Publicerad: 7 december 2018

Frågor och svar välfärdsteknik och juridik

De juridiska frågorna kring välfärdsteknik är många. Här har vi samlat de vanligaste frågorna och svaren. Det handlar dels om samtycke och behandling av personuppgifter, dels om tillsyn och digitala möten.

Samtycke och behandling av personuppgifter

Allmänt om samtycke

Med undantag för de situationer när tvångslagstiftning är tillämplig bygger såväl hälso- och sjukvård som socialtjänst på samtycke.

Det finns olika typer av samtycke – uttryckligt, presumerat, hypotetiskt och konkludent samtycke – som alla avser olika sätt att samtycka till vård eller omsorgsinsatser.

När det finns ett samtycke till vård, har vårdgivaren rätt att behandla personuppgifter för de syften som anges i patientdatalagen. Behandlingen av personuppgifter är i de fallen således tillåten i lag. Har en person lämnat sitt samtycke till vård, ska personuppgifter hanteras enligt patientdatalagen och det åligger vårdgivaren/huvudmannen att ansvara för den hanteringen. Inget ytterligare samtycke från vårdtagaren behövs.

Även inom socialtjänsten ska omsorgstagaren samtycka till insatser. Det finns dock inte någon lag som ger omsorgsgivaren samma rätt och skyldigheter att behandla personuppgifter, som det finns inom vården. Det finns en dokumentationsskyldighet enligt socialtjänstlagen men den motsvarar inte skyldigheterna som en vårdgivare har enligt patientdatalagen. Lagen om behandling av personuppgifter inom socialtjänstlagen, den så kallade SoL-PUL, har ett annat syfte än patientdatalagen. Det innebär att när en behandling av personuppgifter inte är en del av att fullgöra sin dokumentationsskyldighet, så måste behandlingen antingen ske med samtycke eller ha stöd i GDPR:s bestämmelser om när behandling av personuppgifter får ske utan samtycke.

Det samtycke som krävs enligt GDPR kan inte vara presumerat, hypotetiskt eller konkludent.

Både hälso- och sjukvården och socialtjänsten hanterar integritetskänsliga personuppgifter. Behandling av personuppgifter och informationssäkerhet ska finnas med vid bedömning av behov och risker, precis som för andra insatser. Såväl GDPR som patientdatalagen och lagen om behandling av personuppgifter inom socialtjänsten säger att hantering av personuppgifter ska ske så att det inte föreligger risk för att uppgifterna används på felaktigt sätt.

Vad är skillnaden mellan hälso- och sjukvårdslagen (HSL) och Socialtjänstlagen (SoL) för samtycke och bedömning av personuppgifter?

Det som betraktas som hälso- och sjukvård följer patientdatalagen när det kommer till behandling av personuppgifter. Det samtycke som ska identifieras är samtycket till vård. Det teknikstöd som behövs för vården följer också patientdatalagens bestämmelser, men teknikstöd inom socialtjänsten förutsätter samtycke eller laglig grund enligt GDPR.

SKL:s sammanställning om GDPR för socialtjänsten

Vad innebär uttryckligt samtycke?

I GDPR används uttrycket att uttryckligen ha lämnat sitt samtycke. Det avser behandling av personuppgifter som anses som särskilt känsliga. Det som avses är

  • uppgifter som avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening,
  • behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person,
  • uppgifter om hälsa
  • uppgifter om en fysisk persons sexualliv eller sexuella läggning.

Vad innebär samtycke enligt GDPR?

En av de lagliga grunderna för att behandla personuppgifter är samtycke. Det innebär att den som uppgifterna handlar om ska ha uttryckt sitt ja till behandlingen. Man får i GDPR-sammanhang inte anta att personen samtycker.

Vad innebär presumerat samtycke?

