tur lagstiftning som kan avvika från EU:s.

extern länk Hälso- och sjukvårdslagen (HSL)

HSL är den centrala lagen för hälso- och sjukvården i Sverige. Den ger övergripande mål och riktlinjer för verksamheten utifrån att målet med hälso- och sjukvård är att ge god hälsa och en vård på lika villkor för hela befolkningen.

extern länk Socialtjänstlagen (SoL)

SoL är den centrala lagen för socialtjänstens verksamhet i Sverige.

extern länk Lagen om behandling av personuppgifter inom socialtjänsten (SoLPuL)

Lagen anger när personuppgifter får hanteras inom socialtjänsten.

extern länk Patientlagen

Patientlagen syftar till att främja patientens integritet, självbestämmande och delaktighet.

extern länk Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården

Föreskriften beskriver bland annat vilka informationsmängder som åtminstone ska finnas i en patientjournal och att varje individanpassad vårdprocess ska kunna ses överskådligt.

extern länk Socialstyrelsens information om föreskrifter och allmänna råd

Här hittar du en fullständig förteckning över myndighetens gällande föreskrifter.

extern länk Lag om informationssäkerhet för samhällsviktiga och digitala tjänster

Lagen baseras på EU:s NIS-direktiv. NIS-direktivet syftar till att uppnå en hög gemensam nivå på säkerhet i nätverk och informationssystem inom EU. Lagstiftningen gäller leverantörer av samhällsviktiga tjänster, för nätverk och informationssystem.

Checklista juridisk analys

I projektet har vi

  • upprättat registerförteckning över personuppgifter
  • klarlagt personuppgiftsansvar i olika delar av lösningen
  • formulerat fallbeskrivning och frågor till jurist
  • klargjort eventuell tredjelandsöverföring och dess grund
  • beskrivit och klassat eventuell medicinteknisk produkt
  • beskrivit hur risker ska begränsas.
hälsodata en mormor hjälper barnbarnet att tvätta händerna

Vad är hälsodata?

En definition

sjustegsmodellen, variant

Sjustegsmodellen

Alla stegen samlade.

checklistor

Checklistor

Hela modellens listor.

Rulla till toppen