I somras berättade Läkartidningen om att regioner har svårt att införa nya tekniska system inom exempelvis diabetesvård på grund av juridiska snårigheter. Det handlar om teknik som på ett eller annat sätt är beroende av lösningar utanför EU, i det som kallas tredje land.

Region Dalarna valde till slut att införa ett nytt system inom diabetesvården, trots att det kan innebära sanktionsavgifter till följd av brott mot regler, såsom GDPR, om överföring av data. Systemet i fråga, Libreview, gör att diabetessjuksköterskor och läkare genom appar och sensorer kan följa patienternas blodsockervärden i realtid. Systemets servrar finns förvisso i EU, men den tekniska supporten finns i USA. Om något inte fungerar skulle  supportpersonalen kunna få fjärråtkomst till svenska patientdata.

I en intervju med Läkartidningen sa regionstyrelsens ordförande Ulf Berg (M) att politikerna i regionen »tog ett beslut i politisk enighet om att sätta patienterna först«.

Integritetsskyddsmyndigheten, IMY, kommenterar inte Dalarna specifikt. Men efter att regionens beslut uppmärksammats i bland annat Läkartidningen, har myndigheten valt att yttra sig. I ett blogginlägg skriver Linn Sandmark, tillförordnad enhetschef på enheten för myndigheter, vård och utbildning, att GDPR varken än något valbart eller en prioriteringsfråga.

– Det är inte valbart. Det är regler som EU och Sveriges riksdag antagit, som ska värna den mänskliga rättigheten till privatliv, säger hon till Läkartidningen.

Om regioner gör som Dalarna, riskerar de då att bryta mot Europakonventionen?

– Det kan jag inte kommentera. Det som gäller allmänt är att om man inte följer GDPR, kränker man rätten till privatliv och då kan man genom vår tillsyn få sanktionsavgifter eller förelägganden om att rätta till brister.

Hon påtalar att reglerna kanske uppfattas som krångliga, men att de finns där för att skydda människors integritet och privatliv. Det görs bland annat genom GDPR, en förordning som också finns till för att datautbytet inom EU ska fungera smidigt, och som är lag i Sverige.

Men IMY påminner också om att integriteten inte bara värnas i GDPR, utan också i patientdatalagen och Socialstyrelsens föreskrifter om journalföring.

– Man glömmer bort att det inte bara är GDPR. Grunderna finns även i vår svenska patientdatalag och den måste också följas, säger Linn Sandmark.

IMY har ännu inte bestämt om en tillsyn gällande Region Dalarna ska inledas. Ett sådant ärende skulle kunna startas genom att ett klagomål inkommer, vilket ger myndigheten störst utredningsskyldighet. Men ett ärende kan också initieras av myndigheten.

Vad borde Dalarna och andra regioner göra, om de överväger att använda teknik som kanske inte är förenlig med lagstiftningen?

– Det viktiga är att verksamheten lägger tid och resurser på de här frågorna, särskilt inom vårdsektorn där integritet är en grundläggande del av vården. Jobba systematiskt med reglerna i verksamheten och lyssna på juristerna och de sakkunniga på informationssäkerhet, säger Linn Sandmark.

Läs även:

EU-regler hindrar diabetesvård i Sverige

Dalarna prioriterar vårdkvalitet framför GDPR