IMY: SKR:s väntetidsdatabas bryter mot GDPR
Eric Leijonram, generaldirektör på IMY. Foto: Adobe stock, IMY/Thron Ullberg
Sveriges Kommuner och Regioner behandlar personuppgifter i den nationella vändetidsdatabasen i strid med GDPR. Det uppger IMY, som nu har beslutat att SKR ska upphöra med behandlingen inom två år.
Den nationella väntetidsdatabasen används för att ta fram väntetidsstatistik i vården och följa upp den statliga vårdgarantin. Årligen rapporterar regionerna cirka 40 miljoner vårdbesök till väntetidsdatabasen.
Nu bedömer IMY att det inte finns något lagligt stöd att behandla hälsouppgifterna – vilket klassas som känsliga personuppgifter enligt GDPR – i databasen.
Personuppgifterna som behandlas i databasen är avkodade och innehåller inte exempelvis personnummer och namn. Likväl betraktas de som känsliga då det är möjligt att koppla uppgifter om exempelvis diagnoser till en specifik person med hjälp av en kodnyckel.
Förbudet börjar gälla om två år
SKR får en reprimand av IMY och förbjuds att fortsätta med databehandlingen. Samtidigt bedömer IMY att databasen har en viktig funktion och beslutar därför att förbudet ska börja gälla först om två år. Under tiden ska det antingen ha tagits fram ett författningsstöd för personuppgiftsbehandlingen, eller så ska SKR ha vidtagit åtgärder så att personuppgifter inte längre behandlas i databasen.
– Även om väntetidsdatabasen är ett centralt verktyg för att följa upp svensk vård så är det viktigt att det finns stöd för en så omfattande hantering av känsliga personuppgifter som databasen medför, säger Eric Leijonram, generaldirektör för IMY, via ett pressmeddelande.
Läs mer om ämnet: