Datainspektionen meddelar nu en första inspektion av en av parterna kring rådgivningsnumret 1177 Vårdguiden. Företaget som inspekteras är Voice Integrate Nordic AB som utförde och lagrade de olika röstinspelningarna från sjukvårdsrådgivningen på en server åtkomlig för obehöriga.
Enligt dataskyddsförordningen, GDPR, ska personuppgifter skyddas genom att obehöriga inte ska kunna nå dem och att uppgifterna inte kan spridas på obefogade sätt. Både personuppgiftsansvariga och personuppgiftsbiträden har ett ansvar att vidta tillräckliga säkerhetsåtgärder. Personuppgiftsansvarige har ett särskilt ansvar att endast anlita personuppgiftsbiträden som kan visa på att dataskyddsförordningen efterlevs, och särskilt att de registrerades fri- och rättigheter tillvaratas på ett tillfredsställande sätt. När det gäller känsliga personuppgifter som rör hälsa är kraven särskilt stränga.
Den tillsyn som Datainspektionen nu inleder ska bland annat klargöra vad det är för slags personuppgifter som behandlas, i vilka IT-system och vilka åtgärder som har vidtagits för att för att något liknande inte ska kunna ske framöver.
”Det här är ett komplext ärende med flera olika aktörer. Det kommer att bli fråga om ytterligare granskningar av andra inblandade,” säger Suzanne Isberg som leder inspektionen.
Datainspektionen är tillsynsmyndighet för dataskyddsförordningen och patientdatalagen och kontrollerar bland annat att vårdgivare och deras personuppgiftsbiträden har vidtagit tillräckliga tekniska och organisatoriska åtgärder för att skydda personuppgifter. Eftersom uppgifterna förmodligen även omfattas av sekretess ser vi fram emot att Datainspektionen kommer att beakta offentlighet- och sekretesslagens samt patientsäkerhetslagens sekretessbestämmelser. Den som röjer en uppgift som hen är skyldig enligt lag att hemlighålla gör sig skyldig till tjänstefel enligt brottsbalken 20 kap. 3§. Men det blir i sådant fall en fråga för allmän domstol och inte för Datainspektionen.
Fortsättning följer…