I slutet av 2020 utfärdade Integritetsskyddsmyndigheten (då Datainspektionen) sanktionsavgifter om mellan 2,5 och 10 miljoner för bland annat Styrelsen för Karolinska Universitetssjukhuset, Hälso- och sjukvårdsnämnden i Region Västerbotten, Styrelsen för Sahlgrenska Universitetssjukhuset, Capio S:t Görans Sjukhus AB och Regionstyrelsen i Region Östergötland. Dåvarande beslut sammanfattades som:
“Integritetsskyddsmyndigheten konstaterar att sju av vårdgivarna inte har genomfört en behovs- och riskanalys medan en vårdgivare har genomfört en analys som dock har vissa brister. Myndigheten konstaterar även att sju av vårdgivarna inte begränsar användarnas behörigheter för åtkomst till respektive journalsystem till vad som enbart behövs för att användaren ska kunna fullgöra sina arbetsuppgifter.”
Besluten bestreds av vårdgivarna i Förvaltningsrätten Stockholm som dock fann att sjukhusen överträtt GDPR och att IMY därmed haft fog för att ingripa dels genom en administrativ sanktionsavgift, dels ett föreläggande.
Domarna överklagades – och i fem nyligen meddelade domar ger Kammarrätten vårdgivarna rätt och upphäver Integritetsskyddsmyndighetens beslut. Rättens ordförande kammarrättsrådet Eva Östman Johansson sammanfattar domen som:
“Behandling av personuppgifter inom sjukvården omfattas av olika regelverk. De handlar både om behovet av patientuppgifter för att kunna ge god och säker vård och om enskildas rätt till skydd av personuppgifterna. Det innebär svåra avvägningar för vårdgivaren att förena dessa krav vid sjukvårdens personuppgiftsbehandling. I de nu prövade målen har IMY inte lyckats bevisa att sjukhusen och regionerna brustit i sina skyldigheter enligt dataskyddsförordningen.”
