GDPR i hälso- och sjukvården innebär att patientuppgifter behandlas som känsliga personuppgifter enligt artikel 9 GDPR – med ett principiellt förbud som bara får brytas med stöd av ett uttryckligt undantag, för vård typiskt artikel 9.2 h om hälso- och sjukvård. Ovanpå GDPR gäller den svenska patientdatalagen (2008:355), som reglerar journalföring, sammanhållen journalföring och inre sekretess. För vårdgivare är den centrala frågan sällan om de får behandla hälsodata – det får de – utan om åtkomsten till uppgifterna är tillräckligt begränsad. Det är där IMY:s tillsyn har slagit hårdast.
Viktigaste punkterna
- Patientuppgifter är känsliga personuppgifter (art. 9). Rättslig grund för vård är normalt art. 6.1 c/e i förening med undantaget i art. 9.2 h.
- Patientdatalagen (2008:355) kompletterar GDPR med regler om journalföring, inre sekretess och behörighetsstyrd åtkomst.
- Inre sekretess kräver att personal bara får ta del av de patientuppgifter de behöver för sitt arbete – bristande åtkomstkontroll är den vanligaste sanktionsgrunden.
- Dataskyddsombud är obligatoriskt för vårdgivare eftersom kärnverksamheten består i storskalig behandling av hälsodata (art. 37.1 c).
- IMY har utfärdat sanktionsavgifter mot flera vårdgivare för bristande loggning och åtkomstkontroll i journalsystem.
Vilken rättslig grund gäller för patientdata
Hälsodata omfattas av förbudet i artikel 9.1 mot behandling av känsliga personuppgifter. För hälso- och sjukvård bryts förbudet av artikel 9.2 h, som tillåter behandling som är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård, medicinska diagnoser och tillhandahållande av vård – förutsatt att uppgifterna behandlas under tystnadsplikt. Detta ska kombineras med en rättslig grund i artikel 6, för offentliga vårdgivare oftast myndighetsutövning eller uppgift av allmänt intresse (art. 6.1 e), för privata ofta rättslig förpliktelse (art. 6.1 c) enligt patientdatalagen. Samtycke är sällan rätt grund i vården – patienten står i beroendeställning och kan inte lämna ett fritt samtycke.
Patientdatalagen ovanpå GDPR
Patientdatalagen är en registerförfattning som preciserar GDPR för vården. De viktigaste delarna:
| Område | Krav enligt patientdatalagen |
|---|---|
| Journalföring | Skyldighet att föra patientjournal; bestämt innehåll |
| Inre sekretess | Personal får bara ta del av uppgifter de behöver för sitt arbete |
| Behörighetsstyrning | Åtkomst ska tilldelas utifrån arbetsuppgifter |
| Loggkontroll | Åtkomst till journaler ska loggas och följas upp systematiskt |
| Sammanhållen journalföring | Regler för när flera vårdgivare får dela journaler |
| Bevarande | Journaler bevaras som huvudregel i minst tio år |
Kombinationen GDPR och patientdatalag betyder att en vårdgivare inte kan nöja sig med att ha rättslig grund – den måste också bygga in åtkomstbegränsning enligt principen om inbyggt dataskydd.
Åtkomstkontroll: där tillsynen slår till
IMY:s enskilt viktigaste budskap till vården är att behörigheten till journalsystemen är för vid. Om all personal kan öppna alla patienters journaler är den inre sekretessen bruten, oavsett om någon obehörig läsning faktiskt skett. Vårdgivaren måste kunna visa att behörigheten är styrd efter behov och att loggarna följs upp.
IMY:s granskning av vårdgivares journalsystem har lett till sanktionsavgifter för bristande åtkomstkontroll och logguppföljning – bland annat en avgift på 30 miljoner kronor mot Capio S:t Göran (2020) i samband med tillsynen av åtta vårdgivares elektroniska patientjournaler. Lärdomen är att stora behörighetsvidder i sig utgör en överträdelse: risken att en obehörig kan läsa en journal räcker.
Konsekvensen för en vårdgivare är konkret. Behörighet ska tilldelas efter roll och vårdrelation, inte generellt till hela personalgrupper. Loggarna över vem som öppnat vilka journaler ska följas upp systematiskt och stickprovsvis, inte bara sparas passivt. Och när en anställd byter tjänst eller slutar ska behörigheten ändras eller dras in omgående. Många av de brister IMY funnit handlar just om att behörigheter aldrig städats bort, så att personal behåller åtkomst till system de inte längre arbetar i. Åtkomststyrning är därför lika mycket en löpande förvaltningsuppgift som en teknisk inställning.
