Beslut Diarienr 1 (8) 2016-07-01 1863-2015 Ert diarienr 1503313 Regionstyrelsen Region Skåne 291 89 Kristianstad Tillsyn enligt personuppgiftslagen (1998:204) hjälpmedelshanteringssystemet Sesam Datainspektionens beslut Datainspektionen konstaterar att Regionstyrelsen för Region Skåne behandlar personuppgifter i strid med 4 kap. 2 patientdatalagen (2008:355) genom att inte begränsa åtkomsten till personuppgifter i Sesam till vad enskilda har behov av i sitt arbete. Datainspektionen förelägger Regionstyrelsen för Region Skåne att begränsa åtkomsten till personuppgifter i systemet Sesam till enbart de uppgifter som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter. Ärendet avslutas. Redogörelse för tillsynsärendet Datainspektionen har inlett tillsyn mot Regionstyrelsen för Region Skåne (regionen) i syfte att utreda vilket rättsligt stöd som finns för att ge leverantörer av hjälpmedel åtkomst till patientuppgifter i systemet Sesam. Tillsynsärendet inleddes skriftligen. En inspektion genomfördes den 15 februari 2016. Regionen har i huvudsak uppgett följande. Syftet med systemet Sesam är att hjälpmedelsverksamheten inom regionen ska kunna hålla reda på sina hjälpmedel. Det vill säga var de finns, vem som har eller har haft ett visst hjälpmedel, service, underhåll, lagerhållning och inköp. Regionen måste enligt bestämmelser om medicinsktekniska produkter Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Webbplats: www.datainspektionen.se Telefon: 08-657 61 00
Datainspektionen 2016-07-01 Diarienr 1863-2015 2 (8) bland annat se till att de hjälpmedel som används är spårbara. Varje hjälpmedel har ett unikt identifikationsnummer i Sesam. Personuppgifter om patienter som behandlas i Sesam är namn, personnummer, adress, telefonnummer, befintliga och tidigare hjälpmedel samt information om åtgärder vidtagna med hjälpmedlen (t.ex. utlämning/leverans, reparation, återlämnande). Det finns också fritextfält som används för kommentarer kring hjälpmedel och leveranser samt för avrapportering. Det finns sökfunktioner i Sesam som gör det möjligt att söka bland annat på en patients namn eller personnummer. Två externa leverantörer är anlitade för att bistå regionen i hjälpmedelshanteringen. Leverantörerna är anlitade av regionen för distribution, lagerhållning, service och underhåll av hjälpmedel. Leverantörerna har åtkomst till systemet Sesam för dessa ändamål. Regionen har tecknat biträdesavtal med leverantörerna avseende den personuppgiftsbehandling som aktualiseras i och med uppdraget. Regionens samtliga hjälpmedel administreras i Sesam men leverantörerna bistår endast regionen i hanteringen av vissa typer av hjälpmedel. Hjälpmedelsteknik Sverige AB är ett av de anlitade företagen och de har i uppdrag att bistå regionen i hanteringen av elektroniska hjälpmedel, såsom elektroniska rullstolar och sängar. Hjälpmedelsteknik AB driver även en hjälpmedelsbutik. Butiksverksamheten är dock helt skiljd från hjälpmedelshanteringen. Det är olika personer som arbetar i de olika verksamheterna. De som arbetar i butiksverksamheten har inte åtkomst till Sesam. Leverantörerna behandlar inte personuppgifter i Sesam för några egna ändamål. Det finns inget krav från myndigheter på leverantörernas verksamhet i form av dokumentationskrav eller rapporteringskrav. Alla åtgärder som vidtas med ett hjälpmedel ska registreras i Sesam. Regionen har tagit fram manualer/rutiner för hur uppgifter ska registreras. Av dessa framgår att när leverantören utför en reparation så ska viss information registreras. T.ex. ska information om vilka reservdelar som använts, nedlagd tid samt kort sammanfattande kommentar gällande vad som har åtgärdats på hjälpmedlet registreras i Sesam. I Sesam finns information om alla åtgärder som har vidtagits med ett hjälpmedel tillgängliga. Exempelvis kan man genom att titta på historiken för
