Hoppa till innehållet

En utskrift från Dagens Nyheter, 2021-11-30 01:44

Artikelns ursprungsadress: https://www.dn.se/sverige/ivo-samlar-in-tusentals-patientjournaler-trots-oklart-rattslage/

SVERIGE

Ivo samlar in tusentals patientjournaler trots oklart rättsläge

Foto: Stina Stjernkvist/TT

Inspektionen för vård och omsorg, Ivo, samlar just nu in 60 000 patientjournaler. Syftet är att göra automatiserade data-analyser, som ett nytt sätt att utföra tillsyn över vården. Men förfarandet har väckt intern kritik på myndigheten.

En datainsamling av integritetskänsliga personuppgifter i så stor omfattning saknar rättslig grund, enligt två juridiska utredningar som Ivo själv beställt.

När Ivo i fjol genomförde en granskning av landets äldrevård under covid-19 slog resultatet ner som en bomb: Samtliga regioner hade brustit i vård och behandling av äldre under pandemin. Det var Ivos dom efter att ha granskat 98 äldreboenden. Därefter har Ivo vänt sig till landets alla kommuner och regioner liksom till privata vårdgivare inom äldreomsorgen, för uppföljning.

Det har lett till en insamling av patientdata i en skala som tidigare aldrig skett på Ivo. En tredjedel av alla patientjournaler från landets samtliga äldreboenden samlas in enligt ett slumpmässigt urval. Det handlar om 60 000 patientjournaler, från 1 januari 2019 till 30 juni 2021, det vill säga med start ett år innan pandemin slog till. Det innebär att antalet journaler som begärts in utökats från de ursprungliga 1 700 till 60 000.

– Pandemin demaskerade stora brister och nu vill vi titta på hela den svenska äldreomsorgen, säger Peder Carlsson, avdelningschef på Ivo och ansvarig för den stora datainhämtningen.

Peder Carlsson, avdelningschef på Ivo, säger att de juridiska konsultrapporter som myndigheten beställt och som visar på att det saknas lagstöd för Ivo:s nya arbetssätt att massinsamla data för att göra riskanalyser är internt arbetsmaterial. 
– Inom ramen för tillsyn känner vi oss trygga med att vi kan ta in data, säger Peder Carlsson.
Peder Carlsson, avdelningschef på Ivo, säger att de juridiska konsultrapporter som myndigheten beställt och som visar på att det saknas lagstöd för Ivo:s nya arbetssätt att massinsamla data för att göra riskanalyser är internt arbetsmaterial. – Inom ramen för tillsyn känner vi oss trygga med att vi kan ta in data, säger Peder Carlsson. Foto: Sofia Runarsdotter

Normalt görs tillsyn efter anmälningar eller signaler om brister. Att på det här sättet samla in tiotusentals patientuppgifter utan konkreta uppgifter om missförhållanden har aldrig gjorts tidigare.

Varför begär ni in underlag även där ni inte har sett brister?

– Det är vi inte oroliga för. Vården bedrivs på liknande sätt på alla äldreboenden. Det är ett urval som bygger på att vi vet att det finns brister. Med 99 procents säkerhet finns de på alla ställen, säger Peder Carlsson.

Patientjournalerna bearbetas maskinellt hos Ivo, en del av Ivo:s nya datadrivna arbetssätt. Genom användningen av markörer och sökord behandlas journalerna digitalt i sökandet efter brister. Namn, personnummer, adress, hälsouppgifter, uppgifter om anhöriga och om personal på äldreboendet är exempel på personuppgifter som ska behandlas och kan komma att avslöjas, enligt Ivos risk- och konsekvensbedömning.

– Vi har alltid granskat journaler, det nya är att vi tar in data digitalt, och har en annan möjlighet att göra systematiska genomgångar. Det kan handla om personalkontinuitet och medicinska bedömningar. Med digitalt stöd kan vi gå igenom fler journaler, och utesluter mänskliga felbedömningar, uppger Peder Carlsson.

Myndighetens nya strategiska inriktning inleddes i och med tillträdet av ny generaldirektör 2019. Ivo digitaliserar verksamheten, och ska enligt regleringsbrevet utveckla automatiserad inhämtning av information och datadrivna analyser för att effektivisera tillsynen och tillståndsprövningen. Ivo ska också arbeta mer riskbaserat, det vill säga i högre utsträckning ”spåra” brister än att som nu göra tillsyn framför allt när myndigheten fått signaler om missförhållanden.

