Brister i personuppgiftsbehandling leder till sanktionsavgifter

Efter att det uppmärksammats att inspelade samtal till 1177 legat öppet tillgängliga på internet inledde Integritetsskyddsmyndigheten (IMY) en tillsyn och beslutade om sanktionsavgifter för flera aktörer. Efter överklagande från MedHelp, Voice, Region Stockholm och Region Värmland beslutar förvaltningsrätten nu att de ska betala sanktionsavgifter för brister i behandlingen av personuppgifter.

– Förvaltningsrätten bedömer att sjukvårdsrådgivningsföretaget MedHelp borde ha säkerställt en bättre säkerhetsnivå för uppgifterna. Det rör sig om ett stort antal känsliga uppgifter som varit oskyddade under lång tid, säger Anna Önell, chefsrådman.

Även MedHelps personuppgiftsbiträde Voice hade ansvar för uppgifternas säkerhet. MedHelp, Region Stockholm och Region Värmland har också brustit i sin plikt att informera de registrerade om behandlingen av person­uppgifter.

Förvaltningsrätten gör till skillnad från IMY bedömningen att MedHelp fick dirigera en del av sina samtal till ett thailändskt vårdföretag. Enligt IMY bröt upplägget mot kravet på att personuppgifter inom sjukvården bara får behandlas av vårdgivare i Sverige.

– Den tekniska utvecklingen medför allt fler möjligheter att bedriva vård på olika sätt, säger Anna Önell. Det avgörande måste därför vara hur verksamheten ser ut. Den som ger vård till svenska patienter i Sverige är en svensk vårdgivare.

Däremot innebar upplägget att personuppgifter fördes över till ett land utanför EU. IMY prövade aldrig om överföringen gick rätt till, så den frågan återförvisas till IMY för ny handläggning.