Innehållsförteckning

2.3Förslag till lag om ändring i lagen (2001:499) om

2.4Förslag till lag om ändring i lagen (2002:297) om

7.4Den enskildes inställning till personuppgiftsbehandling..64

8.2Frågan om en obligatorisk sammanhållen helhets-

8.3En obligatorisk sammanhållen journal av mer begränsat

8.4Möjligheter till sammanhållen journalföring över

Prop. 2007/08:126

2

Personer som är skyldiga att föra en patientjournal

3 § Skyldig att föra en patientjournal är

1.den som enligt 3 kap. lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område har legitimation eller särskilt förordnande att utöva visst yrke,

2.den som, utan att ha legitimation för yrket, utför arbetsuppgifter som annars bara ska utföras av logoped, psykolog eller psykoterapeut inom den allmänna hälso- och sjukvården eller utför sådana arbetsuppgifter inom den enskilda hälso- och sjukvården som biträde åt legitimerad yrkesutövare, och

3.den som är verksam som kurator i den allmänna hälso- och sjuk- vården.

Ansvar för uppgifter i en patientjournal

4 § Den som för patientjournal ansvarar för sina uppgifter i journalen.

En patientjournals innehåll

5 § En patientjournal får innehålla endast de uppgifter som behövs för de ändamål som anges i 2 kap. 4 § första stycket 1 och 2.

6 § En patientjournal ska innehålla de uppgifter som behövs för en god och säker vård av patienten.

Om uppgifterna finns tillgängliga, ska en patientjournal alltid innehålla

1.uppgift om patientens identitet,

2.väsentliga uppgifter om bakgrunden till vården,

3.uppgift om ställd diagnos och anledning till mera betydande åtgärder,

4.väsentliga uppgifter om vidtagna och planerade åtgärder, och

5.uppgift om den information som lämnats till patienten och om de ställningstaganden som gjorts i fråga om val av behandlingsalternativ och om möjligheten till en förnyad medicinsk bedömning.

Patientjournalen ska vidare innehålla uppgift om vem som har gjort en viss anteckning i journalen och när anteckningen gjordes.

7 § Utöver vad som föreskrivs i 5 och 6 §§ får en patientjournal innehålla de uppgifter som enligt lag eller annan författning ska antecknas i en patientjournal.

8 § Om patienten anser att en uppgift i patientjournalen är oriktig eller missvisande, ska det antecknas i journalen.

9 § Uppgifter som ska antecknas enligt 6–8 §§ ska föras in i journalen så snart som möjligt.

10 § En journalanteckning ska, om det inte finns något synnerligt hinder, signeras av den som ansvarar för uppgiften.

Prop. 2007/08:126

10

Prop. 2007/08:126

23

Prop. 2007/08:126

24

Sekretess hindrar inte att uppgift om enskilds adress, telefon- nummer och arbetsplats eller upp- gift i form av fotografisk bild av enskild lämnas till en myndighet, om uppgiften behövs där för delgivning enligt delgivningslagen (1970:428). Uppgift hos myndig- het som driver televerksamhet om enskilds telefonnummer får dock, om den enskilde hos myndigheten begärt att abonnemanget skall hållas hemligt och uppgiften om- fattas av sekretess enligt 9 kap. 8 § tredje stycket, lämnas ut endast om den myndighet som begär upp- giften finner att det kan antas att den som söks för delgivning håller sig undan eller att det annars finns

Sekretess hindrar inte att uppgift om enskilds adress, telefon- nummer och arbetsplats eller upp- gift i form av fotografisk bild av enskild lämnas till en myndighet, om uppgiften behövs där för delgivning enligt delgivningslagen (1970:428). Uppgift hos myndig- het som driver televerksamhet om enskilds telefonnummer får dock, om den enskilde hos myndigheten begärt att abonnemanget ska hållas hemligt och uppgiften omfattas av sekretess enligt 9 kap. 8 § tredje stycket, lämnas ut endast om den myndighet som begär uppgiften finner att det kan antas att den som söks för delgivning håller sig undan eller att det annars finns

socialtjänsten under förhållanden som uppenbarligen innebär över- hängande och allvarlig risk för den unges hälsa eller utveckling. Det-

Denna lag träder i kraft den 1 juli 2008.

Prop. 2007/08:126

27

Prop. 2007/08:126

28

Prop. 2007/08:126

29

första stycket gäller i tillämpliga delar 15 kap. 7 § sekretesslagen (1980:100).

Denna lag träder i kraft den 1 juli 2008.

Prop. 2007/08:126

30

Vad som utgör ett vårdregister bestäms i hög grad av vårdregister- lagens ändamålsreglering i kombination med en bestämmelse om vad ett vårdregister får innehålla. Personuppgifter i ett vårdregister får enligt lagen behandlas för dokumentation av vården av patienter eller för sådan administration som rör patienter och som syftar till att bereda vård i enskilda fall. Behandling av personuppgifter får även utföras för den ekonomiadministration som föranleds av vård i enskilda fall (3 §). Endast sådana personuppgifter som behövs för dessa primära ändamål får finnas i ett vårdregister. Vårdregisterlagen reglerar, liksom personuppgiftslagen, bara behandling av uppgifter om levande personer.

Personuppgifter som härrör från det individinriktade vårdarbetet och som har registrerats i ett vårdregister får emellertid även behandlas för framställning av statistik, uppföljning, utvärdering, kvalitetssäkring och administration på verksamhetsområdet och uppgiftsutlämnande som föreskrivs i lag eller förordning (4 §). Dessa ändamål kan sägas vara sekundära. Personuppgiftsbehandling som sker särskilt för något eller flera av dessa sekundära ändamål omfattas dock inte av vård- registerlagens tillämpningsområde. Personuppgiftsbehandling i register eller liknande elektroniska uppgiftssamlingar som inrättats för andra ändamål än vårdregisterlagens primära ändamål – t.ex. kvalitetsregister eller elektroniska system för avvikelserapportering – regleras således bara av personuppgiftslagen.

Ett vårdregister får endast innehålla de uppgifter som enligt lag eller annan författning ska ingå i en patientjournal eller andra uppgifter som antecknas i och för vården av patienter samt uppgifter som behövs för den ekonomiadministration som föranleds av vård i enskilda fall (5 §).

Uppgifter om en patient som behövs för vård av denne samt uppgifter som behövs för den ekonomiadministration som föranleds av den aktuella vården får hämtas till ett vårdregister från andra vårdregister genom samkörning. Dessutom får patientens läkemedelsförteckning samt uppgifter om patientens folkbokföringsadress hämtas till registret genom samkörning (6 §).

Personuppgifter som avses i 13 § eller 21 § personuppgiftslagen får inte användas som sökbegrepp i ett vårdregister. Inte heller får uppgifter om att någon fått ekonomisk hjälp eller vård inom socialtjänsten eller varit föremål för åtgärd enligt utlänningslagen (2005:716) användas som sökbegrepp (7 §). Trots detta förbud är det tillåtet att som sökbegrepp använda uppgifter om sjukdom och hälsotillstånd samt uppgifter om att någon varit föremål för tvångsingripande enligt lagen om psykiatrisk tvångsvård eller lagen om rättspsykiatrisk vård.

Direktåtkomst till uppgifter i ett vårdregister får endast den ha som behöver tillgång till uppgifterna för att kunna utföra sitt arbete. Uppgifterna ska behövas för något av de ändamål för vilka ett vårdregister får användas. Åtkomsten får endast avse de uppgifter som behövs för arbetets utförande (8 §).

Personuppgifter i ett vårdregister får lämnas ut på medium för automa- tiserad behandling, om de ska användas för ändamål för vilka vård- register får föras. Detsamma gäller om uppgifterna ska användas för de ändamål som anges i 3 och 4 §§ eller för forskningsändamål (9 §).

Prop. 2007/08:126

37

eller bild upptagningar normalt sett inte behöver beakta flera av lagens bestämmelser (se prop. 2005/2006:173 s. 58).

Lagen omfattar inte heller sådan behandling som en fysisk person utför som ett led i en verksamhet av rent privat natur (6 §). Av förtydligande skäl anges också att lagen inte ska tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihets- förordningen eller yttrandefrihetsgrundlagen, att tillämpa lagens regler (7 § första stycket). Motsvarande gäller när en tillämpning av person- uppgiftslagen skulle strida mot en myndighets skyldighet att lämna ut personuppgifter enligt 2 kap. tryckfrihetsförordningen (8 § första stycket). Därutöver finns det ytterligare några undantag i personupp- giftslagens tillämpningsområde (se 7 § andra stycket, 8 § andra stycket, 8 a §). Personuppgiftslagens tillämpningsområde kan dessutom in- skränkas genom särreglering i annan lag eller förordning, exempelvis registerlagstiftningen (se 2 §). Lagen innehåller endast generella regler och det förutsattes vid dess tillkomst att behov av undantag och preciseringar för mer speciella områden skulle tillgodoses genom sär- skild registerlagstiftning. Sådan särreglering får dock givetvis inte stå i strid med dataskyddsdirektivet eller Europarådets dataskyddskonvention.

Personuppgiftsansvarig är enligt lagen den som ensam eller till- sammans med andra bestämmer ändamålen med och medlen för behand- lingen av personuppgifter (3 §). I personuppgiftslagen åläggs den person- uppgiftsansvarige att upprätthålla vissa grundläggande krav på behand- lingen av personuppgifter (9 §). Personuppgifter ska behandlas bara om det är lagligt och behandlingen ska alltid ske på ett korrekt sätt och i enlighet med god sed.

Personuppgifter får endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in (finalitets- principen). En behandling för historiska, statistiska eller vetenskapliga ändamål ska dock inte anses som oförenlig med de ändamål för vilka uppgifterna samlades in.

Alla rimliga åtgärder ska vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen.

Personuppgifter får inte bevaras under en längre tid än vad som är nöd- vändigt med hänsyn till de ursprungliga ändamålen med behandlingen, om det inte behövs för historiska, statistiska eller vetenskapliga ändamål. Myndigheternas arkivering och bevarande av allmänna handlingar hin- dras dock inte av lagen.

Personuppgifter som behandlas för historiska, statistiska eller veten- skapliga ändamål får enligt huvudregeln användas för att vidta åtgärder i fråga om den registrerade, bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Denna begränsning gäller dock inte för en myndighets användning av personuppgifter i allmänna handlingar.

I personuppgiftslagen anges vidare vissa förutsättningar för när en be- handling av personuppgifter över huvud taget är tillåten (10 §). Minst en av dessa förutsättningar måste föreligga för att en behandling ska vara tillåten enligt lagen. Den inledande av de alternativa förutsättningarna är att den registrerade har lämnat samtycke till behandlingen. För att ett

Prop. 2007/08:126

39

giltigt samtycke ska anses föreligga krävs att den registrerade, efter att ha fått information om behandlingen av personuppgifter, genom en frivillig, särskild och otvetydig viljeförklaring godtar att den personuppgifts- ansvarige vidtar de åtgärder vari behandlingen av information om honom eller henne består (3 §). Föreligger inget samtycke kan en behandling dock vara tillåten, om den är nödvändig för ett antal i bestämmelsen upp- räknade syften. Exempelvis kan en behandling vara tillåten om den är nödvändig för att vitala intressen för den registrerade ska kunna skyddas eller för att ett ändamål som rör ett berättigat intresse hos den person- uppgiftsansvarige eller hos en sådan tredje man till vilken person- uppgifterna lämnas ut ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den per- sonliga integriteten.

För vissa slag av uppgifter gäller enligt personuppgiftslagen särskilda restriktioner. Huvudregeln i lagen innebär att det är förbjudet att behandla uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackföre- ning. Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv (13 §). Dessa olika slag av uppgifter kallas med en samlingsbeteckning känsliga personuppgifter.

Det finns emellertid en rad undantag från förbudet mot behandling av känsliga personuppgifter angivna direkt i personuppgiftslagen. Exempel- vis får känsliga uppgifter behandlas om sådana uppgifter enligt lagen behandlas med den registrerades uttryckliga samtycke eller när denne offentliggjort uppgifterna på ett tydligt sätt. Känsliga personuppgifter får exempelvis även behandlas för hälso- och sjukvårdsändamål, om behand- lingen är nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjuk- vård eller om uppgifterna omfattas av sjukvårdssekretess (se 15–19 §§).

Regeringen eller den myndighet som regeringen bestämmer får, om det behövs med hänsyn till ett viktigt allmänt intresse, medge ytterligare undantag från förbudet att behandla känsliga uppgifter (20 §).

Det är enligt personuppgiftslagen förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa fri- hetsberövanden (21 §). Regeringen eller den myndighet som regeringen bestämmer (Datainspektionen) får dock meddela föreskrifter eller beslut i enskilda fall om undantag från förbudet.

Uppgifter om personnummer och samordningsnummer får enligt 22 § personuppgiftslagen behandlas bara om den registrerade samtycker till det eller när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktans- värt skäl.

Personuppgiftslagen innehåller även bestämmelser om skyldighet att lämna information, vad informationen ska omfatta och om undantag från informationsskyldigheten (23 §–27 §§). Bestämmelserna om informa- tionsskyldighet gäller exempelvis inte om sekretess eller tystnadsplikt för uppgifterna är föreskriven i förhållande till den registrerade.

Personuppgiftslagen innehåller vidare bestämmelser om rättelse och omprövning (28–29 §§) och om säkerheten vid behandling och person- uppgifter (30–32 §§).

Prop. 2007/08:126

40

Det är enligt 33 § som huvudregel förbjudet att föra över person- uppgifter till tredje land som inte har en adekvat nivå för skyddet av personuppgifterna. Däremot får personuppgifterna fritt föras inom EU och EES. Från förbudet att överföra personuppgifterna till tredje-land finns en rad undantag som anges i 34 §. Ett undantag är att det är tillåtet att föra över personuppgifter för användning i en stat som anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk data- behandling av personuppgifter (Convention for the protection of individuals with regard to automatic processing of personal data, European treaty Series no. 108). Har den registrerade samtyckt får personuppgifterna också föras över till tredje-land trots att landet saknar adekvat nivå för skyddet av personuppgifter. Dessutom får överföring ske om den är nödvändig för vissa i paragrafen angivna ändamål, exempelvis för att ett avtal mellan den registrerade och den personupp- giftsansvarige ska kunna fullgöras. Regeringen får meddela föreskrifter bl.a. om undantag från förbudet för överföring till vissa stater. Reger- ingen eller den myndighet som regeringen bestämmer får också meddela föreskrifter eller beslut i enskilda fall om undantag från förbudet, om det behövs med hänsyn till ett viktigt allmänt intresse (35 §).

Behandling av personuppgifter som är helt eller delvis automatiserad omfattas enligt 36 § personuppgiftslagen av anmälningsskyldighet. Den personuppgiftsansvarige ska göra en skriftlig anmälan till tillsyns- myndigheten innan en sådan behandling eller serie av sådana behand- lingar med samma eller liknande ändamål genomförs. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från anmälningsskyldigheten för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den person- liga integriteten. Sådana föreskrifter finns bl.a. i 4 § personuppgifts- förordningen (1998:1191) när det gäller behandling av personuppgifter i löpande text och i sådant ostrukturerat material som avses i 5 a § personuppgiftslagen. Datainspektionen har också meddelat ytterligare föreskrifter om undantag från anmälningsskyldigheten som t.ex. avser fall då den registrerade har samtyckt till behandlingen och när det gäller personuppgifter som får behandlas på hälso- och sjukvårdens område med stöd av 18 § personuppgiftslagen (4–5 §§ DIFS 2001:1). Anmäl- ningsskyldighet för behandlingar föreligger inte heller om den person- uppgiftsansvarige tillsätter ett personuppgiftsombud som anmälts till tillsynsmyndigheten (37 §).

I Sverige har Datainspektionen tilldelats uppgiften att vara tillsyns- myndighet enligt personuppgiftslagen (2 § personuppgiftsförordningen). Med rollen som tillsynsmyndighet följer vissa befogenheter, såsom rätt att få tillgång till behandlade personuppgifter och tillträde till lokaler med anknytning till behandlingen (43 §). Datainspektionen kan också vid vite förbjuda fortsatt behandling av personuppgifter samt ansöka hos länsrätt om att personuppgifter som har behandlats på ett olagligt sätt ska utplånas (44–47 §§).

Den personuppgiftsansvarige ska enligt 48 § ersätta den registrerade för skada och kränkning av den personliga integriteten som en behand- ling av personuppgifter i strid med lagen har orsakat. Ersättningsskyldig- heten kan dock i den utsträckning det är skäligt jämkas om den person- uppgiftsansvarige visar att felet inte berodde på honom eller henne.

Prop. 2007/08:126

41

område kan nämnas bestämmelserna i 2 kap. 11 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område som föreskriver en skyldighet att på begäran lämna ut uppgifter till domstol, åklagare m.fl. myndigheter om huruvida någon vistas på en sjukvårdsinrättning samt skyldigheten att lämna ut uppgifter som behövs av olika myndigheter för vissa särskilda ändamål. Ett annat exempel är 14 kap. 1 § socialtjänst- lagen (2001:453) vari föreskrivs en skyldighet att anmäla förhållanden som kan innebära att en socialnämnd behöver ingripa till ett barns skydd.

I 14 kap. 2 § sekretesslagen finns särskilda bestämmelser om undantag från sekretess för uppgifter som mottagande myndighet behöver för vissa ändamål. Enligt paragrafens femte och sjätte stycken kan uppgifter som omfattas av sekretess enligt 7 kap. 1 c § och som angår misstankar om vissa brott under vissa förutsättningar lämnas till polis- eller åklagar- myndighet. Enligt nionde stycket hindrar hälso- och sjukvårdssekretess inte att uppgift om en underårig eller om någon som fortgående miss- brukar alkohol m.fl. berusningsmedel eller närstående till denne lämnas till annan myndighet inom hälso- och sjukvården eller socialtjänsten, om det behövs för att den enskilde ska få nödvändig vård, behandling eller annat stöd. Detsamma gäller i fråga om uppgift om en gravid kvinna eller hennes närstående, om det behövs för en nödvändig insats till skydd för det väntade barnet.

På de flesta andra områden men bl.a. inte inom området för hälso- och sjukvårdssekretessen gäller dessutom den s.k. generalklausulen i 14 kap. 3 § sekretesslagen. Den innebär att en sekretessbelagd uppgift får lämnas från en myndighet till en annan efter en intresseavvägning, nämligen om det är uppenbart att intresset av att uppgiften lämnas ut har företräde framför det intresse som sekretessen ska skydda. Skälet till att myndig- heter inom hälso- och sjukvården inte får lämna ut uppgifter till andra myndigheter efter en intresseavvägning är att vården bygger på att den enskilde ska känna förtroende för dem som har hand om vården.

Hälso- och sjukvårdssekretessen gäller, med ett undantag, inte i för-

journaler m.m. kan finnas uppgifter om patientens hälsotillstånd eller andra personliga förhållanden som lämnats i anmälan eller annan utsaga från annan person än patienten. Även sådana uppgifter kan enligt 7 kap. 6 § sekretesslagen omfattas av sekretess i förhållande till patienten. Det är alltså bara i speciella undantagsfall som journalhandlingar eller annan vårddokumentation inte kan lämnas ut till patienten själv.

Den enskilde kan också efterge sekretessen helt eller delvis (14 kap. 4 § sekretesslagen). Något krav på att en eftergift, dvs. ett samtycke, ska vara skriftligt eller på något annat sätt uttryckligt finns inte. Även tyst, s.k. presumerat, samtycke kan godtas.

Tystnadsplikt inom den privata hälso- och sjukvården

Enligt 2 kap. 8 § lagen om yrkesverksamhet på hälso- och sjukvårdens område får den som tillhör eller har tillhört hälso- och sjukvårds- personalen inom den enskilda hälso- och sjukvården inte obehörigen röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälso-

Prop. 2007/08:126

45

använder sig av begrepp som uppgifter och behandling av uppgifter. Landstinget anser därför lagen bör få en annan benämning t.ex. ”Patientuppgiftslag”.

Skälen för regeringens förslag: Bestämmelser av betydelse för hälso- och sjukvårdssektorns hantering av personuppgifter om patienter finns i dag i ett flertal författningar, se avsnitt 5. I likhet med vad utredningen och remissinstanserna har anfört anser regeringen att tillämpningen av lagstiftningen avsevärt skulle underlättas och bli mer enhetlig med en mer sammanhållen reglering än den nuvarande. En samlad reglering vinner i tydlighet, konsekvens och överblickbarhet. Detta är nog så viktiga komponenter för enskilda patienters integritetsskydd.

Som tidigare nämnts är det framför allt bestämmelserna i patient- journallagen, vårdregisterlagen, personuppgiftslagen och sekretesslagen (1980:100) som är av betydelse för hälso- och sjukvårdssektorns hantering av personuppgifter om patienter. För att uppnå en mer sammanhållen lagstiftning anser därför regeringen att det i första hand är bestämmelserna i de två förstnämnda lagarna som ska föras samman i en ny lag. Vårdregisterlagen är en registerförfattning och reglerar vilken personuppgiftsbehandling som får utföras. Patientjournallagen är däremot inte någon registerförfattning, utan innehåller regler om vad som måste göras i fråga om patientjournaler. En annan skillnad är att vårdregisterlagens bestämmelser avser behandling av personuppgifter, medan patientjournallagens bestämmelser avser såväl informations- hantering som bedrivande av verksamheten.

Om patientjournallagen och vårdregisterlagen sammanförs innebär det att den nya lagen kommer att innehålla bestämmelser som reglerar såväl verksamheten som behandling av personuppgifter. Andra alternativ skulle vara att behålla de verksamhetsstyrande reglerna i patientjournal- lagen eller att föra över dem till någon annan författning, t.ex. hälso- och sjukvårdslagen (1982:763) eller lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Regelverket kring hanteringen av personuppgifter skulle då emellertid vara fortsatt splittrat och tillämpningen av lagstiftningen skulle inte underlättas på det sätt som eftersträvas.

Regeringen föreslår därför att bestämmelserna i patientjournallagen och vårdregisterlagen sammanförs i en ny lag. Denna ska ges namnet patientdatalagen. Flera av remissinstanserna har som redovisats haft synpunkter på benämningen av den nya lagen och ansett att namnet bör vara mera neutralt och verksamhetsorienterat. Patientdatalagen har dock redan blivit ett välkänt och inarbetat namn som används av landstingen i det förberedelsearbete som pågår för införandet av lagen. Mot bakgrund av detta finner regeringen inte skäl att ändra namnet på den nya lagen.

För att den nya lagen ska bli överblickbar anser regeringen att den bör delas in i flera kapitel. I ett inledande kapitel ska lagens tillämpningsom- råde, vissa begrepp, m.m. beskrivas. Ett kapitel ska innehålla grund- läggande bestämmelser om behandling av personuppgifter. Ett annat kapitel ska innehålla bestämmelser om skyldigheten att föra patient- journal. Den föreslagna lagen ska även innehålla särskilda kapitel med bestämmelser om inre sekretess och elektronisk åtkomst i en vårdgivares verksamhet, utlämnande av uppgifter och handlingar, nationella och regionala kvalitetsregister samt rättigheter för den enskilde.

