Vem/Vilka som är personuppgiftsansvarig för behandling av personuppgifter i ett regionallt eller nationellt kvalitetsregister är uppdelat mellan två olika  juridiska personer (prop. 2007/08:126 s. 181-184)... 

  • först den som är personuppgiftsansvarig (PUA) -lokalt som är inrapporterande.
  • och därtill tillkommer den som är centralt personuppgiftsansvarig (CPUA), som hanterar de centrala hanteringen.

PUA CPUA small

Gemensamt för båda rollerna eller begreppen är att ansvaret enbart kan innehas av en juridiskperson.

PUA
Personuppgiftsansvarig (PUA) för registerting (inrapportering) av data till ett register är den lokala vårdgivare vars uppgifter inrapporteras. T.ex. framgår det att "varje myndighet inom hälso- och sjukvården eller en privat vårgivare är personuppgiftsansvarig för den behandling av personuppgifter som den utför". Det innebär att det är PUA som ansvarar för att alla personuppgifter hanteras korrekt i enlighet med bl.a. patientdatalagen och sekretesslagen vid inrapportering. PUA skulle mycket väl kunna kallas för lokalt PUA för att ytterligare förtydliga den lokala förankringen.


CPUA
Endast en eller flera myndigheter inom hälso- och sjukvården får hantera personuppgifter på den centrala register nivån. Undantag får lämnas av Datainspektionen till denna regel. För den centrala behandlingen är det den Centralt personuppgiftsansvarige (CPUA) som ansvarar för all hantering av data, till ansvaret hör bl.a. säkerhetsfrågor och att uppgifter i registret rättas om så behövs.

Att åta sig CPUA ansvaret för ett Nationellt eller regionalt kvalitetsregister måste ses som ett långsiktigt åtagande. Mot bakgrund av detta resonemang är det inte bra att byta CPUA utifrån att en ny registerhållare utses. Det är även viktigt att det finns en naturlig koppling mellan CPUA och registret ifråga. Som exempel på naturlig koppling kan nämnas samma myndighet som registerhållaren är verksam inom alternativ om kompetenscentrum finns inom en myndighet.

Att utse en CPUA handlar om att juridiskt fastställa vem som skall kunna ställas till svars och åläggas att betala eventuella skadestånd när och om något går fel.

 
Ett kvalitetsregister måste ha en CPUA. Är det inte klart vilken myndighet inom hälso- och sjukvården som är CPUA så skall den lokala PUA upphöra att lämna ut personuppgifter.

Rent formellt ställs inga krav på hur beslut om  CPUA skall dokumenteras men det är att föredra att ett formellt beslut fattas av aktuell styrelse, t.ex. landstingsstyrelsen ifråga. 

Se "Hur förhåller sig styrgruppens ansvar gentemot CPUA? " för en beskrivning av releationen CPUA och Styrgruppen för ett kvalitetsregister.

Se "Vilka regler finns kring informationen till registrerade? " för en beskrivning av ansvarsfördelningen mellan CPUA och PUA gällande informationen till den enskilde.

 

Tillbaka till toppen