SVT kan avslöja att den riskanalys som gjorts visar på höga risker för att skåningarnas känsliga patientuppgifter hamnar i orätta händer om de skulle begäras ut enligt lagen Cloud Act av amerikanska myndigheter. Riskanalysen gjordes bara några dagar innan hälso- och sjukvårdsdirektör Pia Lundbom skrev under beslutet.
Regionens dataskyddsombud Kajsa Thelin har tidigare bekräftat för SVT att det finns en riskanalys. Men när SVT har begärt ut dokumentet från IT-avdelningen har IT-direktör Jan Svensson svarat: ”Uppriktigt vet jag inte vad det är för dokument du söker.”
Vill inte visa riskanalysen
Regionens egna experter har även bekräftat för SVT att det finns höga risker om regionen skulle tvingas lämna ut skåningarnas patientuppgifter till USA, men att det råder oenighet i ledningen om hur sannolik en sådan begäran är.
När SVT återkommer med frågan till Region Skåne om att få ta del av riskanalysen, får vi till svar att handlingarna inte kan lämnas ut då de ännu inte är ”fastställda”. Detta trots att det nästan gått en månad sedan beslutet fattades.
Ska göras i förväg
Enligt Datainspektionen är det den personuppgiftsansvarigas ansvar, i det här fallet Region Skånes ansvar, att se till att en så kallad konsekvensbedömning, en form av riskanalys, genomförs.
– En konsekvensbedömning ska i regel göras innan en behandling av personuppgifter utförs. Konsekvensbedömningen är ett verktyg som är till för att hjälpa den personuppgiftsansvariga att följa dataskyddsförordningen. Den är också tänkt att förebygga risker innan de uppkommer, säger Linn Sandmark, jurist vid Datainspektionen, till SVT Nyheter Skåne.
Har inte haft förhandssamråd
En konsekvensbedömning är särskilt viktig att göra när det gäller känsliga personuppgifter, som patientuppgifter, och när det handlar om en stor omfattning av uppgifter som ska behandlas samt när det till exempel berör nya IT-system. Kriterier som i samtliga fall uppfylls när Region Skåne ska börja föra över patientuppgifter till Cerners dataservrar.
– Om den personuppgiftsansvariga bedömer att höga risker kvarstår efter genomförd konsekvensbedömning ska det dokumenteras och då ska den personuppgiftsansvariga även förhandssamråda med Datainspektionen, säger Linn Sandmark.
Har Region Skåne haft något förhandssamråd med er?
– Vi har inte något sådant ärende hos oss, säger Linn Sandmark.
Beslutet hävs
Efter SVT:s granskning av beslutet om en överföring av skåningarnas patientuppgifter till Cerner, beslutade regionstyrelsen den 10 december att ge regiondirektören i uppdrag att tillsätta en oberoende juridisk utredning.
Av beslutet framgår att utredningen dock inte kommer inhämta Datainspektionens synpunkter. Utredningen väntas vara klar i februari.
Hälso- och sjukvårdsdirektör Pia Lundbom vill inte svara på frågan om varför hon fattade beslut om en överföring av skåningarnas patientuppgifter trots att hon kände till att regionens riskanalys visade på höga risker. I ett mejl till SVT skriver hon:
”I samband med beslutet i regionstyrelsen att regiondirektören ska inleda en oberoende granskning och i väntan på den, kommer det ej att genomföras någon migrering av patientdata till externa servrar. Därmed upphävs tidigare informationsägarbeslut i denna fråga. I avvaktan på denna översyn kan jag tyvärr inte kommentera något.”