/
Verksamhetsramverk för användning av personens kontaktuppgifter i Personuppgiftstjänsten

Verksamhetsramverk för användning av personens kontaktuppgifter i Personuppgiftstjänsten

Owned by Fredrik Ekman
Last updated: feb. 17, 2025 by Fredrik Ekman
24 min read

 

1         Revisionshistorik 

Datum 

Ver. 

Namn 

Kommentar 

2018-09-03 

PA1 

Björn Skeppner 

Första utkast, struktur etc 

2018-09-18 

PA2 

Lena Jönsson 

 

2018-09-19 

PA3 

Björn Skeppner 

Diverse kompletterande text i kap 6 & 7 

2018-09-25 

PA4 

Björn Skeppner 

Justerat efter kommentarer etc samt lagt till regler för vårdnadshavare 

2018-10-01 

PA5 

Björn Skeppner 

Justerat efter kommentarer från bl.a Malin Nyman 

2018-10-12 

PA6 

Björn Skeppner 

Justerat efter kommentarer av Per M 

2018-10-22 

PA7 

Björn Skeppner 

Justerat efter avstämningsmöte 

2018-11-13 

PA8 

Björn Skeppner 

Justerat efter intern genomgång samt synpunkter från Östergötland  

2018-12-05 

PA8 

Björn Skeppner 

Justerat efter synpunkter från Skåne 

2019-02-05 

PA09 

Björn Skeppner 

Justerat efter synpunkter från SLL och Dalarna (några utestående frågor återstår) 

2019-02-26 

1.0 

Björn Skeppner 

Justerat efter kommentarer från Ineras S-råd 

2019-04-08 

1.1 

Björn Skeppner 

Smärre justeringar under Referenser 

2020-01-15 

1.2 

Björn Skeppner 

Infogat innehållsförteckning samt rättat brusten länk 

2020-03-04 

1.3 

Björn Skeppner 

Kompletterat med regler för uppdatering (Ineras support), sms-nummer samt kap 6.2 om cachning/lagring & smärre justeringar 

2020-04-28 

1.4 

Björn Skeppner 

Förtydligat kring samtyckeshanteringen, punk 9 

2021-01-25 

1.5_RC 

Björn Skeppner 

Kompletterat efter ett arbete av en arbetsgrupp, se Trello:   

2021-04-15 

1.5 

Björn Skeppner 

Justerad mest språkligt och bättre läsbarhet efter kommentarer 

2021-07-27 

1.6_RC1 

Björn Skeppner 

Kompletterat med information kring 1177´s regelverk/algoritm om hur kontaktuppgifter förs in i Personuppgiftstjänsten för att förtydliga hur kontaktuppgifterna kan komma att delas med andra verksamheter (kap 6.2.1 samt kap 9). 

2021-08-15 

1.6_RC2 

Björn Skeppner 

Förtydliga kap 6.2.1 kring samtycke till delning av kontaktuppgifter 

2021-08-27 

1.6_RC3 

Björn Skeppner 

Lagt till en mening i kap 6.2.1 om förekomsten av kontaktuppgifter genom samtycke samt personens möjlighet att ta bort sina kontaktuppgifter.  

2021-09-06 

1.6_RC4 

Björn Skeppner 

Lagt till kapitel 6.2.2 om möjligheten för en person att ta bort sina kontaktuppgifter från Ineras Personuppgiftstjänst 

2021-11-01 

1.6 

Björn Skeppner 

Smärre textjustering samt klargjord för release. 

2023-05-18 

2.0 

Björn Skeppner 

Infört begränsningar i vilka kontakttyper och hur många kontaktuppgifter som får användas 

2023-10-xx 

2.1 

Jimmy Fridh 

Kompletterat beskrivningar av begränsningar av användandet av kontaktuppgifter 

2025-02-13

3.0

 PU förvaltningen

Uppdaterat ramverk i samverkan med Personuppgiftstjänstens samverkansgrupp.

Tydliggjort bland annat,

  • Syftet med kontaktuppgifter.

  • Format på telefonnummer och e-post.

  • Vilka attribut som ska och hur de ska användas vid hämtning och lagring av information i PU tjänsten.

 

 

2         Inledning 

Detta ramverk har tagits fram för att ge verksamheter stöd för hur de kan och får använda de kontaktuppgifter som finns lagrade i Personuppgiftstjänsten tjänsten.  

Via ett anslutet verksamhetssystem, till exempel 1177 kan en person välja att komplettera sina folkbokföringsuppgifter med kontaktuppgifter, e-postadress och telefonnummer. De kontaktuppgifter som läggs in i tjänsten blir sedan tillgängliga för andra verksamheter så att de på ett enklare och effektivare sätt kan komma i kontakt med individen utan att behöva använda den vanliga postgången.  

En förutsättning för att samla in kontaktuppgifter i PU tjänsten är att personen ifråga samtycker till detta genom acceptera att uppgifterna även kan komma att användas av andra offentligt finansierade verksamheter främst inom hälso- och sjukvården som också är anslutna till PU tjänsten.

Ramverket har tagits fram iterativt inom en arbetsgrupp (se nedan). Därefter har ramverket ytterligare kompletterats och fastställts av en referensgrupp sammansatt för ändamålet. Ramverket har 2024 uppdaterats av deltagare i Personuppgiftstjänstens Samverkansforum  

För mer information om personuppgiftstjänsten, se: Personuppgiftstjänsten    

Vi vilja tacka följande personer som deltagit med sina kunskaper och erfarenheter: 

Namn 

Martin Lemoine, Evry 

Christel Bengtner, 1177 

Frida Molleryd, 1177 

Lena Jönsson, LT Dalarna 

Malin Nyman, LT Skåne 

Christina Nilsson, LT Blekinge 

Björn Skeppner, Inera 

Per Mützell, Inera 

Malin Ljunggren, Inera 

Med flera... 

 

 

3        Syfte 

Syftet med detta ramverk är att ge offentligt finansierade verksamheter inom hälso- och sjukvård, smittskydd och tandvård stöd i hur de får behandla kontaktuppgifter i Personuppgiftstjänsten. 

