Sanktionsavgift vid utkontraktering av vårdtjänst
Den svenska Integritetsskyddsmyndigheten (”IMY”) meddelade den 7 juni 2021 beslut i ett tillsynsärende mot Medhelp Sjukvårdsrådgivning AB (”Medhelp”) efter en granskning av hur Medhelp hanterar personuppgifter. Granskningen resulterade i en sanktionsavgift. Beslutet överklagades, men kammarrätten har nu slagit fast en sanktionsavgift om 11,3 miljoner kronor.
Bakgrunden till granskningen är att den svenska webbtidningen Computer Sweden år 2019 avslöjade att man hittat 2,7 miljoner inspelade samtal till rådgivningsnumret 1177. Inspelningarna låg exponerade på en öppen webbplats utan lösenordsskydd eller andra säkerhetsåtgärder. Personuppgiftsansvarig för uppgifterna var Medhelp som bedrivit sjukvårdsrådgivning på uppdrag av ett antal regioner.
Enligt IMY:s granskning har Medhelp dessutom underlåtit att informera de registrerade om behandlingen av deras personuppgifter vid telefonsamtal. Därtill har Medhelp anlitat det thailändska företaget Medicall som underleverantör för att hantera sjukvårdsrådgivningen på nätter och helger. Enligt IMY innebär detta att Medhelp mellan maj 2018 och augusti 2019 olagligt lämnat ut personuppgifter.
Beslutet överklagades till förvaltningsrätten och så småningom till kammarrätten. En av frågorna i målet var om Medicall kunde vara att anse som personuppgiftsansvarig vårdgivare enligt 6 kap patientsäkerhetslagen (PSL) och om Medhelp därför haft rätt att överföra uppgifter till Medicall. Kammarrätten anförde att hälso- och sjukvård är en nationell angelägenhet inom Sveriges gränser. Enligt 2 kap 3 § hälso- och sjukvårdslagen (HSL) kan en eller flera rådgivare bedriva verksamhet inom en huvudmans geografiska område. Medicall hade bedrivit sjukvårdsrådgivning på svenska gentemot patienter i Sverige, men det bedömdes inte vara tillräckligt för att ett bolag i tredje land ska omfattas av den svenska hälso- och sjukvårdslagstiftningen. Kammarrätten slog därmed fast att Medicall inte är att anse som en vårdgivare enligt 2 kap 3 § HSL.
Behandlingen att genom vidarekoppling av samtal och tillhandahållande på annat sätt ge Medicall åtkomst till personuppgifter som till stor del var av känslig karaktär bedömdes sakna rättsligt stöd. Att låta en tredje part i ett tredje land som inte omfattades av en lagreglerad tystnadsplikt enligt kraven i artikel 9.3 GDPR ta del av personuppgifterna bedömdes vara en så allvarlig överträdelse av GDPR att även den grundläggande principen om laglighet, korrekthet och öppenhet i artikel 5.1.a) GDPR ansågs överträdd.
Mot bakgrund av att de inspelade samtalen till rådgivningsnumret 1177 var exponerade på en öppen webbplats utan säkerhetsåtgärder ansågs Medhelp även ha brustit i sina skyldigheter att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig skyddsnivå för uppgifterna. Medhelp ansågs inte heller ha fullgjort sin skyldighet att informera de registrerade.
Enligt kammarrätten har Medhelp brustit i sitt personuppgiftsansvar och ska därför tilldelas en sanktionsavgift om 11,3 miljoner kronor. Detta innebär en ökning jämfört med den sanktionsavgift om 8,8 miljoner kronor som dömdes ut av förvaltningsrätten 2022.
Fallet visar på vikten av att iaktta försiktighet vid utkontraktering av tjänster där behandling av känsliga personuppgifter förekommer och underleverantören befinner sig utanför Sverige. Genom att konstatera att Medicall inte omfattades av lagreglerad tystnadsplikt, har Kammarrätten också givit sin syn på hur artikel 9.3 GDPR bör tolkas.