Med vilket stöd motiverar IVO att vårdgivaren ska betraktas som personuppgiftsansvarig? Kan det istället inte vara IVO som är personuppgiftsansvarig?

I eSams arbete med rättslig reglering kring frågan om Eget utrymme har frågan diskuterats och någon fullständig klarhet har inte vunnits i alla delar. Detta gäller generellt och inte i det fall det i lag eller förordning, till exempel i särskilda registerförfattningar, anges vem som är personuppgiftsansvarig. 

 

För IVO gäller visserligen inte någon registerförfattning, men en sådan gäller för den som gör en lex Maria-anmälan till IVO.

 

En lex Maria-anmälan ska enligt 3 kap. 5 § patientsäkerhetslagen (2010:659) göras av en vårdgivare beträffande händelser som har medfört eller hade kunnat medföra en allvarlig vårdskada inom ramen för hälso- och sjukvård som bl.a. omfattas av hälso- och sjukvårdslagen (2017:30) och tandvårdslagen (1985:125). För sådan hälso- och sjukvård är patientdatalagen (2008:355, PDL) tillämplig (Se 1 kap. 1 och 3 §§ PDL samt prop. 2007/08:126 s. 228 där lex Maria-anmälningar nämns som exempel på behandling för sådana ändamål som anges i 2 kap. 4 § första stycket 3 PDL.)  och av 2 kap. 6 § PDL följer att vårdgivaren är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. (Där föreskrivs också och att det i landsting och kommun är varje myndighet som bedriver hälso- och sjukvård som är personuppgifts-ansvarig för den behandling av personuppgifter som myndigheten utför.)   

 

Av lag följer således att en vårdgivare, som upprättar en lex Maria-anmälan, är person-uppgiftsansvarig för de behandlingar som utförs för att upprätta och ge in anmälan till IVO.

 

Detta innebär att IVO:s bedömning är att vårdgivaren är personuppgiftsansvarig för den behandling som kan anses ske inom ramen för Eget utrymme. IVO är därmed personuppgiftsbiträde. IVO har utlokaliserat driften av Eget utrymme till extern leverantör som då kommer att hantera personuppgifter som underbiträde till IVO. Mellan IVO och den externa leverantören finns en reglering av personuppgiftshanteringen.

 

Däremot får IVO anses vara personuppgiftsansvarig för behandling av personuppgifter i ett eget register över användare av Eget utrymme och för behandlingar av personuppgifter som IVO utför i samband med att användare loggar in i Eget utrymme och andra kontroller av identitet och behörighet. (Jfr SOU 2017:23 s. 219. )

 

Ovanstående baseras i allt väsentligt på nuvarande lagstiftning men såvitt nu kan bedömas kommer de förändringar som kan förväntas ske i Patientdatalagen (Se SOU 2017:66) inte att påverka ovanstående bedömning. IVO kommer dock att bevaka frågan och den fortsatta rättslig reglering på området.