Skyddet för den personliga integriteten ställs mot diabetesvård

Författare:

|

Datum:

|

Författare: Kave Noori

Den senaste tekniken med smarta insulinpumpar och sensorer är inte tillgänglig för diabetespatienter i Sverige. Läkartidningen (12 aug 2022) skriver att Region Dalarna skyller detta på EU:s dataskyddsförordning GDPR. I Region Dalarna används systemet Libreview, ett system där diabetessjuksköterskor och läkare kan övervaka patienternas blodsockernivåer i realtid via appar och sensorer. Libreview lagrar data i EU men gör patientuppgifterna tillgängliga för personal i USA.

Region Dalarna har beslutat att fortsätta använda tekniken trots att de bryter mot bestämmelserna. Regionen anger att den anser att patienternas behov ska komma i första hand. Ulf Berg, regionstyrelsens ordförande i Dalarna, säger att en lag som hindrar modern sjukvård är ”vansinne” och att han därför ställer sig på patienternas sida. Han vill att lagstiftningen förtydligas så att man slipper långa juridiska överväganden.

Nytt avtal om uppgiftsdelning med USA håller på att förhandlas
Den 14 april 2022 rapporterade Forum för Dataskydd att EU och USA hade nått en politisk överenskommelse om huvudprinciperna för ett nytt avtal om datadelning. Den politiska överenskommelsen välkomnades av näringslivet, men föreningar var mer skeptiska.

Organisationen Noyb (None of Your Business) uppgav i ett öppet brev den 23 maj 2022 att de är redo att rättsligt pröva alla framtida beslut om adekvat skyddsnivå som inte rättar till bristerna som EU-domstolen fann i Schrems I och II. Organisationen är särskilt orolig för att EU-kommissionen medvetet kan komma att fatta ett olagligt beslut om adekvat skyddsnivå för att vinna tid, vilket kommer att leda till ändlösa pingpongmatcher mellan lagstiftarna i Bryssel och EU-domstolen i Luxemburg. De anser att ett sådant beslut skulle bygga på politiska förhoppningar snarare än den juridiska verkligheten och att det skulle skada förtroendet för rättsstatsprincipen på EU-nivå.

En kort bakgrund till problemet
I två rättsfall, Schrems I och Schrems II, ogiltigförklarade EU-domstolen avtal om uppgiftsutbyte mellan EU och USA. Max Schrems är en jurist och försvarare av personlig integritet från Österrike. Han är grundare av noyb, en europeisk ideell organisation som värnar om rätten till personlig integritet och dataskydd. Schrems är mest känd för sin roll när det gäller att ifrågasätta om avtalen om datadelning mellan EU och USA är lagliga. År 2015 ogiltigförklarade EU-domstolen i målet Schrems I datadelningsavtalet Safe Harbour mellan EU och USA. Kort därefter kom EU och USA överens om ett efterföljande avtal kallat Privacy Shield, som ogiltigförklarades igen 2020 i ett beslut kallat Schrems II.

I båda fallen ogiltigförklarade EU-domstolen avtalen eftersom interna amerikanska lagar tillåter den amerikanska säkerhetstjänsten NSA och FBI att spionera på européer på ett sätt som går utöver vad som enligt EU:s lagstiftning kan tolereras i en demokrati (bristande proportionalitet). Enligt EU-domstolen kränker dessa lagar européernas konstitutionellt skyddade mänskliga rätt till privatliv och deras rätt att vända sig till en oberoende domstol för att klaga.

Cloud Act
Förutom den amerikanska Foreign Intelligence Surveillance Act finns det en annan amerikansk lag med extraterritoriell verkan som personuppgiftsansvariga behöver ta hänsyn till. Det nederländska nationella centret för cybersäkerhet lät en advokatbyrå utreda CLOUD Act för att lära sig mer om riskerna och potentiella åtgärder för att minska dem. I ett blogginlägg skriver centret att extraterritoriella lagar gör det svårare att säkerställa efterlevnaden av EU:s och enskilda länders lagar på området informationssäkerhet och dataskydd.

Enligt blogginlägget inför allt fler länder datalagstiftning med extraterritoriell verkan. Det innebär att lagar inte bara gäller för uppgifter inom ett landsgränser utan även för uppgifter som lagras eller behandlas utanför landet. Kina är ett av dessa länder och dess datasäkerhetslag är ett svar på CLOUD Act. Lagen reglerar behandlingen av uppgifter i Kina och uppgifter eller information utanför Kina som är ”relevant för Kinas nationella säkerhet eller andra sociala intressen”.

Enligt blogginlägget visar analysen att det är svårt för personuppgiftsansvariga att avgöra om en tjänst eller tjänsteleverantör träffas av utomeuropeisk lagstiftning med extraterritoriell räckvidd. Detta kompliceras av olika faktorer, inklusive leveranskedjan och vilka företag som ingår i den. I takt med att användningen av extraterritoriell lagstiftning ökar kommer det att bli allt svårare.

Företag och organisationer är skyldiga att ta hänsyn till vilka möjligheter främmande statsmakter har för att ta del av information, när de väljer leverantörer. Enligt blogginlägget medför det ökade antalet extraterritoriella lagar att personuppgiftsansvariga får sämre möjligheter att garantera eller se till att den information som de behandlar är tillräckligt skyddad mot insyn från utländska, icke-europeiska, statsmakter.

Läs mer:

Läkartidningen 12 aug 2022

Läkartidningen 26 juli 2022

Debatt artikel i Dagens medicin ” ”Ska vi acceptera att diabetesvården styrs av industrin?”

Sveriges Radio 14 juli 2022

Noyb öppet brev 23 maj 2022

Forum för Dataskydd, 14 april 2022 om politisk överenskommelse om nytt datadelningsavtal med USA.

Nederländska nationella centret för cybersä¨kerhet – blogginlägg om Cloud Act