PUB-avtal

I de register som finns samlade hos UCR registercentrum hanteras stora mängder data knutna till enskilda personer och hanteringen av dessa data måste följa gällande lagar och regler.

Den som behandlar personuppgifter i sin verksamhet, bestämmer vilka uppgifter som ska behandlas och vad uppgifterna ska användas till kallas personuppgiftsansvarig och är i allmänhet en myndighet eller en juridisk person.

I ett nationellt kvalitetsregister är uppgiften som personuppgiftsansvarig uppdelad på två juridiska personer.

  • den som är inrapporterande lokalt (PUA)
  • den som sköter den centrala hanteringen (CPUA)

Gemensamt för båda rollerna eller begreppen är att ansvaret enbart kan innehas av en juridisk person.

PUA

Personuppgiftsansvarig (PUA) för inrapportering av data till ett register är den lokala vårdgivare vars uppgifter inrapporteras.

Det är PUA som ansvarar för att alla personuppgifter hanteras korrekt i enlighet med bland annat patientdatalagen och sekretesslagen vid inrapportering. PUA skulle mycket väl kunna kallas för lokalt PUA för att ytterligare förtydliga den lokala förankringen.

CPUA

Ett kvalitetsregister måste ha en centralt personuppgiftsansvarig (CPUA) och endast en eller flera myndigheter inom hälso- och sjukvården får hantera personuppgifter på den centrala registernivån. För den centrala behandlingen är det den CPUA som ansvarar för all hantering av data, till detta ansvar hör bland annat säkerhetsfrågor och att uppgifter i registret rättas om så behövs.

Det är utifrån CPUA som en styrgrupp för ett kvalitetsregister erhåller sitt mandat. Utifrån ändamålet med kvalitetsregister bör CPUA utforma mandat eller direktiv för styrgruppen att arbeta utifrån. Bland annat bör det tydligt framgå vilka befogenheter och ansvar som styrgruppen har.

PUB

Den som behandlar personuppgifter för den personuppgiftsansvariges räkning kallas personuppgiftsbiträde (PUB). Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation.

Personuppgiftsbiträdet får bara behandla personuppgifterna enligt givna instruktioner och riktlinjer från den personuppgiftsansvarige. Biträdet äger med andra ord inte rätt att lägga till eller dra ifrån något och bestämmer inte över ändamålet med behandlingen av personuppgifterna.

När det gäller registren som finns hos UCR har landstingsstyrelser rollen som centralt personuppgiftsansvarig (CPUA) medan UCR har rollen som personuppgiftsbiträde (PUB).

Det ska finnas ett skriftligt avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet. I avtalet, som kallas PUB-avtal, ska det tydligt framgå att personuppgiftsbiträdet bara får behandla personuppgifterna i enlighet med instruktioner från den personuppgiftsansvarige och att biträdet måste vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna.

För hjälp med att ta fram PUB-avtal, kontakta UCR.

För mer djupgående information om de lagar och regler som gäller för registerhållare, se Checklista för kvalitetsregister gällande lagar och regler samt under respektive länk.

 

Tillbaka till toppen