PM
Laglighetsprövning av realtidsregister inom cancervården
Sammanfattning
1. Med realtidsregister avses i denna laglighetsprövning ett register hos en vårdgivare som tillämpar medicinsk kunskap och strukturerade uppgifter för att generera rekommendationer om vård och behandling för en individ vid ett vårdtillfälle. Det är ett register avsett för individnära vård och behandling enligt 2 kap. 4 § första stycket p. 1 och 2 patientdatalagen (2008:355). Sådana register benämns även beslutsstöd eller patientöversikt.
2. Ett realtidsregister är således ett patientadministrativt system (PAS) inom hälso- och sjukvårdsverksamhet som innehåller vårddokumentation, dvs. dokumentation för individnära vård och behandling. Journalsystem är ett exempel på ett sådant system som innehåller sådan dokumentation. Det betyder att ett realtidsregister med stöd av patientdatalagen får upprättas och användas av en vårdgivare utan den registrerades samtycke. Vårdgivaren får använda registret för individnära vård och tillföra de uppgifter från andra PAS inom verksamheten som vårdgivaren finner nödvändiga för att generera stöd för beslutsfattande om medicinska åtgärder. Landsting och regioner kan tillföra realtidsregistret uppgifter sina regionala (lokala) cancerregister. Även patientens muntliga uppgifter vid ett vårdmöte får dokumenteras direkt i ett realtidsregister.
3. Ett realtidsregister måste dock innehålla funktioner som gör det möjligt att spärra patientuppgifter vid en vårdenhet eller vårdprocess mot åtkomst för användare vid andra vårdenheter eller vårdprocesser inom en vårdgivares verksamhet. Socialstyrelsen ställer vidare i sina föreskrifter (HSLF-FS 2016:40) krav på s.k. aktiva val, dvs. logiska spärrar som måste forceras av användaren för att få åtkomst till uppgifter, vilken åtkomst ska loggas. Slutligen måste ett realtidregister ha funktionalitet för nödåtkomst till spärrade uppgifter.
4. Inget hindrar rättsligt sett att ett realtidsregister tillförs uppgifter från Nationella Kvalitetsregister, t.ex. inom cancerområdet. Det får dock enbart röra sig om statistik och jämförelsetal (aggregerade och avidentifierade uppgifter). Lagen tillåter inte att ett Nationellt Kvalitetsregister försörjer ett realtidsregister med
5. Inget hindrar att journalsystem, stödsystem, regionala (lokala) cancerregister hos landsting och realtidsregister inom en vårdgivares verksamhet samsas i ett gemensamt system eller på en gemensam tjänsteplattform. Även ett Nationellt Kvalitetsregister kan hysas på samma tjänsteplattform eller i samma systemmiljö. Kvalitetsregistret måste dock logiskt separeras från vårdgivarens PAS, regionala (lokala) cancerregister inklusive realtidsregister. Det beror på att huvudmannen för kvalitetsregistret är någon annan än vårdgivaren, t.ex. ett landsting. Även om vårdgivaren tillika är huvudman för kvalitetsregistret, eller CPUA, ska kvalitetsregistret vara logiskt separerat från vårdgivaren system som används i kärnverksamheten. Logisk separation kan innebära att ett register utgör en egen säkerhetsdomän med egna behörighetsregler och inre sekretess. Det utesluter givetvis inte att ett sådant register hanteras på samma tjänsteplattform som andra register, som tillhör andra självständiga verksamheter eller organisationer.
6. Eftersom ett realtidsregister är ett PAS är bestämmelserna om sammanhållen journalföring applicerbara på ett realtidsregister. Två eller flera vårdgivare kan således ta del av uppgifter i varandras realtidsregister avseende en och samma patient. Det kan dock enbart ske under vissa villkor. Ett villkor är att patienten inte har motsatt sig att låta sina uppgifter ingå i en sammanhållen journalföring. Vidare krävs att den vårdgivare som vill ta del av uppgifter genom direktåtkomst hos en annan vårdgivare har en vårdrelation med patienten, att direktåtkomsten avser vård och behandling samt att patienten samtyckt till sådan direktåtkomst.
7. Ett mål med förstudien Införande av realtidsregister inom cancervården är att alla 30-talet cancerregister ska ha ”egna” realtidsregister, dvs. ett för varje cancerdiagnos. Det behöver inte innebära att det ska skapas 30 realtidsregister hos varje vårdgivare. Det räcker med ett realtidsregister hos varje vårdgivare som kan hantera varje enskild patients olika cancerdiagnoser på ett strukturerat sätt.
8. En lämplig och förordad lösning är att realtidsregister inom cancerområdet för varje vårdgivare driftas på INCA-plattformen i form av en central e-tjänst, där de Nationella Kvalitetsregistren på cancerområdet förvaltas. Där förvaltas även landstingens och regionernas regionala (lokala) cancerregister, vilka är patientadministrativa system. Det torde finnas flera fördelar att hysa både kvalitetsregistren och varje vårdgivares realtidsregister på den plattformen. Inte
9. Modellen som förordas för att reducera antalet avtal, och därmed den administration dessa genererar, är att landsting och regioner, var och en, träffar ett personuppgiftsbiträdesavtal med regionalt ansvarig RCC. Det avtalet ska innefatta ett uppdrag åt RCC:et att för landstingets eller regionens berörda nämnders räkning förvalta och behandla personuppgifter i ett lokalt cancerregister och ett realtidsregister. Ett avtal rymmer således ett uppdrag att hantera och drifta båda registren inkl. teknisk drift. Är landstinget eller regionen dessutom CPUA- myndighet för ett eller flera Nationella Kvalitetsregister inom cancerområdet, regleras även personuppgiftsbehandlingen av dessa register i samma avtal. Avtalet måste även innehålla ett mandat – en rätt – från varje landsting/region till respektive RCC att i sin tur anlita ett underbiträde, liksom att detta underbiträde också får en rätt att anlita ett under-underbiträde. I praktisk mening syftar dessa rättighetskedjor att säkerställa en kedja av personuppgiftsbehandlingar. Varje RCC äger med en sådan rätt i avtalet anlita RCC Väst som underbiträde. Och RCC Väst äger anlita med denna lösning själv ett under-underbiträde
10. Det erinras att sekretessgränser mellan organisationerna, t.ex. mellan CPUA för kvalitetsregister å ena sidan, och å den andra sidan mellan vårdgivare för realtidsregister, upprätthållas på systemnivå. Det är ett huvudsakligt ansvar för personuppgiftsansvariga CPUA respektive vårdgivare, men det är fördelaktigt om RCC i samverkan säkerställer att logisk separation sker mellan de olika informationsobjekten/registren.
11. Om Ineras tjänstekontrakt blir aktuella för informationsförsörjningen mellan realtidsregistren och kvalitetsregistren ska personuppgiftsbiträdesavtal tecknas mellan RCC Väst och Inera AB. Inera AB agerar då i rollen som underbiträde. Det avtalet ska innehålla samma villkor som personuppgiftsbiträdesavtalen mellan varje landsting/region och RCC:na. Vidare måste RCC:na få en rätt i avtalet att uppdra åt RCC Väst att få anlita Inera AB.
12. En central e-tjänst i form av ett realtidsregister passar väl in på beskrivningen av ett system med ett medicinskt syfte men har en nationellt begränsad marknadssituation som gör det tveksamt om en CE-märkning enligt det medicintekniska regelverket är ändamålsenlig. Motsvarande gäller många andra nationella IT-system i hälso- och sjukvården, t.ex. NPÖ och Pascal.
13. Läkemedelsverket har emellertid meddelat föreskrifter (LVFS 2014:7) om nationella medicinska informationssystem med samma slag av regulatoriska krav som i det medicintekniska regelverket, men anpassat för nationella medicinska informationssystem i hälso- och sjukvården. Övervägande skäl talar för att en central e-tjänst för realtidsregister på INCA-plattformen, vilken erbjuds
vårdgivare, är ett nationellt medicinskt informationssystem. Det finns inga planer, såvitt är känt, att produkten ska släppas fri på marknaden. En sådan tjänst synes vara avsedd för enhetlig användning på nationell nivå i form av sammanhållen journalföring. RCC Uppsala-Örebro rekommenderas därför att kontakta Läkemedelsverket för att inhämta den myndighetens uppfattning om en central e-tjänst för realtidsregister utgör ett nationellt medicinskt informationssystem.
14. Den nya dataskyddsförordningen, som träder i kraft den 25 maj 2018, kan få konsekvenser för de registerförfattningar som nu är i tillämpning, t.ex. patientdatalagen. Frågan utreds, och det är i nuläget oklart hur pass omfattande ändringar som krävs i patientdatalagen. Bedömningen är dock att dataskyddsförordningen inte kommer att ha någon större inverkan på de grundläggande bestämmelserna i patientdatalagen om vårdgivares behandling av personuppgifter utan patientens samtycke, vilka bestämmelser lagts till grund för denna laglighetsprövning om realtidsregister. En vårdgivare måste kunna i framtiden behandla personuppgifter för individnära vård och behandling samt i övrigt uppfylla krav i lagstiftning på kvalitetssäkring m.m. Det senare kräver också behandling av personuppgifter utan samtycke från den registrerade.
15. Inte heller bedöms bestämmelserna i patientdatalagen om regionala och nationella kvalitetsregister behöva ändras med anledning av dataskyddsförordningen. Frågan utreds inom ramen för en statlig utredning, Socialdataskyddsutredningen, som ser över registerförfattningar inom Socialdepartementets ansvarsområde (dir. 2016:52). Uppdraget ska redovisas senast 31 augusti 2017.
Innehåll
7
2 FRÅGESTÄLLNINGAR OCH UPPDRAGSBESKRIVNING
9
2.1 CANCERVÅRD OCH KVALITETSREGISTER 9
2.2 BESLUTSSTÖDENS POTENTIAL 12
2.3 FÖRSTUDIEN INFÖRANDE AV REALTIDSREGISTER I CANCERVÅRDEN 12
2.4 UPPDRAG OCH FRÅGESTÄLLNINGAR 13
3 HÄLSO- OCH SJUKVÅRDENS AKTÖRER, VERKSAMHET OCH ANSVAR
15
3.2 OFFENTLIGA OCH PRIVATA VÅRDGIVARE 16
3.4 SLUTENVÅRD, ÖPPENVÅRD OCH PRIMÄRVÅRD 17
3.5 KOMMUNAL HÄLSO- OCH SJUKVÅRD 17
3.7 VÅRDGIVARES UPPFÖLJNINGSANSVAR 18
3.8 LANDSTINGETS PLANERINGS OCH UPPFÖLJNINGSANSVAR SOM HUVUDMAN 19
21
4.2 KVALITETSREGISTER FÅR INTE ANVÄNDAS FÖR INDIVIDNÄRA VÅRD OCH BEHANDLING 22
4.3 UPPGIFTER I KVALITETSREGISTER FÅR INTE LÄMNAS UT HUR SOM HELST 23
4.4 UTREDNINGEN OM RÄTT INFORMATION I VÅRD OCH OMSORG 25
4.5 DEN NYA SORTENS REGISTER – BESLUTSTÖD OCH REALTIDSREGISTER 25
27
5.2 GRUNDLÄGGANDE BESTÄMMELSER OM SKYDDET FÖR DEN PERSONLIGA INTEGRITETEN 28
5.4.1 Tillåten användning av patientuppgifter enligt patientdatalagen 31
5.4.2 Systematisk utvärdering, uppföljning, kvalitetssäkring och statistik 32
5.4.4 Inre sekretess inom en vårdgivares verksamhet 34
5.4.5 Sammanhållen journalföring 35
5.5 SEKRETESS OCH TYSTNADSPLIKT 35
5.5.2 Samtycke häver sekretess 37
5.5.3 Sekretess i förhållande till patienten själv 37
5.5.4 Närmare om hälso- och sjukvårdssekretessen 38
5.5.5 Sekretessbrytande bestämmelser i OSL inom hälso- och sjukvården 38
5.7 SEKRETESS OM UTLÄMNANDE INNEBÄR BEHANDLING I STRID MED PUL 43
5.8 NY DATASKYDDSFÖRORDNING 45
6 LAGLIGHETSPRÖVNING AV REALTIDSREGISTER
47
6.1 INDIVIDUPPGIFTER I KVALITETSREGISTER FÅR INTE ANVÄNDAS FÖR INDIVIDNÄRA VÅRD HOS EN VÅRDGIVARE 47
6.2 JOURNALSYSTEM OCH PATIENTMÖTET FÅR BIDRA MED UPPGIFTER TILL ETT REALTIDSREGISTER 48
......................................................................................................................................................... 50
6.3 NATIONELLA KVALITETSREGISTER KAN BIDRA MED STATISTIK OCH JÄMFÖRELSETAL 50
6.4 REALTIDSREGISTRET KAN FÖRSE JOURNALSYSTEMET OCH KVALITETSREGISTRET MED UPPGIFTER SAMTIDIGT 52
6.5 ALLT KAN BYGGAS SAMMAN I ETT SYSTEM – KVALITETSREGISTRET MÅSTE DOCK SÄRSKILJAS 53
6.6 REALTIDSREGISTER KAN FUNGERA SOM EN PATIENTÖVERSIKT 54
6.6.1 Sammanhållen journalföring 54
6.6.2 Information om sammanhållen journalföring till patienten 55
6.6.3 Åtkomst till ospärrade uppgifter vid sammanhållen journalföring 57
6.7 FÖRSLAG PÅ HUR EN MODELL FÖR REALTIDSREGISTER KOPPLAT TILL KVALITETSREGISTER INOM CANCEROMRÅDET
6.7.1 Inbördes beroenden mellan realtidsregister och kvalitetsregister 59
6.7.2 Databasernas konstruktion 59
6.8 INFORMATIONSÅTKOMST OCH BEHÖRIGHETSHANTERING 63
6.8.1 Styrning av behörigheter 63
6.8.2 Inre sekretess inom en vårdgivares verksamhet 63
6.8.3 Styrning av behörigheter 64
6.8.4 Behovs- och riskanalys 64
6.8.5 Styrning av behörigheter 65
6.8.6 Åtkomst till uppgifter inom en vårdgivares verksamhet 66
6.8.7 Förutsättningar för att häva en spärr 67
6.9 MEDICINTEKNISKA REGELVERKET 67
6.9.1 Medicintekniska produkter 68
6.9.2 Preliminär bedömning 70
6.9.3 Läkemedelsverkets föreskrifter om nationella medicinska informationssystem 71
7 ÖVERVÄGANDEN ENLIGT ALLMÄNNA DATASKYDDSFÖRORDNINGEN
73
7.2 OM OPT-OUT I KVALITETSREGISTER 74
Några centrala begrepp i utredningen Bilaga 1
1 Inledning
I föreliggande utredning laglighetsprövas frågan i vilken utsträckning och på vilket sätt realtidsregiser får införas inom cancerområdet. Med realtidsregister avses i denna laglighetsprövning ett register som tillämpar medicinsk kunskap, t.ex. kvalitetsregister, och strukturerade uppgifter för att generera rekommendationer om vård och behandling för en individ vid ett vårdtillfälle. Sådana register benämns även beslutsstöd eller patientöversikt.
