Fortsatt utredning om personuppgiftshantering

Region Skåne har nu fått Integritetsskyddsmyndighetens, IMY, råd för hantering av patientdata för Skånes digitala vårdsystem, SDV. Brist på praxis i EU-lagstiftningen leder till att Region Skåne måste utreda frågan vidare.

IMY råder Region Skåne att inte använda den amerikanska leverantören Cerners supportorganisationer i USA och Indien för personuppgiftshanteringen vid driften av SDV eftersom det skulle kunna innebära att personuppgifter inte kan garanteras skydd från överföring till tredjeland.

– Råden vi har fått från IMY innebär att vi nu dels kommer att fördjupa dialogen ytterligare med leverantören kring tredjelandsproblematiken för drift och support och dels utreda vad lagstiftningen innebär, säger Harald Roos, styrgruppsordförande, SDV.

Brist på praxis i EU-lagstiftning

Anledningen som IMY uppger är att det inte finns rättsligt stöd för detta i dataskyddförordningen avseende tystnadsplikt. Eftersom det saknas vägledande praxis eller vägledning från Europeiska dataskyddsstyrelsen (EDPB) om tolkningen av artikel 9.3 i dataskyddsförordningen, innebär IMY:s råd att Region Skåne ska utreda tredjelandslagstiftningen ytterligare.

Region Skånes egna jurister och dataskyddsombud kommer nu tillsammans med en extern advokatbyrå arbeta vidare med frågan för fördjupad analys och förslag på åtgärder.

– Just nu vet vi inget om tidsaspekten för dessa fördjupade analyser eller hur IMY:s besked påverkar projektet utan vi får återkomma med mer information så snart vi har all fakta på bordet, säger Harald Roos.