Videomöte online med patient enligt GDPR
Allt fler företag säljer sina tjänster online, via dator och telefon och exempelvis kan vårdgivare kan ha videomöte med en patient och måste då följa GDPR.
Inom de flesta branscher finns det idag tjänster online och på distans, såsom läkare, psykolog, jurister och arkitekter m.fl. Det är viktigt för alla företag att följa GDPR. Konsekvenserna för företag som inte gör det kan bli höga bötesbelopp.
Känsliga personuppgifter
Säkerheten på behandlingen av personuppgifter varierar, beroende på vilken typ av personuppgift det gäller. Ju känsligare personuppgifter, desto högre säkerhet måste man ha.
Uppgifter om hälsa är en känslig personuppgift enligt GDPR. Det innebär att personuppgiftsansvariga och personuppgiftsbiträden måste vidta ett flertal säkerhetsåtgärder när känsliga personuppgifter blir behandlade genom exempelvis öppet nät. Detta måste bli beaktat av vårgivare som genomför videomöte med patient i enlighet med GDPR.
Regler om säkerhetsåtgärder finns i dataskyddsförordningen (GDPR), patientdatalagen och Socialstyrelsens föreskrifter (HSLF-FS 2016:40) avseende behandling av personuppgifter om patienter.
Företag och myndigheter som hanterar känsliga personuppgifter, måste skydda personuppgifterna från obehörig åtkomst samt obehörigt röjande. Detta kan ske genom att exempelvis använda kryptering och säker inloggning till interna system och register. Exempelvis där personuppgifterna finns lagrade eller via det nät och den applikation som vårdgivare håller videomöte med en patient.
Analyser och säkerhetskrav
Det är viktigt att analysera och ta fram en process om patientuppgifter blir överförda mellan olika aktörer. Det är också viktigt att analysera hur personuppgifterna blir behandlade eller/och överförda mellan olika system. Syftet med analysen är att göra en bedömning av säkerhetskraven och om de är tillräckliga.
Detta gäller även för företag inom sjukvården som är digitala och genomför videomöte med en patient, enligt GPDR. Då ska analysen göras för livevideosystemet.
Vårdgivarens personuppgiftsbiträde och vårdgivaren är de som måste göra säkerhetsanalyserna samt föra dokumentation om bedömningarna och besluten.
Observera att om ett företag, organisation eller en myndighet hanterar patientuppgifter i ett land utanför EU/EES-området genom att exempelvis ha sina servrar där, måste de följa bestämmelserna om tredjelandsöverföringar i enlighet med GDPR.
