1177 och ansvaret
Måndagen den 18 februari 2019 ringde min telefon i ett – Computer Sweden hade avslöjat att en stor mängd hälsouppgifter från samtal till 1177 låg öppet på internet. Jag var enhetschef på Datainspektionen och medias intresse var stort. Nu har medias intresse för 1177-läckan svalnat, Datainspektionen har bytt namn till Integritetsskyddsmyndigheten (IMY) och jag har lämnat myndigheten. Ändå är händelsen, fem år efter Computer Swedens avslöjande, aktuell på nytt då kammarrättens meddelat sin dom rörande MedHelp.
Lars Dobos
Kammarrätten i Stockholm
Det som Computer Sweden avslöjade var en allvarlig säkerhetsbrist som omfattade år av samtal till 1177. Trots det kom mycket i efterspelet att handla om ansvaret och inte säkerheten. Jag vill därför ge några reflektioner kring just ansvarsfrågan och vad den betyder, inte minst för säkerheten. Ni som vill ha en bakgrund eller fylligare förklaring, läs gärna IMY:s rapport om granskningen: DI-2021-5220 (pdf).
1177 Vårdguiden
Efter artikeln om läckan i 1177 Vårdguiden fick IMY in många incidentanmälningar. Eftersom en incidentanmälan ska rapporteras in av den personuppgiftsansvarige, så gav de många anmälningarna en vink om att det kunde råda en otydlighet kring personuppgiftsansvaret. En otydlighet fanns också mot de som sökte vård. På webbsidan 1177.se stod det att personuppgiftsansvariga var respektive vårdgivare. Tre regioner anlitade vid denna tid MedHelp, men det fanns ingen information för de vårdsökande i dessa regioner att MedHelp var den vårdgivare som svarade för sjukvårdsupplysningen. MedHelp anlitade i sin tur ett thailändskt vårdbolag för att ge sjukvårdsupplysning när tidsskillnaden gjorde det mer fördelaktigt att arbeta i Thailand. De vårdsökande fick inte heller någon information om det thailändska bolaget. Själva läckan uppstod hos Voice Integrate som var personuppgiftsbiträdet till MedHelp.
Att använda ett namn, ett varumärke som front, likt 1177 Vårdguiden, kan ofta vara praktiskt och förenkla för dem som behöver komma i kontakt med olika verksamheter. Den positiva sidan har dock en baksida då det finns risk att det blir otydligt vem som har det egentliga ansvaret, vem man egentligen har kontakt med. MedHelp var av uppfattningen att bolaget enligt avtal representerade varumärket 1177 och inte skulle använda sitt eget namn. När det gäller myndigheter eller offentligfinansierad verksamhet kan diffusa samarbetsformer också leda till oklarhet om vilka regler som egentligen gäller.
Vårdgivare i Thailand
Det var samtal från vårdsökande som kopplats till MediCall i Thailand som låg exponerade mot internet. MedHelp uppgav sig vara vårdgivare och personuppgiftsansvarig även för behandlingen i Thailand och hade tecknat personuppgiftsbiträdesavtal med MediCall. MedHelp uppgav vidare att MediCall var journalföringspliktig och hade svenska sjuksköterskor anställda. I överklagandet till förvaltningsrätten ändrade MedHelp sin inställning och pekade på att det är de faktiska omständigheterna som ska avgöra vem som är personuppgiftsansvarig och att MediCall bedrivit vård på samma sätt som MedHelp och därför borde MediCall anses vara personuppgiftsansvarig.
För att få svar på om MediCall hade stöd för att behandla personuppgifterna behöver en bedömning göras av om MediCall är en svensk vårdgivare som regleras av svensk hälso- och sjukvårdslagstiftning. Kopplingen mellan vårdgivare och tillåtligheten att behandla personuppgifter kan mycket summariskt beskrivas så här.
