Granskning av efterlevnaden av dataskyddsförordningen samband med införandet av nytt journalsystem inom hälso- och sjukvården

(1)

Dataskyddsombudet för Göteborgs Stads stadsdelsnämnder och social resursnämnd

Granskning av efterlevnaden av

dataskyddsförordningen samband med införandet av nytt journalsystem

inom hälso- och sjukvården

Stadsdelsnämnderna Askim-Frölunda-Högsbo, Västra Hisingen, Västra Göteborg och Örgryte- Härlanda

2020-10-16

(2)

Granskning av efterlevnaden av dataskyddsförordningen samband med införandet av 2 (19)

Innehåll

1 Inledning ... 3

1.1 Bakgrund ... 3

2 Rättsliga förutsättningar ... 4

2.1 Tillämplig lagstiftning ... 4

2.2 Dataskyddsförordningens krav på säker hantering ... 5

2.3 Patientdatalagen m.fl. ... 7

2.4 Särskilt om konsekvensbedömningar ... 8

2.5 Eventuella konsekvenser om kraven inte efterlevs ... 11

3 Granskning ... 12

3.1 Övergripande ... 12

3.1.1 Iakttagelser och eventuella rekommendationer ... 12

3.2 Personuppgiftsansvar och personuppgiftsbiträde ... 12

3.3 Personuppgifter och registrerade ... 13

3.4 Konsekvensbedömning och förhandssamråd ... 14

3.5 Angående utförd konsekvensbedömning ... 15

4 Bilagor ... 17

5 Referenser ... 18

(3)

1 Inledning

Dataskyddsombudet skickade den 4 mars 2020 respektive 27 mars 2020, en tillsynsskrivelse med avisering om granskning till stadsdelsnämnderna Askim- Frölunda-Högsbo, Västra Hisingen, Västra Göteborg och Örgryte-Härlanda.

Granskningen avser hanteringen vid införandet av det nya journalsystem som används i den kommunala hälso- och sjukvårdens verksamheter.

Stadsdelsnämndernas dataskyddsombud utsände i samband med

tillsynsskrivelsen 16 stycken frågor som respektive nämnds förvaltning ombads besvara.

Frågorna avser aktuell personuppgiftsbehandling, samt de överväganden som förvaltningarna gjort å nämndernas vägnar när det kommer till behov av att genomföra konsekvensbedömning och eventuellt förhandsamråd med tillsynsmyndigheten.

Stadsdelsförvaltningarna inkom den 27 mars, den 17 april, den 26 april och 30 april 2020 med sina respektive svar på dataskyddsombudets frågor.

Dataskyddsombudet bedömde utifrån de inkomna svaren att nämndernas tjänsteleverantör tillika personuppgiftsbiträde, nämnden för Intraservice, även skulle få möjlighet att kommentera svaren samt inkomma med kompletterande handlingar. Nämnden för Intraservice inkom den 15 maj 2020 med svar och handlingar. Svaren från Intraservice medsänds denna rapport som bilaga Dataskyddsombudet tillskrev nämnderna den 8 maj 2020, utifrån att ha gått igenom underlaget som nämnderna inkommit med och utifrån det gjort

bedömningen att den inskickade konsekvensbedömningen som genomförts inte uppfyller kraven på en konsekvensbedömning såsom de anges i artikel 35(7) i dataskyddsförordningen. Skrivelsen medsänds denna rapport som bilaga 2.

Rapporten innehåller iakttagelser och rekommendationer som är gemensamma för samtliga granskade nämnder. Eventuella iakttagelser eller

rekommendationer som enbart berör en specifik förvaltning kommuniceras till denne utanför ramen för denna rapport. Eftersom skrivelsen den 8 maj 2020 var relativt omfattande, är denna rapport mindre så, särskilt i avsnitt 3.

Granskningen inleddes och genomfördes av stadsdelsnämndernas dåvarande dataskyddsombud som sedermera har överlämnat färdigställandet av denna rapport till nuvarande dataskyddsombud för utskick till nämnden. Rapporten har även översänts till förvaltningarna för faktakontroll före utskick.

Genom överlämning av denna rapport, med de uttalanden och

rekommendationer som dataskyddsombudet lämnar, avslutas granskningen.

1.1 Bakgrund

Stadsdelsnämnderna ansvarar för de verksamheter/områden som

kommunfullmäktige genom fastställande av reglemente eller genom särskilda beslut har bestämt ska hanteras av nämnderna. Ett exempel på detta ansvar är att nämnderna som huvudregel är personuppgiftsansvariga för de

(4)

personuppgiftsbehandlingar som sker i nämndernas verksamheter, i enlighet med bestämmelsen i 3 kap. 5 § stadsdelsnämndernas reglemente. I vissa fall är nämndernas personuppgiftsansvar fastställt av lagstiftaren i särskild

registerförfattning på grund av den verksamhet som nämnderna bedriver.

Exempel på det sistnämnda är förordning (2001:673) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPUF, och patientdatalagen (2008:355), förkortad PdL.