Datainspektionen 2016-07-01 Diarienr 1863-2015 3 (8) ett visst hjälpmedel se vilka patienter som har haft ett specifikt hjälpmedel. Man kan därmed se vem som har ett specifikt hjälpmedel nu och vem som haft hjälpmedlet tidigare. Om en patient ringer och meddelar att det är något fel på ett hjälpmedel ska leverantören hjälpa till att laga hjälpmedlet. Patienten kan antingen kontakta regionen eller leverantören. Om en patient inte är nöjd med ett hjälpmedel eller om ett hjälpmedel ska specialanpassas måste patienten vända sig till regionen. Om en produkt är specialanpassad för en viss patient framgår det inte av Sesam att en viss namngiven person har fått en specialanpassad produkt. Däremot har det specialanpassade hjälpmedlet ett unikt identifikationsnummer. Det är regionen som äger samtliga hjälpmedel som administreras i Sesam. Regionen kräver att leverantören skriver avvikelserapporter om det har hänt något med hjälpmedlet. Detta hänger samman med kraven på medicinsktekniska produkter. Sådana avvikelserapporter hanteras utanför Sesam. Behörigheten i systemet går inte att begränsa utifrån vilken typ av hjälpmedel som förskrivits till en patient. Detta innebär att leverantörerna har åtkomst till uppgifter om samtliga patienter som har hjälpmedel, oavsett om patienten har ett hjälpmedel av den typ som leverantören hanterar för regionens räkning eller ej. Regionens uppfattning är att personuppgiftslagen, och inte patientdatalagen, är tillämplig på behandlingen av personuppgifter i Sesam. Hanteringen av förskrivna hjälpmedel är en separat behandling i förhållande till vårdverksamheten som sker innan förskrivningen av hjälpmedel. Fokus i Sesam är att de medicinsktekniska produkterna (hjälpmedlen) ska uppfylla den standard och krav på CE-märkning som finns. Hjälpmedlen kan kopplas till en person men det är hjälpmedlet regionen vill hålla reda på. Ändamålet med Sesam är administration och spårbarhet av medicintekniska hjälpmedel. Av 10 b personuppgiftslagen framgår att behandling är tillåten för att den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet. Av 3 kap. 6 och 9 SOSFS 2008:1 framgår att medicinsktekniska produkter som har förskrivits, utlämnats eller tillförts till patienter ska kunna spåras och att produkten registreras i vårdgivarens system för underhåll.
Datainspektionen 2016-07-01 Diarienr 1863-2015 4 (8) Skäl för beslutet Vilken lag är tillämplig på regionens personuppgiftsbehandling i Sesam? Personuppgiftslagen är tillämplig på behandling av personuppgifter som är helt eller delvis automatiserad. Om det i annan lag eller i en förordning finns bestämmelser som avviker från personuppgiftslagen ska, enligt 2 personuppgiftslagen, de bestämmelserna gälla. Patientdatalagen tillämpas enligt 1 kap. 1 på vårdgivares behandling av personuppgifter inom hälso- och sjukvården. Hälso- och sjukvård är, enligt definitionen i 1 kap. 3 patientdatalagen, bland annat verksamhet som avses i hälso- och sjukvårdslagen (1982:763). Enligt 1 kap. 4 patientdatalagen gäller personuppgiftslagen för helt eller delvis automatiserad behandling av personuppgifter om inte annat följer av patientdatalagen eller föreskrifter som meddelats med stöd av patientdatalagen. I förarbetena till patientdatalagen anges bland annat följande om patientdatalagens tillämpningsområde (prop. 2007/08:126 s. 49 f.). Patientdatalagen ska tillämpas vid behandling av personuppgifter i vårdgivarens kärnverksamhet som avser tillhandahållande av hälso- och sjukvård. [ ] Till den beskrivna kärnverksamheten individinriktad patientvård hör ett ansvar att administrera och att i olika avseenden utveckla verksamheten. Även i den verksamheten behöver vårdgivare behandla personuppgifter, oftast samma uppgifter som samlats in i patientvården. Även denna personuppgiftsbehandling ska regleras av patientdatalagen. Däremot anser regeringen att personuppgiftsbehandlingen i den rent administrativa verksamheten utan nära koppling till patientverksamheten t.ex. i internadministrativ verksamhet vid personuppgiftsbehandling rörande anställda eller rörande leverantörer av varor och tjänster ska falla utanför patientdatalagens tillämpningsområde. Således förekommer även hos en vårdgivare som omfattas av bestämmelserna i patientdatalagen,