Det behövs ett lagligt stöd av såväl EU:s dataskyddsförordning (GDPR) som nationella hälso- och sjukvårdsregler för att få behandla personuppgifter inom vården. Kompletteringen i nationell rätt utgörs främst av patientdatalagen (2008:355 PDL). Enligt 2 kap. 6 § PDL är det vårdgivaren som är personuppgiftsansvarig när personuppgifter behandlas i samband med vård. Vårdgivare definieras i 2 kap. 3 § hälso- och sjukvårdslagen (2017:30) som statlig myndighet, region, kommun, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet. För att få behandla hälsouppgifter behöver det också finnas undantag från förbudet att behandla känsliga personuppgifter i artikel 9.1 i GDPR. Det innebär bland annat att det krävs att de som behandlar uppgifterna omfattas av lagstadgad tystnadsplikt, artikel 9.3 i GDPR. I 6 kap. patientsäkerhetslagen (2010:659) finns regler om tystnadsplikt.
På frågan om ett thailändskt bolag i Thailand kan vara vårdgivare och ge sjukvårdsupplysning enligt svensk sjukvårdslagstiftning sa IMY nej, förvaltningsrätten ja och kammarrätten nej.
Förvaltningsrätten konstaterade att en vårdgivare bör omfattas av svensk lagstiftning på hälso- och sjukvårdsområdet när vården bedrivs med inriktning mot och förmedlas till personer som befinner sig i Sverige. MediCall bedömdes därför vara vårdgivare enligt de svenska reglerna och personalen omfattades av tystnadsplikten enligt patientsäkerhetslagen.
I och med det blev frågan om överföringen av personuppgifterna till Thailand var en laglig tredjelandsöverföring relevant. Förvaltningsrätten återförvisade därför målet tillbaka till IMY i denna del. Kammarrätten konstaterar i sin dom att förvaltningsrätten inte har haft möjlighet att visa målet åter till IMY för prövning av om MedHelp uppfyllt kraven rörande överföring till tredjeland i dataskyddsförordningen. Kammarrätten hänvisar både till att tillsynsmyndigheterna enligt GDPR är oberoende och själva har mandat att avgöra granskningens omfattning och till principen om reformatio in pejus. Principen om reformatio in pejus innebär, något förenklat, att den som klagar till en domstol inte ska hamna i en sämre sitts på grund av sitt klagomål än om den klagande inte klagar. Eftersom IMY inte prövat frågan om överföringen till tredjeland var laglig innebar förvaltningsrättens beslut en utvidgning som inte var tillåten.
Beträffande frågan om det thailändska bolaget kan vara vårdgivare, så konstaterar kammarrätten att hälso- och sjukvård är en nationell angelägenhet, bortsett från vissa gränsöverskridande samarbeten som här saknar intresse, och bedrivs inom Sveriges gränser. Kammarrätten konstaterar också att vården geografiskt är kopplad till huvudmännen som antingen är regioner eller kommuner. Att vården riktar sig mot och till personer i Sverige eller att det är svenska sjuksköterskor som ger vården påverkar inte kammarrättens bedömning. Kammarrätten kommer därför fram till att MediCall inte är vårdgivare enligt 2 kap. 3 § hälso- och sjukvårdslagen och inte omfattas av svensk sjukvårdslagstiftning.
En naturlig följdfråga är då om MediCall kunde ha behandlat personuppgifterna med stöd av det personuppgiftsbiträdesavtal som tecknats. Det som avgör om någon är ett personuppgiftsbiträde är de faktiska förhållandena eller vad som är lagreglerat om personuppgiftsansvaret. I detta fall är vårdgivaren utpekad som personuppgiftsansvarig enligt PDL och såsom som MedHelp uttrycker det i överklagandet, har MediCall bedrivit vård på samma sätt som MedHelp. Det innebär att MediCall inte kan vara personuppgiftsbiträde till MedHelp.
Avtal mellan verksamheter liksom samtycke från enskilda används inte sällan som ett reparationskit som ska täcka sprickor och skavanker vid behandling av personuppgifter. Men GDPR är inte dispositiv och avtal och samtycke kan bara användas när och för det som förordningen anger att avtal eller samtycke kan eller ska användas.