Prop. 2007/08:126

47

Det sagda innebär att det är vårdgivares personuppgiftsbehandling som regleras av lagen. Med vårdgivare avses – med ett undantag – i patient- datalagen en fysisk eller juridisk person som bedriver hälso- och sjuk- vård. En vårdgivare kan vara en fysisk person som bedriver hälso- och sjukvård i en enskild firma eller ett aktiebolag, en stiftelse, ett handels- bolag eller liknande.

Sådana kommunala företag som avses i 1 kap. 9 § sekretesslagen (1980:100) är egna juridiska personer och utgör självständiga vårdgivare. Inom den allmänna hälso- och sjukvården hos sjukvårdshuvudmännen är det den juridiska personen landstinget eller kommunen som är vårdgivare. Hos dessa vårdgivare är det dock personuppgifts- behandlingen hos den nämnd eller annan myndighet som utövar ledningen av eller utför den faktiska hälso- och sjukvården som regleras av lagen. Exempelvis s.k. beställar- och utförarnämnder i ett landsting eller en kommun.

Undantaget i patientdatalagen från huvudregeln att vårdgivaren ska vara en juridisk eller fysisk person avser individinriktad hälso- och sjuk- vård som tillhandahålls av statliga myndigheter. Sådan hälso- och sjuk- vård bedrivs parallellt med annan verksamhet som utgör myndighetens huvuduppgift, t.ex. hos universitet och högskolor, Statens institutions- styrelse, Kriminalvården eller Totalförsvarets pliktverk. Regeringen menar därför att det är naturligt att behandla dessa statliga myndigheter som separata vårdgivare i patientdatalagens mening.

Till den beskrivna kärnverksamheten – individinriktad patientvård – hör ett ansvar att administrera och att i olika avseenden utveckla verk- samheten. Även i den verksamheten behöver vårdgivare behandla personuppgifter, oftast samma uppgifter som samlats in i patientvården. Även denna personuppgiftsbehandling ska regleras av patientdatalagen.

Däremot anser regeringen att personuppgiftsbehandlingen i den rent administrativa verksamheten utan nära koppling till patientverksamheten

– t.ex. i internadministrativ verksamhet vid personuppgiftsbehandling rörande anställda eller rörande leverantörer av varor och tjänster – ska falla utanför patientdatalagens tillämpningsområde. Således förekommer även hos en vårdgivare som omfattas av bestämmelserna i patientdata- lagen, personuppgiftsbehandling som faller utanför denna lags tillämp- ningsområde.

Forskning och utbildning

Patientdatalagen ska som nämnts, reglera endast vårdgivares behandling av personuppgifter inom hälso- och sjukvården. Därmed faller delar av den medicinska forskningen och annan vårdrelaterad forskning utanför tillämpningsområdet, nämligen i den mån denna bedrivs av andra huvud- män än vårdgivare.

Sjukvårdshuvudmännen bedriver emellertid själva i betydande omfatt- ning medicinsk och annan forskning inom hälso- och sjukvården. I 26 b § hälso- och sjukvårdslagen åläggs sjukvårdshuvudmännen ett ansvar för att medverka vid genomförande av kliniskt forskningsarbete på hälso- och sjukvårdens område samt av folkhälsovetenskapligt forsknings- arbete. När det gäller den s.k. patientnära eller kliniska forskningen som

Prop. 2007/08:126

50

förekommer hos vårdgivare, bedrivs den inte sällan integrerat med patientvården. Forskning respektive patientvård kan emellertid utgöra självständiga verksamhetsgrenar i förhållande till varandra, se närmare därom i avsnitt 16.1. Förutsättningarna för behandling av bl.a. känsliga personuppgifter för forskningsändamål är föremål för särreglering i lagen (2003:460) om etikprövning av forskning som avser människor.

Den särskilda personuppgiftsbehandling som föranleds av forskningen i den patientnära forskningen ska inte regleras av patientdatalagen. Här- med avses dokumentation som enbart sker i forskningssyfte och som inte heller har någon betydelse för vården. Sådan personuppgiftsbehandling ska även fortsättningsvis regleras av personuppgiftslagen. Till den del den patientnära forskningen innefattar patientjournalföring eller annan dokumentation som hör till vården, ska den informationshanteringen dock regleras av patientdatalagen.

Motsvarande ska även gälla för den kliniska utbildningen av t.ex. blivande läkare och sjuksköterskor. Utbildningsverksamhet är i allt väsentligt en egen verksamhetsgren också då den bedrivs inom en och samma myndighet som bedriver hälso- och sjukvård. Utbildningsverk- samheten som sådan ska därför inte omfattas av patientdatalagens tillämpningsområde. I den utsträckning studenter deltar i den faktiska patientvården såsom praktikanter, ska deras arbete dock omfattas av patientdatalagens tillämpningsområde. Det innebär bl.a. att vårdgivare i sådana fall ska kunna låta studenterna få ta del av och även kunna föra anteckningar i elektroniska patientjournaler i nödvändig omfattning. Nor- malt torde detta förutsätta såväl patientens samtycke som att prak- tikantens åtgärder sker under en handledares uppsikt och ledning.

Vilken slags personuppgiftsbehandling regleras av patientdatalagen?

När det gäller behandling av personuppgifter i vårdgivarnas verksamhet går utvecklingen alltmer mot att olika funktioner integreras i stora elek- troniska system för hantering av både ett flertal strukturerade uppgifts- samlingar och annan mer ostrukturerad information. På grund av denna informationstekniska utveckling har det blivit allt svårare att fastställa såväl när ett register inrättats som vad som är ett register i förhållande till ett annat. Det har också vid tillämpning av vårdregisterlagen uppstått en hel del oklarheter om vad som kan sägas ingå i ett vårdregister eller inte. Det har i sin tur medfört svårigheter att bedöma dels hur personuppgifter som finns elektroniskt lagrade i verksamheten får användas, dels vilken lag – personuppgiftslagen eller vårdregisterlagen – som är tillämplig på en enskild personuppgiftsbehandling.

Genom personuppgiftslagens införande har begreppet register kommit att spela en underordnad roll vid elektronisk behandling av personupp- gifter. All elektronisk behandling av personuppgifter omfattas nämligen av personuppgiftslagens bestämmelser alldeles oavsett om personupp- gifterna ingår i ett register eller inte. I stället har det blivit av avgörande betydelse att personuppgifter samlas in för uttryckligt angivna ändamål och sedan inte användas för något annat ändamål.

Mot bakgrund av den komplexa IT-struktur som vuxit fram inom hälso- och sjukvården anser regeringen att patientdatalagens reglering av

Prop. 2007/08:126

51

Inte minst med tanke på att 18 § personuppgiftslagen tillsammans med den lagens övriga bestämmelser ger tämligen vida ramar för aktörer inom hälso- och sjukvården, att utan den enskildes samtycke, behandla känsliga personuppgifter för olika syften. Det är därför av principiella skäl viktigt att det i patientdatalagen uttryckligen och så uttömmande som möjligt framgår vilka ändamålen är för all personuppgiftsbehandling som regleras i lagen. Regeringen föreslår därför en sådan reglering. Patientdatalagens ändamålsreglering blir därmed tydligare och uttömmande i den meningen att vårdgivarna inte själva får besluta om ytterligare ändamål för vilket eller vilka personuppgifter kan samlas in i verksamheten, i vart fall inte utan den registrerades samtycke. Detta är en viktig reglering i integritetshänseende.

Förslaget till ändamålsbestämning innebär preciseringar i förhållande till bestämmelsen i 9 § första stycket c personuppgiftslagen. Inom ramen för patientdatalagens tillämpningsområde när det gäller vems personupp- giftsbehandling som regleras, se avsnitt 6.2, ersätter patientdatalagen 18 § personuppgiftslagen i fråga om behandling av känsliga personupp- gifter utan patientens eller annan registrerads uttryckliga samtycke.

Eftersom patientdatalagen får ett väsentligen mera vidsträckt tillämpningsområde i förhållande till vårdregisterlagen är det olämpligt att som i dag dela in ändamålen i primära och sekundära ändamål. Både primära och sekundära ändamål handlar om personuppgiftsbehandlingar som, mer eller mindre integrerat, normalt äger rum i varje vårdgivares egen verksamhet. Regeringen anser att det inte innebär ett försämrat integritetsskydd att även sådana ändamål som i dag faller vid sidan av den individinriktade verksamheten får vara primära. Det kommer i allt väsentligt att handla om en efterkommande användning av uppgifter som härrör från den individinriktade verksamheten. Detta överensstämmer med strävandena inom hälso- och sjukvården att förbättra och effektivisera verksamheten bl.a. genom att skapa en ändamålsenlig och enhetlig vårddokumentation som minskar det administrativa merarbetet.

Den föreslagna lösningen innebär inte någon utvidgning av för vilka ändamål vårdgivare får behandla personuppgifter utan enskildas sam- tycke. Skillnaden gentemot gällande rätt är att även personuppgifts- behandling som sker särskilt för ändamålen övergripande administration, planering, kvalitetssäkring, verksamhetsuppföljning, statistikframställ- ning m.m. regleras i en särlag och inte bara av personuppgiftslagen. Där- med kommer även sådan personuppgiftsbehandling att bli kringgärdad av de ytterligare bestämmelserna i patientdatalagen. Härigenom ökar integritetsskyddet i förhållande till vad som gäller i dag.

De särskilda ändamålen

Patientdatalagens ändamålsbestämmelser föreslås vara fakultativa i den bemärkelsen att de reglerar vad vårdgivare får göra. Syftet med ända- målsbestämningen är att ange en yttersta ram för när personuppgifter får samlas in och fortsättningsvis behandlas med stöd av patientdatalagen och personuppgiftslagen. En och samma behandling av personuppgifter kan ske för mer än ett ändamål. Särskilt gäller detta i sådana stora

Prop. 2007/08:126

56

Det finns även bestämmelser som tillåter eller medger att uppgifter lämnas ut utan hinder av sekretess. I sekretesslagen finns exempelvis be- stämmelser i 14 kap. 2 § som anger att sekretess inte hindrar att myndig- heter inom hälso- och sjukvården på eget initiativ lämnar ut person- uppgifter i vissa fall.

Gemensamt för allt detta uppgiftslämnande är att det sker med stöd av författningar som påbjuder eller tillåter utlämnande. När sådana bestäm- melser har införts, får det förutsättas att det har gjorts en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda en- skilda personers integritet, vid vilken man funnit att uppgiften ska eller får lämnas ut. Det saknas därför anledning att i en integritetsskydds- lagstiftning, som den föreslagna patientdatalagen, förhindra att person- uppgifter som finns i hälso- och sjukvården lämnas ut i dessa fall bara därför att dessa numera hanteras med modern informationsteknik i stället för som tidigare på papper. Det förtjänar att påpekas att all sådan helt eller delvis automatiserad behandling, eller sådan behandling som sker i manuella register, som föregår ett utlämnande omfattas – med den begränsning som följer av tillämpningen av tryckfrihetsförordningen och yttrandefrihetsgrundlagen (se avsnitt 5.4) – av lagens tillämpningsom- råde, även om utlämnandet i sig sker i annan än elektronisk form.

Det har, när det gäller personuppgiftsbehandling genom utlämnande, i olika sammanhang uppstått rättslig osäkerhet kring frågan om för- hållandet mellan ändamålsbestämmelser i registerlagar, personuppgifts- lagens finalitetsprincip, sekretesslagen och andra bestämmelser som före- skriver utlämnande eller tillåter att uppgifter lämnas ut utan hinder av sekretess. För att undanröja motsvarande osäkerhet på hälso- och sjuk- vårdens område föreslås därför att det i patientdatalagen finnas en ända- målsbestämmelse som medger att personuppgifter – som behandlas med stöd av något eller några i det föregående behandlade ändamålen – också får behandlas för sådant uppgiftsutlämnande som sker i överensstäm- melse med lag eller förordning.

Finalitetsprincipen är giltig även vid personuppgiftsbehandling enligt patientdatalagen.

Finalitetsprincipen innebär att personuppgifter som har samlats in i syfte att behandlas för särskilda, uttryckligt angivna ändamål (jfr 9 § första stycket c personuppgiftslagen) får behandlas även för andra, nya ändamål, om dessa inte är oförenliga med de ursprungliga ändamålen (9 § första stycket d samma lag). Principen hindrar inte att insamlade personuppgifter får behandlas för historiska, statistiska eller vetenskap- liga ändamål, eftersom sådana ändamål per definition inte ska anses vara oförenliga med de ursprungliga insamlingsändamålen (9 § andra stycket personuppgiftslagen). Då ändamålsbestämmelserna i patientdatalagen syftar till att vara uttömmande införs i patientdatalagen en uttrycklig hän- visning till dessa bestämmelser i personuppgiftslagen.

Samkörning m.m.

Samkörning kommer bara att vara tillåten inom de ramar som ges av patientdatalagen samt sekretesslagen respektive bestämmelserna om tystnadsplikt i lagen (1998:531) om yrkesverksamhet på hälso- och

Prop. 2007/08:126

60

7.4Den enskildes inställning till personuppgiftsbehandling

Regeringens förslag: Personuppgiftsbehandling enligt patientdatalagen ska få ske även om den enskilde motsätter sig personuppgiftsbehand- lingen. Undantag från denna huvudregel kan gälla enligt lag eller förord- ning. Vissa undantag följer av patientdatalagen.

Sådan personuppgiftsbehandling som inte är tillåten enligt patientdata- lagen ska ändå få ske om den enskilde registrerade uttryckligen sam- tycker till det och inte annat följer av andra bestämmelser i patientdata- lagen eller av annan lag eller förordning. Vidare ska regeringen få meddela ytterligare undantag.

Utredningens förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Endast ett fåtal av remissinstanserna har uttalat

sig om förslaget. Barnombudsmannen vill betona artikel 12 i FN:s kon- vention om barnets rättigheter som stadgar att ett barn har rätt att fritt uttrycka sina åsikter i alla frågor som rör barnet. Barnets åsikter ska tillmätas betydelse i förhållande till barnets ålder och mognad. I lagen bör tydligt framgå vem som ska samtycka till åtgärden samt när barnet får självbestämmanderätt. Ett samtycke från en underårig patient, inte vårdnadshavarna, bör alltid eftersträvas, även om det inte är nödvändigt för personuppgiftsbehandlingen. Karlskrona kommun anser att det är bra att det sker ett klarläggande beträffande när en person motsätter sig personuppgiftsbehandling respektive samtycker. Trots dessa klar- lägganden anser kommunen att det behövs ytterligare något förtyd- liganden när det gäller förfrågan till personer som inte själva är kompetenta att svara för sig. Justitieombudsmannen, JO, konstaterar att utredningen inte föreslår några särskilda bestämmelser avseende vuxna patienter som tillfälligt eller varaktigt brister i beslutsförmåga. JO delar uppfattningen att det för närvarande inte bör införas sådana sär- bestämmelser, utan att saken lämpligen bör regleras i samband med ett ställningstagande till förslagen i det tidigare presenterade betänkandet Förmyndare och ställföreträdare för vuxna (SOU 2004:112). JO anser vidare att det finns behov av att omarbeta bestämmelserna i 2 kap. 2 och 3 §§ patientdatalagen, som reglerar den enskildes inställning till person- uppgiftsbehandling, i syfte att göra dem mer lättillgängliga.

Skälen för regeringens förslag: Behandling av personuppgifter är enligt personuppgiftslagen tillåten, om den enskilde registrerade har lämnat sitt samtycke till behandlingen enligt 10 § personuppgiftslagen. Kravet på att samtycket ska vara särskilt innebär t.ex. att en registrerad inte kan lämna ett giltigt generellt samtycke till per- sonuppgiftsbehandling som inte är preciserad till något eller några ändamål. Dessutom krävs att den registrerade först har informerats om behandlingen.

Inte heller kan en registrerad som inte utnyttjar en rätt att motsätta sig en personuppgiftsbehandling anses genom sin passivitet ha samtyckt till behandlingen. Även känsliga personuppgifter får behandlas med den enskilde registrerades samtycke till personuppgiftsbehandlingen. Sam- tycket ska dock vara uttryckligt enligt 15 § personuppgiftslagen. I annat

Prop. 2007/08:126

64

från integritetssynpunkt. Ju större möjligheter det finns att på olika sätt sammanställa uppgifter om enskilda, desto större blir riskerna för otill- börliga intrång i enskildas integritet. Vilka sök- och samman- ställningsmöjligheter som finns har vidare betydelse för frågan om vilka handlingar som anses förvarade hos en myndighet och vad som därmed kan bli tillgängligt för allmänheten i enlighet med 2 kap. tryckfrihetsför- ordningen.

Varje sammanställning av elektroniskt lagrade uppgifter som myndig- heten kan göra med hjälp av tillgängliga program är i princip att anse som en allmän handling hos myndigheten. Detta gäller även om det aldrig tidigare har existerat en sådan sammanställning och även om sammanställningen inte alls behövs för myndighetens egen verksamhet. Förutom redan existerande handlingar brukar man därför tala om s.k. potentiella handlingar.

Tekniska begränsningar kan dock innebära att en tänkt sammanställ- ning inte kan göras; en sådan sammanställning är ingen allmän handling. Vidare kan en myndighets och därmed också allmänhetens möjligheter att få tillgång till sammanställningar av uppgifter som finns i myndig- hetens informationssystem underkastas rättsliga begränsningar. Denna regel, begränsningsregeln, syftar till att allmänheten inte med stöd av offentlighetsprincipen ska kunna göra anspråk på att få del av sådana sammanställningar hos myndigheten som myndigheten av hänsyn till skyddet för den personliga integriteten själv är förhindrad att ta fram.

Med sökbegrepp avses bokstäver, koder eller siffror med vars hjälp man, tillsammans med en sökmotor eller liknande funktion, kan ta fram ett önskat urval lagrade personuppgifter om en eller flera personer ur en samlad informationsmängd. Frågan om sökbegrepp är i princip intressant endast när det gäller information som behandlas elektroniskt, dvs. som finns lagrad på medium för automatiserad behandling. Utan sökbegräns- ningar kan, som framgår av Swedish Medtechs remissyttrande, vilka sökningar och sammanställningar som helst göras, t.ex. i fråga om patientuppgifter av mycket känslig art. Det är därför av största vikt att reglera sökbegränsningar så att otillbörliga integritetsintrång förhindras. Därför bör de sökbegränsningar som finns i vårdregisterlagen behållas. Sökbegränsningarna innebär inte ett krav på att det ska vara tekniskt omöjligt att söka på exempelvis känsliga personuppgifter som avses i 13 § personuppgiftslagen och som i huvudsak begränsas enligt förslaget i patientdatalagen. Som Swedish Medtech också har framhållit kan nämligen allt som står i en patientjournal i moderna datasystem vara sök- bart genom till exempel fritextsökning. Sökbegränsningarna som föreslås i patientdatalagen innebär i stället att det inte är tillåtet att göra sådana sökningar. Sökbegränsningarna bör vara tillämpliga inte bara vid behandling av personuppgifter för t.ex. vårdändamål utan vid all behand- ling av personuppgifter som regleras i patientdatalagen.

Förutom i det individinriktade arbetet är det väsentligt att vid t.ex. verksamhetsuppföljningar kunna göra sammanställningar utifrån sök- kriterier såsom diagnoser och liknande. Även vid verksamhetsplanering behövs möjligheter att identifiera tendenser som är av betydelse för verk- samheten, t.ex. i fråga om förväntningar på ökande tillströmning av olika patientkategorier. Patientdatalagen bör inte hindra sådan personuppgifts- behandling.

Prop. 2007/08:126

68

Regeringen anser vidare att sammanställningar som används i dessa sammanhang snarast möjligt bör avidentifieras, eftersom individupp- gifterna som sådana saknar betydelse för ändamålet med den fortsatta behandlingen.

Liksom enligt vårdregisterlagen får uppgifter om sjukdom och hälsa samt uppgifter om att någon varit föremål för tvångsingripande inom psykiatrin och rättspsykiatrin användas som sökbegrepp. I förarbetena till vårdregisterlagen motiverades undantaget för sökbegreppen sjukdom och hälsotillstånd med att det är en värdefull tillgång hos datoriserad journal- föring att genom sökning på begrepp som beskriver sjukdom och hälsotillstånd snabbt och effektivt finna relevanta journalanteckningar från patientens tidigare vårdtillfällen. Fördelarna med att tillåta sökning på dessa från integritetssynpunkt känsliga begrepp är så stora, menade regeringen, att intresset av en begränsning av sökmöjligheterna bör få vika. Vidare ansåg regeringen att uppgifter om att patienten varit föremål för psykiatrisk tvångsvård eller rättspsykiatrisk vård är av särskilt intresse när det gäller användningen av ett vårdregister för andra ändamål än i och för patientens vård såsom uppföljning, utvärdering och kvalitetssäkring av psykiatrisk tvångsvård och rättspsykiatrisk vård.

Socialstyrelsen har framhållit att det mot bakgrund av samhällets intresse av att bekämpa smitta även borde vara möjligt att som sökbegrepp få använda känsliga personuppgifter enligt smittskyddslagen respektive uppgifter om att någon varit föremål för åtgärder enligt samma lag. Regeringen bedömer att undantaget som tillåter att personuppgifter som rör hälsa får användas som sökbegrepp i viss mån även kan täcka in smittosamma sjukdomar. Däremot är frågan om ett särskilt undantag ska göras för känsliga personuppgifter avseende smittskyddet som inte rör hälsa. Regeringen finner det inte lämpligt att införa ett särskilt undantag om att få använda andra uppgifter inom smittskyddet än sådana som rör hälsa som sökbegrepp, eftersom patientdatalagen utgör en ram- lagstiftning. Det går därför för närvarande inte att överblicka vad ett sådant generellt undantag som Socialstyrelsen föreslår kan få för konsekvenser. Däremot föreslår regeringen att den ska ges möjlighet att meddela föreskrifter om att få använda uppgifter av betydelse för smitt- skyddet som sökbegrepp om ett faktiskt behov av det skulle uppstå. Regeringen bör även få föreskriva att etnicitet ska kunna få användas som sökbegrepp t.ex. för att en enskild vårdgivare kan behöva planera, utföra och följa upp hälso- och sjukvård som en del invandrargrupper behöver.

När det gäller sökbegränsningarna i fråga om insatser inom social- tjänsten eller enligt utlänningslagen är det i dessa fall fråga om uppgifter som inte generellt särbehandlas i personuppgiftslagen såsom särskilt integritetskänsliga, såvida de inte omfattas av 13 § eller 21 § person- uppgiftslagen. Regeringen får närmare föreskriva sådana undantag från sökbegränsningarna som medger att landsting och kommuner kan göra vissa slags sammanställningar.

Socialstyrelsen har framhållit att regeringens bemyndigande även bör inkludera en möjlighet att meddela undantag från det generella förbudet mot sökbegrepp inom den privata vården. Socialstyrelsen har anfört att det måste beaktas att den offentligt finansierade hälso- och sjukvården i icke ringa utsträckning bedrivs enligt avtal av enskilda vårdgivare.

Prop. 2007/08:126

69

datalagen elektronisk åtkomst. Med begreppet direktåtkomst avses endast en speciell form av elektroniskt utlämnande av personuppgifter till mottagare utanför en vårdgivares organisation. Begreppet direktåtkomst synes enligt JO ha använts på ett – i förhållande till övriga relevanta be- stämmelser i patientdatalagen – inkonsekvent sätt då det i bestämmelsen är fråga om elektronisk åtkomst inom samma landsting eller kommun, dvs. inom samma vårdgivares organisation. Malmö tingsrätt och Läns- rätten i Uppsala framför liknande synpunkter.

