1. Är Region Jämtland Härjedalen medveten om EU:s nya

Förstudie inför dataskyddsförordningen
Version: 1
Beslutsinstans:
Förstudie inför
dataskyddsförordningen
Sanna Othman
Samordningskansliet
2016-12-29
Dnr:36929
ÄNDRINGSFÖRTECKNING
Version
1.
Datum
Ändring
Nyutgåva
2(12)
Beslutat av
Förstudie inför
dataskyddsförordningen
Sanna Othman
Samordningskansliet
2016-12-29
3(12)
Dnr:36929
INNEHÅLLSFÖRTECKNING
1. ÄR REGION JÄMTLAND HÄRJEDALEN MEDVETEN OM EU:S NYA
DATASKYDDSFÖRORDNING? ......................................................................................................................4
2. VILKA PERSONUPPGIFTER HANTERAR VI? ...........................................................................................4
3. ANVÄNDER VI MISSBRUKSREGELN? ......................................................................................................5
4. VILKEN INFORMATION LÄMNAR VI TILL DE REGISTRERADE? ............................................................5
Aktiviteter 2017 ............................................................................................................... 6
5. HUR SKA VÅR ORGANISATION TILLMÖTESGÅ DE REGISTRERADES RÄTTIGHETER? ....................6
Aktiviteter 2017 ............................................................................................................... 7
6. MED VILKET RÄTTSLIGT STÖD BEHANDLAR VI PERSONUPPGIFTER? ..............................................7
Aktiviteter 2017 ............................................................................................................... 7
7. HUR INHÄMTAR VI SAMTYCKE? ..............................................................................................................8
Aktiviteter 2017 ............................................................................................................... 8
8. BEHANDLAR VI PERSONUPPGIFTER OM BARN? ..................................................................................8
Aktiviteter 2017 ............................................................................................................... 9
9. VAD SKA VI GÖRA VID PERSONUPPGIFTSINCIDENTER? ....................................................................9
Aktiviteter 2017 ............................................................................................................. 10
10. VILKA SÄRSKILDA INTEGRITETSRISKER FINNS MED REGIONENS BEHANDLING? ......................10
11. HAR VI BYGGT IN SKYDD FÖR PERSONUPPGIFTER I VÅRA IT-SYSTEM? ....................................11
Aktiviteter 2017 ............................................................................................................. 11
12. VEM ANSVARAR FÖR DATASKYDDSFRÅGOR I VÅR ORGANISATION? ..........................................11
Aktiviteter 2017 ............................................................................................................. 12
13. HAR REGION JÄMTLAND HÄRJEDALEN VERKSAMHET I FLERA LÄNDER? ...................................12
Förstudie inför
dataskyddsförordningen
Sanna Othman
Samordningskansliet
2016-12-29
4(12)
Dnr:36929
1. ÄR REGION JÄMTLAND HÄRJEDALEN
MEDVETEN OM EU:S NYA
DATASKYDDSFÖRORDNING?
Beskrivning
En ny EU-förordning om dataskydd kommer att ersätta den svenska
personuppgiftslagen. Förordningen kallas på svenska "allmän dataskyddsförordning".
Förordningen antogs i april 2016 av Europaparlamentet och börjar gälla från och med
25 maj 2018.
Nuläge
Politiker och tjänstemannaledningen är medveten om den nya förordningen och det
pågår utbildningsinsatser för verksamheten.
Aktiviteter 2017
 Utbildning kommer att fortgå så länge det finns behov och tills förordningen
träder ikraft.
2. VILKA PERSONUPPGIFTER HANTERAR VI?
Hur samlas de in och till vem lämnas uppgifterna ut?
Beskrivning
Region Jämtland Härjedalen hanterar personuppgifter för olika syften, bl.a. hälso- och
sjukvård, elevadministration, personaladministration, forskning, kulturverksamhet.