Alla kontaktuppgifter som finns i tjänsten har samlats in genom ett samtycke där personen i fråga medger att verksamheter vid behov får använda uppgifterna för att kontakta personen, till exempel skicka en kallelse via sms, e-post eller ringa personen, självklar måste det föreligga ett verksamhetsbehov innan kontaktuppgifterna får användas.  

Utöver samtycket som har inhämtas inom ramen för Dataskyddsförordningen (GDPR) finnas även krav på vad som får kommuniceras och hur, till exempel måste digital kommunikation av känsliga personuppgifter ske krypterat och eventuella kallelser via sms eller e-post bör inte innehålla avslöjande information om vad ärendet rör sig om. 

Ramverket ska således stödja verksamheterna att följa de regulatoriska krav som finns så att personens integritet alltid skyddas. 

Ramverket ska även ge stöd åt verksamheterna hur de lämpligast ska kommunicera med en person, både vad gäller känsliga personuppgifter enligt GDPR men även andra typer av uppgifter som också kan vara känsliga till exempel personliga förhållanden. 

Ramverket beskriver kortfattat de regulatoriska krav som finns gällande hantering av personuppgifter, till exempel GDPR (dataskyddsförordningen), olika registerlagstiftning och myndigheters föreskrifter, till exempel HSLF-FS 2016:40 och hur de påverkar möjligheten för verksamheterna att nyttja kontaktuppgifterna i syfte att kontakta en person  

 

4    Avgränsning 

Verksamhetsramverket är främst utformat för att stödja hälso- och sjukvårdens användning av kontaktuppgifter men att kontaktuppgifterna även kan användas av andra verksamheter som exempelvis vissa kommunala verksamheter inom vård och omsorg (regleras i avtal) 

 

Behandlingen av kontaktuppgifterna baseras på det samtycke som personen ger innan uppgifterna registreras i Personuppgiftstjänsten. Syftet med behandlingen, som anges i samtycket, får inte på något sätt avvika från det som ursprungligen angivits. 

Ramverket ger stöd och exempel på tolkning av de regulatoriska krav som finns för hantering av en persons kontaktuppgifter.
Verksamheten som nyttjar kontaktuppgifterna är dock alltid ytterst ansvarig för behandlingen samt att inga känsliga personuppgifter kommer obehörig tillhanda.  

Ramverket ger endast exempel på klartextmeddelanden. Verksamheterna är fria att utforma dem efter eget behov, förutsatt att de ej röjer en persons hälsotillstånd eller andra personliga förhållanden. 

Under vissa förhållanden kan en verksamhet välja att lagra kontaktuppgifter hämtade från Personuppgiftstjänsten lokalt, till exempel i verksamhetens IT-stöd. Ett sådant beslut behöver föregås av en riskanalys samt framtagna rutiner hur det ska hanteras. 

 

5        Termer och begrepp 

Begrepp 

Innebörd 

Anhörig 

Begreppet anhörig innebär släktskap eller något legalt förhållande till huvudmannen (maka/make/sambo). Inom hälso- och sjukvården utgår man inte ifrån anhörigbegreppet utan istället används begreppet närstående, dvs en person som utifrån den enskildes synvinkel står patienten nära. En närstående behöver således inte vara anhörig och en anhörig behöver inte vara närstående. Barn företräder således inte sina föräldrar och föräldrar inte heller sina myndiga barn - såvida de inte är närstående enligt huvudmannens egen definition. Närstående har i första hand funktionen som beslutsstöd, dvs de kan berätta om vad de vet om patientens inställning - men de kan till exempel inte avge ett samtycke för patientens räkning. 

Avisering 

Ett meddelande med en hänvisning till att det finns mer information på en annan kanal (Meddelandetjänst), ex på 1177 eller Kivra 

Aviseringsväg 

Digitalt kommunikationssätt (e-post, sms etc) som kan användas för att avisera ett meddelande. En aviseringsväg kan användas dels för Aviseringar, dels att skicka ett Klartextmeddelande 

Betrodd e-postserver 

En e-postserver som normalt förvaltas av- eller på uppdrag av verksamheten och är den som verksamheten nyttjar för att skicka Meddelande såsom e-post. 

Betrodd sms-tjänst 

Som ovan fast för sms 

Digitalt meddelande 

Ett meddelande som skickas via någon form av ”digital kanal” (e-post och sms) se Meddelande 

e-postdomän 

Tillhandahållare av e-post. Exempelvis gmail.com, http://outlook.com . http://inera.se , sll.se etc.  

e-Tjänst/Verksamhetssystem 

Ett digitalt system. En e-Tjänst är i ramverkets kontext relevant om den integreras mot Personuppgiftstjänsten för att använda funktionaliteten för kontaktuppgifter som där erbjuds. En sådan e-Tjänst kan vara ett verksamhetssystem som används av Verksamheter eller ett system som används av privatpersoner (till exempel 1177). 

Klartextmeddelande 

Ett meddelande som sänd eller lagras okrypterat. Ett Klartetxtmeddelande får ej innehåller Känsliga personuppgifter. 

Exempel på lämpligt meddelande ”Välkommen till ditt bokade hälso- och sjukvårdsbesök <datum> kl <tid>” 

Kontaktuppgifter 

Uppgifter såsom e-postadresser och mobilnummer till personen, eller av personen utpekade kontaktpersoner (t ex vårdnadshavare, partner eller andra närstående), god man/förvaltare etc. Uppgifterna bör anges av personen själv, till exempel via 1177 eller via en verksamhetsperson efter personens samtycke. 

Kontaktpersoner 

Av personen utsedda som möjliga att kontakta, ex make/maka/sambo, närstående etc.  
En kontaktperson ska normalt användas när personen själv ej är kontaktbar eller efter personens godkännande. 

Känsliga personuppgifter 

Med känsliga personuppgifter, enligt dataskyddsförordningen GDPR, menas uppgifter om 

  • ras eller etniskt ursprung 

  • politiska åsikter 

  • religiös eller filosofisk övertygelse 

  • medlemskap i en fackförening 

  • hälsa 

  • en persons sexualliv eller sexuella läggning 

  • genetiska uppgifter och 

  • biometriska uppgifter som entydigt identifierar en person. 

