I ett beslut har Kammarrätten i Stockholm upphävt tidigare beslut från både Förvaltningsrätten och Integritetsskyddsmyndigheten (IMY) om att fem sjukhus och regioner ska betala sanktionsavgifter enligt GDPR. Dessutom har IMY:s förelägganden om att åtgärda brister upphävts i alla fall utom ett.
Beslutet gäller Styrelsen för Karolinska Universitetssjukhuset, Hälso- och sjukvårdsnämnden i Region Västerbotten, Styrelsen för Sahlgrenska Universitetssjukhuset, Capio S:t Görans Sjukhus AB, och Regionstyrelsen i Region Östergötland. Kammarrätten fastställer att IMY inte har kunnat bevisa att dessa sjukhus och regioner har brustit i sina skyldigheter enligt GDPR när det gäller att säkerställa säkerhetsnivå vid tilldelning av behörigheter i journalsystemen.
Kammarrättsrådet förklarar att behandling av personuppgifter inom sjukvården omfattas av olika regelverk. Dessa regelverk balanserar behovet av patientuppgifter för god och säker vård med skyddet av personuppgifterna. Det innebär svåra avvägningar för vårdgivaren att förena dessa krav vid sjukvårdens personuppgiftsbehandling. I de nu prövade målen har IMY inte lyckats bevisa att sjukhusen och regionerna brustit i sina skyldigheter enligt GDPR.
