Q & A för implementering av GDPR

SV_DJUR

Q & A för
implementering av GDPR

Hur får man kommunicera patientuppgifter till externa labb?

Här beror det på vad som menas med patientuppgifter. Uppgifter om djuret är inte personuppgifter och påverkas inte av GDPR.

Avser uppgifterna en människa så beror det på vad det gäller. Har man inhämtat samtycke eller det framgår av avtalet med djurägaren att uppgifterna kan överföras till externa labb (samt lämnat information om detta) kan man överföra kontaktuppgifter.

Frågan är dock varför djurägarens uppgifter behövs om det labbet ska undersöka är ett prov från djuret? Lämnar de svar direkt till djurägaren? Om det inte är nödvändigt att uppgift om djurägare överlämnas bör den uppgiften inte heller överlämnas.

Notera dock att uppgifter som kommuniceras via telefon eller ett fysiskt brev inte omfattas av GDPR.

Vilka djurägaruppgifter måste vi ha i journal enligt journalföringslagen och vilka, t ex personnummer, behöver vi medgivande för? Hur länge får uppgifterna sparas?

De uppgifter om djurägaren som ska finnas i journalen är (se SJVFS 2013:41, 7 kap 2 § p 1);

  • djurhållarens namn,
  • adress och telefonnummer
  • ev produktionsplatsnummer (ppn)
  • djurets identitet (chipnummer eller örontatuering)

Uppgifterna måste sparas minst 5 år efter sista införandet i journalen eller den längre tid som framgår av annan författning eller av särskilt beslut (rättslig förpliktelse). ”Måstet” följer av SJVFS 2013:41, 7 kap 6 §. Men uppgifterna bör sparas så länge djurägaren är kund, enligt avtalet mellan kund och djursjukhus.

Användning av personnummer kräver samtycke. För att behandla utan samtycke krävs att det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

Behövs avtal om man lagrar personuppgifter på externa servrar?

Ja, då måste ett personuppgiftsbiträdesavtal slutas med de som handhar lagringen.

Måste inskrivningslappar förstöras i dokumentförstörare eller kan de slängas i soporna?

Detta är inget som regleras av GDPR (eftersom det rör sig om uppgifter på papper som inte ingår i ett register) men rekommendationen är ändå att de ska förstöras så att inga uppgifter kan komma på vift, i sekretesskärl som destrueras.

Hur hanterar vi situationen när journaler skickas mellan olika kliniker?

Här bör det, i samband med att informationen lämnas till den registrerade om behandlingen, framgå att uppgifter kan skickas mellan olika kliniker samt grunden för varför detta kan ske. Det är också beroende på varför journalerna skickas.

Anteckningar som inte ingår i journalen, får de sparas?

Det beror på vad det är för anteckningar och varför de upprättats. T ex torde man på grunden berättigat intresse få behålla uppgifter om bokad tid under en viss tid efter datumet för bokningen för att upprätta fakturor eller liknande.

Eftersom kund har rätt begära utdrag av samtliga noteringar som sparats i systemet är det viktigt att tänka på språkbruk och de kommentarer som skrivs.

 

Är journaler undantagna GDPR? Vad gäller för journaler i humanvården?

Nej, journaler är inte undantagna GDPR i sig men av de föreskrifter som finns och som nämnts ovan följer bl a en skyldighet att bevara dem under viss tid (se SJVFS 2013:41, 7 kap 6 §).

Även för humanvården gäller GDPR men där finns väldigt mycket speciallagstiftning som reglerar hur personuppgifter (inklusive personnummer) ska användas och sparas.

Vilken information får leverantörer till djursjukvården spara?

Så länge det rör sig om en kontaktuppgift till en person på ett företag som är leverantör får uppgiften bevaras så länge det finns ett avtalsförhållande och därefter även en viss tid efteråt på grunden berättigat intresse (eller avtal om enskild näringsverksamhet). Hur länge det är varierar beroende på vad det är för leverantör och om det kan förväntas uppstå nya avtalsförhållanden i framtiden. Här bör man dock se till att hålla uppgifterna uppdaterade så att man inte har kvar uppgifter om personer som slutat hos leverantören.

Faktura, där uppgift om referensperson och/eller djurägare kan framgå, måste bevaras enligt bokföringslagens regler, dvs bokföringsåret + 7 år. Grunden är då rättslig förpliktelse.

Får ett djursjukvårdsföretag ha ett ”kundregister” d v s kontaktuppgifter m m till ägare? T ex för att påminna om återkommande vaccinationer?

Som huvudregel ja men det beror också på vad som avtalats med djurägaren. Har man vid en behandling t ex avtalat om att man ska påminna om nästa vaccination (och informerat om att man kommer att bevara uppgifter för att påminna ägaren) så får man ha ett sådant register med grunden avtal. Det bör dock inte vara fler uppgifter om personen än namn, adress, telefonnummer och e-postadress och vad som ska påminnas om.

För att använda personnummer krävs samtycke. Räknas det som samtycke när djurägaren lämnar sitt personnummer till oss i samband med att journal upprättas? Eller krävs skriftligt samtycke?

Genom att djurägaren lämnar sitt personnummer kan man se det som ett samtycke men djurägaren måste informeras om att så är fallet, dvs att han/hon genom att lämna sitt personnummer samtycker till att uppgiften behandlas. Även övrig information om GDPR måste givetvis lämnas på lämpligt sätt.

Hur länge räknas djurägaren som kund, dvs hur länge får man spara journalerna? De måste ju sparas i minst 5 år men när måste man radera personuppgifterna? Om vi vill spara journalerna längre än fem år, bör man då ha en skriftlig överenskommelse?

Om djurägaren är en regelbunden kund, exempelvis återkommer minst en gång per år så kan man spara uppgifterna även efter att det gått fem år, i upp till ett år efter senaste kontakt på grunden avtal. Finns det dock ingen löpande relation så bör man se till att få djurägarens samtycke till att spara uppgifterna. Av rent kundvårdande skäl rekommenderas dock att man inhämtar samtycke.