Bestämmelser om sekretess och tystnadsplikt finns i offentlighets- och sekretesslagen (2009:400) och i annan lagstiftning. Den som obehörigen röjer sekretessbelagda uppgifter eller behandlar personuppgifter i strid med gällande rätt riskerar skadestånd eller i vissa fall böter eller fängelse. Underlåtenhet att uppfylla författningsenliga krav för hälso- och sjukvård kan också medföra skadestånd, straff och andra sanktioner.
EU har vidare beslutat om en ny generell reglering för personuppgiftsbehandling inom unionen (dataskyddsförordningen).1 Förordningen träder i kraft den 25 maj 2018 och blir direkt tillämplig som lag i Sverige. Enligt dataskyddsförordningen ska personuppgiftsansvariga bl.a. göra dokumenterade persondatakonsekvensbedömningar (art. 35). Syftet är att bedöma sannolikhetsgraden för risker för den personliga integriteten samt allvarlighetsgrad och ursprung vid viss personuppgiftsbehandling. Bedömningen ska vidare innehålla planerade åtgärder och mekanismer som ska minska identifierade risker, säkerställa personuppgiftskyddet och visa att förordningen efterlevs.
1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
35.1). Det är Datainspektionen som enligt förordningen bestämmer vilka personuppgiftsbehandlingar som kräver en sådan konsekvensbedömning. Enligt förordningen är dock en konsekvensbedömning alltid obligatorisk vid storskalig hantering av särskilda kategorier av personuppgifter, nämligen hälsouppgifter och genetiska data (art. 35.3 b).
Utgångspunkten för denna laglighetsprövning är tillämpliga registerförfattningar, sekretess- och tystnadspliktbestämmelser samt i tillämpliga fall den nya dataskyddsförordningen. Patientdatalagen är föremål för översyn av Socialdataskyddsutredningen2 med anledning av dataskyddsförordningen. Vilka förändringar det kan medföra är oklart i nuläget, men det förväntas att patientdatalagen i stort kommer att vara opåverkad. Utredningen ska lämnas sitt slutbetänkande i augusti 2017. Laglighetsprövningen utgår således från nuvarande reglering i den lagen.
I en bilaga (bilaga 1) finns en redogörelse för centrala begrepp i utredningen.
2 Dir. 2016:52.
2 Frågeställningar och uppdragsbeskrivning
I detta kapitel lämnas en redogörelse för uppdraget, problemställningar och de juridiska frågeställningar som ska besvaras.
2.1 Cancervård och kvalitetsregister
I februari 2009 lämnade utredningen En Nationell cancerstrategi sitt slutbetänkande till regeringen (En nationell cancerstrategi för framtiden, SOU 2009:11). I betänkandet framhåller utredningen att antalet personer som lever med cancer kommer att kraftigt öka. Detta beror enligt utredningen i första hand på en ökad befolkning och allt fler äldre. Även om Sverige i dag har jämförelsevis goda behandlingsresultat för flera cancersjukdomar, menar utredningen att samhället står inför stora utmaningar. Utredningen konstaterar att ökningen av antalet personer som insjuknar i cancer kommer att ställa högre krav på sjukvården i ett framtidsperspektiv. Även om en ökning av antalet cancerfall inte automatiskt innebär en motsvarande ökning av vårdbehoven är det enligt utredningen uppenbart att en långsiktig och målmedveten strategi behövs om cancervården ska kunna behålla och förbättra sina resultat.
Utredningen föreslog mot denna bakgrund en nationell cancerstrategi för att klara en framtida ökning av antalet cancerfall; en strategi som utgår från följande:
• Samhället måste öka sina investeringar i prevention; det mest betydelsefulla
för att minska sjuklighet och död i cancer.
• Kunskapsbildning och kunskapsspridning inom cancervård och prevention måste förbättras.
• Cancervårdens organisation behöver förbättras - Nationellt samarbete blir alltmer nödvändigt och måste ges fastare former
• Cancervården måste möta framtida patienters krav på information och
kvalitet i omhändertagandet.
• Särskilda insatser behöver göras för att minska skillnader mellan befolkningsgrupper.
Tillsammans med landsting och regioner arbetar RCC för en mer patientfokuserad, tillgänglig och jämlik cancervård.
På uppdrag av landstingsdirektörerna finns också en nationell samverkansgrupp för centrumena (RCC i samverkan), bestående av cheferna för de sex RCC. SKL är stödjande part och svarar för ordförandeskapet i gruppen. Samverkansgruppen verkar för att genomföra nationella cancerstrategins intentioner, bl.a. genom att skapa nationell samordning av riktlinjer och vårdprogram, samordna kvalitetsregister och verka för riktlinjer avseende utbildning, utveckling och forskning.
Samverkansgruppen är även rådgivande instans i cancerfrågor till SKL, Socialstyrelsen och Socialdepartementet och tar fram underlag och rapporterar till landstingsdirektörsgruppen.
Några av kvalitetsregistren har även skapat beslutsstödsystem, dvs. personregister som innehåller i stort sett samma uppgifter som ett kvalitetsregister, men som används för patientnära vård och behandling. Ett kvalitetsregister får nämligen inte användas för sådana syften utan enbart för kvalitativ uppföljning av redan genomförda vårdinsatser och resultat. Beslutsstödsystemens tillkomst ska ses mot bakgrund av denna rättsliga begräsning. En annan bidragande orsak är att journalsystem inte fullt ut kan strukturera information så att det effektivt kan användas med andra medicinska data för kliniska beslutssituationer i det individuella fallet.
• dels de nationella kvalitetsregistren inom cancerområdet
• dels Socialstyrelsens Cancerregister
2.2 Beslutsstödens potential
Kvalitetsregister och kliniska beslutsstödsystem (eller realtidsregister) har beskrivits som två sidor av samma mynt. Kvalitetsregister är register som hjälper en vårdgivare att samla in data för analyser retrospektivt på populationsnivå för att skapa insikt om hur hälso- och sjukvården för en specifik diagnos eller åtgärd ser ut och förändras över tid, vilket ger ett underlag för förbättringsarbete i efterhand och jämförelser med andra vårdgivare, t.ex. genom Inera AB:s Vården i siffor.
Enligt rapporten Kvalitetsregister och beslutsstöd – två sidor av samma mynt utgiven av Registercentrum QRC Stockholm (2016-10-16) kompletterar beslutsstödsystem, eller realtidsregister, kvalitetsregister genom att väga upp deras nackdelar. Realtidsregister är enligt rapporten system som tillämpar medicinsk kunskap för att generera rekommendationer som syftar till att påverka vårdkvaliteten prospektivt på individnivå. Om sådana system används när vården i realiteten genomförs, exempelvis genom att visa upp en patientöversikt så snart data har samlats in, så får patienten och vårdgivaren ett beslutsstöd som genast kan ha effekt och påverkan på hälsan.
2.3 Förstudien Införande av realtidsregister i cancervården
Förstudien Införande av realtidsregister inom cancervården är ett SWElife-projekt under ledning av RCC Uppsala-Örebro. Swelife är ett nationellt innovationsprogram
som staten finansierar via Vinnova. Genom Swelife samverkar vården, akademin och näringslivet över organisationsgränser och mellan regioner för att uppnå långvariga effekter som gynnar s.k. life science och i förlängningen folkhälsan.
Behandlingsmetoderna blir dessutom allt dyrare och individualiserade. Terapin utgår allt mer från varje tumörs specifika biologiska egenskaper, vilka styr valet av behandlingsmetoder. Utvärdering av dessa nya behandlingsmetoder är nödvändig, men befintliga journalsystem är inte kapabla att utföra uppgiften. Uppföljning måste vidare göras enligt projektdokumentationen löpande under behandlingen.
2.4 Uppdrag och frågeställningar
RCC Uppsala-Örebro önskar få en redogörelse för följande områden och frågeställningar.
1. Kortfattad beskrivning av de lagar som reglerar användningen av kvalitetsregister och beslutsstöd
a. inbördes beroenden mellan realtidsregister och KR avseende informationsöverföring
b. databasernas konstruktion (separata vs sammanbyggda)
e. medicintekniska regelverket.
a. Generella regler för industrins tillgång till information i KR och realtidsregister
c. För vilka ändamål kan data utlämnas?
Denna laglighetsprövning behandlar frågeställningarna under punkterna 1 och 2. Frågeställningarna i punkten 3 hanteras i särskild ordning och hamnar utanför denna prövning.
Laglighetsprövningen ska redovisas i en promemoria.
2.5 Avgränsningar
Denna laglighetsprövningen är avgränsad till frågeställningarna i punkterna 1 och 2 ovan. Laglighetsprövningen utgår vidare från nu gällande rätt.
3 Hälso- och sjukvårdens aktörer, verksamhet och ansvar
Eftersom förstudien avser hälso- och sjukvårdsverksamhet innehåller detta avsnitt en övergripande orientering om hälso- och sjukvårdens aktörer, verksamheter och ansvar.
3.1 Hälso- och sjukvård
Hälso- och sjukvårdslagen (2017:30; HSL) innehåller de grundläggande reglerna för all hälso- och sjukvård. Den anger mål för hälso- och sjukvården och krav på god vård samt reglerar landstingens och kommunernas ansvar för olika delar av hälso- och sjukvården.
Hälso- och sjukvård omfattar bl.a. åtgärder med anledning av kroppsfel och barnsbörd. Abort och sterilisering anses också rymmas i begreppet hälso- och sjukvård.3 I lagen anges vidare att till hälso- och sjukvården hör även sjuktransporter samt att ta hand om avlidna. I fråga om tandvård finns särskilda bestämmelser.
3 Prop. 1981/82:97 s. 110 f.
Patienten och dennes närstående ska få information enligt vad som anges i 3 kap. patientlagen.
3.2 Offentliga och privata vårdgivare
Med vårdgivare avses enligt 1 kap. 3 § patientsäkerhetslagen (2010:659) statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvård som myndigheten, landstinget eller kommunen har ansvar för samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård. Samma definition finns i patientdatalagen (2008:355).
Kommunala och statliga vårdgivare benämns i allmänhet offentliga vårdgivare.
Vårdgivare som bedriver hälso- och sjukvård i enskild regi benämns privata vårdgivare.
3.3 Begreppet huvudman
Kommuner och landsting är ansvariga för ett stort antal tjänster till medborgarna, t.ex. hälso- och sjukvård, socialtjänst, länstrafik och renhållning. Kommunernas och landstingens möjlighet att engagera sig i en verksamhet grundas dels på allmänna bestämmelser om den kommunala kompetensen i kommunallagen (1991:900; KL), dels på bestämmelser i speciallagstiftning.
Begreppet huvudman används inom olika rättsområden för att beteckna vilken aktör, oftast stat, kommun eller landsting, som är ansvarig för en viss uppgift. I viss lagstiftning används begreppet uttryckligen. I 2 kap. 1 § socialtjänstlagen (2001:453; SoL) anges exempelvis att kommunen har det yttersta ansvaret för att enskilda får det stöd och den hjälp som de behöver, men att detta inte innebär någon inskränkning i det ansvar som vilar på andra huvudmän.
Ansvaret som huvudman innebär inte alltid att landstinget eller kommunen självt måste bedriva sådan verksamhet. Av bestämmelser i bl.a. KL, HSL, SoL och lagen (1993:387) om stöd och service till vissa funktionshindrade (LSS) framgår att kommuner och landsting genom avtal får lämna över viss uppgift till privata utförare. När kommuner och landsting lämnar över verksamhet till privata utförare så kvarstår det kommunala huvudmannaskapet för verksamheten.
Kommuner och landsting har således ett ansvar för att genom exempelvis relevanta krav i avtal med utförarna säkerställa att kommunmedlemmarna får en god vård.
3.4 Slutenvård, öppenvård och primärvård
Öppenvård, eller poliklinisk vård, är ett samlingsnamn för hälso- och sjukvård som normalt inte kräver att patienten läggs in för vård på en vårdinrättning mer än ett dygn. Hälso- och sjukvård som kräver inläggning av patient längre tid benämns slutenvård. Slutenvård bedrivs enbart vid sjukhus.
3.5 Kommunal hälso- och sjukvård
Kommunerna har sedan Ädelreformen 1992 ansvar för viss hälso- och sjukvård avseende långvarig vård av äldre och personer med funktionsnedsättning.
Ädelreformen hade som främsta syfte att skapa klara ansvarsförhållanden och ändamålsenliga organisatoriska förutsättningar för att utveckla samhällets vård och omsorg. En av tankarna i Ädelreformen var att de insatser som ges enligt HSL och SoL i kommunerna skulle integreras.
Kommunerna ansvarar också för att tillhandahålla hjälpmedel inklusive förbrukningsartiklar. Reformen införde också bestämmelser om kommunernas betalningsansvar för vård av personer i sluten vård under vissa förutsättningar.4 Hur samverkan ska gå till vid in- och utskrivning av patienter i sluten vård förtydligas i Socialstyrelsens föreskrifter (SOSFS 2005:27) om samverkan vid in- och utskrivning av patienter i sluten vård.
Kommunernas hälso- och sjukvårdsansvar i särskilda boenden finns beskriven i 12 kap. 1 § HSL. Till de särskilda boendeformerna hör inte bara ålderdomshem och andra servicehus utan även gruppboende för äldre samt de sjukhem eller
4 Lag (1990:1404) om kommunernas betalningsansvar för viss hälso- och sjukvård
3.6 Hemsjukvård
Som redovisats utgör hemsjukvård en del av primärvården. Det är landstingen som ansvarar för primärvården. En kommun kan emellertid, efter avtal med landstinget, helt eller delvis ta över ansvaret för hemsjukvård i ordinärt boende enligt 18 § andra stycket HSL. Följden av ett sådant avtal blir att kommunen, och inte landstinget, bär ansvaret för den hemsjukvård som omfattas av avtalet. Även om avtal slutits om att kommunen övertar huvudmannaskapet för hemsjukvården i ordinärt boende får landstinget bedriva en kompletterande hemsjukvård. Landstinget har således fortsatt juridisk befogenhet till detta.7
3.7 Vårdgivares uppföljningsansvar
Som redovisats ska enligt 5 kap. 1 § HSL all hälso- och sjukvård bedrivas så att den uppfyller kraven på en god vård. I bestämmelsen specificerar lagstiftaren närmare vad som avses med god vård, bl.a. att särskilt tillgodose patientens behov av trygghet i vården och behandlingen samt patientens behov av kontinuitet och säkerhet i vården.
