Nya dataskyddsförordningen

EU:s nya dataskyddsförordning (DSF) allmänt kallad GDPR kommer att börja gälla från den 25 maj 2018 i Sverige.
Ni kan läsa om denna på vår hemsida och även på datainspektionens hemsida. Här kommer lite tips om hur ni kan börja ert arbete med GDPR.

Checklista:
Börja med att göra en inventering med utgångspunkt i nedanstående punkter. Utse ett dataskyddsansvarig, se över vilka som har tillgång till personuppgifter.
• Vilka personuppgifter hanteras i organisationen? Namn, adress, personnummer, telefonnummer, e-post, foton mm.
• Vilka avtal och överenskommelser finns idag beträffande behandling av personuppgifter?
• Se över era personalregister, hemsidor, vill personen vara med på bild, ha utskrivet namn delvis eller hela? inhämta samtycke. Samtycket kan vara ett signerat dokument eller inskrivet i ett anställningsavtal.
• Samtliga personer med behörighet att behandla personuppgifter eller kan få tillgång till dessa ska ingå särskild sekretessförbindelse, eller upplysas om att tystnadsplikt föreligger enligt lag eller avtal. Upplys personalen om förändringarna, även när det kommer till hanteringen av patientuppgifter och vilka som har ansvar om dessa.
• Viktigt är också att uppdatera organisationens IT-struktur och säkerhet, gallra personuppgifter regelbundet och se över rutiner kontinuerligt.
• Hantering av personuppgifter inkomna från tandläkare
Tandläkaren som lämnar över personuppgifter till laboratoriet är personuppgiftsansvarig PUA och laboratoriet blir då personuppgiftsbiträde PUB.

Datainspektionen har slagit fast att ett personuppgiftsbiträdesavtal ska finnas mellan tandläkare och tandtekniskt laboratorium. Om laboratoriet i sin tur anlitar reparation och service av datorutrustning tex bokföring/faktureringsprogram, Carita, Alma eller liknande, ska kontrakt/avtal som reglerar säkerhet och sekretess träffas med serviceföretaget.
Andra underleverantörer av tandtekniska produkter som eventuellt används ska också förenas med PUB, då kallad underbiträde. Lättast är nog att inte lämna ut personuppgifter till dessa utan använd någon form av kodat system, ordernummer eller dylikt. Viktigt är dock att ansvarigt laboratorium kan spåra denna kod i sina system och att underleverantörer också kan inkomma med uppgifter om produkten som de har utfört över tid.
Om man läser lagtexten i GDPR så har vi rättsliga grunder att efterleva då det finns andra regelverk och lagar att följa där lagring av personuppgifter krävs enligt lag.

Vilka rättsliga grunder finns då för hanteringen av patientuppgifter?
Enligt det Medicintekniska direktivet så ska alla produkter som det tandtekniska laboratoriet gör (släpper ut på marknaden) kunna spåras till en specifik person i 5 år och för implantat i 15 år. Från 2020 är det 10 år plus implantat i 15 år. Vi, som alla andra, måste också följa bokföringslagen, där arkiveringstiden är sju år.
Tandteknikerförbundet har kontaktat jurister för att ta fram en mall på avtalsdokument som medlemmarna kan använda.

Rättslig/laglig grund

Hantering av personuppgifter kan vara laglig även utan samtycke från den registrerade personen, detta händer när det finns annan laglig grund för hanteringen. ”Annan laglig grund” kan uppstå till exempel när personen det berör har ingått ett avtal. Din arbetsgivare får exempelvis spara ditt namn, adress, personnummer, bankkontonummer och mycket annat baserat på att ni har ett anställningsavtal.
Myndigheter har ”annan laglig grund” för den behandling av personuppgifter som krävs för myndighetens lagligt definierade verksamhet.
Om det finns annan laglig grund för behandling av personuppgifter, så kan den registrerade inte kräva att uppgifter ska tas bort förrän den lagliga grunden inte längre gäller