Av stadsdelsnämndernas reglemente framgår att nämnden inom sina

geografiska områden har ansvar för bland annat socialtjänst, stöd och service till vissa personer med funktionsnedsättning, kommunala hälso- och

sjukvårdsinsatser, kultur- och fritidsverksamhet samt folkhälsa. Nämnden har även det yttersta ansvaret för befolkningen inom sitt geografiska område.¹ Göteborgs Stad har beslutat att införa journalsystemet PMO som ersättning för systemet Medidoc till dess att ett nytt journalsystem införs. Medidoc behöver bytas ut eftersom leverantören kommer avveckla systemet. Implementeringen av PMO har skett och kommer ske löpande under 2020. Pilotverksamheterna började ta PMO i bruk den 3 mars 2020 och de sista stadsdelarna övergår till PMO den 20 oktober 2020.²

Projektet bakom införandet av PMO består av representanter från både stadsdelsförvaltningarna och Intraservice. Projektet genomförde en konsekvensbedömning den 20 februari 2020.

2 Rättsliga förutsättningar

2.1 Tillämplig lagstiftning

Ett stort antal lagar och regler styr nämndens verksamheter. Avseende dataskydd är det förstås dataskyddsförordningen som är utgångspunkt för nämndens behandling av personuppgifter. Dataskyddsförordningen är tvingande och direkt tillämplig i hela EU.

Ett av förordningens främsta syften är att skydda mänskliga fri- och rättigheter såsom de kommer till uttryck i bland annat Europeiska Unionens stadga om mänskliga fri- och rättigheter samt Europakonventionen. Särskilda fri- och rättigheter som är viktiga vid tillämpningen av förordningen är rätten till skydd för privat- och familjeliv, skydd för personuppgifter, skydd av bostad och kommunikationer, för tankefrihet, samvetsfrihet och religionsfrihet, yttrande-

1 2 kap. 1 § Reglementet för Göteborgs Stadsdelsnämnder.

2 Projektet Ersätta journalsystem för hälso- och sjukvårdens tidplan.

https://intranat.goteborg.se/wps/myportal/int/helastaden/sis/start/projekt_program/ersatta- journalsystem-halso--och-

sjukvarden/!ut/p/z1/04_Sj9CPykssy0xPLMnMz0vMAfIjo8ziDdxdPN2NnQ18Dfz9XQ0Czbx8gn2CXY 08DMz1wwkpiAJJ4wCOBvoFuaGKAJtCgB4!/dz/d5/L2dBISEvZ0FBIS9nQSEh/ Hämtad 2020-09- 11.

(5)

och informationsfrihet, näringsfrihet, rätt till ett effektivt rättsmedel och en opartisk domstol samt kulturell, religiös och språklig mångfald.³

Dataskyddsförordningen kompletteras av den svenska dataskyddslagen och särskilda registerförfattningar. Detta eftersom dataskyddsförordningen både medger och i vissa fall förutsätter nationell kompletterande lagstiftning.⁴ Tillämpliga registerlagstiftningar inom nämndens område är exempelvis lag (2001:454) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPUL, förordning (2001:637) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPUF, patientdatalagen (2008:355), förkortad PdL, med flera. Utöver dessa är även brottsdatalagen (2018:1177), förkortad, BdL, tillämplig vid vissa specifika tillfällen i nämndens behandling av

personuppgifter.

För denna gransknings syfte och avgränsning är det dock primärt

dataskyddsförordningens och patientdatalagens (med tillhörande föreskrifter HSLF-FS 2016:40) bestämmelser som aktualiseras.

2.2 Dataskyddsförordningens krav på säker hantering

Dataskyddsförordningen utgår från ett antal principer för behandling av personuppgifter i artikel 5. Principerna innebär i korthet krav på laglighet, korrekthet och öppenhet, ändamålsbegränsning, uppgiftsminimering, riktighet, lagringsminimering, integritet och konfidentialitet, samt ansvarsskyldighet. Den sistnämnda innebär att den personuppgiftsansvarige (nämnden) ansvarar för och ska kunna visa att övriga principer efterlevs.

Principen om integritet och konfidentialitet innebär att personuppgifterna ”ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder”.⁵

Artikel 24 i dataskyddsförordningen anger att den personuppgiftsansvarige ska genomföra tekniska och organisatoriska åtgärder för skydd av personuppgifter samt kunna visa att personuppgiftsbehandlingen är förenlig med förordningen.

Artikeln anger även att åtgärderna kontinuerligt ska ses över och att de ska uppdateras vid behov.

Säkerhetskraven avseende personuppgiftsbehandling återfinns i artikel 32 i dataskyddsförordningen. Artikeln innebär att den personuppgiftsansvarige (och personuppgiftsbiträdet), med beaktande av den senaste utvecklingen,

genomförandekostnader och behandlingens art, omfattning sammanhang och ändamål samt riskerna, varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, ska vidta lämpliga tekniska och

3 Se bland annat skäl 1, 4, 73, 148 och 153 till dataskyddsförordningen.

4 Se exempelvis artikel 4(7) DSF.

5 Artikel 5(1)(f) DSF. Se även beaktandesats (skäl) 39.

(6)

organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.⁶

Exempel på lämpliga åtgärder är pseudonymisering och kryptering av

personuppgifter, förmåga att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna, förmåga att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident, samt ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och

organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.⁷

Vid bedömning av lämplig säkerhetsnivå ska den personuppgiftsansvarige (och personuppgiftsbiträdet) ta särskild hänsyn till de risker som behandlingen medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.⁸

Artikeln behandlar även kraven på att den personuppgiftsansvarige och eventuellt personuppgiftsbiträde vidtar åtgärder för att alla personer som får tillgång till personuppgifter utifrån att denne utför arbete under den

personuppgiftsansvarige eller personuppgiftsbiträdets överinseende, enbart gör så i enlighet med instruktioner från den personuppgiftsansvarige (om inte personen är ålagd att behandla personuppgifterna enligt unionsrätten eller nationell rätt).⁹

Nyckelorden avseende krav på säker behandling i dataskyddsförordningen är alltså att den personuppgiftsansvarige (och personuppgiftsbiträdet) ska använda sig av tekniska och organisatoriska åtgärder för skydd av personuppgifter.