5 Prop. 2005/06:115.
6 Prop. 1992/93:159 s. 182.
7 Socialstyrelsen, Hemsjukvård i förändring - En kartläggning av hemsjukvården i Sverige och förslag till indikatorer, 2006, s. 22.
3.8 Landstingets planerings och uppföljningsansvar som huvudman
Landstingen har enligt HSL ett omfattande ansvar på hälso- och sjukvårdens område och ska på ett övergripande plan erbjuda en god hälso- och sjukvård åt dem som är bosatta inom landstinget samt verka för en god hälsa hos hela befolkningen. Vidare ska de som är bosatta i landstinget erbjudas en vårdgaranti som försäkrar att den enskilde inom viss tid får kontakt med primärvården (tillgänglighetsgaranti), besöka läkare inom primärvården (besöksgaranti), besöka den specialiserade vården (besöksgaranti), och planerad vård (behandlingsgaranti).
Det är fråga om ett ”totalansvar”.8 Det ansvaret inkluderar också i samhällsekonomiska lägen med begränsad resurstillväxt på att planeringsledet i den offentliga hälso- och sjukvården inriktas mot att kostnaderna ska kunna hållas nere.9
8 Xxx Xxxxxx m.fl. Kommentar till hälso- och sjukvårdslagen, Zeteo, kommentaren under 7 §.
9 Prop. 1981/82:97 s. 61 f.
Utredningen om rätt information i vård och omsorg (SOU 2014:23) har emellertid föreslagit att en tystnadspliktsbrytande uppgiftsskyldighet ska införas i patientsäkerhetslagen som ska gälla för privata vårdgivare i förhållande till det landsting eller den kommun (huvudman) som enligt HSL har ansvar för att erbjuda den aktuella hälso- och sjukvården.10 Utredningen förslag bereds vid Regeringskansliet och har ännu inte resulterat i ny lagstiftning.
4 Kvalitetsregister
Avsnittet innehåller en redogörelse för regionala och nationella kvalitetsregister och dess syfte i hälso- och sjukvården.
4.1 Inledning
Ett kvalitetsregister är i grund och botten en samling av personuppgifter som ska användas för att analysera och utvärdera hälso- och sjukvård och tandvård.
Behandlingen av relevanta uppgifter ska syfta till att utveckla, förbättra och effektivisera vårdverksamhet. Behandlingen kan också syfta till att utjämna de skillnader som finns avseende kvalitet och säkerhet mellan olika vårdgivare i landet.
Registren innehåller data om enskilda patienter. Informationen kan bestå av bakgrundsvariabler som ålder, vikt, diagnos och behandling samt av variabler som avspeglar hur patienten upplever sitt tillstånd. Ibland bidrar patienten med data. I dag finns det 108 Nationella Kvalitetsregister, dvs. kvalitetsregister som får stöd av den nationella satsningen på kvalitetsregister. Dessa register är av olika ålder och har uppnått olika grad av utveckling. Utöver dessa finns det många nationella, regionala och lokala register som inte får finansiering från Beslutsgruppen för nationella kvalitetsregister vid Sveriges Kommuner och Landsting (SKL), men som används för att följa och utvärdera sjukvårdens resultat.
– i stor utsträckning styr rapporteringen. De register som har skapat nytta för hälso- och sjukvårdspersonalen genom återrapporteringssystem för en kontinuerlig förbättring av vården, har alltså bättre förutsättningar att lyckas uppnå en högre täckningsgrad.
Användningen av kvalitetsregister är normalt inriktad på resultat och processer, inte på kostnader. Ett kvalitetsregister kan antingen innehålla resultatvariabler – t.ex. dödlighet – eller processvariabler – t.ex. att patienten har fått en viss behandling. Ett kvalitetsregister kan också mäta omfattningen av vården på olika enheter. Registret kan på så vis användas för att uppskatta hur stor andel av alla patienter med en viss sjukdom som sjukvården har fångat upp och faktiskt behandlat. Detta kan göras genom att uppgifterna i kvalitetsregistret jämförs med statistik över hur stor andel av befolkningen som lider av en viss sjukdom.
De första kvalitetsregistren utvecklades inom ortopedi för knä- och höftproteser.
Successivt har nya områden, vårdkedjor och patientgrupper fått egna kvalitetsregister. Hälso- och sjukvårdspersonal använder uppgifter i kvalitetsregister för att följa sina patienter och deras utveckling. På så sätt kan de även jämföra sina resultat med andra enheter. På vissa områden har återkopplingen till registrerande enheter blivit allt snabbare och registren har t.o.m. utvecklats mot att bli verktyg i vården av enskilda patienter11. Det är egentligen inte tillåtet (se nedan).
De senaste åren har Beslutsgruppen för de nationella kvalitetsregistren också påverkat registerorganisationerna att i större utsträckning hämta in patienternas egna upplevelser av sin hälsa och resultatet av vården. Detta har gjorts genom att patientrapporterade utfallsmått och hälsorelaterad livskvalitet har inkluderats i registren, s.k. PROM (Patient-Reported Outcome Measures). Annars är patientens journal den huvudsakliga källan till kvalitetsregistren.
4.2 Kvalitetsregister får inte användas för individnära vård och behandling
Behandling av personuppgifter i ett kvalitetsregister är baserad på principen om självbestämmande. Enligt patientdatalagen får personuppgifter inte behandlas i ett kvalitetsregister om den enskilde motsätter sig det. Om den enskilde motsätter sig personuppgiftsbehandlingen sedan den påbörjats, ska personuppgifterna utplånas ur registret så snart som möjligt.
11 SKL, Guldgruvan i hälso- och sjukvården – Översyn av de nationella kvalitetsregistren. Förslag till gemensam satsning 2011 - 2015, 2011, s. 30.
1. framställning av statistik,
2. forskning inom hälso- och sjukvården,
Till detta kan läggas att det är frivilligt att föra ett kvalitetsregister enligt patientdatalagen.
Det är alltså enligt dessa bestämmelser inte tillåtet att i ett nationellt eller regionalt kvalitetsregister behandla uppgifter för ändamålet att upprätta dokumentation som behövs i och för vården av en patient, eller för administration som rör patienter och som syftar till att ge vård i ett enskilt fall eller som annars föranleds av vård i ett enskilt fall.
Datainspektionen har i ett tillsynsbeslut den 11 oktober 2010 kritiserat personuppgiftshanteringen i ett kvalitetsregister just på den grunden att uppgifter användes i den individuella patientvården12. Datainspektionen uttalade i beslutet att det inte är tillåtet att ”tanka hem” inrapporterade (identifierade) uppgifter och använda dem för beslut om enskilda vårdåtgärder (som om kvalitetsregistret utgjorde en patientjournal). Detta är endast möjligt om patienten lämnat sitt uttryckliga samtycke till åtgärden.
4.3 Uppgifter i kvalitetsregister får inte lämnas ut hur som helst
Patientuppgifter i ett kvalitetsregister får inte heller utan vidare lämnas ut till utomstående mottagare, t.ex. andra kvalitetsregister. Det följer av bestämmelserna i offentlighets- och sekretesslagen (2009:400; OSL). Enligt 25 kap. 1 § OSL gäller sekretess inom hälso- och sjukvården för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Samma sekretess gäller för uppgifter i ett kvalitetsregister. Vilka uppgifter som kan lämnas ut av en vårdgivare eller en centralt personuppgiftsansvarig myndighet (CPUA) till en annan vårdgivare eller CPUA måste bedömas i varje enskilt fall. Utgångspunkten är dock att sekretess råder för uppgifterna. Normalt anses risken för men eller skada vara liten vid utlämnande av patientuppgifter ur ett kvalitetsregister till en forskningshuvudman som erhållit ett etikgodkännande.
12 Datainspektionens beslut den 11 oktober 2010 angående Styrelsen för Karolinska universitetssjukhusets utlämnande av uppgifter till Svenska MS-registret, dnr 1605–2009.
den överföring av sekretessbelagda uppgifter som sker när en vårdenhet rapporterar in uppgifter om sina patienter till ett kvalitetsregister som hanteras centralt utanför den rapporterande myndigheten. Det är alltså en rapportering från den som utför vården till CPUS som möjliggörs av lagstiftaren. Bestämmelsen kan däremot inte åberopas till stöd för överföring av uppgifter mellan olika CPUA för kvalitetsregister i olika landsting eller kommuner.
En vårdgivare får nämligen bara ha direktåtkomst till de uppgifter vårdgivaren själv har lämnat. Inte ens om en patient samtycker till det torde vårdgivaren ha direktåtkomst till uppgifter som en annan vårdgivare har lämnat till registret13.
Vårdgivaren får inte ens ta reda på om patienten överhuvudtaget fått vård av en annan vårdgivare. Detta innebär att vårdgivaren inte har någon möjlighet att utreda om t.ex. komplikationer som uppstått hos patienter beror på något som vårdgivaren själv gjort eller på vad som hänt hos andra vårdgivare. Endast med patientens samtycke och ett beslut om utlämnande från den andra vårdgivaren är det möjligt att få tillgång till uppgifterna.
I en översyn av de nationella kvalitetsregistren som genomfördes 2010 (Guldgruvan i hälso- och sjukvården – Förslag till gemensam satsning 2011–2015, Sveriges Kommuner och Landsting) hävdas att den rättsliga regleringen av kvalitetsregistren förhindrar att registren i vissa fall används på bästa sätt för uppföljning och för patientvård. Rapporten visar att det inte är tillåtet att använda kvalitetsregistren i den individuella patientvården, inte heller är det möjligt för vårdgivare att få tillgång till uppgifter som andra vårdgivare lämnat till kvalitetsregistren. Av rapporten framgår vidare att det saknas möjligheter att föra över uppgifter från den centrala registernivån i ett kvalitetsregister till den centrala registernivån i ett annat kvalitetsregister. I rapporten föreslås därför att en utredning tillsätts som utreder möjligheterna dels att utvidga de tillåtna ändamålen med personuppgiftshanteringen i kvalitetsregister så att registren även kan användas i patientvården, dels att tillåta vårdgivare att ha direktåtkomst till andra vårdgivares uppgifter om patienter som vårdgivaren har en vårdrelation till. Enligt rapporten bör
13 Enligt 5 kap. 4 § PDL är ett utlämnande genom direktåtkomst tillåtet endast i den utsträckning det anges i lag eller förordning. Det finns dock inte någon bestämmelse i lag eller förordning som tillåter att en centralt personuppgiftsansvarig myndighet har direktåtkomst till uppgifter i ett kvalitetsregister som någon annan myndighet är centralt personuppgiftsansvarig för. Ett utlämnande med patientens samtycke är därför bara möjligt om det sker på annat sätt än genom direktåtkomst.
Sekretess och tystnadsplikt inom hälso- och sjukvården berörs närmare i avsnitt
4.5.
4.4 Utredningen om rätt information i vård och omsorg
Bristerna som redovisades i rapporten Guldgruvan i hälso- och sjukvården föranledde regeringen att besluta om en femårig statlig satsning på Nationella Kvalitetsregister genom ekonomiska bidrag till befintliga och nya register.
Därutöver tillsatte regeringen en utredning som enligt sina ursprungliga direktiv skulle utreda kvalitetsregistren, men som sedermera fick ett breddat uppdrag och tog sig namnet Patientdatautredningen. Utredningen arbete ledde sedermera till patientdatalagens tillkomst och en reglering av regionala och nationella kvalitetsregister.
En ytterligare utredning har tagit sig an kvalitetsregistren och de begränsningar som finns i dagens lagstiftning. Utredningen om rätt information i vård och omsorg (SOU 2014:23) har föreslagit att vårdgivare ska få direktåtkomst till alla uppgifter om en patient som en annan vårdgivare har registrerat om en patient i ett nationellt eller regionalt kvalitetsregister för ändamålet kvalitetssäkring. Utredningen motiverar förslaget med att en patient är ofta föremål för vård hos flera vårdgivare i en vårdkedja och att vårdgivare därför bör få en mer samman hållet underlag för sitt kvalitetssäkringsarbete. Särskilt gäller det sjukvårdshuvudmännen som finansierar vården hos privata vårdgivare samt har ett övergripande ansvar för kvaliteten i patientens vård och behandling. Utredningens förslag har ännu inte lett till några ändringar i patientdatalagen.
4.5 Den nya sortens register – beslutstöd och realtidsregister
Ändamålen för regionala och nationella kvalitetsregister är uttömmande (se avsnitt 4.2). Det är av hänsyn till enskildas personliga integritet som inga andra ändamål än kvalitetsuppföljning, statistik och forskning är tillåtna. Detta innebär bl.a. att personuppgifter som har samlats in i ett kvalitetsregister för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet i ett visst avseende inte får behandlas för något annat ändamål, även om det nya ändamålet i och för sig inte kan anses som oförenligt med det ursprungliga, jfr 9 § första stycket d personuppgiftslagen (1998:204; PUL). Dock kan med den enskildes uttryckliga samtycke personuppgifter om honom eller henne behandlas för något annat ändamål än för vilka de har samlats in, se 2 kap. 3 § patientdatalagen.
Varje vårdgivare har således inte juridiskt lämnat ifrån sig uppgifterna utan de är alltjämt i envar vårdgivares förvar och får ha elektronisk åtkomst till uppgifter om egna patienter.
4.6 Patientöversikter
Patientöversikter är detsamma som beslutsstödsystem eller realtidsregister. En patientöversikt utgörs av den totala summan av varje vårdgivares beslutsstödsystem. Med stöd av bestämmelserna om sammanhållen journalföring i 6 kap. patientdatalagen kan två eller flera vårdgivare ta del av varandras vårddokumentation om en och samma patient. Patientöversikten tillhandahåller de tekniska förutsättningarna för sådan direktåtkomst. Sammanhållen journalföring kräver dock patientens samtycke för åtkomst till uppgifter hos en annan vårdgivare. Vidare får sammanhållen journalföring, eller patientöversikter, endast användas för
• individbaserad vård och behandling, eller
• utfärdande av intyg om vården.