Personuppgifter som hanteras är bl.a. namn, adress, personnummer, personliga epostadresser, telefonnummer, fotografier, biobank mm.
Exempel: Från personaladministrativa systemet lämnas uppgifter bl.a.till
försäkringskassan, pensionsmyndigheten, banker (löneadministration) mm.
En del av ovanstående uppgifter samlas in från den anställde själv, skatteverket
(folkbokföring).
Nuläge
Region Jämtland Härjedalen har behov av att se över all personuppgiftshantering, hur
uppgifterna samlas in och till vem de lämnas ut.
En översyn har påbörjats och kommer att slutföras hösten 2017.
Aktiviteter 2017
 Inventera register så vi har ett register över alla våra behandlingar och register
 Uppdatera leverantörsavtal
 Inventera system med PU
Förstudie inför
dataskyddsförordningen
Sanna Othman
Samordningskansliet



2016-12-29
5(12)
Dnr:36929
Upphandla e-tjänst registerförteckning, t.ex. draftit
Uppdatera systemdokumentation
Information till registrerade
3. ANVÄNDER VI MISSBRUKSREGELN?
Beskrivning
Missbruksregeln innebär behandling av personuppgifter i ostrukturerat material, t.ex. i
löpande text på internet. Det har varit tillåtet utan att en PUL-anmälan behöver göras.
Denna regel får inte användas längre. Dataskyddsförordningen gäller all automatiserad
behandling av personuppgifter både i register och löpande text.
Nuläge
Regionen använder missbruksregeln. Sociala medier, FB, texter som publiceras i diariet,
mail, minnesanteckningar, protokoll, t.ex. minnesanteckningar från samverkansmöten
I diariet idag använder vi PUL. Försiktighetsåtgärder finns redan etablerade, dock
behöver vi tydliga riktlinjer kring detta då behandling av personuppgifter i ostrukturerat
material nu ska hanteras likvärdigt som i strukturerad text.
Aktiviteter 2017
 Ett regelverk kring hantering av personuppgifter där missbruksregeln tidigare
gällde ska tas fram. Informationsinsatser behöver vidtas, hur tar vi in samtycke
av medverkande på möten, externa som t.ex. nämns i protokoll, innan protokoll
förs mm.
 Regelverk kring samtyckeshantering bör tas fram.
 Region Jämtland Härjedalen bör se över bl.a. EU-ansökningar företagsstöd, hur
skolorna hanterar missbruksregeln. Diariet och publicering av ostrukturerad
material.
4. VILKEN INFORMATION LÄMNAR VI TILL DE
REGISTRERADE?
Beskrivning
När vi samlar in personuppgifter måste vi enligt personuppgiftslagen lämna viss
information, till exempel om vår identitet och ändamålet med behandlingen.
Dataskyddsförordningen innehåller utökade krav på vilken information som ska lämnas
till de registrerade. Bland annat kommer vi att behöva informera om den rättsliga grunden
för behandlingen, hur länge personuppgifterna lagras och möjligheten att lämna klagomål till
Datainspektionen om man anser att ens personuppgifter har hanterats felaktigt av oss. Viktigt i
Förstudie inför
dataskyddsförordningen
Sanna Othman
Samordningskansliet
2016-12-29
6(12)
Dnr:36929
sammanhanget är att dataskyddsförordningen ställer krav på att informationen som
lämnas ska vara kortfattad, lättbegriplig och utformad med ett tydligt och enkelt språk.
Nuläge
För kvalitetsregistren informerar vi patienter om rätten att få veta om uppgifter är
hämtade från någon annan källa än patientjournalen eller från patienten själv. Vi
informerar även om rätten att få sina uppgifter borttagna eller tacka nej till att bli
registrerad.
Aktiviteter 2017
Information till registrerade bör finnas på Regionens webbplats, informationsbroschyr
tas fram om registrerades rättigheter (all personuppgiftshantering, ej endast patient).
