Dataskyddsförordning utmaning för globala Sectra

Digitaliseringen ger möjlighet att utveckla sjukvården mot en mer effektiv verksamhet. Sectra tillhandahåller bland annat ett mjukvarusystem för bildöverföring mellan sjukhus. Företaget har varit med på digitaliseringsresan från då röntgenbilder bara fanns på film och skickades i kuvert med (till exempel) taxi till att idag kunna överföra bilder via digitala system mellan sjukhus eller till läkare som arbetar hemma.

– Systemen blir bara större och större. I England har vi ett system som möjliggör för över 400 sjukhus att dela bilder och i Nordirland ett system som kopplar samman alla sjukhus i hela landet. Med större system och sammankopplade system kommer effektivitetsvinster för sjukvården men också nya utmaningar inom IT-säkerhet och dataskydd, säger Johan Åtting.

Den digitala marknaden växer. Företag rör sig i större utsträckning utanför de nationella gränserna. Sectra efterfrågar en lagharmoniserad marknad som förenklar systemlösningar, inte bara inom Europa utan öven utanför Europa.

– Vi har aldrig blivit direkt begränsade av lagstiftning i Europa beträffande våra medicintekniska system, även om det förekommer lokal tolkningar som vi måste förhålla oss till. Däremot så har det ibland varit utmanande att komma in på marknader utanför Europa (till exempel USA) där man har egna lagar och regler och där till exempel en CE-märkning inte gäller. Så det finns definitivt många områden där harmonisering av lagar och regler på internationell basis skulle förenkla. Idag utvärderar varje dotterbolag nationell lagstiftning (till exempel patientdatalagar) och rapporterar tillbaka vad vi behöver förhålla oss till när vi utvecklar våra produkter.

Digitaliseringen har också medfört att digital aktivitet mellan de europeiska länderna har accelererat. I maj 2018 ersätter dataskyddsförordningen personuppgiftslagen och kommer därmed att ställa högre krav på hur företag inom EU hanterar personuppgifter för sina kunder och anställda. Förordningen är EU fokuserad, något som kan ställa till problem för internationella företag som verkar både inom och utom EU.

– Vi är globalt verksamma och våra ekonomi-, löne- och HR-system gäller hela företaget. Därför måste vi se till att de uppgifterna som behandlar ”EU-anställda” inte hamnar i exempelvis Australien eller USA. Det blir en speciell utmaning för alla internationella företag, säger Johan Åtting, informationssäkerhetsansvarig.

Sammantaget kommer förordningen att ställa nya krav på företaget. Allt från att skapa nya policyavtal om internkommunikation, utbilda personal om reglerna i dataskyddslagen till att utvärdera vilken personinformation som man lagrar, hur man lagrar den, rutiner för borttagning av personuppgifter och rutiner för incidenthantering och rapportering. Många nya områden som medför nya administrativa uppgifter såväl som förändringar i IT-systemen.

– Det är både små och stora frågor som dyker upp när jag granskar den nya förordningen. I det stora hela tycker jag att en lagharmoniserad dataskyddsförordning är bra eftersom att vi behöver gemensamma regler inom EU. Initialt blir det en stor uppgift att gå igenom alla våra interna system för att säkerställa att vi hanterar alla uppgifter enligt de nya reglerna. Även om vi har det bra förspänt med rutiner för incidenthantering och rapportering till myndigheter, samt att våra medicintekniska system redan idag har ett bra data & integritetsskydd, så kommer det att innebära nya administrativa uppgifter som kommer att ta tid, säger Johan Åtting.

– Det har tagit tid att sätta sig in förordningen och det är svårt att agera fullt ut innan vi vet hur lagen kommer att tillämpas. Även om jag har fått ett bra grepp om vad den innebär finns det fortfarande frågor om hur mycket arbetet runt omkring kommer att kosta. Det skulle jag vilja ha på plats innan årsskiftet eftersom att budgetplaneringen börjar snart och ju längre fram vi kommer desto mindre utrymme finns det i budgeten, säger Johan Åtting.