Region Örebro län överförde personuppgifter om sjukvårdspersonal till supporttjänster i Sri Lanka vid införandet av journalsystemet Cosmic, trots att fullständiga dataskyddsavtal saknades. Händelsen inträffade när regionen var bland de första att använda Cosmic-systemet, som nu används av nio svenska regioner.
Enligt SVT Örebros utredning skedde dataöverföringen innan alla nödvändiga avtal var slutförda, vilket potentiellt bryter mot GDPR-förordningen. Sri Lanka är inte godkänt av EU för hantering av känsliga personuppgifter.
Att fördröja systemets införande skulle ha inneburit manuella rutiner och dubbeldokumentation, vilket också innebar risker
Martin Gunnarsson, tillförordnad hälso- och sjukvårdsdirektör i regionen, försvarade beslutet och uppgav att uppskjutning av systeminförandet skulle ha inneburit större risker från manuella rutiner och dubbeldokumentation. Han betonade att endast namn och kontaktuppgifter för sjukvårdspersonal skickades till Sri Lanka, inte patientjournaler.
Experter varnar för att införandet av systemet utan slutförda avtal innebar att det saknades rättslig grund för att överföra personuppgifter utanför EU. Regionen har sedan dess uppdaterat avtalet, men frågor kvarstår om varför systemet togs i bruk innan alla dataskyddsåtgärder var på plats.
endast personalens namn och kontaktuppgifter skickades, inte patientjournaler
andra avtal styr patientdata, som aldrig skickades till ett tredje land
Arbetet med avtalet började tidigt men försenades på grund av många inblandade parter