OBS! Föreningen Dataskydd.net upplöstes i maj 2024. Sidorna kan innehålla brutna länkar och information som är inaktuell.

Förvaltningsrätten bestämmer att även landsting måste följa patientdatalagen

Förvaltningsrätten bestämmer att även landsting måste följa patientdatalagen

Efter Datainspektionens tillsyn av hur landstingen följer patientdatalagen har det framkommit att många landsting inte följer patientdatalagen. Specifikt har chefer i landstingen inte tagit fram rutiner för hur personuppgifter ska behandlas, och det har inte skett dokumenterade behovs- och riskanalyser då man bestämt vem som ska få läsa journaler.

Efter en vända i förvaltningsrätten är det nu etablerat att behovs- och riskanalysen behöver skötas centralt. Detta är ett rimligt beslut av domstolen, eftersom IT-systemen där journalerna lagras upphandlas och underhålls centralt i landstinget. En verksamhetschef har alltså få praktiska möjligheter att efterleva en egen behovsprövning, eftersom den inte kan styra över sina egna arbetsverktyg.

Att behovs- och riskanalyser genomförs längre bort från de dagliga verksamheterna innebär inte att enskildas möjligheter att utöva sina rättigheter stärks. Snarare flyttas maktutövningen ett steg längre bort från individen. Det är emellertid svårt att förlika centraliseringen och de storskaliga upphandlingarna med ett mer verksamhetsnära förfarande för åtkomstprivilegier. Vårdverksamheten dikteras i praktiken av de krav på dokumentation och granskning av vården som IT-system som köps upp gör möjliga. Central behörighetsutdelning är en naturlig anpassning till den omständigheten.

Under 1970- och 80-talen diskuterades frågor om centraliserade IT-system och myndighetsutövning mycket i både riksdagen och i statliga utredningar. De senaste tre decennierna har mindre uppmärksamhet riktats mot konsekvenserna av centralisering av IT-system. Det gör att både arbetssituationen för verksamhetens anställda, och möjligheterna för enskilda att utkräva ansvar, givits lägre fokus.

Särskilt verkar detta inte ha givits något större fokus när man bestämt hur man ska bygga systemen som används inom vården och på vilket sätt man ska låta system prata med varandra, om man ska göra det. Integritetskommittén har i sitt delbetänkande SOU 2016:41 särskilt lyft fram att varken polisdatalagen eller patientdatalagen verkar följas av verksamheterna i vardagen.

Läs mer:

Datainspektionen, Vårdgivare måste förhindra att anställda får för vid åtkomst till journaluppgifter (08.06.2016):

http://www.datainspektionen.se/press/nyheter/2016/vardgivare-maste-forhi...

Dataskydd.net sammanställning av svenska utredningar om dataskydd från 1972 och framåt (med länkar till KB:s SOU-register):

https://dataskydd.net/svenska-utredningar-om-dataskydd

SOU 2016:41. Hur står det till med den personliga integriteten? – En kartläggning av Integritetskommittén

http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/20...

All text, förutom citat, är tillgänglig under CC0 (ingen upphovsrätt).