Kommentar till artiklar i media om hantering av patientdata på Karolinska Universitetssjukhuset

Nyhet 2018-12-22

Efterlevnad av dataskyddsförordningen (GDPR) är lika viktig för sjukhuset som efterlevnaden av patientdatalagen och andra tillämpliga lagar, förordningar och föreskrifter. Sjukhuset har under de senaste åren arbetat med att säkerställa att all personuppgiftsbehandling sker i enlighet med de nya kraven i dataskyddsförordningen (GDPR).

All hälso- och sjukvård ska bedrivas så att kraven på en god och säker vård uppfylls. Av hälso- och sjukvårdslagen framgår att kvaliteten i vården systematiskt och fortlöpande ska utvecklas och säkras av vårdgivaren.

När och hur hälso- och sjukvården får hantera patientuppgifter framgår av patientdatalagen. Sjukhuset har lagligt stöd för den personuppgiftsbehandling som sker vid såväl journalföring som vid verksamhetsuppföljning. Ett av grundkraven i dataskyddsförordningen (GDPR) är att den som behandlar personuppgifter har laglig grund för sin personuppgiftsbehandling. En sådan laglig grund kan vara att individen samtycker till personuppgiftsbehandlingen. En annan laglig grund enligt dataskyddsförordningen (GDPR) är att personuppgiftsbehandling får ske när behandlingen är nödvändig vid tillhandahållandet av hälso- och sjukvård. För hälso- och sjukvården i Sverige regleras sådan personuppgiftsbehandling av patientdatalagen. Av patientdatalagen framgår att hälso- och sjukvården får lov att använda personuppgifterna utan krav på samtycke från den enskilda patienten i syftet uppföljning och kontinuerlig förbättring av vården.

Styrkorten är inte ett kvalitetsregister utan en IT lösning för sjukhusets verksamhetsuppföljning. Sådan verksamhetsuppföljning överensstämmer med gällande lagar i och med att hälso-och sjukvården får behandla personuppgifter när det behövs för att systematiskt och fortlöpande utveckla vården. I syfte att undvika att personuppgiftshanteringen blir för omfattande i förhållande till sitt ändamål, begränsas användningen av personuppgifter som direkt eller indirekt kan hänföras till enskild patient. Styrkorten presenterar patientdata pseudonymiserat d v s utan en direkt möjlighet att identifiera en enskild patient. För att även säkerställa att det inte är möjligt att identifiera enskilda patienter i styrkorten via exempelvis ovanliga sjukdomar eller sällsynta diagnoser presenteras uppföljningsresultaten endast om det är fler än fem patienter i underlaget.

Sjukhuset vill förtydliga att uppgifterna i styrkorten inte är helt avidentifierade; patientuppgifterna i Styrkortet är pseudonymiserade vilket innebär att dataskyddsförordningen (GDPR) är tillämplig.

Karolinska Universitetssjukhuset arbetar kontinuerligt med att följa upp och kvalitetssäkra verksamheten för att kunna ge våra patienter en god och säker vård med hög kvalité. Samtidigt som vi säkerställer patienternas integritet genom att efterleva alla tillämpliga lagar, förordningar och föreskrifter så som dataskyddsförordningen (GDPR) och patientdatalagen