Branschnyhet

Så påverkas vårdsektorn av GDPR

Marcus Nylund Marcus Nylund

Den nya GDPR-förordningen ställer höga krav på vård- och omsorgssektorn, som hanterar många och känsliga personuppgifter. Även om vanan att hantera känsliga uppgifter är stor behövs en hel del arbete för att säkerställa efterlevnad av de nya kraven. Grant Thorntons expert tipsar om hur du bör prioritera för att vara redo för GDPR.

Om ett par månader implementeras EU:s nya datalagringsdirektiv GDPR som ersätter den befintliga Personuppgiftslagen (PUL). Aktörerna inom vård och omsorg hanterar stora mängder personuppgifter, och ofta även känslig patientinformation. Redan innan GDPR ställs hårda krav på hur personuppgifterna hanteras och lagras, genom befintlig lagstiftning.

– Det finns redan strikta krav på rutiner för hantering av personuppgifter för aktörerna inom vård och omsorg, men med GDPR blir det ännu viktigare att visa att man följer reglerna i och med kravet på ansvarsskyldighet, säger Marcus Nylund, ansvarig för GDPR på Grant Thornton.

Rutiner för personuppgifter
Han tycker att företagen inom vårdsektorn ska ta tillfället i akt och gå igenom sina rutiner för hur man hanterar personuppgifter för att säkerställa att alla krav är uppfyllda. En stor utmaning är att sjukvården hanterar personuppgifter i flera olika system och register, både digitalt och på papper. Det gäller att ha koll på samtliga flöden.

– Mindre aktörer har inte alltid journalsystem, utan hanterar personuppgifter via mejl på sätt som inte kommer vara acceptabelt enligt GDPR. De behöver se över sina kommunikationsflöden och utreda om de behöver ändra sina rutiner eller vidta tekniska säkerhetsåtgärder, exempelvis kryptering.

Med den nya förordningen kommer också nya krav som vårdsektorn tidigare inte behövt ta hänsyn till, och en del undantag från PUL försvinner. Bland annat krävs ett oberoende dataskyddsombud som säkerställer att dataskyddsförordningen följs, till exempel genom att genomföra kontroller i verksamheten. Förordningen kräver också rutiner för hur incidenter hanteras och rapporteras till integritetsskyddsmyndigheten.

Sätta igång med GDPR viktigast
Med mindre än 100 dagar kvar innan GDPR implementeras är prioritering helt avgörande i förberedelsearbetet. Långt ifrån alla kommer hinna få allting på plats innan direktivet träder i kraft den 25 maj, men att kunna påvisa att man är medveten om riskerna och att omställningen är igång kommer att vara av stor betydelse för inspektionsmyndigheten, enligt Marcus Nylund.

– Första steget är att kartlägga var personuppgifterna hanteras och var det är högst risk. För vårdföretag lär det exempelvis vara lämpligt att börja med de system och arbetsprocesser där patientuppgifter hanteras, och spara HR-uppgifterna till senare.

Så prioriterar du inför GDPR

  1. Sätt igång. Allt kommer inte bli klart men det är viktigt att visa att förberedelser pågår.
  2. Börja med en kartläggning. Var hanteras personuppgifter och av vem?
  3. Prioritera. Var hanteras känsliga personuppgifter och var finns de största riskerna för att de sprids?
  4. Stanna inte vid kartläggningen. Vilka åtgärder krävs för att hantera riskerna?
  5. Våga välja bort. Allt kan inte genomföras samtidigt, börja med att skydda de mest kritiska personuppgifterna.

Vid övergången till GDPR gäller det att i varje enskilt fall utgå från den egna verksamheten. Grant Thornton stöttar företag och föreningar i frågor som rör GDPR. Vi kan även hjälpa till att göra en total översyn. Kontakta våra experter för mer information.