5 Gällande rätt
I detta avsnitt redovisas gällande rätt i fråga om helt eller delvis automatiserad behandling av personuppgifter i hälso- och sjukvården. Med hälso- och sjukvård avses här sådan vård som utförs av både offentliga vårdgivare (landsting, kommun och staten) och privata vårdgivare (juridiska och fysiska personer). Även personuppgiftsbehandling för ändamålet statistik behandlas. I avsnittet lämnas slutligen en redogörelse för aktuella bestämmelser om sekretess och tystnadsplikt.
5.1 Inledning
Skyddet för privatlivet och den personliga integriteten vid behandling av personuppgifter finns i personuppgiftslagen (1998:204) samt i ett flertal s.k.
registerförfattningar. Med ”personuppgifter” avses enligt personuppgiftslagen all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet (3 §).
Den 25 maj 2018 träder den europeiska dataskyddsförordningen14 i kraft och blir direkt tillämplig i EU:s alla medlemsländer. Personuppgiftslagen kommer därmed att upphöra, men flertalet av nuvarande registerförfattningar kommer att bestå, dock sannolikt med vissa ändringar. Dataskyddsförordningen innehåller en mängd nyheter som kräver anpassningsåtgärder för både personuppgiftsansvariga och personuppgiftsbiträden. Förordningen berörs närmare i avsnitt 4.8.
Vårdgivare registrerar uppgifter om enskilda patienters hälsa och sjukdomar. Uppgifter om hälsa utgör enligt personuppgiftslagen s.k. känsliga personuppgifter (13 §). Utrymmet för myndigheter och andra aktörer att få använda sådana uppgifter utan samtycke från den registrerade är mindre än för ”vanliga” personuppgifter. I vilken utsträckning uppgifter om hälsa får hanteras utan samtycke av en vårdgivare eller en huvudman för ett regionalt eller nationellt kvalitetsregister regleras i patientdatalagen (2008:355).
14 Förordningen (EU) 2016/679 av den 27 april 2016.
5.2 Grundläggande bestämmelser om skyddet för den personliga integriteten
I Sverige, liksom i många andra rättsstater, bygger regleringen av enskildas fri- och rättigheter på dels en nationell grundlagsreglering, dels folkrätten och dels ingångna internationella avtal. I sistnämnda hänseende intar för Sveriges del EU-rätten principiellt sett en särställning, eftersom denna inom sitt tillämpningsområde i händelse av normkonflikt har företräde framför nationell rätt.
RF innehåller vidare bestämmelser till skydd för den enskildes personliga frihet och säkerhet. Enligt 2 kap. 6 § andra stycket RF är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Detta grundlagsskydd omfattar även vissa mer ingripande integritetsintrång från det allmännas sida som sker genom automatiserad behandling av personuppgifter. Begränsningar av grundlagsskyddet måste enligt 2:20 1 st. RF göras genom lag.
I 2 kap. 6 § RF används begreppet ”personlig integritet”. Begreppet har varit föremål för överväganden av flera statliga utredningar.15 Det har också gjorts
15 Se t.ex. SOU 1970:72 och 1980:8 (1966 års Integritetsskyddskommitté), SOU 1984:54 (Tvångsmedelskommittén), SOU 1992:84 (Kommittén om ideell skada), SOU 2002:18 (Integritetsutredningen), SOU 2004:20 (Kommittén om genetisk integritet) och SOU 2007:22 (2004 års Integritetsskyddskommitté).
attitydundersökningar kring begreppet.16 Man kan konstatera att dessa utredningar haft svårt att finna någon entydig och allmänt accepterad definition av begreppet.
låter sig fångas i en enda bestämmelse och att ”personlig integritet” från tid till annan har olika innebörd. Svårigheterna att fastställa vad man menar med integritet sammanhänger också med att en rätt att bli lämnad i fred aldrig kan vara absolut i ett samhälle. Samhällets krav på insatser från den enskilde i fråga om t.ex. arbete och skatter kräver ibland inskränkningar i den privata sfären.17
I ett försök att ändå beskriva vad som kan anses vara kärnan i rätten till personlig integritet har regeringen i lagstiftningssammanhang uttalat att kränkningar av den personliga integriteten utgör intrång i den fredade sfär som den enskilde bör vara tillförsäkrad och där ett oönskat intrång bör kunna avvisas.18 Beskrivningen återkommer i regeringens direktiv till Integritetskommittén (dir: 2014:65 s. 2).
Sammanfattningsvis ger tidigare utredningar vid handen att med personlig integritet avses integritet i ideell mening, dvs. information om den enskildes personliga förhållanden. Skyddet för äganderätten, för den personliga friheten och rörelsefriheten eller för liv och hälsa faller utanför detta begrepp.
5.3 Personuppgiftslagen
Bestämmelser om behandling av personuppgifter finns i personuppgiftslagen (PUL). Syftet med lagen är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.
Begreppet ”personuppgifter” är hämtat från PUL. Med personuppgift avses i PUL all information som direkt eller indirekt kan hänföras till en fysisk person som är i livet (3 §). Det uppställs således inga kvalitetskrav på informationen för att lagen ska bli tillämplig, t.ex. att det ska vara fråga om vissa särskilt privata eller känsliga uppgifter. Det är tillräckligt att det är fråga om information som kan hänföras till en viss identifierbar individ.
Även pseudonymiserade personuppgifter, t.ex. krypterade personuppgifter eller andra liknande elektroniska identifikationsinstrument, kan utgöra personuppgifter. Om de kan ”dekrypteras” med en kodnyckel, översättningstabell eller andra medel utgör de personuppgifter. Det är inte nödvändigt att en identifikation har skett för att
16 Se genomförd attitydundersökning av 2004 års Integritetskommitté i SOU 2007:22.
17 SOU 1972:47 s. 56 f.
18 Prop. 2009/10:80 s. 175, prop. 2005/06:173 s. 15.
det ska kunna vara fråga om en personuppgift. Det är fullt tillräckligt att så kan komma att ske.
Det finns ett flertal situationer där PUL inte är tillämplig. T.ex. gäller inte lagen för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur (6 §). Som exempel kan nämnas privatpersoners ord- och textbehandling, privat korrespondens med e-post och privat inspelning med digitalkamera i hemmet.19 Lagen är inte heller tillämplig på hantering av uppgifter som är helt avidentifierade, dvs. som inte alls går att bakåtspåras till en fysisk levande person.
Utgångspunkten i PUL är att alla former av behandlingar av personuppgifter som på något sätt är strukturerade är förbjudna. Lagen tillåter emellertid en juridisk eller fysisk person, en personuppgiftsansvarig, att i vissa fall få behandla personuppgifter.
När det gäller samtycke till behandling av s.k. känsliga personuppgifter ska samtycket dessutom vara ”uttryckligt”. Med känsliga personuppgifter avses bl.a. uppgifter om enskildas hälsa (13 §).
Utöver samtycke och ostrukturerade personuppgifter räknar lagen upp fallsituationer som tillåter en personuppgiftsansvarig att behandla personuppgifter, manuellt eller maskinellt, utan den registrerades samtycke. Fallsituationerna faller in i två kategorier, dels fallsituationer för känsliga personuppgifter, dels fallsituationer för övriga personuppgifter.
Därutöver innehåller lagen bl.a. bestämmelser om grundläggande krav på behandling av personuppgifter (9 §) som alltid måste vara uppfyllda, oavsett om behandlingen grundas på den registrerades samtycke eller en fallsituation. Som exempel kan nämnas kravet på relevans, dvs. att personuppgifter som samlas in av den personuppgiftsansvarige ska vara relevanta för ett givet ändamål.
19 Datainspektionen, Vad är straffbart enligt personuppgiftslagen? 2011 s. 13
20 Article 29 Data Protection Working Party, Opinion 15/2011 on the definition of consent (01197/11/EN, WP187), s. 34.
Regeringen har i olika sammanhang uttalat att en specialreglering av behandling av personuppgifter under vissa förutsättningar innebär en bättre garanti för utformningen av integritetsskyddet än PUL.21 Denna uppfattning har gett upphov till
s.k. registerförfattningar, ”skräddarsydda” lagar eller förordningar som innehåller verksamhetsanpassade bestämmelser för en viss behandling av personuppgifter. Sådana registerförfattningar aktualiseras t.ex. i samband med myndighetsregister med ett stort antal registrerade personer och ett integritetskänsligt innehåll. Det uppskattas att det idag finns drygt 200 registerförfattningar. En av dessa är patientdatalagen.
5.4 Patientdatalagen
När vårdgivare behandlar personuppgifter inom hälso- och sjukvården gäller patientdatalagen (PDL). Med vårdgivare avses enligt 1 kap. 3 § PDL statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvård som myndigheten, landstinget eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare).
5.4.1 Tillåten användning av patientuppgifter enligt patientdatalagen
I 2 kap. PDL finns grundläggande bestämmelser. Där framgår för vilka ändamål en vårdgivare får behandla personuppgifter utan patientens samtycke (4 §) ”om det
21 Se prop. 1990/91:60 s. 56 ff. och prop. 1997/98:44 s. 41, bet. 1990/91: KU11 s. 11 och bet. 1997/98: KU18 s. 43 samt även rskr. 1997/98:180.
behövs”. Ordet ”behövs” i lagtexten ger uttryck för ett nödvändighetskrav, dvs. en vårdgivares behandling för nedan redovisade ändamål ska vara nödvändig.
1. patientjournalföring och annan dokumentation som behövs i och för vården av patienter,
3. upprättande av annan dokumentation som följer av lag, förordning eller annan författning,
4. systematisk och fortlöpande utveckling och säkring av hälso- och sjukvårdens kvalitet,
6. framställning av statistik rörande hälso- och sjukvård.
Dessutom får personuppgifter som behandlas för ändamål enligt punkterna 1–6 behandlas för att fullgöra uppgiftslämnande i överensstämmelse med lag eller förordning. I övrigt gäller den s.k. finalitetsprincipen i 9 § första stycket d och andra stycket personuppgiftslagen för behandling av insamlade personuppgifter för ett nytt ändamål22.
5.4.2 Systematisk utvärdering, uppföljning, kvalitetssäkring och statistik
Förutom individuell vård och behandling får en vårdgivare således behandla känsliga personuppgifter om hälsa för bl.a. ändamålen systematisk och fortlöpande utvärdering, uppföljning och kvalitetssäkring. Det har en vårdgivare en skyldighet att göra enligt hälso- och sjukvårdslagen (1982:763).
Av tradition har lagstiftaren valt att dela in ändamålsbestämningarna i primära och sekundära ändamål. Med primära ändamål avses normalt registrering av personuppgifter för den personuppgiftsansvariges operativa verksamheter, medan sekundära ändamål reglerar efterföljande behandling av redan registrerade personuppgifter för andra ändamål. Som exempel på sekundära ändamålsbestämningar kan nämnas systematisk uppföljning, utvärdering, arkivering och forskning.
22 Finalitetsprincipen innebär att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål ska inte anses som oförenlig med de ändamål för vilka uppgifterna samlades in.
mindre rum integrerat i varje vårdgivares verksamhet. Regeringen anförde att den inte ser en risk för ett försämrat integritetsskydd att även sådana ändamål som i dag faller vid sidan av den individinriktade verksamheten, dvs. linjeverksamheten, får vara primära.23 Enligt regeringen handlar det i allt väsentligt om en efterkommande användning av uppgifter som härrör från den individinriktade verksamheten. Detta överensstämmer med strävandena inom hälso- och sjukvården att förbättra och effektivisera verksamheten bl.a. genom att skapa en ändamålsenlig och enhetlig vårddokumentation som minskar det administrativa merarbetet samt höjer kvaliteten.
En vårdgivare får således registrera patientuppgifter, därefter behandla dessa för patientadministrativa ändamål eller systematisk uppföljning samt ”återanvända” dem i den individbaserade patientvården på nytt i den omfattning som behövs. Denna ”crossover” av användning av patientuppgifter för olika ändamål är fullt tillåten inom en vårdgivares verksamhet och kräver inte patientens samtycke.
Patientdatalagen förbjuder således inte en vårdgivare att basera sin verksamhetsuppföljning m.m. på individuppgifter. Vårdgivaren behöver inte heller beakta eventuella spärrade journaluppgifter i sin verksamhetsuppföljning m.m. (se avsnitt 4.4.4).
Bestämmelser om patientjournaler är samlade i 3 kap. Med patientjournal avses enligt lagen en eller flera journalhandlingar, som rör samma patient, och med journalhandling avses framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel och som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder (1 kap. 3 §).
23 Prop. 2007/08:126 s. 56.
5.4.4 Inre sekretess inom en vårdgivares verksamhet
I 4 kap. finns bestämmelser om inre sekretess och elektronisk åtkomst inom en vårdgivares verksamhet. En av de centrala bestämmelserna är den om inre sekretess i 4 kap. 1 § PDL. Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon
• deltar i vården av patienten eller
• av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.
Bestämmelserna om inre spärr kompletteras av föreskrifter från Socialstyrelsen25 som ställer krav på att åtkomst ska föregås av ett aktivt val. Ett annat ord för detta logiska spärrar eller lätta spärrar eftersom det i grund botten finns en potentiell elektronisk åtkomst till uppgifter, men att användaren måste forcera den logiska spärren genom ett aktivt val som ska loggas.
En spärr får hävas av en behörig befattningshavare hos vårdgivaren, om
1. patienten samtycker till det, eller
24 Det särskilda disciplinansvar som tidigare kunde utkrävas av hälso- och sjukvårdspersonal och som handlades av HSAN avskaffades 2010-12-31 genom ikraftträdandet av patientsäkerhetslagen (2010:659). Numera handlägger HSAN endast ärenden som rör legitimerad personals legitimationsinnehav, prövotider och förskrivningsrätter. I patientsäkerhetslagen finns bestämmelser om möjligheter att anföra klagomål hos Socialstyrelsen mot hälso- och sjukvården och dess personal. 25 Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården.
5.4.5 Sammanhållen journalföring
I 6 kap. PDL finns bestämmelser om s.k. sammanhållen journalföring. Regleringen innebär att vårdgivare under vissa förutsättningar kan få direktåtkomst till varandras elektroniska journalhandlingar och andra personuppgifter. En väsentlig förutsättning för direktåtkomst är dock att uppgifterna behövs för individuell vård och behandling eller utfärdande av intyg. Direktåtkomst för andra ändamål, t.ex. systematisk uppföljning eller utvärdering, är inte tillåtet enligt lagen.