Det finns även andra typer av personuppgifter som är särskilt skyddsvärda. Det kan till exempel vara 

  • löneuppgifter 

  • uppgifter om lagöverträdelser 

  • värderande uppgifter, till exempel uppgifter från utvecklingssamtal, uppgifter om resultat från personlighetstester eller personlighetsprofiler 

  • information som rör någons privata sfär 

  • uppgifter om sociala förhållanden.  

Legal företrädare 

God man, förvaltare, vårdnadshavare. Dessa personers mandat beskrivs i föräldrabalken 

Meddelande 

Meddelandet som kan skickas till personen kan utgöra 2 typer: 

  • Ett meddelande i klartext (se Klartextmeddelande) 

  • En avisering, dvs ett meddelande med en hänvisning till att det finns mer information på en annan kanal (Meddelandetjänst), ex på 1177 eller Kivra (se Avisering) 

Meddelandetjänst 

En säker meddelandetjänst i vilken en person måste logga in med Stark autentisering för att kunna läsa sina meddelande. T.ex. Kivra, Mina meddelanden, 1177 Meddelanden etc. 

Navet 

Skatteverkets tjänst för att till myndigheter tillhandahålla folkbokföringsuppgifter. 

Närstående 

Person som den enskilde personen anser sig ha en nära relation till, att det är personens upplevda relation. En närstående behöver inte vara släkt eller stå i något legalt förhållande till personen. Begreppet närstående utgår ifrån personens synvinkel och är således inte samma sak som anhörig. 

Personuppgiftstjänsten (PU-tjänsten) 

Infrastruktur tjänst från Inera som hanterar personuppgifter från Skatteverket (Navet), personens kontaktuppgifter och reservidentiteter. 

På Ineras hemsida finns mer information om Personuppgiftstjänsten  
(https://www.inera.se/personuppgiftstjansten). 

Person 

En person som finns i Personuppgiftstjänsten registrerad på ett personnummer eller samordningsnummer eller reservidentitet.

Personidentifierare 

En identitetsbeteckning för att identifiera en person. Exempelvis personnummer, samordningsnummer, reservidentitet. 

Personliga förhållanden 

Personliga förhållanden är ett begrepp som rymmer det mesta som kan kopplas till en enskild människa. Uppgifter om bostadsadress, sjukdomstillstånd och ekonomi är exempel på personliga förhållanden. 

Personuppgiftsansvaret 

För uppgifter som lagras i Personuppgiftstjänsten (tjänsteproducenten) och inhämtats från Skatteverket Navet gäller att det landsting/region (huvudman för hälso- och sjukvård) som beställt uppgifterna från Skatteverket är personuppgiftsansvarig. 

För uppgifter som lagras i Personuppgiftstjänsten utöver folkbokföringsuppgifterna som beställts från Skatteverket, t.ex kompletterande adressuppgifter, kontaktuppgifter m.m. är det landsting/region där personen är folkbokförd i som är personuppgiftsansvarig. I de fall uppgifterna anges av en verksamhetsperson, med personens samtycke, så blir verksamhetspersonens uppdragsgivare därmed personuppgiftsansvarig (dvs landsting/region/kommun/privat underleverantör). 

Sekretess 

Ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt. 

Sekretessreglerad uppgift 

En uppgift för vilken det finns en bestämmelse om sekretess, exempelvis är uppgifter om enskilds hälsotillstånd eller andra personliga förhållanden, sekretessreglerade enligt 25 kap 1§ OSL. Uppgifter inom socialtjänsten om enskilds personliga förhållanden omfattas av sekretessreglering 26 kap 1§ OSL 

Sekretessbrytande bestämmelse 

En bestämmelse som innebär att en uppgift får lämnas ut, trots sekretess, under vissa förutsättningar 

Skyddade personuppgifter 

Personer som är utsatta för ett allvarligt och konkret hot kan ansöka om skyddade personuppgifter hos Skatteverket. Personerna kan exempelvis vara utsatta för våld, hot om våld, förföljelse eller andra trakasserier. Det finns tre typer av skyddade personuppgifter eller skyddad identitet som kallas: sekretessmarkering, Skyddad folkbokföring (kvarskrivning) och fingerade personuppgifter. De myndigheter som hanterar skyddade personuppgifter ska alltid göra en särskilt noggrann prövning innan uppgifterna lämnas ut.   

Skyddad folkbokföring 

En person som har beviljats skyddad folkbokföring fr o m 2019-01-01 har ett starkare sekretesskydd, jämfört med den person som endast beviljats en sekretessmarkering. Uppgift om adress kommer inte att finnas på personen utan endast en särskild postadress, på samma sätt som personer med kvarskrivning fått sin adress hanterad tidigare. De kommer att vara folkbokförda ”på kommunen”, vanligtvis i den kommun de senast var bosatta i. 

Stark autentisering 

Flerfaktorsautentisering med minst 2 faktorer, t.ex en inloggning med en e-legitimation och en pinkod 

Svartlistning 

Är en förteckning över identiteter (sms-nummer eller e-postdomäner) som anses som ej lämpliga att använda för att skicka ut Meddelanden till.  
Not: På internet kan man finna "publika" register över både svartlistade e-postdomäner och mobilnummer. 

Verksamhet 

Inom denna kontext en verksamhet som är inom landsting, kommuner och privata vårdgivare som är offentligt finansierade. 

Vitlistning 

Är en förteckning över identiteter (sms-nummer och/eller e-postdomäner) som är godkända av verksamheten att skicka ut Meddelanden till. 

Vårdgivare 

Region och kommun i fråga om sådan hälso- och sjukvårdsverksamhet som myndigheten, region eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet (privat vårdgivare). 

Vårdnadshavare 

Vårdnadshavare är den eller de personer som har den rättsliga vårdnaden (det vill säga är juridiskt ansvariga) för ett barn. Det kan antingen vara en eller båda föräldrarna eller en person utsedd av domstol. 

 

6        Förutsättningar 

I detta avsnitt beskrivs information som påverkar användningen av en persons kontaktuppgifter.
Först beskrivs kort vilka regulatoriska krav som påverkar, därefter definieras de olika meddelandetyperna som kan komma i fråga vid användning av personens kontaktuppgifter. 

 

6.1        Regulatoriska krav 

Här beskrivs kortfattat ett antal lagar, föreskrifter och riktlinjer som kan påverka hantering av en persons personuppgifter. 

