29 juli 2018

Genetiska uppgifter i kvalitetsregister

"Genetiska uppgifter" har med GDPR tillkommit som en ny kategori av känsliga personuppgifter.

Genetiska uppgifter är, enligt GDPR, uppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om personens fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga (artikel 4.13 dataskyddsförordningen). 

Som känsliga personuppgifter räknas också enligt GDPR uppgifter om "hälsa". 

Personuppgifter om hälsa innefattar alla uppgifter om en registrerad persons hälsotillstånd;

  • Information om personens tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd (detta inbegriper bland annat uppgifter som härrör från tester eller undersökning av en kroppsdel eller kroppssubstans, däribland genetiska uppgifter och biologiska prov).
  • Andra uppgifter om exempelvis sjukdom, funktionshinder, sjukdomsrisk, sjukdomshistoria, klinisk behandling eller den registrerades fysiologiska eller biomedicinska tillstånd, oberoende av källan, exempelvis från en läkare eller från annan sjukvårdspersonal, ett sjukhus, en medicinteknisk produkt eller ett diagnostiskt in vitro-test (skäl 35 GDPR).

Patientdatalagen

Patientdatalagen reglerar behandling av personuppgifter i bl.a. kvalitetsregister.
Enligt patientdatalagen får endast uppgifter om "hälsa" registreras i ett kvalitetsregister.
Andra känsliga personuppgifter får behandlas i kvalitetsregister endast om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det (7 kap. 8 §). Det är Datainspektionen som prövar sådana frågor. 

Information från Datainspektionen

Det har varit en viss osäkerhet om GDPR innebär en begränsning för registrering av genetiska uppgifter i kvalitetsregister, då GDPR gör skillnad mellan uppgifter om "hälsa" och "genetiska uppgifter".

Om det är en begräsning skulle det innebära att centralt personuppgiftsansvariga myndigheter (CPUA-myndigheter) för kvalitetsregister måste ansöka om tillstånd hos Datainspektionen om att få behandla genetiska uppgifter.

Datainspektionen har dock publicerat ny information (juli 2018) om patientdatalagen med anledning av GDPR. Beträffande kvalitetsregister informerar Datainspektionen följande:

"För att få behandla genetiska uppgifter i ett kvalitetsregister behövs därför som huvudregel ett medgivande från Datainspektionen.
När genetiska uppgifter innefattas i uppgifter om en persons hälsotillstånd, är det Datainspektionens bedömning, att det inte krävs ett särskilt medgivande för att få behandla dessa uppgifter.
Det innebär att den som är personuppgiftsansvarig för ett kvalitetsregister inte behöver ansöka om ett medgivande hos Datainspektionen för att få behandla genetiska uppgifter, om dessa uppgifter också är uppgifter om hälsa."

Datainspektionens information finns här.länk till annan webbplats, öppnas i nytt fönster

Observera att GDPR är ett EU-gemensamt regelverk som ska tillämpas och tolkas enhetligt inom EU. Datainspektionens tolkning kan därför komma att omprövas.

Hjälpte informationen på sidan dig?


User information

Tack för att du hjälper oss!