Kammarrätten upphäver förvaltningsrättens och Integritetsskyddsmyndighetens (IMY) beslut att fem sjukhus och regioner ska betala sanktionsavgift enligt dataskyddsförordningen (läs mer om detta här). Även IMY:s förelägganden om att brister ska åtgärdas upphävs utom i ett fall.
Kammarrätten anser att det ska ställas höga krav på IMY:s bevisning för att sanktionsavgift ska få beslutas. Enligt kammarrätten har IMY inte kunnat bevisa att Styrelsen för Karolinska Universitetssjukhuset, Hälso- och sjukvårdsnämnden i Region Västerbotten, Styrelsen för Sahlgrenska Universitetssjukhuset, Capio S:t Görans Sjukhus AB och Regionstyrelsen i Region Östergötland har brustit i sina skyldigheter enligt dataskyddsförordningen att säkerställa en lämplig säkerhetsnivå vid tilldelning av behörigheter i journalsystemen. Det har därför inte funnits skäl att påföra sanktionsavgifter och dessa ska upphävas. IMY:s förelägganden om att bristerna ska åtgärdas upphävs därför också. För ett av sjukhusen anser kammarrätten att det finns fog för ett föreläggande om att förbättra innehållet i loggar om åtkomst till journalsystem.
Enligt kammarrättens omfattas behandling av personuppgifter inom sjukvården av olika regelverk. De handlar både om behovet av patientuppgifter för att kunna ge god och säker vård och om enskildas rätt till skydd av personuppgifterna. Det innebär svåra avvägningar för vårdgivaren att förena dessa krav vid sjukvårdens personuppgiftsbehandling. I de nu prövade målen har IMY inte lyckats bevisa att sjukhusen och regionerna brustit i sina skyldigheter enligt dataskyddsförordningen.