Informationsinsatser på vår webbplats ska diskuteras med kommunikationsavdelningen.
I övrigt se även p.2. Aktiviteter under 2017.
5. HUR SKA VÅR ORGANISATION
TILLMÖTESGÅ DE REGISTRERADES
RÄTTIGHETER?
Beskrivning
När vi samlar in personuppgifter måste vi enligt personuppgiftslagen lämna viss
information, till exempel om vår identitet och ändamålet med behandlingen.
De viktigaste rättigheterna för de registrerade är att:







få tillgång till sina personuppgifter
få felaktiga personuppgifter rättade
få sina personuppgifter raderade
invända mot att personuppgifterna används för direktmarknadsföring
invända mot att personuppgifterna används för automatiserat beslutsfattande
och profilering
flytta personuppgifterna (dataportabilitet), dock ej klarlagt om detta krav även
gäller landsting och kommuner.
Rätt till elektroniskt utlämnande
Nuläge
Till stor del uppfyller Regionen detta idag, men en översyn av styrdokument behöver
göras och ev. kompletteras.
Förstudie inför
dataskyddsförordningen
Sanna Othman
Samordningskansliet
2016-12-29
7(12)
Dnr:36929
Aktiviteter 2017
Region Jämtland Härjedalens regelverk behöver ses över för att säkerställa att de
registrerades rättigheter uppfylls i enlighet med dataskyddsförordningen.
Informationsinsatser krävs både internt och externt.
Nytt i dataskyddsförordningen är rätten till dataportabilitet. Denna rättighet kommer att
göra det lättare att flytta sina personuppgifter från en organisation eller leverantör till en
annan. I dagsläget är det inte klart om detta krav även gäller för landsting och
kommuner. Nytt är även kravet på elektroniskt utlämnande.
Frågor att besvara:
 Hur görs det rent tekniskt?
 Vilka typer av uppgifter och system berörs?
 Hur ska överlämnandet gå till?
 Vem får vi lämna ut till?
6. MED VILKET RÄTTSLIGT STÖD BEHANDLAR
VI PERSONUPPGIFTER?
Beskrivning
Många organisationer har inte tydligt pekat ut med vilket rättsligt stöd de behandlar
personuppgifter. Det är inte ovanligt att organisationer anser sig ha flera alternativa
grunder för sin behandling. Med förordningen följer krav på att informera om den
rättsliga grunden redan när uppgifterna samlas in. Det är därför viktigt att redan från
början ha klart för sig med vilket stöd detta sker. Dessutom är ett flertal av de
registrerades rättigheter beroende av den rättsliga grunden för behandlingen. Det finns
till exempel större möjligheter för en registrerad att motsätta sig en behandling som
sker med stöd av en intresseavvägning.
Observera att myndigheter inte kommer att kunna stödja sin behandling på en
intresseavvägning.
Nuläge
De rättsliga grunderna för behandling av personuppgifter är i stort sett oförändrade
från patientdatalagen. Vi kan därför redan nu kartlägga vilka behandlingar vi genomför
och med vilken rättslig grund vi gör detta.
Aktiviteter 2017
Vi bör dokumentera våra slutsatser för att också kunna visa att vi uppfyller
dataskyddsförordningens krav. Se även aktiviteter under kap.2 ovan.
Förstudie inför
dataskyddsförordningen
Sanna Othman
Samordningskansliet
2016-12-29
8(12)
Dnr:36929
7. HUR INHÄMTAR VI SAMTYCKE?
Beskrivning
Ett giltigt samtycke enligt dataskyddsförordningen har samma innebörd som i
personuppgiftslagen. Det måste vara fråga om en frivillig, specifik och otvetydig
viljeyttring genom vilken den registrerade, efter att ha fått information, godtar
behandlingen av personuppgifter som rör honom eller henne. Det får inte råda någon
tvekan om att den registrerade godtar behandlingen av personuppgifter. Till exempel
godtas inte ett tyst samtycke eller en på förhand ikryssad ruta på en webbplats. Om vi
stödjer oss på samtycke för att behandla personuppgifter behöver vi försäkra oss om att
kraven på samtycke i förordningen är uppfyllda. Om så inte är fallet, måste vi antingen
förändra våra rutiner eller finna en annan rättslig grund för behandlingen.
