Velamen ikonVELAMEN

Patientdatalagen (PDL)

PDL: Kort guide för praktiker

En praktisk sammanfattning av Patientdatalagen (2008:355) med fokus på vad som berör dig i klinisk vardag och hur ett journalsystem bör stödja lagens krav.

Snabbt: vad du behöver veta

  • Syfte: PDL säkerställer patientsäkerhet, god vårdkvalitet och skydd för patienters integritet.
  • Journalplikt: Patientjournal ska föras för varje patient och innehålla uppgifter som behövs för vård.
  • Behörighet: Endast personal med vårdskäl får ta del av journaluppgifter; behörigheter ska vara begränsade och dokumenterade.
  • Spårbarhet: All elektronisk åtkomst måste loggas - vem, när och varför.
  • Bevarande: Journalhandlingar ska bevaras minst 10 år, med särskilda bestämmelser för vissa fall.
  • Utlämnande: Utlämnande kräver lagstöd eller patientens samtycke, med undantag för viss direktåtkomst enligt lag.
  • Säkerhet i system: Tekniska och organisatoriska åtgärder (kryptering, åtkomstkontroll, backuper, rutiner) krävs för att uppfylla PDL.

Praktiskt råd: Ha skriftliga rutiner för behörighetsgivning, åtkomstgranskning och incidenthantering.

Officiell lagreferens

  • Lag: Patientdatalag (2008:355), Svensk författningssamling.
  • SFS-nummer: 2008:355.
  • Utfärdad: 2008-05-29.
  • Senast ändrad: t.o.m. SFS 2024:241.
  • Departement: Socialdepartementet.
  • Källa: Regeringskansliet (konsoliderad fulltext).
  • Läs originaltexten: Riksdagen — Patientdatalag (2008:355)

Kapitelöversikt: vad varje kapitel betyder i praktiken

1 kap. Lagens tillämpningsområde och syfte

Lagen gäller vårdgivares behandling av personuppgifter inom hälso- och sjukvården. Syftet är patientsäkerhet, god kvalitet och att skydda patientens integritet.

2 kap. Bestämmelser om behandling

Reglerar ändamålen för personuppgiftsbehandling (vård, administration, statistik och forskning under villkor). Anger också personuppgiftsansvar och begränsningar för känsliga uppgifter som sökbegrepp.

3 kap. Skyldighet att föra patientjournal

Konkreta krav på journalinnehåll: identitet, väsentliga uppgifter om vård och åtgärder, signaturer och tidpunkter. Journalens främsta syfte är att stödja vård och patientsäkerhet.

4 kap. Inre sekretess och elektronisk åtkomst

Endast personal med vårdskäl får ta del av journaluppgifter. Vårdgivaren måste reglera behörigheter, dokumentera åtkomst och utföra kontroller för obehörig åtkomst.

5 kap. Utlämnande

Styr när uppgifter får lämnas ut till andra aktörer. Hänvisar till relationen med offentlighets- och sekretesslagen och reglerar myndigheters skyldighet att lämna uppgifter i vissa fall.

7 kap. Kvalitetsregister

Regler för nationella och regionala register som används för kvalitetsutveckling och forskning - särskilda krav på information och gallring.

8 kap. Rättigheter för den enskilde

Patientens rätt att ta del av sina uppgifter, begära rättelse och få information om hur uppgifter används. Regler om förstörande och andra rättsmedel ingår också.

9 kap. Omhändertagande och återlämnande

När myndighet kan omhänderta journaler och hur återlämnande ska ske - viktigt för hantering vid överlämning och arkivering.

Bevarande och övergångsbestämmelser

Bevarandekrav: vanligtvis minst 10 år. Övergångsbestämmelser hanterar ikraftträdanden och ändringar i lagen.

Praktiska åtgärder för din verksamhet

  • Dokumentera behörigheter och ha tydliga rutiner för åtkomst och granskning.
  • Säkerställ att journalsystemet loggar all åtkomst och erbjuder robust säkerhet (kryptering, MFA, backuper).
  • Skapa rutiner för signering, arkivering och gallring i enlighet med lagen.
  • Utbilda personal i inre sekretess och hantering av utlämnandeförfrågningar.
  • Förbered rutiner för incidentrapportering och återställning vid dataintrång eller förlust.

Velamen hjälper till att uppfylla många av dessa krav tekniskt, men verksamhetsrutiner och policydokument måste också vara på plats.

Stark autentisering

Stark autentisering innebär flerfaktorsmetoder som kombinerar minst två av följande: något du vet (lösenord), något du har (säkerhetsnyckel eller autentiseringsapp) och något du är (biometri). Rekommendationer för praktiker:

  • MFA med TOTP eller passkeys: Använd TOTP-appar eller passkeys för autentisering. Passkeys ger stark skydd mot phishing och är användarvänliga.
  • Hårdvarunycklar: För högre säkerhet i kliniker med flera användare, överväg FIDO2-kompatibla säkerhetsnycklar.
  • Lösenordspolicy: Långa och unika lösenord tillsammans med MFA minskar risken för komprometterade konton.
  • Session och bortloggning: Automatiska sessionstidsgränser och skydd vid inaktivitet är viktiga för klinisk säkerhet.

Revision och auditloggar: lokal lagring och risker

Auditloggar ska vara tillförlitliga och svåra att manipulera. Att förvara auditloggar endast lokalt hos en praktik, där enskilda användare kan modifiera systemet, innebär risker:

  • Manipulationsrisk: Om användare med administrativa rättigheter kan nå och ändra loggfiler lokalt, undermineras spårbarheten, vilket kan bli problem vid incidentutredningar eller revisionskrav.
  • Rekommendation: Använd append-only loggar, skrivskyddade backuper och offsite-arkiv för revisionsdata. Hashkedjor eller server-signerade loggposter ger verifierbar integritet.
  • Separation av ansvar: Håll operationell krypteringsnyckelhantering skild från revisionsloggar och auditdata. Revisionsdata bör inte vara beroende av en enskild klients lokala tillstånd.
  • Juridisk efterlevnad: PDL och Socialstyrelsens föreskrifter ställer krav på spårbarhet och bevarande; tekniska lösningar måste stödja bevarandet och skyddet mot otillbörlig ändring.

Praktiskt för din klinik: Begränsa administrativa rättigheter, använd centraliserade eller signerade loggmekanismer där möjligt, och arkivera loggar i separata, oföränderliga lagringsplatser enligt era bevarandekrav.