Ännu omöjligare är det att använda personuppgiftsbiträdesavtal som ersättning för regler som inte reglerar dataskydd. Sjukvårdslagstiftningen syftar primärt till god och säker vård. Att slussa patienter ovetandes vidare till en verksamhet som inte täcks av dessa regler är givetvis allvarligt. Frågan är om en tydlighet mot de vårdsökande hade lett till ett sunt ifrågasättande.
Säkerhet och ansvar
MedHelp har bedömts, av båda domstolarna och IMY, vara personuppgiftsansvarig och därmed ansvarig för säkerheten för de ljudfiler som legat öppna mot internet. Enighet har också rått kring att personuppgiftsbiträdesavtalet med Voice inte påverkat MedHelps ansvar. Om den personuppgiftsansvarige anlitar ett biträde betyder det inte att ansvaret förflyttas, utan det är fortfarande den personuppgiftsansvarige som har det yttersta ansvaret. I och med GDPR kan också ett personuppgiftsbiträde ställas till ansvar för bristande säkerhet. Så skedde här, både MedHelp och Voice bedömdes ha brustit genom att inte ha säkerställt en lämplig säkerhetsnivå för att förhindra obehörigt röjande av personuppgifterna eller obehörig åtkomst till dem.
Att 1177-läckan kommit att handla mycket om ansvarsfrågan är inte så långsökt. Det rådde en otydlighet kring personuppgiftsansvaret och för att kunna bedriva ett systematiskt och kontinuerligt säkerhetsarbete krävs det ett ansvarstagande. Att personuppgiftsansvaret är tydligt för den som är ansvarig är en förutsättning för att dataskyddet ska fungera. IMY skriver i sin rapport. ”Om flera aktörer är inblandade får det inte råda tvivel, delade meningar eller oklarheter om vem som är personuppgiftsansvarig, vem som är personuppgiftsbiträde, och vilket ansvar respektive vilka skyldigheter var och en har.”
Att aktörer som samverkar på olika sätt måste veta vem som ansvarar för vad kan låta som en självklarhet, men samtidigt innebär dagens databehandling att vi interagerar på mer och mer komplexa sätt. När det gäller stora tjänsteleverantörerna som levererar helhetslösningar med molntjänster och ett stort utbud av verktyg kan det vara svårt att få till den tydlighet som krävs.
Ett exempel som visar detta är Danska Datatilsynens beslut från den 30 januari i år gällande de danska kommunernas användning av Chromebook i skolorna. Datatilsynet konstaterar i beslutet att såväl dataflödena som avtalen är komplexa och att det i sig innebär en risk för att reglerna inte följs. Datatilsynet beskriver också risken med att även små förändringar i teknik eller avtal kan leda till följdändringar som kommunerna kan komma att förbise. Kommunerna uppmanas att eftersträva enklare avtal, men också se till att ha tillgång till den tekniska och juridiska kompetens som krävs för att säkerställa att dataskyddet efterlevs.
Ett annat alldeles färskt exempel är EDPS (European Data Protection Supervisor) beslut gällande Europeiska kommissionens användning av Microsoft 365. EDPS har funnit att kommissionen brister i reglerna gällande dataskydd då kommissionen inte har säkerställt att personuppgifter som överförs till tredjeland ges en väsentligen likvärdig skyddsnivå som om de behandlas inom EU/EES. Kommissionen har inte heller i sitt avtal med Microsoft i tillräcklig mån preciserat vilka typer av personuppgifter som samlas in och för vilka ändamål.
Att stora seriösa aktörer har svårt att få tydlighet kring den behandling de faktiskt ansvarar för borgar inte för en väl fungerande informationssäkerhet eller ett bra dataskydd. Frågan är hur vi ska kunna skapa en större transparens för alla berörda när komplexiteten bara ökar.
Det är en ekvation som utmanar.