Som Läkartidningen rapporterade 2019 finns en stor osäkerhet kring sekretessen på patientdata som hanteras av företag utanför EU, däribland amerikanska Cerner. Det gäller i synnerhet Region Skåne och Västra Götalandsregionen som har köpt Cerners system Millennum som inte bara ska ersätta journalsystemen utan även många andra system.
Den amerikanska lagen Cloud Act innebär dock att information i system som driftas av amerikanska företag, kan begäras ut av amerikanska myndigheter. Informationen behöver alltså inte lagras eller ens passera servrar i USA, så länge ett amerikanskt företag sköter driften.
E-samverkansprogrammet (Esam), ett samarbete mellan SKR och 23 myndigheter, varnade förra året för att sekretessreglerade uppgifter som behandlas i en molntjänst är att betrakta som röjda, om företaget som sköter driften har en sådan lagstiftning som USA har.
För Västra Götaland är det ingen direkt risk att patientdata hamnar i amerikanska händer, då regionen självt driftar systemet. Men Skåne signalerade för över ett år sedan att driften kunde hamna hos Cenrner.
Efter månader av diskussioner har nu Region Skåne slutligen fattat beslutet att patientinformation ska skickas till Cerners servrar i Stockholm, rapporterar SVT Nyheter Skåne.
Enligt Pia Lundbom, hälso- och sjukvårdsdirektör i Region Skåne, står det i avtalet med Cerner att man ska följa svensk lag. I annat fall »får Region Skåne agera« genom juridiska åtgärder, skadestånd, viten med mera. Cerner ska enligt avtalet meddela Region Skåne om amerikanska myndigheter begär ut data.
– När det i så fall skulle ske och den förfrågan kommer, behöver vi ta ställning till hur vi ska agera då, säger Pia Lundbom till SVT.
Bolaget intygar enligt avtalet att man kommer säga nej till eventuella förfrågningar om utlämnande av data. Men frågan är hur mycket Cerner och Region Skåne kan sätta emot, eftersom Cerner lyder under amerikansk lag. Regionens egna jurister kan inte intyga att Cloud Act inte skulle kunna appliceras på skånsk patientdata.
– Det är ingen som har uttalat någonting i någon riktning. Så det är inte heller något jag kommer att göra, säger chefsjurist Camilla Ziegler.
Enligt Conny Larsson, advokat och expert på IT-rätt, kan Cerner tvingas att lyda amerikansk lag.
– Eftersom Cerner Sverige AB är helägt av det amerikanska Cerner Corporation kan amerikanska myndigheter gå på det amerikanska moderbolaget och tvinga dem att lämna information som USA begär i enlighet med amerikansk lag, till exempel Cloud Act, också från sitt svenska dotterbolag, säger Conny Larsson till SVT.