Alla uppgifter om en patient behöver inte ingå i den sammanhållna journalföringen, utan den kan begränsas till delar av det som dokumenteras i en patientjournal eller andra uppgifter om en patient.26 Det innebär att vårdgivarna kan bygga upp ett system där exempelvis bara vissa medicinska basfakta är tillgängliga. Nationell Patientöversikt (NPÖ) är ett exempel på ett sådant system för att utbyta vissa uppgifter om patienter (xxx.xxx.xx).
Utredningen om rätt information i vård och omsorg (SOU 2014:23) har föreslagit bl.a. en ny hälso- och sjukvårdsdatalag som ska ersätta PDL. Lagförslaget innehåller bl.a. bestämmelse om förbättrade möjligheter till direktåtkomst mellan vårdgivare inom ett landstings (sjukvårdshuvudmannens) ansvarsområde. Förslaget innebär att samtliga privata vårdgivare med offentlig finansiering, som verkar inom sjukvårdshuvudmannens ansvarsområde, ska kunna ta del av varandras uppgifter genom direktåtkomst, inte bara för vård och behandling utan även för andra ändamål, t.ex. kvalitetssäkring. Lagförslaget bereds alltjämt på Regeringskansliet.
Mer om sammanhållen journalföring i avsnitt 6.7.
5.5 Sekretess och tystnadsplikt
De svenska bestämmelserna om sekretess och tystnadsplikt är en del av persondataskyddet. Bestämmelser om sekretess och tystnadsplikt i den offentliga
26 Prop. 2007/08:126 s. 248.
Sekretess definieras enligt OSL som ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt (3 kap. 1 §). En bestämmelse om sekretess medför således både tystnadsplikt för de personer som har en skyldighet att följa bestämmelsen och handlingssekretess för de handlingar som omfattas av bestämmelsen.
När det gäller sekretessens styrka är det normala att den bestäms med hjälp av
s.k. skaderekvisit. Man skiljer i detta avseende mellan rakt och omvänt skaderekvisit. Vid rakt skaderekvisit är utgångspunkten att uppgifterna är offentliga och att sekretess endast gäller om det kan antas att viss skada uppstår om uppgifterna lämnas ut. Vid omvänt skaderekvisitet är utgångspunkten den motsatta, dvs. att uppgifterna omfattas av sekretess. Vid omvänt skaderekvisit får uppgifterna således bara lämnas ut om det står klart att detta kan ske utan att viss skada uppstår. Sekretessen enligt en bestämmelse kan även vara absolut, vilket innebär att de uppgifter som omfattas av bestämmelsen ska hemlighållas utan någon skadeprövning.
Bestämmelser härom finns i 25 kap. 1 § OSL27, samt, beträffande tystnadsplikt i den enskilda hälso- och sjukvården, i 6 kap. patientsäkerhetslagen (2010:659).
Tystnadsplikten inom den enskilda hälso- och sjukvården innebär ett förbud mot att obehörigen röja uppgifter om enskilds hälsotillstånd eller andra personliga förhållanden. Den är, liksom tystnadsplikten hos myndigheter, straffsanktionerad.28 Vid tolkningen av obehörighetsrekvisitet har det ansetts naturligt att söka ledning i skaderekvisitet som finns i OSL:s bestämmelser29.
27 Prop. 2007/08:126 s. 164
28 I 20 kap. 3 § brottsbalken finns regler om straff för brott mot tystnadsplikt. Straffbarhet enligt denna bestämmelse inträder bl.a. om någon uppsåtligen har röjt uppgift, som han har varit skyldig att hemlighålla enligt lag. Straffet är böter eller fängelse i högst ett år. Har gärningen begåtts av oaktsamhet, är straffet böter. I ringa fall av oaktsamhetsbrott skall ej dömas till ansvar.
Straffbestämmelsen om brott mot tystnadsplikt är subsidiär, vilket betyder att den inte ska tillämpas om gärningen annars är särskilt belagd med straff.
29 Prop. 1980/81:28 s. 23 och prop. 1981/82:186 s. 26.
myndighet till en enskild eller annan myndighet utan stöd i offentlighets- och sekretesslagen.
Enligt 8 kap. 2 § OSL gäller sekretess i vissa fall även inom en myndighet. Enligt bestämmelsen får en sekretessbelagd uppgift inte röjas för en annan verksamhetsgren inom samma myndighet, om verksamhetsgrenarna är att betrakta som självständiga i förhållande till varandra. Som exempel kan nämnas Försvarsmaktens försvarsmedicinska verksamhet, som är en självständig verksamhet i förhållande till myndighetens insats- och utbildningsverksamhet. Hälso- och sjukvårdssekretess råder således för uppgifter om personal som erhåller vård inom den militära hälso- och sjukvården, och får inte utan vidare röjas för annan organisationsenhet som inte bedriver sjukvård.
5.5.2 Samtycke häver sekretess
Det finns ett flertal undantag från sekretessen och tystnadsplikten inom både den allmänna och enskilda hälso- och sjukvården. Undantagsbestämmelserna är spridda på flera lagar. De flesta undantagen är samlade i 25 kap. OSL och patientsäkerhetslagen. De berör olika slags fallsituationer där rättsordningen ansett att det är befogat att lämna ut patientuppgifter för olika ändamål utan en föregående menprövning.
5.5.3 Sekretess i förhållande till patienten själv
Normalt råder inte sekretess eller tystnadsplikt enligt OSL i förhållande till den enskilde själv, men beträffande hälso- och sjukvårdssekretessen (25 kap. 1 § OSL) finns ett undantag från denna huvudregel. Om det med hänsyn till ändamålet med vården eller behandlingen av en enskild är av synnerlig vikt att en uppgift inte lämnas till honom eller henne, råder sekretess för uppgifterna i förhållande till den enskilde själv (25 kap. 6 § OSL). En motsvarande bestämmelse om tystnadsplikt mot patienten finns i patientsäkerhetslagen (6 kap. 12 §).
Motsvarande prövning ska göras av en privat vårdgivare som omfattas av tystnadsplikt enligt patientsäkerhetslagen.
I 8 kap. 2 § första stycket patientdatalagen (2008:335; PDL) finns särskilda bestämmelser om rätten att få del av journaler inom den enskilda hälso- och sjukvården.
5.5.4 Närmare om hälso- och sjukvårdssekretessen
Som redovisats är hälso- och sjukvårdssekretessen enligt 25 kap. 1 § OSL försedd med ett s.k. omvänt skaderekvisit. Det innebär att uppgift om enskilds personliga förhållanden och hälsa bara får lämnas ut om det står klart att patienten eller närstående inte kommer att lida men av utlämnandet. Enligt förarbetena till den upphävda sekretesslagen (1980:100) medger skaderekvisitet att uppgift lämnas från en läkare till en annan eller från en sjukvårdsinrättning till en annan, om uppgiften behövs i rent vårdsyfte. Visst utrymme sägs också finnas att lämna uppgifter till en annan vårdsektor i syfte att bistå en patient.
5.5.5 Sekretessbrytande bestämmelser i OSL inom hälso- och sjukvården
Det finns dock ett par sekretessbrytande bestämmelser som kan bli tillämpliga på kontakter mellan exempelvis vårdgivare. Dessa sekretessbrytande bestämmelser innebär att en mottagare av en förfrågan om utfående av patientuppgifter inte behöver göra en menprövning eller sekretessprövning före utlämnandet.
Sekretessbrytande bestämmelser är vidare en förutsättning för att en vårdgivare ska få direktåtkomst till exempelvis journalhandlingar hos en annan vårdgivare.
För sjukvårdens del är de sekretessbrytande bestämmelserna delvis samlade i 25 kap. 11 – 14 §§ OSL. För både den allmänna och enskilda hälso- och sjukvården finns dessutom bestämmelser om uppgiftsskyldighet, trots tystnadsplikt eller sekretess, samlade i 6 kap. 15 § patientsäkerhetslagen.
A. Sekretessbrytande bestämmelse för informationsutbyte mellan olika sjukvårdsmyndigheter inom en kommun eller ett landsting
I samband med PDL:s tillkomst infördes sekretessbrytande bestämmelser som ökar möjligheterna att utbyta uppgifter om en enskilds hälsotillstånd inom hälso- och sjukvården. Uppgifter som normalt omfattas av hälso- och sjukvårdssekretess kan således numera lämnas från en myndighet som bedriver hälso- och sjukvårdsverksamhet till en annan sådan myndighet i samma landsting eller i samma kommun, 25 kap. 11 § 1 OSL. Denna lättnad i sekretessen gäller bara för utbyte av uppgifter mellan vårdgivare inom samma kommun eller inom samma landsting, inte mellan ett landsting och en kommun.
B. Sekretessbrytande bestämmelser för det fall att hälso- och sjukvårdssekretessen hindrar att en enskild får nödvändig vård, behandling eller annat stöd om denne är under 18 år, missbrukar alkohol eller droger eller tvångsvårdas alternativt är föremål för rättspsykiatrisk vård m.m.
Sekretessen hindrar inte att en uppgift om en enskild eller närstående till denne lämnas från en myndighet inom hälso- och sjukvården till en annan sådan myndighet eller till en myndighet inom socialtjänsten, om det behövs för att ge den enskilde nödvändig vård, behandling eller annat stöd och denne
1. inte har fyllt arton år,
2. fortgående missbrukar alkohol, narkotika eller flyktiga lösningsmedel, eller
3. vårdas med stöd av lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård.
C. Sekretessbrytande bestämmelse för de fall hälso- och sjukvårdssekretessen hindrar att en enskild får nödvändig vård, omsorg, behandling eller annat stöd
Om den enskilde på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en uppgift lämnas ut, hindrar inte hälso- och sjukvårdssekretessen att en uppgift om honom eller henne som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan sådan myndighet eller till en enskild vårdgivare, 25 kap. 13
§ OSL. Bestämmelsen blir tillämplig endast om den enskilde på grund av demens eller annat hälsorelaterat skäl inte kan samtycka. Undantaget får inte tillämpas rutinmässigt. När det i enskilda fall används, ska det ske med urskillning och varsamhet.30
D. Sekretessbrytande bestämmelse för de fall hälso- och sjukvårdssekretessen hindrar att en enskild får vård och behandling och det är av synnerlig vikt att uppgiften lämnas
Hälso- och sjukvårdssekretess ska inte heller enligt 25 kap. 14 § OSL hindra att en uppgift lämnas ut till hälso- och sjukvårdspersonal, om uppgiften behövs för vård eller behandling och det är av synnerlig vikt att uppgiften lämnas. Även denna sekretessbrytande bestämmelse kan eventuellt komma att bli tillämplig i vissa speciella fall.
E. Sekretessbrytande bestämmelse för utlämnande mellan kommuner eller landsting av uppgifter för forskning eller framställning av statistik eller för administration på verksamhetsområdet
Av 25 kap. 11 § 5 p OSL följer att uppgifter får lämnas från en kommunal eller landstingskommunal myndighet som bedriver hälso- och sjukvård till en annan sådan myndighet för forskning, framställning av statistik eller administration. Sekretess gäller dock för en uppgift, om det kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs. Regeln innebär alltså att man ska tillämpa ett rakt skaderekvisit vid sekretessprövningen. Det innebär en presumtion för att uppgiften får lämnas ut.
F. Sekretessbrytande bestämmelse för utlämnande av inskrivningsmeddelande
30 Prop. 2007/08:126 s. 272
Enligt 15 § lagen (1990:1404) om kommunernas betalningsansvar för viss hälso- och sjukvård hindrar inte sekretess att ett landsting till en kommun lämnar uppgift om namn, personnummer och folkbokföringsadress för patienter som skrivs in i den slutna hälso- och sjukvården och för vilka kommunen har betalningsansvar.
Uppgifterna ska lämnas ut i ett inskrivningsmeddelande. Med ett inskrivningsmeddelande avses ett meddelande från slutenvården till den öppna hälso- och sjukvården och socialtjänsten om att en viss patient har blivit inskriven på sjukhuset och en samordnad vårdplanering kan bli aktuell.
G. Sekretessbrytande bestämmelse vid vård enligt lagen om läkarvårdsersättning och lagen om ersättning för fysioterapi
Enligt 26 § lagen (1993:1651) om läkarvårdsersättning ska en läkare som begär läkarvårdsersättning medverka till att den egna verksamheten kan följas upp och utvärderas. Läkaren ska årligen till landstinget lämna en redovisning med uppgifter om mottagningens personal och medicintekniska utrustning samt om utförda vårdåtgärder och antalet patientbesök. Av paragrafen framgår vidare att läkaren ska på begäran av landstinget lämna upplysningar och visa upp patientjournal samt övrigt material som rör undersökning, vård eller behandling av en patient och som behövs för kontroll av begärd läkarvårdsersättning. Motsvarande skyldigheter för en fysioterapeut framgår av lagen (1993:1652) om ersättning för fysioterapi.
H. Sekretessbrytande bestämmelser för utlämnande genom direktåtkomst
Lagstiftaren har betraktat direktåtkomst som en form av elektroniskt utlämnande som är särskilt integritetskänslig. Det framgår därför av 5 kap. 4 § första stycket PDL att direktåtkomst till personuppgifter som behandlas enligt PDL bara får förekomma i den utsträckning som anges i lag eller förordning.
göras tillgängliga för andra vårdgivare som deltar i ett system för en sammanhållen journalföring.
I syfte att underlätta samarbetet i den individinriktade patientverksamheten och realisera bl.a. reformen med en sammanhållen patientjournal i PDL föreslog regeringen ett undantag från sekretessen31. Enligt 25 kap. 11 § tredje punkten OSL hindrar sekretess inte att en uppgift lämnas till en myndighet som bedriver verksamhet som avses i (25 kap.) 1 § eller 4 § OSL eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i PDL. Sammanhållen journalföring får dock enbart användas för antingen vård- och behandling, patientadministration i anslutning till individbaserad vård eller utfärdande av intyg. Detta begränsar därmed den sekretessbrytande bestämmelsen.
5.6 Statistiksekretess
Den s.k. statistiksekretessen regleras i 24 kap. 8 § OSL. Där anges att sekretess gäller i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde.
Innebörden av detta blir att en uppgift hos en och samma myndighet kan vara offentlig om den behandlas inom en handläggande avdelning, men sekretessreglerad inom en avdelning som framställer statistik.32 Vidare anges i den berörda paragrafen att statistiksekretessen även gäller för annan jämförbar undersökning som utförs av Riksrevisionen eller riksdagsförvaltningen33 eller av myndigheter under regeringen förutsatt att regeringen har föreskrivit om det.