Socialstyrelsen kritiserar utredningens förslag om en reglering kring två former av elektronisk åtkomst, dels ”elektronisk åtkomst” som avser en användares tillgång till en organisations egna informationstillgångar och dels ”direktåtkomst” som avser en användares tillgång till informa- tionstillgångar över en sekretessgräns/verksamhetsgräns. Socialstyrelsen anser att användningen av de båda begreppen ”elektronisk åtkomst” och ”direktåtkomst” kan skapa förvirring hos användarna.

Det finns inte någon legaldefinition av begreppet direktåtkomst, men vanligtvis innebär direktåtkomst ingen möjlighet att kunna bearbeta eller på annat sätt påverka innehållet i det system, register eller databas som åtkomsten avser. Eftersom utredningen öppnar för vårdens användare att i ett sammanhållet system för informationshantering via terminalåtkomst dela information i termer av att kunna både nå samt läsa och skriva i den sammanhållna journalföringen skapar man därmed ett nytt institut. Mot bakgrund av detta föreslår Socialstyrelsen att begreppet ”elektronisk åtkomst” ska användas genomgående i lagen; detta för att skilja denna åtkomst från fysisk åtkomst, t.ex. till pappersjournaler. Såvitt Socialstyrelsen kan se får myndighetens förslag inte några rättsliga konsekvenser i lagförslaget.

Verket för förvaltningsutveckling, Verva, för fram att om inte direkt- åtkomstbegreppet bättre preciseras av informationsutbytesutredningen (Fi 2005:08) anser Verva, i likhet med utredningen, att det är angeläget att frågan utreds i särskild ordning. Verva förordar i så fall att regeringen tar initiativ till en sådan utredning. Utredningens resonemang om direkt- åtkomst och elektronisk åtkomst anser Verva inte är alldeles enkelt att följa. I avvaktan på en enhetlig lösning på direktåtkomstproblematiken anser Verva att det är angeläget att inte en ny tillämpning eller tolkning av begreppet införs.

Svensk förening för medicinsk informatik framhåller att det i patient- datalagen inte finns någon explicit definition av begreppen men att det i kommentaren anges en förklaring som innebär att man vid utlämnande alltid har en person som fattar ett beslut. Detta är inte den avsedda tolk- ningen i en rad andra lagar på områden där man redan infört automatiserade utlämnandeprocesser. Föreningen anser att man bör över- väga en ändrad formulering i patientdatalagen där man talar om elektroniskt utlämnande och sedan preciserar de eventuella tilläggsvillkor som krävs. Det vore olyckligt att generellt kräva att man inte kan få ha automatiserade beslutsprocesser där det kan vägas in en rad olika faktorer som vårdrelation och inte minst en bedömning från patienten och den som är ansvarig för att föra in en journaluppgift om möjligheten att i framtiden lämna ut uppgifter på vissa villkor.

Prop. 2007/08:126

71

begreppet används för att beskriva en viss form av elektroniskt utlämnande, är främst att den som är ansvarig för informationen inte har kontroll över vilka uppgifter som en mottagare vid ett visst tillfälle tar del av – automatiserad tillgång – och att mottagaren av informationen inte kan påverka innehållet i det informationssystem eller register som informationen lämnas ut från (se t.ex. prop. 2004/05:164 s. 83). Mottagaren har möjlighet att ta del av innehållet i t.ex. en elektronisk handling utan att för den skull kunna ändra i eller tillföra ny information till de uppgifter som utlämnaren ansvarar för.

Utredningen har föreslagit att begreppet direktåtkomst – till skillnad från hur begreppet används i vårdregisterlagen – ska användas för att definiera sättet för det elektroniska utlämnandet. Enligt utredningens förslag används direktåtkomst vid sammanhållen journalföring samt när det är fråga om en speciell form av elektroniskt utlämnande av person- uppgifter till mottagare utanför en vårdgivares organisation. När det gäller personalens möjligheter att elektroniskt och automatiskt bereda sig tillgång till personuppgifter som finns elektroniskt tillgängliga i en vårdgivares organisation används i utredningens förslag i stället be- greppet elektronisk åtkomst, se avsnitt 11 om inre sekretess.

En vårdgivare föreslås enligt patientdatalagen vara bland annat den kommun eller det landsting som svarar för hälso- och sjukvården och inte den nämnd, myndighet, som ansvarar för eller utför hälso- och sjukvården, se 1 kap. 3 § patientdatalagen. I 5 kap. 4 § andra stycket utredningens förslag till patientdatalag föreskrivs att myndigheter som bedriver hälso- och sjukvård i ett landsting får ha direktåtkomst till varandras personuppgifter. Motsvarande gäller för myndigheter som be- driver hälso- och sjukvård i en kommun. Bestämmelsen innebär enligt utredningen ett klargörande av att hälso- och sjukvårdsmyndigheter inom en vårdgivare kan ha elektronisk tillgång till varandras personuppgifter. Eftersom det i de fall då en vårdgivare t.ex. organiserar verksamheten i flera olika nämnder i praktiken blir fråga om att uppgifter lämnas ut från en myndighet till en annan hos vårdgivaren är det motiverat att klargöra att även detta utlämnande får ske automatiserat på det sätt som avses med begreppet direktåtkomst.

JO har framfört att begreppet direktåtkomst i utredningens förslag synes ha använts på ett inkonsekvent sätt då det i bestämmelsen är fråga om elektronisk åtkomst inom samma vårdgivares organisation. I den föreslagna lagen regleras den s.k. inre sekretessen hos en vårdgivare i 4 kap. 1 §. Av den föreslagna bestämmelsen följer att den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården. Det är vidare vårdgivaren – vare sig det är ett landsting, en kommun eller ett privaträttsligt subjekt som i det enskilda fallet är att betrakta som vårdgivare – som ansvarar för att bestämma villkoren för tilldelning av behörighet för elektronisk åtkomst till uppgifter om patienterna (4 kap. 2 §). Det är också vårdgivaren som ansvarar för att kontrollera att det inte förekommer någon obehörig åtkomst till uppgifterna inom organisa- tionen. Vårdgivarens ansvar vid tilldelning av behörighet för elektronisk åtkomst innefattar en skyldighet att göra aktiva och individuella behörig- hetstilldelningar utifrån analyser av vilken närmare information olika

Prop. 2007/08:126

74

personalkategorier och olika slags verksamheter behöver. Tilldelningen av åtkomstbehörigheter leder dock inte till att personalen vid en myndig- het inom vårdgivarens organisation automatiskt får tillgång till informa- tion som finns hos en annan myndighet inom samma organisation. För att uppgifterna rent faktiskt ska bli tillgängliga krävs även att uppgifterna lämnas ut, vilket alltså kan ske genom direktåtkomst. Den information som på så sätt görs tillgänglig för mottagaren kan avse en hel databas, men den kan också vara begränsad så att den endast omfattar en på förhand bestämd mängd eller bestämda kategorier av uppgifter i data- basen.

Enligt regeringen finns det inte någon inre motsättning i att använda begreppen direktåtkomst och elektronisk åtkomst parallellt. Det förra beskriver endast ett sätt för utlämnande, medan det senare uteslutande beskriver ett sätt att få tillgång till handlingar inom en organisation. Att det inom en större organisation kan förekomma att uppgifter lämnas ut mellan t.ex. olika myndigheter som är integrerade i organisationen inne- bär inte i sig att det saknas förutsättningar att inom samma organisation bestämma särskilda villkor för tillgången till elektroniska handlingar. Förekomsten av en bestämmelse som medger att handlingar lämnas ut automatiserat på elektronisk väg från en nämnd till en annan inom ett landsting innebär alltså inte att det, parallellt med en sådan reglering, inte bör kunna ställas upp villkor för hur tillgången till uppgifterna ska regleras internt inom landstinget. En reglering av den interna tillgången kan emellertid inte heller ges verkningar som undandrar de utlämnande myndigheterna ansvaret för och möjligheterna att påverka utlämnandet. Det är snarare fråga om samverkande förutsättningar för den konkreta tillgången till information i verksamheten.

Vid sammanhållen journalföring är tanken att journalhandlingar som rör en viss patient ska kunna samlas från en eller flera vårdgivare och hållas tillgängliga i en elektronisk patientjournal. Ansvaret för journalföringen är emellertid även vid sådan hantering av journal- handlingarna primärt knutet till den journalföringspliktiga yrkesutövaren. Det förhållandet att det vid sammanhållen journalföring skapas en elektronisk patientjournal som kan bestå av journalhandlingar från flera vårdgivare och som i vissa fall logiskt kan vara placerade på en och samma dataserver, påverkar alltså inte ansvaret för de handlingar som upprättas eller inkommer till vårdgivarna. Ansvaret kvarstår tvärtom hos den som har upprättat eller mottagit handlingen. Att ansvaret kvarstår tydliggörs också av det förhållandet att den elektroniska tillgången till handlingar för andra än den ansvariga vårdgivaren kan upphöra helt om patienten invänder mot att handlingarna fortsättningsvis görs tillgängliga inom ramen för en sammanhållen journalföring. När vårddokumenta- tionen görs tillgänglig över vårdgivargränserna genom direktåtkomst sker det genom att handlingarna lämnas ut på ett sätt som innebär att dokumentationen blir elektroniskt tillgänglig för andra vårdgivare utan att det i varje enskilt fall görs en sekretessprövning i samband med utlämnandet. Det ska i detta sammanhang anmärkas att bestämmelser om direktåtkomst inte har sekretessbrytande effekt i sig utan att de – om andra myndigheter eller enskilda ska kunna medges direktåtkomst till sekretessbelagda uppgifter – måste kombineras med särskilda sekretess- brytande regler.

Prop. 2007/08:126

75

Den sammanhållna journalföringen ger inte andra än den ansvariga vårdgivaren rätt att ändra i de journalhandlingar som görs tillgängliga. Det förhållandet att nya handlingar kan fogas till den samlade elektroniska patientjournalen, som händelsevis rent logiskt kan vara för- varad på ett och samma fysiska datamedium, påverkar inte bedömningen att vårdgivarna endast har rätt att ta del av varandras handlingar. Det är alltså inte, som Socialstyrelsen har varit inne på, något helt nytt institut för utlämnande som tillskapas genom den sammanhållna journalföringen. Denna form av utlämnande visar tvärtom upp samma karaktäristiska drag som normalt läggs i begreppet direktåtkomst. Regeringen menar därför, som utredningen har föreslagit, att detta begrepp bör användas för att beskriva på vilket sätt journalhandlingar görs tillgängliga vid samman- hållen journalföring.

I linje med vad som sägs ovan om innebörden av begreppet direkt- åtkomst, och i enlighet med utredningens förslag om elektroniskt utlämnande mellan myndigheter inom en vårdgivare, bör det i lagen vidare klargöras att de myndigheter som ansvarar för hälso- och sjuk- vården inom ett landsting eller en kommun får lämna ut personuppgifter till varandra genom direktåtkomst, se 5 kap. 4 § patientdatalagen. De sekretessbrytande regler som krävs för att detta förslag ska kunna genomföras behandlas i avsnitt 13.1. Att ett sådant utlämnande sker är för övrigt i själva verket en förutsättning för att anställda vid andra myndigheter inom t.ex. ett landsting i praktiken ska kunna beredas till- gång till uppgifterna genom sådan intern elektronisk åtkomst som reg- leras i 4 kap. Se även avsnitt 13.2 och författningskommentaren till 5 kap. 4 §.

Begreppet direktåtkomst bör vidare, liksom i många andra registerförfattningar, användas för att beskriva en enskilds möjlighet att automatiserat få tillgång till uppgifter om honom eller henne själv, se 5 kap. 4 § patientdatalagen. En enskild kan medges direktåtkomst till sådana uppgifter om sig själv som behandlas för ändamålet vårddoku- mentation och som får lämnas ut till honom eller henne. Med direkt- åtkomst avses alltså därmed ett sätt att bereda sig automatisk tillgång till personuppgifter som finns elektroniskt tillgängliga i en vårdgivares organisation, men utan möjlighet att kunna bearbeta eller annars påverka uppgifternas innehåll.

Direktåtkomst är en särskilt integritetskänslig form av elektroniskt utlämnande av personuppgifter inom hälso- och sjukvården. Det finns därför anledning att genom reglering i patientdatalagen klargöra i vilka fall direktåtkomst får förekomma till personuppgifter som behandlas enligt lagen. Sådant utlämnande bör därför bara få ske i den utsträckning som medges i lag eller förordning.

Trots att begreppet direktåtkomst används i ett stort antal registerförfattningar har begreppet ännu inte definierats i någon lag. Utan övergripande analys och utredning om hur bestämmelserna om direkt- åtkomst tillämpas i de olika sammanhang de förekommer är det enligt regeringens mening inte lämpligt att nu definiera vad som avses med begreppet i patientdatalagen. Det är nämligen svårt att förutse vilka effekter en sådan åtgärd kan få för rättstillämpningen på andra områden. Vidare gör regeringen bedömningen att regleringen i 4 kap. inte skulle vinna nämnvärt i klarhet av att begreppet elektronisk åtkomst definieras i

Prop. 2007/08:126

76

Nuvarande reglering

Grundläggande bestämmelser om patientjournalföring inom hälso- och sjukvården finns i patientjournallagen (1985:562). Lagen ställer bl.a. krav på journalernas utformning, innehåll och hantering. Den gäller både inom allmän och enskild hälso- och sjukvård, inklusive tandvård. Lagen är teknikneutral och gäller alldeles oberoende av om journaler förs på papper eller elektroniskt.

Förs en patientjournal elektroniskt, innebär det att den ingår i ett vård- register. Begreppet vårdregister definieras inte närmare i lagen (1998:544) om vårdregister (vårdregisterlagen). Det är därför svårt att utläsa om en vårdgivare kan ha flera eller bara ett vårdregister i lagens mening. I praktiken är det emellertid vanligt att stora vårdgivare såsom landstingen inom sitt område har flera från varandra helt separata journalsystem som vart och ett skulle kunna betraktas som ett register.

Vårdregisterlagen är en speciallag som kompletterar men inte ersätter personuppgiftslagen (1998:204). Personuppgiftslagen gäller därför i de delar som vårdregisterlagen saknar bestämmelser (2 § vårdregisterlagen).

I personuppgiftslagen finns flera bestämmelser av betydelse för hanter- ingen av elektroniska patientjournaler. En viktig bestämmelse är att det alltid ska finnas en personuppgiftsansvarig, vilken torde vara identisk med vårdgivaren, som bl.a. ansvarar för att personuppgiftsbehandlingen i elektroniska patientjournaler sker lagenligt och att personuppgifterna som finns i ett vårdregister skyddas av lämpliga tekniska och organisa- toriska åtgärder.

Enligt personuppgiftslagen kan personuppgiftsansvar mycket väl vara delat mellan flera fysiska eller juridiska personer. Flera kan alltså vara personuppgiftsansvariga för samma personuppgiftsbehandling.

Regleringen av patientjournalföringen hindrar i sig inte sammanhållna journaler gemensamma för flera vårdgivare. Däremot är den sekretess som i allmänhet gäller för uppgifter i patientjournaler ett rättsligt hinder i sammanhanget. Bestämmelser om sekretess och tystnadsplikt finns i sekretesslagen (1980:100) och i lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.

Begreppet patientjournal är på en gång både ett klart avgränsat och ett diffust begrepp. Enligt 2 § patientjournallagen avses i lagen med be- greppet patientjournal; ”…de anteckningar som görs och de handlingar som upprättas eller inkommer i samband med vården och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden och om vårdåtgärder (journalhandlingar).” Begreppet är klart avgränsat i den mening att det avser en viss form av vårddokumentation som utförs till följd av en rättslig förpliktelse att dokumentera informationen. I den bemärkelsen har begreppet juridisk relevans. Det är också klart avgränsat såtillvida att en journal endast kan avse en viss patient.

Mer diffust blir det när man ska ange var en journal börjar och slutar och vad som är en eller flera fristående journaler beträffande en patient. Inte minst gäller det vid elektronisk patientjournalföring i ett informa- tionssystem som är gemensamt för alla vårdenheter och alla journal- föringspliktiga yrkeskategorier inom en vårdgivares verksamhet. Be- greppet patientjournal blir i denna bemärkelse snarast en samlings- beteckning för alla de olika slags journalhandlingar som, helt och hållet

Prop. 2007/08:126

80

beroende på hur journalföringen är organiserad, med tiden samlas kring en patient.

Överväganden

En diskussion om äganderätten till journaler och till vem den är knuten ger upphov till en rad frågeställningar av juridiskt komplicerad natur. Exempelvis är begreppet äganderätt i sig tämligen diffust och beskrivs i allmänhet genom en uppräkning av de olika slags rättigheter och inte sällan även skyldigheter som är förenade med just en ifrågavarande äganderätt.

I det följande anges några principiella ståndpunkter som regeringen menar gör det olämpligt att införa en lagstiftning som ger patienterna ett slags äganderätt till journalen eller som innebär att journalen inte längre ska vara knuten till vårdgivaren.

Det är regeringens uppfattning att patientjournaler även fortsättningsvis i första hand ska vara ett arbetsinstrument för hälso- och sjukvårds- personalen med en god och säker vård som främsta ändamål. Patient- säkerhetsskäl talar också för att de nuvarande grundläggande reglerna om bl.a. en skyldighet att föra journal som en del av hälso- och sjukvårdspersonalens medicinska yrkesansvar ska behållas.

Regeringen anser det inte lämpligt med en s.k. äganderätt för patienterna vilken skulle innefatta bestämmanderätt över huruvida journal ska föras eller inte och vad den ska innehålla, eftersom det skulle innebära oacceptabla risker för patientsäkerheten och försvåra för hälso- och sjukvårdspersonalen att utföra sitt arbete på ett professionellt och ansvarsfullt sätt. Det ska därför även i fortsättningen vara ett ansvar för vårdgivarna och verksamhetscheferna att journalföringen sker på ett lagenligt sätt och att journalerna hanteras och bevaras under betryggande former. En ordning som innebär att patienten själv förvarar och administrerar sin journal eller sina journaler i dess originalform, på elektroniskt medium eller på papper, går knappast att förena med vårdgivarnas ansvar i detta avseende.

Till detta kommer att journalen även fortsatt kommer att ha betydelse inte bara för patienten själv utan även som underlag vid verksamhetsupp- följning, kontroll och tillsyn eller i rättsliga sammanhang samt som källmaterial vid forskning och kvalitetssäkring för att ta några viktiga exempel. I dessa avseenden anser regeringen att det inte finns och inte heller bör finnas någon skillnad mellan allmän och enskild hälso- och sjukvård. Det saknar därför relevans att diskutera en ändring av tryck- frihetsförordningen för att tillförsäkra patienten en äganderätt till sin journal i de bemärkelser som här berörts.

Ett annat sätt att frikoppla journalen från vårdgivaren och i stället låta den följa patienten genom vårdapparaten skulle vara att patientens alla tidigare vårdgivare kan eller måste avhända sig sina journaluppgifter och överlämna dem direkt till nästa vårdgivare som i sin tur förvaltar journalen och fyller på den med nya uppgifter.

Regeringen anser dock att det inte är lämpligt med en ordning som innebär att vårdgivare endast förvaltar patientjournaler under begränsade perioder. Bl.a. skulle det försvåra olika slags uppföljning av vård. Vidare

Prop. 2007/08:126

81

bolagen skulle öka sin uppgiftsinsamling. I stället anser förbundet att positiva effekter kan uppstå såsom minskade kostnader för vårdgivarna genom att administrationen av intygsskrivandet blir mer effektiv. För- bundet påpekar vidare att med en bristfällig information är det risk att bolaget inte meddelar ett korrekt beslut eller till och med att utbetalning från försäkringen uteblir.

Pensionärernas Riksorganisation, PRO, anser att utredningens slutsats att inte nu föreslå ett nationellt system för ett sammanhållet journal- system är välgrundad men PRO menar att fördelarna med ett nationellt systemet är så övertygande att frågan på något sätt måste hållas levande. eHälsoinstitutet instämmer i utredningens bedömning av svårigheterna att skapa en obligatorisk sammanhållen journal men tycker att om inte lagen ska innehålla ett obligatorium så bör åtminstone en tidplan för genomförandet upprättas för att sätta press på att gemensamma system

utvecklas i så hög takt som möjligt.

IT-Företagen säger sig vara kritiska till den analys som utredningen gjort om förutsättningarna att skapa en för samtliga vårdgivare samman- hållen journal för varje patient och anser att utredningens förslag på denna punkt inte ska, kan eller får utgöra slutpunkt i behandlingen av ärendet. IT-Företagen anser det viktigt av flera skäl att detta avsnitt i betänkandet snarast får en förnyad och fördjupad prövning med tillgång till IT-expertis.

Svensk förening för medicinsk informatik, SFMI, är i huvudsak positiva till förslagen i betänkandet men anser att regeringen i sitt förslag till riksdagen bör överväga att också gå längre och inte bara ge möjlighet för vårdgivare som önskar att skapa en modern elektronisk hantering av patientdata utan också ange vissa tvingande krav. Vidare anför SFMI att ett viktigt ändamål med patientjournalen är att bidra till kvalitets- utvecklingen med studier om resultat i relation till vårdinsatser samt att bidra till den långsiktiga kunskapsutvecklingen i den medicinska forsk- ningen. Patientjournaler förda med hjälp av IT anser SFMI i dessa fall vara mycket effektivare instrument än pappersdokumentation.

Vårdförbundet stödjer ett system med sammanhållen journalföring men anser inte att det är nödvändigt eller ens önskvärt att all dokumentation om en vårdtagare ska vara sammanställd i ett enda dokument.

Akademikerförbundet SSR och Svensk Kuratorsförening framhåller i ett gemensamt svar att en sammanhållen journal skulle innebära att patienten förlorar den personliga integriteten vad gäller hans/hennes psykosociala situation. De anser därför att det är bra att utredningen inte föreslår att det ska införas någon skyldighet att på något område föra journal över vårdgivargränser.

Sveriges Läkarsekreterarförbund, LSF, menar att någon form av gemensam kravplattform måste ställas på de olika tekniska lösningarna så att systemen som skapas alltid kan kommunicera med andra system inom hälso- och sjukvården och att informationen alltid kan överföras digitalt.

Stroke-Riksförbundet och Hjärnskadeförbundet Hjärnkraft anser i ett gemensamt svar att det är viktigt att siktet är inställt på att uppnå en sammanhållen journal på nationell basis och att förslaget ska vara tvingande och inte som nu frivilligt. Förbunden anser det är nödvändigt att ange en tidpunkt när detta ska ha genomförts.

Prop. 2007/08:126

83

Svensk sjuksköterskeförening, SSF, instämmer i utredningens förslag och anser att en helhetsjournal över huvud taget inte är önskvärd utifrån integritetsaspekter.

Läkemedelsindustriföreningen, LIF, anser att målet måste vara att sträva efter införandet av en för samtliga vårdgivare sammanhållen journal i framtiden. Dessa journaler skulle, förutom att vara till nytta för den enskilde patientens vård, även vara värdefulla för forskning, kvalitetssäkring och andra typer av läkemedelsuppföljning, förutsatt att det sker med hänsyn till patientens integritet och erhållande av god- kännande från etikprövningsnämnderna. LIF efterlyser en mer djup- gående analys av hur man skulle kunna skapa en nationell patientjournal i framtiden.

