Publicerad 5 oktober 2023

Regioner slipper sanktionsavgifter efter tillsyn av säkerheten i journalsystemen

Fyra regioner och en privat vårdgivare påfördes höga sanktionsavgifter av Integritetsskyddsmyndigheten, IMY, efter tillsyn av säkerheten i patientjournalsystemen. Nu slipper de betala.

Efter IMY:s tillsyn vid ett antal stora sjukhus enligt EU:s dataskyddsförordning, GDPR, av säkerheten i patientjournalsystemen påfördes fyra regioner och en privat vårdgivare med mycket höga sanktionsavgifter. IMY kom fram till att tilldelningen av personalens behörigheter inte hade begränsats tillräckligt, vilket medförde att användarna hade åtkomst till fler personuppgifter än de behövde för att kunna utföra sitt arbete. Vårdgivarna hade inte heller, enligt IMY, utfört en regelrätt behovs- och riskanalys enligt patientdatalagen innan behörighetstilldelningen.

Utöver avgifterna förelades vårdgivarna att vidta åtgärder för att avhjälpa dessa säkerhetsbrister.

Kammarrätten upphävde förvaltningsrättens dom

Alla vårdgivarna överklagade besluten. Avdelningen för juridik har bistått de fyra regionerna med rådgivning i överklagandeprocessen. Omständigheterna var likartade i alla målen.

Förvaltningsrätten avslog regionernas överklagande, kammarrätten upphävde däremot förvaltningsrättens dom och IMY:s beslut. Kammarrätten kom fram till att den behovs- och riskanalys som ska göras inte behöver ges en viss form eller finnas i ett specifikt dokument . Domstolen fann också att vårdgivarna genom sina interna riktlinjer har ett system för behovs- och riskanalys och att det finns ett starkt stöd i patientsäkerhetslagen för breda behörigheter till åtkomst av patientuppgifter.

Kammarrätten poängterar att för IMY som tillsynsmyndighet gäller officialprincipen i förvaltningslagen. Principen innebär att en myndighet ska se till att ett ärende blir utrett i den omfattning som dess beskaffenhet kräver. Kammarätten poängterar även att ett högt beviskrav genom praxis gäller för tillsynsmyndigheten för att förutsättningarna för att ett ingripande från det allmännas sida mot en enskild ska få göras.

Viktigt att pröva beslut

IMY överklagade kammarrättens dom och Högsta förvaltningsrätten beslutade den 30 juni 2023 att inte meddela prövningstillstånd i målet, kammarrättens dom har alltså fått laga kraft.

– EU-rätten bygger i stor utsträckning på rättspraxis och det är därför viktigt att pröva beslut som uppfattas som felaktiga och dåligt underbyggda för att utveckla praxisen på GDPR-området, säger Staffan Wikell, förbundsjurist SKR.

Berörda regioner och vårdgivare

De som påfördes sanktionsavgifter av IMY var:

  • Capio S:t Göran AB
  • Region Västerbotten
  • Karolinska universitetssjukhuset/Region Stockholm
  • Sahlgrenska universitetssjukhuset/Västra Götalandsregionen
  • Region Östergötland

Kammarrätten upphävde både förvaltningsrättens domar och IMY:s beslut.

Bakgrund

I tillsynsärenden enligt dataskyddsförordningen (GDPR) granskade integritets­skydds­myndigheten (IMY) fyra regioner och en stor privat vårdgivare. IMY granskade säkerheten i patientjournalsystem hos vissa sjukhus. Specifikt gällde frågan tilldelning av behörigheter i systemet. Granskningen gällde bland annat huruvida vårdgivarna utfört en behovs- och riskanalys innan tilldelningen av behörigheter i systemet gjorts. IMY fann att vårdgivarna inte hade utfört behovs- och riskanalys i enlighet med Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40). Av dessa framgår bland annat att en vårdgivare har ett ansvar för att varje användare tilldelas en individuell behörighet för åtkomst av personuppgifter. Denna tilldelning ska bestämmas efter en behovs och riskanalys. En överordnad bestämmelse i GDPR om säkerhet vid behandling av personuppgifter, artikel 32, stadgar att den personuppgifts­ansvarige ska med beaktande av bland annat behandlingens art, omfattning, sammanhang och ändamål samt riskerna, för fysiska personers fri- och rättigheter vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken. IMY menade också att behörighetstilldelningen inte gjorts korrekt genom att den inte hade begränsats till enbart vad som behövs för användaren ska kunna fullgöra sina arbetsuppgifter. Av 4 kap 2 § patientdatalagen (PDL) framgår att en vårdgivare ska bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat . Sådan behörighet ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Av PDL:s förarbeten framgår bl a att det ska finnas olika behörighetskategorier i journalsystemet och att dessa ska begränsas till vad den anställde behöver för att ge patienten god och säker vård. En mer vidsträckt eller grovmaskig behörighetstilldelning bör anses som en obefogad spridning av journaluppgifter och bör som sådan inte accepteras.

