Den nationella väntetidsdatabasen förvaltas av Sveriges Kommuner och regioner (SKR) och används för att ta fram statistik kring väntetider i vården. Informationen bygger på uppgifter som samlats in från patientjournaler i regionerna och som sedan överförs till SKR.

Men enligt dataskyddsförordningen GDPR måste en myndighet eller organisation som behandlar personuppgifter ha rättslig grund för behandling, skriver Integritetsskyddsmyndigheten (Imy) i ett pressmeddelande.

Behandling av känsliga personuppgifter, exempelvis uppgifter om hälsa, är som huvudregel förbjuden. För att få behandla den typen av uppgifter krävs både rättslig grund samt ett särskilt undantag i dataskyddsförordningen.

Mot den bakgrunden inleder nu Imy en granskning av SKR:s väntetidsdatabas. Imy vill veta vilken rättslig grund och vilket undantag mot förbudet kring känsliga personuppgifter som behandlingen i väntetidsdatabasen stödjer sig på.

– En organisation som behandlar personuppgifter har ansvar för att se till att det finns ett rättsligt stöd för behandlingen. Nu vill vi undersöka vilka möjligheter en privat organisation, som inte är en vårdgivare, har att behandla personuppgifter på det sätt som sker i väntetidsdatabasen. Därför inleder vi en granskning av den behandling av personuppgifter som SKR utför i väntetidsdatabasen, säger Stina Almström, jurist på Imy, i pressmeddelandet.