Patientöversikter inom EES och Sverige

Integritetsskyddsmyndigheten (IMY) har granskat förslaget huvudsakligen utifrån myndighetens uppgift att arbeta för att människors grundläggande fri- och rättigheter skyddas i samband med behandling av personuppgifter.

IMY lämnar följande synpunkter.

Utredningen föreslår en förordning om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter. Tillämpningsområdet omfattar enligt 1 § E-hälsomyndighetens hantering av patientöversikter inom Sverige samt vid myndighetens hantering av patientöversikter inom EES. I 6 § föreslås reglering av personuppgiftsansvar och av andra meningen framgår att när det gäller utbytet av patientöversikter mellan vårdgivare i Sverige enligt 7 § 1 gäller dock den särskilda regleringen om personuppgiftsansvar i 4 kap. 1 § lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation.

Vidare omfattar författningsförslag i nyss nämnda lag att vårdgivare dels ska ge E-hälsomyndigheten elektronisk tillgång till uppgifter om en patient för att tillföras en patientöversikt inom Sverige, dels att E-hälsomyndigheten elektroniskt ska kunna ta del av sådan patientöversikt. (1) I betänkandet omnämns E-hälsomyndigheten i dessa sammanhang som personuppgiftsbiträde. (2)

Den som är personuppgiftsansvarig har ett ansvar att följa gällande dataskyddsbestämmelser och för att kunna visa det. (3) Den som är personuppgiftsbiträde har ett antal egna skyldigheter i kapitel IV i dataskyddsförordningen, bland annat skyldigheten att vidta lämpliga säkerhetsåtgärder. (4) Det är en avsevärd integritetsrisk om behandling av personuppgifter om patienter utförs utan att ansvarsroller och därmed tillkommande skyldigheter enligt dataskyddsförordningen är ordentligt utredda.

Mot denna bakgrund ställer sig IMY frågande till vilken roll E-hälsomyndigheten avses ha när det gäller behandling av personuppgifter om patienter inom Sverige. I det fortsatta beredningsarbetet behöver därför utredas vilken roll E-hälsomyndigheten ska uppbära när det gäller behandlingen av personuppgifter om patienter inom Sverige.

Utredningen har inte kunnat identifiera några nytillkomna utmärkande integritetsrisker för patienter såvitt avser det nationella utbytet av patientöversikter. (5) På föreliggande underlag bedömer dock IMY att ovan nämnda oklarhet gällande E-hälsomyndighetens roll tillsammans med det föreslagna kravet på vårdgivare att ge E-hälsomyndigheten elektronisk tillgång till uppgifter om en patient för att tillföras en patientöversikt inom Sverige, är förhållanden som behöver analyseras närmare i det fortsatta beredningsarbetet, exempelvis så att det tydliggörs vem som är personuppgiftsansvarig.

Gällande kravet på konsekvensbedömning enligt artikel 35 i dataskyddsförordningen är utredningens slutsats att den personuppgiftsansvarige behöver komplettera med en konsekvensbedömning avseende de mer praktiska, tekniska och organisatoriska förutsättningarna för behandlingen när det gäller patientöversikter inom EES. (6) IMY delar den uppfattningen.

På den nationella nivån – inom Sverige – vill IMY framhålla följande. Av IMY:s så kallade högriskförteckning framgår att verksamheter som gör stora ändringar i sin tekniska infrastruktur och som behandlar personuppgifter inom exempelvis hälso- och sjukvård eller social omsorg är exempel på behandlingar som kräver att konsekvensbedömning utförs. (7) Eventuella ändringar i teknisk infrastruktur som är förknippad med föreslagna krav på vårdgivare gällande patientöversikter inom Sverige och elektronisk kommunikation med E-hälsomyndigheten (8) kan därmed föranleda krav på konsekvensbedömning enligt artikel 35 i dataskyddsförordningen.

Fotnoter

(1) Nytt tredje stycke i 2 kap. 1 § lagen om sammanhållen vård- och omsorgsdokumentation.
(2) Betänkandet s. 335 och 453.
(3) Artikel 5.2 i dataskyddsförordningen.
(4) Artikel 32 i dataskyddsförordningen.
(5) Betänkandet s. 381.
(6) Betänkandet s. 397.
(7) Förteckning enligt artikel 35.4 i Dataskyddsförordningen (imy.se), s. 6 sista punkten.
(8) Se not 1.

Detta yttrande har beslutats av enhetschefen Linn Sandmark efter föredragning av avdelningsdirektören Suzanne Isberg.

Linn Sandmark, 2023-09-14 (Det här är en elektronisk signatur)