Svensk förening för allmänmedicin, SFAM, tycker det är beklagligt att utredningen inte bedömer möjligheten att införa en helt sammanhållen journalföring som realistisk. SFAM framhåller att arbetet med att förenkla de elektroniska systemen och utöka de tekniska förutsätt- ningarna för kommunicerbarhet inte bör avstanna. Detta gäller särskilt de områden som är väsentliga för patientsäkerheten.

Svenska föreningen för barn- och ungdomspsykiatri instämmer i att det inte bör införas någon skyldighet att införa en för samtliga vårdgivare sammanhållen journal.

Oberoende konsult i IT- och ledningsfrågor samt Ledamöter i Konsul- tkollegiet är kritiska till utredningens slutsats och anser i ett gemensamt svar att förslaget är otillräckligt och vilseledande rörande möjligheterna till samordning av patientdata. Utredningens påstående att förutsättningar för samordning saknas anser de är felaktigt. De anser att en samordning ger patienten en ökad valfrihet, eftersom det blir lättare att jämföra och byta vårdgivare utan att alla undersökningar måste göras om på nytt. Det enda allvarliga hindret som de ser i dagsläget är den befintliga lagstift- ningen. De menar därför att utredningens förslag innebär att den existerande situationen cementeras.

Skälen för regeringens bedömning: Utgångspunkten för regeringen är att det i första hand är förbättrad patientsäkerhet som bör motivera om- fattande ändringar i den nuvarande rättsliga regleringen av patient- journalföringen. Ett problem när det gäller att värdera nyttan för patient- säkerheten med en sammanhållen patientjournal är att det saknas breda studier som uppskattat vilken inverkan på patientsäkerheten som följer av den nuvarande avsaknaden av sammanhållen journalföring.

De projekt som för närvarande pågår med att knyta samman journal- föringen inom ett landstings verksamhet är i huvudsak ännu under utveckling och några närmare utvärderingar i fråga om konkreta effekter på patientsäkerheten saknas. Någon analys av hur mycket patientsäker- heten kan antas öka med en för alla vårdgivare sammanhållen journal för varje patient är mot denna bakgrund inte möjlig att göra.

Regeringen instämmer dock i utredningens slutsats att man kan utgå från att ett väl fungerande informationssystem vari alla journalanteck- ningar om en patient samlas i strukturerad form, har en stor nytto- potential. Nytta kan antas uppstå både på det individuella planet i be- märkelsen nytta för patienten och på ett mer allmänt plan i bemärkelsen nytta för verksamheten som sådan och därmed nytta för samhället i stort. Med en journal som läggs upp för en individ i samband med hans eller

Prop. 2007/08:126

84

hennes födelse, alternativt vid annan första kontakt med svensk sjukvård, och sedan fylls på fram till dess patienten avlider, blir den potentiella tillgången till journalinformation optimal. Förutsatt att uppgifterna är korrekta och lätt åtkomliga torde patientsäkerheten generellt sett öka vid alla kommande vårdtillfällen. En gemensam journal ger vidare ett mångt bättre verktyg att följa upp och analysera de samlade vårdinsatserna för patienten än en patientjournal som är begränsad till den egna vården- hetens insatser.

En sammanhållen journal torde vidare, om den administreras och organiseras väl, avlasta hälso- och sjukvårdspersonalen från mycket onödigt administrativt arbete. En nationell, eller en regional, livslång patientjournal i ett sammanhållet informationssystem med strukturerade journalanteckningar enligt en enhetlig begrepps- och terminologiapparat skulle därutöver vara mycket värdefull som basmaterial för all slags forskning, kvalitetssäkring av hälso- och sjukvården, ekonomisk uppfölj- ning och liknande sekundära ändamål.

Även om antagandena ovan om nyttan med en för samtliga vårdgivare sammanhållen journal för varje patient skulle vara korrekta, krävs enligt regeringens mening att en rad förutsättningar är uppfyllda för att det ska vara lämpligt och rimligt med en författningsreglering som föreskriver en sådan sammanhållen journalföring som en obligatorisk ordning eller som huvudregel.

Man måste i sammanhanget betänka att hälso- och sjukvården har en organisatoriskt komplicerad och splittrad struktur. När man talar om en för alla vårdgivare gemensam journal, är det fråga om väldigt många vårdgivare med sinsemellan vitt skilda omfattning och verksamhets- inriktning allt från det stora landstinget till den lilla privata vårdgivaren. Det är ett stort antal privata vårdgivare som måste knytas samman i ett med landstingen och kommunerna gemensamt journalföringssystem för att man ska kunna tala om en för samtliga vårdgivare gemensam journal. Vidare är en grundläggande förutsättning för ett gemensamt system att all journalföring sker elektroniskt. I dag är datoriseringen av hälso- och sjukvården långt ifrån heltäckande.

Även om en utveckling pågår på många håll med att bygga upp IT- system som kommer att kunna hantera en samlad journalföring anser regeringen inte att tiden är mogen för att nu lagstiftningsvägen tvinga vårdgivarna till en gemensam elektronisk journalföring, vare sig på nationell nivå eller på landstingsnivå. Skälen härför är flera. Ett tungt vägande skäl är att det för närvarande saknas tekniska förutsättningar för att knyta samman vårdgivarnas befintliga journalföringssystem i ett informationssystem eller att ersätta dem med ett helt nytt gemensamt elektroniskt system. Troligen skulle man lagstiftningsvägen i viss utsträckning kunna påskynda utvecklingen, men det är ändå högst osäkert när det blir tekniskt möjligt att, med rimliga ekonomiska inve- steringar, på bred front samla ens landstingens totala journalföring i ett system för sammanhållna journaler som uppfyller de säkerhetskrav m.m. som måste ställas på hanteringen. Än längre tid kommer det att ta innan det blir möjligt att också infoga kommunerna och alla tusentals privata vårdgivare i ett sådant system.

Ett annat tungt vägande skäl mot en tvångslagstiftning är att det ännu saknas ett för hälso- och sjukvården enhetligt journalspråk. En unison

Prop. 2007/08:126

85

genomförs. Också Försäkringskassan anser att det finns orsak att ange journalföringens syfte. Socialstyrelsen anser att angivande av syftet med en patientjournal bl.a. lägger grunden för en mer ändamålsenlig vård- dokumentation samt underlättar framtagande av föreskrifter kring ända- målsenlig vårddokumentation.

Förbundet Sveriges arbetsterapeuter anser att det finns ett värde i att syftet preciseras, det vill säga att tillgodose patientens intresse av en god och säker vård. Landstinget Dalarna anser att patientjournalen är en viktig handling för utbildning och uppföljningsarbete utifrån bl. a. patientsäkerhetsaspekter och att det är viktigt att anonymiserade upp- gifter i journaler utan hinder kan användas i sådant arbete.

Skälen för regeringens förslag: Patientjournalföringen är av funda- mental betydelse för vård- och behandlingsarbetet inom hälso- och sjuk- vården. Dokumentationen av olika åtgärder kan vara helt avgörande för patientsäkerheten. Om vårdgivare kan ha elektronisk åtkomst till varandras journaler får dokumentationen rimligen ännu större betydelse än i dag. Det är mot denna bakgrund viktigt att regleringen på området är enkel och att den är anpassad till framtida förhållanden.

Vid sammanhållen journalföring blir det än viktigare att journalspråket är enhetligt, dvs. att de begrepp och termer som används är gemen- samma. En viktig utgångspunkt är också att regleringen inte föranleder onödigt administrativt arbete för hälso- och sjukvårdspersonalen. Samma journaluppgifter bör om möjligt bara noteras en gång eftersom dubbel- dokumentation tynger journalerna och gör dem svårtillgängliga. En enhetlig struktur underlättar för den som ska journalföra något att konstatera huruvida en uppgift redan finns antecknad i journalen och alltså inte behöver journalföras på nytt. Detta förutsätter att journal- föringen framöver blir mer enhetlig.

Socialstyrelsen arbetar med att ta fram en enhetlig informationsstruktur inom hälso- och sjukvården med bl.a. gemensamma standarder. En förut- sättning för sammanhållen journalföring är att det finns en enhetlig informationsstruktur, dvs. att dokumentationen följer vissa gemensamma regler som gör det möjligt för de olika vårdgivarnas IT-system att effektivt hantera informationen. En annan förutsättning för samman- hållen journalföring är att det finns en för hälso- och sjukvården gemen- sam begrepps- och terminologiapparat. Den nuvarande patientjournal- lagen är teknikneutral och gäller alldeles oberoende av huruvida journaler förs på papper eller elektroniskt. Eftersom det under över- skådlig tid kommer att förekomma att journaler förs helt eller delvis på papper bör därför bestämmelserna även fortsättningsvis vara teknik- oberoende.

Det ligger i sakens natur att en lagreglering på området inte kan göras uttömmande. Verksamheten på hälso- och sjukvårdsområdet är för komplex för att man i lag ska kunna reglera journalföringen i detalj. Lag- stiftningen kan därför bara innehålla de väsentligaste reglerna. Det måste därför bli fråga om en ramlagstiftning. Lagreglerna måste liksom i dag kompletteras med bl.a. föreskrifter om hur journaler mer i detalj ska föras.

Patientjournalen är i första hand ett arbetsinstrument för hälso- och sjukvårdspersonalen. Så som remissinstanserna framfört är journalens grundläggande syfte att tillgodose patientens intresse av en god och säker

Prop. 2007/08:126

89

angeläget att man genomför teknikskiftet fullt ut. En elektronisk journal ska signeras elektroniskt. Att ta ut journalen på papper från IT-systemet för att signera med en påskrift upplevs självklart som betungande. Det finns många former av elektroniska signaturer. Bedömning av vilken grad av säkerhet som krävs bör ske på myndighetsnivå.

Region Skåne anser att en fullständig sammanställning över vilka uppgifter en patientjournal ska innehålla bör finnas i patientdatalagen.

Landstinget Västmanland anser att det måste framgå av lagtexten exakt vilka uppgifter enligt krav från andra lagar som ska antecknas.

Landstinget Västerbotten menar att signering av journalhandling har den praktiska innebörden att den som signerat därmed tagit ansvar för att den information som signerats också lett till åtgärder som följer av informationen i journaltexten, av röntgenutlåtandet etc. I ett samman- hållet journalsystem har signeringen en än större betydelse. Möjligheten att regeringen eller den myndighet som regeringen bestämmer kan meddela undantag från signeringskravet bör därför hanteras mot denna bakgrund.

Svenska Läkaresällskapet framför synpunkten att journalen i första hand ska vara ett arbetsinstrument för hälso- och sjukvårdspersonalen. Patienten har inte rätt att avgöra vad som ska stå, men har rätt att få infört vad patienten inte tycker är riktigt. Journalen bör även vara sökbar både på sökord och fritext, så att information lätt kan hittas.

Svensk sjuksköterskeförening anser att signeringskravet ska finnas kvar som i nuvarande lagstiftning.

Vårdförbundet motsätter sig undantag från signeringskravet. Signeringskravet är motiverat av patientsäkerhetsskäl. Genom signer- ingen bekräftar man att innehållet är korrekt och man får också en möjlighet att reflektera över det man skrivit. Om det ändå genomförs undantag förutsätter Vårdförbundet att det sker först efter noggranna överväganden av vilka konsekvenser det kan ha för säkerheten i vården. De praktiska olägenheterna med signering torde därför inte vara något större problem i framtiden.

Svensk förening för medicinsk informatik anser att när det gäller signering av uppgifter som lämnar ett system bör övervägas krav på avancerade elektroniska signaturer. Föreningen påpekar också att evidensbaserad sjukvård med kliniska riktlinjer och vårdprogram från olika källor blir allt viktigare delar av en god vård. Den ökande kunskapen gör det möjligt att ställa krav på användning av sådana. En viktig utveckling sker av datoriserade sådana kunskapsstöd. En förut- sättning för ett effektivt utnyttjande är dock att patientdokumentationen förs med hjälp av IT.

Svenska Diabetesförbundet anser att det bör utredas vidare om huruvida någon form av kvalitetssäkring i journalföring kan införas.

Skälen för regeringens förslag: Av patientjournallagens förarbeten framgår att det grundläggande syftet med patientjournalen är en god och säker vård av patienten. Journalen ska i första hand kunna användas av hälso- och sjukvårdspersonalen som ett arbetsinstrument för planering, genomförande och uppföljning av vården. Journalföringen ger också samhället möjlighet att utöva tillsyn över hälso- och sjukvården. Journaluppgifter utnyttjas också i flera andra för hälso- och sjukvården viktiga sammanhang, t.ex. i klinisk och epidemiologisk forskning.

Prop. 2007/08:126

92

Patientjournallagens bestämmelser utgör minimiregler och anger alltså vad som minst måste dokumenteras i en patientjournal. Därutöver finns bestämmelser i andra författningar om vad journalen ska innehålla. Patientjournallagen innehåller inga bestämmelser som anger hur mycket information som en patientjournal får innehålla. Av 5 § lagen (1998:544) om vårdregister (vårdregisterlagen) följer dock att en elektroniskt förd patientjournal endast får innehålla de uppgifter som enligt lag eller annan författning ska antecknas i en patientjournal. Den får även innehålla andra uppgifter som antecknas i och för vården av patienter samt uppgifter som behövs för den ekonomiadministration som föranleds av vård i enskilda fall. Mot bakgrund av det sagda föreslås därför att det i patientdatalagen införs en bestämmelse som motsvarar nuvarande reglering i vårdregisterlagen om hur mycket information som en patient- journal får innehålla. Bestämmelsen innebär att en journal, liksom i dag, får utöver vad som sägs i patientdatalagen innehålla de uppgifter som enligt lag eller annan författning ska antecknas i en patientjournal. Därmed avses även sådana handlingar som inkommer från patienten eller andra i samband med vården och som innehåller uppgifter som rör vården av patienten. Vidare får journalen innehålla andra uppgifter som behövs i och för vården av patienter eller som behövs för sådan administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall. Bestämmelsen kommer således att avse uppgifter som omfattas av personuppgiftsbehandling för ändamålet vårddokumentation. För tydlig- hetens skull bör här nämnas att uppgift om att det finns spärrade patient- uppgifter utgör vårddokumentation och således får finnas i en patient- journal.

Bestämmelserna i patientdatalagen ska endast ange de grundläggande kraven på vad en patientjournal ska innehålla och särregler om journalers innehåll ska finnas i andra författningar. Regeringen föreslår därför att 3 § tredje stycket 6 patientjournallagen om att information och samtycke som har lämnats enligt lagen (2002:297) om biobanker i hälso- och sjukvården m.m. (biobankslagen) ska dokumenteras i patientjournalen flyttas till biobankslagen.

För att rättelse av en journaluppgift på patientens begäran ska ske krävs att den som ansvarar för uppgiften är ense om felaktigheten. Patienten har även en möjlighet att få journaluppgifter förstörda men detta är möjligt endast i undantagsfall. Det behövs därför ett komplement till bestämmelserna om rättelse och journalförstöring. Regeringen föreslår därför en ny bestämmelse om att det i journalen ska antecknas om en patient anser att en uppgift är oriktig eller missvisande. En sådan be- stämmelse bör ingå bland de grundläggande reglerna om patientjournal- föring. Det har i utredningen framförts vissa farhågor om att bestämmel- sen kan komma att leda till merarbete för journalföraren samt även risk för att journalföraren, med tanke härpå, avstår från att journalföra viss information som man anar att patienten kan ha invändningar emot. I vilken omfattning patienter kommer att vilja anmärka på journal- anteckningar sammanhänger inte minst med i vilken mån patienter faktiskt utnyttjar sin rätt att få läsa sin journal. Bestämmelsen om att patientens anmärkningar ska antecknas kan lika gärna innebära en lättnad för journalföraren såsom ett sätt att lösa en meningsskiljaktighet med

Prop. 2007/08:126

93

av felaktiga uppgifter i en patientjournal. Vid rättelse av en felaktighet ska det enligt gällande rätt anges i anteckningen när rättelsen har skett och vem som har gjort rättelsen. Vid behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad gäller bestämmelserna om rättelse i 28 § personuppgiftslagen. Socialstyrelsen föreslår att bestämmelsen om rättelse flyttas och placeras före bestämmelsen om förstöring av uppgifter i en patientjournal. På så sätt blir det tydligare att rättelse är den åtgärd som först ska övervägas. Enligt Region Skåne borde respektive landsting/region ha möjlighet att på eget initiativ utplåna felaktiga uppgifter när det är uppenbart att personal inom hälso- och sjukvården infört felaktiga uppgifter i journalen.

Skälen för regeringens förslag: Av 6 § patientjournallagen följer att uppgifter i en journalhandling inte får utplånas eller göras oläsliga i andra fall än efter särskilt förordnande av Socialstyrelsen enligt 17 § patientjournallagen. Av samma bestämmelse följer att det vid rättelse av en felaktighet ska anges när rättelsen har skett och vem som har gjort den. Samma krav på hur rättelser ska utföras gäller för både den enskilda och den allmänna hälso- och sjukvården. Kraven innebär bl.a. att en rättelse i en journalhandling alltid måste göras så att den ursprungliga texten klart framgår också efter rättelsen. Det är inte tillåtet att utplåna den ursprungliga texten. Av 13 § vårdregisterlagen följer att 6 § patientjournallagen också gäller vid rättelse av uppgifter i ett vårdregister som grundar sig på dokumentationsskyldighet enligt patientjournallagen. Bestämmelserna anger hur rättelser ska utföras. Det finns inga bestämmelser som anger när rättelser måste göras. Felaktigheter i journalhandlingar måste givetvis rättas när de upptäcks. Det är ur patientsäkerhetssynpunkt mycket viktigt att uppgifter i journalhandlingar är riktiga. När det gäller patientjournaler som omfattas av personuppgiftslagen anges i 28 § nämnda lag att den personupp- giftsansvarige är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana uppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av den lagen. För elektroniskt förda journaler följer av 13 § vårdregister- lagen att denna skyldighet även gäller beträffande personuppgifter som behandlats i strid med lagen. Detta gäller inte om åtgärderna skulle strida mot bestämmelserna i patientjournallagen. Utöver skyldigheten att vidta rättelse på den registrerades begäran måste den personuppgiftsansvarige enligt bestämmelserna i 9 § första stycket personuppgiftslagen självmant vara aktiv för att se till att behandlade uppgifter är korrekta samt att fel- aktigheter rättas.

Enligt regeringens bedömning finns det inte några behov att ändra de nuvarande bestämmelserna om rättelse. Dessa bör således föras över oförändrade till patientdatalagen.

Prop. 2007/08:126

96

invändningar mot att spara personuppgifter längre än nödvändigt men vad gäller patientjournaler anser rådet att det är motiverat. En bevarande- tid på tio år motiveras av patientsäkerhet och medicinsk kvalitet. Dess- utom underlättas patientens möjlighet att föra talan mot vårdgivaren. Svenska Läkaresällskapet anser att bevarandetiden ska vara minst tio år och att bild och funktionsmedicinska underlag ska betraktas som en del av den sammanhängande journalen och ha en nationell tillgänglighet. Reumatikerförbundet menar att det för kroniskt sjuka krävs en livslång förvaring eftersom sjukdomsförlopp kan vara av snabbare eller långsammare natur. Det kan vara svårt att avgöra vad som kan ha betydelse i framtiden för en patient. Stroke-Riksförbundet och Hjärn- skadeförbundet Hjärnkraft anser att journalhandlingar bör bevaras i åtminstone 20-25 år eftersom behandling och rehabilitering tar lång tid.

Svensk förening för medicinsk radiologi menar att den medicinska utvecklingen och forskningen blir begränsad med en arkiveringstid på tre år. Arkiveringstiden för journalhandlingar med tillhörande bilddiagnos- tiskt material borde förlängas minst till tio år gärna till 30 år.

Skälen för regeringens förslag: I 8 § första stycket patientjournal- lagen föreskrivs att en journalhandling ska bevaras minst tre år efter det att den sista uppgiften fördes in i handlingen. Bestämmelsen gäller såväl allmän som enskild hälso- och sjukvård. Av förordningen (1986:203) om förlängd bevarandetid för vissa journalhandlingar inom hälso- och sjuk- vården framgår när journalhandlingar ska bevaras i minst tio år. Det är journalhandlingar rörande patient vars sak prövas eller har prövats enligt vissa rättsliga förfaranden, journalhandlingar inom tandvården som kan ha betydelse för rättsodontologisk identifiering samt journalhandlingar rörande patienter födda vissa datum varje månad och som inte kan ute- slutas ha betydelse för forskningsändamål. Längre bevarandetider kan också vara föreskrivna i andra lagar.

I 8 § andra stycket patientjournallagen anges att för journalhandlingar som utgör allmän handling gäller, med de undantag som följer av första stycket, arkivlagen (1990:782) samt de bestämmelser som meddelas med stöd av arkivlagen. Bestämmelsen innebär att när den minsta tiden för bevarande har löpt ut beträffande sådana journaler som är allmänna handlingar träder arkivlagens huvudregler om bevarande och gallring in. Dessa innebär en presumtion för bevarande men medgivande till gallring på bestämda villkor.

I fråga om elektroniskt förda patientjournaler inom den enskilda hälso- och sjukvården följer av 9 § första stycket och i tredje stycket person- uppgiftslagen att personuppgifter inte får bevaras under en längre tid än vad som är nödvändigt med hänsyn till de ändamål för vilka uppgifterna behandlas eller så länge uppgifterna därefter behövs för historiska, statistiska eller vetenskapliga ändamål.

I ett särskilt yttrande i utredningens betänkande anmäler flera av de i utredningen ingående experterna en avvikande uppfattning angående utredningens förslag om bevarandetid för patientjournaler. Experterna anför att dagens regel om att journaler inte behöver sparas längre tid än tre år efter sista anteckningen, ter sig alltför kort t.ex. för behandling av miljörelaterade sjukdomar, uppföljning av cancer och implantat. För visst journalmaterial t.ex. vid läkemedelsskador som visar sig efter lång tid är

Prop. 2007/08:126

98

Utredningens förslag: Överensstämmer i princip med regeringens förslag.

Remissinstanserna: Majoriteten av remissinstanserna har inget att anföra mot utredningens förslag. Socialstyrelsen har anfört att skyldig- heten att den som ansvarar för en journalhandling ska beredas tillfälle att yttra sig innan ansökan om förstöring prövas slutligt bör tas bort. Västra Götalands läns landsting och Sahlgrenska Universitetssjukhuset föreslår att även en vårdgivare ska ha möjlighet att ansöka hos Socialstyrelsen om att helt eller delvis utplåna en journal. Detta kan t.ex. bli aktuellt om man hos vårdgivaren upptäcker att en uppgift av misstag förts in i fel journal. Sveriges Försäkringsförbund saknar en tydlighet vad gäller tolkningen av de olika förutsättningarna för att få en ansökan om journalförstöring beviljad. Allt fler ansökningar motiveras av att uppgiften hindrar personen att teckna försäkring alternativt från att erhålla försäkrings- ersättning. Swedish Medtech påpekar att förstörd journalhandling, eller uppgift i sådan, ibland finns som kopia i ett back-up system. För att lagen i detta avseende ska vara teknikneutral måste problemet med att uppgifter finns kvar i back-up system hanteras. Riksförbundet för social och mental hälsa anser att regelverket för förstörande av journaluppgifter som inne- håller felaktiga eller kränkande uppgifter bör ses över.

