SKR får inte behandla personuppgifter i den nationella väntetidsdatabasen

Publicerad: 19 december 2024

Sveriges Kommuner och Regioner (SKR) behandlar personuppgifter i den nationella väntetidsdatabasen i strid med dataskyddsförordningen. Integritetsskyddsmyndigheten (IMY) har därför beslutat att SKR ska upphöra med behandlingen inom två år.

IMY har granskat hur personuppgifter behandlas i den nationella väntetidsdatabasen som används för att ta fram väntetidsstatistik i vården och följa upp den statliga vårdgarantin. Varje år rapporterar regionerna in cirka 40 miljoner vårdbesök till väntetidsdatabasen. En stor del av uppgifterna som registreras är hälsouppgifter, vilket är känsliga personuppgifter enligt dataskyddsförordningen (GDPR).

IMY bedömer i sin granskning att SKR är personuppgiftsansvarig för behandlingen som sker i väntetidsdatabasen och att SKR saknar stöd för hanteringen av personuppgifterna. Att SKR bedöms sakna stöd för behandlingen beror bland annat på att lagstiftaren – när regleringen av väntetidsdatabasen infördes – uttalade att databasen inte kommer att innehålla några personuppgifter. När känsliga personuppgifter behandlas på det sätt som görs i väntetidsdatabasen krävs även särskild reglering med skyddsåtgärder, till exempel tystnadsplikt och behörighetsstyrning.

– Även om väntetidsdatabasen är ett centralt verktyg för att följa upp svensk vård så är det viktigt att det finns stöd för en så omfattande hantering av känsliga personuppgifter som databasen medför, säger Eric Leijonram, generaldirektör för IMY.

Eftersom SKR saknar stöd för behandlingen av personuppgifter i databasen har IMY beslutat att utfärda en reprimand och ett förbud. IMY bedömer samtidigt att databasen fyller en viktig samhällelig funktion och har därför beslutat att förbudet ska börja gälla först efter två år. Tiden är satt för att författningsstöd ska kunna tas fram för behandlingen av personuppgifter i databasen alternativt att SKR ska kunna vidta åtgärder så att personuppgifter inte längre behandlas i databasen.

Fakta: Personuppgifter i nationella väntetidsdatabasen

Personuppgifter som behandlas i väntetidsdatabasen är inte direkta personuppgifter, som till exempel namn och personnummer, utan det är avkodade uppgifter. Även om uppgifterna är avkodade är de att betrakta som känsliga personuppgifter, eftersom det går att knyta uppgifter om exempelvis diagnoser till en specifik person med hjälp av en kodnyckel.

Ta del av beslutet

För mer information kontakta

Linn Sandmark, enhetschef på enheten för vägledning offentlig verksamhet,
telefon 08-515 154 21
Presstjänsten, telefon 08-515 154 15

Senast uppdaterad: 19 december 2024

Dataskydd, Tillsyn, Hälso- och sjukvård, Dataskydd

Fler nyheter inom ämnet

Se fler nyheter

Fler nyheter inom ämnet

Se fler nyheter

Senast uppdaterad: 19 december 2024

Dataskydd, Tillsyn, Hälso- och sjukvård, Dataskydd

Vi guidar dig

Ska du utföra ett ärende?

Om IMY

Vi guidar dig

Ska du utföra ett ärende?

Om IMY

Om IMY

Om IMY

Vi guidar dig

Ska du utföra ett ärende?

Vi guidar dig

Ska du utföra ett ärende?

Söktips!

SKR får inte behandla personuppgifter i den nationella väntetidsdatabasen

Fakta: Personuppgifter i nationella väntetidsdatabasen

För mer information kontakta

Fler nyheter inom ämnet

IMY klar med ytterligare granskningar av Meta-pixeln

EDPB yttrar sig över träning och användning av AI-modeller

Allt fler oroas över att AI gör intrång i den personliga integriteten

IMY klar med granskning av larmbolags hantering av bildmaterial

Fler nyheter inom ämnet

IMY klar med ytterligare granskningar av Meta-pixeln

EDPB yttrar sig över träning och användning av AI-modeller

Allt fler oroas över att AI gör intrång i den personliga integriteten

IMY klar med granskning av larmbolags hantering av bildmaterial