I december kom Integritetsskyddsmyndigheten (som tidigare hette Datainspektionen) fram till att flera sjukhus behandlat personuppgifter i strid med GDPR genom att göra dem tillgängliga för ett stort antal anställda utan att genomföra behovs- och riskanalyser. Vårdgivarna som myndigheten kritiserade var Sahlgrenska universitetssjukhuset, Capio S:t Görans sjukhus, Karolinska universitetssjukhuset, Region Östergötland och Region Västerbotten.
Vårdgivarna överklagade till förvaltningsrätten. Nu har domarna kommit och de ger Integritetsskyddsmyndigheten rätt i sin bedömning.
Förvaltningsrätten anser att vårdgivarna har underlåtit att genomföra behovs- och riskanalyser. Det är en överträdelse av nationella bestämmelser och även de grundläggande principerna i den europeiska dataskyddsförordningen GDPR.
– Det har i samtliga fall varit fråga om stora uppgiftssamlingar som varit tillgängliga för ett stort antal anställda och det rör sig dessutom om känsliga personuppgifter om enskildas hälsotillstånd, säger chefsrådmannen Anna Önell i ett pressmeddelande.
Det är flera frågor som har aktualiserats i och med Integritetsskyddsmyndighetens granskning och domen. Det handlar om bestämmelser i patientdatalagen, Socialstyrelsens föreskrifter och i GDPR.
I exempelvis Karolinska universitetssjukhusets fall handlar det om att sjukhuset inte kunnat visa någon behovs- och riskanalys på övergripande och organisatorisk nivå. Sjukhuset menar att det krävs ett samarbete mellan olika enheter och att en enskild medarbetare kan behöva en förhållandevis bred behörighet. Förvaltningsrätten ifrågasätter inte det, men menar att sjukhuset inte begränsat användarnas åtkomst till journalsystemen till enbart det som behövs för användaren ska kunna utföra sina arbetsuppgifter.
Domarna innebär att Integritetsskyddsmyndighetens beslut om föreläggande och sanktionsavgifter ligger kvar. Capio S:t Göran ska betala mest, 10 miljoner kronor. Därefter kommer Karolinska universitetssjukhuset och Sahlgrenska universitetssjukhuset med sanktionsavgifter på 4 respektive 3,5 miljoner kronor. Region Östergötland och Region Västerbotten ska betala 2,5 miljoner kronor vardera. Vårdgivarna kan dock överklaga till kammarrätten.