Skälen för regeringens förslag: Enligt 17 § patientjournallagen får Socialstyrelsen, efter ansökan av en patient eller annan person som omnämns i en patientjournal, under vissa förutsättningar förordna att en journal helt eller delvis ska förstöras. För detta krävs dels att den enskilde anför godtagbara skäl för ansökan, dels att journalen eller den del därav som ska förstöras uppenbarligen inte behövs för patientens vård och dels att det från allmän synpunkt uppenbarligen inte finns skäl att bevara journalen. Genom inskränkningen att det från allmän synpunkt uppenbar- ligen inte finns skäl att bevara journalen ges en möjlighet att beakta olika samhällsintressen som avser journalmaterialet – t.ex. insynen, forskningen, ekonomin i vården. Det överlämnas till Socialstyrelsen att ange i vilken utsträckning samhället har behov av att journalmaterialet bevaras. Av 13 § vårdregisterlagen följer att den nämnda bestämmelsen i patientjournallagen också gäller vid förstöring av uppgifter i ett vård- register som grundar sig på dokumentationsskyldighet enligt patient- journallagen. Beslutet om förstöring kan avse hela journalen eller en del därav.

Bestämmelsen om journalförstöring innebär att samtliga journalhand- lingar som innehåller uppgifter som enligt beslut ska förstöras omfattas av beslutet. Förstöring ska ske av både originalhandlingen och kopior eller avskrifter och detta oberoende av om handlingarna förvaras inom hälso- och sjukvården eller utanför, t.ex. hos Försäkringskassan eller domstol. I de fall en journalhandling finns hos någon annan än den som ansvarar för patientjournalen måste följaktligen handlingen begäras åter.

Vid förstöring av uppgifter i elektroniska journaler finns uppgifterna ibland kvar i ett back-up system. Av Socialstyrelsens föreskrifter och allmänna råd om patientjournallagen följer att journalsystemen ska vara så utformade att det finns möjlighet att förstöra hela eller delar av patientjournalen. Det är därför o ckså av vikt att det finns rutiner för att säkerställa att förstöringen även omfattar eventuella uppgifter i back-up kopior.

Prop. 2007/08:126

100

regeringen bestämmer ges möjlighet att meddela kompletterande bestäm- melser.

Socialstyrelsen anser att det föreligger behov av ändringar i terminologin samt ytterligare termer i den föreslagna lagen i klargörande syfte. Bl.a. anser Socialstyrelsen att det bör övervägas att låta begreppen sammanhållen journalföring och direktåtkomst/elektronisk åtkomst ersättas med sammanhållen patientjournal respektive elektronisk åtkomst.

Östersunds kommun anser att en sammanhållen journalföring medför ökad patientsäkerhet genom att viktig information direkt blir tillgänglig när journalanteckning finns. Kommunen anser att ett arbete för att ut- veckla gemensamma begrepp och termer bör prioriteras för att underlätta för hälso- och sjukvårdspersonalen och för att undvika missförstånd.

Sahlgrenska Universitetssjukhuset, SU, tycker att det är en fördel att utredningens förslag möjliggör olika modeller för sammanhållen journal- föring. Man kan enligt SU tänka sig att vissa delar av journalen, som kan antas ha intresse vid vård hos andra vårdgivare, ges en gemensam utformning hos alla vårdgivare. Den sammanhållna journalföringen behöver då till att börja med endast omfatta dessa delar. SU anser att då sammanhållen journal skapas, bör alla vårdgivare som ingår i en aktuell vårdkedja eller vårdprocess medverka i den sammanhållna journalen med relevanta journaluppgifter. Enligt SU:s uppfattning borde direktåtkomst vid sammanhållen journalföring tillåtas även för vetenskapliga ändamål, när detta prövats enligt lagen (2003:460) om etikprövning av forskning som avser människor.

Svenska Läkaresällskapet framhåller vikten av att informationen måste kunna passera över vårdgivargränser med tanke på att många multisjuka vårdas hos flera olika vårdgivare.

Svensk förening för medicinsk radiologi önskar ett förtydligande om att det bild- och funktions medicinska underlaget ligger med i begreppet sammanhållen journal.

Statens medicinsk-etiska råd, SMER, ifrågasätter förhållandet att förutsättningarna för direktåtkomst skiljer sig beroende på om patienten befinner sig i sitt eget landsting eller hos en annan vårdgivare. Rådet vill också aktualisera frågan om journaluppgifter som finns tillgängliga i nordiska eller andra internationella patientregister.

Vidare har ett antal remissinstanser påpekat andra för deras verksamhet eventuellt problematiska konsekvenser av förslaget. Apoteket AB påtalar att konsekvenser av sammanhållen journalföring och enskilds möjlighet att spärra uppgifter uppkommer för Apotekets verksamhetsklassning som aktör inom hälso- och sjukvårdens område. Detaljhandel med läkemedel är definierat som hälso- och sjukvård i lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Däremot räknas apoteksverksamhet inte som hälso- och sjukvård enligt hälso- och sjukvårdslagen (1982:763). Det existerar således olika uppfattningar om huruvida Apotekets hela eller delar av verksamheten gällande detaljhandel med läkemedel är att betrakta som hälso- och sjukvård.

Om Apoteket räknas som hälso- och sjukvård blir överföring av uppgifter mellan förskrivare och apotek en intern överföring inom hälso- och sjukvården. Informationsöverföring kan då ske så länge samtycke finns från patient. Om en patient spärrat sina journaluppgifter och

Prop. 2007/08:126

104

därefter får ett e-recept av sin läkare eller om patienten av apoteket får sitt läkemedel utbytt till utbytbar produkt inom läkemedelsförmånen uppstår en situation där spärren kan göra att det finns ett hinder för informationsöverföring. För denna situation behövs en reglering gällande möjlighet att, när spärr finns, göra undantag för överföring av vissa uppgifter inom hälso- och sjukvården eller uppgifter till en viss mottagare t.ex. apoteksverksamhet.

Om Apoteksverksamhet inte räknas som hälso- och sjukvård innebär detta att lagligt hinder finns för att göra en extern överföring dvs. utanför hälso- och sjukvården för förskrivare t.ex. översändande av e-recept från förskrivare inom hälso- och sjukvården till apoteket även när samtycke från patient finns. Även för denna situation behövs en reglering gällande möjlighet att, när spärr finns, göra undantag för överföring av vissa upp- gifter inom hälso- och sjukvården eller uppgifter till en viss mottagare t.ex. apoteksverksamhet.

Skälen för regeringens förslag: Regeringens förslag är att en reglering införs som innebär att vårdgivare under vissa förutsättningar kan få direktåtkomst till varandras elektroniska journalhandlingar och andra personuppgifter som behandlas för ändamål som rör vårddokumentation. Förslaget handlar således om en reglering som tillåter ett elektroniskt system för att göra vårddokumentation åtkomlig över vårdgivargränser genom ett visst sätt för ett elektroniskt utlämnande. Begreppet sammanhållen journalföring föreslås att användas som benämning för detta system. Genom systemet med sammanhållen journalföring ges möjlighet för sjukvårdshuvudmännen och de privata vårdgivarna att på frivillig väg bygga upp system för elektroniskt utlämnande i gemensamma databaser eller andra gränsöverskridande informationssystem för vårddokumentation.

Patientdatalagen ska enligt 1 kap. 1 § tillämpas vid en vårdgivares behandling av personuppgifter inom den individinriktade hälso- och sjukvården. Definitionen av hälso- och sjukvård framgår av 1 kap. 3 § patientdatalagen. Det framgår även av 6 kap. 1 § patientdatalagen att vårdgivarna får ha direktåtkomst till andra vårdgivares personuppgifter som behandlas för vårddokumentation inom hälso- och sjukvården, se 2 kap. 4 § i denna lag. Verksamhet som exempelvis avser detaljhandel med läkemedel omfattas därmed inte av bestämmelserna om samman- hållen journalföring och kan därmed inte ingå i ett sådant system med stöd av patientdatalagen. Utlämnandet av uppgifter i läkemedelsför- teckningen till den registrerade eller till förskrivare inom hälso- och sjuk- vården ska även fortsättningsvis regleras av lagen (2005:258) om läke- medelsförteckning och alltså inte av patientdatalagen, se avsnitt 6.2.

I avsnitt 7.6 har föreslagits att direktåtkomst bara ska vara tillåten i den utsträckning som medges i lag eller förordning. Regeringen föreslår därför att det i patientdatalagen tas in en bestämmelse som tillåter direkt- åtkomst vid sammanhållen journalföring. Direktåtkomst används i patientdatalagen för att beskriva en viss form av elektroniskt utlämnande när den som är ansvarig för informationen inte har kontroll över vilka uppgifter som en mottagare vid ett visst tillfälle tar del av – automatiserad tillgång – och att mottagaren av informationen inte kan på- verka innehållet i det informationssystem eller register som informa- tionen lämnas ut från. Mottagaren har möjlighet att ta del av innehållet i

Prop. 2007/08:126

105

t.ex. en elektronisk handling utan att för den skull kunna ändra i eller till- föra ny information till de uppgifter som utlämnaren ansvarar för. Se när- mare om begreppets innebörd i avsnitt 7.6.

Enligt regeringens förslag får sammanhållen journalföring omfatta inte bara journalhandlingar utan även annan vårddokumentation, se avsnitt 7.1. Av detta framgår bl.a. att det i ett system för sammanhållen journal- föring inte finns något hinder mot att vårdgivarna upprättar gemensamma patientöversikter med t.ex. sammanställningar av viss basinformation, sökregister m.m.

Hur systemen kommer att byggas upp får vårdgivarna själva be- stämma. Den reglering av förutsättningar för direktåtkomsten som före- slås i det följande, kommer dock att innebära vissa krav på systemen. Med det avses att systemen tekniskt och organisatoriskt måste utformas och anpassas så att dessa krav kan uppfyllas.

Det kan anmärkas att förslagen i det följande om förutsättningar för sammanhållen journalföring inte innebär några inskränkningar i för- hållande till de möjligheter som i dag finns till överföring, elektroniskt eller manuellt, av journalhandlingar eller andra patientuppgifter mellan vårdgivare. De krav som uppställs för den sammanhållna journalföringen är helt knutna till att utlämnandet sker genom direktåtkomst. För informationsutbyte på andra sätt kommer i princip samma regler att gälla som i dag.

Det grundläggande systemet för patientjournalföring behöver inte för- ändras för att vara tillämpligt vid sammanhållen journalföring. Vad som menas med patientjournal och journalhandling har berörts tidigare bl.a. i avsnitt 9. Här kan tillfogas att patientjournalen närmast är en samman- hållande term för den samling av sinsemellan fristående journal- handlingar som har det gemensamt att de i vidare mening berör vården av en patient, se t.ex. prop. 1994/85:189 s. 15. För själva begreppet patient- journal innebär det inte någon avgörande skillnad om journalhandlingar samlas från flera vårdgivare eller inte. En patientjournal kan med andra ord bestå av journalhandlingar från en enda eller från flera vårdgivare. Regeringen ser alltså inte anledning att införa en helt ny juridisk be- greppsfigur för det senare fallet.

Fortfarande är emellertid ansvaret för själva journalföringen i första hand knutet till den journalföringspliktiga yrkesutövaren. Varje elek- tronisk journalhandling kommer genom förslaget även i fortsättningen att vara knuten till en viss vårdgivare som ansvarar för handlingar som upp- rättas eller inkommer i den egna verksamheten.

Prop. 2007/08:126

106

10.2Patientens inflytande m.m. vid sammanhållen journalföring

Regeringens förslag: Patienten får en rätt att efter att ha blivit infor- merad om vad sammanhållen journalföring innebär, motsätta sig att vårddokumentation rörande honom eller henne görs tillgänglig för andra vårdgivare. Sådana uppgifter ska spärras. Undantag från före- gående regel föreslås dock. Patienten har inte rätt att motsätta sig att uppgift om att det finns spärrade uppgifter om patienten samt uppgift om vilken vårdgivare som har spärrat uppgifterna, får göras tillgänglig för andra vårdgivare genom sammanhållen journalföring. En annan vårdgivare får dock endast vid en akut nödsituation, ta del av uppgift om vilken vårdgivare som har spärrat uppgifterna.

Vårdnadshavare till ett barn har vidare inte rätt att spärra uppgifter om barnet. I takt med barnets stigande ålder och mognad får dock barnet själv spärra uppgifterna.

För att en vårdgivare ska få bereda sig tillgång till ospärrade upp- gifter krävs att uppgifterna rör en patient som vårdgivaren har en aktuell patientrelation med och att uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten inom hälso- och sjukvården samt att patienten samtycker till det. Beträffande ett barns uppgifter gäller inte kravet på samtycke.

Med patientens samtycke får direktåtkomst också användas om det behövs för att på patientens begäran utfärda intyg om patientens på- gående eller tidigare vård.

En vårdgivare får dock också ha direktåtkomst till spärrade eller ospärrade uppgifter om en patient vid sammanhållen journalföring om patienten inte kan begära att spärren hävs eller om patientens sam- tycke när det gäller ospärrade uppgifter inte kan inhämtas och det föreligger fara för patientens liv eller det annars föreligger allvarligt risk för dennes hälsa (en akut nödsituation). Vid en sådan situation får vårdgivaren ta del av uppgiften om vilken vårdgivare som har spärrat uppgifterna alternativt gjort de ospärrade uppgifterna tillgängliga. Om vårdgivaren med anledning av denna uppgift bedömer att uppgifterna om patienten kan antas ha betydelse för den vård som patienten ound- gängligen behöver, får vårdgivaren behandla uppgifterna. Avseende spärrade uppgifter om en patient krävs att vårdgivaren begär att den vårdgivare som har spärrat uppgifterna häver spärren.

Direktåtkomst vid sammanhållen journalföring får därutöver inte användas under andra förutsättningar, inte ens med patientens samtycke.

Utredningens förslag: Överensstämmer till största delen med reger- ingens förslag. Regeringens förslag innebär att det inte är möjligt för vårdnadshavare att spärra sina barns vårddokumentation. I takt med barnets stigande ålder och utveckling får dock barnet själv spärra upp- gifterna. Regeringens förslag innebär också att spärrar i en journal kan hävas i vissa nödsituationer.

Remissinstanserna: Ett mycket stort antal remissinstanser har lämnat synpunkter på denna del av förslaget till ny lag. En majoritet av

Prop. 2007/08:126

107

instanserna instämmer i förslaget men förordar undantag som hindrar vårdnadshavare att spärra uppgifter i sina barns journal samt framhåller behovet av att kunna häva en spärr i journalen om detta behövs för vård i en akutsituation. I huvudsak instämmer remissinstanserna därmed i vad som anförs i de särskilda yttranden som lämnats i betänkandet. Förslagen om hur dessa undantag ska genomföras varierar dock mellan remiss- instanserna. Många av remissinstanserna framhåller också behovet av god information till patienten om vad det innebär att stå utanför systemet med samlad journal samt vad en spärr i journalen kan innebära för möjligheterna att ge vård i en akutsituation. Några remissinstanser har även påpekat vikten av att s.k. varningsinformation, t.ex. uppgifter om allergi eller smitta inte bör kunna spärras av patienten. Vidare har några instanser tagit upp frågan om att lagstiftningen bör utformas så att möjligheten finns att forcera en spärr i journalen för att kunna rädda patienten vid en krissituation där patienten själv är oförmögen att ge sitt medgivande.

Bland andra Justitieombudsmannen, Barnombudsmannen, Socialstyrel- sen och Sveriges Kommuner och Landsting, samt ett stort antal landsting, kommuner, intresseförbund och sjukhus är av åsikten att ett undantag bör göras från utredningens förslag vad gäller vårdnadshavares möjlighet att spärra uppgifter i sina barns journal. Remissinstanserna instämmer här i det särskilda yttrande som lämnats av Anders Ekbom, Gösta Jedberger, Gabriella Kollander Fållby, Ulla Lönnqvist Endre och Göran Stiernstedt, i vilket föreslås att journaluppgifter om skador hos barnet inte bör kunna spärras om de behövs för att kunna bedöma om anmälningsskyldighet föreligger till sociala myndigheter så att dessa kan ingripa till barnets skydd.

T.ex. anser Justitieombudsmannen, JO, att det är önskvärt med ett sy- stem där vårdnadshavare i vissa fall undantas från rätten att låta spärra uppgifter om sina barn men konstaterar att det torde vara mycket svårt att i lagtext formulera en sådan särskild undantagsbestämmelse. JO vill därför inte förespråka en särreglering för det aktuella fallet men fram- håller att det är av stor vikt att det sker en uppföljning av systemet, inte minst vad avser barnperspektivet. JO framhåller vidare att det är ange- läget att de olika frågor som rör underårigas ställning i hälso- och sjuk- vården blir föremål för en samlad översyn.

Barnombudsmannen, BO, ställer sig också tveksam till utredningens förslag i den del som innebär att vårdnadshavares har möjlighet att spärra sina barns journaler. BO anser att detta kraftigt försämrar barns och ungas skydd mot försummelse, övergrepp och våld och att en sådan spärr försvårar för vårdpersonal att göra en bedömning om anmälnings- skyldighet enligt 14 kap. 1 § socialtjänstlagen (2001:453). Vidare påpekar BO att en annan konsekvens som spärrningsmöjligheten kan leda till är att de barn vars vårdnadshavare utnyttjar denna möjlighet går miste om de fördelar som det kan innebära att ha en sammanhållen journalföring. Barnombudsmannen vill här betona att i de fall då avvägningar och prioriteringar måste göras mellan de centrala målen att, å ena sidan bibehålla ett starkt integritetsskydd för patienter, och å andra sidan stärka patientsäkerheten, väger den senare målsättningen tyngre utifrån ett barnperspektiv.

Prop. 2007/08:126

108

Socialstyrelsen anser å sin sida att det är en angelägen uppgift att närmare följa upp och utreda konsekvenser i synnerhet för barns och patienters integritetsskydd och patientsäkerhet med anledning av den föreslagna rätten för patienten att spärra patientjournaler.

Sveriges Kommuner och Landsting, SKL, anser att större hänsyn borde tagits till möjligheterna för vårdpersonal att ta del av uppgifter om skador på barn i ett sammanhållet journalsystem så att vårdens möjligheter att upptäcka sådana förhållanden som är anmälningspliktiga till social- tjänsten förbättrats. Även Länsrätten i Uppsala län framför att det är viktigt att den anmälningsskyldighet som finns enligt socialtjänstlagen inte försvåras av möjligheten för vårdnadshavare att spärra uppgifter i sina barns journal. Även om spärrade uppgifter i sig kan utgöra en misstanke om att ett barn far illa anser länsrätten att denna fråga bör utredas närmare.

Stockholms stad, Göteborgs kommun, Region Skåne, Landstinget Halland, Örebro läns landsting, Landstinget Dalarna, Karolinska Universitetssjukhuset, Sveriges läkarförbund, Svensk sjuksköterskeföre- ning m.fl. anser att journaluppgifter inte ska kunna spärras om de behövs för att bedöma anmälningsskyldighet till sociala myndigheter.

Vidare framhåller en stor mängd remissinstanser behovet av att kunna häva en spärr vid en akut nödsituation där tillgång till uppgifter är av- görande för att rädda patientens liv samt att s.k. varningsinformation, t.ex. smitta eller överkänslighet, ska framgå i journalen och inte kunna spärras. Exempel på instans som framför sådana synpunkter är Sveriges Kommuner och Landsting, SKL, som anser att möjligheten för en patient att i ett sammanhållet journalsystem spärra även så kallad varnings- information direkt motverkar en säker vård. Om förslaget i denna del blir lag anser SKL att Socialstyrelsen bör få i uppdrag att noga följa detta så att kunskap vinns på nationell nivå om patientsäkerhetseffekterna. Även Nacka kommun instämmer i det särskilda yttrandet om att det personliga självbestämmandet bör begränsas när en persons liv är i fara eller riskerar allvarlig invaliditet och alla fakta behövs för att personalen inom akutverksamhet ska kunna göra en räddande insats. Göteborgs kommun anser att en möjlighet att bryta spärren då en patient på grund av sitt hälsotillstånd saknar förmåga att agera, hade kunnat öka patient- säkerheten. Nordmalings kommun anser att en svaghet i förslaget är att varningssymboler ej kommer vårdpersonalen tillgodo om patienten väljer att spärra sin journal. Luleå kommun anser att om patientens liv är i fara eller det föreligger risk för allvarlig invaliditet, ska spärren kunna forceras, liksom när inte längre autonomi föreligger t.ex. vid demens- sjukdom. Stockholms läns landsting anser att det vid en akutsituation bör gå att forcera en spärr i förhållande till annan vårdgivare. I vart fall är det angeläget att lagstiftningen inte förhindrar att vårdgivare som samverkar i ett system för sammanhållen journalföring får behandla spårinformation om spärrar, med syftet att i en akutsituation kunna skicka en begäran om utlämnande till den vårdgivare/myndighet som förvarar spärrad dokumentation. Detta kan visa sig särskilt angeläget i ett stort landsting som Stockholms läns landsting, som till stor del låter olika vårdgivare utföra hälso- och sjukvården. Socialstyrelsen å sin sida framför även andra skäl för möjligheten att häva en spärr. Myndighetens anser att om förslaget om spärrar genomförs så bör undantag göras så att patienten

Prop. 2007/08:126

109

Regeringen anser det eftersträvansvärt att den nya regleringen och möjligheterna till sammanhållen journalföring inte kombineras med restriktioner som tvingar vårdgivarna att hålla sig med parallella, separata informationssystem; ett system för patienter som accepterar den sammanhållna journalföringen och ett system för dem som inte gör det. I stället bör regleringen ta sikte på hur tillgängligheten till journalin- formation och annan vårddokumentation ska kunna begränsas i syfte att skydda patienters personliga integritet.

En viktig utgångspunkt i denna fråga är att hitta lösningar som är praktiskt smidiga och så pass enkla att tillämpa att de inte skapar en administrativ börda eller annat betydande merarbete i hälso- och sjuk- vårdspersonalens dagliga arbete och därmed riskerar att förta nyttan i stort med sammanhållen journalföring.

En ytterligare utgångspunkt för förslagen i det följande är att det i första hand inte handlar om sekretessfrågor eller andra lagstiftnings- tekniska problem utan att fokus i stället sätts på frågorna i sak. Hur bör ett tillfredsställande integritetsskydd konstrueras? I vad mån bör detta skydd ta sig uttryck i att patienten har medbestämmanderätt över informationstillgången i sådana breda system som sammanhållen journal- föring kan innebära? Hur kan medbestämmandet i så fall konkretiseras?

Nedan kommer bl.a. bestämmelser om direktåtkomst att diskuteras. Som framgått av avsnitt 7.6 har sådana bestämmelser inte sekretess- brytande effekt i sig. De sekretessbrytande bestämmelser som regeringen föreslår för att de förslag som lämnas i detta kapitel ska kunna genom- föras behandlas i avsnitt 10.4.

Nuvarande regler

Att föra patientjournaler är i dag en skyldighet för vissa yrkeskategorier inom hälso- och sjukvården. Denna skyldighet gäller oberoende av patientens inställning till dokumentationen som sådan. Eftersom patientens samtycke till vård och behandling som huvudregel är en förutsättning för hälso- och sjukvården, får en enskild som motsätter sig journalföringen antingen avstå från vården eller låta bli att lämna upplysningar som annars skulle ha antecknats i journalen.

