Integritetsskyddsmyndigheten (“IMY”) skriver i ett pressmeddelande att myndigheten inleder en granskning av den nationella väntetidsdatabasen som Sveriges Kommuner och Regioner (“SKR”) förvaltar och använder för att ta fram statistik gällande väntetider i vården. Informationen i databasen består av uppgifter som samlats in från patientjournaler i regionerna och som sedan överförts från regionerna till SKR.
Enligt dataskyddsförordningen (“GDPR”) måste en myndighet eller en organisation som behandlar personuppgifter ha en rättslig grund för behandlingen. Om behandlingen gäller känsliga personuppgifter, till exempel uppgifter om hälsa, är behandlingen som huvudregel förbjuden och det måste utöver rättslig grund även finnas ett särskilt undantag i GDPR som medger att behandlingen får ske.
Enligt IMY har en organisation som behandlar personuppgifter ansvar för att se till att det finns ett rättsligt stöd för behandlingen. Nu vill IMY undersöka vilka möjligheter en privat organisation, som inte är en vårdgivare, har att behandla personuppgifter på det sätt som sker i väntetidsdatabasen.
IMY ställer ett antal frågor till SKR som rör vilken rättslig grund och vilket undantag från förbudet mot behandling av känsliga personuppgifter som behandlingen i väntetidsdatabasen stödjer sig på.