Analys: Kan patienter vara konsumenter – vårdgivares personuppgiftsansvar vid egenvård

Egenvård anses ha stor potential för effektivisering av och kostnadsbesparingar inom hälso- och sjukvården. Institutet för Framtidsstudier uppskattar att tre miljarder kronor per år kan sparas genom en utökad användning av egenvård.

Enskilda vårdgivare saknar regelbundet de resurser eller den expertis som krävs för att utveckla uppkopplade medicinsktekniska produkter eller drifta it-system för egenvård. Det finns dock ett stort antal svenska och internationella leverantörer som erbjuder IT-system för egenvård som till exempel uppkopplade insulinpumpar, uppkopplade spirometrar eller mobilapplikationer för genomförandet av psykologiska tester. Andelen av system för egenvård som tillhandahålls som molntjänster har ökat kraftigt under de senaste åren.

När vårdgivare använder molntjänster för att tillhandahålla egenvård innebär detta att leverantören får tillgång till patientdata och information om hur patienterna använder molntjänsten. Denna typ av data kan vara värdefull för leverantören eftersom den potentiellt kan användas för produktutveckling, marknadsföring och forskning. Att leverantörer ska kunna använda patienternas personuppgifter för dessa ändamål förutsätter dock att kraven i dataskyddsförordningen (“GDPR”) är uppfyllda. En särskilt intressant fråga är vilken aktör som blir personuppgiftsansvarig för den behandling av personuppgifter som leverantören gör för egna ändamål och, som följd av detta, vem som ansvarar för att säkerställa att reglerna i GDPR efterlevs. Ytterligare en intressant fråga är huruvida det kan föreligga ett gemensamt personuppgiftsansvar mellan vårdgivaren och leverantören.

Vårdgivarens personuppgiftsansvar

Personuppgiftsansvar, eller behörigheten att bestämma över ändamålen och medlen för en behandling av personuppgifter, följer av rättslig behörighet, underförstådd behörighet eller faktiskt inflytande. Det är ovanligt att personuppgiftsansvaret tilldelas genom uttryckliga lagbestämmelser. Ett exempel på en uttrycklig lagreglering återfinns i patientdatalagen (2008:355) (“PDL”) som föreskriver att vårdgivaren är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. PDL innehåller emellertid inga bestämmelser som uttryckligen reglerar vilken roll en leverantör som anlitas av vårdgivaren innehar. Det finns således utrymme för att en leverantör, beroende på omständigheterna i det enskilda fallet, kan vara personuppgiftsansvarig för behandling av patienters personuppgifter.

När en direkt reglering i lag saknas kan behörigheten att bestämma även vara en indirekt följd av den funktionella roll som den som behandlar personuppgifter innehar. Bedömningen huruvida personuppgiftsansvaret kan vara knutet till utövandet av en funktion på detta sätt kan ske utifrån gemensamma rättsliga bestämmelser, etablerad rättspraxis och sedvana. Vidare kan behörigheten att bestämma följa av de faktiska omständigheterna i det enskilda fallet. Detta innebär att en ren formell utnämning av personuppgiftsansvarig genom överenskommelser i avtal kan ifrågasättas när ansvarsregleringen inte motsvarar de faktiska förhållandena.

Begreppet egenvård definieras i Socialstyrelsens föreskrifter om bedömningen av om en hälso- och sjukvårdsåtgärd kan utföras som egenvård (SOSFS 2009:6) som ”hälso- och sjukvårdsåtgärd som legitimerad hälso- och sjukvårdspersonal bedömt att en patient själv kan utföra”. Av föreskriften framgår att vårdgivaren ansvarar för genomförandet av egenvården. Som direkt följd är vårdgivaren även ansvarig för behandling av personuppgifter som uppstår i samband med egenvårdsåtgärderna som utförs, inklusive den personuppgiftsbehandling som sker i utrustning som tillhandahålls av en leverantör som vårdgivaren har anlitat. Patienten genomför egenvårdsåtgärden på instruktion av vårdgivaren för att uppnå ändamål som bestäms av vårdgivaren. Vårdgivaren bestämmer även medlen genom att instruera patienten att använda en viss metod för att genomföra egenvården, som till exempel att använda medicinskteknisk utrustning som är uppkopplad till en molntjänst (vilket förutsätter att patienten skapar ett användarkonto i molntjänsten).

