Velamen ikonVELAMEN

Integritet

Integritet och dataskydd

Integritet i praktiken

Velamen agerar som personuppgiftsbiträde enligt GDPR. Det betyder att kliniken eller praktikern är personuppgiftsansvarig och bestämmer ändamålen med behandlingen. Vår roll är att tillhandahålla en teknisk plattform och att behandla personuppgifter enbart enligt de instruktioner som kommer från den ansvariga verksamheten.

För att stödja detta förhållande har vi byggt in tre praktiska principer i plattformen. För det första behandlas kliniskt innehåll end-to-end krypterat på klienten, vilket minskar mängden läsbar PII som någonsin lagras i klartext på servern. För det andra finns tekniska begränsningar som förhindrar att känsliga fält skrivs i vanliga Django-fält i klartext. För det tredje erbjuder plattformen verktyg så att vårdgivaren kan leva upp till sina skyldigheter kring åtkomstkontroll, loggning och bevarande.

Rättigheter, bevarande och juridiska ramar

Patientdatalagen (PDL) och GDPR styr vilka rättigheter enskilda har och vilka skyldigheter vårdgivare och tekniska leverantörer måste följa. Hälso- och sjukvårdens journaler omfattas av särskilda bevarandekrav; vanligtvis ska journalhandlingar bevaras i minst tio år. I praktiken innebär det att en begäran om radering kan komma i konflikt med lagstadgade bevarandeperioder, och då måste den ansvariga vårdgivaren följas. Velamen hjälper genom att erbjuda kontroller för bevarande och revisionsloggning, samt mekanismer för att exportera data vid begäran från patient eller myndighet.

Begränsning av åtkomst och separation av ansvar

En central del av integritetsskyddet är att begränsa vem som kan läsa journaluppgifter. Velamen gör det enkelt att skapa begripliga behörighetsregler: endast de som deltar i vården eller som har ett berättigat arbetsbehov ska kunna se patientuppgifter. Systemet loggar varje åtkomst så att din verksamhet kan genomföra stickprov och granskningar. Vi rekommenderar att organisationer dokumenterar rollen som personuppgiftsansvarig och upprättar interna rutiner för hur åtkomsträttigheter ska hanteras och revideras.

Dataöverföring, backuper och arkivering

Velamen krypterar patientinnehåll så att backupkopior kan förvaras utan att de avslöjar patientuppgifter. Backuper hanteras enligt etablerade rutiner och placeras i separata, skyddade lagringsutrymmen. Vid systemavveckling eller byte av leverantör kan journaler exporteras i krypterad form så att den ansvariga vårdgivaren kan fullgöra sina skyldigheter för arkivering och överlämning.

Begäran från registrerade och incidenthantering

Patienter har rätt att begära utdrag ur sin journal och information om vilka som haft åtkomst. Eftersom Velamen är personuppgiftsbiträde bistår vi med tekniska verktyg och exporter, men formella Data Subject Access Requests hanteras genom den ansvariga vårdgivaren. Vid en säkerhetsincident finns etablerade processer där vi informerar vårdgivaren utan onödig fördröjning så att denne kan uppfylla sina anmälningsskyldigheter till tillsynsmyndighet enligt GDPR och PDL.

Praktiska råd för kliniker

För att kombinera god sekretess med enkel användning rekommenderar vi att kliniker inför tydliga rutiner för behörighetsstyrning, utbildar personal i inre sekretess och använder stark autentisering för alla användarkonton. Begränsa administrativa rättigheter, använd append-only-loggar för revision och säkerställ att backup- och återställningsrutiner testas regelbundet. Velamen levererar verktygen; det är verksamheten som måste förankra rutinerna organisatoriskt.

Frågor eller behov av stöd: kontakta oss på kontakt@velamen.se.