På grund av såväl pandemin som juridiska utmaningar kommer den föreslagna tidplanen för SDV att behöva justeras. Samtidigt går projektet framåt och anpassningarna av systemet till skånska förhållanden är nu nästan helt klara.
Vad händer just nu?
– Pandemin har inneburit stora utmaningar även för detta projekt. Arbete med riskanalys och externa juridiska utlåtanden kring datahanteringen har fortsatt stort fokus. Som en del i detta har vi haft samråd med Integritetsskyddsmyndigheten, IMY, säger Harald Roos.
IMY bedömer att kravet på tystnadsplikt enligt dataskyddsförordningen inte uppfylls och råder Region Skåne att inte använda support som är placerad i USA och Indien.
– Vår leverantör har i en del fall avsett göra så för att kunna säkra en extremt hög driftsäkerhet.
I våras tog SDV:s programledning fram ett förslag på reviderad tidplan, med ett pilotinförande i april 2022.
Hur ser du på tidplanen?
– Jag kan konstatera att den föreslagna tidplanen inte kommer att hålla. Just nu pågår ett intensivt arbete och dialog med leverantören för att begränsa påverkan på tidplanen, men idag har vi inget svar på hur mycket den påverkas. Dessutom tar vi hjälp av en advokatfirma för att utreda vad den nya lagen om tystnadsplikt innebär för oss. De undersöker också hur detta problem hanteras i andra länder inom EU.
Tillkommit ny lagstiftning sedan kontraktet tecknades
All känslig data ska lagras och behandlas i Sverige enligt svensk lagstiftning, vilket också regleras i avtalen mellan Region Skåne och leverantören. Men sedan kontraktet tecknades har det tillkommit ny lagstiftning och ny rättspraxis som vi måste ta hänsyn till och tolka. IMY:s tolkning är till exempel utifrån den nya tystnadspliktslagen som trädde i kraft i januari i år. Detta är deras första utlåtande om hur denna lag ska tillämpas avseende support utanför Sverige i förhållande till dataskyddsförordningen.
– Viktigt att ha med sig är att största delen av supporten kommer att skötas av tekniker i Sverige och bara i undantagsfall av tekniker utanför Sverige. Då handlar det bara om tillfällig tillgång till systemet för det enskilda fallet.
– Tidigare har vi analyserat frågor kring huruvida amerikansk lagstiftning som CLOUD Act påverkar oss. Utifrån två olika externa juridiska utlåtanden, våra egna jurister och riskanalys inom projektet, har risken för att vi skulle tvingas lämna ut data enligt den lagen ansetts som låg. Därför har inte IMY granskat detta. Men oavsett var vi har lagring och support så kvarstår ju det faktum att Cerner Sverige AB är dotterbolag i en amerikansk koncern.