/https%3A%2F%2Fcuroflow.com%2Fwp-content%2Fuploads%2F2025%2F12%2Ffemale_nurse_holding_patient_shoulder-min-scaled.jpg)
/https%3A%2F%2Fcuroflow.com%2Fwp-content%2Fuploads%2F2025%2F11%2Faccesscare_cover-scaled.jpg)
/https%3A%2F%2Fcuroflow.com%2Fwp-content%2Fuploads%2F2025%2F12%2Fmale_doctor_video_consultation_smiling-min-scaled.jpg)
Schrems II-domen och överföring av personuppgifter till USA
I Schrems II-domen (mål C-311/18) ogiltigförklarade EU-domstolen 2020 det tidigare Privacy Shield-avtalet mellan EU och USA. Orsaken var att amerikansk underrättelselagstiftning, såsom FISA, inte gav EU-medborgare ett skydd som motsvarar det som krävs enligt GDPR.
Domstolen fastslog att standardavtalsklausuler (SCC) fortfarande kan användas för överföring till tredjeländer, men endast om mottagarlandet erbjuder en väsentligen likvärdig skyddsnivå. Det kräver i praktiken individuella riskbedömningar och ofta kompletterande skyddsåtgärder, särskilt vid användning av amerikanska molntjänster.
Svenska organisationer väljer europeiska molntjänster
Mot bakgrund av Schrems II och senare riktlinjer från EDPB väljer många svenska myndigheter och vårdgivare att lämna amerikanska molntjänster till förmån för europeiska alternativ. Exempel inkluderar:
- Arbetsförmedlingen, Skatteverket, Försäkringskassan och Trafikverket
- Lantmäteriet har beslutat att byta till europeiska leverantörer
- Stockholms stad har valt att inte migrera till Microsoft 365
Liknande utveckling ses i andra EU-länder, där tillsynsmyndigheter skärper granskningen av tjänster som inte fullt ut uppfyller GDPR:s krav för tredjelandsöverföring.
Ansvaret är ert – som personuppgiftsansvarig
När ni väljer en teknisk plattform för patientkommunikation är det ni som vårdgivare som är personuppgiftsansvariga enligt GDPR. Om plattformen använder tjänster utanför EU/EES behöver ni säkerställa att:
- Rättslig överföringsmekanism finns (SCC, DPF, BCR etc.)
- Mottagarlandets rättssystem bedömts och dokumenterats
- Kompletterande tekniska skydd är på plats
- Det finns personuppgiftsbiträdesavtal med samtliga leverantörer
Det är en missuppfattning att uttryckligt samtycke från varje patient alltid krävs vid tredjelandsöverföring. I vården är det ofta annan rättslig grund som gäller, t.ex. allmänt intresse eller skyldighet enligt lag. Det avgörande är att överföringen är laglig, säker och dokumenterad.
Curoflow lagrar personuppgifter på svenska servrar
Curoflow är byggt för att förenkla dataskydd. All personuppgiftsbehandling sker på dedikerade servrar i Sverige, utan dataöverföring till tredjeland. Vi använder inga amerikanska molntjänster som Microsoft Azure, Zoom, Twilio eller AWS. Våra integrationer, för BankID, Swish, SITHS, SMS och andra funktioner, kommer från svenska eller EU-baserade leverantörer.
Det innebär att ni som vårdgivare inte behöver göra några särskilda riskbedömningar eller kompletterande åtgärder för att hantera tredjelandsöverföring. Ni får full kontroll och transparens över hur och var er data behandlas.
CE-märkt enligt MDR – utvecklad för vården
Curoflow är inte bara GDPR-anpassad – plattformen är även CE-märkt som medicinteknisk programvara enligt EU:s MDR-förordning (EU 2017/745). Det innebär att vår programvara uppfyller de regulatoriska krav som gäller för säkerhet, prestanda och riskhantering inom vård och hälsa.
Vi har även ett kvalitetssystem som följer ISO 13485, anpassat för vårdverksamhet. Det ger ytterligare trygghet i att ni använder en plattform som uppfyller högsta standard för både patientsäkerhet och dataskydd.