 

Lagar, föreskrifter och riktlinjer 

Innebörd 

Patientdatalag (SFS 2008:355) och Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40) 

Föreskriver bl.a att personuppgifter ska utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras. Dokumenterade personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem. 

En vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. I landsting och kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. 

Uppställer bl.a krav på att personal som använder IT-stöd för åtkomst till patientuppgifter ska vara identifierade genom stark autentisering. 

Dataskyddsförordningen (EU 2016/679) [R6], GDPR 

Principerna innebär bland annat att den som är personuppgiftsansvarig 

  • måste ha stöd i dataskyddsförordningen för att få behandla personuppgifter 

  • endast får samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål 

  • inte ska behandla fler personuppgifter än vad som behövs för ändamålet 

  • ska se till att personuppgifterna är riktiga 

  • ska radera personuppgifterna när de inte längre behövs 

  • ska skydda personuppgifterna, till exempel så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs 

  • ska kunna visa att och hur de lever upp till dataskyddsförordningen 

Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning 

Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning (GDPR) 

Offentlighets- och sekretesslag (OSL) 

Denna lag innehåller bestämmelser om myndigheters och vissa andra organs handläggning vid registrering, utlämnande och övrig hantering av allmänna handlingar. 

 

6.2       Tekniska förutsättningar för åtkomst till kontaktuppgifter 

För att en verksamhet ska få åtkomst till kontaktuppgifter måste ett verksamhetssystem vara anslutet till Personuppgiftstjänsten via tjänstekontrakt [2]. 

Verksamhetssystemet i sig ska ha stöd för att personuppgifter hanteras på ett korrekt sätt och att inte fler personuppgifter än vad som är nödvändigt behandlas.  

 

Behörig personal kan på uppdrag av aktuell person ges tillåtelse att rätta eller ändra dennes kontaktuppgifter, bör dock göras med viss försiktighet. Många gånger kan det vara bättre att ta bort uppgifterna för att sedan be personen i fråga att själv gå in via 1177 och lägga till korrekta uppgifter.  

Ett verksamhetssystem som konsumerar kontaktuppgifterna ska normalt ej lagra informationen i sitt lokala system utan vid behov hämta uppgifterna från PU tjänsten. Om behov finns av lokal lagring behöver verksamheten bland annat ta ställning till hur ofta personuppgifterna behöver uppdateras för att alltid vara aktuella. Ett exempel är om en personpost av någon anledning blir skyddsmarkerad måste det lokala verksamhetssystemet få kännedom om detta inom rimlig tid (1dygn) men det är även viktigt att även kontaktuppgifter är uppdaterade innan kommunikation sker. Det är verksamhetens ansvar att lokalt lagrade personuppgifter håller hög aktualitet. 

För skyddsmarkerade personuppgifter finns det tekniska begränsningar som gör att Personuppgiften via de grundläggande tjänstekontrakten ej lämnar ut Kontaktuppgifter. I de fall behov finns att ta del av skyddsmarkerade personuppgifter finns speciellt framtagna (utökade) tjänstekontrakt. Dessa utökade tjänstekontrakt bör användas väldigt restriktivt och innan beslut tas om användning bör minst en behov- och riskanalys ha genomförts.   

Ett verksamhetssystem som tillhandahåller möjlighet att administrera kontaktuppgifter, ska så långt det är möjligt säkerställa att kontaktuppgifterna stämmer. Det kan göras genom att till exempel be personen att skriva in kontaktuppgifterna i två olika fält för att på så sätt säkerställa att det inte skett någon felskrivning, systemet bör även göra en formatkontroll på de inmatade värdena.  

Generella riktlinjer 

  • e-Tjänsten ska säkerställa att en e-postadress har rätt format och enbart innehåller tecken enligt RFC 2832

  • e-Tjänsten ska säkerställa att ett telefonnummer följer ITU-standarden E.164–3, vilket innebär följande format +4612345678 

  • e-Tjänsten ska kontrollera om personen har en Sekretessmarkering eller Skyddad folkbokföring. Om så är fallet bör ej e-Tjänsten tillåta inmatning av kontaktuppgifter. 

 

6.2.1      Förutsättningar för att lagra personens kontaktuppgifter 

Ett verksamhetssystem som är kopplat till Personuppgiftstjänsten och används för att uppdatera en persons kontaktuppgifter ska tydligt informera om att detta sker med personens samtycke. Samtyckets innebörd ska vara att kontaktuppgifterna endast får användas inom offentligt finansierad hälso-och sjukvård, tandvård och smittskydd i samband med att en vårdgivare har ett verksamhetsbehov av att kontakta personen samt att kontaktuppgifterna därmed tillgängliggörs för andra anslutna verksamheter (idag primärt inom hälso- och sjukvården).

Ett exempel på teknisk lösning är 1177 där inloggad person dels matar in kontaktuppgifterna (lokalt i 1177), dels för att de ska överföras till Personuppgiftstjänsten även klickar i en kryssruta där personen ger sitt samtycke till att kontaktuppgifterna kan användas av andra verksamheter inom ramen för samtycket.  

 

6.2.2       Förutsättningar för personens möjlighet att redigera/ta bort sina kontaktuppgifter 

De verksamhetssystem som är anslutna till Personuppgiftstjänsten och som möjliggör lagring av kontaktuppgifter i Personuppgiftstjänsten bör ha stöd för en personens möjlighet att på egen hand eller med hjälp av en administratör redigera och ta bort sina kontaktuppgifter (återkalla samtycket) alternativt hänvisa till 1177. 

Verksamhetssystem som enbart lagrar kontaktuppgifter lokalt bör även de informera personen hur kontaktuppgifterna kan komma att användas. 

 

6.2.3       Begränsningar gällande vilka kontakttyper som får användas 

För att hanteringen av nationella kontaktuppgifter ska fungera finns det vissa begränsningar gällande vilka typer av kontaktuppgifter som får användas och hur de får hanteras. 

Ramverk anger endast följande tillåtna kontaktuppgifter/kontakttyper: 

Typ av kontaktuppgift 

Användning 

Kommentar 

sms 

Denna kontaktuppgift anger ett telefonnummer, som kan vara ett mobiltelefonnummer eller ett fast telefonnummer. Telefonnumret kan användas av verksamheter för att ringa eller för att skicka sms till personen. 