I IMY:s beslut påfördes alla fyra regioner och den privata vårdgivaren sanktionsavgifter, för regionernas del belopp mellan 2,5 och 4 mkr, och för den privata vårdgivaren 30 mkr. Dessutom förelades vårdgivarna att utföra en behovs- och riskanalys enligt PDL samt tilldela varje användare en individuell behörighet begränsad till vad denne behöver för att kunna utföra sitt jobb.

Alla vårdgivare överklagade besluten, först till förvaltningsrätten som avslog överklagandena och därefter till kammarrätten, som upphävde dels sanktionsavgifterna och dels föreläggandena om behovs- och riskanalys för alla vårdgivarna.

En region anförde i yttrande till förvaltningsrätten bland annat:

Det finns ingen detaljbeskrivning från vare sig Socialstyrelsen eller IMY som visar hur bestämmelsen i 4 kap 2 § HSLF-FS 2016:40 ska tillämpas i praktiken. Vad som konkret utgör en behovs- och riskanalys eller inte i detta sammanhang är således oklart. Nämnden följer gällande regelverk och har kunna visa på relevant dokumentation även om det inte finns ett specifikt dokument som heter behovs- och riskanalys.

Kammarrätten anförde i skälen bland annat att officialprincipen i 23 § förvaltningslagen innebär att en myndighet har en skyldighet att se till att ett ärende blir utrett i den omfattning som dess beskaffenhet kräver. När det gäller mål som rör ingripanden från det allmännas sida mot en enskild gäller enligt svensk praxis att bevisbördan som huvudregel ansetts åvila den beslutande myndigheten. IMY har därför enligt kammarrätten bevisbördan för att förutsättningarna är uppfyllda för att fatta beslut om sanktionsavgifter. Kammarrätten bedömer att beslut om administrativa sanktionsavgifter ska anses ha straffrättslig karaktär varför beviskravet ska ställas, inte lika högt som för en fällande dom i brottmål, men att det ska vara detsamma som för att påföra skattetillägg, dvs det ska klart framgå att förutsättningarna för att besluta om sanktionsavgift är uppfyllda.

Kammarrätten anför vidare att frågan om tillgång till patientuppgifter har ett direkt samband med förutsättningarna att bedriva en god och säker vård. Frågan om åtkomst till patientuppgifter inom hälso-och sjukvården omfattas av flera olika regelverk med olika syften Reglerna innebär att svåra avvägningar behöver göras där behovet av tillgång till patientuppgifter för att kunna ge god och säker vård ska förenas med krav på skydd för personuppgifter.

Kammarrätten konstaterar vidare att aktuella bestämmelser i PDL med anslutande föreskrifter anger att krav på behörighetstilldelning föregås av behovs- och riskanalyser så att vårdgivaren säkerställer att varje användare får rätt behörighet för sin åtkomst till patientjournaler. Enligt kammarrätten ställs däremot inte något krav på att en sådan behovs och riskanalys ska ha en särskild form, exempelvis att det har upprättats ett särskilt dokument om analysen. Den ansvarsskyldighet som föreskrivs i artikel 5.2 i GDPR innebär inte heller något krav på i vilken form den personuppgiftsansvarige ska visa att principerna för behandling av personuppgifter i artikel 5.1 efterlevs.

Kammarrätten kommer fram till att de interna riktlinjer och dokument som vårdgivarna hänvisat till som behovs- och riskanalyser uppfyller de krav som kan ställas på en sådan, nämligen att de ger svar på vilken åtkomst som behövs för att den anställde ska kunna utföra en god och säker patientvård.