Regeringen har med stöd av bestämmelsen meddelat föreskrifter om sekretess i 7
§ offentlighets- och sekretessförordningen (2009:641). De undersökningar som här
31 Prop. 2007/08:126 s. 126 ff.
32 Prop. 1979/80:2 med förslag till sekretesslag m.m., Del A, s. 262.
33 24 kap. 8 § första stycket andra meningen OSL.
avses kan dock många gånger sekretesskyddas även enligt 30 kap. 23 § OSL34 och 30 kap. 27 § OSL35.
Skyddet gäller inte enbart sådana uppgifter som innehåller identitetsbeteckningar, som namn och personnummer, på en enskild utan även uppgifter som överhuvudtaget kan – direkt eller indirekt – hänföras till en viss enskild.36
Vad gäller sekretessens styrka gäller enligt huvudregeln att sekretessen är absolut, dvs. de uppgifter som omfattas av bestämmelsen kan inte ens lämnas ut efter en skadeprövning. I paragrafen anges dock några undantag från regeln om absolut sekretess. Det handlar till att börja med om uppgifter som behövs för forsknings- och statistikändamål och uppgifter som inte genom namn eller liknande är direkt hänförliga till den enskilde. Vidare handlar det om uppgifter som avser en avliden och som rör dödsorsak eller dödsdatum, om uppgiften behövs i ett nationellt eller regionalt kvalitetsregister enligt PDL. I dessa undantagsfall gäller ett omvänt skaderekvisit, dvs. utgångspunkten är att uppgifterna omfattas av sekretess men att de får lämnas ut om det står klart att det kan ske utan att den enskilde eller någon närstående till denne lider skada eller men.
5.7 Sekretess om utlämnande innebär behandling i strid med PUL
För de fortsatta övervägandena i laglighetsprövningen kan även regleringen om utlämnande av personuppgifter vara av intresse. Om uppgifter som omfattas av statistiksekretess begärs utlämnade, och de även innefattar personuppgifter, aktualiseras förutom 24 kap. 8 § även 21 kap. 7 § OSL.
Uttrycket personuppgift har samma innebörd som i PUL. Bedömningen tar inte sikte på om myndighetens utlämnande som sådant skulle strida mot PUL, utan om det kan antas att uppgifterna efter utlämnandet kommer att behandlas i strid med PUL. Risk för sådan skada som anges i bestämmelsen torde i praktiken aktualiseras vid s.k. massuttag (dvs. begäran om att från ett register få ut uppgifter om ett stort antal personer) eller vid uttag av selekterade uppgifter (dvs. begäran att få ut
34 Regeringen får meddela föreskrifter om sekretess för vissa uppgifter i statlig tillsynsverksamhet m.m.
35 Regler om sekretess i verksamhet som består i tillsyn eller stödverksamhet som annan än statlig myndighet bedriver med avseende på näringslivet. Paragrafen är till skillnad från 23 § direkt tillämplig och alltså inte utformad så att det för sekretess krävs föreskrifter av regeringen.
36 Prop. 1979/80:2, Del A, s. 262.
Av förarbetena till PUL står det klart att offentlighetsprincipen har ett obetingat företräde framför den s.k. finalitetsprincipen (9 § första stycket d PUL)37 och övriga bestämmelser i PUL.38 Detta har klarlagts genom 8 § första stycket PUL. En myndighet kan följaktligen i en situation då enskild med stöd av tryckfrihetsförordningens bestämmelser begär allmänna handlingar inte vägra att lämna ut personuppgifter med stöd av 21 kap. 7 § OSL därför att utlämnandet eller den efterföljande behandlingen skulle vara oförenligt med det ändamål för vilket uppgifterna samlades in. Vid tillämpningen av sekretessbestämmelsen ska man alltså bortse från myndighetens ursprungliga ändamål med bestämmelsen.
37 Med finalitetsprincipen avses det som anges i 9 § första stycket d PUL, dvs. att personuppgifter inte får behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in. 38 Prop. 1997/98:44, s. 43–48.
39 Prop. 1979/80:2, Del A, s. 80 f.
40 Prop. 1973:33, s. 140.
41 Prop. 1979/80:2, Del A, s. 81 f.
5.8 Ny dataskyddsförordning
I april antog Europaparlamentet respektive EU:s ministerråd förordningen om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG42, fortsättningsvis benämnd dataskyddsförordningen. Förordningen har således antagits, men träder i kraft först den 25 maj 2018.
Förhoppningen är att förordningen ska undanröja den fragmentariska dataskyddsreglering som nu finns inom EU, vilket ska resultera i förenklingar för företagen och en starkare ställning för den enskildes rätt till skydd för sina personuppgifter.
Personuppgiftslagen kommer att upphöra. I vissa delar ger dock förordningen utrymme för medlemsländerna att meddela mer preciserade bestämmelser i nationell lagstiftning. Svenska regler som rör persondataskydd kan därför komma att finnas även i fortsättningen på vissa områden, t.ex. hälso- och sjukvården.
Regeringen har tillsatt en statlig utredning som ska undersöka vilka kompletterande nationella föreskrifter som krävs i en generell nationell reglering.43 Uppdraget ska redovisas senast den 12 maj 2017.
Förordningen innehåller en rad nyheter jämfört med dataskyddsdirektivet, bl.a. följande.
• Tydligare rättigheter för enskilda, t.ex. rätten att begära att personuppgifter
xxxxxxx, rätten att få åtkomst till sina personuppgifter för att föra över dem till en annan leverantör av elektroniska tjänster för kommunikation.
• Tydligare regler om ansvar hos de som behandlar personuppgifter, främst
personuppgiftsansvariga men också personuppgiftsbiträden.
42 Förordningen (EU) 2016/679 av den 27 april 2016.
43 Dir. 2016:15.
• Krav på persondatakonsekvensbedömningar avseende persondataskyddet (Data Protection Impact Assesments), inbyggda dataskyddsgarantier (Privacy by Design) samt skyldighet att anmäla eventuella incidenter till tillsynsmyndigheten.
• Strängare sanktioner införs. För brott av normalgraden, t.ex. brister i
information som lämnats till den enskilde, kan bötesbeloppet uppgå till EUR 10 000 000 dock maximalt 2 procent av företagets årsomsättning. För grövre brott, t.ex. behandling av personuppgifter utan laglig grund, kan bötesbeloppet uppgå till EUR 20 000 000, dock maximalt 4 procent av företagets årsomsättning. Utöver böter kan även skadestånd till den enskilde aktualiseras. I nuläget är det oklart om svenska myndigheter ska omfattas av sanktionsavgifterna.
6 Laglighetsprövning av realtidsregister
I följande avsnitt behandlas frågan i vilken utsträckning och på vilket sätt realtidsregiser får införas inom cancerområdet. En modell för realtidsregister presenteras.
6.1 Individuppgifter i kvalitetsregister får inte användas för individnära vård hos en vårdgivare
Som framhållits i avsnitt 4 får inte kvalitetsregister enligt Datainspektionen användas för individnära vård och behandling utan patientens samtycke. Förarbetena till patientdatalagen (2008:355; PDL) är inte helt tydlig på den punkten. Många kvalitetsregister, långt före PDL:s tillkomst, har använt kvalitetsregister i den operativa sjukvården inom främst den specialiserade sjukvården.
Patientdatautredningen skriver att ”[o]fta har kvalitetsregistren direkt patientnytta i det att de används som underlag vid beslut om behandlingsmetod för den enskilda patienten.”44
I propositionen till PDL (prop. 2007/08:126 s. 180) anför regeringen följande av betydelse i sammanhanget. ”Av hänsyn till enskildas personliga integritet bör dock inga andra ändamål vara tillåtna. Det innebär att det inte är tillåtet att behandla personuppgifterna för andra ändamål även om dessa inte är oförenliga med det ändamål för vilket uppgifterna har samlats in, dvs. kvalitetssäkring.
Personuppgiftslagens finalitetsprincip gäller alltså inte vid behandling av personuppgifter i nationella eller regionala kvalitetsregister”.
44 SOU 2006:82 s. 429.
Fig 1. Individuppgifter i ett Nationellt Kvalitetsregister får inte användas för vård av enskilda patienter
6.2 Journalsystem och patientmötet får bidra med uppgifter till ett realtidsregister
Med realtidsregister avses i denna laglighetsprövning ett register som tillämpar medicinsk kunskap och strukturerade uppgifter för att generera rekommendationer om vård och behandling för en individ vid ett vårdtillfälle. Sådana register benämns även beslutsstöd eller patientöversikt.
I princip är ett realtidsregister ett patientadministrativt system (PAS) som innehåller den kategori av uppgifter som benämns vårddokumentation. PDL saknar en definition för vårddokumentation. Utredningen om rätt information i vård och omsorg (SOU 2014:23) såg ett värde i att definiera begreppet eftersom det utgjorde ett viktigt rekvisit för utredningens förslag om direktåtkomst inom en huvudmans område samt sammanhållen journalföring i dagens reglering.
§ PDL), bestämmelsen om vilka personuppgifter som en patient får spärra inom en vårdgivares verksamhet (4 kap. 4 § PDL), bestämmelsen om vilka uppgifter som en vårdgivare får ta del av genom sammanhållen journalföring (6 kap. 1 § PDL) och bestämmelsen om utlämnande genom direktåtkomst till enskilda (5 kap. 5 § PDL).
Som nämns i avsnitt 5.4.2 får uppgifterna i realtidsregistret, som ursprunglogen samlats in för kanske enskild vård, även användas av vårdgivaren för sekundära ändamål, t.ex. sambearbetning av uppgifter om patienten från olika delar i vårdgivarens organisation för syftet systematisk kvalitetssäkring, uppföljning eller utvärdering. Denna ”crossover” av användning av patientuppgifter för olika ändamål är fullt tillåten inom en vårdgivares verksamhet och kräver inte patientens samtycke.
Fig. 2 Journalsystem och patientmötet får bidra med uppgifter till ett realtidsregister.
6.3 Nationella kvalitetsregister kan bidra med statistik och jämförelsetal
Ett syfte med ett realtidsregister är att det ska erbjuda ett kvalificerat stöd för diagnoser och åtgärder baserat på statistiska mönster och forskning om olika sjukdomstillstånd. Det kan göras genom olika algoritmer. En algoritm är inom matematiken och datavetenskapen en begränsad uppsättning väldefinierade instruktioner för att lösa en uppgift utifrån givna utgångstillstånd inom ett ändligt antal steg. Algoritmerna i sin tur är härledd från kunskap om sjukdomar m.m. Det är algoritmerna som förser realtidsregistret, dvs. den applikation som en läkare är tänkt att använda, med dess ”intelligens”.
Ett realtidsregister kan också tänkas t.ex. kommunicera med andra PAS och
kunskapsdatabaser vid beslutstillfället. Xxxxx hindrar att t.ex. algoritmer och andra data finns i en databas som realtidsregistret kommunicerar med. Inget hindrar heller att realtidsregistret tar del av patientens sjukdomshistorik inom vårdgivarens verksamhet i olika PAS som ett underlag för en prognos eller prediktion, såvida inte patienten uttryckligen har spärrat uppgifter i någon källa som innehåller individrelaterad vårddokumentation. I sådant fall måste läkaren inhämta patientens samtycke för att låta realtidsregistret kommunicera eller hämta relevanta uppgifter från källan.
Samtycke kan emellertid lämnas på förhand om vårdprocessen och däri ingående vårdgivare är tydligt definierade, se avsnitt 6.6.5.
överenskommelse mellan CPUA för kvalitetsregistret och aktuell vårdgivare eftersom det är CPUA som förfogar över efterfrågade uppgifter.
Fig 3. Nationella kvalitetsregister kan försörja ett realtidsregister med statistik och jämförelsetal.
I avsnitt 2.1 berörs systemet med regionala (lokala) cancerregister. Inget hindrar givetvis att sådana register hos varje landsting försörjer realtidsregistret med cancerrelaterade uppgifter.
Fig 4. De regionala (lokala) cancerregistren i varje landsting och region kan också försörja ett realtidsregister med uppgifter.
6.4 Realtidsregistret kan förse journalsystemet och kvalitetsregistret med uppgifter samtidigt
Ett realtidsregister kan även förse ett Nationellt kvalitetsregister med uppgifter, liksom ett journalsystem eller regionala (lokala) cancerregister på helt eller delvis automatiserat sätt.
Fig. 5. Realtidsregistret kan försörja både journalsystem och kvalitetsregister med uppgifter från verksamheten. Även försörja landstings regionala cancerregister.
6.5 Allt kan byggas samman i ett system – kvalitetsregistret måste dock särskiljas
Inget hindrar att journalsystem, stödsystem och realtidsregister inom en vårdgivares verksamhet integreras i ett system eller på en gemensam tjänsteplattform. Även ett Nationellt kvalitetsregister kan hysas på samma tjänsteplattform eller i samma systemmiljö. Kvalitetsregistret måste dock logiskt separeras från vårdgivarens övriga PAS inklusive realtidsregister. Det beror på att huvudmannen för kvalitetsregistret är någon annan än vårdgivaren, t.ex. ett landsting. Även om vårdgivaren tillika är huvudman för kvalitetsregistret, eller CPUA, så ska kvalitetsregistret vara logiskt separerat från vårdgivaren system som används i kärnverksamheten. Skälet är att kvalitetsregistren torde betraktas som en sådan självständig verksamhet som avses i 8 kap. 2 § OSL46 Vårdgivaren har här en annan roll, nämligen att förvalta ett Nationellt kvalitetsregister som regleras av helt andra bestämmelser än som normalt råder för personuppgiftsbehandlingen i verksamheten och vars uppgifter härrör från flera olika vårdgivare.
Logisk separation kan innebära att ett register utgör en egen säkerhetsdomän med
egna behörighetsregler och inre sekretess. Det utesluter givetvis inte att ett sådant register hanteras på samma tjänsteplattform som andra register, som tillhör andra självständiga verksamheter eller organisationer.
Fig. 6. Allt kan byggas samman i ett system eller i en gemensam systemmiljö, men kvalitetsregistret måste logiskt separeras från övriga register inom en vårdgivares verksamhet. Landsting har därutöver regionala (lokala) cancerregister, se avsnitt 2.1.
46 8 kap. 2 § OSL: ”Vad som föreskrivs om sekretess mot andra myndigheter i 1 § och vad som föreskrivs i andra bestämmelser i denna lag om uppgiftslämnande till andra myndigheter och överföring av sekretess mellan myndigheter, gäller också mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra.”