En förutsättning för att få skicka sms via telefonnummer är att flaggan digital avisering  (se digitalNotification, ref [2], kap. ContactInformationType) är satt på den aktuella kontaktuppgiften.      

 

OBS! Ett telefonnummer ska lagras som typ “sms”. Detta för att på så sätt undvika att redan anslutna system ska behöva ändra Typ samt att all lagring av telefonnummer blir enhetligt. Användning av typ sms begränsar inte anslutna verksamheter att ringa personen. 

email 

Denna kontaktuppgift anger en e-postadress, vilken kan användas av verksamheter för att kontakta personen via e-post 

 

 

Obs! Genom anslutna tjänstekontrakt finns det teknisk möjlighet att använda flera olika kontakttyper, registrera flera uppgifter av samma typ och prioritera mellan dessa. I praktiken är blir det dock svårt för anslutna verksamhetssystem att implementera en fungerande logik för detta, vilket har lett till införandet av dessa begränsningar. 

 

Ramverket tillför en mjuk regel som begränsar användningen till endast ett telefonnummer och/eller en e-postadress per identitet. Om behov finns att registrera fler kontaktuppgifter ska detta ske i det lokala verksamhetssystemet. 

 
6.3       Tekniska förutsättningar för att skicka Meddelande 

De tekniska förutsättningarna för en verksamhet att kunna skicka ett Meddelande kan variera.  

De aviseringsvägar som för närvarande är lämpliga att skicka Meddelande (Avisering eller Klartextmeddelande) är via sms och e-post. 

 

Personuppgiftstjänsten har tekniskt stöd för att hantera fler aviseringsvägar (kontaktuppgifter) än sms och e-post men som tidigare nämnts har regionerna beslutat att dessa ej ska användas, lika så finns olika kontakttyper (användning), hem, arbete, tillfällig, inaktuell osv. inte heller dessa ska användas!  

 

Innan ett meddelande skickas bör en kontroll utföras i Persongifttjänsten för att se om personen i första hand önskar att bli kontaktad digitalt. Om flaggan optoutPaperNotification är satt till true innebär det att personen aktivt har valt, digital kontakt i första hand. Flaggan innebär även att digitalNotification måste vara satt till true på någon av kontakttyperna (epost eller sms). digitalNotification kan således användas för att avgöra mer exakt vilken kontaktväg som en person föredrar. Då enbart epost och sms får användas avgör respektive verksamhet hur personen bör kontaktas vid varje tillfälle, under förutsättning att optoutPaperNotification är satt till true.   

 

6.3.1      Lagring av e-postadress 

Formatet på e-postadressen ska följa RFC 5322 och RFC 6854, ex. namn@domän.se 

E-post ska lagras med typen ”email” 

 

6.3.1      Användning av e-post 

Normalt sker transport av e-post okrypterat och över öppna nät. Även om själva transporten av e-post kan ske krypterat är oftast själva meddelandet okrypterat. Kopior av e-post kan mellanlagras under transporten. Det finns heller ingen möjlighet att utan extra åtgärder säkerställa att adressaten är den tänkta mottagaren 

Tilliten till att skicka meddelande via e-post är således låg, vilket innebär att e-post ej bör användas för att skicka känsliga personuppgifter. 

  • Vid utskick av meddelande via e-post bör verksamheten använda sig av en ”betrodd” e-postserver som upptäcker om e-postmeddelandet studsar och ej kommer fram till mottagarens inkorg. 

  • E-postsystemet bör ha en avsändaradress som gör att mottagaren har en rimlig möjlighet att se vem avsändaren är. 

  • E-postsystemet bör även ha en ”svartlistning” av e-postdomäner som ej är lämpliga, alternativt kan Vitlistning användas. 

Verksamheten ska ha rutiner för att kunna hantera fel vid sändningar av e-post. 

 

6.3.1      Lagring av telefonnummer 

Ett telefonnummer ska anges enligt ITU-standarden E.164–3. Numret skall börja med ett plustecken (+) vilket är en internationell praxis. 

Exempelvis +46701234567 

Telefonnummer ska lagras med typen ”sms” 

 

6.3.2      Användning av sms 

Det är lika osäkert att skicka ett sms såsom e-post. Både vad gäller den tekniska transporten och säkerställande att sms:et når avsedd person. 

Tilliten till att skicka meddelande via sms är således låg, vilket innebär att sms ej kan användas för att skicka känsliga personuppgifter. 

  • Vid utskick av meddelande via sms bör verksamheten använda sig utav en "betrodd" sms-tjänst. 

  • Tjänsten bör skicka sms-meddelandet med leveransbekräftelse för att säkerställa leveransen av meddelandet till personens telefon. 

  • sms-tjänsten bör även ha en svartlistning av mobilnummer som lämpligen ej ska kunna användas för utskick av meddelanden. alternativt kan Vitlistning användas. 

  • sms:et ska sändas med ett avsändarnamn som ej avslöjar för personen känsliga detaljer kring avsändaren, t.ex en specifik mottagning.
     

Exempel på text, "BokaDoktorn: Påminnelse om ditt läkarbesök den <datum> <tid> Medtag legitimation" där "BokaDoktorn" är den som är avsändare av sms:et, t.ex. Region Stockholm. 

Verksamheten ska ha rutiner för att kunna hantera fel vid sändning med sms.
Se vidare kapitel 6.4 Roller och ansvar kring de formella förutsättningarna. 

 

6.3.3 Användning av sms för att ringa  

Om en verksamhet snabbt behöver komma i kontakt med en person, eller bedömer att det är mer lämpligt, kan telefonnumret användas för att ringa och kommunicera direkt med personen. 

Det är verksamhetens ansvar att säkerställa att det är rätt person som nås i andra änden. 

 

6.4       Roller och ansvar 

I avsnittet beskrivs vilka roller och deras respektive ansvarsområde. 

 

6.4.1      Verksamhetschef/motsvarande 

Verksamhetschefen eller motsvarande ska, med stöd av detta ramverk, säkerställa att det finns dokumenterade rutiner för korrekt hantering av meddelanden till personer. Framtagna rutiner bör föranledas av en behovs- och riskanalys innan verksamheten implementerar en lösning för att kunna skicka meddelanden till personer.  

