Den som olovligen bereder sig tillgång till patientjournaler - dataintrång enligt 4 kap. 9 c § BrB
Hej!
Jag har fått bevis på dataintrång i min patientjournal på en offentlig vårdcentral i Borås och vill gå vidare i ärendet.
Intrånget framgår från logg-utdrag (från min patientjournal) från VG-Regionens IT-avdelning och vittnesmål, och ska ha ägt rum vid upprepade tillfällen i 2014.
Jag har redan framfört ärendet vid IVO, Socialstyrelsen och Datainspektionen, myndigheten har gjort en preliminär bedömning, skriftligt och i telefonsamtal, om att det kan föreligga dataintrång enligt 4 kap 1§ PDL och Brottsbalken 4 kap 9 c §.
IVO, Socialstyrelsen och Datainspektionen har rekommenderat polisanmälan.
Tacksam för skriftligt svar.
Med vänliga hälsningar,
Lawline svarar
Hej,
Tack för att Du vänder Dig till Lawline med Din fråga!
Enligt huvudregeln får den som arbetar hos en vårdgivare ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för att på ett tillfredställande sätt kunna fullgöra sitt arbete inom hälso- och sjukvården.
Med vård i bestämmelsens mening avses även undersökning och behandling (se 1 § hälso- och sjukvårdslagen (1982:763) (HSL) https://lagen.nu/1982:763#P1S1). Bestämmelsen är teknikoberoende och omfattar såväl manuellt som elektroniskt förda patientjournaler; samt annan form av dokumentation om patienter.
Bestämmelsen omfattar all personal oavsett var den tjänstgör och för vilka syften uppgifterna behövs. Regleringen kompletteras genom bestämmelserna i 2 § HSL, som föreskriver ett uttryckligt ansvar för varje vårdgivare att begränsa personalens elektroniska åtkomst till uppgifter som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården.
Den som olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling kan dömas, som Du själv anger, för dataintrång enligt 4 kap. 9 c § brottsbalken (BrB) (se https://lagen.nu/1962:700#K4P9cS1) eller föranleda disciplinpåföljd enligt lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.
Vid allvarliga fall av dataintrång ska det vara möjligt att döma ut ett straff som står i proportion till brottets allvar varför ett allvarligare fall kan komma att betrakta som grovt dataintrång enligt 4 kap. 9 c § st. 2. BrB. I bedömningen huruvida brottet är att betrakta som grovt ska det särskilt beaktas om gärningen har orsakat allvarlig skada eller avsett ett stort antal uppgifter eller annars varit av särskilt farlig art.
Med allvarlig skada avses främst betydande ekonomiska skador. Vid sidan av de rent ekonomiska effekterna kan det emellertid även finnas andra skador som särskilt bör beaktas. Allvarliga skadeverkningar som ett rubbat förtroende har fört med sig för en verksamhet kan beaktas som en allvarlig skada i bestämmelsens mening. Även annan allvarlig skada än ekonomisk som drabbar enskilda till följd av dataintrånget bör kunna tas i beaktning. Det kan handla om skada till följd av ett intrång som innebär åtkomst till synnerligen känsliga personuppgifter som kan komma att missbrukas med allvarliga konsekvenser för den enskilde.
Vänligen,
