– Eftersom regionen borde ha sådan kunskap om regelverken kan det rentav ifrågasättas om regionen är likgiltig till dessa tänkbara förhållanden, vilket i värsta fall kan få straffrättslig betydelse, säger Conny Larsson.
Efter flera månader av interna diskussioner har Region Skånes hälso- och sjukvårdsdirektör Pia Lundbom fattat beslutet att börja skicka över skåningars patientuppgifter till det USA-ägda bolaget Cerners dataservrar.
Införandet av det nya skånska journalsystemet Millennium är redan försenat. Därför har det varit en hård press på regionens IT-avdelning och dataskyddsexperter att hitta ett sätt att följa den lagstiftning som skyddar skåningarnas integritet.
Löfte utan betydelse
I beslutsunderlaget finns ett intyg från Cerners svenska dotterbolag som styrker att företaget lyder under svenska lagar. Cerner ska också ha lovat att förvarna Region Skåne om amerikanska myndigheter begär ut uppgifter från dataservrarna.
– Skulle vi få en förfrågan från amerikanska myndigheter behöver vi sätta oss ner och fundera på vad det innebär. Det står i grundavtalet att man ska följa svensk lag. Skulle det inte ske så får ju Region Skåne agera via juridik, skadestånd och viten, säger Pia Lundbom.
Men intyget från Cerner har ingen större betydelse, enligt Conny Larsson, som är en av landets främsta experter på IT-rätt. Han är ordförande i Sig Security, styrelseledamot i Svenska Föreningen för IT och juridik samt integritetsskyddsombud vid Försvarsunderrättelsedomstolen.
– Anledningen till att intyget inte spelar någon roll är att uppgifterna blir tillgängliga för Cerner Sverige AB och därmed är röjda dit i lagens mening. Problemet är att det är fråga om känsliga personuppgifter med stark sekretess och att regionen inte kan ha koll på om uppgifterna går vidare till det amerikanska moderbolaget eller vad som händer med uppgifterna där, säger Conny Larsson.
Kan tvingas lyda
– Eftersom Cerner Sverige AB är helägt av det amerikanska Cerner Corporation kan amerikanska myndigheter gå på det amerikanska moderbolaget och tvinga dem att lämna information som USA begär i enlighet med amerikansk lag, t.ex. Cloud Act, också från sitt svenska dotterbolag, säger Conny Larsson.
Lagen Cloud Act kan tvinga amerikanska bolag att efter domstolsbeslut lämna ut information till USA:s myndigheter oavsett var i världen datan lagras. Bolagen kan till och med tvingas att hålla tyst om en sådan begäran enligt lagen Patriot Act, enligt Conny Larsson.
– Ett ytterligare problem är att reglerna i USA och i Sverige kommer att kollidera och därmed tvingar Cerner i Sverige och i USA att välja vilket regelverk de ska bryta mot. Pest eller kolera. Troligtvis kommer de då att föredra att bryta mot de svenska reglerna, säger Conny Larsson.
SVT har sökt Cerner för en kommentar.