Datainspektionen 2016-07-01 Diarienr 1863-2015 5 (8) personuppgiftsbehandling som faller utanför denna lags tillämpningsområde. Enligt 1 hälso- och sjukvårdslagen är hälso- och sjukvård åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador. Landstinget ska, enligt 3 b första stycket, bland annat erbjuda hjälpmedel för personer med funktionsnedsättning för de som är bosatta inom landstinget eller som är kvarskrivna enligt 16 folkbokföringslagen (1991:481). Enligt andra stycket i samma bestämmelse ska tillhandahållandet av hjälpmedel planeras i samverkan med den enskilde. Landstinget ska ge den enskilde möjlighet att välja hjälpmedel enligt vad som anges i 7 kap. 2 patientlagen (2014:821). Regionens uppfattning är att personuppgiftslagen är tillämplig på personuppgiftsbehandlingen i systemet Sesam eftersom behandlingen av personuppgifter främst sker i syfte att administrera och uppfylla krav på hanteringen av medicintekniska produkter och inte för att bereda hälso- och sjukvård till patienter. Datainspektionens bedömning Regionen har i egenskap av vårdgivare, enligt 3 b hälso- och sjukvårdslagen, en rättslig skyldighet att tillhandahålla hjälpmedel till patienter som har en funktionsnedsättning. Hanteringen av hjälpmedel är en direkt följd av att regionen är vårdgivare till en patient. Kraven på hantering av medicinsktekniska produkter i Socialstyrelsens föreskrifter 2008:1, som regionen hänvisar till, är riktade mot vårdgivare som förskrivit hjälpmedel till patienter. Den personuppgiftsbehandling som aktualiseras med anledning av tillhandahållandet av medicinsktekniska produkter är därmed en direkt följd av hälso- och sjukvårdsåtgärder. Patientdatalagens bestämmelser ska därför tillämpas på den personuppgiftsbehandling som aktualiseras i och med hanteringen och tillhandahållandet av hjälpmedel. Är de kontrakterade leverantörerna personuppgiftsbiträden till regionen? Enligt 2 kap. 6 patientdatalagen är en vårdgivare personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. Då det inte finns några särskilda bestämmelser om personuppgiftsbiträden i patientdatalagen blir personuppgiftslagens bestämmelser tillämpliga i denna del. Ett personuppgiftsbiträde är, enligt 3 personuppgiftslagen, den som behandlar
Datainspektionen 2016-07-01 Diarienr 1863-2015 6 (8) personuppgifter för den personuppgiftsansvariges räkning. Enligt 30 personuppgiftslagen får ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets ledning endast behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige och inte för några egna ändamål. Av personuppgiftsbiträdesavtalen mellan regionen och de två leverantörerna framgår bland annat att leverantörerna endast får behandla personuppgifter i enlighet med regionens instruktioner. Vidare har det i ärendet framkommit att det är regionen som instruerar om och bestämmer vilka uppgifter som ska registreras och att registreringen av uppgifter sker med anledning av krav som ställs på regionen i dess hantering av medicintekniska produkter. Samtliga medicinsktekniska produkter ägs av regionen och regionen måste enligt bestämmelser om medicinsktekniska produkter upprätthålla produkternas spårbarhet. Det finns inte några dokumentations- eller utförandekrav på leverantörerna i dess hantering av hjälpmedel från myndigheter. Leverantörerna tar inte fram några egna medicinsktekniska produkter. Det är regionen som bestämmer vem som har åtkomst till uppgifterna i Sesam och hur