SEKRETESS

PATIENTDATA // TYSTNADSPLIKT // GRÄNSER

UTGÅNGSPUNKT

Sekretessen i vården är hårdare än i de flesta branscher

Vården hanterar känsligare information om människor än nästan alla andra samhällssektorer. Diagnoser, behandlingar, psykisk hälsa, sexuell hälsa, missbruk, sociala förhållanden — information som patienter delar i förtroende och som kan få allvarliga konsekvenser om den hamnar fel.

Det innebär att sekretessreglerna i vården är striktare än GDPR i sig. Patientdatalagen (PDL), offentlighets- och sekretesslagen (OSL) och hälso- och sjukvårdslagen reglerar alla vad du får dela, med vem och under vilka omständigheter.

Att mata in patientuppgifter i ett icke-godkänt AI-verktyg är ett brott mot dessa regler — oavsett om du gör det av okunskap eller i välmening.

SEKRETESSEN SKYDDAR PATIENTEN
DEN GÄLLER ÄVEN NÄR DU ANVÄNDER AI

ALDRIG

Detta ska du aldrig mata in i icke-godkänt AI-verktyg

Följande information är aldrig tillåten i AI-verktyg som inte explicit godkänts av din organisation för detta ändamål:

  1. Namn + medicinsk information i kombination — det räcker med att kombinera förnamn och diagnos för att det ska vara identifierande
  2. Personnummer — aldrig, under inga omständigheter
  3. Journaltext — även anonymiserade delar kan vara identifierande vid kombination
  4. Diagnoser kopplade till en individ — även utan namn
  5. Specifika symtom och behandlingar om de är identifierande i kombination
  6. Bilder på patienter — fotografier, röntgenbilder, videoinspelningar
  7. Röstinspelningar från patientmöten eller telefonsamtal
  8. Adresser och kontaktuppgifter
  9. Information om anhöriga kopplat till en patient
  10. Känsliga kategorier: psykisk hälsa, sexuell hälsa, missbruk, politiska åsikter

Tumregel:

Kan den här informationen identifiera en specifik person — direkt eller i kombination med annat? Om ja — mata inte in den.

VID MINSTA OSÄKERHET: DELA INTE

KRITISKT

ANONYMISERING

Hur du anonymiserar på rätt sätt

Att ta bort ett namn är inte alltid tillräckligt för att en text ska vara anonymiserad. En 78-årig kvinna med en sällsynt diagnos på en liten ort är identifierbar även utan namn.

Effektiv anonymisering för AI-användning:

  • Ta bort namn, personnummer och adress
  • Generalisera ålder (istället för 78 → "äldre patient")
  • Generalisera ort (istället för specifik by → "liten ort i norrland")
  • Ta bort sällsynta diagnoser eller ersätt med generell kategori
  • Ta bort kombinationer av uppgifter som tillsammans identifierar

Det enklaste testet: Skulle en informerad kollega kunna lista ut vem det handlar om? Om ja — anonymisera mer.

ANONYMISERING ÄR INTE BARA ATT TA BORT NAMNET
DET ÄR ATT GÖRA DET OMÖJLIGT ATT IDENTIFIERA

LAGSTIFTNING

Tre lagar du behöver känna till

Patientdatalagen (PDL) reglerar hur personuppgifter inom hälso- och sjukvård får behandlas. Den gäller specifikt för vårdgivare och är hårdare än allmän GDPR på flera punkter. Patientuppgifter får bara behandlas för ändamål som är direkt kopplade till vård.

Offentlighets- och sekretesslagen (OSL) innebär att uppgifter inom offentlig vård är sekretessbelagda. Att dela dem med ett externt AI-verktyg utan godkännande kan vara ett sekretessbrott.

GDPR gäller som en grundnivå för all behandling av personuppgifter — men i vården är PDL och OSL oftast mer restriktiva. GDPR är golvet, inte taket.

PDL + OSL + GDPR = TRE LAGER AV SKYDD FÖR PATIENTEN
ALLA TRE GÄLLER NÄR DU ANVÄNDER AI

JURIDIK

OFFENTLIGHETSPRINCIPEN

Kommunal vård och offentlighetsprincipen

Om du arbetar i kommunal vård eller omsorg (hemtjänst, äldreboende, LSS-verksamhet) gäller offentlighetsprincipen. Det innebär att dokument du skapar i tjänsten i princip kan begäras ut som allmänna handlingar.

Det påverkar AI-användningen på två sätt:

  • AI-genererade dokument i tjänsten är tjänstedokument — de kan begäras ut. Behandla dem därefter.
  • Konversationer med AI-verktyg i tjänsten kan potentiellt räknas som allmänna handlingar. Behandla dem som om de vore det.

Privat vård (privata vårdcentraler, privata äldreboenden) omfattas inte av offentlighetsprincipen — men PDL och GDPR gäller fullt ut.

KOMMUNAL VÅRD → OFFENTLIGHETSPRINCIPEN GÄLLER
PRIVAT VÅRD → PDL OCH GDPR GÄLLER

OM NÅGOT GÅR FEL

Vad gör du om du matat in fel information?

Om du inser att du av misstag matat in patientidentifierande information i ett icke-godkänt AI-verktyg:

  1. Stäng konversationen omedelbart
  2. Rapportera till din chef samma dag
  3. Dokumentera vad som hände, när och vad som matades in
  4. Följ din organisations rutin för dataskyddsincidenter

GDPR kräver att dataskyddsincidenter rapporteras till Integritetsskyddsmyndigheten (IMY) inom 72 timmar om de riskerar att påverka enskildas rättigheter. Din organisation har en rutin för detta — känner du inte till den, fråga chefen.

MISSTAG HÄNDER — RAPPORTERA OMEDELBART
TYSTNAD FÖRVÄRRAR ALLTID SITUATIONEN

RUTIN

NÄSTA STEG

ETIK OCH JURIDIK // ANSVAR OCH PATIENTLAGEN