Förutsättningar enligt dataskyddsförordningen
Hur är er verksamhet förenlig med GDPR?
Informationshantering och informationsöverföring till utlandet kommer inte att minska i framtiden, snarare öka.

Dataskyddsförordningen, GDPR, är en exponent för detta. Regelverket hindrar inte informationsöverföring utan reglerar HUR den skall ske, när och om den sker.

Tyvärr cirkulerar mycket missförstånd om vad som gäller, och vissa diskussioner fokuserar mer på de svårigheter som kan finnas istället för att se vilka möjligheter som finns med att förlägga sjukvårdsrådgivning utomlands. Vissa slutsatser och rekommendationer som hörs i debatten vilar tyvärr på direkt felaktig saklig grund och tappar då sin aktualitet.
Dataskyddsförordningen – GDPR. Vad gäller?

Enligt EU:s allmänna dataskyddsförordning (GDPR - General Data Protection Regulation) som började tillämpas den 25 maj 2018 får personuppgifter föras över till länder utanför EU/EES, s.k. tredje land under dessa förutsättningar:

*   Det finns ett beslut från EU-kommissionen om att exempelvis ett visst land utanför EU/EES säkerställer så kallad adekvat skyddsnivå.

*   Ni har vidtagit lämpliga skyddsåtgärder, till exempel bindande företagsbestämmelser (så kallade Binding Corporate Rules, BCR) eller standardavtalsklausuler (så kallade Standard Contractual Clauses, SCC).

*   Särskilda situationer och enstaka fall.

Citat ovan från https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/tredjelandsoverforing/

Det framgår med stor tydlighet att GDPR inte anger hinder för att personuppgifter kan hanteras i s.k. tredje land, men anger vad som krävs för att detta skall få ske.

Så här förtydligar datainspektionen Standardavtalsklausuler som EU-kommissionen har beslutat om:

”EU-kommissionen har godkänt vissa standardavtalsklausuler som handlar om dataskydd (Standard Contractual Clauses, SCC). Om ni ingår avtal, som innehåller dessa standardavtalsklausuler, med någon utanför EU/EES, så är det tillåtet att överföra personuppgifter till dem. Observera dock att ni inte får ändra i klausulerna. Om det är nödvändigt kan ni få lägga till klausuler om affärsrelaterade frågor, men sådana får då inte strida mot någon standardavtalsklausul.

Standardavtalsklausulerna innehåller skyldigheter dels för personuppgiftsansvariga som vill föra över personuppgifter till länder utanför EU/EES, dels för personuppgiftsansvariga eller personuppgiftsbiträden som tar emot sådana uppgifter. Klausulerna reglerar också andra frågor kring överföringen, till exempel de registrerades rättigheter och hur tvister med anledning av avtalet ska lösas.”


Ovan text citat från https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/tredjelandsoverforing/hur-vidtar-vi-lampliga-skyddsatgarder/

Sammanfattningsvis kan konstateras att inget i GDPR säger att man inte får hantera personuppgifter i tredje land. Däremot måste personuppgiftsansvarige säkerställa att personuppgiftsbiträdet följer regelverket.

Hur kan Patientsäkerheten säkerställas?

Patientsäkerhetslagen (2010:659) innehåller bland annat bestämmelser om vårdgivares och hälso- och sjukvårdspersonalens skyldigheter. Detta gäller bland annat bestämmelser om vårdgivares skyldighet att bedriva ett systematiskt patientsäkerhetsarbete och bestämmelser om hälso- och sjukvårdspersonalens skyldigheter, inklusive tystnadsplikten i privat hälso- och sjukvårdsverksamhet.

Inget hinder finns för att avtal upprättas så att vårdgivaren säkerställer att Patientsäkerhetslagens regler efterlevs.

Verksamheten i MediCall bedrivs på samma sätt och med samma krav som svenska vårdgivare har i sin egen verksamhet och med en total transparens och systematisk uppföljning.

Patientsäkerhetsarbete
Följer TSSK Rådgivningsstödet (RGS) på ett adekvat sätt är risken för brottslig gärning liten. Ett felaktigt råd kan ge förödande konsekvenser och kommer att uppdagas via de etablerade kanaler som finns, ytterst Inspektionen för Vård och Omsorg (IVO). Enligt vår och andras erfarenhet känner vi inte till några fall där en tssk har blivit deslegitimerad eller där Patientskadeförsäkringen har fått träda in.

Om en så allvarlig händelse ändå skulle inträffa så finns sanktionsinstrumentet fortfarande, trots att personen har tjänstgjort utomlands. ”…åtgärder som prövotid och återkallelse av legitimation enligt 8 kap. patientsäkerhetslagen kan komma ifråga även vid brott eller andra handlingar som begåtts utomlands och som visar på oskicklighet eller olämplighet hos den legitimerade yrkesutövaren.”

