Hantering av patientuppgifter

Säker och laglig hantering av patientuppgifter har varit centralt i arbetet med Skånes digitala vårdsystem (SDV). Patientens integritet och säkerhet måste tillgodoses, samtidigt som IT-miljön och arbetssätten behöver utvecklas. Lagefterlevnad är en förutsättning för att kunna driftsätta systemet.

Region Skåne har systematiskt arbetat med hantering av patientuppgifter med hänsyn till regelverk inom juridik, dataskydd och informationssäkerhet, och med viktig vägledning från Integritetsmyndigheten, IMY. I detta ingår även följsamhet till cybersäkerhetslagen och NIS-2, direktiv som ska säkerställa en hög nivå av informationssäkerhet i hela EU.

Hur hanteras patientuppgifter i det nya patientjournalsystemet?

Region Skåne samverkar kring SDV med leverantören Oracle Svenska AB. Alla patientuppgifter i detta vårdsystem kommer att lagras i datacenter i Sverige i enlighet med svensk lagstiftning. Ett så kallat PUB-avtal (personuppgiftsbiträdesavtal) mellan Region Skåne och Oracle reglerar hur personuppgiftsbehandlingen ska ske. 

Under SDV-projektets gång har personuppgifter/patientuppgifter migrerats vid olika tillfällen, det vill säga förts över till det nya patientjournalsystemet. I ett första skede handlade det om personuppgifter/patientuppgifter för testverksamhet, vilket regionstyrelsen tog beslut om 2022-09-27; ”Driftsgodkännande av Migrering till M1912, Millennium steg 1”. I det beslutet omfattas både patientuppgifter samt anställdas personuppgifter. Överföringen av data startade under hösten 2022. Steg två som innebär migreringar till produktionsmiljö har inte påbörjats utan avvaktar förberedelser inför produktionsstart

Kommer skånska patientjournaler att finnas tillgängliga för amerikanska myndigheter? 

Nej. Region Skåne har skrivit leverantörsavtal med svenska Oracle som har ett amerikanskt moderbolag. För att amerikanska myndigheter ska kunna begära ut uppgifter om svenska patienter krävs att moderbolaget har egen kontroll över uppgifterna och rent praktiskt kan ta del av dem. Region Skåne har vidtagit tekniska, organisatoriska och avtalsmässiga åtgärder för att säkra att moderbolaget inte har sådan kontroll.

Det enda undantaget som kan bli aktuellt är om amerikanska myndigheter kommer med en förfrågan som gäller brottsbekämpning. Då finns en möjlighet för dem att begära ut sekretessbelagda uppgifter – men den möjligheten finns redan idag och är oberoende av vilket system som används. 

Kan Region Skåne lagra journalerna i en egen lösning?

Kompetensen och resurserna för att lagra journalerna i egen lösning finns inte inom Region Skåne idag. Därför använder sig Region Skåne av olika externa leverantörer med särskild expertkompetens och -resurser för lagring av journalsystemen. 

Hur skyddas patienternas journaluppgifter?

När invånare söker vård lagrar vårdgivaren journaluppgifterna i vårdinformationssystemet. Några olika lagar styr hur dessa uppgifter får användas. Journaluppgifter är skyddade av stark sekretess, och patienten kan begära att uppgifterna ska spärras för andra vårdgivare eller för andra vårdenheter hos en och samma vårdgivare. 

Läs vad som gäller för personuppgifter och patientens journal på 1177.se

Vad säger patientdatalagen om hantering av patientjournaler?

Enligt patientdatalagen (2008:355) ska det föras patientjournal vid vård av patienter. Region Skåne har därmed en rättslig förpliktelse att behandla personuppgifter vid vård och behandling av patienter. Syftet med att föra en patientjournal är enligt patientdatalagen i första hand att bidra till en god och säker vård av patienten.

Patientdatalagen slår också fast att den behandling av personuppgifter som är tillåten får utföras även om den enskilde motsätter sig det. Det är Inspektionen för vård och omsorg (IVO) som beslutar om en patientjournal helt eller delvis ska förstöras. Det innebär att Region Skåne inte har rättslig möjlighet att besluta om radering eller begränsning av personuppgifter som behandlas inom hälso- och sjukvården. 

Patientens rättigheter

När personuppgifter behandlas av Region Skåne har patienten vissa rättigheter. Särskilda regler för hantering av allmänna handlingar kan påverka dessa rättigheter på olika sätt.

Mer information om patientens rättigheter på skane.se

Fakta Personuppgiftsbiträdesavtal  

Personuppgiftsbiträdesavtal (PUB-avtal) säkerställer att:

  • Båda parter, personuppgiftsansvarig och personuppgiftsbiträde, följer dataskyddsförordningen
  • Båda parter är medvetna om sina åtaganden och skyldigheter mot varandra och de registrerade
  • Båda parter skyddar kunders, personals och andra kategorier av registrerades personuppgifter
  • Båda parter dokumenterar tydligt och kan visa att de följer reglerna (ansvarsskyldighet)

Personuppgiftsansvarig ska säkerställa att biträdet hanterar uppgifterna på ett säkert sätt. I PUB-avtalet regleras hur uppgifterna ska lagras och behandlas samt alla skyddsåtgärder för att det ska vara säkert. 

  • Senast uppdaterad: 2026-04-13
Fick du hjälp av informationen på sidan?

Hjälp oss förbättra sidan

Berätta gärna vilken information som är fel eller saknas genom att skicka en synpunkt till webbredaktionen.

Tänk på att informationen på webbplatsen är till för offentlig och privat vårdpersonal i Skåne.

 

Tack för din hjälp att förbättra webbplatsen, dina synpunkter har skickats till webbredaktionen.

  • När du skickar in formuläret kommer vi endast att använda dina personuppgifter för det som formuläret är till för. Tänk på att informationen som du skickar in kan bli en allmän handling, vilket betyder att alla kan begära ut och läsa det.

    Skicka därför inte in känsliga uppgifter om dig själv eller någon annan. Det kan till exempel röra patientuppgifter om en sjukdom, diagnos eller medicinering.

    Så behandlar vi dina personuppgifter (nytt fönster)