  • Rutinerna ska säkerställa att personens integritet inte kränks och personliga förhållanden inte obehörigen röjs. Rutinerna ska även säkerställa att riskerna för att meddelanden hamnar på villovägar minimeras. 

  • Verksamheten behöver även ha rutiner för att vara rimligt säker på att de av personen angivna aviseringsvägar (e-post, mobilnummer) är korrekta och aktuella. 

  • Verksamheten ansvarar för att personuppgifter som överförs över öppna nätverk är krypterade så att ingen obehörig kan ta del av uppgifterna samt att hantering av personuppgifter uppfyller gällande regulatoriska krav. . 

 

6.4.2     Verksamhetspersonal 

Personal i verksamheten ska vara insatta i rutiner och eventuella föreskrifter inom den aktuella verksamheten. 

7        Meddelandehantering till personer 

 

image-20250213-092822.png

Bild nr.1: Hierarkisk struktur för Meddelande 

Det här avsnittet syftar till att beskriva hur ett Digitalt meddelande (se termer och begrepp) till en person, baserat på personens angivna kontaktuppgifter kan ske. 

  • Kontaktuppgifterna får endast användas till att skicka meddelande eller ringa en person från en verksamhet/myndighet som personen har en relation med. 

  • Kontaktuppgifterna får ej användas för att skicka reklam eller annan information som personen ej förväntar sig. 

  • Ramverket ger möjlighet att behandla två olika typer av kontaktuppgifter, e-post och telefonnummer (sms).  

  • Ett klartextmeddelande får ej innehålla känsliga personuppgifter eller uppgifter om personliga förhållanden. Verksamheten ska alltid göra en riskbedömning om vilken text som kan skickas.  

 

7.1       Meddelande med känsliga uppgifter 

Det förhållande att en viss person är en patient, anses vara känsliga uppgifter. 

Inom hälso- och sjukvården får en vårdgivare efter att ha gjort en behovs- och riskanalys besluta om undantag från kraven i Socialstyrelsens föreskrifter (HSLF-FS 2016:40) vid överföring av påminnelser och kallelser till vård och behandling som riktar sig till patienter eller av patienten angiven kontaktperson. Vid behovs- och riskanalys kan uppgift om verksamhet bedömas vara en uppgift som inte bör skickas via e-post eller sms - och inte heller till kontaktpersoner. Detta måste respektive verksamhet bedöma. 

  • Meddelande som innehåller känsliga personuppgifter får endast lämnas ut till en plats där åtkomsten till meddelandet kan ske genom stark autentisering av den person som är mottagare av meddelandet (till exempel 1177 Inkorg).  

  • Meddelandet får inte skickas via öppna nät så vida meddelandet inte är krypterat. Verksamheten måste således vara ansluten till någon/några av de tjänster som erbjuder säker meddelandehantering. 

  • Verksamheten bör sedan avisera (meddela) personen via någon av de kontaktuppgifter som hen har angivet att det finns ett meddelande i meddelandetjänsten. Dessa meddelanden (aviseringar) kan skickas som klartext till någon av de kontaktuppgifterna som personen har angivet.
    Exempelvis : ”Du har fått ett meddelande i din inkorg hos <meddelandetjänst> från <verksamhet>” 

OBS! Namnet på meddelandetjänsten och avsändande verksamhet ska vara generella och får ej avslöja känsliga uppgifter, se exempel i kap 7.5. 

 

7.2       Meddelande med ej känsliga uppgifter 

Vid användning av meddelande med ej känsliga personuppgifter ska verksamheten göra en behovs- och riskanalys för att ta ställning till vilka typer av ej känsliga personuppgifter som lämpar sig att hantera som meddelande i klartext till personen. Respektive verksamhetschef har således ansvaret att besluta om möjligheten att skicka meddelande i klartext via de aviseringsvägar som verksamheten avser att stödja. 

Det innebär att verksamheten behöver ha rutiner för att rimligt säkerställa att sms-nummer och e-postadress är korrekta och aktuella och att meddelandet ej avslöjar känsliga personuppgifter eller andra personliga förhållanden.
 

Exempelvis: ”Välkommen till ditt bokade hälso- och sjukvårdsbesök <datum> kl. <tid>. Glöm ej att ta med legitimation. Detta är en påminnelse, du kan inte svara på detta sms.” 

 

7.3        Meddelandehantering till kontaktpersoner 

En person kan i vissa verksamhetssystem ange en kontaktpersons kontaktuppgifter som aviseringsväg. Till exempel en Vårdnadshavare eller en Närstående (se Termer och Begrepp).  

Obs! I Personuppgiftstjänsten får uppgifter om kontaktpersoner inte lagras på en identitet. Däremot kan ett verksamhetssystem använda sig av Personuppgiftstjänsten för att till exempel ta reda på en relation till en vårdnadshavare och därefter göra en slagning på exempelvis vårdnadshavarens kontaktuppgifter för att därefter välja rätt kontaktväg. 

Användning av meddelandehantering till kontaktpersoner ska normalt endast ske när personen själv inte är kontaktbar, eller efter personens godkännande.
Kontaktpersonerna ska endast användas för individer som personen definierar som närstående. Andra typer av kontakter till patienten, till exempel hemtjänst, vårdnadshavare, socialsekreterare, sjukgymnast osv ska hanteras på annat sätt och tydligt avskilt från patientens kontaktpersoner. 

Meddelande till en kontaktperson kan normalt i de flesta fallen bara bestå av ett Klartextmeddelande (se Termer och begrepp). Kontaktpersonernas kontaktuppgifter ska normalt ej användas för automatiserade kontakter.
Om verksamheten vill kunna skicka ett meddelande till en kontaktpersons Meddelandetjänst behöver verksamheten fullständiga personuppgifter Personnummer på kontaktpersonen och uppgifter om vilken Meddelandetjänst kontaktpersonen har valt för att kunna mottaga meddelande. 

Meddelande i klartext till kontaktpersoner får inte innehålla Känsliga personuppgifter. 