behörigheterna ska utformas. Datainspektionens bedömning I ärendet har framkommit att leverantörerna behandlar personuppgifter i enlighet med instruktioner från regionen. Leverantörerna behandlar inte personuppgifter för egna ändamål. Leverantörerna har inte något utrymme för att själva bestämma över ändamål och medel för personuppgiftsbehandlingen. Regionen är också den som bestämmer över vilka som ska ha tillgång till personuppgifterna och utför kontroller av leverantörernas åtkomst till personuppgifter. Regionen är personuppgiftsansvarig för den personuppgiftsbehandling de utför i egenskap av vårdgivare enligt 2 kap. 6 patientdatalagen. Datainspektionen bedömer mot bakgrund av dessa omständigheter att leverantörerna är personuppgiftsbiträden till regionen vid sådan behandling av personuppgifter i systemet Sesam som beskrivits i ärendet. Är behörigheterna för biträdets anställda begränsade till vad de har behov av i sitt arbete? Fler personuppgifter än vad som är nödvändigt utifrån ändamålet med behandlingen får inte behandlas enligt artikel 6 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda
Datainspektionen 2016-07-01 Diarienr 1863-2015 7 (8) personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Bestämmelsen har i svensk rätt implementerats bland annat genom 9 första stycket f personuppgiftslagen och principen gäller även vid behandling av personuppgifter enligt patientdatalagen (prop. 2007/08:126 s. 63). I 4 kap. patientdatalagen finns grundläggande bestämmelser om inre sekretess och elektronisk åtkomst inom en vårdgivares verksamhet. Enligt 4 kap. 2 patientdatalagen ska vårdgivaren bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat. Sådan behörighet ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. I ärendet har framkommit att leverantörerna endast bistår regionen i hanteringen av vissa typer av hjälpmedel. De som är anställda hos leverantörerna har dock åtkomst till uppgifter om samtliga patienter som är registrerade i Sesam, oavsett om det är en patient som får hjälpmedel via denna leverantör eller inte. Vidare finns uppgifter åtkomliga även efter att en patient har lämnat tillbaka hjälpmedel och när hjälpmedel har kasserats. Datainspektionens bedömning Regionen måste se till att inte fler personuppgifter än vad som är nödvändigt behandlas enligt 9 personuppgiftslagen. Regionen måste enligt 4 kap. 2 patientdatalagen begränsa åtkomsten till personuppgifter till vad enskilda har behov av i sitt arbete inom hälso- och sjukvården. Eftersom biträdena endast bistår regionen i hanteringen av vissa typer av hjälpmedel finns det inte något behov för biträdets anställda att ha åtkomst till uppgifter om fler patienter än de som har hjälpmedel som biträdet administrerar. Datainspektionen konstaterar därför att regionen behandlar personuppgifter i strid med 4 kap. 2 patientdatalagen genom att inte begränsa åtkomsten till personuppgifter i Sesam till vad enskilda har behov av i sitt arbete. Regionen föreläggs därför att begränsa åtkomsten till personuppgifter i systemet Sesam till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter.
Datainspektionen 2016-07-01 Diarienr 1863-2015 8 (8) Övrigt Frågor om tillämpningen av sekretessbestämmelser faller utanför Datainspektionens verksamhetsområde och sådana frågor har därför inte prövats i ärendet. Datainspektionen vill ändå framhålla att det är viktigt att även dessa frågor beaktas (se JO:s beslut den 9 september 2014 med dnr 3032-2011). Hur man överklagar Om ni vill överklaga beslutet ska ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet ska ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta beslut har fattats av enhetschefen Katarina Tullstedt efter föredragning av juristen Martina Lindkvist. Katarina Tullstedt Martina Lindkvist Kopia till: Personuppgiftsombud, Region Skåne, 291 89 Kristianstad (för kännedom)