Tekniska åtgärder skulle alltså kunna vara exempelvis pseudonymisering och kryptering när så är lämpligt eller att arbeta med behörigheter och uppföljning av loggar.¹⁰

Organisatoriska åtgärder skulle bland annat kunna vara att säkerställa att tillräcklig information och utbildning har förmedlats till den som ska behandla personuppgifter, att det finns upprättade rutiner för dataskyddsarbetet, att det finns personuppgiftsbiträdesavtal, samt övriga åtgärder som bidrar till ordning och reda i dataskyddsarbetet.¹¹

Skydd av personuppgifter är en del i informationssäkerhetsarbetet. Idag används ofta begreppet cybersäkerhet synonymt med begreppet informationssäkerhet.

Även cybersäkerheten (IT-tekniska åtgärder för skydda information mot exempelvis intrång) är dock en del av det vidare begreppet

6 Artikel 32(1) DSF.

7 Artikel 32(1)(a-d) DSF.

8 Artikel 32(2) DSF.

9 Artikel 32(4) DSF. I tredje punkten anges även att anslutning till en godkänd uppförandekod som avses i artikel 40 eller en godkänd certifieringsmekanism som avses i artikel 42 får användas för att visa att kraven i punkt 1 i artikel 32 följs.

10 Se bland annat Monica Wendelby, Dataskyddsförordningen GDPR – För dataskyddsombud och andra ansvariga, Stockholm: 2020, s. 44.

11 Se bland annat Monica Wendelby, Dataskyddsförordningen GDPR – För dataskyddsombud och andra ansvariga, Stockholm: 2020, s. 44.

(7)

informationssäkerhet, som även inkluderar fysiska och organisatoriska åtgärder.¹²

Dataskyddsförordningen anger inte specifika säkerhetsåtgärder som ska vidtas utan enbart att en organisation ska använda sig av lämpliga säkerhetsåtgärder i förhållande till den risk som en personuppgiftsbehandling medför.¹³

Dataskyddsförordningen förutsätter att det arbetas med identifiering och analysering av risker. En identifierad risk och de åtgärder som eventuellt kan avhjälpa risken ska övervägas i relation till de behandlade personuppgifternas art och omfattning, sammanhang och ändamål samt kostnaden för att

implementera en viss säkerhetsåtgärd. En organisation måste därför bedöma hur känslig informationen är och vad det skulle kunna medföra om informationen exempelvis kom i orätta händer eller går förlorad.¹⁴

Ovanstående är särskilt viktigt för att kunna bedöma om en viss behandling medför en hög risk för de registrerades rättigheter och därmed eventuellt behov av att genomföra en konsekvensbedömning i enlighet med förutsättningarna i artikel 35 DSF (se vidare avsnitt 3 om konsekvensbedömningar).¹⁵

Dataskyddsförordningen ställer stora krav på dokumentation som en del i att som personuppgiftsansvarig kunna visa på följsamhet mot förordningen. Det innebär att de riskbedömningar som görs ska dokumenteras. Av

dokumentationen ska framgå vilka avvägningar som gjorts och skälen till att organisationen valt att gå en viss väg ska motiveras.¹⁶

Även artikel 25 DSF är relevant i sammanhanget. Den handlar om inbyggt dataskydd och dataskydd som standard. Principerna innebär att hänsyn tas till reglerna om skydd för integriteten redan när man utformar IT-system och rutiner (inbyggt dataskydd) samt att som standard inte behandla fler personuppgifter än nödvändigt (dataskydd som standard).¹⁷

2.3 Patientdatalagen m.fl.

Patientdatalagen beskriver dels hur vårdgivare ska behandla personuppgifter inom hälso- och sjukvården, dels om hur patientjournal ska föras. Syftet med lagen är att tillse att informationshanteringen inom hälso- och sjukvården är

”organiserad så att den tillgodoser patientsäkerhet och god kvalité samt främjar kostnadseffektivitet”. Personuppgifterna ska ”utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras”. De

12 Se exempelvis den brittiska tillsynsmyndigheten, ICO. https://ico.org.uk/for-organisations/guide- to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/security/

15 Se även artikel 36 DSF om eventuellt förhandsamråd med tillsynsmyndigheten.

16 Se bland annat Datainspektionens information om informationssäkerhet och dokumentation https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/informationssakerhet/

Hämtad: 2020-07-29.

17 Se artikel 25 DSF och beaktandesats (skäl) 78, samt Datainspektionens information på https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/inbyggt-dataskydd-och- dataskydd-som-standard/ Hämtad: 2020-07-27. På engelska: Privacy by design och Privacy by default.

