Fel att ge företag direktåtkomst till patientuppgifter

11 april 2017

Stockholms läns sjukvårdsområde har brutit mot patientdatalagen när man gett ett externt företag direktåtkomst till patientuppgifter för att hitta lämpliga personer till ett forskningsprojekt.

Datainspektionen har efter klagomål granskat hur Styrelsen för Stockholms läns sjukvårdsområde (SLSO) gett ett företag direktåtkomst till patientuppgifter i syfte att söka fram lämpliga patienter för att delta i ett forskningsprojekt som leds av Karolinska Institutet.

Myndighetens granskning visar att SLSO brutit mot patientdatalagen när det gett företaget åtkomst till patientuppgifterna. Möjligheterna att låta andra än dem som arbetar hos en vårdgivare få tillgång till patientuppgifter är enligt patientdatalagen mycket begränsade. Patientuppgifter inom hälso- och sjukvården är särskilt känsliga och omfattas därför av sekretess. Innan patientuppgifter får avslöjas för någon annan måste vårdgivaren göra en sekretessprövning.

- En vårdgivare kan inte låta ett externt företag söka bland patientuppgifterna för att hitta lämpliga personer för forskning, säger Eva Maria Broberg som lett granskningen. Det externa företaget i tillsynsärendet har fått tillgång till patientuppgifterna utan att SLSO har kontrollerat vilka uppgifter som faktiskt kunnat lämnas ut.

Datainspektionen förelägger därför SLSO att se till att patientuppgifter inte lämnas ut för forskningsändamål utan föregående sekretessprövning och att elektronisk tillgång till patientuppgifter inte ges till andra än de som arbetar hos SLSO eller som enligt patientdatalagen tillåts ha direktåtkomst till uppgifterna.

- Det här beslutet har betydelse för alla vårdgivare som ger externa aktörer åtkomst till patientuppgifter för att söka efter lämpliga forskningsobjekt, säger Eva Maria Broberg.

Läs Datainspektionens beslut i pdf-format

För mer information kontakta
Jurist Eva Maria Broberg, telefon 08-657 61 68
Pressekreterare Per Lövgren, telefon 070-736 10 80

RSS
Här kan du prenumerera på våra nyheter via RSS.