Förs en patientjournal elektroniskt, ingår den i ett vårdregister som omfattas av lagen (1998:544) om vårdregister (vårdregisterlagen) och personuppgiftslagens (1998:204) tillämpningsområde. Enligt dessa lagar får personuppgifter behandlas i vårdregister oberoende av patientens inställning till personuppgiftsbehandlingen. Patientens samtycke till registreringen eller annan personuppgiftsbehandling krävs alltså inte. Enligt gällande rätt har en patient således inget rättsligt sanktionerat inflytande över huruvida patientjournaler förs eller om de förs elektroniskt. Inte heller har patienten någon omedelbar rätt enligt regleringen för personuppgiftsbehandling, i personuppgiftslagen eller vårdregisterlagen, till inflytande över eventuell överföring av journal- uppgifter mellan olika vårdgivare, om överföringen sker i vårdsyfte eller för andra ändamål som avses i 3 eller 4 §§ vårdregisterlagen.

Patientens rätt i sistnämnt avseende härrör i stället från grundläggande regler om respekt för patientens självbestämmande och integritet i hälso-

Prop. 2007/08:126

111

möjlighet kan därmed sägas bli kringskuren genom ett missriktat integritetsskydd.

Mot bakgrund av detta anser regeringen det befogat att införa en be- stämmelse som innebär en möjlighet för vårdgivaren att forcera en spärr i journalen vid en situation där patienten själv inte kan ge sitt medgivande men där de spärrade uppgifterna i journalen behövs för att kunna rädda patientens liv eller förhindra att patienten drabbas av allvarlig invaliditet.

Då möjligheten att forcera en spärr kan upplevas som känslig för patienten är det viktigt att systemet med forcering är utformat så att det både tillgodoser patientens bästa i vårdsituationen men också så långt som möjligt skyddar patientens integritet genom att andra spärrade upp- gifter som inte kan antas ha betydelse för den vård som patienten ound- gängligen behöver inte per automatik görs tillgänglig vid en forcering.

För att säkerställa detta föreslår regeringen att en vårdgivare får begära att en spärr hävs vid en akut nödsituation om patienten inte själv kan häva spärren. Vid en sådan akut nödsituation ska vårdgivaren få ta del av uppgift om vilken eller vilka vårdgivare som har spärrat uppgifterna. Om vårdgivaren med ledning av denna uppgift bedömer att de spärrade upp- gifterna kan antas ha betydelse för den vård som patienten ound- gängligen behöver, får vårdgivaren begära hos den vårdgivare som har spärrat uppgifterna att denne häver spärren.

I ett fall där en vårdgivare behöver få tillgång till spärrade uppgifter vid en akut nödsituation ska systemet vara utformat så att vårdgivaren som ett första steg får ta del av uppgift om vilken eller vilka vårdgivare som har spärrat uppgifterna. Vårdgivaren kan i detta skede endast se upp- giften vid vilken eller vid vilka vårdgivare spärrar gjorts, inte specifikt vid vilken vårdenhet eller vad för typ av behandling som spärrats hos annan vårdgivare eller hos andra vårdgivare. Med ledning av denna upp- gift ska vårdgivaren som ett andra steg bedöma om de spärrade upp- gifterna kan antas ha betydelse för den vård som patienten ound- gängligen behöver. Endast uppgifter som kan antas ha en sådan betydelse får hävas. Vårdgivaren ska i sådana fall begära hos den vårdgivare som har spärrat uppgifterna att denne häver spärren. Då dessa spärrar sedan i steg två hävts får vårdgivaren full tillgång till den information som finns under just dessa spärrar.

Genom dessa bestämmelser om att uppgifterna ska antas ha betydelse för den vård som patienten oundgängligen behöver och genom att vård- givare som har spärrat uppgifterna framgår först vid en akut nödsituation, skapas en extra säkerhet för patienten i och med att vårdgivaren inte får tillgång till all information direkt. Regeringen förutsätter att vårdgivarna som väljer att ingå i systemet med sammanhållen journalföring bygger upp ett för den enskilde och för vården effektivt och tryggt system för att efterleva dessa bestämmelser. Patienten ska vidare så snart det är möjligt informeras om vilka spärrar som har hävts och av vem samt i vilket syfte.

Liknande bestämmelser föreslås att gälla även för ospärrade uppgifter i fall där det föreligger en akut nödsituation och patientens samtycke inte kan inhämtas enligt 6 kap. 3 § patientdatalagen, se 6 kap. 4 § andra stycket patientdatalagen. Se även avsnitt 11.3 och om patientens möjlig- het att begränsa elektronisk åtkomst för vårdsyfte inom en vårdgivare.

En del remissinstanser, bl.a. Sveriges Kommuner och Landsting samt Socialstyrelsen, har framfört synpunkten att viss s.k. varningsinforma-

Prop. 2007/08:126

114

alltså inte kunna samtycka till att direktåtkomsten via sammanhållen journalföring används för andra syften än de uttryckligen tillåtna.

Slutligen kan framhållas att direktåtkomst vid sammanhållen journal- föring bara reglerar ett visst sätt att göra journaler tillgängliga över gränser, elektroniskt och utan föregående sekretessprövning i varje en- skilt fall. För det fall en vårdgivare vill använda andra vårdgivares upp- gifter för t.ex. verksamhetsuppföljning, får uppgifterna begäras ut på samma sätt som i dag, dvs. kontakt får tas med de andra vårdgivarna med en begäran om att få del av uppgifterna, varefter en sekretessprövning måste göras.

Sammanfattning och avslutande synpunkter

Sammanfattningsvis föreslår regeringen således att den enskilde patienten, i skede 1, ska ha en rätt att motsätta sig att uppgifter görs till- gängliga för andra vårdgivare i den sammanhållna journalföringen. Utnyttjar patienten sin rätt, ska uppgifterna spärras. Spärrade uppgifter får inte vara tekniskt åtkomliga genom direktåtkomst för andra vård- givare med undantag för om det är fråga om en akut nödsituation. Upp- gift om att det finns spärrade uppgifter och uppgift om vilken vårdgivare som har spärrat uppgifterna får dock göras tillgänglig. En annan vård- givare får ta del av uppgiften om vilken vårdgivare som har spärrat upp- gifterna endast under de förutsättningar som anges när det är fråga om en akut nödsituation, se nedan.

Ett undantag från föregående regel föreslås dock när det gäller vård- nadshavares möjlighet att spärra uppgifter i sina barns vårddokumenta- tion. Undantaget innebär att en vårdnadshavare inte har rätt att spärra sina barns uppgifter. I takt med barnets stigande ålder och utveckling får dock barnet själv spärra uppgifterna.

För det fall patienten inte motsätter sig ett tillgängliggörande i den sammanhållna journalföringen, föreslås att hans eller hennes samtycke som huvudregel ska vara en förutsättning i det senare skedet, skede 2, då personal hos en vårdgivare behöver ta del av uppgifter som en annan vårdgivare dokumenterat. Vidare ska endast vårdgivare hos vilken en aktuell patientrelation förekommer får ta del andra vårdgivares vård- dokumentation via direktåtkomst samt att uppgifterna ska antas ha betydelse för vården av patienten. Direktåtkomst får vidare användas för att på patientens begäran utfärda intyg.

Undantag från huvudregeln om spärrade uppgifter gäller som nämnts vid en akut nödsituation där patientens medgivande inte kan inhämtas och där fara föreligger för patientens liv eller för allvarligt handikapp. En vårdgivare får vid en sådan akut nödsituation häva spärren och bereda sig tillgång till en annan vårdgivares journaluppgifter om det behövs för den vård patienten oundgängligen behöver även om patientens samtycke inte kan inhämtas.

Det är viktigt att även i en sådan nödsituation så långt möjligt respektera de spärrar som patienten gjort. Systemet med sammanhållen journalföring ska därför utformat så att vårdgivaren som ett första steg får ta del av uppgift om vilken eller vilka vårdgivare som har spärrat uppgifterna. Vårdgivaren kan i detta skede endast se uppgiften vid vilken

Prop. 2007/08:126

118

I Skede 1

A) Patienten motsätter sig inte sammanhållen journalföring.

Uppgifterna får göras tillgängliga för andra vårdgivare (ospärrade uppgifter). Andra vårdgivare kan få del av uppgifterna, om villkoren under II.A. är uppfyllda.

Patienten kan när som helst begära att uppgifterna spärras.

B) Patienten motsätter sig sammanhållen journalföring

Uppgifterna får inte göras till- gängliga för andra vårdgivare. De blir därmed tillgängliga endast hos den vårdgivare där uppgifterna har inhämtats. Andra vårdgivare kan få del av uppgifterna, om undan- taget under II.B. är uppfyllt.

Patienten kan när som helst

119

II Skede 2

A) Ospärrade uppgifter

Huvudregel

Annan vårdgivare får i vårdsyfte ta del av uppgifterna, om patienten samtycker till det, om uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten och om det finns en patientrelation mellan vårdgivaren och patienten eller om det finns eller har funnits en sådan patient- relation, med patientens samtycke, för att utfärda ett intyg om vården.

B) Spärrade uppgifter

Huvudregel

Annan vårdgivare kan i huvudsak inte ta del av uppgifterna. Dock framgår det att det finns spärrade uppgifter.

Annan vårdgivare får vid en akut nödsituation ta del av uppgifterna om patientens samtycke inte kan inhämtas och uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver.

Annan vårdgivare får i vårdsyfte ta del av uppgifterna, om spärren på begäran av patienten hävs och villkoren enligt huvudregeln för ospärrade uppgifter är uppfyllda. Annan vårdgivare får också ta del av uppgifterna vid en akut nödsituation om patienten inte kan begära att spärren hävs och uppgifterna kan antas ha betydelse för den vård som patienten ound- gängligen behöver.

Utredningens bedömning: Överensstämmer med regeringens bedöm- ning. Utredningen har dock inte tagit ställning fullt ut till i vilken utsträckning ospärrade uppgifter som en vårdgivare gjort tillgängliga för andra vårdgivare inom ramen för ett system med sammanhållen journalföring utgör allmänna handlingar hos sistnämnda vårdgivare.

Remissinstanserna: En majoritet av remissinstanserna har inget att erinra mot utredningens bedömning.

Kammarrätten i Stockholm anser att kombinationen av tryckfrihets- förordningen, sekretesslagen (1980:100) och dataskyddsdirektivet är förödande i ett begriplighetsperspektiv. Utredningen gör en föredömlig ansträngning att klara ut förhållandena men svårbegripligheten och otydligheten kvarstår, trots dessa ansträngningar. Frågan om de uppställda förutsättningarna i 6 kap. 3 och 4 §§ patientdatalagen utgör en sådan rättslig begränsning som avses i 2 kap. 3 § tredje stycket tryckfrihetsförordningen måste enligt kammarrättens mening klargöras innan förslaget om sammanhållen journalföring genomförs. Att, såsom utredningen gör, hänvisa till att allmänhetens möjlighet att få ut handlingar med stöd av tryckfrihetsförordningen på grund av sekretessregleringen är mycket små, anser kammarrätten inte är tillräckligt. Myndigheterna måste veta om en handling är förvarad hos dem eller inte för att därefter göra en sekretessprövning. Enligt kammarrättens mening bör villkoren i 6 kap. 3 och 4 §§ patientdatalagen utgöra en sådan rättslig begränsning som avses i tryckfrihetsförordningen 2 kap. 3 § tredje stycket.

Promemorians bedömning: Överensstämmer med regeringens. Remissinstanserna: Remissinstanserna har inget att erinra mot

promemorians bedömning. Kammarrätten i Stockholm välkomnar att frågan hur begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsför- ordningen förhåller sig till förutsättningarna för en sammanhållen journalföring numera har belysts.

Skälen för regeringens bedömning

Gällande rätt

I den allmänna hälso- och sjukvården omfattas journalhandlingar och annan vårddokumentation av 2 kap. tryckfrihetsförordningens bestäm- melser om allmänna handlingar. Enligt 2 kap. 3 § första stycket tryckfri- hetsförordningen förstås med en handling framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. En handling är allmän, om den för det första förvaras hos en myndighet och för det andra enligt bestämmel- serna i 2 kap. 6 § eller 7 § tryckfrihetsförordningen anses som inkommen till eller upprättad hos en myndighet. Detsamma gäller om vården be- drivs av kommunala företag enligt de förutsättningar som anges i 1 kap. 9 § sekretesslagen. När det i det följande talas om myndighet inkluderas även sådana företag.

Enligt 2 kap. 3 § andra stycket första meningen tryckfrihetsförord- ningen anses en upptagning förvarad hos en myndighet, om upptag- ningen är tillgänglig för myndigheten med tekniskt hjälpmedel som

Prop. 2007/08:126

121

myndigheten själv utnyttjar för överföring i sådan form att den kan avläsas, avlyssnas eller på annat sätt uppfattas. För förvaringskriteriet är det utan betydelse om förfogandet avser handlingar som genererats i myndighetens egen verksamhet eller som är inkomna t.ex. genom att myndigheten har direktåtkomst till andra organs elektroniska informa- tion.

Genom en ändring av 2 kap 3 § tryckfrihetsförordningen som trädde i kraft den 1 januari 2003 har det ur förvaringshänseende gjorts en åtskill- nad mellan, å ena sidan, färdiga elektroniska handlingar och, å andra sidan, handlingar som utgör sammanställningar av uppgifter ur en upp- tagning för automatiserad behandling, också kallat potentiella handlingar. Någon legal definition av de båda handlingsslagen har dock inte införts. Åtskillnaden mellan handlingsslagen har betydelse för frågan om en upptagning är en allmän handling eller inte.

Från huvudregeln om när upptagningar ska anses förvarad hos en myndighet finns två undantag som bara tar sikte på sammanställningar av uppgifter ur en upptagning för automatiserad behandling. Undantagen, eller inskränkningarna, gör ingen skillnad mellan inkomna och upp- rättade handlingar. Det första undantaget föreskrivs i 2 kap. 3 § andra stycket andra meningen tryckfrihetsförordningen och innebär att en sammanställning av uppgifter ur en upptagning bara anses förvarad hos myndigheten, om myndigheten kan göra sammanställningen tillgänglig med rutinbetonade åtgärder. Sammanställningar som inte kan tas fram genom rutinbetonade åtgärder, anses däremot inte förvarade hos myndig- heten och utgör alltså inte allmänna handlingar. Det andra undantaget i fråga om förvaringskriteriet föreskrivs i 2 kap. 3 § tredje stycket samma lag och innebär att en sammanställning av uppgifter ur en upptagning inte anses förvarad hos myndigheten, om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar be- fogenhet att göra sammanställningen tillgänglig; den s.k. begräns- ningsregeln. Syftet med bestämmelsen är att allmänheten inte med stöd av offentlighetsprincipen ska kunna ta del av sammanställningar av upp- gifter ur upptagningar som myndigheten av hänsyn till skyddet för enskildas integritet själv är rättsligen förhindrad att ta fram i sin egen verksamhet. Endast begränsningar i lag eller förordning – t.ex. förbud i s.k. registerförfattningar för en myndighet att använda vissa sökbegrepp eller att ta fram sammanställningar genom samkörning mellan olika register – är relevanta, prop. 1975/76:160 s. 87 f. och prop. 2001/02:70 s. 23. Begränsningsregeln gäller även om sammanställningen kan tas fram med rutinbetonade åtgärder.

Som nämnts omfattas färdiga elektroniska handlingar inte av någon av nämnda undantagsregler från huvudregeln. Sådana handlingar är alltid att anse som förvarade hos en myndighet även om det krävs mer än rutin- betonade åtgärder för att göra dem tillgängliga och även om de innehåller personuppgifter och det i lag eller förordning finns förbud för myndigheten att använda vissa sökbegrepp vid sökning efter handling- arna (prop. 2001/02:70 s. 38).

I 2 kap. 6 § tryckfrihetsförordningen anges när en handling anses inkommen till en myndighet. I fråga om upptagningar gäller att den anses inkommen i samma ögonblick som den är att anse som förvarad hos myndigheten på sätt som anges i 3 § andra stycket samma lag. Det krävs

Prop. 2007/08:126

122

emellertid att det är någon utanför myndigheten som har vidtagit den åtgärd som gjort handlingen tillgänglig för myndigheten. Är det någon vid den egna myndigheten som vidtagit åtgärden, får bedömas om handlingen är upprättad i enlighet med 2 kap. 7 § tryckfrihetsförord- ningens olika kriterier på när en handling är att anse som upprättad. Huvudregeln är att en handling anses upprättad först då den har expedierats eller annars föreligger i ett slutligt skick på sätt närmare anges i paragrafen. Från huvudregeln finns några undantag varav ett ofta ansetts vara tillämpligt på journalhandlingar som kan finnas i en patientjournal, se t.ex. prop. 1984/85:189 s. 15 f. Enligt detta undantag gäller för diarium, journal samt sådant register eller annan förteckning som förs fortlöpande, att en handling anses upprättad när den har färdigställts för anteckning eller införing, se 7 § andra stycket 1 samma lag.

Regeringens bedömning

Begreppet patientjournal är, som framgår av 2 § patientjournallagen, en sammanhållande term för den samling av sinsemellan fristående hand- lingar, journalhandlingar, som har det gemensamt att de i vidare mening berör vården av en enskild patient.

Då flera vårdgivares personal för journal i ett elektroniskt infor- mationssystem som är tillgängligt för de samarbetande vårdgivarna, är det varje separat journalhandling och inte patientjournalen som sådan som utgör utgångspunkten för vad som ska anses höra till en myndighet och för vilken myndigheten ansvarar. Varje myndighet eller privata vård- givare för vid sammanhållen journalföring in uppgifter i egna journal- handlingar. Likaså bör de separata journalhandlingarna utgöra utgångs- punkten för vad som ska anses utgöra allmänna handlingar hos myndigheter som deltar i den sammanhållna journalföringen. Patient- journalen som sådan utgör alltså inte en enstaka allmän handling, om däri ingår journalhandlingar från flera olika myndigheter. Det sammanhänger med att varje allmän handling är antingen upprättad hos eller inkommen till en förvarande myndighet enligt tryckfrihetsförordningens regelverk. En enskild allmän handling kan alltså inte vara både och hos samma myndighet.

Endast sådana handlingar som framställs i en myndighets egen verk- samhet kan vara upprättade hos den myndigheten. Om en befatt- ningshavare som för in en uppgift i en journalhandling tillhör en myndig- het, blir upptagningen en förvarad och upprättad allmän handling hos den egna myndigheten. För det fall en patient motsätter sig att uppgiften görs tillgänglig för andra vårdgivare genom sammanhållen journalföring, ska uppgiften spärras. Den får då inte göras elektroniskt tillgänglig för andra vårdgivare. Spärrade uppgifter blir alltså inte allmänna handlingar hos andra myndigheter som är anslutna till sammanhållen journalföring. Fortfarande är upptagningen dock en förvarad och upprättad allmän handling hos den myndighet som ansvarar för uppgiften.

Om uppgiften inte spärras utan görs tillgänglig för andra till informa- tionssystemet anslutna myndigheter, blir uppgiften enligt huvudregeln i 2 kap. 3 § andra stycket första meningen tryckfrihetsförordningen att

Prop. 2007/08:126

123

anses som en förvarad och inkommen allmän handling hos varje ansluten annan myndighet redan genom den tekniska och potentiella möjlighet som dessa har att ta fram uppgiften. Även journalhandlingar och andra uppgifter som görs tillgängliga för myndigheter av privata vårdgivare, blir redan vid tillgängliggörandet inkomna allmänna handlingar hos alla anslutna myndigheter som tekniskt kan bereda sig tillgång till uppgifterna.

Det kan dock tänkas att system skapas där förvaringskriteriet möjligen inte bör anses uppfyllt på ett så tidigt stadium. T.ex. vid lösningar som innebär att patienten själv förfogar över ett åtkomstkort, ett smart card, som måste sättas in i en läsapparat eller liknande för att ge en myndighet möjligheter att läsa uppgifter som finns i andra vårdgivares journal- handlingar. I sådant fall kan det ifrågasättas om myndigheten verkligen disponerar över möjligheten att ta fram uppgiften i läsbar form. För att förvaringskriteriet ändå ska vara uppfyllt räcker det dock att en enda befattningshavare vid en myndighet, t.ex. tjänstgörande chefsläkare på en akutmottagning, har möjlighet att utan åtkomstkortet ta fram uppgiften.

Från huvudregeln om när en upptagning ska anses förvarad hos en myndighet finns, som framgått tidigare, två undantag som anges i 2 kap. 3 § andra stycket andra meningen och tredje stycket tryckfrihets- förordningen. Dessa undantag gäller, som tidigare nämnts, endast för sammanställningar av uppgifter ur en upptagning för automatiserad behandling. dvs. potentiella handlingar, men inte för s.k. färdiga elektroniska handlingar. Det kan diskuteras i vilken utsträckning elek- troniska patientjournalsystem innehåller färdiga elektroniska handlingar. EKG-kurvor och signerade recept torde kunna tas som exempel på färdiga elektroniska journalhandlingar. Detsamma gäller signerade journalanteckningar som kan tas fram gång på gång. Regeringen har ingen möjlighet att här dra upp riktlinjer för den närmare gränsen mellan de båda handlingsslagen. Den avgränsningen får överlåtas åt rätts- tillämpningen.

Fråga är då i vilken mån den s.k. begränsningsregeln (2 kap. 3 § tredje stycket) är tillämplig på sammanställningar av ospärrade uppgifter i system för sammanhållen journalföring. I avsnitt 10.2 föreslås vissa bestämmelser som reglerar under vilka förutsättningar myndigheterna får behandla uppgifter i andra vårdgivares journalhandlingar eller annan vårddokumentation som de har direktåtkomst till (6 kap. 3 och 4 §§ patientdatalagen). De förutsättningar som måste vara för handen för att uppgifterna ska få behandlas är bl.a. att det ska finnas en aktuell patientrelation, att uppgifterna kan antas ha betydelse för vården av patienten och att patienten samtycker till användningen eller att patientens samtycke inte kan inhämtas och uppgifterna kan antas ha betydelse för den vård patienten oundgängligen behöver.

Utredningen framhöll att det från integritetssynpunkt vore bra om regler som föreskriver villkor för att en vårdgivare ska få behandla personuppgifter innebär att sammanställningen anses förvarad hos vård- givaren endast om villkoren är uppfyllda. Samtidigt betonades att det för de intressen som bär upp offentlighetsprincipen är viktigt med en restriktiv tolkning av tryckfrihetsförordningens bestämmelser om när handlingar inte ska anses vara allmänna.