(8)

personuppgifter som dokumenteras ”ska hanteras och förvaras så att obehöriga inte får tillgång till dem.”¹⁸

Patientdatalagens bestämmelser om hur personuppgifter får behandlas i hälso- och sjukvården, anger bland annat vem som ska anses vara

personuppgiftsansvarig, för vilka ändamål som personuppgifter får behandlas, vilka personuppgifter som får behandlas och vilka personuppgifter som får användas som sökobjekt.¹⁹

Centralt för tillämpningen av lagen är begreppet vårdgivare. Vem som anses vara vårdgivare genererar effekter på vem som är personuppgiftsansvarig.²⁰ Patientdatalagens bestämmelser om personuppgiftsbehandling kompletterar dataskyddsförordningens bestämmelser. Patientdatalagen kompletteras i sin tur av patientdataförordningen (2008:360), vars bestämmelser bemyndigar

Socialstyrelsen att utfärda föreskrifter om personuppgiftsbehandlingen efter samråd med Datainspektionen. Även bestämmelserna i förordning (1985:796) med vissa bemyndiganden för Socialstyrelsen att meddela föreskrifter m.m, ansluter till viss del till patientdatalagen.

Med stöd i ovanstående har Socialstyrelsen utfärdat föreskriften Socialstyrelsens (HSLF-FS 2016:40) föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården.

Förutom dataskyddsförordningen behöver nämnden kunna visa hur den efterlever samtliga ovanstående bestämmelser, inklusive HSLF-FS 2016:40.

Kapitel 3 i denna föreskrift kan vara särskilt intressant i förhållande till PMO och vårdgivarens ansvar avseende ledningssystem och informationssäkerhet.²¹

2.4 Särskilt om konsekvensbedömningar

En av de skyldigheter som infördes genom dataskyddsförordningen var den personuppgiftsansvariges ansvar att bedöma om en behandling uppfyller kriterierna för när en konsekvensbedömning enligt artikel 35 ska genomföras.

Även frågan om förhandssamråd med tillsynsmyndigheten enligt artikel 36 utvidgades eftersom ett förhandssamråd föregås av en konsekvensbedömning.

Europiska dataskyddsstyrelsen har gett ut en vägledning kring konsekvensbedömningar.Vägledningen syftar till att vara ett stöd vid tillämpningen av dataskyddsförordningen och i vägledningen framgår bland annat följande om just konsekvensbedömningar:

En konsekvensbedömning är en process avsedd att beskriva

behandlingen, bedöma huruvida den är nödvändig och proportionerlig och hjälpa till att hantera risker för fysiska personers rättigheter och friheter som uppkommer genom behandlingen av personuppgifter genom att bedöma dem och bestämma vilka åtgärder som ska vidtas.

Konsekvensbedömningar är viktiga verktyg för utkrävande av ansvar, eftersom de inte bara hjälper personuppgiftsansvariga att uppfylla kraven

18 Se 1 kap. 2-3 §§ PdL.

19 2 kapitlet, PdL.

20 Se exempelvis 1 kap. 3 § samt 2 kap. 6 § PdL.

21 Se 3 kapitlet HSLF-FS 2016:40.

(9)

Granskning av efterlevnaden av dataskyddsförordningen samband med införandet av 9 (19) i förordningen, utan även visar att lämpliga åtgärder har vidtagits för att

säkerställa efterlevnaden av förordningen (se även artikel 24). Med andra ord är en konsekvensbedömning en process för att skapa och påvisa efterlevnad.²²

Ovan framgår vikten av konsekvensbedömningar i förordningen samt att de ska utgöra stöd för den personuppgiftsansvarige att säkerställa att en planerad behandling uppfyller de krav som finns i

dataskyddsförordningen och kompletterande nationell lagstiftning. En konsekvensbedömning som utförs på rätt sätt leder sannolikt även till att den personuppgiftsansvarige uppfyller ansvarsprincipen i artikel 5(2) dataskyddsförordningen.

En konsekvensbedömning föregås av någon form av riskbedömning eftersom krav på att genomföra en konsekvensbedömning inträder först om den planerade behandlingen sannolikt innebär en hög risk för de registrerades fri- och rättigheter.²³ Denna bedömning kan vara nog så svår att göra.

I artikel 35(1) och 35(3) anges grundförutsättningarna för när en

konsekvensbedömning ska genomföras och den kompletteras i Sverige av den förteckning som Datainspektionen har upprättat med stöd i artikel 35(4) i dataskyddsförordningen.

Förteckningens syfte är att underlätta bedömningen avseende om en

konsekvensbedömning ska göras. Förteckningen består idag av nio kriterier och utgångspunkten är att en konsekvensbedömning ska genomföras om minst två av kriterierna är uppfyllda. I korthet är kriterierna följande:

1. Utvärdering eller poängsättning av människor.

2. Automatiserat beslutsfattande som innebär rättsliga eller betydande följder för den registrerade.

3. Systematisk övervakning (exempelvis kameraövervakning eller insamling av personuppgifter i offentliga internetmiljöer).

4. Behandling av känsliga personuppgifter eller andra uppgifter som är av mycket personlig karaktär. Datainspektionen lyfter bland annat sjukhus som lagrar patientjournaler.

5. Personuppgiftsbehandling i stor omfattning.

6. Kombinerar personuppgifter från två eller flera behandlingar på ett sätt som avviker från vad de registrerade rimligen kunnat förvänta sig.

