Trygg hantering av personuppgifter på äldreboendet

Att hantera personuppgifter på ett tryggt och lagligt sätt är en grundläggande del av verksamheten på äldreboendet. Personuppgifter finns i många olika sammanhang, både i digital och fysisk form. Därför är det avgörande att medarbetare förstår vad som gäller enligt dataskyddsförordningen (GDPR) och hur man kan undvika vanliga misstag.

Vad är en personuppgift?

Personuppgifter är all information som kan kopplas till en enskild individ. På ett äldreboende kan det exempelvis vara:
- Namn, personnummer och kontaktuppgifter till boende, närstående och personal.
- Hälsouppgifter och medicinsk information i patientjournaler.
- Social dokumentation om den boendes omsorg och behov.
- Fotografier och videoklipp där en person går att identifiera.
- Lösenord och inloggningsuppgifter till interna system.

Risker med felaktig hantering av personuppgifter

Om personuppgifter hanteras felaktigt kan det leda till att känslig information sprids eller hamnar i orätta händer. Några vanliga misstag som kan utgöra överträdelser av GDPR är:
- Obehörig åtkomst till journaler: Personal som inte har vårdrelation med en boende får inte läsa dennes journal. Exempelvis får en undersköterska på en avdelning inte gå in i en annan avdelnings journaler utan särskild anledning.
- Samtal om boende i olämpliga sammanhang: Diskussioner om en boendes hälsa i personalrummet, hissar eller korridorer där obehöriga kan höra är ett brott mot tystnadsplikten.
- Personuppgifter på olämpliga platser: Pappersdokument med känslig information som ligger framme på skrivbord eller i öppna pärmar kan lätt hamna i orätta händer.
- Obevakade datorer och skärmar: En dator eller surfplatta där journaler eller social dokumentation är öppna får aldrig lämnas obevakad.
- Utskick med känsliga uppgifter: E-post med hälsouppgifter eller personnummer som skickas utan kryptering kan vara en GDPR-överträdelse.
- Förvaring av onödiga personuppgifter: Gamla listor över boende, tidigare anställda eller kontaktpersoner som inte längre behövs ska raderas enligt fastställda rutiner.

Vad säger lagen?

Dataskyddsförordningen (GDPR) är överordnad annan lagstiftning när det gäller hantering av personuppgifter. Men inom hälso- och sjukvården samt socialtjänsten kompletteras GDPR med specifika lagar som:
- Patientdatalagen – reglerar hur patientuppgifter ska hanteras och journalföras.
- Socialtjänstlagen – styr hur dokumentation inom äldreomsorgen ska hanteras.
- Offentlighets- och sekretesslagen – anger att uppgifter om enskilda boende omfattas av sekretess.

Så säkerställer äldreboendet en trygg hantering av personuppgifter

För att undvika att personuppgifter hanteras fel behöver äldreboendet arbeta systematiskt med säkerhet och dokumentation. Här är några viktiga åtgärder:

Dokumentera var personuppgifter finns  
Alla system, mappar och pärmar där personuppgifter hanteras bör dokumenteras i ett personuppgiftsregister. Detta inkluderar både digitala och fysiska dokument.

Begränsa åtkomsten  
Endast de som behöver en viss uppgift för att utföra sitt arbete ska ha tillgång till den. Detta gäller framför allt journalsystem där varje medarbetares behörighet ska vara anpassad till deras arbetsuppgifter.

Förvara uppgifter säkert  
Pappersjournaler och andra dokument med känsliga uppgifter ska förvaras i låsta skåp. Datorer och surfplattor som används för att läsa journaler ska alltid vara låsta när de inte används.

Tydliga rutiner för radering  
Personuppgifter får inte sparas längre än nödvändigt. Äldreboendet ska ha rutiner för att radera eller gallra personuppgifter som inte längre behövs.

Utbilda medarbetarna  
Alla medarbetare ska ha grundläggande kunskap om GDPR och vad som gäller vid hantering av personuppgifter. Nya medarbetare ska få utbildning i detta vid introduktionen.

Förebygga felhantering  
Genom regelbunden uppföljning och intern kontroll kan verksamheten säkerställa att inga brister finns i hanteringen av personuppgifter.

Reflektionsfrågor - Personuppgifter

Undersköterska och vårdbiträde:  
- Finns det risk att någon obehörig får tillgång till personuppgifter på er enhet?  
- Finns det personuppgifter någonstans där de inte behövs?  

Chef, sjuksköterska, arbetsterapeut och fysioterapeut:  
- Har ni dokumentation över var personuppgifter förvaras?  
- Förvaras de så att obehöriga inte kan komma åt dem?  
- Har ni även noterat var ni har uppgifter om medarbetare och närstående?  

Boende och närstående:  
- Är verksamheten bra på att hålla personuppgifter skyddade?  

Erland Olsson
Medicinskt ansvarig sjuksköterska
Sofrosyne - Bättre vård varje dag