Integritetsskyddsmyndigheten (IMY) anser att Sveriges Kommuner och Regioner (SKR) behandlar personuppgifter i den nationella väntetidsdatabasen i strid med dataskyddsförordningen (GDPR). IMY ger SKR en reprimand och ett förbud som innebär att SKR ska upphöra med behandlingen inom två år.
Av beslutet framgår att IMY har granskat hur personuppgifter behandlas i den nationella väntetidsdatabasen som används för att ta fram väntetidsstatistik i vården och följa upp den statliga vårdgarantin. Varje år rapporterar regionerna in cirka 40 miljoner vårdbesök till väntetidsdatabasen. Personuppgifter som behandlas i väntetidsdatabasen är inte direkta personuppgifter, som till exempel namn och personnummer, utan det är avkodade uppgifter. Även om uppgifterna är avkodade är de att betrakta som känsliga personuppgifter, eftersom det går att knyta uppgifter om exempelvis diagnoser till en specifik person med hjälp av en kodnyckel.
IMY anser att SKR är personuppgiftsansvarig för behandlingen som sker i väntetidsdatabasen och att SKR saknar stöd för hanteringen av personuppgifterna. Att SKR bedöms sakna stöd för behandlingen beror enligt IMY bland annat på att lagstiftaren, när regleringen av väntetidsdatabasen infördes, uttalade att databasen inte kommer att innehålla några personuppgifter. När känsliga personuppgifter behandlas på det sätt som görs i väntetidsdatabasen krävs även särskild reglering med skyddsåtgärder, till exempel tystnadsplikt och behörighetsstyrning.
Eftersom SKR saknar stöd för behandlingen av personuppgifter i databasen har IMY beslutat att utfärda en reprimand och ett förbud. IMY bedömer samtidigt att databasen fyller en viktig samhällelig funktion och har därför beslutat att förbudet ska börja gälla först efter två år. Tiden är satt för att författningsstöd ska kunna tas fram för behandlingen av personuppgifter i databasen alternativt att SKR ska kunna vidta åtgärder så att personuppgifter inte längre behandlas i databasen.