Integritetsskyddsmyndigheten har inte lyckats bevisa att fem vårdgivare överträtt GDPR genom att inte göra tillräckliga behovs- och riskanalyser innan man tilldelade medarbetare åtkomst till personuppgifter.
Det slår kammarrätten fast och upphäver IMY:s beslut och förvaltningsrättens domar.
Integritetsskyddsmyndigheten, IMY, granskade hur ett antal vårdgivare styrde och begränsade personalens åtkomst till huvudjournalsystemen. Granskningarna ledde till att brister i hanteringen upptäcktes och myndigheten beslutade om administrativa sanktionsavgifter på miljonbelopp för vårdgivarna.
Enligt IMY hade vårdgivarna, genom att tilldela varje användare behörig för åtkomst till personuppgifter utan att genomföra behovs- och riskanalyser, behandlat personuppgifter i strid med dataskyddsförordningen (GDPR).
Fem av IMY:s sju beslut överklagades senare till förvaltningsrätten, som avslog samtliga av dessa med motiveringen att GDPR överträtts och att IMY därmed haft fog för utfärdandet av sanktionsavgifterna samt sitt beslut att utfärda föreläggande.
Cras dolor sem
Förvaltningsrättens domar överklagades i sin tur till kammarrätten – som nu river upp samtliga och befriar vårdgivarna från sanktionsavgifterna.
Kammarrätten anser inte att IMY lyckats bevisa att de fem vårdgivarna brustit i sina skyldigheter enligt EU:s dataskyddsförordning när det kommer till att säkerställa en lämplig säkerhetsnivå vid tilldelning av behörigheter i journalsystemen. Det saknas därför skäl för att påföra sanktionsavgifter – och dessa ska upphävas precis som föreläggandena om att bristerna ska åtgärdas. Ett föreläggande som riktats mot ett av sjukhusen gällande förbättrat innehåll i loggar har det dock, enligt kammarrätten, funnits fog för och detta ska stå fast.
– Behandling av personuppgifter inom sjukvården omfattas av olika regelverk. De handlar både om behovet av patientuppgifter för att kunna ge god och säker vård och om enskildas rätt till skydd av personuppgifterna. Det innebär svåra avvägningar för vårdgivaren att förena dessa krav vid sjukvårdens personuppgiftsbehandling. I de nu prövade målen har IMY inte lyckats bevisa att sjukhusen och regionerna brustit i sina skyldigheter enligt dataskyddsförordningen, säger rättens ordförande kammarrättsrådet Eva Östman Johansson i ett pressmeddelande.