Dataskyddsförordningen ställer tydliga krav på att den som behandlar personuppgifter
med stöd av samtycke måste kunna visa att ett samtycke har lämnats. Vi bör fundera
över hur vi i efterhand ska kunna visa att ett giltigt samtycke har lämnats.
Nuläge
Nationella register tar vi in samtycke innan registrering, och registrerade får information
vilka rättigheter hen har. Däremot ställs krav enligt lagstiftning t.ex. att vården ska
dokumenteras, här behövs inget samtycke.
Aktiviteter 2017
Samtyckes registreras i nationella register dock behövs ett register för vilka register vi
ska eller har tagit in samtycke.
 Regelverk kring samtycken ska ses över



För vilken typ av behandlingar behövs samtycke?
För vilka typer av behandlingar ska inte samtycke användas?
Hur ska samtyckena hanteras?
8. BEHANDLAR VI PERSONUPPGIFTER OM
BARN?
Beskrivning
Genom dataskyddsförordningen införs ett förstärkt skydd för barns personuppgifter, särskilt
när det gäller kommersiella internettjänster som sociala nätverk. Kort sagt, om vi
erbjuder den typen av tjänster till barn måste vi inhämta vårdnadshavares samtycke för
att få behandla barnets uppgifter. Detta gäller enligt förordningen, barn under 16 år.
Medlemsstaterna kan själva bestämma en lägre åldersgräns, dock lägst 13 år. Reglerna
kan få betydande konsekvenser om vår organisation erbjuder denna typ av tjänster till
barn. Kom ihåg att vi då också måste kunna visa att vårdnadshavarens samtycke har
lämnats.
Förstudie inför
dataskyddsförordningen
Sanna Othman
Samordningskansliet
2016-12-29
9(12)
Dnr:36929
Eftersom barn enligt förordningen förtjänar särskilt skydd måste all den information
som riktar sig till barn vara skriven på ett tydligt och enkelt sätt som barn förstår. Barns
skyddsvärda ställning ska också vägas in vid en intresseavvägning.
Nuläge
I dagsläget tror vi inte att regionen hanterar barns personuppgifter enligt beskrivningen
ovan. Dock kan det finnas olika mobila enheter/tjänster som används som t.ex. chat
eller videosamtal ev. appar där personuppgifter om barn behandlas.
Aktiviteter 2017


Vi bör redan nu fundera på hur vi ska kontrollera en persons ålder och hur vi
ska inhämta vårdnadshavares samtycke eller barnets samtycke när det nått viss
mognad och utveckling, i samband med behandling av barns personuppgifter
online.
Inventera i vilka sammanhang hanterar vi barns personuppgifter och där
samtycke krävs
Berörda verksamheter är t.ex. Ungdomsmottagningarna, länskulturen, BUP och
BUH
9. VAD SKA VI GÖRA VID
PERSONUPPGIFTSINCIDENTER?
Beskrivning
Dataskyddsförordningen innehåller nya bestämmelser om vad vi som organisation
(PUA)måste göra om vi blir utsatta för dataintrång eller på något annat sätt förlorar
kontrollen över de uppgifter vi behandlar. Vi måste dokumentera alla sådana händelser.
När det inte är osannolikt att incidenten medför risker för enskildas fri- och rättigheter
måste vi anmäla händelsen till tillsynsmyndigheten inom 72 timmar.
Om incidenten kan leda till att personer utsätts för allvarliga risker såsom
diskriminering, id-stölder, bedrägerier eller finansiella stölder ska vi även informera de
registrerade om händelsen så att de kan vidta nödvändiga åtgärder.
