Datahantering säkras inför införandet av SDV

Just nu pågår arbete med riskanalys och externa utlåtanden kring datahanteringen i Skånes digitala vårdsystem, SDV. Detta är viktiga underlag när regionstyrelsen ska godkänna att systemet tas i drift.

Region Skåne har under en längre tid arbetat med jurister för att lyfta fram risker kring datahantering i SDV. Detta behövs för att Region Skåne är först i landet med att upphandla ett heltäckande vårdinformationssystem och det är viktigt att patienternas integritet skyddas.

Vad händer

I oktober 2020 begärde Region Skåne att leverantören Cerner skulle skaffa ett självständigt utlåtande från en advokatfirma att driften av systemet uppfyller svenska lagar och regler. Cerner är ett amerikanskt bolag men Region Skånes avtal är med det svenska bolaget Cerner Sverige AB.

Regionstyrelsen beslutade dessutom i december förra året om en extern översyn rörande datahantering och datalagring inom ramen för SDV i relation till svensk och amerikansk (tredje lands) lagstiftning. Dessa båda genomgångar kommer sedan att hjälpa regionstyrelsen att besluta om SDV kan tas i drift.

Helhetsgrepp kring patientdata

Hälso- och sjukvårdsdirektör Pia Lundbom är informationsägare gällande patientdata i Region Skåne. I slutet av förra året tog hon först ett beslut om flytt av data inför testfasen av SDV, som hon kort därefter tog tillbaka på grund av regionstyrelsens begäran om extern översyn:

- Det kändes naturligt i och med regionstyrelsens uppdrag, även om mitt beslut endast avsåg överföring av patientdata för att kunna påbörja testfasen för projektet. Nu blir det ett helhetsgrepp som också omfattar hanteringen av patientdata inför driftstart vilket jag tycker är bra. I min roll som hälso- och sjukvårdsdirektör ser jag tydligt behovet av ett sammanhållet digitalt vårdsystem, men också att alla behöver känna trygghet i att vi värnar om patientintegriteten även när SDV införs.

Frågor från IVO

Inspektionen för vård och omsorg (IVO) har öppnat ett tillsynsärende med några frågor om arbetet med riskanalys, riskvärdering och testdata. Regionstyrelsen ska svara på dessa frågor senast 10 februari. I svaret kommer det bland annat påpekas att de testdata som hittills överförts har varit fiktiva eller anonymiserade och inte kan knytas till någon person.

Fakta

Lagar som påverkar datahanteringen i SDV

  • Patientdatalag 
  • Offentlighets- och sekretesslag
  • Dataskyddsförordning
  • Patientsäkerhetslag
  • Hälso- och sjukvårdslag

CLOUD Act och molntjänster

Den amerikanska lagen CLOUD Act (Clarifying Lawful Overseas Use of Data Act) nämns ofta i detta sammanhang. Enligt CLOUD Act har brottsbekämpande myndigheter i USA rätt att kräva tillgång till vissa data lagrade i så kallade moln, oavsett ägare och utan geografiska begränsningar. Detta om det finns sannolika skäl att ett brott har begåtts och om molntjänstleverantören omfattas av amerikanska lagar. Cerner Sverige AB har sedan tidigare bekräftat att de inte kommer att lämna ut patientuppgifter även om de får krav från amerikanska myndigheter utifrån CLOUD Act.

Molntjänster innebär att program, processorkraft, datalagring och andra IT-relaterade funktioner finns på servrar utanför organisationen och nås från alla ställen där det finns tillgång till internet. En extern leverantör sköter driften.

Region Skånes riktlinjer för informationssäkerhet

I Region Skåne finns riktlinjer för informationssäkerhet som regionstyrelsen beslutat om. SDV-programmet arbetar utifrån dessa riktlinjer.