Personuppgiftsbehandling och integritet med DignaCare-lösningen
SensCom AS levererar lösningen DignaCare. Det är en välfärdstekniklösning som meddelar omsorgspersonal när vårdtagare har behov av tillsyn och omvårdnad.
Sensorn samlar in data om fukt, temperatur, rörelse och position (uttryckt i x, y och z-koordinater) och kan läsa av om användaren står eller ligger ner. Dessa data förmedlas från sensorerna, via BLE (bluetooth-signaler) till en GW (gateway) som ger en säker signalöverföring till SensComs databas (molnlösning).
Molnlösningen drivs av Azure (Microsoft). I databasen behandlas och tolkas data via SensComs algoritmer. Algoritmerna utlöser under givna förutsättningar larm som förmedlas till omsorgspersonalen via en app eller ett larmgränssnitt på den aktuella institution som använder DignaCare-lösningen.
Illustration av den tekniska DignaCare-lösningen
De data som överförs är “rådata” i form av numerisk information (“datapaketet”). För att öka säkerheten håller SensCom på att införa kryptering av alla data enligt CRF21 Part 11. Inga personuppgifter eller identifierbara uppgifter skickas i datapaketet. Datapaketet identifieras endast genom ett unikt sensor-ID (MAC-adress) och ett GW-ID.
När SensCom ingår ett avtal med en institution om DignaCare ingår SensCom normalt ett personuppgiftsbiträdesavtal. Antingen direkt med personuppgiftsansvarig, vilken vanligtvis är den kommun där institutionen finns, eller med den som driver eller är ansvarig för institutionen (stiftelser eller privata aktörer på välfärdsmarknaden). SensCom kommer då att vara personuppgiftsbiträde. Alternativt ingår SensCom ett personuppgiftsbiträdesavtal med en leverantör av välfärdstekniklösningar som redan har ett sådant avtal med den driftsansvarige. SensCom ingår då ett avtal om personuppgiftsbehandling med leverantören och har rollen som underleverantör. I båda fallen åtar sig SensCom samma ansvar för att lagra, hantera och radera data.
De personuppgiftsbehandlingsavtal som används följer de normer och rekommendationer som norska Direktoratet för e-hälsa har utformat. Avtalen reglerar då parternas rättigheter och skyldigheter enligt följande lagar och förordningar:
- EU-förordning 2016/679/EC från den 27 april 2016 om skydd av fysiska personer i samband med behandling av personuppgifter och det fria flödet av sådana uppgifter (General Data Protection Regulation) (nedan benämnt “dataskyddsförordningen”);
- Lagen om hälsodataregister och behandling av hälsodata;
- Patientjournallagen; och
- Andra lagar, föreskrifter eller regelverk som förändrar eller ersätter dessa.
Om leveransen från SensCom upphör är SensCom skyldigt att möjliggöra och medverka till, beroende på databehandlarens val, att återföra eller radera alla hälso- och personuppgifter som SensCom vid den aktuella tidpunkten behandlar.