7. Behandling av personuppgifter om utsatta registrerade.

8. Användning av teknik eller nya organisatoriska lösningar (exempelvis Internet of Things).

9. Behandling i syfte att hindra registrerade att få tillgång till en tjänst eller ingå ett avtal.

22 EDPB:s Endorsement 1/2018; Riktlinjer om konsekvensbedömning avseende dataskydd och fastställande av huruvida behandlingen ”sannolikt leder till en hög risk” i den mening som avses i förordning 2016/679, senast reviderade och antagna den 4 oktober 2017, WP 248 rev. 01. sid 2, http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236

23 Monica Wendelby, Dataskyddsförordningen GDPR – För dataskyddsombud och andra ansvariga, Stockholm: 2020, s. 58-60.

(10)

Listan med kriterier ska alltså ses som ett hjälpmedel och ska underlätta för den personuppgiftsansvarige att bedöma när en konsekvensbedömning ska göras.

Listan är dock inte uttömmande och kan komma att kompletteras framöver.²⁴ Det finns också tillfällen när en konsekvensbedömning, trots att två eller flera av kriterierna är uppfyllda, inte behöver genomföras. Det är framförallt om den personuppgiftsansvarige bedömer att det trots att flera kriterier är uppfyllda inte föreligger en hög risk för de registrerades fri- och rättigheter.²⁵ Om den

personuppgiftsansvarige bestämmer sig för att inte genomföra en konsekvensbedömning bör denne dokumentera skälen till detta samt dataskyddsombudets eventuella synpunkter.²⁶

Det kan vara en god idé att involvera sitt dataskyddsombud även i den

bedömning som föregår en eventuell konsekvensbedömning eftersom denne kan bistå med goda råd och vägledning. Vid en faktisk konsekvensbedömning ska dataskyddsombudet rådfrågas, enligt artikel 35(2) dataskyddsförordningen.

Vad en konsekvensbedömning åtminstone ska innehålla framgår av artikel 35(7) enligt följande.

a) en systematisk beskrivning av den planerade behandlingen och behandlingens syften, inbegripet, när det är lämpligt, den personuppgiftsansvariges berättigade intresse,

b) en bedömning av behovet av och proportionaliteten hos behandlingen i förhållande till syftena,

c) en bedömning av de risker för de registrerades rättigheter och friheter som avses i punkt 1, och

d) de åtgärder som planeras för att hantera riskerna, inbegripet

skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av personuppgifterna och för att visa att denna förordning efterlevs, med hänsyn till de registrerades och andra berörda personers rättigheter och berättigade intressen.

Datainspektionen uttalade i sitt beslut i augusti 2019 avseende ansiktsigenkänning på en skola (i syfte att kontrollera närvaro) att en riskbedömning inte varit tillräcklig i detta fall, utan kraven för när en

konsekvensbedömning ska genomföras var uppfyllda. Den riskbedömning som upprättats kunde inte anses utgöra en fullgod konsekvensbedömning eftersom den saknade en bedömning av de risker som förelåg för registrerades rättigheter och friheter. Inte heller fanns en redogörelse för proportionaliteten av

behandlingen i förhållande till dess syften. Därmed kunde inte kraven i artikel 35(7) anses vara uppfyllda.²⁷

24 Datainspektionens förteckning enligt artikel 35.4 i dataskyddsförordningen, beslutad den 16 januari 2019, dnr DI-2018-13200. Se även Monica Wendelby, Dataskyddsförordningen GDPR – För dataskyddsombud och andra ansvariga, Stockholm: 2020, s. 58-60.

25 Datainspektionens förteckning enligt artikel 35.4 i dataskyddsförordningen, beslutad den 16 januari 2019, dnr DI-2018-13200. Se även Monica Wendelby, Dataskyddsförordningen GDPR – För dataskyddsombud och andra ansvariga, Stockholm: 2020, s. 58-60.

(11)

2.5 Eventuella konsekvenser om kraven inte efterlevs

En av anledningarna till att dataskyddsförordningen fått genomslag är möjligheten för tillsynsmyndigheten att utdöma höga administrativa

sanktionsavgifter i enlighet med artikel 83 DSF om en organisation missköter sin personuppgiftsbehandling.

För vissa organisationer kan de administrativa sanktionsavgifterna uppgå till som mest 20 miljoner euro eller fyra procent av organisationens globala årsomsättning (beroende på vilket som är högst). Mindre allvarliga

överträdelser kan istället medföra ett maxbelopp på 10 miljoner euro eller 2 procent av organisationens globala årsomsättning.²⁸

Även myndigheter kan, enligt den kompletterande dataskyddslagen (2018:218), påföras administrativa sanktionsavgifter. Maxbeloppen uppgår här till fem respektive tio miljoner kronor beroende på överträdelsen.²⁹

Datainspektionen uppger att sanktionsavgiftens storlek beror på vilken

bestämmelse överträdelsen gäller och på omständigheterna i det enskilda fallet – bland annat hur allvarlig överträdelsen är, hur stor skadan är, om det är fråga om känsliga personuppgifter och om överträdelsen är avsiktlig.

Datainspektionen ska enligt förordningen tillse att sanktionsavgiften är

”effektiv, proportionerlig och avskräckande”.³⁰

En enskild registrerad kan också begära skadestånd av en organisation i enlighet med artikel 82 DSF.

