Kontorslandskap för läkare kan bryta mot lagen
Inför att känsliga hälsouppgifter ska hanteras i ett öppet kontorslandskap behöver oftast en konsekvensbedömning enligt GDPR-lagstiftningen göras. Det menar två namnkunniga jurister som Sjukhusläkaren har pratat med. Trots det är det endast ett enda sjukhus som säger sig ha gjort en sådan, enligt vår granskning.
GDPR-lagstiftningen är tydlig. Innan man genomför åtgärder som kan leda till integritetsproblem ska man genomföra en konsekvensbedömning. I en sådan behöver man dokumentera risker i det fysiska skyddet så att personer som inte är behöriga att komma åt känsliga personuppgifter, som exempelvis hälsouppgifter, kan göra detta. Det menar juristen Monika Wendleby, före detta domare på förvaltningsdomstolarna och numera föreläsare och författare till flera böcker om GDPR.
– En konsekvensbedömning bör alltid göras om man ska behandla känsliga uppgifter i en sådan miljö att det finns risker att uppgifter tillgängliggörs genom att någon till exempel överhör ett telefonsamtal med en patient eller tittar på en kollegas skärm etcetera, säger hon.
Kort och gott räcker det att två av kriterierna i integritetsmyndighetens förteckning är uppfyllda för att en konsekvensbedömning ska vara aktuell, berättar Monika Wendleby vidare. Dit räknas både känsliga personuppgifter som hälsodata om patienter och ny organisatorisk lösning eller arbetssätt som arbete i kontorslandskap är ett exempel på.
– Då är man skyldig att dokumentera åtminstone varför organisationen inte vidtar en konsekvensbedömning – det vill säga motivera tydligt varför du väljer att inte göra den trots att det finns indikation på hög risk. Om ingenting alls finns dokumenterat i det här sammanhanget är det ett tecken på att GDPR-lagstiftningen inte har följts.
Och Monika Wendleby får medhåll av Katarina Fast, docent i offentlig rätt och universitetslektor i rättsinformatik vid Juridiska institutionen på Stockholms universitet.
– Det är allvarligt att regionerna inte gör en konsekvensbedömning om känsliga uppgifter ska behandlas i en sådan miljö att det finns risk att uppgifter tillgängliggörs för obehöriga som inte är direkt involverade i vården av en patient. Det är inte sällan som cyberattacker av olika skäl sker just på det här sättet, via insiders, och just inom vården kan det få oerhörda konsekvenser som nu senast vid läckan från Sophiahemmet som vi fortfarande inte vet den fulla vidden av, säger hon.
Katarina Fast konstaterar att en stor del av de arbetsuppgifter som läkare utför är av en sådan karaktär att de behöver ha möjlighet att sitta enskilt för att känsliga uppgifter inte ska röjas.
– Diktering är ett tydligt exempel på en sådan arbetsuppgift och om det då bara finns ett antal tysta rum att tillgå – ja då blir det ju problematiskt och risken är väldigt stor att känslig data hanteras utanför ett tyst rum. Jag vet inte riktigt vad arbetsgivaren tror sig vinna på en sådan ordning. Om man tycker att det sparar kostnader då måste de göra en verklighetskontroll. För när det är en fråga om att hantera hälsodata i ett öppet kontorslandskap, kommer detta typiskt sett att röra sig om en högriskbehandling av känsliga uppgifter i juridisk mening. Kontorslandskap för läkare är ingen bra idé ur min synvinkel som jurist.
Varför tror du att regionerna har låtit bli att göra konsekvensbedömningar i det här sammanhanget?
– Det måste röra sig om okunskap från de som fattar de här besluten. Man har haft fokus på de besparingsåtgärder som man vill vidta och inte på hur känslig information ska hanteras. Det är ju inte heller bara GDPR utan även sekretesslagstiftningen i stort som kan vara ett hinder för att bara rakt av införa kontorslandskap som arbetsplats för läkare i vården.
Även Monika Wendleby tror att förklaringen finns i okunskap, men också i bristande resurser på det digitala området ute i regionerna.
– Det finns en hel del kvar att göra när det kommer till GDPR-arbete ute i regionerna. Man har ofta en väldigt svag dataskyddsorganisation. Inte sällan ska ett enda dataskyddsombud täcka en hel region, vilket är helt orealistiskt. Det är ju jättemycket känsliga personuppgifter som ska bevakas. Detta baserar jag på att jag ofta är ute och föreläser och träffar väldigt många anställda som berättar att det är så här det är organiserat.
Kommentaren från Västerbotten blir direkt löjlig med tanke på att den enda förändring som gjorts i ledningen är att hälso och sjukvårdsdirektören bytts ut i höstas, den nya är en av områdescheferna som varit i ledningen i flera år. Hela ledningen på HR, fastighet etc är oförändrad sen ett antal år tillbaka. Att skylla på förändringar i ledningen, att man därför inte vet något om planeringen är rent trams. Faktum är att en av de värsta avarterna när det gäller kontorslandskap för läkarna tillkom (åtminstone planeringen, hen slutade som VCh någon gång i den vevan) då nuvarande HSD var verksamhetschef på den kliniken…..
Det är ju närmast tragikomiskt om juristerna på mitt sjukhus gjort bedömningen att sitta i kontorslandskap ”inte utgör någon personuppgiftsbehandling.” Jag har personligen framfört till alla mina chefer inklusive sjukhusdirektören att vi på våra administrativa platser (numera i kontorslandskap) har telefontider med patienter, dikterar, diskuterar patienter med kolleger, har diverse digitala möten och annat som ingår i läkararbetet. Jag har varit väldigt tydlig med att patientsekretessen därmed är kraftigt åsidosatt på vårt sjukhus. Den patientrelaterade informationen kan där även nå andra än vårdpersonal, eftersom det finns konferensrum i lokalerna, bokningsbara även av andra är oss på kliniken. Deltagarna på möten lämnar ju gärna konferenslokalen när de får telefonsamtal för att istället gå omkring bland oss som sysslar med patientrelaterade arbetsuppgifter i kontorslandskapet och stör samt har möjlighet att höra allt som sägs. Juristerna är så rädda för patientintegritetsintgrång att det är väldigt krångligt att ta del av väsentlig journalinformation från andra journalsystem, men bortser ifrån detta mycket mer flagranta patientintegritetsproblem. Ren idioti.