För att kunna leva upp till de nya skyldigheterna enligt förordningen är det viktigt att vi
har tillräckliga rutiner på plats för att vi ska kunna upptäcka, rapportera och utreda
personuppgiftsincidenter. Vi bör även fundera över vilka risker en sådan incident kan
medföra och när vi behöver anmäla händelsen till tillsynsmyndigheten.
Tidsfristerna för att rapportera personuppgiftsincidenter är korta. Det är därför bra att
redan nu bestämma var ansvaret för att göra en sådan anmälan ska ligga i vår
organisation så att anmälan kan göras i rätt tid.
Förstudie inför
dataskyddsförordningen
Sanna Othman
Samordningskansliet
2016-12-29
10(12)
Dnr:36929
Nuläge
Region Jämtland Härjedalen har ännu inte reglering av den här nya bestämmelsen om
anmälan av personuppgiftsincidenter till tillsynsmyndigheten. Interna rutiner finns för
kvalitetssäkring och incidentrapportering. Regelverk finns för IT- incidenter. Regelverk
finns även för informationssäkerhetsincidenter.
Aktiviteter 2017




Se över befintliga styrdokument och komplettera med det som saknas för att
uppfylla dataskyddsförordningen.
Se till att det finns tillräckliga rutiner på plats för att upptäcka, rapportera och
utreda personuppgiftsincidenter innan förordningen träder i kraft.
Ta fram ett regelverk
Det kan även vara bra att ha regelbundna övningar i incidenthantering
10. VILKA SÄRSKILDA INTEGRITETSRISKER
FINNS MED REGIONENS BEHANDLING?
Beskrivning
Förordningen ställer särskilda krav på den som vill behandla personuppgifter på ett sätt
som kan medföra stora integritetsrisker för enskilda. Om Region Jämtland Härjedalen
avser att utföra en riskfylld personuppgiftsbehandling måste vi först göra en noggrann
analys av vilka konsekvenser behandlingen kan få för enskilda. Sådan riskfylld
behandling kan till exempel vara storskaliga register som innehåller känsliga
personuppgifter, profilering eller omfattande kameraövervakning på allmän plats. Om
vår analys visar att risken är hög, måste vi samråda med
tillsynsmyndigheten(datainspektionen) innan behandlingen får påbörjas. Observera
även kravet på att utse dataskyddsombud vid riskfylld behandling, se mer under kap. 12.
Nuläge
Arbete med att genomföra riskanalyser och informationsklassningar har påbörjats.
Förbättringspotential finns då det inte görs systematiskt.
Aktiviteter 2017
 Är regionens personuppgiftsbehandlingar förenad med särskilda risker för
enskildas fri- och rättigheter?
 I så fall bör det göras en konsekvensbedömning avseende dataskydd enligt
dataskyddsförordningen.
Denna aktivitet bör finnas med i den totala genomlysningen av regionens
personuppgiftshantering.
 Vilka typer av behandlingar kan vara aktuella?
 Systematik bör införas i att göra riskanalyser och informationsklassningar.
Förstudie inför
dataskyddsförordningen
Sanna Othman
Samordningskansliet
2016-12-29
11(12)
Dnr:36929
11. HAR VI BYGGT IN SKYDD FÖR
PERSONUPPGIFTER I VÅRA IT-SYSTEM?
Beskrivning
Grundläggande principer inom integritetsskydd är att inte samla in mer information än
vad som behövs, inte ha kvar informationen längre än nödvändigt och inte använda
uppgifterna till något annat än vad som var syftet när de samlades in.
Genom att ta hänsyn till dessa principer när man utvecklar nya eller ändrar befintliga
IT-system blir det enklare för organisationen att uppfylla reglerna i förordningen. Att
bygga in dataskydd i systemen kallas privacy by design och regleras uttryckligen i
förordningen.