Utöver att besluta om administrativa sanktionsavgifter kan Datainspektionen även ”utfärda varningar om en planerad behandling av personuppgifter sannolikt kommer att bryta mot bestämmelserna i förordningen” eller ”utfärda reprimander om en pågående behandling av personuppgifter bryter mot bestämmelserna”. Datainspektionen kan även besluta att en viss behandling måste upphöra.³¹

Förutom ovanstående risker, finns det andra aspekter som bör beaktas, såsom förlust av förtroende. För offentlig sektor är sannolikt allmänhetens och de registrerades förväntningar på att personuppgifter och övrig information behandlas på ett säkert sätt stora.

28 Se bland annat Datainspektionens information. https://www.datainspektionen.se/lagar-- regler/dataskyddsforordningen/sanktionsavgifter-och-varningar/ Hämtad: 2020-07-29.

29 6 kap. 2 § Dataskyddslagen (2018:218).

30 Se bland annat Datainspektionens information. https://www.datainspektionen.se/lagar-- regler/dataskyddsforordningen/sanktionsavgifter-och-varningar/ Hämtad: 2020-07-29. Jfr. med artikel 83(1)(a-k) DSF.

31 Se Datainspektionens information. https://www.datainspektionen.se/lagar-- regler/dataskyddsforordningen/sanktionsavgifter-och-varningar/ Hämtad: 2020-07-29.

(12)

3 Granskning

Granskningen har, som ovan beskrivits, genomförts i formen av en

skrivbordstillsyn genom att förvaltningarna har ombetts att besvara ett antal frågor angående personuppgiftsansvar, personuppgiftsbehandling och konsekvensbedömning vid införande av nytt journalsystem. Frågorna är indelade i delområdena ”Övergripande”, ”Personuppgiftsansvar och personuppgiftsbiträde”, ”Personuppgifter och registrerade”, samt

”konsekvensbedömning och förhandssamråd”.

Nedan redovisas granskningens respektive delar samt dataskyddsombudets iakttagelser och eventuella rekommendationer utifrån ovanstående indelning.

Respektive förvaltnings fullständiga svar biläggs respektive nämnds version av denna rapport.

3.1 Övergripande

I detta delområde ombads förvaltningarna ange vilka av sina respektive verksamheter som använder journalsystemet PMO och vilka kategorier av tjänstepersoner som har tillgång till personuppgifterna i systemet. Av svaren framgår att det vid svarstillfällena var olika verksamheter inom respektive nämnds områden som påbörjat användningen och därmed varierar även svaren på vilka kategorier av tjänstepersoner som har tillgång till personuppgifterna i systemet. Se bilaga 3 för aktuell förvaltnings fullständiga svar.

3.1.1 Iakttagelser och eventuella rekommendationer

Dataskyddsombudet vill påpeka vikten av att nämnderna säkerställer att deras personuppgiftsregister speglar de behandlingar som sker i PMO. Som framgår av Dataskyddsombudets skrivelse den 8 maj 2020, behöver klargöras huruvida processen innebär en enda behandling eller om den består av flera behandlingar som hör ihop med varandra.³² Det är angeläget att detta sker skyndsamt då uppgifterna i registerförteckningen ligger till grund för den information som nämnden ger den registrerade enligt skyldigheterna i artikel 13-14 DSF.

I 8 kap. 6 § PdL finns det ytterligare krav på vilka uppgifter som informationen som lämnas till den registrerade ska innehålla. Delar av dessa ytterligare krav som PdL uppställer ska återfinnas i den personuppgiftsansvariges

registerförteckning.

3.2 Personuppgiftsansvar och personuppgiftsbiträde

I denna del ombads förvaltningarna besvara frågan om deras nämnd är personuppgiftsansvarig för de personuppgiftsbehandlingar som sker i

32 Dataskyddsombudets skrivelse den 8 maj 2020, s. 3.

(13)

journalsystemet PMO, samt om de inte anser så vara fallet, vem som i så fall är det. Förvaltningarna ombads även ange den eller de leverantörer som agerar personuppgiftsbiträde.

Samtliga förvaltningar har svarat att de är personuppgiftsansvariga. Ett par av förvaltningarna har specificerat att de är ansvariga för den behandling i PMO som sker i deras verksamhet.

Samtliga förvaltningar har angett att nämnden för Intraservice är deras personuppgiftsbiträde samt hänvisat till Göteborgs Stads generella regler för kommungemensamma interna tjänster.

3.2.1 Iakttagelser och eventuella rekommendationer

Dataskyddsombudet har inte gjort några allvarligare iakttagelser i denna del eller som avser samtliga förvaltningar. Mindre avvikelser kommuniceras vid sidan om denna rapport till aktuella förvaltningar.

Däremot vill dataskyddsombudet ändå lyfta, precis som ett par av

förvaltningarna gjort, patientdatalagens bestämmelser om vårdgivare och personuppgiftsansvar för den personuppgiftsbehandling som vårdgivaren utför.

Personuppgiftsansvaret är fastställt av lagstiftaren och så även för vilka ändamål personuppgifter inom hälso- och sjukvården får behandlas. Det är därför viktigt för nämnderna att ha förståelse för detta.

