Informationen i databasen består av uppgifter som samlats in från patientjournaler i regionerna och som sedan överförts från regionerna till SKR.

Enligt dataskyddsförordningen, GDPR, måste en myndighet eller en organisation som behandlar personuppgifter ha en rättslig grund för behandlingen. Om behandlingen gäller känsliga personuppgifter, till exempel uppgifter om hälsa, är behandlingen som huvudregel förbjuden och det måste utöver rättslig grund även finnas ett särskilt undantag i dataskyddsförordningen som medger att behandlingen får ske. 

– En organisation som behandlar personuppgifter har ansvar för att se till att det finns ett rättsligt stöd för behandlingen. Nu vill vi undersöka vilka möjligheter en privat organisation, som inte är en vårdgivare, har att behandla personuppgifter på det sätt som sker i väntetidsdatabasen. Därför inleder vi en granskning av den behandling av personuppgifter som SKR utför i väntetidsdatabasen, säger jurist Stina Almström.

IMY ställer ett antal frågor till SKR som rör vilken rättslig grund och vilket undantag från förbudet mot behandling av känsliga personuppgifter som behandlingen i väntetidsdatabasen stödjer sig på.