6.6 Realtidsregister kan fungera som en patientöversikt
Som framhållits är ett realtidsregister ett PAS, precis som andra system som hyser journaldokumentation eller annan dokumentation som är föranledd av administration i samband med individnära vård och behandling. Det innebär att bestämmelserna om sammanhållen journalföring är applicerbara på ett realtidsregister. Två eller flera vårdgivare kan således ta del av varandras realtidsregister avseende en och samma patient. Det kan dock enbart ske under vissa villkor.
Fig. 7. Realtidsregister kan få ingå i ett system för en sammanhållen journalföring mellan flera vårdgivare.
6.6.1 Sammanhållen journalföring
Sammanhållen journalföring innebär att vårdgivare under vissa förutsättningar kan få direktåtkomst till varandras elektroniska journalhandlingar och andra personuppgifter som behandlas för ändamål som rör vården av en patient eller utfärdande av intyg om vården (6 kap. PDL).
6.6.2 Information om sammanhållen journalföring till patienten
Det krävs inget aktivt samtycke från patienten för att uppgifterna ska finnas tillgängliga i systemet för sammanhållen journalföring. Innan uppgifter om en patient görs tillgängliga för andra vårdgivare genom sammanhållen journalföring ska patienten informeras om vad den sammanhållna journalföringen innebär. Patienten ska också få information om att han eller hon kan neka till att uppgifterna blir tillgängliga på det sättet (6 kap. 2 § tredje stycket PDL). Denna information måste lämnas innan uppgifter om en patient kan bli tillgängliga för andra.
Det finns inga generella regler för hur denna information ska lämnas, utan i förarbetena förutsätts det att hälso- och sjukvårdens aktörer hittar lämpliga former som är väl avvägda och anpassade till olika verksamhetsområden.49 Information kan alltså lämnas skriftligen eller muntligen. Det är dock viktigt att den personuppgiftsansvarige utarbetar rutiner för hur informationsskyldigheten ska fullgöras. Säkra rutiner ligger i den personuppgiftsansvariges eget intresse, eftersom denne – då det gäller information till en registrerad vid personuppgiftsbehandling – anses ha bevisbördan för att obligatorisk information faktiskt har lämnats till patienten. Vidare är det inte är nödvändigt att informationen lämnas vid varje kontakttillfälle med en patient, under förutsättning att inget tvivel råder om att patienten är införstådd med vad den sammanhållna journalföringen innebär.
47 Prop. 2007/08:126 s. 105 ff.
48 Ib. s. 105 ff.
49 Ib. s. 113.
journalföringen innebär” (beslut 2010-06-29, dnr 1390–2009 s. 8). I samma beslut uppger inspektionen att en vårdgivare ska ”lämna information om vilka vårdgivare som kommer att ha tillgång till uppgifter [i den sammanhållna journalföringen], vilka uppgifter det rör samt om varje patients rätt att motsätta sig detta”. Vidare anför
inspektionen att informationen ska vara ”tydlig och riktad”. Slutligen menar
Datainspektionen i beslutet att informationskravet bl.a. innebär att ”en vårdgivare behöver lämna ny, kompletterande, information till patienterna för det fall att den sammanhållna journalföringen förändrats sedan den ursprungliga informationen lämnades. Som exempel kan nämnas att nya vårdgivare anslutit sig till den sammanhållna journalföringen och därmed fått möjlighet att ta del av
patientuppgifterna.”
Socialstyrelsen rekommenderar i sin handbok till HSLF-FS 2016:40 att patienten informeras om
• vad sammanhållen journalföring är,
• vilka vårdgivare som ingår,
• ändamålet med den sammanhållna journalföringen,
• vilka möjligheter som finns att spärra information, och
• hur spärrarna får hävas.
PDL innehåller numera särskilda bestämmelser om behandling av
personuppgifter i sammanhållen journalföring med avseende på vuxna personer med varaktigt nedsatt beslutsförmåga. Någon informationsskyldighet föreligger inte i dessa fall utan behandlingen är tillåten om den uppfyller vissa kriterier. Se 6 kap. 2 a
§ och 3 a § PDL.
Det finns inte i lagen några särskilda regler om hur barn och ungdomar ska informeras. Huruvida informationen ska lämnas till en ställföreträdare är ytterst en lämplighetsfråga som får lösas med hänsyn till bl.a. den unges ålder och utveckling.50 Vid varje vårdepisod ska patienten få en möjlighet att motsätta sig att uppgifterna görs tillgängliga för utomstående vårdgivare. Det innebär dock inte att den enskilde får en rätt att motsätta sig att uppgifter journalförs eller annars dokumenteras i det elektroniska system som vårdgivaren använder. Det innebär bara att uppgiften på den enskildes begäran spärras för tillgänglighet för hälso- och sjukvårdspersonal m.fl. hos andra vårdgivare. En sådan spärr får endast hävas av patienten själv eller vid en akut nödsituation.51
6.6.3 Åtkomst till ospärrade uppgifter vid sammanhållen journalföring
Åtkomst till uppgifter on en patient hos en annan vårdgivare sker således genom direktåtkomst. Kraven för åtkomst skiljer sig åt beroende på om användaren söker åtkomst inom samma vårdgivares verksamhet eller om det gäller åtkomst hos en annan vårdgivare, dvs. genom sammanhållen journalföring. En användare ska kunna se i systemet om det finns ospärrade uppgifter om en patient hos en annan vårdgivare, men inte hos vilken.
50 Prop. 2007/08:126 s. 250.
51 Ib. s. 112.
Vårdgivaren får även behandla de uppgifter som gjorts tillgängliga, om vårdgivaren bedömer att dessa kan antas ha betydelse för den vård som är nödvändig med hänsyn till patientens hälsotillstånd, patientens inställning till sådan personupp- giftsbehandling så långt som möjligt klarlagts, och det inte finns anledning att anta att patienten skulle ha motsatt sig personuppgiftsbehandlingen.
Om kraven enligt PDL:s bestämmelser är uppfyllda måste behörig användare därefter göra ett aktivt val för att gå vidare. Det aktiva valet fungerar som en tröskel i systemet där användaren aktivt måste ta ställning till om han eller hon har rätt att ta del av ytterligare patientuppgifter, innan användaren går vidare i systemet och får tillgång till uppgifterna. Ett aktivt val för åtkomst bekräftar att användaren har tagit ställning till om situationen uppfyller de angivna kraven i 6 kap. PDL. Om kraven är uppfyllda får användaren ta del av uppgifter i ett journalsystem på det sätt som också beskrivs i 6 kap. PDL.
Det krävs ett aktivt samtycke från patienten för att en annan vårdgivare ska få använda ospärrade uppgifter om en patient som finns tillgängliga genom sammanhållen journalföring. Det ska vara ett sådant samtycke som avses i personuppgiftslagen (1998:204; PUL), det vill säga vara frivilligt, särskilt och otvetydigt.
52 Prop. 2007/08:126 s. 117.
Kravet på ett frivilligt samtycke innebär att patienten verkligen ska ha ett val.
PUL anger vidare att samtycket ska vara särskilt, vilket betyder att en patient inte kan lämna ett generellt samtycke till personuppgiftsbehandling som inte är preciserad till något eller några ändamål. Slutligen ska samtycket vara otvetydigt, vilket anses innebära att det inte får råda någon tvekan om att patienten godtar personuppgiftsbehandlingen.
6.7 Förslag på hur en modell för realtidsregister kopplat till kvalitetsregister inom cancerområdet
Enligt uppdragsbeskrivningen (avsnitt 2.4) ska laglighetsprövningen resultera i en modell för hur en modell för realtidsregister kopplat till kvalitetsregister kan utformas för att uppfylla lagens krav inklusive
a. inbördes beroenden mellan realtidsregister och kvalitetsregister avseende informationsöverföring
b. databasernas konstruktion (separata eller sammanbyggda)
e. medicintekniska regelverket.
6.7.1 Inbördes beroenden mellan realtidsregister och kvalitetsregister
Inbördes beroenden mellan realtidsregister och Nationella Kvalitetsregister redovisas i avsnitten 6.3 – 6.5.
6.7.2 Databasernas konstruktion
Målet med förstudien Införande av realtidsregister inom cancervården är att alla 30- talet cancerregister ska ha ”egna” realtidsregister, dvs. ett för varje cancerdiagnos. Det skulle innebära att varje vårdgivare förfogar över ett realtidsregister som rymmer beslutsstöd för ett flertal diagnoser. Det behöver inte skapas 30 realtidsregister hos varje vårdgivare utan ett informationssystem som kan hantera på ett strukturerat sätt och för varje enskild patient för olika cancerdiagnoser.
Fig. 8. Realtidsregister hos en vårdgivare kan rymma flertalet cancerdiagnoser.
En lämplig lösning är att realtidsregister för varje vårdgivare driftas på INCA- plattformen i form av en central e-tjänst, där både kvalitetsregistren för cancerområdet och de regionala (lokala) cancerregistren förvaltas. Det torde finnas flera fördelar att hysa både kvalitetsregistren, de regionala cancerregistren och varje vårdgivares realtidsregister på den plattformen. Inte minst torde det vara kostnadseffektivare än att varje vårdgivare skapar och driftar egna realtidsregister.
de är knutna till att förvalta de lokala cancerregistren, och att varje RCC i sin tur tecknar avtal med RCC Väst (Västra Götalandsregionen) om den tekniska driften av registren. Ett motsvarande arbete bedrivs också beträffande de Nationella Kvalitetsregistren inom cancerområdet och med samma aktörer och personuppgiftsbiträdeskedja.
En tänkbar lösning är att utvidga respektive RCC:s uppdrag att förvalta inte bara regionala (lokala) cancerregister och Nationella Kvalitetsregister åt varje landsting eller region utan också realtidsregister. RCC Väst:s uppdrag att på landstingens och regionernas vägnar tekniskt drifta bådelokala cancerregister och kvalitetsregister behöver också utökas till att även omfatta realtidsregister.
Fig. 9. Avtalsmodell för personuppgiftsbehandlingen av de regionala (lokala) cancerregistren, realtidsregistren och kvalitetsregistren som varje landsting, region och CPUA-myndighet disponerar över på INCA-plattformen.
I likhet med de regionala (lokala) cancerregistren och de Nationella Kvalitetsregistren inom cancerområdet, måste sekretessgränser mellan organisationerna, t.ex. mellan varje landsting och region, upprätthållas på systemnivå beträffande realtidsregistren. Det är ett huvudsakligt ansvar för RCC Väst, Sogeti och ITS, men det är fördelaktigt om RCC i samverkan säkerställer att logisk separation sker mellan respektive landstings/regions realtidsregister.
Inera agerar då i rollen som underbiträde på samma sätt som Sogeti/ITS agerar underbiträde åt RCC Väst. Antingen tecknar landstingen eller regionerna ett sådant avtal med Inera, eller så ger de varje RCC en rätt att i sin tur överlåta på RCC Väst en rätt att anlita Inera som underbiträde. Det senare är enklare eftersom bara ett avtal behöver tecknas mellan RCC Väst och Inera.
Fig. 10. Om kvalitetsregister och realtidsregister ska rymmas på INCA-plattformen, bör RCC vinnlägga sig om att säkerställa att sekretess- och organisationsgränser mellan berörda juridiska personer – CPUA respektive olika vårdgivare – logiskt beaktas på plattformen. Observera att bestämmelser om inre sekretess och spärrar i PDL gäller inom en vårdgivares verksamhet, inklusive realtidsregister.
6.8 Informationsåtkomst och behörighetshantering
6.8.1 Styrning av behörigheter
1 § Bestämmelser om vårdgivarens ansvar för tilldelning och begränsning av behörigheter för åtkomst till uppgifter om patienter finns i 4 kap. 2 § och 6 kap. 7 § PDL.
6.8.2 Inre sekretess inom en vårdgivares verksamhet
Realtidsregister är tänkta att användas i enskilda vårdsituationer. Det innebär att dessa register ska ha samma funktionalitet för att iaktta inre sekretess som journalsystem och andras PAS.
• deltar i vården av patienten eller
• av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.
6.8.3 Styrning av behörigheter
Enligt Socialstyrelsens föreskrifter HSLF-FS 2016:40 ska vårdgivaren ansvara för att varje användare tilldelas en individuell behörighet för åtkomst till personuppgifter.
Vårdgivarens beslut om tilldelning av behörighet ska föregås av en behovs- och riskanalys.
Vårdgivaren ansvarar alltså för att alla användare har en individuell behörighet. Det innebär bland annat att endast personliga inloggningar är tillåtna och att inga så kallade gruppkonton får förekomma. En användares behörighet behöver vara anpassad till hans eller hennes arbetsuppgifter. Vårdgivaren ansvarar också för att användarna tilldelas rätt behörighet, det vill säga tillräckligt för att de ska kunna utföra sina arbetsuppgifter på ett säkert sätt men samtidigt inte mer omfattande än vad som är nödvändigt.
6.8.4 Behovs- och riskanalys
55 Prop. 2007/08:126 s. 149.
6.8.5 Styrning av behörigheter
Enligt Socialstyrelsens föreskrifter (HSLF-FS 2016:40) ska vårdgivaren ska ta fram rutiner för ändring, borttagning och regelbunden uppföljning av behörigheterna för att säkerställa att dessa är riktiga och aktuella.
56 Ib. s. 149.
57 Ib. s. 149.
6.8.6 Åtkomst till uppgifter inom en vårdgivares verksamhet
Vårdgivaren ska enligt Socialstyrelsens föreskrifter HSLF-FS 2016:40ansvara för att information om på vilka andra vårdenheter eller i vilka andra vårdprocesser det finns uppgifter om en viss patient inte kan göras tillgänglig utan att den behörige användaren gör ett ställningstagande till om han eller hon har rätt att ta del av denna information (aktivt val). Inom en och samma vårdgivares verksamhet ska en användare alltså kunna se i informationssystemet om det finns personuppgifter hos en annan vårdenhet eller i en annan vårdprocess, men inte vilken vårdenhet eller vårdprocess. Uppgifterna får sedan inte göras tillgängliga utan att den behörige användaren gör ytterligare ett aktivt val.
6.8.7 Förutsättningar för att häva en spärr
En spärr får som nämnts under vissa förutsättningar hävas av en behörig befattningshavare vid någon annan vårdenhet eller i en annan vårdprocess (4 kap. 5 § PDL), exempelvis akutmottagningen. En förutsättning är att informationen kan antas ha betydelse för den vård eller behandling som patienten oundgängligen behöver. En annan förutsättning är att patienten inte kan ge sitt samtycke, T.ex. om han eller hon är medvetslös eller alltför medtagen för att kunna ta ställning till frågan. Vidare kan det vara så bråttom att samtycke inte hinner inhämtas. Om patienten i ett sådant läge är oundgängligen i behov av vård eller behandling, får alltså spärren hävas av någon behörig befattningshavare vid en annan vårdenhet eller vårdprocess.
