2020.01.13

Är det tillåtet att ge en extern leverantör av IT-tjänster tillgång till patientuppgifter?


Likt övriga branscher utvecklas Hälso- och sjukvården i ett snabbt tempo. Nya tjänster och produkter med syfte att effektivisera vården lanseras dagligen på marknaden. Som vårdgivare kan det vara svårt att hänga med i utvecklingens tempo, varför många väljer att anlita externa IT-tjänsteleverantörer.

Att använda sig av externa IT-leverantörer är tillåtet så länge som vårdgivaren kan säkerställa ett tillräckligt skydd vad gäller behandling av patientuppgifter och annan känslig information. Det är i dagsläget dock inte helt tydligt vilka krav som ställs på vårdgivare då IT-leverantörer bereds tillgång till känslig information. Kan en vårdgivare faktiskt säkerställa efterlevnad av tillämplig lag, utan att den dagliga verksamheten och patientsäkerheten påverkas negativt?  

Lagar och regler
Patientdatalagen (”PDL”) ska tillämpas av vårdgivare vid behandling av personuppgifter inom hälso- och sjukvården. Lagens främsta syfte är att tillsäkra att informationshanteringen är organiserad, tillgodoser patientsäkerhet och god kvalitet, samt främjar kostnadseffektivitet. PDL tar även sikte på att personuppgifter utformas och i övrigt behandlas så att patienters och andra enskildas integritet respekteras.

Dataskyddsförordningen (”GDPR”), som är direkt tillämplig under svensk rätt på all behandling av personuppgifter gäller i tillägg till PDL för personuppgiftsbehandling som sker inom hälso- och sjukvården. GDPR tillsammans med PDL kompletteras även av Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (”HSLF”).

Tillgång till patientuppgifter
Huvudansvaret för att reglera externa leverantörers tillgång till patientuppgifter åligger vårdgivaren, som är direkt bunden av PDL och skyldig att försäkra sig om att leverantörens tillgång till patientuppgifter sker på ett sätt som når upp till lagens krav. Leverantören är inte i sig självt bunden av PDL, men blir trots detta skyldig att följa PDL:s krav eftersom vårdgivaren är bunden av lagen. Detta sagt har leverantören däremot ett sekundärt ansvar under GDPR som åvilar densamme, såsom personuppgiftsbiträde, att vidta åtgärder för att skydda patienternas integritet.

Då en vårdgivare ger tillgång till patientuppgifter krävs det att vårdgivaren säkerställer att IT-leverantören endast får tillgång till den information som är nödvändig för att utföra sina tjänster. Hur patientuppgifter lämnas ut till leverantören har betydelse för om utlämnandet anses tillåtet eller inte. Behandlingen måste i varje enskilt fall vägas mot risken för otillbörliga integritetsintrång. I PDL finns två huvudbegrepp när man talar om utlämning av patientuppgifter; (i) direktåtkomst, och (ii) utlämnande på medium för automatiserad behandling.

Direktåtkomst avser ett elektroniskt utlämnande av patientdata till en extern mottagare som, på egen hand, får tillgång att söka efter information i databasen/registret, utan att kunna påverka innehållet däri. Ett sådant utlämnande anses vara en särskilt integritetskänslig form av elektroniskt utlämnande och får endast ske i den utsträckning som medges i lag. Direktåtkomst är således uttömmande reglerat i PDL. Då leverantören varken är vårdgivare eller patient, vilket är krav för direktåtkomst enligt PDL, kan leverantören inte enligt lag beredas tillgång till patientuppgifter på detta sätt.

Det finns ingen klar gränsdragning mellan direktåtkomst och ett utlämnande på medium för automatiserad behandling. Utmärkande för det senare är att vårdgivaren vid varje överföringstillfälle gör en sekretessprövning och tar ett beslut om mottagaren ska få ta del av informationen eller inte. Mottagaren, i detta fall leverantören, har således inte möjlighet att på egen hand få tillgång till patientuppgifter.