 

För det fall exempelvis en vårdgivare och MediCall skulle avtala om att patientsäkerhetslagen ska följas är det viktigt är att parterna beskriver kontrollfunktionerna för att avtalets innehåll skall gälla och de påföljder som sker vid överträdelse är klara.Sammanfattningsvis kan det fastslås att:

1. Inget hindrar IVO från att utöva tillsyn över personal med svensk yrkeslegitimation som arbetar mot personer som befinner sig i Sverige, även om den legitimerade personalen befinner sig utomlands. Skulle någon deslegitimeras, kan man inte fortsätta tjänstgöringen, eftersom det krävs svensk yrkeslegitimation för att få utföra tjänsterna i 1177.

2. Det finns straffsanktionerad tystnadsplikt i såväl i thailändsk som svensk lag.

Hur fungerar Sekretess och Tystnadsplikt?
Enligt Socialstyrelsen, ansvarar vårdgivaren som anlitar personuppgiftsbiträden, som exempelvis MediCall, för att säkerställa och följa upp att sekretessen beaktas och att nödvändiga säkerhetsåtgärder vidtas hos personuppgiftsbiträdet. Vårdgivaren ska även säkerställa att den personal som personuppgiftsbiträdet anlitar inte röjer för utomstående vad de får kännedom vid behandlingen av patientuppgifterna. Detta ansvar ska vårdgivaren fullgöra dels genom en avtalsskrivning där kraven framgår tydligt, dels genom uppföljning av hur företaget hanterar uppgifterna i praktiken.

Det förefaller således som att Socialstyrelsens ståndpunkt är att det räcker med avtalsreglerad tystnadsplikt för att icke legitimerad personal ska få behandla uppgifterna.

Enligt 2 kap. 2 § i brottsbalken kan straffrättsligt ansvar utdömas för brottslig gärning som begåtts utomlands av svenska medborgare om gärningen är straffbar på gärningsorten.

Det finns lagreglerad och straffsanktionerad tystnadsplikt i Thailand. Det finns även etiska regler för sjukvården som beaktar tystnadsplikten. Varje sjuksköterska som anställs i Thailand skriver på ett sekretessavtal där det, förutom att man förbinder sig att följa svensk lagstiftning, även informeras om den Thailändska lagstiftningen och konsekvenser av ett brott mot sekretess.

Enligt Thailändsk rätt gäller följande:
"Criminal Code - Chapter 2: 
Offence of Disclosure of Confidential InformationSection 
323. Professional Disclosure
Whoever, knows or acquires a private secret of another person by reason of his functions as a competent official or his profession as a medical practitioner, pharmacist, druggist, midwife, nursing attendant, priest, advocate, lawyer or auditor, or by reason of being an assistant in such profession, and then discloses such private secret in a manner likely to cause injury to any person, shall be punished with imprisonment not exceeding six months or fined not exceeding ten thousand Baht, or both.
A person undergoing training and instruction in the profession mentioned in the first paragraph has known or acquired the private secret of another person in the training and instruction in such profession, and discloses such private secret in a manner likely to cause injury to any person, shall be liable to the same punishment."


Detta innebär att brott mot tystnadsplikten är straffsanktionerade i Thailand.
Därutöver finns medicinska etiska regler som inte tillåter att information förs vidare till 3:e part utan samtycke.
För det fall en Telefonsjuksköterska (TSSK) skulle bryta mot tystnadsplikten kan denne åtalas såväl i Thailändsk som i Svensk domstol.
Svensk lagstiftnings territoriella begränsning, är inte det ett hinder?
Svensk nationell lagstiftning kan endast tillämpas inom det svenska territoriet.
Däremot finns inget hinder för ett företag att avtala om att arbeta i enlighet med svensk lagstiftning och i enlighet med policys, rutiner och riktlinjer i en vårdgivares ledningssystem.
Hur är era Tekniska förutsättningar för säker drift?
Tekniken har under åren utvecklats för att säkerställa en säker och uthållig trafik mellan MediCall och Sverige enligt kunders kravspecifikation. Stabiliteten i internetkommunikationen är säkrad genom redundans via flera olika internetleverantörer. Kommunikation är säkrad genom avancerad kryptering.
Vi har även en stor dieselgenerator som försörjer hela kontoret i händelse av strömavbrott. Lokalt i Thailand har vi svensk IT-support på plats på kontoret. All data lagras på servrar i Sverige, inga data lagras alltså i Thailand. Det betyder att när ett samtal är avslutat, eller ett ärende hanterat, finns inga data kvar i Thailand.



Vi använder cookies för att ge dig en bättre användarupplevelse