I december 2020 blev Integritetsskyddsmyndigheten (“IMY”) klar med en granskning av hur åtta vårdgivare styr och begränsar personalens åtkomst till deras huvudjournalsystem. Under granskningen upptäckte IMY att sju av de åtta vårdgivare behandlat personuppgifter i strid med dataskyddsförordningen (“GDPR”) (läs mer om detta här).
Fem av de vårdgivare som fått sanktionsavgifter har överklagat IMY:s beslut till Förvaltningsrätten i Stockholm som nu meddelat att fyra av överklagandena avslås i sin helhet. Avseende den femte vårdgivaren sänker domstolen sanktionsavgiften men avslog överklagandet i övrigt.
Förvaltningsrätten anser att vårdgivarna överträtt GDPR och att IMY haft fog för att ingripa dels genom en administrativ sanktionsavgift, dels ett föreläggande. Förvaltningsrätten bedömer att vårdgivarna underlåtenhet att genomföra behovs- och riskanalyser inte bara innebär en överträdelse av nationella bestämmelser utan också av de grundläggande principerna för personuppgiftsbehandling i GDPR.