I många fall behöver leverantörer av IT-tjänster få tillgång till patientuppgifter för att kunna utföra sina åtaganden gentemot vårdgivaren, dvs. för att kunna tillhandahålla sina tjänster. Det är som nämnt tillåtet att lämna ut patientuppgifter via automatiserade medel, så länge som en prövning sker vid varje enskild begäran om detsamma. För att en korrekt bedömning ska vara möjlig krävs det att det framgår av begäran vilka uppgifter mottagaren ska beredas tillgång till. Först därefter kan vårdgivaren bedöma om utlämnandet i sig är tillåtet. Varje bedömning ska resultera i att utlämnande begränsas eller beviljas. Vidare bör all tillgång och aktivitet loggas så att vårdgivaren i efterhand kan kontrollera vilka uppgifter leverantören fått tillgång till.

Problem som uppstår i praktiken är att leverantörerna, i alla fall vid leverans av IT-system, ofta har direktåtkomst till patientuppgifter i syfte att exempelvis underhålla systemet eller för att kunna leverera support därav. Eftersom leverantörerna inte omfattas direkt av PDL är det oklart hur vårdgivaren på ett smidigt och säkert sätt bör ge IT-leverantörer tillgång till känslig information. Det är inte praktiskt att vårdgivaren vid varje enskilt tillfälle behöver göra en prövning om leverantören ska få tillgång till patientuppgifter eller inte, eftersom detta påverkar IT-leverantörens tillhandahållande av tjänster och i sin tur även patientsäkerheten om sådana tjänster ligger nere. I många fall kanske vårdgivaren inte ens vet vilka uppgifter som leverantören behöver få tillgång till för att exempelvis hantera ett supportärende, vilket gör prövningen av en begäran näst intill omöjlig.

Vidare, för att en vårdgivare ska få lämna ut sekretessbelagda uppgifter krävs det att den lagstadgade tystnadsplikten kan åsidosättas. Eftersom IT-leverantören inte omfattas av en lagstadgad sekretesskyldighet, kommer vårdgivaren behöva säkerställa att tystnadsplikten får åsidosättas. Offentlighets- och sekretesslagen (2009:400) (”OSL”) ställer upp ett starkt sekretesskydd för uppgifter om patienter inom hälso- och sjukvården och kräver att vårdgivaren utför så kallade sekretessprövningar.

Reglerna om behandling av personuppgifter inom hälso- och sjukvården har inte någon direkt betydelse för hur sekretessfrågan ska prövas. Frågan om patientuppgifter kan göras tillgängliga till en mottagare (i detta fall IT-leverantör) enligt OSL är i första hand beroende av om ett utlämnande kan ske utan att det innebär skada för den som skyddas av sekretessen. Bedömningen ska dock grundas på såväl nyttan som säkerhetsaspekterna vad gäller vårdgivarens skyldighet att upprätthålla en tillräckligt hög nivå av säkerhet för de patientuppgifter som behandlas.

IT-advokaterna bedömer att vårdgivaren bör kunna åsidosätta sekretessen vid vissa tillfällen när leverantörer tillhandahåller IT-tjänster, men att det är extremt viktigt att strama behörighetsbegränsningar och strikta säkerhetsåtgärder finns på plats. En väg att komma runt tillgångsproblematiken vore kanske att erlägga IT-leverantörerna inom hälso- och sjukvården med en lagstadgad tystnadsplikt som ålägger leverantören motsvarande krav på sekretess som vårdgivaren.

Eftersom behandling av patientuppgifter i månt och mycket regleras av speciallagstiftning, som exempelvis PDL, och endast omfattar vårdgivaren och dess personal är frågan om anlitandet av en extern IT-leverantör ska anses strida mot lag eller inte. IT-advokaterna anser att vårdgivare får svårt att säkerställa efterlevnad av tillämplig lag, eftersom vårdgivaren vid utlämning av patientuppgifter bryter mot PDL så som lagen är utformad i dagsläget. Hur ska en vårdgivare säkerställa efterlevnad av tillämplig lag, utan att den dagliga verksamheten och patientsäkerheten påverkas negativt? Önskvärt vore om Datainspektionen och Socialstyrelsen kom med tydligare vägledning.