När vårdgivaren instruerar patienten att använda en viss utrustning, som till exempel en molntjänst, för genomförande av egenvården bestämmer denne ändamålen och medlen för behandling av personuppgifter som uppstår i samband med detta. Vårdgivaren blir således personuppgiftsansvarig för denna personuppgiftsbehandling. Om vårdgivaren bidrar till att leverantören kan behandla personuppgifterna för egna ändamål, som till exempel produktutveckling, kan det även bli aktuellt med ett gemensamt personuppgiftsansvar. Vårdgivaren ansvarar i sådana fall även för de skeden i behandlingen som vårdgivaren har kontroll över. När vårdgivaren instruerar en patient att använda en molntjänst bidrar vårdgivaren till att molntjänstleverantören kan använda personuppgifter som samlas in i samband med användning av molntjänsten för egna ändamål. Eftersom tröskeln för ett gemensamt personuppgiftsansvar är relativt låg är det möjligt att vårdgivaren och leverantören tillsammans ansvarar för denna del i personuppgiftsbehandlingen. Att vårdgivaren inte nödväntigtvis har åtkomst till all data som samlas in av leverantören påverkar inte denna bedömning (jämför exempelvis EU-domstolens beslut i C-210/16, Wirtschaftsakademie, p. 38).

Enligt SKR kan patienter vara konsumenter

Frågan om vårdgivarens personuppgiftsansvar i samband med användning av molntjänster inom ramen för egenvård har även tagits upp av Sveriges Kommuner och Regioner (“SKR”) i en vägledning som publicerades den 21 april 2020 (läs vägledningen här). I vägledningen gör SKR bedömningen att patienter som använder en molntjänst för att genomföra egenvårdsåtgärder kan klassas som konsumenter i den meningen att konsumenten inte har någon relation med vårdgivaren då denne ingår en affärsrelation direkt med leverantören. Enligt SKR har vårdgivaren inte något personuppgiftsansvar för hanteringen av patientens personuppgifter, utan tt det är istället leverantören som ensamt är personuppgiftsansvarig för personuppgiftsbehandlingen i molntjänsten. Samtidigt utesluter SKR att det kan föreligga ett gemensamt personuppgiftsansvar mellan vårdgivaren och leverantören för behandling av patientens (eller konsumentens) personuppgifter i molntjänsten.

Det är vanligt att individer, i egenskap som konsumenter, använder molntjänster och delar hälsouppgifter med molntjänstleverantörer. Det är till exempel tänkbart att en konsument (som lider av diabetes) köper en uppkopplad glukosmätare i en webbutik och laddar upp mätvärdena i en molntjänst som tillhandahålls av tillverkaren, helt utan att konsumenten har fått någon instruktion av sin läkare. Detta är dock inte samma situation som när en vårdgivare instruerar en patient att använda medicinskteknisk utrustning för att genomföra egenvårdsåtgärder. I denna situation har den medicinsktekniska utrustningen som ska användas för egenvården vanligtvis upphandlats av vårdgivaren. Vårdgivaren tillhandahåller därefter patienten utrustningen och ger denne detaljerade instruktioner avseende utrustningens användning, rapportering av mätvärden osv.

Mot denna bakgrund, den tydliga regleringen av egenvård i lag och EU-domstolens senaste rättspraxis på området måste SKR:s bedömning om att klassificera patienter som genomför egenvårdsåtgärder som konsumenter ifrågasättas.

Krav på samtycke

När en leverantör av uppkopplad medicinskteknisk utrustning vill använda patienternas personuppgifter för egna ändamål som exempelvis produktutveckling krävs bland annat att det finns en giltig rättslig grund för personuppgiftsbehandlingen. Eftersom leverantören normalt inte skulle klassas som vårdgivare är urvalet av möjliga rättsliga grunder begränsat. En möjlighet är att använda sig av patientens uttryckliga samtycke. Detta förutsätter dock att samtycket är frivilligt vilket bland annat innebär att patienten ska kunna tacka nej till leverantörens behandling av personuppgifter eller att patienten kan välja ett annat rimligt alternativ. Därutöver kan giltigheten av ett sådant samtycke ifrågasättas då patienter vanligtvis befinner sig i en beroendeställning gentemot vårdgivaren. Denna maktobalans kan leda till att patienten samtycker till en behandling av personuppgifter, som den egentligen inte skulle vilja delta i, men som patienten ändå godkänner för att säkerställa att denne får sjukvård. Denna samtyckesproblematik uppstår oavsett om leverantören klassas som ensam personuppgiftsansvarig eller om ett gemensamt personuppgiftsansvar mellan vårdgivaren och leverantören aktualiseras.

Vill du lära dig mer om GDPR och personuppgiftsansvar kan du läsa om våra aktuella kurser här.

Vill du ha hjälp med rådgivning i frågor om dataskydd och personuppgiftsansvar kan du läsa mer här.

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

03 OKT

Artificiell intelligens & personuppgifter

En genomgång av de viktigaste reglerna för artificiell intelligens ur ett dataskyddsperspektiv.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

07 MAR

Molntjänster & tredjelandsöverföringar

En genomgång av de viktigaste reglerna för tredjelandsöverföringar vid användning av molntjänster enligt GDPR.