EU:s dataskyddsförordning GDPR hindrar fortfarande i praktiken diabetespatienter i Sverige att få tillgång till den senaste tekniken när det gäller insulinpumpar och sensorer.

Men Region Dalarna gick nyligen sin egen väg i frågan. Genom ett ännu ej uppmärksammat beslut från våren 2022 har de styrande politikerna gett klartecken till att vården får använda den senaste tekniken. Detta trots att beslutet kan bryta mot reglerna.

– Ja, vi tog ett beslut i politisk enighet om att sätta patienterna först här, säger regionstyrelsens ordförande Ulf Berg (M) till Läkartidningen.

Region Dalarna använder sig av systemet Libreview, där diabetessjuksköterskor och läkare genom appar och sensorer kan följa patienternas blodsockervärden i realtid. Det juridiska problemet med denna typ av teknik är att EU:s dataskyddsförordning, GDPR, ofta i praktiken stoppar produkterna från att användas. Produkterna samlar nämligen in patientdata, och dessa hamnar ofta i molntjänster och servrar som ligger i länder utanför EU och EES. De strikta krav på säkerhetsåtgärder som detta innebär upplevs av regionerna som i stort sett omöjliga att uppfylla.

I Region Dalarnas fall är Libreview-servrarna visserligen placerade inom EU, men den tekniska supporten finns i USA. Om något inte fungerar får supportpersonalen alltså fjärråtkomst till patientdata från den svenska diabetespatienterna.

Carl Gudmundsson, Region Dalarnas regionjurist och dataskyddsombud, har tillsammans med sina kolleger kommit fram till att användningen av Libreview kan vara en så kallad olaglig tredjelandsöverföring.

– Enligt juridiken, alltså GDPR och vägledningarna från Europeiska dataskyddsstyrelsen, är fjärråtkomst till data också en form av överföring till tredje land. Man måste då i princip garantera att de här datauppgifterna får en skyddsnivå som gör att det andra landets myndigheter inte kan ta del av uppgifterna om personers hälsa, säger Carl Gudmundsson.

Det här innebar en avvägning mellan vårdkvalitet och juridisk risk för beslutsfattarna inom Region Dalarna. Regionstyrelsens ordförande säger att en lag som hindrar en modern sjukvård är »galenskap« och att han därför ställde sig på patienternas sida.

– Relationen mellan vad medborgarna tjänar på denna juridik kontra vad man kan förlora om man är diabetiker exempelvis, jag tycker inte det kan jämföras. Vi har vägt risken för att patienten drabbas negativt jämfört med den juridiska risken, och då har vi ställt oss på patientens sida. Förhoppningsvis är det nya regler på gång som gör att man inte ska hamna i det här eländet, säger Ulf Berg (M).

Han vill att lagstiftningen tydliggörs.

– Vi ska ju inte behöva hålla på med långa juridiska funderingar på detta sätt. Även om vi har haft juristerna med oss, vet vi ju att om det vill sig illa så kan någon komma fram till att detta var fel.

Problemet gäller inte bara diabetesvården. Dagens digitaliseringstakt gör att det hela tiden dyker upp nya digitaliserade medicintekniska produkter, eller åtminstone nya molnbaserade versioner av dem. Då måste regionernas jurister, ofta oberoende av varandra, göra nya bedömningar, berättar regionjuristen Carl Gudmundsson.

Han känner inte till att någon annan region valt att göra som Region Dalarna när det gäller diabetesvården.

Vad riskerar regioner som fattar ett beslut som ni i Region Dalarna har gjort?

– Man riskerar en sanktionsavgift från Integritetsskyddsmyndigheten, IMY, som är tillsynsmyndigheten för dataskyddsförordningen, och de kan kräva att vi ändrar oss, säger han.

En lösning som pekats ut för regionerna är att de i egenskap av inköpare ska ställa krav på leverantörerna så att de följer lagarna. Men det kan vara mycket svårt för en liten region att förhandla om förändringar av de stora internationella bolagens digitala system, förklarar Carl Gudmundsson.

– Myndigheterna menar att vi regioner ska kravställa. Men de här stora bolagen struntar ju ofta i lilla Region Dalarna. Det är lite »take it or leave it« från dem. Vi jurister hade gärna sett någon form av system där medicintekniska produkter kunde ackrediteras nationellt eller på EU-nivå, alltså att de får en stämpel om att produkten följer gällande dataskyddsbestämmelser.

Även Region Uppsalas Jarl Hellman menar att det behövs regionövergripande lösningar. Han är överläkare och ledningsansvarig för Centre of excellence typ 1 diabetes i regionen och uppger till Läkartidningen att eftersom problemet är så stort så skulle det behövas någon form av nationell lösning.

– Det här är väldigt svårt att lösa tyvärr och det allra bästa vore en slags nationell lösning för datahantering vid diabetes. I Uppsala har vi nyligen återstartat upphandlingsprocessen vad gäller nya mer autonoma insulinpumpar, och det är ett viktigt samarbete mellan sex olika regioner som försöker att lösa det hela gemensamt, skriver Jarl Hellman i ett e-postsvar.

Läs mer:

EU-regler hindrar diabetesvård i Sverige

Lagar som reglerar personliga hälsodata

EU:s dataskyddsförordning (GDPR) är det grundläggande regelverket för behandling av personuppgifter. Här finns en rad principer att ta hänsyn till och som gäller för all personuppgiftsbehandling. Man måste iaktta principer om öppenhet, ändamålsbegränsning, uppgiftsminimering, lagringsminimering, integritet och konfidentialitet samt ansvarsskyldighet.

Huvudregeln förbjuder behandling av känsliga personuppgifter, till exempel data om genetik, hälsa, sexualliv och biometriska uppgifter som identifierar en person, men det finns undantag.

Utöver GDPR finns regler i svensk lagstiftning. Inom hälso- och sjukvården finns bestämmelser om personuppgiftsbehandling i till exempel patientdatalagen och Socialstyrelsens föreskrifter.

Enligt patientdatalagen får till exempel vårdgivaren behandla personuppgifter för att kunna föra patientjournal och upprätta dokumentation som behövs när de vårdar patienten. Här finns bland annat också möjligheten att behandla personuppgifter om det handlar om att framställa statistik och utveckla och säkra kvaliteten i verksamheten.

Källa: Socialstyrelsens juridiska stöd för personuppgiftsbehandling inom hälso- och sjukvården och socialtjänsten.