SKR får inte behandla personuppgifter i den nationella väntetidsdatabasen
VERKTYG
IMY har granskat hur personuppgifter behandlas i den nationella väntetidsdatabasen som används för att ta fram väntetidsstatistik i vården och följa upp den statliga vårdgarantin. Varje år rapporterar regionerna in cirka 40 miljoner vårdbesök till väntetidsdatabasen. En stor del av uppgifterna som registreras är hälsouppgifter, vilket är känsliga personuppgifter enligt dataskyddsförordningen (GDPR).
Det uppger IMY i ett pressmeddelande.
IMY bedömer i sin granskning att SKR är personuppgiftsansvarig för behandlingen som sker i väntetidsdatabasen och att SKR saknar stöd för hanteringen av personuppgifterna. Att SKR bedöms sakna stöd för behandlingen beror bland annat på att lagstiftaren – när regleringen av väntetidsdatabasen infördes – uttalade att databasen inte kommer att innehålla några personuppgifter. När känsliga personuppgifter behandlas på det sätt som görs i väntetidsdatabasen krävs även särskild reglering med skyddsåtgärder, till exempel tystnadsplikt och behörighetsstyrning.
– Även om väntetidsdatabasen är ett centralt verktyg för att följa upp svensk vård så är det viktigt att det finns stöd för en så omfattande hantering av känsliga personuppgifter som databasen medför, säger Eric Leijonram, generaldirektör för IMY, i pressmeddelandet.
Eftersom SKR saknar stöd för behandlingen av personuppgifter i databasen har IMY beslutat att utfärda en reprimand och ett förbud. IMY bedömer samtidigt att databasen fyller en viktig samhällelig funktion och har därför beslutat att förbudet ska börja gälla först efter två år. Tiden är satt för att författningsstöd ska kunna tas fram för behandlingen av personuppgifter i databasen alternativt att SKR ska kunna vidta åtgärder så att personuppgifter inte längre behandlas i databasen.
---------------
Fakta: Personuppgifter i nationella väntetidsdatabasen
Personuppgifter som behandlas i väntetidsdatabasen är inte direkta personuppgifter, som till exempel namn och personnummer, utan det är avkodade uppgifter. Även om uppgifterna är avkodade är de att betrakta som känsliga personuppgifter, eftersom det går att knyta uppgifter om exempelvis diagnoser till en specifik person med hjälp av en kodnyckel.
UTBILDNING
» Till utbildningarVinge får ny delägare
Vinge har utnämnt skatterättsjuristen Magnus Larsén till delägare i Stockholm.