 

7.3.1       Meddelande till barn/vårdnadshavare 

Barn har rätt till integritet och sekretess, även i förhållande till sina vårdnadshavare när det kan antas att barnet kan lida betydande men om uppgifter röjs för vårdnadshavaren.
Det finns således fall då vårdnadshavare - oavsett barnets ålder - inte ska anges som kontaktperson. Det kan exempelvis gälla fall då barnet omhändertas med stöd av lag om vård av unga, LVU. I dessa fall kan vårdgivaren också blockera vårdnadshavarens direktåtkomst till Journal via nätet.
Det är viktigt att säkerställa att vårdnadshavaren verkligen är den juridiskt ansvariga vårdnadshavaren. Ett barn kan kanske ange sin "plastpappa" som vårdnadshavare. Verksamheten ansvarar dock för att kontakter till vårdnadshavare alltid går till de juridiskt ansvariga vårdnadshavarna. 
Huvudregeln är dock att vårdnadshavare företräder sina barn enligt föräldrabalken. Det framgår av Skatteverkets folkbokföringsuppgifter vem som är vårdnadshavare.
Uppgift om vårdnadshavare är en "färskvara", dvs den ska kontrolleras löpande. 

Det är inte självklart att en förälder är vårdnadshavare. En förälder som inte är vårdnadshavare jämställs med tredje person, som inte företräder barnet enligt föräldrabalken. Upp till 13 års ålder kan således vårdnadshavaren anges som kontaktperson - men  - i takt med stigande ålder och mognad ska barnets inställning väga allt tyngre. 

Vid 15 års ålder anses ett barn normalt vara tillräckligt moget för att själv bestämma i frågor som rör integritet och sekretess, men i vissa fall kan mognaden bedömas vara tillräcklig redan vid 13 års ålder. 

Verksamheten ska göra en mognadsbedömning och fråga om barnets inställning till angivande av kontaktperson. Barnet kan efter mognadsbedömning välja att ange en annan person, än vårdnadshavaren, som kontaktperson. Kunskapsstöd vid mognadsbedömning finns på Socialstyrelsens webbsida.    

Vid utskick av Meddelande till en vårdnadshavare så ska aviseringsväg sökas hos vårdnadshavarens kontaktuppgifter, ej via barnets kontaktuppgifter/kontaktpersoner. Detta för att säkerställa barnets integritet, enligt ovan.
Vem/vilka som är vårdnadshavare till barnet framgår av skatteverkets folkbokföringsuppgifter och erhålls från PU-tjänsten. 

Rutinen för utskick av Meddelande till barn under 13 år ska normalt således vara att via PU-tjänsten erhålla kontaktuppgifter till vårdnadshavaren, ej genom barnets eventuella kontaktuppgifter eller kontaktpersoner.

 

Då barnet har fyllt 16år så är det rimligt att Meddelande kan skickas till barnet baserat på barnets kontaktuppgifter.
Verksamheten bör även ha rutiner för att radera ett barns kontaktuppgifter när barnet har fyllt 13. 

Exempel på ett meddelande (avisering) till en vårdnadshavare: "Hej. Ett barn som du är vårdnadshavare för har fått en kallelse till provtagning. Logga in på 1177 och läs mer i ditt barns Inkorg

Exempel på meddelande i klartext: "Hej! Här kommer en påminnelse för ett återbesök den <datum> <tid> för det barn som du är vårdnadshavare för." 

 

7.3.2       Meddelande till God man/Förvaltare 

God man för ensamkommande barn likställs med vårdnadshavare. I övriga fall är god man ett stöd för sin huvudman och ska utföra sitt uppdrag i samråd med sin huvudman. En förvaltare har en starkare ställning och beslutar utan samtycke av huvudmannen. Gode män och förvaltare kan ha begränsade uppdrag, gällande t ex bara ekonomisk förvaltning, eller att "sörja för personen". Omfattningen av deras uppdrag framgår av beslut om god man/förvaltare. Uttrycket "att sörja för person" innebär att personen har uppdraget att se till att huvudmannen får vård och omsorg. Vid angivande av gode män eller förvaltare som kontaktpersoner är det av vikt att utreda huvudmannens möjlighet att avge ett samtycke. Om personen som har God man inte kan samtycka, ska huvudmannens inställning till angivande av kontaktperson utredas. Det är viktigt att respektera människors rätt till integritet och sekretess och att individanpassa språket och informationen samt att använda tolk i förekommande fall. 

Vid kontakt till God man rekommenderas att man använder normal postgång till personens särskilda postadress.  

 

7.3.3       Meddelande till övriga typer av kontaktpersoner 

Oavsett om en kontaktperson är en Anhörig eller Närstående så har den normalt sett inte automatisk juridisk rätt att företräda en person. Vuxna barn har heller ingen legal ställning i förhållande till sina föräldrar. Det har inte heller make/maka eller sambo, i förhållande till sina partners. De kan vara att betrakta som närstående - förutsatt att patienten själv anser sig ha en nära relation med personerna ifråga.  

Att skicka ett Meddelande till en kontaktperson bör således ske med stor varsamhet och risken att kränka personens integritet bör prövas separat vid varje enskilt tillfälle. 

 

7.4     e-post 

Verksamheten ska fastställa rutiner för e-post-användning inom verksamheten. Rutinerna ska säkerställa att personens integritet inte kränks och minimera riskerna för att meddelanden inte hamnar på avvägar. Samma regler gäller för e-post såsom för sms. 

 

7.5     sms 

Verksamheten ska fastställa rutiner för sms-användning inom verksamheten. Inom hälso-och sjukvården får sms endast användas för påminnelser och kallelser. Rutinerna ska säkerställa att personens integritet inte kränks och minimera riskerna för att meddelanden hamnar på avvägar. Genom att t.ex. inom hälso- och sjukvården inte i klartext nämna vilken typ av vårdbesök och hos vilken specifika vårdenhet som avses i en påminnelse eller kallelse, minskas risken för att integriteten kränks om meddelandet skulle läsas av fel mottagare. Ett meddelande av typen påminnelse från en vårdgivare kan lämpligen utformas enligt exempel: 

Välkommen till ditt bokade hälso- och sjukvårdsbesök <datum> kl <tid>. Glöm ej att ta med legitimation Detta är en påminnelse, du kan inte svara på detta sms.” 

Ett exempel från verksamhet utanför hälso- och sjukvård kan utformas enligt exempel: 

Välkommen till ditt bokade besök hos Folktandvården <landsting> <datum> kl <tid>. Detta är en påminnelse, du kan inte svara på detta sms.” 