Prop. 2007/08:126

124

Som framgått av redovisningen av gällande rätt ovan tar begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsförordningen sikte på förbud i lag eller förordning för en myndighet att göra vissa sammanställningar eller att använda vissa sökbegrepp. Bestämmelsen om förbjudna sökbegrepp i 2 kap. 8 § i den föreslagna lagen är ett exempel på en sådan inskränkning. När det gäller bestämmelser om s.k. ändamålsbegränsningar som finns i särskilda registerförfattningar, dvs. bestämmelser om för vilka ändamål personuppgifter får behandlas i en myndighets verksamhet, gäller enligt personuppgiftslagen, till den del den är tillämplig, den s.k. finalitetsprincipen. Denna princip innebär att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlats in (9 § första stycket d). I för- arbetena till personuppgiftslagen har dock uttalats att en myndighets ut- lämnande av pesonuppgifter med stöd av offentlighetsprincipen inte kan anses oförenlig med de ändamål för vilka uppgifterna ursprungligen sam- lades in (prop. 1997/98:44 s. 44). Regler om ändamålsbegränsningar isär- skilda registerförfattningar anses inte heller i sig inskränka myndigheters skyldighet enligt offentlighetsprincipen att sammanställa personuppgifter (SOU 2004:6 s. 246). Eventuellt samtycke från enskilda anses vidare generellt sakna betydelse för frågan om en handling är allmän eller inte. De aktuella villkoren för behandling av personuppgifter i 6 kap. 3 och 4 §§ patientdatalagen kan således inte anses utgöra sådana rättsliga begränsningar som bestämmelsen i 2 kap. 3 § tredje stycket tryckfrihets- förordningen avser. En sammanställning av ospärrade uppgifter som en annan vårdgivare gjort tillgängliga för en vårdgivande myndighet är så- ledes förvarad hos myndigheten, och därmed en allmän handling, i den mån sammanställningen kan göras tillgänglig med rutinbetonade åtgärder (se 2 kap. 3 § andra stycket andra meningen tryckfrihetsförordningen) och utan användning av förbjudna sökbegrepp (2 kap. 3 § tredje stycket tryckfrihetsförordningen och 2 kap. 8 § patientdatalagen).

En konsekvens av att ospärrade uppgifter i ett system med samman- hållen journalföring som huvudregel utgör allmänna handlingar hos alla anslutna myndigheter, alldeles oavsett vem som infört uppgifterna i sy- stemet, är att en begäran att få del av sådana uppgifter kan göras hos vem som helst av de anslutna myndigheterna. En begäran att få ta del av en allmän handling måste vidare prövas av den eller de myndigheter hos vilken begäran görs, se 2 kap. 14 § tryckfrihetsförordningen. Myndig- heter har dock vissa möjligheter att hänvisa sökanden till en annan myndighet, se 2 kap. 12 § andra stycket andra meningen tryckfrihets- förordningen. Om begäran avslås, får sökanden föra talan mot beslutet hos domstol, se 15 kap. 7 § sekretesslagen. Med tanke på den stränga sekretess som råder för uppgifterna i patientjournaler torde dock möjlig- heterna för allmänheten att med stöd av tryckfrihetsförordningens bestämmelser få del av allmänna handlingar hos myndigheter inom hälso- och sjukvården vara mycket små.

Journaluppgifter, som hos offentliga vårdgivare utgör allmän handling, utgör inte allmän handling hos en privat vårdgivare, som är ansluten till systemet och har tillgång till uppgifterna. Frågan om samma journaluppgifts utlämnande kommer således att regleras på olika sätt, beroende på om begäran görs hos en offentlig eller en privat vårdgivare.

Prop. 2007/08:126

125

Remissinstanserna: Majoriteten av remissinstanserna har inget att anföra mot utredningens förslag.

Justitieombudsmannen, JO, konstaterar att det, för att den vårdgivare som gör uppgifter tillgänglig för andra vårdgivare vid sammanhållen journalföring inte ska behöva göra någon sekretessprövning i varje enskilt fall i förhållande till dessa vårdgivare, föreslås att det i sekretess- lagen införs ett undantag från hälso- och sjukvårdssekretessen. Undan- taget innebär att sekretessen inte hindrar att en uppgift lämnas till en myndighet inom hälso- och sjukvården eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdata- lagen. I utredningens betänkande uttalas att något motsvarande undantag inte behövs för den enskilda hälso- och sjukvården. Utredningen har inte närmare motiverat sin uppfattning utan endast hänvisat till att det vid tolkningen av obehörighetsrekvisitet i bestämmelsen om tystnadsplikt i 2 kap. 8 § lagen om yrkesverksamhet på hälso- och sjukvårdens område har ansetts naturligt att söka ledning i sekretesslagens regler. Enligt JO:s uppfattning finns det anledning att överväga att införa ett motsvarande undantag i lagen om yrkesverksamhet på hälso- och sjukvårdens område.

Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Har inget att erinra mot regeringens förslag.

Skälen för regeringens förslag

En ny bestämmelse som bryter sekretessen mellan vårdgivare enligt vad som föreskrivs om sammanhållen journalföring

Uppgifter inom den offentligt bedrivna hälso- och sjukvården omfattas av sekretesslagens bestämmelser. Sekretessen inom just hälso- och sjuk- vården regleras i främst 7 kap. 1 c–3 §§ och 6 § sekretesslagen, se beskrivning av sekretesslagen i avsnitt 5.6.

Redan då vårddokumentation förs in i den sammanhållna journal- föringen utan att spärras, så att den är potentiellt tillgänglig för andra vårdgivare eller myndigheter, sker ett utlämnande i tryckfrihetsförord- ningens och sekretesslagens mening. Genom förslaget att vårddokumen- tationen ska få göras tillgänglig om den enskilde inte motsätter sig det, råder i praktiken en presumtion för att uppgifterna får lämnas ut. En förutsättning för att så ska kunna ske är dock att sekretesslagstiftningen inte hindrar utlämnandet.

Hälso- och sjukvårdssekretessen med sitt omvända skaderekvisitet förutsätter en prövning i varje särskilt fall av om vårddokumentationen kan lämnas ut utan men för den enskilde eller någon närstående till honom eller henne. Vidare kan utlämnande efter en sådan särskild men- prövning normalt bara göras till en mottagare som har ett konkret vård- syfte. I den sammanhållna journalföringen förutsätts emellertid utläm- nandet ske i det närmaste rutinmässigt. Det förutsätts också att upp- gifterna kan lämnas ut till ett större antal anslutna vårdgivare beträffande vilka det är högst osäkert vem eller vilka av dem som kommer att ha ett faktiskt behov av uppgifterna. Hälso- och sjukvårdssekretessen utgör således ett hinder mot sammanhållen journalföring. Inte heller är de sekretessbrytande undantagen som behandlats i avsnitt 5.6 möjliga att

Prop. 2007/08:126

127

rutinmässigt tillämpa då uppgifter lämnas ut vid sammanhållen journal- föring. Det utlämnande som sker då journaluppgifter förs in i ett system för sammanhållen journalföring utan att spärras motiveras nämligen inte annat än möjligtvis i undantagsfall av att det skulle vara nödvändigt för den utlämnande myndighetens behov. Undantagsbestämmelsen i 1 kap. 5 § sekretesslagen ger alltså inte stöd för den sammanhållna journal- föringen. Inte heller finns det någon sådan uppgiftsskyldighet som avses i 14 kap. 1 § sekretesslagen som legaliserar utlämnandet till andra myndig- heter inom hälso- och sjukvården. Tillämpningsområdet för undan- tagsfallen i 14 kap. 2 § sekretesslagen är otillräckligt för den samman- hållna journalföringen och generalklausulen i 14 kap. 3 § sekretesslagen är inte tillämplig på hälso- och sjukvårdens område.

Det sekretessbrytande undantag i gällande rätt som det ligger närmast till hands att åberopa vid sammanhållen journalföring är bestämmelsen i 14 kap. 4 § sekretesslagen om att den enskilde kan efterge sekretessen. Regeringen instämmer dock i utredningens bedömning att patienten normalt kommer att göra ett passivt val som är alltför oklart och generellt för att kunna godtas som en sådan eftergift av sekretessen som avses i 14 kap. 4 § sekretesslagen. I sammanhanget måste beaktas att patientens ”samtycke” ofta är villkorat på så sätt att han eller hon gör valet utifrån vetskapen om att i ett senare skede, skede 2, kunna kontrollera vilken vårdgivare som tar del av uppgifterna. Vidare kan efter det att journal- uppgifterna förts in, flera vårdgivare komma att anslutas till den sammanhållna journalföringen och få tillgång till uppgifterna. För tilltron till informationsutbytet är det av fundamental betydelse att det rättsliga stödet för detta inte kan sättas i fråga.

Som inledningsvis sagts måste sekretessprövningen göras redan då den journalförande vårdgivaren för in en uppgift i en journalhandling, om den därigenom blir tekniskt tillgänglig för andra vårdgivare i den samman- hållna journalföringen. Att en patient måhända i ett senare skede, skede 2, samtycker till att en annan vårdgivare tar del av uppgiften genom att slå fram uppgiften, kan alltså inte ha någon sekretessbrytande verkan enligt 14 kap. 4 § sekretesslagen, eftersom uppgiften redan är att anse som utlämnad i skede 1.

Sammanfattningsvis krävs ändringar i sekretessregleringen för att sammanhållen journalföring ska kunna ske. Regeringen föreslår att det görs en ändring i sekretesslagen av innebörd att hälso- och sjukvårds- sekretessen enligt 7 kap. 1 c § första stycket sekretesslagen inte hindrar att myndighet som bedriver hälso- och sjukvård eller annan medicinsk verksamhet får lämna uppgift till annan myndighet som bedriver sådan verksamhet samt till enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen. Förslaget innebär att den enda prövning som en vårdgivare behöver göra innan denne gör upp- gifter om en patient tillgänglig för andra vårdgivare i ett system för sammanhållen journalföring är om den förutsättning som anges i patient- datalagen är uppfylld, dvs. att patienten inte motsätter sig att så sker. Regeringen anser att det är den lösning som leder till minst tillämp- ningsproblem för hälso- och sjukvården och som bäst främjar effektiviteten i verksamheten och en ökad patientnytta.

Vidare anser regeringen att det inte finns något bärande skäl från integritetssynpunkt mot denna lösning, eftersom förslaget ska ses till-

Prop. 2007/08:126

128

det är fråga om färdiga elektroniska handlingar, dels om det är fråga om en sammanställning av ospärrade uppgifter som kan göras tillgänglig med rutinbetonade åtgärder och utan användning av förbjudna sök- begrepp. En konsekvens av detta är att en begäran att få del av allmänna handlingar med ospärrade uppgifter kan riktas till vem som helst av de anslutna myndigheterna. Som konstaterats tidigare torde visserligen all- mänhetens möjligheter att med stöd av tryckfrihetsförordningens be- stämmelser få del av allmänna handlingar hos myndigheter inom hälso- och sjukvården vara mycket små med tanke på den stränga sekretess som råder för uppgifter i patientjournaler. Syftet med de integritetsskyddande regler som föreslås i patientdatalagen och som tar sikte på sammanhållen journalföring är dock inte i första hand att skydda patientens integritet gentemot allmänheten utan att skydda patientens integritet gentemot alla de vårdgivare som är anslutna till systemet med sammanhållen journal- föring. Eftersom hälso- och sjukvårdssekretessen inte är absolut utan gäller med en presumtion för sekretess måste en vårdgivare som är ansluten till ett sådant system, om någon begär att uppgifter i systemet lämnas ut, ta del av uppgifterna för att kunna pröva om de kan lämnas ut. Detta gäller även om det rör sig om ospärrade uppgifter som någon annan vårdgivare har gjort tillgängliga hos vårdgivaren och oavsett om de föreslagna förutsättningarna i 6 kap. 3 eller 4 § patientdatalagen – t.ex. att det ska finnas en aktuell patientrelation med den person uppgifterna rör och att patienten ska samtycka till behandlingen av uppgifterna – är uppfyllda eller inte. Eftersom de regler i patientdatalagen som syftar till att skydda den enskildes integritet beträffande ospärrade uppgifter i för- hållande till andra vårdgivare i ett system för sammanhållen journal- föring således i praktiken kan sättas ur spel genom att någon utomstående

– en enskild eller en annan myndighet – begär att få tillgång till de all- männa handlingar som den sammanhållna journalen består av, har så- ledes patienten, när denne ska välja mellan att spärra uppgifterna och lämna dem ospärrade, i praktiken inte en sådan kontroll över upp- gifternas vidare spridning inom ramen för den sammanhållna journal- föringen som förutsätts i patientdatalagen. Regeringen befarar att denna ordning, om den inte justeras, kan leda till att förtroendet för systemet med sammanhållen journalföring rubbas.

En myndighet kan avslå en begäran att ta del av en allmän handling av huvudsakligen två skäl, antingen därför att det inte finns någon sådan allmän handling hos myndigheten eller därför att alla uppgifterna i handlingen omfattas av sekretess. Om en vårdmyndighet inte har eller har haft någon patientrelation med en person och det inte heller finns några ospärrade uppgifter om personen i systemet ska en begäran om utfående av allmän handling med uppgifter avseende den personen avslås på den grunden att det inte finns någon sådan allmän handling hos myndigheten. För att myndigheten ska kunna göra en sådan prövning utan att ta del av eventuella ospärrade uppgifter om personen när förut- sättningar härför saknas, krävs att det tekniska systemet är uppbyggt så att myndigheten kan se om det över huvud taget finns ospärrade uppgifter om en viss person. Av detta skäl föreslår regeringen att det i patientdatalagen förs in en bestämmelse om att en vårdgivare, när denne gör uppgifter om en patient tillgänglig för andra vårdgivare i ett system med sammanhållen journalföring, även ska införa en uppgift i systemet

Prop. 2007/08:126

130

om att det finns ospärrade uppgifter om patienten i fråga. Övriga vårdgivare ska kunna ta del av en sådan uppgift utan att ta del av uppgift om vilken vårdgivare som gjort uppgiften tillgänglig eller ta del av övriga uppgifters innehåll.

Problemet att ett bristande förtroende för sammanhållen journalföring kan uppkomma, om det föreligger en skyldighet för en vårdgivare att sekretesspröva ospärrade uppgifter om sådana begärs ut även om vård- givaren saknar befogenhet att ta del av uppgifterna enligt patientdata- lagen, kan lösas genom att en ny bestämmelse om sekretess förs in i sekretesslagen. En sådan bestämmelse bör i så fall innebära att absolut sekretess gäller hos en vårdgivande myndighet för uppgifter som en annan vårdgivare har gjort tillgänglig för myndigheten i ett system med sammanhållen journalföring i sådana situationer då de förutsättningar för behandling av uppgifterna som anges i 6 kap. 3–4 §§ patientdatalagen inte är uppfyllda. Om dessa förutsättningar är uppfyllda eller myndig- heten tidigare har behandlat uppgifter om personen i fråga med stöd av nämnda bestämmelser bör hälso- och sjukvårdssekretessen gälla hos myndigheten för sådana uppgifter med samma styrka som vanligt, dvs. med ett omvänt skadrekvisit. En sådan ordning skulle innebära att om en begäran om utfående av allmän handling avseende en viss person riktas till en vårdgivande myndighet som inte har eller har haft en vårdrelation till personen i fråga och om en slagning i systemet för sammanhållen journalföring visar att det finns ospärrade uppgifter avseende den personen skulle myndigheten inte behöva ta del av dessa uppgifter för att kunna avgöra sekretessfrågan. Eftersom myndigheten i en sådan situation saknar befogenhet enligt patientdatalagen att behandla uppgifterna skulle uppgifterna omfattas av absolut sekretess och myndigheten skulle inte behöva ta del av de närmare uppgifterna om personen för att kunna konstatera att så är fallet.

När det gäller den intresseavvägning som alltid ska göras mellan sekretessintresset och insynsintresset när en bestämmelse om sekretess övervägs, finner regeringen att nämnda lösning tillgodoser insyns- intresset i tillräcklig mån eftersom förslaget innebär att uppgifter om en patient – på samma sätt som hittills – kommer att omfattas av sekretess med ett omvänt skadrekvisit hos en vårdgivare som har eller har haft en patientrelation med personen i fråga. Regeringen finner att övervägande skäl talar för att en sekretessbestämmelse med sådan konstruktion bör införas.

Bestämmelsen om absolut sekretess bör i likhet med den förslagna sekretessbrytande bestämmelsen placeras i 7 kap. 1 c § sekretesslagen. Som framgått av avsnitt 5.6 innehåller 14 kap. 2 § sekretesslagen vissa bestämmelser om undantag från sekretessen enligt 7 kap. 1 c §. En ändring bör därför göras i 14 kap. 2 § av innebörd att nämnda sekretess- brytande bestämmelser inte bryter den absoluta sekretess som föreslås i detta avsnitt.

När en ny bestämmelse om sekretess införs måste lagstiftaren överväga frågan om meddelarfriheten, dvs. rätten enligt 1 kap. 3 § tredje stycket tryckfrihetsförordningen och 1 kap. 2 § yttrandefrihetsgrundlagen att lämna uppgift i vilket ämne som helst för publicering i de medier som de båda grundlagarna omfattar, bör inskränkas. Vissa tystnadsplikter som har företräde framför meddelarfriheten anges direkt i tryckfrihets-

Prop. 2007/08:126

131

förordningen och yttrandefrihetsgrundlagen. I övrigt räknas de tystnads- plikter som har företräde framför meddelarfriheten upp i 16 kap. 1 § sekretesslagen. Den tystnadsplikt som följer av 7 kap. 1 c § sekretess- lagen har enligt 16 kap. 1 § företräde framför meddelarfriheten såvitt avser uppgift om annat än verkställigheten av beslut om omhänder- tagande eller beslut om vård utan samtycke. Den tystnadsplikt som följer av den nya sekretessbestämmelsen bör inskränka meddelarfriheten i samma mån som den tystnadsplikt som följer av hälso- och sjukvårds- sekretessen i övrigt. Eftersom den nya sekretessbestämmelsen placeras i 7 kap. 1 c § behöver 16 kap. 1 § inte ändras för att så ska bli fallet.

Som kommer att framgå av avsnitt 10.6 är tanken att en journal- handling som en vårdgivare har gjort tillgänglig i ett system med sammanhållen journalföring normalt inte bör laddas ned av en annan vårdgivare om denne med stöd av 6 kap. 3 eller 4 § patientdatalagen tar del av handlingen. En förutsättning för att en vårdgivande myndighet vid prövning av en begäran om utfående av allmän handling avseende en viss person ska kunna ställning till om myndigheten tidigare har behandlat ospärrade uppgifter avseende patienten med stöd av 6 kap 3 eller 4 § patientdatalagen är vid sådant förhållande att vårdgivarens egen åtkomst- dokumentation, den s.k. egna behandlingshistoriken eller loggen, är sökbar. Att sådan åtkomstdokumentation ska göras hos en vårdgivare framgår av förslaget i 4 kap. 3 § patientdatalagen om kontroll av elek- tronisk åtkomst. Närmare föreskrifter om sådan dokumentation och kontroll förutsätts meddelas av Socialstyrelsen efter samråd med Data- inspektionen. Vid sammanhållen journalföring ska samma principer om åtkomstkontroll tillämpas, se avsnitt 11. Bestämmelsen om förbud mot vissa sökbegrepp i den föreslagna 2 kap. 8 § hindrar inte att namn eller personnummer används som sökbegrepp.

Sammantaget anser regeringen att nu föreslagna bestämmelser är tillräckliga för att en myndighet inte ska behöva ta del av uppgifter i vidare omfattning än vad myndigheten har befogenhet till enligt patient- datalagen för att kunna pröva en fråga om utlämnande av allmänna handlingar.

Något om utlämnande från privata vårdgivare

Enligt den föreslagna bestämmelsen i 7 kap. 1 c § sjätte stycket 2 sekre- tesslagen hindrar sekretessen enligt paragrafens första stycke inte att uppgift lämnas till myndighet eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen. Sekretesslagen gäller bara för den allmänna hälso- och sjukvården. Som nämnts tidigare har personal inom enskild hälso- och sjukvård, dvs. hos privata vårdgivare, tystnadsplikt enligt 2 kap. 8 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Tystnadsplikten innebär att den som tillhör eller har tillhört hälso- och sjukvårds- personalen inom den enskilda hälso- och sjukvården inte obehörigen får röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden. Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning. Vid tolkningen av detta obehörighetsrekvisit har det

Prop. 2007/08:126

132

gripande ansvaret för att styra, förvalta, utveckla, uppgradera eller av- veckla centrala tjänster och säkerhetsfunktioner i systemet.

Denne utsedde vårdgivare bör ha det övergripande ansvaret för skyddet av de behandlade personuppgifterna enligt 31 § personuppgiftslagen samt att systemförvaltningen är förenlig med kraven på en god och säker vård enligt hälso- och sjukvårdslagen dvs. uppfyller krav på tillgänglig- het och riktighet. Vårdgivaren bör även ha det övergripande ansvaret för upphandling och beställning av gemensamma tjänster och hårdvara.

Datainspektionen har uppfattat att bestämmelsen i 6 kap. 6 § syftar till att klargöra personuppgiftsansvaret för att tekniska och organisatoriska säkerhetsåtgärder vidtas när det gäller det gemensamma tillgänglig- görandet och den gemensamma åtkomsten till vårddokumentationen. Datainspektionen föreslår därför att bestämmelsen förtydligas genom att ”frågor om” utgår.

Region Skåne betonar vikten av att informationssäkerheten blir till- räcklig vid direktåtkomst till den sammanhållna journalföringen. Krav på informationssäkerhet vid tillämpning av direktåtkomst och samman- hållen journalföring måste ställas och för att få en säkerställd nivå är det nödvändigt att anvisningar tas fram på myndighetsnivå, t.ex. av Socialstyrelsen och Datainspektionen.

Skälen för regeringens förslag: Vid sammanhållen journalföring uppkommer frågor om hur personuppgiftsansvaret ska fördelas mellan de samarbetande vårdgivarna och om det behövs särreglering av person- uppgiftsansvaret vid sådant samarbete.

Regeringens utgångspunkt i denna fråga är att en detaljreglering med utpekande av en personuppgiftsansvarig i och för sig skulle vara önskvärd från integritetssynpunkt. En enskilds möjligheter att ta till vara sina rättigheter underlättas om det direkt i en författning klart framgår vem han eller hon ska vända sig till med krav eller klagomål, t.ex. för det fall bristfällig information lämnats om vem som är personuppgifts- ansvarig för behandling av personuppgifter som avser honom eller henne. En ordning som t.ex. innebär att varje myndighet eller privat vårdgivare som samverkar i sammanhållen journalföring har ett solidariskt ansvar för all personuppgiftsbehandling som förekommer eller en ordning som innebär att en viss på förhand utsedd vårdgivare ges ett ensamt ansvar skulle undanröja risken för att en enskild behöver vända sig till mer än en vårdgivare med klagomål. Regeringens förslag innebär emellertid att det överlämnats åt de privata vårdgivarna, landstingen och kommunerna att inom lagens ramar närmare bestämma samarbetsformer, teknisk organisering, omfattning och andra parametrar vid sammanhållen journalföring. Redan mot den bakgrunden ter det sig på nuvarande stadium olämpligt att peka ut vem som bör vara personuppgiftsansvarig för behandlingar som kan komma att förekomma i de olika slags system för sammanhållen journalföring som kommer att byggas upp.

Övervägande skäl talar enligt regeringens mening för att regleringen i stället bör ta sin utgångspunkt i att det vid sammanhållen journalföring är den som har faktisk möjlighet att påverka om och hur en enskild personuppgiftsbehandling ska företas, som bör vara personuppgifts- ansvarig för den behandlingen. Enligt 2 kap. 6 § i patientdatalagen före- slås redan att varje vårdgivare ska vara personuppgiftsansvarig för den behandling av personuppgifter som den utför och att personuppgifts-

Prop. 2007/08:126

134

ansvaret ska omfatta sådan behandling som vårdgivaren utför när denne via direktåtkomst bereder sig tillgång till personuppgifter om patienter hos andra vårdgivare. Regeringen anser därför att bestämmelsen även ska vara tillämplig vid sammanhållen journalföring.

