Hur du hanterar personuppgifter i psykologisk behandling
Uppdaterad 27 februari 2023
När du behandlar patienter hanterar du normalt känsliga personuppgifter. Det är viktigt att vara extra försiktig med denna typ av information, både under och efter behandlingen.
Vad är personuppgifter?
Personuppgifter är alla typer av data som indirekt eller direkt kan spåras till en individs identitet. Det kan vara direkta uppgifter som e-postadresser eller namn, eller indirekta uppgifter som kan spåras till en individ, även om personens namn eller adress inte uttryckligen anges. Dataformatet kan vara både analogt, som ett papper eller formulär, eller digitalt som en PDF eller ett e-postmeddelande. Personuppgifter regleras på EU-nivå av den allmänna dataskyddsförordningen (GDPR), och användningen av dem i svensk sjukvård regleras av patientdatalagen (PDL).
Enkla principer att följa vid behandling av personuppgifter
1. Behandla endast nödvändig information
Som psykolog behöver du bara samla in den information som behövs för att genomföra din behandling. Undvik att samla in eller lagra onödig information, eftersom detta kan öka risken för oavsiktlig exponering av personlig information. När du inte längre behöver lagra personuppgifter bör du se till att förstöra dem. Om det gäller journalföring ska journalen dock sparas i minst 10 år.
2. Informera patienten
Patienter har rätt att få veta vilken information som samlas in om dem, varför den samlas in och hur den kommer att användas. Innan behandlingen påbörjas bör du ge patienterna information om hur deras personuppgifter kommer att hanteras och om deras rättigheter enligt ovanstående dataskyddslagar.
3. Gör en dataskyddskonsekvensbedömning
Om du använder flera olika system för att hantera personuppgifter och inte känner att du har koll på hur olika delsystem hanterar personuppgifter kan du göra en konsekvensbedömning. Detta är ett bra sätt att systematiskt gå igenom din uppgiftshantering så att du kan förklara din informationshantering, och utvärdera den kontinuerligt.
Hur man hanterar analog information
Analog information som papper och anteckningar bör förvaras på en plats som endast kan nås av behöriga personer. För att skydda analog information bör du se till att den förvaras på en säker plats, till exempel i ett låst arkivskåp eller ett låst rum. När du delar ut papper eller blanketter som en hemuppgift eller som en del av ärendekonceptualisering – kom ihåg att inte inkludera personuppgifter i formuläret om det inte är nödvändigt.
Hur man hanterar digital information
Digital information kan vara särskilt svår att skydda, eftersom den kan spridas via olika underleverantörer, liksom risken för cyberattacker. Det gör det extra viktigt att veta hur digitala program hanterar data. Om du använder SMS, e-post eller andra öppna kommunikationskanaler är det mycket viktigt att du inte skriver personuppgifter varken direkt eller indirekt via kanalerna. SMS och mejlkontakt kan fungera bra för allmän information men bör undvikas om du planerar att skicka några behandlingshandlingar eller en hemuppgift. Om du använder en digital programvara som hjälp i din behandling kan du se till att granska programvaran enligt följande standard:
â
-
Används tvåfaktorsautentisering för inloggning?
â
Tvåfaktorsautentisering innebär att programvaran ber om mer än bara ett lösenord, till exempel ett telefonnummer. SITHS-kort eller bank-ID är exempel på auktoriserade autentiseringslösningar
â
-
Är personuppgifter krypterade med industristandardmetoder?
Inom sjukvårdslösningar finns speciella metoder för kryptering som är standardiserade, eftersom de ger ett säkert skydd mot obehöriga. AES 256 är ett sådant exempel
â
-
Hanteras personuppgifter Secure Socket Layers?
Detta är en metod för en programvara för att skicka information över Internet utan att informationen ses av en tredje part.
â
-
Förs personlig data över gränser?
â
En mjukvara har normalt många olika underleverantörer som kan finnas i olika länder. Även om informationen huvudsakligen lagras inom Europa, kan den skickas över nationsgränser under vissa faser av behandlingen. I händelse av att en programvara använder flera underleverantörer kan du se till att underleverantörerna har Standard Contractual Clauses (SCCs) med EU-kommissionären.