I regleringsbrevet, som beskriver hur en myndighet ska arbeta, framgår dock inte att Ivo ska hämta in mer data än tidigare.

Namn, personuppgifter, adress, hälsouppgifter, uppgifter om anhöriga och personal på äldreboendet är exempel på personuppgifter som kommer att samlas in, användas eller kan avslöjas, när Inspektionen för vård och omsorg samlar in 60 000 patientjournaler från äldresomsorgen för att göra datadrivna analyser och sökningar. Ur risk- och konsekvensbedömning enligt Dataskyddsförordningen (GDPR).
Namn, personuppgifter, adress, hälsouppgifter, uppgifter om anhöriga och personal på äldreboendet är exempel på personuppgifter som kommer att samlas in, användas eller kan avslöjas, när Inspektionen för vård och omsorg samlar in 60 000 patientjournaler från äldresomsorgen för att göra datadrivna analyser och sökningar. Ur risk- och konsekvensbedömning enligt Dataskyddsförordningen (GDPR). Foto: Ivo

Ivo har låtit utvärdera rättsläget för sitt nya arbetssätt i två juridiska konsultrapporter, som konstaterar att lagligt stöd saknas, kan DN avslöja.

Den första rapporten från oktober 2019, av Setterwalls advokatbyrå, har undersökt Ivo:s möjlighet att agera mer proaktivt, och samla in och bearbeta större mängder data från flera olika källor.

Setterwalls tar fasta på den så kallade legalitetsprincipen i förvaltningslagen, som innebär att en myndighet bara får bedriva verksamhet som ligger inom sitt uppdrag. Ivo har rätt att samla in data för tillsyn, men inte om det ligger utanför tillsynsbegreppet, är Setterwalls bedömning, som skriver: ”Det saknas stöd för att Ivo ska kunna begära in data enbart i syfte att genomföra riskanalyser”.

Den andra juridiska rapporten, från mars 2021, slår fast att tillsynsmyndigheten Ivo inte är en statistikmyndighet och därför inte har rätt att samla in uppgifter enbart för att säkerställa korrekta analyser.

– Det givna svaret är ju att man ska följa lagen. Man kan konstatera att vissa myndigheter inte har författningsstöd för det de gör. Ivo har ingen registerförfattning, säger Manolis Nymark, jurist och certifierad it-säkerhetsexpert, som gjort rapporten på uppdrag av Ivo.

En registerförfattning reglerar hur personuppgifter får hanteras i viss offentlig verksamhet.

Att samla in patientdata utan registerförfattning kan strida mot dataskyddsförordningens (GDPR) krav på tydlighet och förutsägbarhet för de registrerade, enligt rapporten och rekommendationen till Ivo är att ”snarast” skriva till Socialdepartementet om behovet av en registerförfattning: ”Ju känsligare personuppgifter en personuppgiftsansvarig behandlar, desto större krav på förutsebarhet för de individer som berörs av behandlingen”.

Peder Carlsson, som tillhör Ivos verksledning, medger att han känner till de båda rapporterna:

– De är internt arbetsmaterial och det pågår en fortsatt intern utredning, säger han.

Tycker du att rättsläget är tydligt, efter att Ivo beställt och tagit fram två rapporter som bedömer att lagligt stöd saknas?

– Inom ramen för tillsyn känner vi oss trygga med att vi kan ta in data. Inhämtning av personuppgifter eller annan data utan lagstöd förekommer inte.

Det pågående datadrivna analysarbetet bedrivs sedan flera månader i en mindre grupp på myndigheten. I oktober informerades övrig personal. Massinsamlingen och bearbetningen av journalerna har väckt reaktioner internt.

– Många inom Ivo har arbetat inom vården, och är vana vid att man handskas försiktigt med journaler. Tidigare har det förts en diskussion om integritet och proportionalitet när det gäller att begära in journaler. Nu finns inte längre utrymme för en sådan diskussion, säger en anställd på Ivo till DN.

Anställda reagerar också på att äldre på landets äldreboenden eller deras anhöriga inte informerats av Ivo. Enligt GDPR har patienten rätt att veta hur deras personuppgifter används, på vilken rättslig grund de behandlas, och hur länge de kommer att sparas. Informationen ska vara tydlig, enligt lagen.

Ivo bedömer inte att det är myndighetens skyldighet att informera om personuppgiftsbehandlingen, och hänvisar till att själva insamlingen gjorts av vårdgivarna.

