Hantering av patientuppgifter

Säker och laglig hantering av patientuppgifter är en förutsättning för att kunna införa Skånes digitala vårdsystem (SDV). Patientens integritet och säkerhet måste tillgodoses, samtidigt som IT-miljön och arbetssätten behöver utvecklas. Lagefterlevnad är en förutsättning för att kunna driftsätta systemet. 

Region Skåne har systematiskt arbetat med hantering av patientuppgifter med hänsyn till regelverk inom juridik, dataskydd och informationssäkerhet, och med viktig vägledning från Integritetsmyndigheten, IMY. I detta ingår även följsamhet till cybersäkerhetslagen och NIS-2 som trädde i kraft 15 januari 2026. 

Här är ett urval av centrala frågor som rör integritet och som SDV-programmet arbetar med. 

Hur kommer patientuppgifter att hanteras i det nya patientjournalsystemet?

Region Skåne samverkar kring SDV med leverantören Oracle Svenska AB (dåvarande Cerner Sverige AB). Alla patientuppgifter i detta vårdsystem kommer att lagras i datacenter i Sverige i enlighet med svensk lagstiftning. Ett så kallat PUB-avtal (personuppgiftsbiträdesavtal) mellan Region Skåne och Oracle reglerar hur personuppgiftsbehandlingen ska ske. 

Under SDV-projektets gång kommer personuppgifter/patientuppgifter att migreras vid olika tillfällen, det vill säga föras över till det nya patientjournalsystemet. I ett första skede handlar det om personuppgifter/patientuppgifter för testverksamhet, vilket regionstyrelsen tog beslut om 2022-09-27; ”Driftsgodkännande av Migrering till M1912, Millennium steg 1”. I det beslutet omfattas både patientuppgifter samt anställdas personuppgifter. Överföringen av data startade under hösten 2022.  

Kommer skånska patientjournaler att finnas tillgängliga för amerikanska myndigheter? 

Nej. Region Skåne har skrivit leverantörsavtal med svenska Oracle som har ett amerikanskt moderbolag. För att amerikanska myndigheter ska kunna begära ut uppgifter om svenska patienter krävs att moderbolaget har egen kontroll över uppgifterna och rent praktiskt kan ta del av dem. Region Skåne har vidtagit tekniska, organisatoriska och avtalsmässiga åtgärder för att säkra att moderbolaget inte har sådan kontroll.

Det enda undantaget som kan bli aktuellt är om amerikanska myndigheter kommer med en förfrågan som gäller brottsbekämpning. Då finns en möjlighet för dem att begära ut sekretessbelagda uppgifter – men den möjligheten finns redan idag och är oberoende av vilket system som används. 

Kan Region Skåne lagra journalerna i en egen lösning?

Kompetensen och resurserna för att lagra journalerna i egen lösning finns inte inom Region Skåne idag. Därför använder sig Region Skåne av olika externa leverantörer med särskild expertkompetens och -resurser för lagring av journalsystemen. Så kommer det att vara även när SDV införs.  

När SDV införs, vad blir skillnaden?

I och med SDV, får Region Skåne en gemensam digital miljö, till skillnad från dagens miljö som inbegriper ett trettiotal olika system. Det ökar både patientsäkerheten och effektiviteten. Region Skåne blir också bättre rustade att stå emot cyberangrepp.

Vissa av Region Skånes nuvarande IT-system är från 1970-talet och med det följer problematik som bland annat innebär att det är svårt att uppgradera dem så att de uppfyller alla säkerhetskrav. Med SDV blir möjligheterna att möta nya typer av IT-hot förbättrade och att kraven på hantering av patientkänslig information uppfylls. Hantering av patientdata ska både följa svensk lagstiftning och högsta standard vad gäller IT-säkerhet. 

Hur skyddas patienternas journaluppgifter?

När invånare söker vård lagrar vårdgivaren journaluppgifterna i vårdinformationssystemet. Några olika lagar styr hur dessa uppgifter får användas. Journaluppgifter är skyddade av stark sekretess, och patienten kan begära att uppgifterna ska spärras för andra vårdgivare eller för andra vårdenheter hos en och samma vårdgivare. 

Läs vad som gäller för dina personuppgifter och din journal på 1177.se 

Vad säger patientdatalagen om hantering av patientjournaler?

Enligt patientdatalagen (2008:355) ska det föras patientjournal vid vård av patienter. Region Skåne har därmed en rättslig förpliktelse att behandla personuppgifter vid vård och behandling av patienter. Syftet med att föra en patientjournal är enligt patientdatalagen i första hand att bidra till en god och säker vård av patienten.

Patientdatalagen slår också fast att den behandling av personuppgifter som är tillåten får utföras även om den enskilde motsätter sig det. Det är Inspektionen för vård och omsorg (IVO) som beslutar om en patientjournal helt eller delvis ska förstöras. Det innebär att Region Skåne inte har rättslig möjlighet att besluta om radering eller begränsning av personuppgifter som behandlas inom hälso- och sjukvården. 

Patientens rättigheter

När personuppgifter behandlas av Region Skåne har patienten vissa rättigheter. Särskilda regler för hantering av allmänna handlingar kan påverka dessa rättigheter på olika sätt.

Mer information om dina rättigheter på skane.se 

Fakta Personuppgiftsbiträdesavtal  

Personuppgiftsbiträdesavtal (PUB-avtal) säkerställer att:

  • Båda parter, personuppgiftsansvarig och personuppgiftsbiträde, följer dataskyddsförordningen
  • Båda parter är medvetna om sina åtaganden och skyldigheter mot varandra och de registrerade
  • Båda parter skyddar kunders, personals och andra kategorier av registrerades personuppgifter
  • Båda parter dokumenterar tydligt och kan visa att de följer reglerna (ansvarsskyldighet)

Personuppgiftsansvarig ska säkerställa att biträdet hanterar uppgifterna på ett säkert sätt. I PUB-avtalet regleras hur uppgifterna ska lagras och behandlas samt alla skyddsåtgärder för att det ska vara säkert. 

  • Senast uppdaterad: 2026-01-19

Fick du hjälp av informationen på sidan?

Tänk på att

Informationen på webbplatsen är till för offentlig och privat vårdpersonal i Skåne.

Tack för din hjälp att förbättra webbplatsen, dina synpunkter har skickats till webbredaktionen.

  • När du skickar in formuläret kommer vi endast att använda dina personuppgifter för det som formuläret är till för. Tänk på att informationen som du skickar in kan bli en allmän handling, vilket betyder att alla kan begära ut och läsa det.

    Skicka därför inte in känsliga uppgifter om dig själv eller någon annan. Det kan till exempel röra patientuppgifter om en sjukdom, diagnos eller medicinering.

    Så behandlar vi dina personuppgifter (nytt fönster)