Anmäla obehörig åtkomst journal

Hem / Juridik, Samhälle & Myndigheter / Anmäla obehörig åtkomst journal

Anmälan till IMY rapporteras av dataskyddsgruppen i dialog med DSO samt verksamhetsansvarig chef.

 

E. Händelseförloppet av personuppgiftsincidenten dokumenteras här Incidentrapport, dokumentationen registreras direkt i diariet. Krypterade eller kodade uppgifter är också personuppgifter om någon har en nyckel som kan koppla dem till en person.

Genom hela hanteringen ges stöd av dataskyddsgruppen och dataskyddsombud i dialog med verksamhetsansvarig chef.

Följ de olika stegen för att förbereda information som underlättar hanteringen.

 

Vad ska göras?

Vem ansvarar?

A. Anmälan om misstänkt personuppgiftsincident ska ske så snart som möjligt till [email protected] och dataskyddsombud [email protected]

Undersöka, upptäcka samt upplysa verksamhetsansvarig chef om misstänkt incident.

Vid osäkerhet kontakta dataskyddsombudet direkt [email protected]

Alternativ e-post: [email protected]

Alla medarbetare.

Verksamhetsansvarig chef ska som informationsägare tillse att handläggningen och kontakt med dataskyddsgruppen och dataskyddsombudet sker skyndsamt.

B. Kontakta dataskyddsombudet (DSO).

DSO och dataskyddsgruppen kontaktar andra stödfunktioner vid behov.

Dataskyddsgruppen och berörd verksamhetsansvarig chef i dialog.

C.

Denna ”någon” behöver nödvändigtvis inte vara vi själva utan kan vara till exempel en leverantör av IT-tjänster (molntjänster).

Exempel på personuppgiftsincidenter

  • En obehörig får tillgång till personuppgifter, till exempel om man skickar personuppgifter till en mottagare som inte ska ha dem.
  • Datorer, surfplattor och mobiltelefoner som innehåller personuppgifter förloras eller stjäls.
  • Ändring av personuppgifter utan tillstånd.
  • Personuppgifter är inte längre tillgängliga för den som behöver dem och det leder till negativa konsekvenser för de registrerade.

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av personuppgifter.

Ett visst mått av känsliga uppgifter får man som patient acceptera eftersom en patientjournal till sin karaktär innehåller uppgifter av känslig natur.

Uppgifter som inte är objektivt känsliga, det vill säga "neutrala", utgör inte godtagbara skäl. Oavsett om det har skett oavsiktligt eller med avsikt så är det personuppgiftsincidenter.

I dataskyddsförordningen finns en skyldighet för organisationer att anmäla vissa typer av personuppgiftsincidenter till IMY.

Genom att agera snabbt så kan skadeverkningarna minimeras för den eller de vars personuppgifter drabbats.

Anmäl personuppgiftsincident

Hantering av en personuppgiftsincident behöver ske skyndsamt.  Anmälan om misstänkt personuppgiftsincident ska ske så snart som möjligt till [email protected]och dataskyddsombud [email protected].

Bedömer dataskyddsombudet att incidenten ska rapporteras behöver det göras till Integritetsskyddsmyndigheten (IMY) inom 72h.

Berörd verksamhetsansvarig chef är ansvarig informationsägare och ska se till att handläggningen sker skyndsamt genom att tillhandahålla nödvändig information, resurser och stöd till dataskyddsgruppen som bistår med handläggningen.

 

Här följer steg för steg en beskrivning av handläggningen vid en personuppgiftsincident.

Exempel på det är att ett läkarutlåtande eller journaluppgifter har skickats till Försäkringskassan eller ett försäkringsbolag för att vara underlag i prövningen av en persons rätt till någon form av ersättning. Den första anmälan bör lämnas in och ytterligare information kan lämnas i etapper.

På samma sätt måste ni, enligt artikel 33.2 i GDPR, om ert företag är personuppgiftsbiträde, som behandlar personuppgifter på uppdrag av en annan organisation, underrätta den personuppgiftsansvarige om eventuella personuppgiftsincidenter utan onödigt dröjsmål.

anmäla obehörig åtkomst journal

Lagkraven finns till för att inte riskera bland annat säkerheten i hälso- och sjukvården.

Du kan läsa mer om regler och rättigheter i förhållande till patientjournalen på 1177.se.

Uppgifterna i journalen är särskilt känsliga, kränkande och ömtåliga att det utgör godtagbara skäl

IVO gör en bedömning av om journaluppgifterna är ”objektivt sett” särskilt känsliga, kränkande och ömtåliga.

Även bild- och ljudupptagningar kan räknas som personuppgifter, om man kan se eller höra vem det rör. Kravet i lagen är högt ställt och det ska vara uppenbart (det vill säga i det närmaste uteslutet) att uppgiften inte kommer att behövas i fortsatt vård för att journalförstöringen ska beviljas.

Uppgifterna används inte som underlag av myndighet eller domstol

IVO utreder om journaluppgifterna har använts som underlag i något annat sammanhang, till exempel hos en myndighet eller i domstol.

Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person. Information ska delges löpande till DSO.
Bifoga även ifylld Mall för riskbedömning (docx)

Alla personuppgiftsincidenter ska dokumenteras av högskolan som incidentrapporter, även de som inte behöver anmälas till IMY.

