ID: 458360
Fråga nr 32
Hej,
Vi ser inte att ert PUB avtal tar höjd för att vi som företagshälsovård är personuppgiftsansvarig (PUA) i enlighet med Patientdatalagen i de fall vi behandlar era personuppgifter i vår roll som vårdgivare. Ert avtal behöver justeras för att reflektera detta. Hur kan detta hanteras?
Svar 2026-03-25
Ni har rätt i att för den behandling av personuppgifter som sker när leverantör agerar som vårdgivare åt regionens anställda är leverantör då självständig personuppgiftsansvarig enligt 2 kap. 6 § PDL och kan inte samtidigt vara personuppgiftsbiträde. Ett PUB‑avtal enligt art. 28 GDPR är därför inte rätt instrument för den vårdrelaterade behandlingen.
Vi kommer ändra vår skrivning gällande personuppgiftsbiträdesavtal i Avtalet till följande:
Behandling av personuppgifter ska ske i enlighet med vid var tid gällande svensk lagstiftning. Om det är aktuellt att skriva personuppgiftsbiträdesavtal ska leverantören skriva under respektive beställares avtal.
Om Leverantören anlitar en extern underleverantör för drift eller tillhandahållande av journalsystem, förutsätts att Leverantören – i egenskap av personuppgiftsansvarig för vårdrelaterad behandling – ingår erforderligt personuppgiftsbiträdesavtal med sådan underleverantör i enlighet med artikel 28 GDPR.