Ett presumerat samtycke är ett antagande om samtycke. Det bygger på att den som ska vidta åtgärden förutsätter att den är förenlig med den enskildes vilja utan att samtycket har kommit till uttryck. Det handlar om situationer då den enskilde är fullt medveten om vad som planeras och faktiskt samtycker till åtgärden i fråga, men inte låter detta samtycke komma till uttryck. Det går i denna situation endast att anta – eller presumera – att den enskilde samtycker.

Ett presumerat samtycke måste bygga på att den berörde har informerats om den planerade åtgärden och då inte har gett uttryck för någon motvilja mot att den genomförs. Kraven på samtyckets art bör ställas högre om åtgärderna är av särskilt ingripande natur, till exempel fastspänning i bälte och inlåsning.

Vad innebär hypotetiskt samtycke?

Med hypotetiskt samtycke förstås att något samtycke faktiskt inte föreligger från den det gäller, men att personen skulle ha samtyckt till åtgärden om han eller hon hade givits tillfälle att ta ställning i frågan. Socialstyrelsen har konstaterat att det i lagstiftningen inom hälso- och sjukvård och socialtjänst inte klarlagts under vilka omständigheter ett hypotetiskt samtycke får användas.

I betänkandet ”Stöd och hjälp till vuxna vid ställningstagande till vård, omsorg och forskning” (SOU 2015:80) anges att det inte finns några regler som innehåller uttryckliga krav på samtycke eller krav på hur ett samtycke ska lämnas inom socialtjänstområdet. Utredaren anger att det därför torde finnas ett visst utrymme att använda olika former av så kallade presumerade, och i vissa fall hypotetiska, samtycken men det är oklart i vilka situationer och under vilka förutsättningar.

Personer som har demenssjukdom eller demensliknande symptom har alla en individuell problematik och deras förmåga att lämna samtycke till olika tekniska lösningar skiljer sig åt. Förmågan kan också variera för den enskilde individen från dag till dag. Detta betyder att verksamheten alltid måste arbeta systematiskt för att göra den enskilde delaktig utifrån dennes förmåga och ständigt överväga om ett samtycke kan anses föreligga.

Det är dock inte ovanligt att dessa personer saknar kognitiv förmåga att förstå utformning och funktion av olika typer av tekniska lösningar. Det är inte heller ovanligt att dessa personer saknar förmåga att ge uttryck för sin inställning. Detta medför att det enda samtycke som kan bli aktuellt är ett hypotetiskt samtycke.

Vad innebär konkludent samtycke?

Ett konkludent samtycke är ett samtycke genom handling. Ett sådant samtycke består i att den enskilde agerar på ett sätt som underförstått visar att han eller hon samtycker, till exempel genom att underlätta åtgärdens genomförande.

Vad händer när en privat leverantör hanterar personuppgifter?

En privat leverantör som jobbar på uppdrag av en kommun eller ett landsting/region med genomförande eller verkställighet efter myndighetsbeslut, anses delta i en myndighets verksamhet och regleras därmed av lagar och förordningar inom offentlighets- och sekretesslagstiftningen.

En leverantör som hanterar anonymiserade uppgifter, där krypteringsnyckel finns hos kommunen och inte lämnas ut till leverantören, är en bra lösning för att undvika att sekretessbelagda uppgifter röjs för leverantörens personal eller utländska myndigheter på leverantörens driftplats. En nackdel med ett sådant förfarande kan dock vara att leverantören inte kan återställa data om kommunen förlorar krypteringsnyckeln.

Vad gäller för samtycke när en "testpilot" görs innan en teknik tas i bruk fullt ut?

Flera former för samtycke – uttryckligt, presumtivt, hypotetiskt eller konkludent – kan vara aktuella för tester som innefattar välfärdsteknik inom hälso- och sjukvården i och med att man där först tar ställning till samtycke till vården. Har personen samtyckt till vården, omfattas den behandling av personuppgifter som ingår i välfärdstekniken i skyldigheten att föra journal i patientdatalagen.