– Det är vårdgivarnas skyldighet att informera, enligt patientdatalagen. Vi har vidtagit noggranna mått och steg när vi hämtar in datan, säger Peder Carlsson.

När det gäller den interna kritiken uppger Carlsson att Ivo lägger ner stora insatser på dialog om förändringsarbetet på hela myndigheten och säger att digitalisering tar tid.

– Med det sagt kanske vi som myndighetsledning inte riktigt lyckats som vi borde och det är en kritik vi måste ta till oss av.

Peder Carlsson lyfter också att förändringsarbetet sker efter att Ivo fått kritik av Riksrevisionen och JO, för att inte vara tillräckligt effektiv.  

Han kan inte specificera hur länge journalerna kommer att lagras hos Ivo.

– Journalerna hanteras så att de kommer att kopplas till vårt diarium. De hanteras på en säker yta med behörighetsstyrning. Vi har i normalfall journaler som ligger i vårt diarium under lång tid.

Enligt experter DN talat med är lagstödet för en så stor datainhämtning tveksamt.

Fia Ewald, informationssäkerhetsexpert och tidigare chef på MSB, hänvisar till Dataskyddsförordningen: 
– Om Ivo börjar massinsamla journaler måste det framgå någonstans så att de registrerade får information om att deras journal finns hos myndigheten.
Fia Ewald, informationssäkerhetsexpert och tidigare chef på MSB, hänvisar till Dataskyddsförordningen: – Om Ivo börjar massinsamla journaler måste det framgå någonstans så att de registrerade får information om att deras journal finns hos myndigheten. Foto: Beatrice Lundborg

– Det är tveksamt om patientsäkerhetslagen ger utrymme till annat än vanlig ärendebaserad hantering av patientärenden, säger Fia Ewald, informationssäkerhetsexpert och tidigare chef på MSB.

Hon poängterar också Ivo:s avsaknad av registerförfattning.

– Därmed skulle jag säga att det är uppenbart att de saknar lagligt stöd för den massinsamling av patientjournaler som de planerar.

Olle Lundin, professor i förvaltningsrätt.
Olle Lundin, professor i förvaltningsrätt. Foto: Mikael Wallerstedt

Olle Lundin, professor i förvaltningsrätt, säger att det är tveksamt om Ivo:s utvidgade tillsyn av äldreomsorgen skulle hålla i domstol. Att Ivo bekostat två juridiska konsultrapporter som man sedan struntar i anser han är anmärkningsvärt.

– Det är dessutom kvalificerat slöseri med skattemedel, säger Olle Lundin.

Han liknar det utvidgade tillsynsbegreppet vid en ”fiske-expedition”.

– Om tillsynen utvidgas till att gälla alla, så kan vårdgivare som klarat sig i första omgången ifrågasätta varför myndigheten vänder sig till just dem. Så här har nog ingen tänkt att tillsynsmyndigheter ska jobba, säger Olle Lundin.

Läs mer:

Ivo-inspektörer undanhöll information om missförhållanden på HVB-hem

Ämnen i artikeln

GDPR
Så här jobbar DN med kvalitetsjournalistik: uppgifter som publiceras ska vara sanna och relevanta. Rykten räcker inte. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik. Läs mer här.

Kommentera artikeln

I samarbete med Ifrågasätt Media Sverige AB:s (”Ifrågasätt”) tjänst Ifrågasätt erbjuder DN möjligheten för läsare att kommentera vissa artiklar. Denna tjänst tillhandahålls således av Ifrågasätt som också är ansvarig för tjänsten.

De kommentarer som Ifrågasätt tillgängliggör på tjänsten visas i anslutning till dn.se. DN granskar inte kommentarerna i förväg. Kommentarerna omfattas inte av utgivaransvaret enligt yttrandefrihetsgrundlagen och de är inte heller en del av den grundlagsskyddade databasen dn.se.

Grundreglerna för kommentarer är:

  • håll dig till ämnet
  • håll en god ton
  • visa respekt för andra skribenter och berörda personer i artikeln.

I övrigt gäller de regler för kommentarer som framgår av Ifrågasätts användarvillkor och som du godkänner i samband med att du skapar ett konto för kommentering. Ifrågasätt förbehåller sig rätten att radera kommentarer i efterhand. DN kan genom eget beslut ta bort kommentarer.

Ⓒ Detta material är skyddat enligt lagen om upphovsrätt