Ett sms-meddelande bör avslutas med följande text: "Har du fått detta sms utan att ha varit i kontakt med oss, ring xxxxxxx", där xxxxxxx lämpligen går till lämplig supportfunktion. 

sms:et ska sändas med ett avsändarnamn/avsändarnummer som ej avslöjar för personen känsliga detaljer kring avsändaren.  

 

7.6   Ringa  

Genom det givna samtycket kan ett telefonnummer även användas för att snabbt komma i kontakt med en person till exempel en ledig operationstid som med kort varsel blir tillgänglig. Det är upp till verksamheten att avgöra vilken kommunikationsväg som är mest lämplig.  

 

8       Hantering av felaktiga kontaktuppgifter 

Det finns en risk för att kontaktuppgifterna ej längre är aktuella eller har blivit felaktigt inmatade. Detta måste kunna hanteras av verksamheten. Följande principer gäller: 

 

Användningsfall 

Åtgärd 

Att skicka ett meddelande med e-post resulterar att e-postadressen ej är känd 

Verksamheten bör försöka kontakta personen och be den att kontrollera och justera sina kontaktuppgifter.  

Att skicka ett meddelande med e-post resulterar i ett övrigt felmeddelande (kan vara flera olika typer) 

Verksamheten bör ha rutiner för att kunna hantera dessa fel. 

Att skicka ett meddelande med sms resulterar i en leveransrapport som anger att numret är felaktigt eller saknas 

Verksamheten bör försöka kontakta personen och be den att kontrollera och justera sina kontaktuppgifter.  

Att skicka ett meddelande med sms resulterar i en felaktig leveransrapport 

Verksamheten bör ha rutiner för att kunna hantera dessa fel. 

En person kontaktar verksamheten och meddelar att den har fått ett meddelande (e-post/sms) som den ej har förväntat sig 

Verksamhetens rutiner behöver beskriva hur de hanterar ett sådant ärende. I dessa rutiner ska det framgå hur de hanterar ärendet för att rätta de felaktiga kontaktuppgifterna, t.ex genom att radera dem. 

   

8.1 Rättning av felaktiga kontaktuppgifter via 1177´s support 

Om en invånare får felaktiga aviseringar kan de kontakta supporten för 1177, som då kan radera de felaktiga kontaktuppgifterna, 1177 rättar inga uppgifter utan det måste personen själv göra genom att logga in i 1177. 

 

Invånare kan kontakta supporten på telefonnummer: 0770-72 00 00 alternativt via 1177´s hemsida,

Frågor om e-tjänsterna på 1177.se  

 

9      Samtycke och krav på information till personen 

För de e-Tjänster som möjliggör för personen att komplettera sina uppgifter i Personuppgiftstjänsten så är det mycket viktigt att personen förstår sitt ansvar för att de kontaktuppgifter som personen anger är korrekta och aktuella. Den personuppgiftsansvarige eller av denne utsedd verksamhet bör regelbundet påminna personen vikten av att hålla sina kontaktuppgifter aktuella. e-Tjänsterna som tillhandahåller detta stöd skall tydligt vid de olika användningsfallen upplysa personen vad som gäller.  

 

Användningsfall 

Nödvändig information att upplysa personen om 

Skriva in/uppdatera kontaktuppgifter 

Att det är av stor vikt att informationen är korrekt och aktuell. Att personen har ett ansvar att uppgifterna hålls uppdaterade. 

I och med att personen anger sina kontaktuppgifter i Personuppgiftstjänsten så samtycker hen till lagring och åtkomst av uppgifterna.
Det innebär att förekomsten av en persons kontaktuppgifter i Personuppgiftstjänsten har föregåtts av ett aktivt samtycke (exempelvis genom en kryssruta med tillhörande samtycke). 

Samtyckets innebörd ska var att kontaktuppgifterna endast får att användas inom offentligt finansierad hälso-och sjukvård, tandvård och smittskydd i samband med att vårdgivare har ett verksamhetsbehov av att kontakta individen.  

Ange vilken/vilka kontaktuppgifter som får användas för att kontakta eller skicka meddelande 

  • Att dessa uppgifter kan komma att användas av en verksamhet/myndighet för att ringa och/eller skicka meddelande till personen.  

  • Att personen därmed samtycker till detta.  

  • Att meddelandena bara är av arten "Ej känslig information", t.ex. ge exempel på klartextmeddelanden som personen kan komma att få. 

  • Att upplysa personen om att känsliga meddelanden skickas till en säker meddelandetjänst till exempel 1177 inkorg. 

  • Att upplysa personen om att om personen ej längre samtycker till att kontaktuppgifterna kan användas för att skicka meddelande till, så måste personen avregistrera möjligheten att använda kontaktuppgifterna 

Ange kontaktpersoner 

  • Att möjligheten att kunna ange kontaktperson(er) är främst till för en "direkt personlig kontakt" från den lokala verksamheten. T.ex att inom vården kunna ha kontaktuppgifter till en närstående, en person som den lokala verksamheten kan kontakta då behov finns. 

Ange kontaktpersoners kontaktuppgifter som får användas för att skicka meddelande till. 

  • Se "Ange vilken/vilka kontaktuppgifter som får användas för att skicka meddelande till" ovan 

  • Att detta ska ses som ett undantag, att personen verkligen förstår vad detta innebär 

  • Att endast meddelande med icke känslig information normalt kan skickas till en kontaktperson 

  

10      Referenser 

[1] 

”Informationsspecifikation Personuppgiftstjänsten” [Online]. Available: http://rivta.se/domains/strategicresourcemanagement_persons_person.html

[2] 

"Personuppgifter, Tjänstekontraktsbeskrivning” [Online]. Available: http://rivta.se/domains/strategicresourcemanagement_persons_person.html

[3] 

”Personuppgiftstjänsten, avtal” [Online]. Available: Dokument i kundavtalet    

[4] 

”Personuppgiftstjänsten” [Online]. Available: Öppen info: Personuppgiftstjänsten   

[5] 

Skatteverket - Om Navet 

[6] 

Integritetsskyddsmyndigheten (IMY), https://imy.se  

[7] 

Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40

 

Related content