SKR får inte behandla personuppgifter i den nationella väntetidsdatabasen
IMY har granskat hur personuppgifter behandlas i den nationella väntetidsdatabasen som används för att ta fram väntetidsstatistik i vården och följa upp den statliga vårdgarantin. Varje år rapporterar regionerna in cirka 40 miljoner vårdbesök till väntetidsdatabasen. En stor del av uppgifterna som registreras är hälsouppgifter, vilket är känsliga personuppgifter enligt dataskyddsförordningen (GDPR).
IMY bedömer i sin granskning att SKR är personuppgiftsansvarig för behandlingen som sker i väntetidsdatabasen och att SKR saknar stöd för hanteringen av personuppgifterna. Att SKR bedöms sakna stöd för behandlingen beror bland annat på att lagstiftaren – när regleringen av väntetidsdatabasen infördes – uttalade att databasen inte kommer att innehålla några personuppgifter. När känsliga personuppgifter behandlas på det sätt som görs i väntetidsdatabasen krävs även särskild reglering med skyddsåtgärder, till exempel tystnadsplikt och behörighetsstyrning.
– Även om väntetidsdatabasen är ett centralt verktyg för att följa upp svensk vård så är det viktigt att det finns stöd för en så omfattande hantering av känsliga personuppgifter som databasen medför, säger Eric Leijonram, generaldirektör för IMY.
Eftersom SKR saknar stöd för behandlingen av personuppgifter i databasen har IMY beslutat att utfärda en reprimand och ett förbud. IMY bedömer samtidigt att databasen fyller en viktig samhällelig funktion och har därför beslutat att förbudet ska börja gälla först efter två år. Tiden är satt för att författningsstöd ska kunna tas fram för behandlingen av personuppgifter i databasen alternativt att SKR ska kunna vidta åtgärder så att personuppgifter inte längre behandlas i databasen.
Fakta: Personuppgifter i nationella väntetidsdatabasen
Personuppgifter som behandlas i väntetidsdatabasen är inte direkta personuppgifter, som till exempel namn och personnummer, utan det är avkodade uppgifter. Även om uppgifterna är avkodade är de att betrakta som känsliga personuppgifter, eftersom det går att knyta uppgifter om exempelvis diagnoser till en specifik person med hjälp av en kodnyckel.
För mer information kontakta
Linn Sandmark, enhetschef på enheten för vägledning offentlig verksamhet,
telefon 08-515 154 21
Presstjänsten, telefon 08-515 154 15
Fler nyheter inom ämnet
-
IMY tillstyrker förslag om nya regler för registerkontroller i kommuner
4 februari 2025 -
IMY lämnar över rapport om integritet och ny teknik till regeringen
28 januari 2025 -
Nu lanseras nationella riktlinjer för användningen av generativ AI inom offentlig förvaltning
21 januari 2025 -
EDPB antog riktlinjer om pseudonymisering
17 januari 2025
Fler nyheter inom ämnet
-
IMY tillstyrker förslag om nya regler för registerkontroller i kommuner
4 februari 2025 -
IMY lämnar över rapport om integritet och ny teknik till regeringen
28 januari 2025 -
Nu lanseras nationella riktlinjer för användningen av generativ AI inom offentlig förvaltning
21 januari 2025 -
EDPB antog riktlinjer om pseudonymisering
17 januari 2025