Landstinget i Uppsala län ger via e-tjänsten ”Min journal via nätet” en enskild patient tillgång till sina journaluppgifter. Den enskilde kan också välja att dela sin journal med en annan person – ett så kallat ombud – som dock först måste logga in via ”Mina vårdkontakter”.
Datainspektionen förelade i början av 2015 Landstinget i Uppsala län att snarast upphöra med att ge en enskild patients ombud direktåtkomst till landstingets personuppgifter om patienten.
Överklagandet avslogs
Landstinget överklagade till Förvaltningsrätten i Stockholm som ansåg att det inte kunde anses förenligt med gällande rätt att ge ett ombud direktåtkomst till landstingets personuppgifter om en enskild patient.
Överklagandet avslogs därför.
Landstinget överklagade till Kammarrätten i Stockholm som konstaterade att det i förarbetena till patientdatalagen anges att huvudregeln bland annat innebär att personuppgifter kan samlas in och behandlas för ett ändamål som inte anges i PDL:s ändamålsbestämning – om den enskilde har lämnat ett uttryckligt samtycke till detta.
Kammarrätten av annan uppfattning
Det undantag som anges i bestämmelsen – när samtycke inte får lämnas till personuppgiftsbehandling – reglerade enligt kammarrätten inte den aktuella situationen. Det fanns inte heller något annat undantag som skulle begränsa patientens möjligheter att i övriga situationer samtycka till personuppgiftsbehandling.
Kammarrätten ansåg därför att huvudregeln innebar att den enskildes uttryckliga samtycke gav rättsligt stöd till att vårdgivare får ge direktåtkomst till ombud – under samma förutsättningar som till den enskilde själv.
Kammarrätten rev därför upp förvaltningsrättens avgörande och gav landstinget rätt.
Motsvarighet i PUL
Datainspektionen överklagade till Högsta förvaltningsdomstolen som nu slår fast att DI har haft fog för sitt föreläggande.
Bestämmelsen om samtycke i PDL ska enligt HFD tolkas i ljuset av personuppgiftslagen, PUL. Behandling får därmed ske med stöd av samtyckesbestämmelsen endast under förutsättning att tillämpningen inte strider mot bestämmelser i PDL av motsvarande slag som finns i PUL.
Enligt dessa bestämmelser är direktåtkomst endast tillåten i den omfattning det ges utrymme till detta i lag eller förordning.
Datainspektionen får rätt
Enligt HFD är det ”tydligt” att lagstiftaren ”uttömmande” har velat reglera under vilka förutsättningar och till vem en vårdgivare får ge direktåtkomst till en enskild.
Om det inte är tillåtet genom bestämmelserna är det därmed förbjudet.
Den generellt utformade samtyckesbestämmelsen kan därför inte åberopas gentemot en sådan specialreglering.
