Region Skåne upphandlade 2017 vårdinformationssystemet Millennium från företaget Cerner. Samma system ska användas genom hela vårdkedjan i stället för ett lapptäcke av många olika system som kanske inte kan kommunicera med varandra. Det handlar inte bara om journalsystem, utan all digital vårdinformation, som ska hamna på en och samma plattform.
Men affären har också väckt frågor om sekretessen på patientdata som hanteras av företag utanför EU. Millennium kan konfigureras efter beställarens önskemål, men flera funktioner innebär i dagsläget att data skickas till servrar utanför EU. I Skånes fall handlar det också om att systemet driftas i utlandet.
Tanken är att Cerner i Sverige, som Skåne slutit avtalet med, ska anlita underbiträden i form av Cerner i USA och Cerner i Indien för djupare teknisk drift och support av IT-systemen. Regionen har tänkt ingå personuppgiftsbiträdesavtal, EU-kommissionens standardavtalsklausuler och sekretessavtal, samt vidta ett antal säkerhetsåtgärder.
Mycket av farhågorna när det gäller Millennium är att vårdinformation om svenska patienter blir tillgänglig för andra än svensk vårdpersonal. Som Läkartidningen tidigare har berättat handlar det bland annat om den amerikanska lagstiftningen Cloud Act, som ger amerikanska staten tillgång till information i system som driftas av amerikanska företag, även om servrarna inte står i USA.
För en tid sedan kontaktade Region Skåne Integritetsskyddsmyndigheten (IMY), som tidigare hette Datainspektionen, för ett så kallat förhandssamråd. Regionen uppger själv att den kvarvarande stora risken är att lagstiftningen i USA och Indien – om den kan tillämpas på personuppgiftsbiträdena – »skulle kunna medföra mycket allvarliga konsekvenser för de registrerades fri- och rättigheter såsom ekonomisk, social och fysisk skada«.
IMY har nu gjort sin bedömning. Myndigheten avråder Skåne från att använda sig av Cerner i USA och Indien för hantering av personuppgifter vid drift och support. IMY gör bedömningen att det inte finns rättsligt stöd i dataskyddsförordningen för att behandla känsliga personuppgifter hos dessa personuppgiftsbiträden. Kravet på tystnadsplikt uppfylls inte, menar myndigheten.
IMY påpekar också att det inte finns någon vägledande praxis eller vägledning från Europeiska dataskyddsstyrelsen. Därför bör Region Skåne utreda ländernas lagstiftning ytterligare. Om det finns stöd för att länderna kan tillämpa lagstiftning som bedöms »gå utöver vad som är nödvändigt och proportionerligt i ett demokratiskt samhälle«, och om det handlar om personuppgifter i klartext, bör regionen inte gå vidare med den typen av personuppgiftsbehandling.
Som exempel nämns sektion 702 i den amerikanska lagstiftningen Foreign Intelligence Surveillance Act. Den kan ge amerikanska myndigheter tillgång till data i – och övervakning av – amerikanska molntjänster.
Harald Roos, styrgruppsordförande för Skånes digitala vårdsystem, säger i ett mejl till Läkartidningen att regionen nu ska analysera innehållet i IMY:s svar och andra delar som berör support i tredje land. Det ska göras med både intern och extern juristkompetens. »Dessutom kommer en diskussion med Cerner att startas avseende supportfrågan utifrån IMY:s yttrande«, skriver Harald Roos.
Även Västra Götalandsregionen har upphandlat Millennium, men uppger att drift inte kommer att ligga utomlands. Däremot finns viktiga funktioner som i nuläget kräver molntjänster utomlands. Också Inspektionen för vård och omsorg (Ivo) har inlett en granskning av informationssäkerheten.
Läs även:
Ivo granskar Millennium i Skåne och Västra Götaland
Ivo startar tillsyn om hanteringen av patientdata i Region Skåne
Skånskt beslut om patientdata väcker frågor om sekretess
Säkerheten i regionernas molntjänster ska utredas
Osäkerhet kring molntjänster bromsar IT-utveckling i vården