Dataskydd

Dataskyddsförordningen och SRQ

 

Dataskyddsförordningen (GDPR) gäller som lag i alla EU:s medlemsländer från och med den 25 maj 2018. Förordningen kommer att innebära förändringar för de som behandlar personuppgifter och stärkta rättigheter för den enskilde när det gäller personlig integritet.
I anslutning till att lagen börjar gälla kommer många vårdgivare att inventera och dokumentera vilka personuppgifter som samlas in och hur dessa hanteras i olika register och databaser, till exempel inom kvalitetsregister.

Frågor och svar om GDPR och SRQ:

Vilken rättslig grund finns för behandlingen av personuppgifter i SRQ?

För att det ska vara tillåtet att behandla personuppgifter måste det alltid finnas ett stöd i dataskyddsförordningen, en så kallad rättslig grund. Den rättsliga grund som avser SRQ är att registret behövs för att fullgöra en uppgift av allmänt intresse, samt för forskning och statistik. SRQ använder samtycke som en integritetshöjande funktion.

Vilket är syftet med registreringen i SRQ?

Svensk Reumatologis Kvalitetsregister (SRQ) är ett nationellt kvalitetsregister med syfte att kontinuerligt förbättra behandling och uppföljning av patienter med reumatiska sjukdomar. Patienter och vårdgivare för in information i registret och kan sedan i realtid ta del av patientens hälsodata och fatta ett gemensamt beslut om fortsatt vård. Registret fungerar också som grund för forskning som strävar efter ökad kunskap och bättre behandling av reumatologiska sjukdomar.

Vilken typ av data registreras i SRQ och hur lagras den?

I SRQ finns framförallt strukturerad data, med en liten mängd ostrukturerad data (fritext, till exempel kommentarer). Data registreras i en databas som hanteras av personuppgiftsbiträdet i ett nationell system. Ingen data från SRQ lagras lokalt hos vårdgivaren, men vårdgivaren har tillgång till sina egna data. 

Finns ett personuppgiftsbiträde (extern part) för behandlingen av personuppgifter?

Ja, personuppgiftsbiträde för SRQ är Carmona AB och det finns en nationellt personuppgiftsbiträdesavtal för behandlingen. Carmona AB tillhandahåller former för datalagring, datainmatning för vårdgivare och patient, samt plattform för dataanalyser och datauttag = systemleverantör, molntjänstleverantör , teknisk förvaltare, utvecklare.

Finns det ett skriftligt personuppgiftsbiträdesavtal?

Ja, ett nationellt personuppgiftsbiträdesavtal finns mellan Karolinska Universitetssjukhuset och Carmona AB för hanteringen av data.

Vem kan kontaktas om en registrerad person önskar ett registerutdrag om vad som finns registrerat om personen själv?

Man kan kontakta personuppgiftsombudet lokalt hos vårdgivaren eller centralt vid Karolinska Universitetssjukhuset, 171 76 Stockholm. Tfn 08-517 700 00. Det går också bra att kontakta SRQ:s kansli, Lotta Blom, Nationell kvalitetssamordnare: ann-charlotte.blom@sll.se

Måste samtycke lämnas för registrering i SRQ?

Nationella och regionala kvalitetsregister får behandla personuppgifter så länge den enskilde inte motsätter sig det (7 kap. 2 § Patientdatalagen). En förutsättning för detta förfarande är att patienten får information i enlighet med 8 kap. 6 § och 7 kap. 3 § PDL. I SRQ finns beslutat att registreringen ska ske med patientens samtycke. Patientens samtycke till inklusion inhämtas och registreras som regel i samband med inklusionen. Om samtycke saknas efterfrågas samtycke automatiskt  varje gång patientens sida i registret öppnas.

Vem är personuppgiftsansvarig i SRQ?

Den lokalt personuppgiftsansvariga är den inrapporterande vårdgivaren (vårdgivare är en statlig myndighet, landsting och kommun som bedriver hälso- och sjukvård = offentlig vårdgivare, samt annan juridisk person till exempel sjukhus i bolagsform som är landstingsägd, eller enskild näringsidkare som bedriver hälso- och sjukvård =privat vårdgivare).
Centralt personuppgiftsansvarig är Karolinska Universitetssjukhuset.

När kommer registreringen i SRQ att upphöra?

Något slutdatum eller gallringsdatum för SRQ är ej fastställt.

När startades SRQ?

SRQ startades i liten skala 1995.

Hur många registrerade personer finns i SRQ?

Vid årsskiftet 2016-2017 fanns drygt 80000 registrerade patienter i SRQ.

Vilken dataskyddslagstiftning är tillämplig på behandlingen av personuppgifter i SRQ?

För SRQ gäller Dataskyddsförordningen/Svenska dataskyddslagen (PuL fram till 25 maj 2018), men också Patientdatalagen.

Registreras några känsliga uppgifter i SRQ?

Ja, patientuppgifter med data om hälsotillstånd räknas till känsliga uppgifter och detta registreras i SRQ.

Vilka typer av personuppgifter behandlas i registret?

I SRQ registreras namn, födelsedatum och personnummer. Adress, telefonnummer och liknande uppgifter registreras inte.

Vilken grund finns för registrering av personnummer?

Personnummer används för säker identifiering av personen. Inmatade data är av betydelse för vården och följs av vårdgivare. Personnummer används också för säker inloggning till 1177.se där Patientens egen registrering av hälsodata sker.

Vilka kategorier av användare har åtkomst till personuppgifterna i registret/behandlingen?

Personal hos vårdgivaren som har fått särskild tilldelad behörighet kan använda registret och har åtkomst till registrerade uppgifter. Inom den nationella organisationen finns några användare som har och behöver behörighet till hela SRQ (nationella kvalitetssamordnare och statistiker).

Kan information från registret lämnas till utomstående?

Ja, efter godkännande i etikprövningsnämnd och särskild prövning lokalt eller nationellt kan uppgifter lämnas ut till forskare. Forskning är ett av syftena med SRQ. Utlämning till tredje land (utanför EU/EES) sker ej. 

Hur får den registrerade information om registret och registreringen?

Innan patienten ger sitt samtycke lämnas muntlig information om SRQ. Det finns informationsblad att skriva ut i samband med inklusionen och detta finns också på hemsidan, srq.nu. Ytterligare information och allmän information om SRQ finns på hemsidan.