Digitalisering

Datainspektionen om Hälsa för mig: Nu måste vi agera

Reumatikerförbundets Anne Carlsson är kritisk till att uppgifter på hälsokontot ska lagras på amerikanska servrar i andra EU-länder, där de kan begäras ut av andra länder. Foto: Mikael Sjöberg/TT
Reumatikerförbundets Anne Carlsson är kritisk till att uppgifter på hälsokontot ska lagras på amerikanska servrar i andra EU-länder, där de kan begäras ut av andra länder. Foto: Mikael Sjöberg/TT
Katarina Tullstedt. Foto: Datainspektionen
Katarina Tullstedt. Foto: Datainspektionen

Det är osäkert vem som är ansvarig för informationen på hälsokontot Hälsa för mig. Det anser Datainspektionen som nu vill utreda frågan.

Publicerad

Förra veckan avslöjade Ny Teknik att det finns integritetsrisker när det gäller Ehälsomyndighetens kommande digitala tjänst Hälsa för mig.

Nu anser Katarina Tullstedt, jurist och enhetschef på Datainspektionen, att de rättsliga förutsättningarna måste redas ut. Dit hör såväl integritets- som ansvarsfrågor. Datainspektionen avser framöver att göra en granskning.

– Det här rör ju ett såpass stort antal personer och många känsliga personuppgiftssamlingar, så på något sätt måste vi agera, säger hon.

Ett frågetecken gäller vem som ansvarar för informationen på kontona. Är det Ehälsomyndigheten som tillhandahåller tjänsten på internet – eller privatpersonerna som använder Hälsa för mig-kontot och stoppar in sina hälsodata, patientjournaler och träningsresultat i dem?

Enligt regeringens instruktion från 2013 får Ehälsomyndigheten bara förvara handlingarna på kontot ”i form av teknisk lagring för enskilds räkning”.

Om det är frågan om privat behandling så omfattas denna inte av Pul – eller några andra dataskyddsregler.

– Jag har svårt att se att det skulle vara privatpersonen som är ansvarig här, utan i stället är det myndigheten, säger Katarina Tullstedt, som menar att dataskyddsreglerna borde vara gällande.

Bland annat har myndigheter ett långtgående ansvar för sina digitala tjänster. Det klargörs i en dom i Högsta förvaltningsrätten gällande Försäkringskassan.

Samtidigt har Ehälsomyndigheten tecknat ett personuppgiftsbiträdesavtal med Capgemini.

– Det ger intryck av att man anser sig vara personuppgiftsansvarig, trots instruktionen, säger hon.

En annan fråga är om patientdatalagen ska vara tillämpbar för hanteringen, och om vårdgivare kommer att kunna ta del av uppgifterna på kontot, anser Katarina Tullstedt.

Hon menar också att man måste utreda vilken slags åtkomst appföretag får till kontona. Enligt avtalet ska detta ske via länkade anslutningar, där datan flödar fritt till appföretaget – förutsatt att användaren godkänt villkoren för appen.

– Har de direktåtkomst ska det finnas ett lagstöd för det, säger hon.