Dataskandalen i Sverige får konsekvenser

21.2.2019
Kommuntorget Ida Sulin

Tidigare i veckan avslöjade rikssvensk press att 2,7 miljoner samtal till den svenska hälsovårdstjänsten 1177 Vårdguiden legat ute på nätet. Vem som helst har alltså kunnat lyssna på samtalen i efterhand. Tjänsteproducent för hälsovårdstjänsten i fråga är svenska Medhelp Ab, som har verksamhet också i Finland. Den finska verksamheten omfattar enligt min uppfattning inte finska kunder.

Bakom det ägande bolaget i fråga finns bland annat de svenska regionerna och landstingen, som i samarbete skapat tjänsten.

Det säger sig själv att det inte kan vara ok att lägga ut privatpersoners telefonsamtal med information om sjukdomar  öppet på nätet. Svenska datainspektionen har nu inlett en utredning och kommer sannolikt också att ta ställning till vem som har ansvaret för det som hänt.

Skandalen får åtminstone två svåra konsekvenser:

För det första har rätten till privatliv, en grundläggande rättighet skyddad av flertalet konventioner och grundlagar, inte respekterats för de personer, vars känsliga uppgifter spritts fritt. För den enskilda människan kan det vara svårt att förhålla sig till att andra nu kan veta sådant som helst hålls hemligt. Privatlivet är ju skyddat på goda grunder, det finns saker som vi helst behåller för oss själva och som vi själva måste få bestämma vem vi berättar dem för.

Dataskyddsreglerna ska ge enskilda bättre information

Dataskyddsreglerna har i Europa setts över de senaste åren och det nya regelverket, som i Finland finns på plats sedan 1.1.2019 strävar framför allt till att enskilda personer skall få bättre information om sina rättigheter i förhållande till de uppgifter man ger ut bland annat till hälsovården. Vad kan jag kräva? Vem får se mina uppgifter? Kan jag förbjuda att uppgifterna överlåts vidare? Hur länge sparas mina uppgifter och hur skyddas de? Dessa frågor måste gå att svara på i klartext.

För det andra kommer skandalen att leda till att ansvar utkrävs, något som datainspektionen som sagt undersöker nu. Det gäller att identifiera vem som varit ytterst ansvarig för behandlingen av personuppgifter i verksamheten och på vilket sätt denna instans reglerat förhållandet till sina underleverantörer. Som ansvarig organisation har man alltså inte enbart ansvar för sin egen verksamhet, utan också för att underleverantörer av exempelvis datasystem, applikationer eller lagringsutrymme följer dataskyddsregelverket och de detaljerade interna regler man arbetat fram. Ansvaret kan konkretiseras genom förvaltningsmässiga böter, straffrättsligt ansvar och skadestånd.

Det känns i dag som om skandalerna i dataskyddet avlöser varandra. Men kanske är det ett tecken på att vi äntligen håller på att vakna upp till det faktum att privatlivet faktiskt levs också digitalt?

Ida Sulin
teamledare och ledande jurist