Dokumentationen i incidentrapporten används för att identifiera brister och utvecklingsbehov i det löpande och systematiska arbetet med dataskydd och informationssäkerhet.

Dataskyddsgruppen och berörd verksamhetsansvarig chef i dialog.

Dataskyddsgruppen följer årligen upp inrapporterade incidenter.

F. Incidentrapporten avslutas efter åtgärder vidtagits och diarieförs.

Dataskyddsgruppen och berörd verksamhetsansvarig chef i dialog.

 

Senast granskad:

Baserat på riskbedömningen bedömer dataskyddsgruppen och DSO om hur allvarliga eller väsentliga riskerna är för de registrerades fri- och rättigheter samt hur troligt det är att de inträffar.

Mall för riskbedömning (docx)

En lista på åtgärder upprättas i samråd med dataskyddsgruppen och DSO som ska vidtagas för att förmildra konsekvenserna för de registrerade samt för att förebygga att incidenten inte upprepas.

Det ska framkomma i incidentrapporten motiveringen till ställningstagandet av allvarlighetskaraktären.

Incidentrapport

Dataskyddsgruppen och berörd verksamhetsansvarig chef i dialog.

 

D. Anmälan till Integritetsmyndigheten (IMY) ska ske inom 72 timmar om det är troligt att personuppgiftsincidenten medför en risk för de registrerade.

Anmälan av en personuppgiftsincident (imy.se)

En rapportering kan ske även fast inte alla detaljer finns ännu.

I de fallen kan IVO därför inte bevilja journalförstöring.

Hantering av personuppgiftsincident

Vad är en personuppgiftsincident?

Dataskyddsförordningen gäller för behandling av personuppgifter. Kraven på rapportering av incidenter bör också specificeras i avtalet mellan den personuppgiftsansvarige och personuppgiftsbiträdet, i enlighet med artikel 28 i dataskyddsförordningen.

En anmälan om en personuppgiftsincident till den berörda dataskyddsmyndigheten måste minst

Om din patientjournal

För att få hela journalen förstörd eller vissa uppgifter förstörda, det vill säga borttagna, styrs genom tre lagkrav enligt 8 kap.

Detta är av avgörande betydelse för att den personuppgiftsansvarige ska kunna fullgöra sina anmälningsskyldigheter i rätt tid. För att din begäran ska kunna behandlas snabbt och säkert är det till hjälp om du kan precisera vad det är du vill ha kopior på när du skapar din begäran.

Journalkopior skickas med post till din folkbokföringsadress.

Avgörande är att uppgiften, direkt eller indirekt, enskilt eller i kombination med andra uppgifter, kan knytas till en fysiskt levande person. Den kan också leda till ett obehörigt röjande av eller obehörig åtkomst till personuppgifter. Exempel på neutrala uppgifter är "Patienten har ringt och avbokat sitt besök." eller "Patienten är född i Göteborg."

Det är uppenbart att uppgifterna i journalen inte behövs för den fortsatta vården

IVO bedömer om uppgifterna är av sådan karaktär att de uppenbart inte behövs för att patienten ska kunna få en säker hälso- och sjukvård.

Av sekretesskäl kan NU-sjukvården inte leverera journalkopior digitalt.

Journaler i NU-sjukvården

NU-sjukvården har journaler från Uddevalla sjukhus, Norra Älvsborgs Länssjukhus (NÄL) och öppenvårdsmottagningar som exempelvis barn- och ungdomspsykiatrin (BUP) och vuxenpsykiatrin (VUP). Genomförande av riskbedömning i samråd med dataskyddsgruppen och DSO om vilka potentiella negativa konsekvenser de registrerade kan få.

Det är möjligt att lämna kompletterande uppgifter i efterhand.

Information som ska lämnas till Integritetsmyndigheten (docx)

Lista för vad de registrerade ska ha för information vid kontakttillfället.

Dataskyddsgruppen och DSO gör en bedömning och rekommenderar huruvida personuppgiftsincidenten ska rapporteras till IMY och om de registrerade ska få information.

Medför det ingen risk behöver ingen anmälan till IMY göras.

4 § Patientdatalagen. Vi har även journaler från sjukhusen i Vänersborg, Trollhättan, Strömstad, Lysekil och Dalsland (Bäckefors).

NU-sjukvården hanterar sedan 1 november 2022 journalerna från närsjukhusen i Strömstad, Lysekil och Dalsland (Bäckefors) som mellan 7 april 2015 och 31 oktober 2022 drevs av först Praktikertjänst och sedan Aleris.

För att kunna visa den relevanta dataskyddsmyndigheten när och hur de blev medvetna om en personuppgiftsincident rekommenderas det att alla organisationer, som en del av sina interna förfaranden för personuppgiftsincidenter, har ett system för registrering av hur och när de blir medvetna om personuppgiftsincidenter och hur de bedömt den potentiella risken med incidenten.

Om det inte är möjligt att lämna all relevant information till dataskyddsmyndigheten inom 72-timmarsperioden bör anmälan göras i flera steg.

Din journal

Du som patient, anhörig eller ombud kan begära ut journalkopior från NU-sjukvården.