Enligt förarbetena ska det i princip vara fråga om en allvarlig akutsituation, då patienten på grund av sitt hälsotillstånd eller andra skäl inte kan ta ställning till samtyckesfrågan och då uppgifterna bedöms vara av vital betydelse för de vård- eller behandlingsinsatser som omgående måste sättas in.58 Med tanke på patientsäkerheten ska det alltså inte vara möjligt att avvakta en tid för att han eller hon ska kunna lämna sitt samtycke. Om patienten i denna situation håller fast vid en spärr och alltså motsätter sig att någon utanför vårdenheten eller vårdprocessen tar del av uppgifterna måste personalen respektera det beslutet, hur ogrundat eller irrationellt det än kan tyckas vara.59
6.9 Medicintekniska regelverket
RCC Uppsala-Örebro önskar en preliminär juridisk bedömning huruvida realtidsregister kvalificerar sig som en medicinteknisk produkt enligt lagen (1993:584) om medicintekniska produkter. Utgångsläget vid en kvalificering är det avsedda syftet i definitionen av vad som avses med en medicinteknisk produkt i 2 § i lagen. Med en medicinteknisk produkt avses en produkt som enligt tillverkarens uppgift ska användas, separat eller i kombination med annat, för att hos människor
• påvisa, förebygga, övervaka, behandla eller lindra en sjukdom,
58 Prop. 2007/08:126 s. 243.
59 Prop. 2007/08:126 s. 243.
• påvisa, övervaka, behandla, lindra eller kompensera en skada eller en funktionsnedsättning.
• undersöka, ändra eller ersätta anatomin eller en fysiologisk process eller
• kontrollera befruktning.
I det följande lämnas en utförligare redovisning av gällande rätt för medicintekniska produkter. Därefter övervägs om realtidsregister kvalificerar sig som en medicinteknisk produkt enligt det medicintekniska regelverket.
6.9.1 Medicintekniska produkter
Av 2 e § hälso- och sjukvårdslagen framgår att där det bedrivs hälso- och sjukvård ska det bl.a. finnas den utrustning som behövs för att god vård ska kunna ges. Den medicinska miljön ställer särskilda säkerhetskrav på utrustning, apparater, engångsartiklar, instrument, informationssystem m.m. Det beror på att hälso- och sjukvård är en högriskverksamhet som kan få fatala konsekvenser om t.ex. utrustning
m.x. xxxxxxxx. Högkvalitativa komponenter, säkra handhavandegrepp, reservsystem och hygienisk design är några signifikativa egenskaper för produkter som ska användas för medicinska syften. De flesta produkter som används inom hälso- och sjukvården är därför medicintekniska produkter. Bestämmelser om säkerhet för produkter som är avsedda för medicinska tillämpningar finns i lagen om medicintekniska produkter. Ytterligare bestämmelser finns i förordningen (1993:876) om medicintekniska produkter liksom i Läkemedelsverkets författningssamling, bl.a. Läkemedelsverkets föreskrifter (LVFS 2003:11) om medicintekniska produkter.
Definitionen av en medicinteknisk produkt omfattar ett mycket brett område med produkter som är avsedda att användas inom alla delar av hälso- och sjukvården.
Begreppet täcker allt från små enkla produkter till stora avancerade system. I det senaste ändringsdirektivet (2007/47/EG) av bl.a. det europeiska medicintekniska direktivet (93/42/EEG), som trädde i kraft den 21 mars 2010, finns ett förtydligande att regelverket även omfattar s.k. fristående programvaror och att dessa kan vara medicintekniska produkter.61 Läkemedelsverket har publicerat en vägledning för medicinska informationssystem62 för att hjälpa tillverkare, myndigheter, vårdgivare och andra intressenter att avgöra om en fristående programvara är en medicinteknisk produkt och, om så är fallet, i vilken riskklass.
60 Direktiv 90/385/EEG om aktiva medicintekniska produkter för implantation (AIMDD), direktiv 93/42/EEG om medicintekniska produkter (MDD) och direktiv 98/79/EG om medicintekniska produkter för in vitro-diagnostik (IVDD). Vidare tillkommer ett ändringsdirektiv, 2007/47/EG.
61 EU-kommissionen har emellertid i januari 2012 beslutat en vägledning (Guidance Document) för fristående programvaror i hälso- och sjukvård med beteckningen MEDDEV 2.1/6. Dokumentet finns att hämta på xxxx://xx.xxxxxx.xx/xxxxxx/xxxxxxx-xxxxxxx/xxxxxxxxx/xxxxxxxxxx/xxxxx_xx.xxx.
62 Läkemedelsverket, Medicinska informationssystem – vägledning för kvalificering och klassificering av programvaror med medicinskt syfte, 2012.
Avgörande för huruvida en produkt är en medicinteknisk produkt är tillverkarens syfte och verkningsmekanismen med produkten, inte konstruktionen eller användaren. Det innebär att en produkt inte kvalificerar sig som en medicinteknisk produkt bara genom hur den är benämnd. Det är tillverkaren som ansvarar enligt det medicintekniska regelverket för att definiera avsett ändamål med produkten. En medicinteknisk produkt ska ha ett medicinskt syfte. Det har den om tillverkaren har specificerat och beskrivit produkten så att den kan anses ha något eller några av de syften som beskrivs i definitionen i 2 § i lagen om medicintekniska produkter. Det centrala är alltså om avsett ändamål inbegriper den patientnytta som avses i regelverket. Det som avgör om t.ex. ett journalsystem är en medicinteknisk produkt är om tillverkarens avsedda användning med systemet faller under definitionen av en medicinteknisk produkt.63 Finns ett medicinskt syfte med produkten talar det för att det är en medicinteknisk produkt. En tillverkare kan också välja att dela upp systemet i moduler med eller utan medicinskt syfte och bara CE-märka de moduler som har ett medicinskt syfte.
• En definierad avsedd användning
• Fastställda och redovisade specifikationer
• En ansvarig tillverkare som ger förutsättningar för en tydlig överlämning
• En reglerad ”Post Market”-uppföljning.
63 Ib. s. 8.
64 I direktiv 93/42/EEG delas produkterna in i fyra riskklasser: klass I (låg risk, t.ex. plåster och glasögon), klass IIa (medellåg risk, t.ex. tandfyllningsmaterial), klass IIB (medelhög risk, t.ex. röntgenapparater) och klass III (hög risk, t.ex. hjärtklaffar och bröstimplantat).
Socialstyrelsen möjlighet att meddela föreskrifter ”om de medicintekniska produkter som tillverkas inom hälso- och sjukvården samt tandvården och som endast ska användas i den egna verksamheten”.
Den avgörande frågan om realtidsregister kvalificerar sig som en medicinteknisk produkt eller inte är om tjänsten har ett uttalat medicinskt syfte. I Läkemedelsverkets vägledning för kvalificering och klassificering av programvaror med medicinskt syfte (2012) uppehåller sig myndigheten vid beslutsstödsystem i hälso- och sjukvården (”Clinical Information System/Patient Data Management Systems”; s.
65 Se ISO 13485:2003 Medicintekniska produkter – Ledningssystem för kvalitet – Krav för regulatoriska ändamål. Lagen om medicintekniska produkter ställer krav på att tillverkaren ska ha ett godkänt kvalitetsledningssystem. Denna standard har tagits fram för att hjälpa tillverkare att uppfylla det kravet.
66 Läkemedelsverket, Medicinska informationssystem – vägledning för kvalificering och klassificering av programvaror med medicinskt syfte, 2012 s. 20.
Läkemedelsverket menar därför att det finns uppenbara risker för felbehandling om kliniska beslutsstödsystem inte fungerar tillfredsställande och i enlighet med avsedd användning.
6.9.3 Läkemedelsverkets föreskrifter om nationella medicinska informationssystem
Den 1 juli 2014 trädde Läkemedelsverkets föreskrifter (LVFS 2014:7) om nationella medicinska informationssystem i kraft. Föreskrifterna reglerar program men inte dess data eller information. Bakgrunden till föreskrifterna är att de nationella e-tjänsterna som utvecklas och förvaltas av Inera AB och eHälsomyndigheten har samma riskbild
som medicintekniska produkter, men har inte stått under Läkemedelsverkets tillsyn, t.ex. Nationell patientöversikt (NPÖ), Receptexpeditionssystem, Nationellt ordinationsstöd (NOD) och system för dosläkemedel (Pascal). Dessa system är ”egenutvecklade” och är inte släppta på marknaden. Därav föreskrifterna. Nu står även dessa program under Läkemedelsverkets tillsyn och kontrolleras enligt det regelverk som gäller för medicintekniska produkter. De ska dock inte CE-märkas.
Med medicinska informationssystem avses i föreskrifterna följande.
7 Överväganden enligt allmänna dataskyddsförordningen
Den 27 april 2016 antog Europaparlament och Europeiska unionens råd förordningen (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (dataskyddsförordningen). En närmare redogörelse för förordningen finns i avsnitt 5.8.
Ett par reformer bör dock uppmärksammas som har bäring på det planerade samarbetet.
7.1 Sanktionsavgifter
Dataskyddsförordningen innehåller bestämmelser om att tillsynsmyndigheterna ska besluta om administrativa sanktionsavgifter vid överträdelser av förordningens bestämmelser. I artikel 79 finns en detaljerad reglering av vilka faktorer som ska beaktas vid beslut om att utfärda sanktionsavgifter och bestämmande av avgiftens storlek. Kraven på ett effektivt rättsmedel i artikel 79.4 ska för svensk del tillgodoses genom att tillsynsmyndighetens beslut om sanktionsavgifter får överklagas till allmän förvaltningsdomstol.
Enligt artikel 79.3b får varje medlemsstat reglera om och i vilken utsträckning det ska vara möjligt att besluta om sanktionsavgifter mot myndigheter och offentliga organ i den medlemsstaten. Det är således oklart i nuläget om myndigheter, t.ex. kommunala nämnder, ska omfattas av sanktionsavgifterna. En statlig utredning (dir 2016:15) har därför fått i uppdrag att bl.a. analysera om, och i så fall i vilken utsträckning, det bör vara möjligt att besluta om sanktionsavgifter inom den offentliga sektorn. Här ska en jämförelse göras med vad som gäller för t.ex. viten i allmänhet, miljösanktionsavgifter och sanktionsavgifter på arbetsmiljöområdet.
7.2 Om opt-out i kvalitetsregister
Personuppgifter får enligt 7 kap. 2 § patientdatalagen (2008:335; PDL) inte behandlas i ett nationellt eller regionalt kvalitetsregister, om den enskilde motsätter sig det. Om den enskilde motsätter sig behandlingen av personuppgifter sedan den påbörjats, ska uppgifterna utplånas ur registret så snart som möjligt. I 7 kap. 2 a § finns det ett undantag för personer som saknar förmåga att ta ställning.
Enligt dataskyddsförordningen har den registrerade enligt artikel 21.1 i av skäl som hänför sig till hans eller hennes specifika situation, rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e, dvs. behandling som är nödvändig för att utföra en uppgift av allmänt intresse. Stora delar av den behandling av personuppgifter som görs enligt PDL görs för att fullgöra en rättslig förpliktelse. Vid behandling som sker med stöd av den rättsliga grunden har den registrerade enligt dataskyddsförordningen inte någon rätt att göra invändningar.
67 Datainspektionens rapport 2002:1s. 9.
kvalitetsregister tillkom eftersom lagstiftaren ville skapa förutsättningar för förbättring av vården och patientsäkerheten även för personer med nedsatt beslutsförmåga och för att inte dessa patienter skulle behöva riskera sämre vård än andra patienter. Bestämmelsen har utformats med beaktande av regleringen måste tillgodose det grundläggande behovet av integritetsskydd även för dessa personer.
Medlemsstaterna har tillåtits att införa mer specifika bestämmelser enligt artikel
6.2 och 6.3 dataskyddsförordningen. Bestämmelserna om opt-out i 7 kap. PDL bedöms förenliga med dataskyddsförordningen och skulle kunna därför behållas. Den och andra frågor utreds av en statlig utredning, Socialdataskyddsutredningen, och besked om i vilken utsträckning nuvarande regler om kvalitetsregister kan behållas lämnas i augusti 2017. Sannolikheten att större delen av regleringen av PDL kan behållas är stor, men än så länge är frågan oklar.
På uppdrag av RCC Uppsala-Örebro
1 Några centrala begrepp i utredningen
I det följande lämnas en redogörelse för några centrala begrepp i utredningen samt gällande rätt för aktuella frågeställningar.
1.1 Behandling
Med behandling av personuppgifter varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstörelse.
1.2 Hälso- och sjukvård
Med hälso- och sjukvård avses verksamhet som bedriver hälso- och sjukvård i den mening som avses i hälso- och sjukvårdslagen (2017:40; HSL).
1.3 Personuppgifter
Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet och som behandlas för den personuppgiftsansvariges räkning.
1.4 Personuppgiftsansvarig
Med personuppgiftsansvarig avses enligt personuppgiftslagen (1998:204; PUL) den fysiska eller juridiska person som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Den som är personuppgiftsansvarig är den som är ansvarig för att behandlingen av personuppgifter är lagenlig.
1.5 Personuppgiftsbiträde
Med personuppgiftsbiträde avses den som behandlar personuppgifter för den personuppgiftsansvariges räkning.
1.6 Registrerad
Med registrerad avses den som personuppgiften avser.
1.7 Sekretess
Med sekretess avses bestämmelser i offentlighets- och sekretesslagen (2009:400), förkortad OSL, om förbud att röja uppgifter. Bestämmelserna ska beaktas av statliga och kommunala myndigheter samt aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där en kommun eller ett landsting utövar ett rättsligt bestämmande inflytande. Med sekretess avses förbud att röja uppgift, vare sig detta sker muntligen, genom utlämnande av allmän handling eller på något annat sätt.
1.8 Sekretessbrytande bestämmelse
Med sekretessbrytande bestämmelse avses en bestämmelse som säger att en myndighet får lämna ut en sekretessbelagd uppgift under vissa förutsättningar utan att behöva göra en menprövning eller inhämta ett samtycke från den invånare som uppgiften berör.
1.9 Uppgiftsskyldighet
Med uppgiftsskyldighet avses en bestämmelse som säger att en myndighet ska lämna ut en sekretessbelagd uppgift under vissa förutsättningar utan att behöva göra en menprövning eller inhämta ett samtycke från den invånare som uppgiften berör.