Inom omsorgen (socialtjänstlagen) behövs ett samtycke eller att man kan hitta stöd i någon av de andra lagliga grunderna som anges i GDPR. Om behandlingen av personuppgifter ryms inom dokumentationsskyldigheten är det en laglig grund.

En aspekt på frågan är att det skulle kunna vara att det är att diskriminera brukare med permanent nedsatt kognitiv förmåga om inte de också kan delta på grund av att det är oklart hur man inhämtar deras samtycke. Men detta är något varje testbädds- eller pilotverksamhet behöver ta ställning till för varje nytt projekt.

Särskilt ingripande tester med välfärdsteknik bör det dock krävas uttryckligt samtycke för, enligt 6 kap 2 § regeringsformen. Då räcker det inte med att man har samtyckt till vården i sig. I regeringsformen står det:

”Var och en är gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.”

Tillsyn och digitala möten

Vad räknas som digital tillsyn

Digital tillsyn kan till exempel vara tillsyn nattetid genom webbkamera i hemmet. Då kan hemtjänstpersonal slå på kameran och se om personen sover, men ingenting spelas in eller sparas – ett alternativ till att personal åker hem till personen, går in i boendet och tittar efter samma sak.

Det kan också vara digital tillsyn under dagtid baserat på videokommunikation där personalen exempelvis via mobil surfplatta eller "giraffen" (en surfplatta på en mobil ställning) har en dialog med personen i stället för att det görs fysiska besök.

Vad händer om telefontillsyn kompletteras med bild?

Idag gör hemtjänstpersonal så kallad telefontillsyn, det vill säga ringer upp brukaren. I princip vore det enkelt att komplettera telefontillsynen med bild genom vanliga appar som FaceTime, Messenger eller Skype. Men för dessa appar finns inte den starka autentisering som krävs Socialstyrelsens föreskrifter HSLF-FS 2016:40. Där framgår bland annat att vid behandling av känsliga personuppgifter inom hälso- och sjukvården i öppna nät ska 1. användare autentisera sig på minst två sätt (stark autentisering) och 2. personuppgifter skyddas så att de inte obehörigen röjs. Detta följer också av GDPR.

Övervägande skäl talar för att samma krav gäller för socialtjänsten om tredjepartstjänster används som innefattar behandling av känsliga personuppgifter. Skype och andra liknande kommunikationstjänster kan ha krypterad överföring men saknar stark autentisering för att bland annat kunna logga på ett säkert sätt och säkra att det är rätt användare.

Är den nya kamerabevakningslagen tillämplig för välfärdsteknik?

Kamerabevakningslagen trädde i kraft 1 augusti 2018 och reglerar huvudsakligen det tillståndskrav som gäller för myndigheter och kamerabevakning av platser som allmänheten har tillträde till, som torg, parker eller bibliotek. Här kan även ingå exempelvis gemensamma utrymmen på ett äldreboende, dit allmänheten har tillträde. All annan kameraanvändning omfattas av bestämmelserna om samtycke eller laglig grund i GDPR.

Därmed är kamerabevakningslagen är inte tillämplig på kameraanvändning i särskilda boendeformer, utan här är det GDPR som gäller.

Vad gäller om anhöriga av olika skäl vill sätta upp en kamera i den enskildes hem?

Kamerabevakningslagen gäller den inte kamerabevakning som en fysisk person utför som ett led i en verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll. Den informationsplikt som annars följer av den lagen gäller därmed inte.

Om den enskildes hem dessutom är en arbetsplats för exempelvis hemtjänstpersonal, riskerar även dessa att filmas. Här är rättsläget oklart för var gränsen går för privat personuppgiftsbehandling. Det finns uttalanden som ger vid handen att den är avgränsad till personens privatliv och hushåll, det vill säga familjemedlemmar. Det skulle innebära att kameraanvändningen som registrerar hemtjänstpersonal faller utanför privatundantaget eftersom de inte är familjemedlemmar. I så fall gäller GDPR och brukaren/brukarens anhöriga måste ha personalens samtycke om kameran registrerar dem, alternativt ska kameran vara avstängd när personal finns i boendet. Skyltar ska också sättas upp om kameraanvändning i bostaden.