MedHelp/1177-fallet
Ett annat centralt svenskt vårdärende gäller 1177 Vårdguiden. Underleverantören MedHelp behandlade inspelade samtal till vårdrådgivningen på ett sätt som exponerade uppgifterna, och IMY beslutade om en sanktionsavgift på 12 miljoner kronor mot MedHelp (2021) för brister i säkerheten kring hälsouppgifter. Fallet illustrerar två saker: att hälsodata i telefoni och inspelningar väger lika tungt som journaler, och att ansvaret för underleverantörernas säkerhet ligger kvar hos vårdgivaren. Ett korrekt personuppgiftsbiträdesavtal med tydliga säkerhetskrav är därför avgörande i vårdens leverantörskedjor.
Forskning, kvalitetsregister och sekundäranvändning
Vård genererar data som ofta återanvänds för forskning, kvalitetssäkring och statistik. Här måste vårdgivaren hålla isär ändamålen. Att en patients uppgifter samlats in för vård betyder inte att de fritt får användas för forskning – varje nytt ändamål kräver en egen rättslig grund och en bedömning av om behandlingen är förenlig med det ursprungliga syftet enligt artikel 6.4. För forskning finns särskilda undantag i artikel 9.2 j i förening med svensk forskningslagstiftning, och etikprövning kan krävas.
Nationella kvalitetsregister har egna författningar i patientdatalagen som reglerar när uppgifter får föras in och hur patienten ska informeras och kan motsätta sig registrering. Den praktiska konsekvensen är att en vårdgivare inte kan behandla sekundäranvändning som en bisak: varje sådan behandling ska in i registerförteckningen med egen grund, egen gallringsfrist och egen information till patienten. En vanlig brist är att kvalitetsregister och forskningsuttag hanteras informellt utanför den ordinarie dataskyddsstrukturen, vilket gör det omöjligt att vid en tillsyn visa på vilken grund uppgifterna behandlas. För behandlingar med hög risk – till exempel stora forskningsdatabaser med hälsouppgifter – ska en konsekvensbedömning göras innan behandlingen inleds.
Vad vårdgivare måste ha på plats
Sammanfattande checklista för en vårdgivare:
- Dataskyddsombud – obligatoriskt; anmäl till IMY. Osäker på när kravet gäller? Se när dataskyddsombud krävs.
- Registerförteckning som täcker journalföring, tidsbokning, kallelser, forskning och kvalitetsregister – se registerförteckning.
- Behörighetsstyrning i journalsystemet efter arbetsuppgifter, med regelbunden loggkontroll.
- Biträdesavtal med alla systemleverantörer och underleverantörer som hanterar patientdata.
- Gallringsrutiner som respekterar patientdatalagens bevarandekrav men gallrar övriga uppgifter enligt lagringsminimering.
Att hålla ihop detta för en vårdorganisation med många system och personalgrupper är resurskrävande. En plattform som Legiscope kan strukturera registret, biträdesavtalen och gallringsfristerna på ett ställe så att helheten kan visas vid en tillsyn. Kärnfrågan förblir dock organisatorisk: har rätt personal rätt åtkomst, och följs det upp?
Vanliga frågor
Får all vårdpersonal se alla patientjournaler?
Nej. Patientdatalagens inre sekretess innebär att personal bara får ta del av de uppgifter de behöver för sitt arbete. Åtkomsten ska vara behörighetsstyrd och loggarna ska följas upp. Öppen åtkomst för all personal är en överträdelse i sig.
Behöver en vårdgivare dataskyddsombud?
Ja. Vårdgivare behandlar hälsodata i stor skala som en del av kärnverksamheten, vilket gör dataskyddsombud obligatoriskt enligt artikel 37.1 c. Det gäller både offentliga och privata vårdgivare.
Är samtycke rätt grund för att behandla patientdata?
Sällan. I vården står patienten i beroendeställning och kan normalt inte lämna ett fritt samtycke. Rättslig grund är i stället artikel 6.1 c eller e i förening med undantaget för hälso- och sjukvård i artikel 9.2 h.
Vad är inre sekretess i patientdatalagen?
Inre sekretess innebär att personal hos samma vårdgivare bara får ta del av de patientuppgifter de behöver för att fullgöra sina arbetsuppgifter. Det räcker alltså inte att man arbetar hos vårdgivaren – åtkomsten ska vara behovsstyrd, tilldelas efter roll och följas upp genom loggkontroll. Att en anställd öppnar en journal utan vårdrelation är ett brott mot den inre sekretessen även om ingen skada uppstår.
Slutsats
GDPR i vården handlar mindre om rätten att behandla hälsodata – den finns via artikel 9.2 h och patientdatalagen – och mer om att begränsa åtkomsten till den. Bygg behörighetsstyrning och loggkontroll enligt patientdatalagen, utse dataskyddsombud, säkra leverantörskedjan med biträdesavtal och dokumentera allt i registret. IMY:s vårdärenden, från Capio S:t Göran till MedHelp, visar att bristande åtkomstkontroll är den dyraste risken. Grunden finns i artikel 9 i dataskyddsförordningen och i IMY:s vägledning för vården.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial