Hoppa till innehåll

GDPR-scanner för vård och hälsoverksamhet

Vård och omsorg behandlar känsliga hälsouppgifter under GDPR Art. 9 och Patientdatalagen. IMY och IVO utövar gemensam tillsyn. Kontrollera er digitala compliance nu.

Vård- och hälsoverksamheter befinner sig i ett unikt GDPR-landskap: de behandlar känsliga personuppgifter (hälsodata) under GDPR Art. 9, är bundna av Patientdatalagen (PDL) som är lex specialis till GDPR, och granskas av två myndigheter parallellt — IMY för dataskydd och IVO (Inspektionen för vård och omsorg) för verksamhetskvalitet.

Detta dubbla tillsynsregelverk skapar komplexitet som saknar motsvarighet i andra branscher. Sekretesslagen, PDL, GDPR och offentlighetsprincipen (för offentlig vård) bildar ett regelverk där en rättighet eller skyldighet under ett regelverk kan stå i direkt konflikt med ett annat. En privatpraktiserande psykolog måste t.ex. balansera patienters rätt till tillgång (GDPR Art. 15) mot skyldigheten att skydda tredje mans uppgifter som framgår av journalen (PDL).

Den digitala ytan — webbplatsen, bokningssystemet, patientportalen — är ofta det svagaste ledet i en vårdgivares dataskyddsarbete. Cookiesamtycke hanteras bristfälligt, analysverktyg samlar in besökardata trots att besökares hälsostatus kan härledas från vilka sidor de besöker, och bokningssystem från tredjeparter hanterar känslig hälsoinformation utan korrekt PUB-avtal.

Northverify skannar er webbplats mot de digitala dataskyddskrav som gäller specifikt för vård och omsorg: cookiesamtycke för en webbplats som behandlar hälsorelaterat innehåll, krav på integritetspolicy för en bokningstjänst som samlar in patientdata, och säkerhetskonfiguration för system som hanterar känsliga uppgifter.

Kontrollera er compliance på några minuter

Kontrollera SSL-certifikat och säkerhetskonfiguration gratis

Kör gratis skanning

GDPR och Patientdatalagen — interaktionen

Patientdatalagen (2008:355) är lex specialis till GDPR för behandling av patientuppgifter i hälso- och sjukvård. PDL tillåter behandling av hälsodata (Art. 9-uppgifter) med stöd av allmänt intresse och direktiv om hälso- och sjukvård — dvs. utan att kräva explicit samtycke för varje behandlingsmoment i vården.

Men PDL täcker behandling av patientuppgifter i den direkta vårdsituationen. När en vårdgivare behandlar personuppgifter på sin webbplats — via analysverktyg, bokningssystem, kontaktformulär — faller denna behandling primärt under GDPR, inte PDL.

Hälsorelaterade webbplatser och analysspårning

Ett kritiskt problem för vård- och hälsowebbplatser: besökares surfbeteende kan avslöja känslig hälsoinformation. En besökare som navigerar mellan sidor om diabetes-behandling, ätstörningar eller psykiatrisk vård signalerar indirekt sina hälsoförhållanden.

Har en vårdgivare Google Analytics 4 aktiverat på sin webbplats utan samtycke-filtrering, och utan att ha implementerat dataminimering, kan analysdata i praktiken klassas som hälsodata (Art. 9-uppgifter) — med väsentligt strängare behandlingskrav.

IMY:s beslut mot Region Stockholm (2023) och mot Capio (2024) berörde båda hur patientdata hanterades digitalt. IMY konstaterade att webbanalyspraktiken hos stora vårdgivare behöver granskas mot Art. 9-kraven, inte bara allmänna GDPR-principer.

Bokningssystem och triagering online

Patientbokningssystem (Doctrin, Kry, 1177 Vårdguiden, privata bokningssystem) samlar in patientdata inklusive anledning till besök. Dessa system är personuppgiftsbiträden enligt GDPR Art. 28 och kräver fullständiga PUB-avtal.

Vad som ofta förbises är att även det faktum att en person bokar en tid hos en psykiatrimottagning, en hudläkare eller ett fertilitetscentrum kan klassas som hälsoupplysning. Bokningssystemet måste implementeras med dataminimering — samla in ändamålsenlig information, inte mer.

För telebokningssystem och digital triagering tillkommer krav under MDR (Medical Device Regulation) om systemet används för kliniska ändamål, och under GDPR Art. 22 om automatiserade beslut fattas.

Journalsystem och underbiträden

Journalsystem som TakeCare, Cambio Cosmic och Profdoc är personuppgiftsbiträden under PDL och GDPR. Regionerna och privata vårdgivare är personuppgiftsansvariga. Underbiträdeskedjorna kan vara komplexa: journalsystemet kan lagra data i molntjänster (AWS, Azure) som i sin tur är underbiträden.

För att vara GDPR-compliant måste varje led i underbiträdeskedjan godkännas av personuppgiftsansvarig, täckas av ett PUB-avtal, och geografisk datalagring (EU/EES-krav) måste vara dokumenterad.