När verksamheten behandlar personuppgifter ska den vidta lämpliga tekniska och
organisatoriska åtgärder för att uppfylla kraven i förordningen både när den fattar
beslut om hur behandlingen ska genomföras och under hela den fortsatta behandlingen.
Vilka åtgärder som behövs beror på uppgifternas art, omfattning och syfte med
behandlingen liksom vilka risker för enskildas rättigheter och friheter som behandlingen
kan innebära. Åtgärderna kan till exempel vara pseudonymisering, som medför att
uppgifterna inte går att koppla till en enskild person utan ytterligare information
(nyckel) som hålls avskild, eller dataminimering, det vill säga att endast behandla de
uppgifter som är nödvändiga för varje enskilt ändamål.
Nuläge
Regionen uppfyller till viss del detta idag. Vi bör redan nu ta hänsyn till och anpassa
regler till dataskyddsförordningens regler när vi tar in nya IT-system eller förändrar
befintliga. Det ger en större möjlighet att följa reglerna, höja säkerheten och förhindra
onödiga framtida kostnader.
Aktiviteter 2017


Uppdatera befintligt regelverk så att dataskydd finns med där det är aktuellt.
Anpassa regler till dataskyddsförordningens regler när vi tar in nya IT-system
eller förändrar befintliga.
12. VEM ANSVARAR FÖR
DATASKYDDSFRÅGOR I VÅR
ORGANISATION?
Beskrivning
Förordningen ställer krav på att vissa organisationer ska utse ett dataskyddsombud. Det
gäller till exempel offentliga myndigheter och organisationer vars verksamhet involverar
Förstudie inför
dataskyddsförordningen
Sanna Othman
Samordningskansliet
2016-12-29
12(12)
Dnr:36929
särskilt riskfylld behandling, som exempelvis regelbunden och systematisk övervakning
av registrerade i stor skala eller omfattande behandling av känsliga personuppgifter.
Den person som utses måste ha tillräcklig kunskap om dataskydd och få det stöd och
de befogenheter som krävs för att kunna utföra sitt uppdrag på ett effektivt och
oberoende sätt.
Nuläge
Region Jämtland Härjedalen har ett centralt personuppgiftsombud som är ombud för
hela organisationen. Översyn pågår för att skapa en tydlig organisation för
personuppgiftshantering och fördelning av ansvar och roller.
Aktiviteter 2017




Vi bör besluta om var i organisationen ansvaret för dataskyddsfrågor ska ligga.
Skapa en organisation för personuppgiftshantering i Region Jämtland
Härjedalen som också innehåller den nya rollen dataskyddsombud.
Ansvar och roller bör tydligt beskrivas.
Befintliga styrdokument bör uppdateras
13. HAR REGION JÄMTLAND HÄRJEDALEN
VERKSAMHET I FLERA LÄNDER?
Beskrivning
Om regionen bedriver verksamhet i flera olika EU-länder bör vi ta reda på vilken
dataskyddsmyndighet som ansvarar för tillsynen av de personuppgiftsbehandlingar vi
utför.
Huvudregeln i dataskyddsförordningen är att en organisation bara ska behöva svara
inför dataskyddsmyndigheten i ett av EU:s medlemsländer. Om vi har verksamhet i
flera länder är det därför viktigt att bedöma vilken dataskyddsmyndighet som ansvarar
för tillsynen av de personuppgiftsbehandlingar som vi utför.
Nuläge
Översyn pågår av regionens personuppgiftsbehandlingar.
Aktiviteter 2017
 Har regionen verksamhet i flera länder?
Om ja ska hanteringen av personuppgifter anpassas till dataskyddsförordningen.
 Riktlinjer bör tas fram för personuppgiftshantering inom EU samt
personuppgiftsbehandling eller överföring av personuppgifter till 3:e land (land
utanför EU/EES).