Dataskyddsombudet vill även lyfta att det i den genomförda

konsekvensbedömningen framgår att de regler som styr verksamheten är både socialtjänstlagen (2001:453) och hälso- och sjukvårdslagen (2017:30).³³ Huruvida detta innebär att även lag (2001:454) om behandling inom socialtjänsten, förkortad SoLPUL är tillämplig framgår inte. Detta bör man utreda och om man kommer fram till att även SoLPUL kan vara tillämplig i vissa fall, bör då framgå vilka behandlingar som omfattas av patientdatalagen och vilka som omfattas av SoLPUL.³⁴

3.3 Personuppgifter och registrerade

I denna del ombads förvaltningarna besvara vilka typer av personuppgifter som behandlas i journalsystemet, huruvida känsliga personuppgifter enligt artikel 9 behandlas och i så fall vilka typer, huruvida uppgifter om lagöverträdelse behandlas, från vilka personer eller aktörer som stadsdelen får

personuppgifterna som behandlas i systemet, vilka kategorier av registrerade som omfattas av personuppgiftsbehandlingen, till vilka andra organisationer som nämnden delar uppgifter, samt om hur den registrerade informeras om sina rättigheter enligt artikel 12-21 i dataskyddsförordningen.

33 Se konsekvensbedömning upprättad den 20 februari 2020, avsnitt 1.8, samt dataskyddsombudets skrivelse den 8 maj 2020, s. 3.

34 Se dataskyddsombudets skrivelse den 8 maj 2020, s. 3.

(14)

I denna del varierar svaren från förvaltningarna något utifrån dess olika

förutsättningar (jfr. avsnitt 3.1). Se bilaga 3 för aktuell förvaltnings fullständiga svar.

3.3.1 Iakttagelser och eventuella rekommendationer

Dataskyddsombudet har inte gjort några allvarligare iakttagelser i denna del eller som avser samtliga förvaltningar. Dataskyddsombudet kommer lyfta mindre avvikelser vid sidan om denna rapport till aktuella förvaltningar. Även här vill dataskyddsombudet dock påminna om vikten av att nämnderna

säkerställer att deras personuppgiftsregister speglar de behandlingar som sker i PMO och vad som i övrigt framgår av avsnitt 3.1.1.

3.4 Konsekvensbedömning och förhandssamråd

I denna del ombads förvaltningarna beskriva vem hos nämnden som ansvarar för att bedöma om en konsekvensbedömning ska göras eller inte, vilka överväganden som nämnden har gjort avseende om införandet av ett nytt journalsystem innebär att en konsekvensbedömning enligt artikel 35 behöver göras, vem hos nämnden som ansvarar för att bedöma om förhandssamråd med Datainspektionen ska göras, vilka bedömningar som nämnden har gjort

avseende om förhandssamråd behöver genomföras, samt vem som är informationsansvarig för personuppgifterna som hanteras i PMO.

Förvaltningarna ombads även bifoga eventuella dokument av betydelse, såsom styrande dokument eller upprättad konsekvensbedömning. Förvaltningarna fick även möjlighet att redovisa hur de uppfattar ansvarsfördelningen avseende konsekvensbedömningar med mera inom ramen för de kommungemensamma interna tjänsterna. Nedan iakttagelser är generella. Se bilaga 3 för aktuell förvaltnings fullständiga svar.

3.4.1 Iakttagelser och eventuella rekommendationer

En majoritet av förvaltningarna lyfter att det antingen inte finns någon tydlig ansvarsfördelning för arbetet med konsekvensbedömningar inom ramen för de kommungemensamma interna tjänsterna eller att det föreligger andra

svårigheter med att tillämpa regelverket för de kommungemensamma interna tjänsterna i samband med konsekvensbedömningar eller inköp av IT-system i stort som är gemensamma.

Det som förvaltningarna lyfter särskilt är att Intraservice inom ramen för de kommungemensamma interna tjänsterna ansvarar för leverans och drift, men att de användande förvaltningarna var och en är personuppgiftsansvariga och därmed de som, utifrån dataskyddsförordningen, ansvarar för att en eventuell konsekvensbedömning genomförs.

(15)

Dataskyddsombudet anser att oklarheten kring ovanstående sannolikt bidrar till att de personuppgiftsansvariga nämnderna intar en mer passiv roll i förhållande till Intraservice. De personuppgiftsansvariga är förvisso till viss del

representerade i arbetet med att ta fram kommungemensamma interna tjänster, men i praktiken blir det sannolikt svårt för de personuppgiftsansvariga att helt och fullt ta det ansvar som ställs på dem utifrån dataskyddsförordningen.

Dataskyddsombudet noterar att beslut om vilka tjänster som ska erbjudas inom ramen för de kommungemensamma interna tjänsterna beslutas av

stadsdirektören på delegation av kommunstyrelsen. Det är sedan nämnden för Intraservice som beslutar om upphandling av de systemstöd som Intraservice i sin roll som tjänsteleverantör erbjuder stadsdelsnämnderna. I dagsläget finns det inte möjlighet för en nämnd att begära att inte omfattas av de tjänster som bestäms ska vara gemensamma. Dataskyddsombudet konstaterar att dessa organisatoriska förutsättningar medför att nämnden lätt hamnar i en passiv roll, då nämnden inte fullt ut kan ta sitt ansvar som beställare av systemet och personuppgiftsansvarig.

