Fortsatt utredning om personuppgiftshantering

Region Skåne har nu fått Integritetsskyddsmyndighetens, IMY, råd för hantering av patientdata för Skånes digitala vårdsystem – SDV. Brist på praxis i EU-lagstiftningen leder till att Region Skåne utreder frågan vidare.

IMY råder Region Skåne att inte använda den amerikanska leverantören Cerners supportorganisationer i USA och Indien för personuppgiftshanteringen vid drift av två av sina journalsystem eftersom det skulle kunna innebära att personuppgifter inte kan garanteras skydd från överföring till tredjeland.

- Råden vi har fått från IMY innebär att vi nu dels kommer att fördjupa dialogen ytterligare med leverantören kring tredjelandsproblematiken för drift och support och dels utreda vad lagstiftningen innebär, säger Harald Roos, styrgruppsordförande, SDV.

Anledningen som IMY uppger är att det inte finns rättsligt stöd för detta i dataskyddförordningen avseende tystnadsplikt. Eftersom det saknas vägledande praxis eller vägledning från Europeiska dataskyddsstyrelsen (EDPB) om tolkningen av artikel 9.3 i dataskyddsförordningen om tystnadsplikt, innebär IMYs råd att Region Skåne ska utreda tredjelandslagstiftningen ytterligare.

Region Skånes egna jurister och dataskyddsombud kommer nu tillsammans med en extern advokatbyrå arbeta vidare med frågan för fördjupad analys och förslag på åtgärder.

- Just nu vet vi inget om tidsaspekten för dessa fördjupade analyser eller hur IMYs besked påverkar arbetet utan vi får återkomma med mer information så snart vi har mer fakta på bordet, säger Harald Roos.