Så ska dina patientdata skyddas
Före detta Datainspektionen, numera Integritetsskyddsmyndigheten (IMY) har fått in ansökan om samråd och en 29-sidig konsekvensbeskrivning från Region Skåne. Den handlar om säkerhetsaspekterna för Skånes digitala vårdsystem (SDV), ett amerikanskt system som ska ersätta de många och föråldrade olika system som finns i nuläget för att hantera patientdata och patientjournaler i Skåne.
Problem har dock uppstått med hänsyn till lagstiftningen (se faktaruta) och det gör att projektet har försenats. Två olika advokatutredningar har begärts in för att belysa frågan. En från Cerner, och en fristående som regionen låter göra.
– Där har vi inte fått vår ”second opinion” fullständigt än, och eftersom alla partier inte känner att de fått in alla svar än, skjuter vi upp besluten om när testmiljön ska börja och när systemet kan driftsättas, sa regionrådet Annette Linander (C) förra veckan, när ärendet dagen innan lyfts ut från beslut i regionstyrelsen.
– Att amerikanska myndigheter kan komma åt skånska patientdata är något vi aldrig kan acceptera. Vi erkänner inte USA:s jurisdiktion över Skåne, det är därför vi vill ha ordentliga utredningar om detta. Om sedan införandet skjuts upp ett halvår eller ett år måste vi acceptera det, bättre att vi gör rätt än fort i detta, sa oppositionsrådet Henrik Fritzon (S).
Förutom advokatutredningar väntas också svaret från IMY inom åtta veckor, om hur den myndigheten bedömer riskerna.
– I och med att vi nu förbereder för ett driftsättande, ingår det att vi ska ha ett samråd med IMY, säger Harald Roos, ordförande i styrgruppen för SDV-projektet.
Vad förväntar ni er för svar nu?
– Det här är avgörande för hela fortsättningen för SDV. Vad jag vet är vi pionjärer just nu, med att ha sådana här frågeställningar och behandla den typen av uppgifter med en global support. Jag hoppas och tror att de åtgärder vi har beskrivit som riskminimerande ska göra att de tycker vi uppfyller de krav som ställs.
Och om de säger nej?
– Då förväntar vi oss att samrådet ska vägleda oss till vad vi ytterligare kan göra. För vi behöver ett nytt system, då måste vi modifiera det på annat sätt. Kanske var och hur man bedriver support och den typen av frågor.
Blir svaret positivt kan migreringen börja. Det innebär att data skickas över till servrar i Stockholm, som driftas av Cerner Sverige. När systemet är helt infört ska viss support ske av Cerners anställda eller leverantörer i USA och Indien.
SDV-projektet och Region Skåne uppger nu att de vidtagit en rad åtgärder för att säkra patientdatan. Bland annat:
• Supporten ska endast i undantagsfall kunna komma åt patientuppgifter, och då under en begränsad tid för att lösa uppgiften. I övrigt ska de kunna göra underhåll utan att se patientinformationen.
• Behörighetsstyrning – endast betrodda medarbetare får tillgång till viss data, efter bedömning av deras behov och arbetsuppgifter.
• Inloggningar – all aktivitet i IT-systemen loggas på individnivå.
• All data som överförs är krypterad och förs via VPN (krypterade nätverk).
• Ingen information lagras lokalt på medarbetares datorer.
• Avtalen ses över och bland annat har Cerner Sverige gett en garanti om att inte lämna ut uppgifter direkt till utländska myndigheter, samt omedelbart larma Region Skåne om sådan begäran inkommer.
Men vad kan ni göra om ni får veta att sådan begäran inkommit?
– Det vet jag inte exakt. Men om vi vet om det har vi möjlighet att agera. Det skall ju i så fall röra sig om en begäran som begärs ut av brottsutredande skäl.
– Vi kan i likhet med vad vi gör idag när detta begärs av svenska myndigheter göra en egen menprövning. Eventuellt kan vi också gå via andra svenska myndigheter. Det måste antagligen gå den vägen, även om det aldrig varit aktuellt med denna typ av utlämnanden tidigare.
– Vi har också advokatutredningar som pekar på att det är väldigt låg sannolikhet, 1 på en 5-gradig skala, att sådan begäran inkommer, säger Harald Roos.
”Det här är avgörande för hela fortsättningen för SDV. Vad jag vet är vi pionjärer just nu, med att ha sådana här frågeställningar och behandla den typen av uppgifter med en global support. Jag hoppas och tror att vi uppfyller de krav som ställs.”Harald Roos, ordförande i styrgruppen för SDV-projektet.
Cloud act och GDPR
Cloud act är en amerikansk lag som säger att amerikanska bolag ska kunna förse USA:s myndigheter med deras uppgifter och data, oavsett var dessa lagras. Eftersom Cerner är amerikanskt bolag diskuteras hur stor sannolikhet det är för att Cerner ska lämna ut skånska patientdata. Väldigt låg, säger Cerners egen advokatutredning. Region Skåne väntar in en självständig advokatutredning som beställts.
GDPR (EU:s dataskyddsförordning) tar upp vad som händer om personuppgifter förs över till ett tredje land, dvs utanför EU. Då support och drift av IT-systemen bland annat sker från USA och Indien, måste även detta vägas in.
Därför har regionen skrivit följande till IMY:
”Förberedelserna för införande av IT-systemen innebär att personuppgifter i stor mängd som dessutom till stor del utgör känsliga personuppgifter och således omfattas av art 9.1 DSF överförs till personuppgiftsbiträdet Cerner Sverige AB.
Överföringen till personuppgiftsbiträdet kommer att innebära risk för att personuppgifterna även överförs till tredjeland genom den drift och support som behövs och behandlingen måste därför omfattas av lämpliga skyddsåtgärder i enlighet med art 46 DSF.
Oaktat att alla rimliga åtgärder som redovisas nedan vidtas har Region Skåne svårt att bedöma risken för de registrerade. Svårigheten består både av utmaningen att värdera motåtgärderna och att det är ett oklart rättsligt läge vad gäller möjligheten att genomföra en tillåten överföring av personuppgifter till tredjeland.
Region Skåne bedömer därmed att det är rättsligt osäkert om risken för registrerade fortfarande är hög och söker därför samråd med Integritetsskyddsmyndigheten.”