Dataskyddsombudet rekommenderar att nämnderna tillsammans med

Intraservice och kommunstyrelsen reder ut frågan och upprättar en arbetsgång som tillser en effektiv samordning i staden när så behövs, men som ändå möjliggör för nämnderna att utföra sitt personuppgiftsansvar fullt ut. Särskilt behöver ansvar för kravställning och inköp anpassas för att stärka nämnderna i sin roll som personuppgiftsansvarig.

När det i ett projekt inom ramen för de kommungemensamma interna tjänsterna utförs riskbedömningar eller konsekvensbedömningar behöver det i ett tidigt skede finnas möjlighet för de personuppgiftsansvariga att göra och dokumentera sina egna bedömningar. Om dokument upprättas gemensamt i projekten bör varje personuppgiftsansvarig anta dokumenten som sina egna, förutsatt att bedömningarna utifrån deras perspektiv är korrekta eller att det går att göra anpassningar. Även internt inom respektive nämnd behöver det finnas klara och tydliga mandat avseende konsekvensbedömningar för att säkerställa att

nämnden har förutsättningar att anta sitt personuppgiftsansvar. Det är också oerhört viktigt att den personuppgiftsansvarige i ett tidigt stadium får möjlighet att involvera sitt dataskyddsombud. Som framgår i avsnitt 2.4 ska den

personuppgiftsansvarige rådfråga sitt dataskyddsombud vid utförandet av en konsekvensbedömning. En felaktig hantering av såväl konsekvensbedömningar som dataskyddsombud kan förenas med sanktionsavgift vid eventuell tillsyn.³⁵

3.5 Angående utförd konsekvensbedömning

De granskade nämndernas tidigare dataskyddsombud har i skrivelsen den 8 maj 2020, utförligt beskrivit bristerna i genomförd konsekvensbedömning daterad

35 Monica Wendelby, Dataskyddsförordningen GDPR – För dataskyddsombud och andra ansvariga, Stockholm: 2020, s. 66.

(16)

den 28 februari 2020. Det finns därför inte skäl att på nytt påpeka detta, utan skrivelsen biläggs denna rapport.³⁶

För att uppnå kraven i artikel 35(7), bör upprättad konsekvensbedömning revideras och kompletteras utifrån de synpunkter som framgår av skrivelsen den 8 maj 2020. Särskilt bör den innehålla en bedömning av de risker som

föreligger för de registrerades fri- och rättigheter samt en redogörelse för proportionaliteten av behandlingen i förhållande till dess syften.³⁷ Det behöver finnas utrymme och möjlighet för nämnderna att utöva sitt personuppgiftsansvar och involvera sitt dataskyddsombud.

Dataskyddsombudet är medveten om att ovanstående arbete nu pågår, vilket dataskyddsombudet anser positivt, även om det såklart hade varit önskvärt att så hade skett i ett tidigare skede.

36 Se bilaga 2.

37 Jfr. avsnitt 2.4.

(17)

4 Bilagor

1. Tillsynsskrivelse samt frågeformulär, daterade den 4 mars 2020.

2. Dataskyddsombudets skrivelse den 8 maj 2020.

3. Svar från stadsdelsförvaltningen Askim-Frölunda-Högsbo, daterat den 30 april 2020.

4. Svar från förvaltningen för Intraservice, daterat den 15 maj 2020.

(18)

5 Referenser

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Dataskyddsförordningens beaktandesatser (skäl). https://eur-

lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CELEX:32016R0679&rid=1 Dataskyddslagen (2018:218).

Kommunallagen (2017:725).

Socialtjänstlagen (2001:453).

Lag (2001:454) om behandling av personuppgifter inom socialtjänsten.

Brottsdatalagen (2018:1177).

Patientdatalagen (2008:355).

Offentlighets- och sekretesslagen (2009:400).

Förordning (2001:637) om behandling av personuppgifter inom socialtjänsten.

Reglemente för Göteborgs Stadsdelsnämnder.

Beslut fattat av stadsdelsnämnden den 2 januari 2020, protokoll nr 1/2020 § 9, samt tillhörande tjänsteutlåtande med diarienummer N138-0556/19 samt tillhörande bilagor.

Monica Wendelby, Dataskyddsförordningen GDPR – För dataskyddsombud och andra ansvariga, Stockholm: 2020.

https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the- general-data-protection-regulation-gdpr/security/

https://www.datainspektionen.se/lagar--

regler/dataskyddsforordningen/informationssakerhet/

https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/inbyggt- dataskydd-och-dataskydd-som-standard/

https://www.datainspektionen.se/lagar--

regler/dataskyddsforordningen/sanktionsavgifter-och-varningar/

EDPB:s Endorsement 1/2018; Riktlinjer om konsekvensbedömning avseende dataskydd och fastställande av huruvida behandlingen ”sannolikt leder till en hög risk” i den mening som avses i förordning 2016/679, senast reviderade och antagna den 4 oktober 2017, WP 248 rev. 01. sid 2,

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236

(19)

https://intranat.goteborg.se/wps/myportal/int/helastaden/sis/start/projekt_progra m/ersatta-journalsystem-halso--och-

sjukvarden/!ut/p/z1/04_Sj9CPykssy0xPLMnMz0vMAfIjo8ziDdxdPN2NnQ18 Dfz9XQ0Czbx8gn2CXY08DMz1wwkpiAJJ4wCOBvoFuaGKAJtCgB4!/dz/d5/

L2dBISEvZ0FBIS9nQSEh/