Även den så kallade hyreslagen (12 kap jordabalken) kan påverka, men rättsläget kring hela frågan om privat kamerabevakning i hemmet är än så länge oklart.

Är det OK att använda vanlig videokommunikation mellan socialtjänsten och till exempel behandlingshem, om det används tillsammans med stark autentisering?

I vanliga appar som FaceTime, Messenger eller Skype finns inte den starka autentisering som krävs Socialstyrelsens föreskrifter HSLF-FS 2016:40. Där framgår bland annat att vid behandling av känsliga personuppgifter inom hälso- och sjukvården i öppna nät ska 1. användare autentisera sig på minst två sätt (stark autentisering) och 2. personuppgifter skyddas så att de inte obehörigen röjs. Detta följer också av GDPR.

Övervägande skäl talar för att samma krav gäller för socialtjänsten om tredjepartstjänster används som innefattar behandling av känsliga personuppgifter. Skype och andra liknande kommunikationstjänster kan ha krypterad överföring men saknar stark autentisering för att bland annat kunna logga på ett säkert sätt och säkra att det är rätt användare.

Går det att använda sig av brukarens bredbandsuppkoppling vid videokonferens?

Brukarens bredbandsuppkoppling – som ibland kan ha en bättre hastighet och vara mer stabilt än ett mobilt bredband – kan användas om verksamheten har gjort en dokumenterad riskanalys av tjänsten och konstaterat att den uppfyller krav på konfidentialitet och stark autentisering i syfte att undvika obehörigt röjande av sekretessbelagda och känsliga personuppgifter.

Däremot finns det i vanliga appar som FaceTime, Messenger eller Skype inte den starka autentisering som krävs, enligt Socialstyrelsens föreskrifter HSLF-FS 2016:40. Där framgår bland annat att vid behandling av känsliga personuppgifter inom hälso- och sjukvården i öppna nät ska 1. användare autentisera sig på minst två sätt (stark autentisering) och 2. personuppgifter skyddas så att de inte obehörigen röjs. Detta följer också av GDPR.

Som jämförelse kan nämnas att Socialstyrelsens föreskrifter HSLF-FS 2016:40 ställer krav på åtkomst via stark autentisering (tvåfaktorsautentisering) för den som till exempel vill ta del av sin elektroniska patientjournal via eget bredband. Av det skälet kan invånare endast logga in på 1177 Vårdguidens e-tjänster med mobilt BankID eller engångslösenord via sms.

Är det OK att använda vanlig mobiltelefoni för kommunikation mellan omsorg och brukare?

Lagen om elektronisk kommunikation (LEK) ställer krav på nät- och telefoni operatörer att säkerställa skyddad kommunikation. Någon nämnvärd behandling av personuppgifter sker inte, med undantag för vad som sparas i telefonen i form av telefonnummer. Det finns förstås risk att verksamheten ringer upp fel person eller brister i dokumentationen om att ett samtal har ägt rum. Därför måste rutiner finnas på plats för telefonkontakter av olika slag, där iakttagande av sekretess och dokumentation vid nyttjande av telefon betonas.

Informationsansvarig

  • Pani Hormatipour
    Handläggare

Kontakt

Välkommen att skicka din fråga till SKL!

Gäller din fråga arbetsrätt eller kollektivavtal/förhandling?

SKL:s rådgivning riktar sig till personalchefer och förhandlingschefer i kommuner och regioner. Om din fråga är på uppdrag av dessa behöver du ange det.








Hjälpte informationen på sidan dig?

Tack för att du hjälper oss!

Sidfot