”Regelverken är inte anpassade efter oss”, Maria Gners – finalist i kategorin Årets bolagsjurist

Nätläkaren Doktor.se är en av de snabbast växande leverantörerna av så kallad digifysisk sjukvård i Europa med över en miljon registrerade användare. Man har både digitala vårdlösningar och helägda fysiska vårdcentraler runt om i Sverige och Tyskland.

”Därutöver licensierar vi ut vår plattform till andra vårdgivare i sjukvårds- och djurvårdssektorn, bland annat i Belgien, tillsammans med Proximus som är Belgiens största teleoperatör samt i Brasilien och Sydafrika med Vibe,” säger Maria Gners som är chefsjurist på Doktor.se.

Vilka är de legala frågorna som du framför allt arbetar med?

”Frågorna varierar över tid var eftersom bolaget utvecklas, men jag har på kort tid gjort 10-15 förvärv vilket innebär jag ägnat ganska mycket tid åt M&A. Därutöver läggs mycket tid och fokus på GDPR-relaterade frågor då vi hanterar en stor mängd känsliga uppgifter. Under året har vi också förberett Doktor.se för börsen vilket inneburit ett omfattande arbete och även medfört att jag arbetat en hel del med aktiebolagsrätt och corporate governance-frågor. Jag har också förhandlat och skrivit de plattformsavtal som vi har med andra aktörer”

Vad finns det för utmaningar? 

”Att navigera en startup – om man fortfarande kan kalla Doktor.se det – i en reglerad miljö där även politiska beslut påverkar våra förutsättningar känns ibland utmanande. Inte minst med tanke på att vi rör oss väldigt snabbt framåt. Även pandemin har ställt krav på flexibilitet och att snabbt kunna anpassa sig efter nya regelverk. Bland annat var vi under pandemin den största leverantören av Covid-19-test i Sverige. Vi genomförde 250 000 tester på 22 olika platser i Sverige och det krävdes stora insatser från legal för att få denna nya verksamhet på plats.”

Ni är en relativt ny vårdaktör – vad har det fått för konsekvenser vad gäller det juridiska arbetet? 

”Vi har många gånger behövt efterleva eller tolka regelverk som inte alls är anpassade för vår verksamhet. Även om sjukvårdsbranschen på sätt och vis är väldigt reglerad så är regelverken skrivna innan digitalvårdens inträde och därför passar vår digifysiska verksamhet inte riktigt in. Det är en utmaning både för oss och myndigheterna. Vi har dock en bra dialog med myndigheterna, exempelvis regionerna, och hittar ofta hållbar och lämplig lösning tillsammans.”

Kan du ge exempel på något regelverk som inte har hängt med? 

”Till exempel har det ibland ifrågasatts om en patient kan välja en vårdgivare i en annan region än sin egna region om patienten inte fysiskt befinner sig i den region som den valda vårdgivaren utan istället träffar läkaren digitalt. Om vårdsystemet ska kunna effektiviseras måste nya lösningar ges möjlighet att existera. Doktor.ses vision är att erbjuda högkvalitativ vård som är tillgänglig för alla. Över hela världen pressas vårdsystemen av åldrande befolkningar och det finns ett globalt behov av att utföra vård på ett mer effektivt sätt. Genom att låta den första vårdkontakten vara digital bidrar vi till att spara resurser både för individen och samhället i stort.”

Ni har precis genomgått en stor certifieringsprocess i Tyskland inför er lansering där. Hur var det? 

”Det var oerhört komplext och under en tid var vi två svenska jurister som i stort sett jobbade heltid med certifieringen. Att lägga ut arbetet på advokatbyråer gick inte eftersom alla frågor dels var starkt sammanlänkade med hur plattformen tekniskt är uppbyggd, dels var starkt kopplade till hur den operativa sjukvårdspersonalen arbetade. Vi var med andra ord tvungna att jobba extremt tight med vår techavdelning och vår ledning i Tyskland för att få allt att på detaljnivå hänga ihop. En bra grej var att vi tog in en tysk jurist som secondee och tillsammans kunde vi tre jurister på ett effektivt hantera alla juridiska aspekter.”

Hur stort är det legala teamet? 

”Just nu är vi tre jurister, men vi ska i närtid anställa ytterligare en jurist i Tyskland och en jurist i Sverige. Vi gör det mesta jobbet inhouse eftersom det är mycket mer tidseffektivt och vi har en bättre känsla för affären än externa jurister, men då och då tar vi in extern hjälp framför allt för specialistkompetens.”

Vad gör du en helt vanlig dag? 

”Diskuterar legala frågor med vår sjukvårdsdirektör, såsom förändringar i regionernas regelverk som vi behöver följa, håller ett övergripande ansvar för våra förvärv, upprättar policies kopplade till GDPR, ger feedback på ett hyresavtal för en ny vårdcentral som vi ska starta, diskuterar förvärvsfrågor med våra utländska kontor, granskar och upprättar avtal av alla dess slag – och gläds över att jag har så duktiga bolagsjurister som producerar proffsiga dokument vilket gör min vardag som chef väldigt behaglig.”

Globalt har det briserat nyheter om patientjournaler som har läckt ut hos andra aktörer. Inom alla branscher pratas det om hackerattacker. Hur arbetar ni för att skydda er mot det? 

”Doktor.se har tack och lov ännu inte drabbats av någon läcka eller framgångsrik hackerattack men vi arbetar givetvis hela tiden med att stärka säkerheten kring de personuppgifter vi hanterar. Det handlar dels om att se till att vi har tekniska skyddsmekanismer på plats såsom kryptering och multifaktorautentisering, dels om administrativa skyddsmekanismer vilket kan handla om att all personal får utbildning i dataskyddsfrågor, att vi har rutiner för att upptäcka och hantera personuppgiftsincidenten och om att ha rätt styrdokument så att inte personal ges tillgång till fler personuppgifter än de behöver för att utföra sina arbetsuppgifter. Det är en självklarhet att bara hälso- och sjukvårdspersonal som deltar i vården av en patient ska ha tillgång till patientens uppgifter.”

Hur säkerställer ni det? 

”Det säkerställs genom att vi har en strikt åtkomsthantering och följs upp med hjälp av bland annat loggkontroller. Vi använder endast CE-certifierade journalsystem vars servrar finns i Sverige. Innan vi påbörjar en ny typ av personuppgiftsbehandling gör vi alltid en så kallad DPIA (Data privacy impact assessment) där vi dokumenterar risker, vilka riskminimerande åtgärder vi har vidtagit, hur personuppgifter behandlas och av vem, etcetera. Men det här arbetet ska aldrig, och kommer aldrig, att ta slut. Den certifiering i Tyskland som vi just genomgått är ett kvitto på att vi har robusta tekniska och organisatoriska säkerhetsmekanismer på plats för att förhindra att personuppgifter obehörigen röjs.”