Att hantera patientuppgifter på ett säkert och ansvarsfullt sätt är grundläggande för både patientsäkerheten och förtroendet för vårdens digitala system. Cambio arbetar inom ramen för svensk och europeisk lagstiftning och i nära samarbete med regioner och vårdgivare för att säkerställa att all information behandlas korrekt, skyddas från obehörig åtkomst och lagras på ett tryggt och spårbart sätt.
På den här sidan beskriver vi de viktigaste principerna för hur patientuppgifter hanteras, vem som ansvarar för informationen och vilka säkerhetsåtgärder som finns på plats för att skydda vårdens mest känsliga uppgifter.
Patientuppgifter hanteras enligt svensk och europeisk lag
Patientdata hanteras enligt några av Europas mest omfattande och strikta regelverk. Det innebär att all behandling av personuppgifter i våra system följer de lagar som styr hur information får hanteras. Patientdatalagen reglerar journalföring, sekretess och åtkomst, medan GDPR säkerställer individens integritet och rättigheter. Offentlighets‑ och sekretesslagen kompletterar detta genom att styra vilken information som är sekretessbelagd.
Tillsammans säkerställer dessa lagar att åtkomsten till patientuppgifter och andra personuppgifter är strikt behörighetsstyrd, att varje åtkomst loggas och att både tekniska och organisatoriska skydd håller en mycket hög nivå.
Åtkomst till patientuppgifter i Cosmic
COSMIC är utvecklat i enlighet med svenska krav för hantering av patientuppgifter. Åtkomst till information styrs av vårdrelation, användarens behörighet, organisatorisk tillhörighet och eventuella spärrar. Alla åtkomster loggas automatiskt.
Systemet använder kryptering, stark autentisering och behörighetsstyrda roller för att säkerställa att endast rätt användare får tillgång till rätt information. I kombination med regionernas ansvar som personuppgiftsansvariga och Cambios roll som personuppgiftsbiträde skapas en robust struktur som följer både svensk och europeisk lagstiftning.
Roller och ansvar – säker informationshantering enligt avtal
Varje region är personuppgiftsansvarig och äger all patientdata. Cambio behandlar endast information på uppdrag av regionen enligt tydliga personuppgiftsbiträdesavtal.
Åtkomst är alltid behörighetsstyrd, alla aktiviteter loggas och uppföljning sker löpande. Ingen extern aktör – inklusive ägare och investerare – kan få tillgång till patientinformation, vilket både tekniskt och juridiskt är förhindrat.
Vi kombinerar tekniska skydd, tydliga processer och strikt regelefterlevnad för att säkerställa att patientinformation alltid är skyddad. Arbetet kompletteras med kontinuerliga riskbedömningar och regelbunden uppföljning för att säkerställa en hög säkerhetsnivå.
Personuppgifter i supportflöden – inte att förväxla med patientuppgifter
I våra supportflöden kan vissa personuppgifter förekomma, det gäller namn och mejladresser till medarbetare hos regionerna. Dessa flöden kan visas för Cambios medarbetare i Sri Lanka. Det sker i ett begränsat antal tekniskt avancerade ärenden då våra mjukvaruutvecklare i Sri Lanka behöver bidra med fördjupad teknisk expertis. De arbetar enbart i en särskilt avgränsad och behörighetsstyrd del av ärendehanteringssystemet, helt separerat från COSMIC. Detta sker i enlighet med gällande avtal och dataskyddsregler.
Det är viktigt att skilja detta från patientuppgifter, som avser journalinformation och annan känslig data om en patients hälsa. Patientuppgifter visas inte i våra supportflöden.
Ägarstruktur och informationssäkerhet
Ägandet av Cambio påverkar inte hanteringen av patient- eller personuppgifter. Säkerheten styrs av vilka lagar som gäller, vem som är personuppgiftsansvarig, var data behandlas och vilka tekniska och organisatoriska skydd som finns.
Cambio följer svensk lagstiftning, europeisk dataskyddslagstiftning och regelverk för samhällskritisk infrastruktur. Det innebär att patientuppgifter och annan känslig information aldrig delas med våra ägare eller andra externa parter. Varken Investcorp eller andra investerare har åtkomst till våra system, vår drift eller någon form av patientdata.
Ägarna har en renodlad finansiell roll. Den operativa verksamheten, säkerhetsarbetet och all datahantering sker under strikt reglerade former och under tillsyn av svenska och europeiska myndigheter. Vårt journalsystem lyder under svensk och europeisk lagstiftning, inte under våra ägares jurisdiktion – vilket säkerställer att all patientdata alltid stannar inom Europa.