Dyrt kuvertfönster överklagas
- niklasbarke
- 1 juni 2023
- 5 min läsning
Välkommen tillbaka till bloggen! Idag tar vi oss an en överklagan av ett ärende som berör patientintegritet och dataskydd.
Ett beslut från början av året visar hur viktigt det är att ha starka dataskyddsåtgärder på plats, särskilt inom sjukvården. Region Dalarna har överklagat ett beslut relaterat till Regionens sätt att hantera utskick av kallelser till patienter.
Låt oss börja med en kort bakgrund: Integritetsskyddsmyndigheten (IMY) har genomfört en tillsyn av Region Dalarna efter att ha tagit emot klagomål. Vad gäller klagomålen? Jo, det visade sig att namnet på den vårdinrättning en patient skulle besöka var fullt synligt i fönsterkuvertet som användes för kallelsen. Det innebär att känsliga personuppgifter potentiellt kan ha röjts för ett okänt antal personer.
IMY, efter en noggrann granskning, ansåg att Region Dalarnas agerande bröt mot artikel 32.1 i dataskyddsförordningen. Denna artikel kräver att lämpliga tekniska och organisatoriska åtgärder vidtas för att säkerställa en lämplig skyddsnivå vid behandling av personuppgifter. IMY utfärdade en sanktionsavgift på 200 000 kronor mot regionen för denna överträdelse.
Det är nu detta beslut som överklagas av Region Dalarna, men oavsett utgången, ger händelsen oss en viktig lärdom. Det är viktigt att tänka efter innan, inte minst när det rör sig om hur kommunikation med patienter sker. Att visa namnet på vårdinrättningen kan i vissa fall avslöja mer om patientens hälsotillstånd än vad som är lämpligt att dela med omvärlden.
Händelsen i Region Dalarna bör vara en stark påminnelse för alla inom hälso- och sjukvården, men sannolikt även andra offentliga såväl som privata aktörer, måste granska sina egna processer och se till att de uppfyller lagkrav, inklusive individens rätt till integritet.
För att ge ytterligare perspektiv på detta ämne, kan man tänka sig ett hypotetiskt scenario där ett företag anlitar en extern utredare för att hantera en konfliktsituation på arbetsplatsen, utifrån den utredningsskyldighet en arbetsgivare har avseende misstänkta problem i arbetsmiljön på en arbetsplats. Under denna process kommer utredaren att samla in och behandla en mängd personuppgifter, inklusive namn och kanske även känslig information om anställda. Precis som i fallet med Region Dalarna, har detta företag och utredaren en skyldighet att skydda dessa personuppgifter.
Ta till exempel en slutrapport från utredaren. Denna rapport behöver inte nödvändigtvis innehålla namnen på alla inblandade parter. Istället kan den presentera fakta och slutsatser på ett anonymiserat sätt som upprätthåller integriteten hos de inblandade. Oaktat vad en extern utredare har åtagit sig kontraktuellt gentemot en beställande arbetsgivare, så måste en avvägning ske utifrån vad som är nödvändigt under någon av dataskyddsförordningens rättsliga grunder. Utredaren måste åtminstone ställa sig frågan om ett avtal med en beställande arbetsgivare är en godtagbar rättslig grund för att behandla arbetstagarnas personuppgifter, eller om det finns någon annan grund som berättigar personuppgiftsbehandlingen.
Dessutom måste utredaren under hela processen hantera och lagra personuppgifter på ett säkert sätt. Att lagra personuppgifter, särskilt känsliga sådana, på USB-minnen kan vara problematiskt även om man inte tappar bort USB-minnet; kan en organisation inte motivera den ursprungliga lagringen under någon av dataskyddsförordningens rättsliga grunder, så får man inte lagra personuppgifterna alls, oavsett om det sker på ett USB-minne eller i en molntjänst eller lokalt på datorn eller ens utskrivet på papper i ett arkiv.
Dessa skyldigheter, såväl som de frågor, som en extern utredare har och måste ställa sig, kan komma att vara ännu mer komplicerade. Ta till exempel situationen att en beställande organisation är en offentlig verksamhet som lyder under offentlighetsprincipen. I ett sådant fall kommer som regel alla dokument den externa utredaren skickar till den offentliga verksamheten, eller anställda däri, att falla under offentlighetsprincipen och därmed kunna bli föremål för begäran om utlämnande av allmän handling. Hur ska då lämpligen en extern utredare agera? Även om en sådan utredare har ett eget personuppgiftsansvar för de personuppgifter som behandlas, så är det inte nödvändigtvis så att utredaren måste eller ens ska ta hänsyn till vad som händer med handlingar eller liknande som överförs till den offentliga verksamheten.