IVO:s och IMY:s gemensamma tillsyn

Sedan 2023 samarbetar IVO och IMY vid tillsyn av digitala hälsotjänster. IVO granskar om vårdens digitala kanaler uppfyller Socialstyrelsens föreskrifter om journalföring och informationshantering. IMY granskar om GDPR följs.

Ett fall där ett digitalt vårdbolag brustit i informationssäkerhet (t.ex. obehörig åtkomst till journaldata) riskerar att trigga tillsyn från båda myndigheterna parallellt — med sanktioner från respektive regelverk.

DPIA för högrisk-behandling av hälsodata

GDPR Art. 35 kräver en konsekvensbedömning (DPIA) innan behandling av personuppgifter som sannolikt medför hög risk. IMY:s förteckning inkluderar behandling av känsliga uppgifter i stor skala — vilket praktiskt taget all digital hälsoverksamhet uppfyller.

En DPIA för en digital vårdtjänst bör täcka: typ av uppgifter och volym, rättslig grund, risker för registrerade (stigma, diskriminering), tekniska och organisatoriska säkerhetsåtgärder, och plan för hantering av personuppgiftsincidenter.

Webbplatsens integritetspolicy för vård

En integritetspolicy för en vårdgivares webbplats måste specifikt adressera: vilka kategorier av hälsorelaterade uppgifter som behandlas (inklusive via bokningssystem), den rättsliga grunden för behandlingen (PDL, GDPR Art. 9.2.h för vård, Art. 6.1.c för rättsliga förpliktelser), lagringstider per uppgiftskategori, och patienters rättigheter inklusive rätt att begränsa behandling av uppgifter som inte ingår i vårddokumentationen.

Känsliga uppgifter och kraven på vårdsektorn

Hälso- och sjukvårdsdata klassas som känsliga uppgifter enligt GDPR artikel 9, vilket innebär att behandling kräver uttryckligt samtycke eller stöd i ett av de snäva undantagen – vanligast är artikel 9.2(h) om hälso- och sjukvård och socialtjänst. I Sverige kompletteras detta av Patientdatalagen (PDL) som reglerar journalföring, åtkomst och bevarandetider specifikt inom vård.

Sammankopplingen mellan PDL och GDPR skapar ett komplext regelverk. PDL föreskriver att journaluppgifter ska bevaras i minst 10 år, vilket är längre än GDPR:s lagringsminimeringsprincip normalt tillåter – men här ger PDL som speciallag undantag från GDPR. Ändå gäller GDPR fullt ut för administrativ data: personaluppgifter, fakturaadresser, kontaktuppgifter för anhöriga och bokningsdata.

IVO (Inspektionen för vård och omsorg) och IMY kan båda granska vårdaktörer, om brott sker mot PDL respektive GDPR. IMY har i beslut DI-2020-11370 konstaterat att en region brast i informationssäkerhet vid hantering av patientdata. Sektorns aktörer måste ha en tydlig gränsdragning mellan PDL-data och GDPR-data, och säkerställa att behörighetsstyrning (åtkomstkontroll) dokumenteras noggrant.

System som Cambio Cosmic, TakeCare och Visma Ework behandlar känsliga uppgifter och kräver DPA-avtal med tydliga ansvarsförhållanden. Kontrollera att samtliga system är EU-hostade eller har SCC-skydd för eventuell US-dataöverföring.

Incidentrapportering inom vård är reglerad av både GDPR och PDL. Vid läckage av journalinformation måste händelsen utredas skyndsamt. Om den drabbade patienten löper hög risk som följd av läckaget (t.ex. psykiatridata, HIV-status) ska patienten informeras direkt av vårdgivaren. Suicidprevention och skyddad identitet är särskilt känsliga kategorier som kräver extra åtkomstkontroll – logga och granska all åtkomst till patienters med skyddad identitet kvartalsvis. Dataskyddsombud (DPO) är obligatoriskt för alla aktörer som behandlar känsliga hälsouppgifter i stor skala (GDPR artikel 37.1c). Kontakta IMY för vägledning om DPO-skyldigheten gäller er verksamhet.

IMY-precedent

12 MSEK

Capio AB — 12 MSEK i GDPR-böter (2024)

IMY ålade Capio att betala 12 miljoner kronor efter att ha konstaterat att patientjournalinformation var tillgänglig för obehörig personal via bristfälliga åtkomstkontroller i deras journalsystem. Beslutet betonade att vårdgivare bär fullt ansvar för att tekniska och organisatoriska säkerhetsåtgärder är tillräckliga för att skydda känsliga hälsouppgifter.

Alla IMY-beslut

Guide: personuppgiftsincident — anmälan till IMY inom 72 timmar

Steg-för-steg-guide för att hantera dataintrång och personuppgiftsincidenter i vårdsektorn. Mall för incidentrapport ingår.

Läs guiden

Vanliga frågor

Relaterade guider

Hur compliance-redo är din webbplats?

Northverify kontrollerar GDPR, EAA, NIS2 och 14 svenska lagar i en skanning som tar några minuter. Ingen registrering, inget kreditkort.

Skanna gratis →