Sök
Till Aktuellt
Publikation | 2026-04-15

Digitaliserad vård och hälsodata – en balansgång mellan innovation och integritet

Den digitala utvecklingen inom vård och omsorg har under de senaste åren accelererat kraftigt. Nya digitala vårdtjänster, appar och plattformar möjliggör effektivare patientkontakt, förbättrad uppföljning av behandlingar och ökad tillgänglighet till vård. Samtidigt innebär denna utveckling att stora mängder personuppgifter – inte minst uppgifter om hälsa – behandlas i allt fler sammanhang. För aktörer på marknaden uppstår därmed en komplex balans mellan affärsutveckling och regelefterlevnad.

För organisationer som verkar inom eller i anslutning till vårdsektorn är det avgörande att förstå den rättsliga ramen kring behandling av känsliga personuppgifter enligt dataskyddsförordningen (GDPR). Så sent som i augusti 2024 meddelade Integritetsskyddsmyndigheten beslut om sanktionsavgift mot två företag som överfört, bland annat, kontaktuppgifter till kunder, värdet på kundkorgar och information om vilka produkter som ingått i webbköp till en tredje part genom att ha använt analysverktyg för att förbättra sin marknadsföring.[1]

Uppgifter om hälsa – en särskild kategori med stränga krav

Enligt GDPR är behandling av särskilda kategorier av personuppgifter som huvudregel förbjuden. Till dessa kategorier hör bland annat uppgifter om hälsa. Uppgifter om hälsa ska ges en bred tolkning och omfattar uppgifter som rör alla aspekter av en persons hälsa, såväl fysisk som psykisk.[2]

Det är viktigt att understryka att det inte enbart är uppenbara medicinska uppgifter som omfattas. EU-domstolen har tydliggjort att även indirekta uppgifter – det vill säga uppgifter som genom slutsatser eller sammanhang kan kopplas till en persons hälsotillstånd – kan falla in under begreppet.[3] Som exempel har personuppgifter som lämnas i samband med onlinebeställningar av receptfria läkemedel ansetts utgöra uppgifter om hälsa, då det har varit möjligt att etablera ett samband mellan den beställda produkten, dess användning och en identifierad eller identifierbar person.[4]

Detta innebär att många verksamheter – även sådana som inte traditionellt betraktas som vårdgivare – kan komma att behandla känsliga personuppgifter utan att fullt ut vara medvetna om det.

Rättslig grund och undantag – inte alltid självklart

Eftersom behandling av hälsouppgifter som huvudregel är förbjuden krävs att något av undantagen i GDPR är tillämpligt. Inom vårdsektorn aktualiseras ofta undantag som rör medicinska ändamål, såsom diagnos, vård eller behandling, eller hantering av hälso- och sjukvårdssystem.

För andra aktörer – exempelvis bolag som utvecklar digitala hälsotjänster, e-handelsplattformar eller analysverktyg – är rättsläget ofta mer komplext. Samtycke kan i vissa fall vara en möjlig väg, men det ställer höga krav på att samtycket är frivilligt, informerat, specifikt, otvetydigt och möjligt att återkalla. I praktiken är det inte ovanligt att samtyckesbaserade lösningar ifrågasätts, särskilt när det finns en obalans mellan parterna eller när behandlingen är svår att överblicka för den registrerade. Därtill kan kravet på att den enskilde när som helst ska kunna återkalla sitt samtycke, med följd att personuppgiftsbehandlingen måste upphöra, medföra praktiska svårigheter för verksamheten. Samtycke är därför i många fall en olämplig grund.

Affärsintressen möter dataskydd – risker och möjligheter

Digitaliseringen av vården drivs i stor utsträckning av innovation och kommersiella intressen. Möjligheten att samla in, analysera och använda hälsouppgifter skapar betydande affärsvärden – från förbättrade tjänster och produkter till nya affärsmodeller. Samtidigt innebär detta en ökad regulatorisk risk när felaktig hantering av känsliga personuppgifter kan leda till ingripanden från tillsynsmyndigheter, sanktionsavgifter och inte minst förtroendeskador. Mot denna bakgrund blir ett strukturerat dataskyddsarbete en central del av verksamhetsstyrningen.

Att agera proaktivt och säkerställa regelefterlevnad i ett tidigt skede är ofta avgörande – både för att minimera risker och för att möjliggöra hållbar affärsutveckling. Vi har erfarenhet av att bistå klienter i gränslandet mellan digital innovation och dataskydd – från vårdgivare och e-hälsobolag till teknikleverantörer och plattformsaktörer. Om ni vill diskutera hur regelverket påverkar er verksamhet, eller behöver stöd i konkreta dataskyddsfrågor, är ni varmt välkomna att kontakta oss.

Fredrik Gustafsson
Partner
Mobil: 076-00 283 57
E-post: fredrik.gustafsson@tmpartners.se

Helena Brännvall
Partner
Mobil: 076-00 283 84
E-post: helena.brannvall@tmpartners.se

Anton Lindh Johansson
Associate
Mobil: 076 00 283 59
E-post: anton.lindh-johansson@tmpartners.se

Francisco Stråhle
Associate
Mobil: 076 00 283 21
E-post: francisco.strahle@tmpartners.se

 

[1] Integritetsskyddsmyndigheten beslut den 29 augusti 2024, IMY-2022-3270, s. 9.
[2] EU-domstolens dom den 6 november 2003, C-101/01, Lindqvist, punkt 50–51.
[3] EU-domstolens dom den 1 augusti 2022, C-184/20, Vyriausioji tarnybinés etikos komisija, p. 127.
[4] EU-domstolens dom den 4 oktober 2024, Mål C-21/23, Lindenapotheke, p. 83.

Relaterat
Global Finance Hackathon Tour (1)
Global Finance Hackathon Tour I Stockholm
Sommarens nyheter inom Tech – en överblick
EU:s Data Act – så förbereder ni er redan nu
Global Finance Hackathon Tour (1)
Global Finance Hackathon Tour I Stockholm
Sommarens nyheter inom Tech – en överblick
EU:s Data Act – så förbereder ni er redan nu
Cookie Policy
TM & Partners

För att göra denna hemsidas funktioner och information tillgängliga för dig använder vi oss av cookies. En cookie är en textfil som sparas på din enhet, förutsatt att du har godkänt det. För närmare information, vänligen se Cookie Policy.

Nödvändiga

Nödvändiga cookies sparar en anonym cookie lokalt på din enhet för att minnas om du avböjt eller accepterat övriga cookies.

Prestanda

Prestandacookies används specifikt för att samla in data om hur besökare använder en websida, vilka sidor som besöks mest frekvent och förekommande felmeddelanden. Den här sortens cookies övervakar endast websidans prestanda när besökaren interagerar med den. De samlar inte in identifierbar information om unika besökare, vilket betyder att samtliga data är anonym och endast används för att förbättra websidans funktionalitet.