Vårdens videobesök kan bryta mot lagen
Under coronapandemin har sjukvården i Skåne märkt av behovet att kunna hantera patienter på distans. Därför infördes ganska fort möjligheten till videobesök inom vården.
Men denna verksamhet är inte helt riskfri när det gäller patientsekretessen. En omfattande riskanalys som gjorts inom Region Skåne, av såväl it-säkerhetsexperter, informationssäkerhetsexperter och jurister, pekar på flera risker för att obehöriga ska kunna komma åt sekretessbelagd som patientdata.
Det handlar bland annat om att patientuppgifter lagras i ”molnet” hos en leverantör (Microsoft Azure). Även om informationen är krypterad har Microsoft tillgång till nycklarna och dess personal kan komma åt informationen. Dessutom omfattas det av cloud act, en lag i USA som ger dess myndigheter rätt att få ut data från amerikanska bolag och deras molntjänster – oavsett var dessa befinner sig rent fysiskt.
Regionen vill lösa detta genom att bara spara absolut nödvändiga uppgifter i tjänsten, som telefonnummer men inte personnummer, och att uppgifterna raderas inom 48 timmar. Man vill också se om det går att få till ett bättre avtal med Microsoft, så att regionen kan hantera krypteringsnycklarna till tjänsten.
Här saknas innehåll
Juristerna i regionen anser att den här lösningen ändå inte lämpar sig för att hantera sekretessbelagd information och rekommenderar att den bara används under coronapandemin.
Det finns också andra scenarion med videobesök där det bedöms finnas risker att patientdata sprids eller röjs, även till tredje land utanför EU vilket i så fall är lagbrott. Efter riskanalys och åtgärder är ändå det flera risker som klassas som ”medium” eller ”hög” för att de ska inträffa.
Trots detta väljer sjukvården i Skåne att köra vidare med videobesöken.
– Ja, juridiken är inte helt glasklar när det gäller hela den här digitaliseringsbiten, säger Gilbert Tribo som är ordförande för hälso- och sjukvårdsnämnden. Han påpekar att videosamtalen inte spelas in, och därmed lagras inte dessa känsliga uppgifter.
– Det är inte säkert att det här är lagligt, men vi kör så länge. Vi måste se till att ge så säker vård som möjligt, då får det stå överst. Det här pekar åter på den oklarhet med rådande lagstiftning, om bland annat digitala besök.
De lagar som anses krocka är hälso- och sjukvårdslagen, som säger att man måste ge en trygg och säker vård. Där är Socialstyrelsen tillsynsmyndighet. Samt patientdatalagen, och Offentlighets- och sekretesslagen, vilka noga reglerar att patientdata omfattas av sträng sekretess och inte får spridas.
– Vi har lyft upp den här frågan flera gånger till regeringen. Vi måste få till en lösning, för hela övriga världen är digitaliserad. Se bara på våra banktjänster. Och om vi ska kunna utnyttja vårt nya Skånes digitala vårdsystem (SDV) fullt ut måste vi kunna använda molntjänster, annars har vi ingen nytta av det.
Vad blev svaret på regionens brev till regeringen?
– De har tillsatt en utredning. Den ska vara klara 2022-2023. Det löser inte problemet för oss nu, säger Tribo.