Nyhet

Kontorslandskap för läkare kan bryta mot lagen

Inför att känsliga hälsouppgifter ska hanteras i ett öppet kontorslandskap behöver oftast en konsekvensbedömning enligt GDPR-lagstiftningen göras. Det menar två namnkunniga jurister som Sjukhusläkaren har pratat med. Trots det är det endast ett enda sjukhus som säger sig ha gjort en sådan, enligt vår granskning.

GDPR-lagstiftningen är tydlig. Innan man  genomför åtgärder som kan leda till integritetsproblem  ska man  genomföra en konsekvensbedömning. I en sådan behöver man dokumentera risker i  det fysiska skyddet så att personer som inte är behöriga att komma åt känsliga personuppgifter, som  exempelvis hälsouppgifter, kan göra detta. Det menar juristen Monika Wendleby, före detta domare på förvaltningsdomstolarna och numera föreläsare och författare till flera böcker  om GDPR.

– En konsekvensbedömning bör alltid göras om man ska behandla känsliga uppgifter i en sådan miljö att det finns risker att uppgifter tillgängliggörs genom att någon till exempel överhör ett telefonsamtal med en patient eller tittar på  en kollegas  skärm etcetera, säger hon.

Kort och gott räcker det att två av kriterierna i integritetsmyndighetens förteckning är uppfyllda för att en konsekvensbedömning ska vara aktuell, berättar Monika Wendleby vidare. Dit räknas både känsliga personuppgifter  som  hälsodata om patienter  och ny organisatorisk lösning eller arbetssätt som arbete i kontorslandskap är ett exempel på.

– Då är man skyldig att dokumentera åtminstone varför  organisationen  inte vidtar en konsekvensbedömning – det vill säga motivera tydligt varför du väljer att inte göra den  trots att det finns indikation på hög risk. Om ingenting alls finns dokumenterat i det här sammanhanget är det ett tecken på att GDPR-lagstiftningen inte har följts.

Katarina Fast,  docent i offentlig rätt och universitetslektor i rättsinformatik vid Juridiska institutionen på Stockholms universitet, och Monika Wendleby, före detta domare på förvaltningsdomstolarna och numera föreläsare och författare till flera böcker  om GDPR.

Och Monika Wendleby får medhåll av Katarina Fast,  docent i offentlig rätt och universitetslektor i rättsinformatik vid Juridiska institutionen på Stockholms universitet.

– Det är allvarligt att regionerna inte gör en konsekvensbedömning om känsliga uppgifter ska behandlas i en sådan miljö att det finns risk att uppgifter tillgängliggörs för obehöriga som inte är direkt involverade i vården av en patient. Det är inte sällan som cyberattacker av olika skäl sker just på det här sättet, via insiders, och just inom vården kan det få oerhörda konsekvenser som nu senast vid läckan från Sophiahemmet som vi fortfarande inte vet den fulla vidden av, säger hon.

Katarina Fast konstaterar att en stor del av de arbetsuppgifter som läkare utför  är av en sådan karaktär att de behöver ha möjlighet att sitta enskilt för att känsliga uppgifter inte ska röjas.

– Diktering är ett tydligt exempel på en sådan arbetsuppgift och om det då bara finns ett antal tysta rum att tillgå – ja då blir det ju problematiskt och risken är väldigt stor att känslig data hanteras utanför ett tyst rum. Jag vet inte riktigt vad arbetsgivaren tror sig vinna på en sådan ordning. Om man tycker att det sparar kostnader då måste de göra en verklighetskontroll. För när det är en fråga om att hantera hälsodata i ett öppet kontorslandskap, kommer detta typiskt sett att röra sig om en högriskbehandling av känsliga uppgifter i juridisk mening. Kontorslandskap för läkare är ingen bra idé ur min synvinkel som jurist.

Varför tror du att regionerna har låtit bli att göra konsekvensbedömningar i det här sammanhanget?

–  Det måste röra sig om okunskap från de som fattar de här besluten. Man har haft fokus på de besparingsåtgärder som man vill vidta och inte på hur känslig information ska hanteras. Det är ju inte heller bara GDPR utan även sekretesslagstiftningen i stort som kan vara ett hinder för att bara rakt av införa kontorslandskap som arbetsplats för läkare i vården.

Även Monika Wendleby tror att förklaringen finns i okunskap, men också i bristande resurser på det digitala området ute i regionerna.

– Det finns en hel del kvar att göra när det kommer till GDPR-arbete ute i regionerna. Man har ofta en väldigt svag dataskyddsorganisation. Inte sällan ska ett enda dataskyddsombud täcka en hel region, vilket är helt orealistiskt. Det är ju jättemycket känsliga personuppgifter som ska bevakas. Detta baserar jag på att jag ofta är ute och föreläser och träffar väldigt många anställda som berättar att det är så här det är organiserat.

Analyser, reportage, debatt och nyheter från sjukhusvärlden Vi ser till att hålla dig i händelsernas centrum

GDPR

Sjukhusläkaren

Nyheter, debatter & reportage från sjukhusvärlden

Prenumerera