När det gällde begränsningen av behörighetstilldelningen till vad som behövs för att användaren ska kunna fullgöra sina arbetsuppgifter har vårdgivarna anfört bland annat att de har begränsat behörigheterna till vad användarna behöver för att fullgöra sina uppgifter inom hälso- och sjukvården. En användare kan skyndsamt behöva alla uppgifter om en patient för att säkert kunna vårda denne. Man använder sig därför av funktionen aktiva val för tillgång av känsliga personuppgifter, som en integritetshöjande åtgärd. Kammarrätten bedömer att, givet att vårdgivarna skulle ha gett användarna rätt behörighet i enlighet med PDL:s bestämmelser, inget annat har framkommit än att åtgärden aktiva val motsvarar vad som krävs enligt Socialstyrelsens föreskrifter om åtkomst till patientuppgifter i den egna verksamheten och vid sammanhållen journalföring.

Frågan om nämnden har gett medarbetarna för bred behörighet kan enligt kammarrätten inte bedömas utan ett underlag som belyser vad som i detta sammanhang behövs för en god och säker vård inom de olika vårdenheter som tillsynsärendet omfattar. Något sådant underlag har IMY inte presenterat. IMY har också uppgivit att myndigheten över huvud taget inte granskat om tilldelade behörigheter varit för vida. Mot den bakgrunden anser kammarrätten att det som IMY framfört inte är tillräckligt för att det ska stå klart att nämnden inte har säkerställt en lämplig säkerhetsnivå enligt artikel 32 eller uppfyllt sina skyldigheter enligt artikel 5 i GDPR. Någon grund att påföra sanktionsavgift finns därför inte . Även besluten om att förelägga vårdgivarna att utföra vissa dataskyddshöjande åtgärder upphävdes av kammarrätten. Grunden för föreläggandena var samma påstådda brister som utgjorde grund för sanktionsavgifterna.

IMY överklagade kammarrättens domar och Högsta förvaltningsdomstolen beslutade den 30 juni 2023 att inte meddela prövningstillstånd i målen varför kammarrättens domar nu fått laga kraft.

Informationsansvarig

  • Staffan Wikell
    Förbundsjurist

Kontakta oss

Kontakta SKR

Välkommen att skicka in din organisations frågor

  • Vid akuta frågor, vänligen ring SKR:s kontaktcenter på 08-452 70 00.
  • Se till att frågan är väl förberedd innan du skickar in den.
  • Det ingår inte i SKR:s uppgifter att ge service till privatpersoner och privata företag.


Undvik känsliga personuppgifter när du beskriver ditt ärende.






Verifiering * (obligatorisk)
Vi kontrollerar att du är en människa och inte en robot.

SKR använder ett ärendehanteringssystem för effektiva processer för dig som behöver rådgivning och service.

Vill du inte lämna dina personuppgifter går det bra att ringa oss i stället på telefon

08 452 70 00.

Det går också bra att kontakta oss om du vill att dina personuppgifter gallras i systemet.

https://skr.se/dataskydd

Så hanteras ditt ärende

Mer om oss

Sveriges Kommuner och Regioner

SKR är en medlems- och arbetsgivarorganisation för landets alla kommuner och regioner. Vi är en politiskt styrd organisation och vår styrelse består av förtroendevalda från kommuner och regioner.

Kontakta SKR

Adress och övrig kontaktinformation

08-452 70 00

info@skr.se

  • Evenemang

    Hitta och anmäl dig till SKR:s kurser, konferenser och andra evenemang.

  • Rapporter och skrifter

    Ladda ner, läs eller beställ SKR:s olika publikationer.

  • Cirkulär

    Här hittar du SKR:s cirkulär – exempelvis rekommendationer, tolkningar av nya lagar och information om avtal.

  • Handlingar och beslut

    Hitta handlingar och beslut från SKR.

  • Press

    Hitta nyheter, pressmeddelanden och debattartiklar i SKR:s pressrum.

  • Statistik

    Länkar till SKR:s statistik, analysrapporter, öppna jämförelser och ren data indelad efter ämnen.

  • Lärande exempel

    Ta del av hur kommuner och regioner har förbättrat sina verksamheter.

  • Bloggar

    Läs personliga betraktelser om aktuella ämnen.

Om SKR

Kommuner och regioner

Hjälp

Till toppen av sidan