Företagshälsovården hanterar några av de mest känsliga personuppgifter som finns: hälsodata, sjukfrånvarohistorik, rehabiliteringsplaner och medicinska bedömningar. Ändå förlitar sig många leverantörer på system som inte byggdes med den här typen av data i åtanke. GDPR ställer tydliga krav — och konsekvenserna av bristande efterlevnad är kännbara.

Vilka krav ställer GDPR på företagshälsovård?

Hälsodata klassas som känsliga personuppgifter enligt artikel 9 i GDPR. Det innebär strängare krav än för vanliga kundregister:

Rättslig grund — ni måste kunna visa varför ni behandlar varje datapunkt
Dataminimering — samla bara in det som behövs för ändamålet
Lagringstider — radera data som inte längre har en rättslig grund
Registerförteckning — dokumentera all behandling av personuppgifter
Rätt till tillgång och radering — hantera förfrågningar från registrerade inom lagstadgad tid

I vår artikel om sjuk- och friskprocessen beskriver vi hur känslig data flödar mellan arbetsgivare, medarbetare och leverantör. Varje steg i den kedjan måste uppfylla GDPR — och systemet ni använder avgör om det är möjligt.

Svensk hosting — varför det spelar roll

När hälsodata lagras utanför EU/EES uppstår komplexa juridiska frågor kring tredjelandsöverföring. Även inom EU finns skillnader i hur dataskyddslagstiftning tillämpas. Svensk hosting innebär:

Inga tredjelandsöverföringar — data stannar inom svensk jurisdiktion
Tydligt regelverk — patientdatalagen och GDPR tillämpas direkt
Minskad risk — färre juridiska gråzoner vid tillsyn eller incidenter

Kryptering och åtkomstkontroll

Ett system som hanterar hälsodata måste ha flera säkerhetslager:

Kryptering i vila och under transport

All data ska vara krypterad — både när den lagras (at rest) och när den överförs (in transit). TLS 1.2 eller högre för transport. AES-256 eller likvärdigt för lagring.

Rollbaserad åtkomstkontroll

Inte alla användare ska se all data. En HR-chef behöver tillgång till aggregerad statistik, inte enskilda journaler. En arbetsmiljöingenjör behöver se riskbedömningar men inte medicinsk historik. Systemet ska stödja granulär behörighetsstyrning.

Loggning och spårbarhet

Varje åtkomst till känslig data ska loggas. Vid en tillsyn från IMY (Integritetsskyddsmyndigheten) måste ni kunna visa vem som har sett vad och när.

Checklista för ert system

Ställ dessa frågor till er systemleverantör:

Var lagras data fysiskt? Kräv svensk eller nordisk hosting.
Vilken krypteringsstandard används? Acceptera inget under AES-256 / TLS 1.2.
Finns rollbaserad åtkomst? Kontrollera att ni kan styra behörigheter per roll och funktion.
Loggas all åtkomst? Säkerställ att audit trails finns och är sökbara.
Hanterar systemet radering och gallring? GDPR kräver att data inte sparas längre än nödvändigt.

Funderar ni på att byta system? Vår checklista för systembyte inom företagshälsovård går igenom hur ni migrerar säkert utan att kompromissa med dataskyddet. Läs också mer om Portways säkerhetslösning och hur plattformens funktioner för företagshälsovård är byggda med GDPR som utgångspunkt.

Redo att ta nästa steg?

Vill ni veta hur Portway hanterar säkerhet och GDPR-efterlevnad i praktiken? Kontakta oss för ett samtal om era specifika krav, eller boka en demo för att se plattformen.