Framsida » Avgöranden » Olika hälsovårdsenheters patientregisters lagring på samma utomstående serviceproducents databas

Olika hälsovårdsenheters patientregisters lagring på samma utomstående serviceproducents databas

Dataombudsmannens ställningstagande 26.3.2001
Dnr 163/41/2001

Ärende

Är det lagligt att flera hälsovårdsenheter lagrar sina patientregister på samma datasystem/databas som upprätthålls av en utomstående servicegivare?

Ställningstagande

Då patientuppgifter insamlas till en utomstående serviceproducent för lagrings- och underhållstjänster till förmån för hälsovårdsenheten, är det fråga om den ifrågavarande verksamhetsenhetens register eller delregister. Enheten som köpt tjänstegivarservicen har bestämmanderätt i fråga om behandlingen av personuppgifterna. Tjänstegivaren som producerar servicen är förpliktad att fullfölja de uppgifterna som kommer av kontraktet p.g.a. avtalsbundenheten. Serviceproducenten är ändå direkt av lagen bunden till tystnadsplikten samt av skydds- och aktsamhetsprinciperna som kommer av personuppgiftslagen.

Om serviceproducenten samtidigt producerar tjänsten åt andra verksamhetsenheter, skall verksamhetsenheternas patientuppgifter hållas åtskilt från varandra eller i olika register i datasystemet/databasen. Olika verksamhetsenheters (registerförares) register får inte sammanföras till ett och samma register. Uppgifterna kan översändas, till en annan person inom verksamheten för serviceproducenten, på basis av patientlagen 13 § endast med patientens uttryckliga samtycke. I serviceproducentens system och program skall ändå säkras att tystnadsplikts-, dataskydds- och datasäkerhetskraven fullföljs, samt att bl.a. att beaktande av bestämmelser gällande datakällor och anteckningar om dataöverföring säkras (bl.a. förordningen angående patienthandlingar 99/2001).

Uppdragstjänsternas producent kan även vara sjukvårdsdistriktet. I dessa fall verkar den på samma sätt som en enskild producent och är bl.a. skyldig att i enlighet med personuppgiftslagens 36 och 37 §§ göra en verksamhetsanmälan till dataombudsmannen. Även den som köpt tjänstegivarens service är skyldig att göra en anmälan om utkontraktering av tjänsten.

Tillämplig lagstiftning

Personuppgiftslag: 3.1 § 4p, 5 §, 8 §, 32 §, 36 § och 37 §
Speciallagstiftning: patientlag 13 §, offentlighetslag 5.2 §

 
Publicerad 6.2.2014