Publicerad 25 maj 2021

Genetiska uppgifter i kvalitetsregister

Genetiska uppgifter har genom GDPR tillkommit som en ny kategori av känsliga personuppgifter.

Genetiska uppgifter är, enligt GDPR, uppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om personens fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga (artikel 4.13 i GDPR).

Som känsliga personuppgifter räknas också enligt GDPR uppgifter om "hälsa".

Personuppgifter om hälsa innefattar alla uppgifter om en registrerad persons hälsotillstånd:

  • Information om personens tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd (detta inbegriper bland annat uppgifter som härrör från tester eller undersökningar av en kroppsdel eller kroppssubstans, däribland genetiska uppgifter och biologiska prov).
  • Andra uppgifter om exempelvis sjukdom, funktionshinder, sjukdomsrisk, sjukdomshistoria, klinisk behandling eller den registrerades fysiologiska eller biomedicinska tillstånd, oberoende av källan, exempelvis från en läkare eller från annan sjukvårdspersonal, ett sjukhus, en medicinteknisk produkt eller ett diagnostiskt in vitro-test (skäl 35 GDPR).

Patientdatalagen

Patientdatalagen reglerar behandling av personuppgifter i bl.a. kvalitetsregister.
Enligt patientdatalagen får endast uppgifter om "hälsa" registreras i ett kvalitetsregister.
Andra känsliga personuppgifter får behandlas i kvalitetsregister endast om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det (7 kap. 8 §). Det är Integritetsskyddsmyndigheten (IMY) som prövar sådana frågor.

Information från Datainspektionen

Det har varit en viss osäkerhet om GDPR innebär en begränsning för registrering av genetiska uppgifter i kvalitetsregister, då GDPR gör skillnad mellan uppgifter om "hälsa" och "genetiska uppgifter".

Om det är en begräsning skulle det innebära att centralt personuppgiftsansvariga myndigheter (CPUA-myndigheter) för kvalitetsregister måste ansöka om tillstånd hos Integritetsskyddsmyndigheten om att få behandla genetiska uppgifter.

Integritetsskyddsmyndigheten har dock publicerat ny information (juli 2018) om patientdatalagen med anledning av GDPR. Beträffande kvalitetsregister informerar Integritetsskyddsmyndigheten om följande:

"För att få behandla genetiska uppgifter i ett kvalitetsregister behövs därför som huvudregel ett medgivande från Integritetsskyddsmyndigheten. När genetiska uppgifter innefattas i uppgifter om en persons hälsotillstånd, är det Integritetsskyddsmyndighetens bedömning, att det inte krävs ett särskilt medgivande för att få behandla dessa uppgifter. Det innebär att den som är personuppgiftsansvarig för ett kvalitetsregister inte behöver ansöka om ett medgivande hos Integritetsskyddsmyndigheten för att få behandla genetiska uppgifter, om dessa uppgifter också är uppgifter om hälsa."

Observera att GDPR är ett EU-gemensamt regelverk som ska tillämpas och tolkas enhetligt inom EU. Integritetsskyddsmyndighetens tolkning kan därför komma att omprövas.

Patientdatalagen på Integritetsskyddsmyndighetens webb

Kontakt

Kontakta Nationella Kvalitetsregister

Här kan du kontakta stödfunktionen för Nationella Kvalitetsregister vid SKR.