Domstol upphäver GDPR-böter mot Regionerna

I december 2020 meddelande IMY beslut som innebar att ett antal Regioner såväl som privata vårdgivare ansågs bryta mot GDPR vad gäller deras behörighetstilldelning för journalsystem. Tidningsrubriker publicerades som ”Miljonsmäll för sjukhus – slarvade med GDPR” (länk)

Beslutet överklagades till Förvaltningsrätten som för ungefär ett år sedan meddelade dom där IMY:s beslut fastställdes. Detta överklagades till Kammarrätten som alldeles nyss meddelade dom i ärendet och genom den domen underkände IMY:s beslut både vad avser sanktionsavgifter (böter) och IMY:s föreläggande om att genomföra behörighetstilldelning i enlighet med IMY:s föreläggande.

Kammarrätten i Stockholm upphäver IMY:s sanktionsavgifter och även myndighetens föreläggande att åtgärda brister vad gäller fem sjukhus och regioners behörighetshantering till journalsystem.

Vilka regler gäller då för behörighetshantering inom hälso- och sjukvård?

Behörighetshantering är reglerat i den sektorspecifika patientdatalagen med tillhörande föreskrifter och är relativt detaljerade.  

Vad avser behörighetsstyrning framgår av föreskrifterna att varje användare tilldelas en individuell behörighet för åtkomst till patientjournaler. Tilldelning ska föregås av en behovs- och riskanalys.

IMY ansåg i sitt beslut att det hos samtliga regioner saknades en sådan behovs- och riskanalys kring individuell personals behov av åtkomst till journalsystemen. och ansåg att detta i förlängningen bröt mot bestämmelserna om säkerhet i GDPR och därmed kunde åläggas s.k. sanktionsavgifter (en slags böter). Kammarrätten har i sin dom nu upphävt beslutet vad avser sanktionsavgifter, samt föreläggandet att åtgärda bristerna eftersom myndigheten IMY "inte kunnat bevisa" att regionerna brutit mot GDPR vid sin tillämning av behörighetstilldelning.

Den ur juridisk synvinkel intressanta frågan om ett brott mot PDL i sig innebär ett brott mot GDPR (och därmed kan beläggas med administrativa sanktionsavgifter) berörs i domen. Kammarrätten anger att 4 kap. 2 § och 6 kap. 7 § PDL samt Socialstyrelsens föreskrifter om åtkomst till patientuppgifter har ett sådant innehåll att de enligt kammarrättens bedömning ska tillämpas till ledning för om lämplig säkerhet vid behandlingen i detta fall har uppfyllts enligt artikel 32 i GDPR. Det är enligt domstolens uppfattning alltså så att om en kompletterande lagstiftning ställer upp särskilda krav kring hur säkerhet ska hanteras vid behandling av personuppgifter så innebär ett brott mot en sådan även ett brott mot artikel 32 (som i sig inte innebär något särskilt konkret om vilka mer precisa säkerhetsåtgärder som ska vidtas).

Men om domstolen anser detta, varför underkänner de då IMY:s beslut?

I huvudsak anger Kammarrätten att behovs- och riskanalys inte enbart ska ske utifrån dataskyddsaspekter utan även behovet av god och säker vård (som ju vården av patienter ska ske utifrån). Det är vidare inte ett absolut krav att varje (enskild) behovs- och riskanalys ska dokumenteras på ett visst sätt. Eftersom IMY inte kunnat presentera på vilket sätt tilldelningen varit för bred (genom att inte presentera vad de anser skulle vara ett "tillräckligt" behov) och vidare att myndigheten inte preciserat vad i behörighetstilldelningen som varit fel (utan endast konstaterat att det saknas dokumenterade risk och behovsanalyser) anser Kammarrätten att det inte finns tillräckligt underlag för att bevisa att någon brist föreligger.

I grund och botten anser alltså Kammarrätten att IMY presenterat alltför lite underlag mer konkret i vad regionerna gjort för fel samt vad det har lett till. Domen är mycket intressant, inte minst för att den uttryckligen pekar på att bedömningsgrunderna vid behovs- och riskanalysen även ska inkludera vad som krävs för att tillhandahålla en god och säker vård (något som från hälso- och sjukvård ofta påpekas förutsätter en mycket bred behörighetstilldelning) och att den även riktar in sig mycket på vad som kan krävas av en tillsynsmyndighet vad gäller bevisning. Inte bara bevisning att en aktör inte gjort exakt vad som framgår av en föreskrift utan även mer konkret vad en aktör gjort eller inte gjort i ett enskilt fall och vad det har lett till för konsekvenser.

Även om det förvisso är rimligt att ställa sådana beviskrav mot en myndighet så ska man också ha i åtanke att det enligt GDPR finns en allmän ansvarsskyldighet för alla personuppgiftsansvariga vilken lägger ett stort ansvar på varje aktör att själva visa och demonstrera på vilket sätt man faktiskt följer GDPR.

Domen har blivit överklagad till högsta förvaltningsrätten av IMY och det kommer bli mycket intressant att se vilket det slutliga resultat kan bli.