Detta tar oss tillbaka till de pågående frågorna kring Region Uppsala och deras användning av Outlook för att hantera patientdata, och beslutet om Region Skåne och förlusten av USB-minnen. I båda fallen handlar det om att skydda känsliga personuppgifter och säkerställa att de tekniska och organisatoriska åtgärder som används uppfyller kraven för dataskydd. Vad beslutet avseende viss personuppgiftsbehandling i Outlook blir vet vi inte ännu, men det är tydligt att särskilda skyddsåtgärder måste vidtas när känsliga personuppgifter behandlas på USB-minnen.
Oavsett om det handlar om sjukvård, konflikthantering på arbetsplatsen eller något annat område, måste de ansvariga alltid vara medvetna om vilken typ av information de hanterar och vidta lämpliga åtgärder för att skydda denna information. Skyddet av personuppgifter är inte bara något som följer av lagstiftning, utan också en fråga om respekt för individens rätt till privatliv och integritet.
Inom alla dessa områden, är det av yttersta vikt att upprätta och följa robusta rutiner för dataskydd. Detta kommer inte bara att bidra till att undvika dyra sanktioner, men också att bygga och upprätthålla förtroendet hos de människor vars information man behandlar. Att skydda integriteten och personuppgifterna för individer inblandade i en arbetsplatskonflikt är en absolut nödvändighet. Men precis som vi har sett med Region Dalarna, Region Uppsala och Region Skåne, är det inte alltid enkelt att garantera detta skydd. Oavsett om det är en fråga om att skicka ut kallelser, hantera e-post eller tappa bort ett USB-minne, är riskerna många och konsekvenserna av misslyckanden kan vara mycket allvarliga.
Vi kan dra viktiga lärdomar av dessa fall. För det första, att vi alltid bör sträva efter att minimera mängden personuppgifter vi delar, även i sådana enkla handlingar som att skicka en kallelse. För det andra, att vi bör vara extremt försiktiga med hur vi lagrar och överför personuppgifter, särskilt när det gäller känslig information. Och för det tredje, att vi alltid bör ha robusta system på plats för att hantera eventuella incidenter som involverar personuppgifter.
Och detta gäller inte bara inom sjukvården. Varje organisation som hanterar personuppgifter, oavsett om det är ett sjukhus, en kommun eller ett privat företag, har en skyldighet att skydda dessa uppgifter och att respektera individers rätt till privatliv.
Dataskyddsförordningen finns till just för att skydda oss från sådana överträdelser. Men som vi har sett är det inte alltid tillräckligt att bara följa reglerna - vi måste också vara proaktiva i att se till att vi gör allt vi kan för att skydda personuppgifter och minimera risken för missbruk.
Med andra ord, det är inte bara en fråga om att följa reglerna - det handlar också om att agera på ett sätt som visar respekt för människors rättigheter och integritet. Det är en fråga om grundläggande anständighet och omtanke om andra. Och det är något som alla organisationer, stora som små, bör sträva efter att uppnå.
Slutligen: glöm inte att om det finns en misstanke om att personuppgifter behandlat felaktigt, så är det organisation självt som måste anmäla detta till IMY. Det går inte att sopa problemen under mattan genom att trycka på delete-knappen och låtsas som att det regnar. Ignorerar man felaktig behandling, och detta senare uppdagas, så är risken att konsekvenserna blir allvarligare än om man själv anmält dem. Så, lagrar du personuppgifter på ett sätt som är tveksamt, eller ännu värre - uppenbart felaktigt, så är det både bättre och en skyldighet att anmäla detta till IMY, och sedan ta tag i att åtgärda problemen. Detta gäller såväl som om man lagrar personuppgifter på tveksamma USB-minnen som om man arkiverar känsliga personuppgifter i dåligt låsta kontorsutrymmen. (Anmäl, och) gör om, gör rätt!
Senaste inlägg
Visa allaI en värld där digitaliseringen ständigt accelererar, har integritetstänk och dataskydd aldrig varit viktigare. Ett beslut från...
Spotify, den globala streamingjätten, står inför en potentiell sanktionsavgift på 58 miljoner kronor, utfärdad av...
Integritetsskyddsmyndigheten (IMY) har nyligen fattat ett viktigt beslut gällande polisens hantering av personuppgifter i det så kallade...
Comments