I detta sammanhang bör understrykas att det är av stor vikt att parterna i ett samarbete med sammanhållen journalföring träffar avtal vari de närmare formerna för samarbetet preciseras.

Ibland kan det finnas behov både av organisatoriska skäl och av integritetshänsyn med en tydlig reglering av personuppgiftsansvaret för övergripande frågor. Att nu ange i vilka sådana fall en särreglering behövs är inte möjligt, eftersom det inte kan förutses i vilken omfattning och i vilka former sammanhållen journalföring utvecklas. Regeringen föreslår därför en bestämmelse som ger regeringen eller den myndighet som regeringen bestämmer möjligheter att vid behov närmare reglera personuppgiftsansvaret i övergripande frågor om tekniska och organisa- toriska säkerhetsåtgärder. En sådan reglering kan ta sikte på såväl generella förhållanden som förhållanden vid en viss sammanhållen journalföring, exempelvis personuppgiftsansvaret för övergripande frågor avseende en läkemedelsjournal som etableras i en nationell data- bas.

I de fall då en personuppgiftsansvarig vårdgivare, som deltar i sam- arbetet, upphör med sin verksamhet och denna verksamhet överförs till en annan vårdgivare kan denne vårdgivare överta journaluppgifterna i fråga, om patienterna går med på det. Likaså kan en myndighets hälso- och sjukvårdsverksamhet upphöra och övertas av en privat vårdgivare, ett enskilt organ, exempelvis på grund av bolagisering. Myndighetens journaler får då överlämnas till den privata vårdgivaren, om journalerna behövs i dennes verksamhet, se 2 kap. 17 § tryckfrihetsförordningen och lagen (1994:1383) om överlämnande av allmänna handlingar till andra organ än myndigheter för förvaring. Även det omvända kan förekomma; att en privat verksamhet, inklusive patienter och journaler, återgår till ett landsting eller en kommun vid upphörd entreprenad.

För den fortsatta behandlingen och tillgängliggörandet i den samman- hållna journalen av övertagna journaluppgifter i fall som de nu berörda, kommer den nye (eller nygamla) vårdgivaren (eller myndigheten) att ha motsvarande personuppgiftsansvar som den förre vårdgivaren i den mån den nye vårdgivaren också deltar i den sammanhållna journalföringen.

När det däremot gäller verksamhet som inte överförs utan helt enkelt upphör, anser regeringen att journaluppgifter från sådan verksamhet efter avvecklingen inte längre bör ingå i den sammanhållna journalföringen, dvs. vara elektroniskt tillgänglig för övriga vårdgivare. Någon sär- bestämmelse om detta behövs dock inte. Det finns helt enkelt inte längre någon vårdgivare som kan göra de ifrågavarande journaluppgifterna till- gängliga för de andra. Det är dock bra om det framgår genom en uppgift i ett system för sammanhållen journalföring att det finns arkiverade journaler.

I sammanhanget kan nämnas att då allmän verksamhet inte övertas, gäller som huvudregel enligt 14 § arkivlagen (1990:782) att journalerna ska överlämnas till en arkivmyndighet. Socialstyrelsen har i sina före- skrifter och allmänna råd (SOSFS 1993:20) om patientjournallagen föreskrivit, när det gäller motsvarande situation i enskild verksamhet, att

Prop. 2007/08:126

135

dessa myndigheter, ska bilda arkiv endast hos en av myndigheterna, 3 § första stycket andra meningen arkivlagen. Samma upptagning ska alltså inte bevaras och bilda arkiv hos alla myndigheterna. Ett annat undantag från huvudregeln om att myndigheters allmänna handlingar ska bevaras är bestämmelsen om att allmänna handlingar får gallras, 10 § arkivlagen. Med gallring kan avses att information i sin helhet förstörs. Så måste dock inte ske för att det ska vara fråga om gallring. Gallring av elektronisk information kan t.ex. ske genom att informationen skrivs ut på papper som bevaras varefter informationen raderas från datamediet. Gallring kan också innebära att information överförs från ett datamedium till annat datamedium som medför sämre sammanställnings- eller sök- möjligheter, sämre möjligheter att kontrollera handlingars autencitet m.m.

Gallring görs av den arkivbildande myndigheten. En kommunal myndighet får dock inte på egen hand avgöra vad som ska gallras ur dess arkiv av patientjournalhandlingar. Gallringsföreskrifter för sådana myndigheter fattas av kommunfullmäktige respektive landstingsfull- mäktige. Deras föreskriftsrätt begränsas dock av att hänsyn ska tas till att återstående material ska tillgodose arkivbildningens syften. Dessutom får gallringsföreskrifter inte strida mot nyss nämnda bestämmelser i 8 § patientjournallagen och i andra författningar om minsta bevarandetid för patientjournalhandlingar. Avvikande gallringsbestämmelser i lag eller förordning tar över arkivlagens regler om bevarande och gallring. Någon avvikande bestämmelse om att patientjournaler eller vårdregister ovill- korligen måste gallras finns emellertid inte.

I 10 § vårdregisterlagen anges visserligen att det utöver vad som följer av personuppgiftslagen finns särskilda bestämmelser om bevarande och gallring i patientjournallagen. Patientjournallagen föreskriver dock ingen skyldighet att gallra i journaler. Inte heller torde någon ovillkorlig gallringsskyldighet följa av personuppgiftslagen.

OSEK har i sitt delbetänkande Ordning och reda bland allmänna handlingar (SOU 2002:97) föreslagit en ny lag som samordnar regleringen i arkivlagen med bestämmelserna i 15 kap. sekretesslagen om registrering och utlämnande av allmänna handlingar m.m.; lag om hantering av allmänna handlingar. Förslaget har remissbehandlats och bereds för närvarande i Regeringskansliet.

Regeringens förslag

Det är i dag inte möjligt att förutse i vilken omfattning eller med vilka tekniska eller organisatoriska lösningar vårdgivare närmare kommer att bygga upp system för sammanhållen journalföring över vårdgivar- gränser. Det är därför knappast möjligt att göra några säkra bedömningar i fråga om vad arkivlagstiftningen och andra regler om bevarande av journalhandlingar konkret innebär i det enskilda fallet av sammanhållen journalföring.

För att de öppnade möjligheterna till sammanhållen journalföring ska få genomslagskraft är det emellertid angeläget att reglerna inte medför att sammanhållen journalföring leder till omfattande arkivbildning m.m. som är ekonomiskt och administrativt belastande för de deltagande

Prop. 2007/08:126

137

aktörerna eller som får negativa konsekvenser från integritetssynpunkt. Inte heller bör bevarandet av allmänna handlingar försämras.

Enligt regeringens uppfattning talar övervägande skäl för att sådana negativa konsekvenser avvärjs med en huvudprincip som innebär att varje vårdgivare som deltar i ett sammanhållet journalföringssystem an- svarar för bevarandet av de journalhandlingar eller annan vårddoku- mentation som vårdgivaren själv gör tillgängliga i det sammanhållna journalföringssystemet. De andra deltagande vårdgivarna bör inte få ett sådant ansvar enbart på den grund att de har en potentiell tillgång till dessa handlingar.

Regeringen har i avsnitt 9.6 föreslagit en kortaste bevarandetid på 10 år. Arkivansvar eller annat ansvar för bevarande bör följa verk- samhetsansvar och personuppgiftsansvar för den enskilda person- uppgiftsbehandlingen och en journalhandling eller annan handling bör därför bara bevaras och bilda arkiv hos en myndighet eller en privat vårdgivare. För att tydliggöra detta föreslås det i lagen att bestämmelser i patientdatalagen eller i annan lag eller förordning om att journal- handlingar ska bevaras viss minsta tid, inte är tillämpliga på sådana journalhandlingar som har gjorts tillgängliga genom sammanhållen journalföring hos andra vårdgivare och som dessa vårdgivare endast har en potentiell tillgång till. Det innebär i princip att det är endast en, inte flera, vårdgivare som ansvarar för bevarandet och arkivbildningen av journalhandlingar. Detta gäller även om en vårdgivare bereder sig tillgång till en annan införande vårdgivares journalhandling, så länge inte journalhandlingen ”tankas hem” och lagras av den förstnämnde vård- givaren.

Vidare föreslås en generell bestämmelse om att sådana potentiella handlingar får gallras. Som nämnts ska, enligt 3 § första stycket andra meningen arkivlagen, upptagningar för automatisk behandling som är tillgängliga för flera myndigheter så att de utgör allmänna handlingar hos alla dessa myndigheter, bilda arkiv endast hos en av myndigheterna. En sådan gallringsregel behövs därför bl.a. för att inte någon av de i en sammanhållen journalföring deltagande myndigheterna ska bli arkivansvarig för privata vårdgivares journalhandlingar m.m. som de potentiellt sett har tillgång till och som utgör allmänna handlingar hos vårdgivare som är myndigheter, se avsnitt 10.3. Handlingar som en myndighet de facto inte tar del av har ingen betydelse för myndighetens verksamhet. Regeringen menar därför att förslaget i denna del inte strider mot arkivväsendets syften.

Vad som därefter bör gälla i de fall då en vårdgivare faktiskt bereder sig tillgång till annan införande vårdgivares journalhandling är en inte helt okomplicerad fråga och har behandlats i utredningens förslag. Vid sammanhållen journalföring bör enligt utredningen en tidigare journalhandling hos annan vårdgivare normalt inte laddas ned i form av en kopia som tillfogas och lagras i den egna journalföringen såsom en ny journalhandling. Kraven på att journalen ska innehålla de uppgifter som behövs för en god och säker vård – se 3 § patientjournallagen som i denna del överförs oförändrad till patientdatalagen – innebär inget krav i sig på att varje vårdgivare vid sammanhållen journalföring måste ha ”kompletta” uppgifter. En av poängerna med den sammanhållna journal- föringen är ju att dubbeldokumentation ska kunna undvikas. Det är också

Prop. 2007/08:126

138

önskvärt från integritetssynpunkt att uppgifter inte hålls tillgängliga på mer än ett ”ställe”. Normalt bör det enligt utredningen vara fullt tillräckligt för vårdsyftet att vårdpersonal tar del av den tillgängliga informationen. Regeringen instämmer i utredningens bedömning. Med tanke på de förslag som lämnas i fråga om åtkomstdokumentation m.m., se avsnitt 11, går en sådan personuppgiftsbehandling alltid att rekonstruera i efterhand. Det finns således inget behov av att kopiera informationen för att i händelse av befarat rättsligt efterspel visa vad man gjort eller liknande.

Det finns alltså inte finns något krav på myndigheter som är anslutna till en sammanhållen journalföring att de laddar ner och lagrar kopior av andra vårdgivares journalhandlingar som får betydelse i den egna patientvården. I 15 kap. 14 § sekretesslagen föreskrivs visserligen att en upptagning som används för handläggningen av ett mål eller ärende ska tillföras handlingarna i målet eller ärendet. Den bestämmelsen gäller dock inte – annat än i speciella undantagsfall vid tvångsvård – journal- föring i faktisk hälso- och sjukvård.

Å andra sidan kan det vara svårt att helt undvara nedladdning av kopior. Att den tidigare informationen bifogas den egna journal- informationen kan i undantagsfall vara av helt avgörande betydelse för en god och säker vård hos den senare vårdgivaren. Sker en nedladdning, innebär det att en ny handling framställts, på motsvarande sätt som vid manuell hantering av en patientjournal när en papperskopia på en journalhandling, som en vårdgivare fått från en annan vårdgivare, bifogas patientjournalen. Ett annat exempel är att det av någon anledning behöver göras en sammanställning av olika uppgifter som hämtas från flera olika vårdgivares journalhandlingar. Även i det sist nämnda exemplet har en helt ny journalhandling framställts. I sammanhanget kan framhållas att det självfallet inte är tillåtet att ladda ned och lagra information som inte är nödvändig nu men som ”kan vara bra att ha”. Inte heller får det göras bara därför att informationen kan komma till nytta i den egna verksamhetsuppföljningen eller liknande. Det följer av kravet på att det ska finnas ett konkret och aktuellt vårdsyfte varje gång direktåtkomsten används, se avsnitt 10.

Särskilt i den form av sammanhållen journalföring som innebär att lokalt lagrade journalhandlingar knyts samman i ett gemensamt informa- tionsöverföringssystem tror regeringen i likhet med utredningen att behov av att komplettera den egna journalföringen ibland kommer att finnas. Efter hand som gemensamma databaser kan komma att växa fram är det dock troligt att behovet av denna s.k. dubbeldokumentation minskar. Under alla förhållanden anser utredningen att förfarandet inte bör förbjudas. Regeringen instämmer i utredningens bedömning. För att den sammanhållna journalföringen verkligen ska skapa administrativa vinster för hälso- och sjukvården ligger emellertid ett viktigt ansvar på sjukvårdshuvudmännen och andra vårdgivare att ta fram regler och rutiner som förhindrar att den sammanhållna journalföringen skapar en ny form av onödig överdokumentation som går tvärt emot en av intentionerna med den sammanhållna patientjournalföringen. En sådan överdokumentation är också negativ från integritetssynpunkt.

I de fall när journalhandlingar blir en ”ny” journalhandling hos en senare vårdgivare bör hanteringen och bevarandet av den nya journal-

Prop. 2007/08:126

139

följer av den angivna bestämmelsen i hälso- och sjukvårdslagen att en patients uttryckliga önskemål om att journaler inte lämnas till andra kliniker på samma sjukhus ska respekteras, JO 1986/87 s. 199.

Enligt 7 § första stycket patientjournallagen (1985:562) ska varje journalhandling hanteras och förvaras så, att obehöriga inte får tillgång till den. Regeln slår fast en inre sekretess som kompletterar det integritetsskydd som sekretesslagen (1980:100) och lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område ger i fråga om utlämnande av uppgifter från hälso- och sjukvården. Journaler får enligt denna bestämmelse inte vara fritt tillgängliga inom en vårdgivares verksamhet. I förarbetena uttalas att det endast är en begränsad del av personalen på en klinik som i sitt arbete behöver tillgång till patientens journal. Respekten för patientens integritet kräver att ingen utanför denna krets får tillgång till journalen. De är att se som obehöriga i bestämmelsens mening. Läsning i en patientjournal av ren nyfikenhet kan aldrig godtas, prop. 1984/85:189 s. 43 f. Enligt förarbetena avser bestämmelsen såväl upprättade som ingivna journalhandlingar, t.ex. inlånade patientjournaler. Med hantering avses närmast den vardagliga användningen av journalen i arbetet. När det gäller elektroniska journalhandlingar angavs i förarbetena att ADB-system måste förses med någon form av individuell behörighetskontroll och andra säkerhetsspärrar, t.ex. terminallåsning för att uppfylla lagens krav. Socialstyrelsens föreskrifter och allmänna råd (SOSFS 1993:20) om patientjournallagen anger att endast den personal vid en enhet som är engagerad i vården av patienten har rätt att ta del av patientjournalen.

Enligt 8 § lagen (1998:544) om vårdregister (vårdregisterlagen) får endast den som för de ändamål som anges i 3 och 4 §§ behöver ha tillgång till uppgifterna för att kunna utföra sitt arbete ha direktåtkomst till uppgifter i ett vårdregister. Åtkomsten får endast avse de uppgifter som behövs för arbetets utförande. Enligt förarbetena är bestämmelsen om direktåtkomst tänkt att motsvara innehållet i 7 § patientjournallagen. Vårdregisterlagen har emellertid ett vidare tillämpningsområde, eftersom ett vårdregister kan innehålla annan patientdokumentation än journal- handlingar, se prop. 1997/98:108 s. 99. Vidare anges i förarbetena att administrativ personal inte får ges direktåtkomst till samtliga uppgifter i ett vårdregister, om detta förs för bl.a. patientjournalföring. Den person- uppgiftsansvarige får därför göra en bedömning mot bakgrund av 7 § patientjournallagen och 2 a § hälso- och sjukvårdslagen när det ska bestämmas vilka uppgifter olika befattningshavare behöver tillgång till. Befattningshavarens behov måste falla in under tillåtna ändamål enligt 3 och 4 §§ vårdregisterlagen.

Bestämmelserna i patientjournallagen och vårdregisterlagen om inre sekretess gäller både i den allmänna och den enskilda hälso- och sjuk- vården.

Av betydelse för gällande rätt om inre sekretess är vidare att olovligt intrång och olovligt efterforskande i elektroniska informationssystem, t.ex. ett vårdregister, kan vara straffbart enligt straffbestämmelsen om dataintrång. Den som olovligen bereder sig tillgång till upptagning för automatisk databehandling eller olovligen ändrar eller utplånar eller i register för in sådan upptagning döms enligt 4 kap. 9 c § brottsbalken för dataintrång till böter eller fängelse i högst två år. Bestämmelsen är

Prop. 2007/08:126

142

av regeringen eller, efter bemyndigande, Socialstyrelsen efter samråd med Datainspektionen.

5.Den enskilde patienten ges rätt att begära att vårddokumentation spärras från tillgänglighet genom elektronisk åtkomst för andra vårdenheter alternativt vårdprocesser utanför den till vilken uppgifterna hör. Uppgift om att det finns spärrade uppgifter får dock vara tillgänglig för andra vårdenheter eller vårdprocesser. Spärren ska med patientens samtycke kunna hävas helt eller delvis, t.ex. i en enstaka vårdsituation. Spärren ska också kunna hävas om patientens samtycke inte kan inhämtas och om informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver. Vid en sådan akut nödsituation ska uppgift om vårdenheter eller vårdprocesser som spärrat uppgifterna göras tillgängliga. Därefter får endast sådana uppgifter som kan antas ha betydelse för vården av patienten göras tillgängliga.

Ett undantag från föregående regel föreslås dock när det gäller vårdnadshavare möjlighet att spärra uppgifter i sina barns vård- dokumentation. Undantaget innebär att vårdnadshavare inte har rätt att spärra sina barns uppgifter. I takt med barnets stigande ålder och mognad får dock barnet själv spärra uppgifterna.

6.I patientdatalagen införs ett särskilt kapitel om inre sekretess och elektronisk åtkomst i en vårdgivares verksamhet, vari bestämmelserna enligt punkterna 1 b)–3 och 5 tas in. Bestämmelsen i punkten 1 a) tas in i patientdatalagens inledande kapitel. Bestämmelsen i punkten 4 om patientens rätt att få information om direktåtkomst och elektronisk åtkomst som förekommit hos en vårdgivare, tas in i ett kapitel om rättigheter för den enskilde.

Utredningens förslag: Överensstämmer i huvudsak med regeringens förslag. Regeringens förslag innebär att det inte är möjligt för vård- nadshavare att spärra sina barns vårddokumentation. I takt med barnets stigande ålder och utveckling får dock barnet själv spärra uppgifterna. Uppgift om vilken vårdenhet eller vårdprocess som spärrat uppgifterna får göras tillgänglig för andra vårdenheter eller vårdprocesser vid en akut nödsituation.

Remissinstanserna: En majoritet av remissinstanserna har inget att erinra mot utredningens förslag och framhåller att detta kommer innebära en förbättring av patientsäkerheten.

Flera remissinstanser har som tidigare redovisats i avsnitt 10.2 uttryckt farhågor om att vårdnadshavare kan missbruka sin rätt att spärra uppgift i sina barns journal för att dölja att barnet far illa och därmed försvåra för vårdpersonalen att upptäcka detta och om anmälan ska göras enligt socialtjänstlagen.

Ytterligare några remissinstanser också såsom redovisats under avsnitt 10.2 uttryckt önskemål om att s.k. varningsinformation, t.ex. information om smitta eller allergi ska undantas från möjligheten att spärra. Motivet för detta är dels att skydda personal och andra patienter från smitta men också att bättre kunna vårda en patient med t.ex. allergi. Sveriges läkar-

Prop. 2007/08:126

144

förbund anser t.ex. att det bör göras tekniskt möjligt att information om varningar, överkänslighet och smittorisk ska framgå. Carelink å sin sida tror inte att den så kallade opt-out modellen kommer att utgöra någon fara för patientsäkerheten annat än i mycket få särfall och anser att medicinsk varningsinformation möjligen skulle kunna undantas från spärrmöjlighet. Socialstyrelsen anser att patienten inte ska kunna spärra uppgifter som tillförts vårddokumentationen om förhållningsregler och andra åtgärder till skydd mot smitta. Reumatikerförbundet anser i detta sammanhang att det borde kunna skapas ett ”emergency-tecken” i journalen med direktåtkomst till viktiga fakta kring t ex. läkemedel, sjuk- dom, funktionsstörningar i hjärt-lungverksamhet, uppgifter som kan vara av avgörande betydelse för vård i kristillstånd.

Vidare påpekar en del remissinstanser, t.ex. Sveriges Pensionärers Riksförbund, vikten av att patienten får stöd i att tolka informationen i journalen och att patienten i vissa fall där det handlar om känslig information bör få denna i första hand direkt av läkaren innan den görs elektroniskt åtkomlig i journalen. Sveriges läkarförbund ger också uttryck för denna åsikt och framhåller att det noga bör tänkas igenom vilka uppgifter som kan omfattas och när uppgifterna bör göras tillgäng- liga.

Några remissinstanser, t.ex. Västra Götalands läns landsting och Sahlgrenska Universitetssjukhuset, Sveriges läkarförbund, Riksförbundet för social och mental hälsa, anser att förslaget att patienten ska få ta del av loggar om vem som läst journalen, är bra men att det behövs utvecklade rutiner runt detta. Sveriges läkarförbund anser att patientens rätt till loggfiler är självklar men att rutiner måste utarbetas för de fall där hälso- och sjukvårdspersonal utsatts för hot/våld från patienter och anhöriga. Därutöver behövs rutiner för hur de fall ska hanteras där personalen lever med skyddad personidentitet. Riksförbundet för social och mental hälsa anser att det är viktigt att vårdgivaren får en skyldighet att dokumentera och kontrollera elektronisk åtkomst - och att dokumen- tera i journalen löpande vem som varit inne i journalen och när. Dessa loggar måste följas upp kontinuerligt, och patienten ska ha rätt att ta del av vilka som har tittat i hans eller hennes journal och även i övrigt ha möjligt att se innehållet i sin journal.

Västra Götalands läns landsting och Sahlgrenska Universitetssjuk- huset anser bl.a. att utredningens förslag om skyldighet att dokumentera elektronisk åtkomst samt fortlöpande kontrollera eventuell obehörig åtkomst, är bra men att det bör övervägas att i lagen ta in bestämmelser om att Socialstyrelsen efter samråd med Datainspektionen ska meddelar föreskrifter angående omfattningen av åtkomstdokumentationen samt hur länge den ska sparas.

Ytterligare några instanser, bland annat Vetenskapsrådet, Västra Götalands läns landsting och Sahlgrenska Universitetssjukhuset, Svenska Läkaresällskapet samt Svenska föreningen för barn- och ungdoms- psykiatri, uttrycker önskemål om att medicinstuderande, även om de inte är ansvariga för vården av patienten, ändå vid utbildningstjänstgöring ska få till gång till uppgifter i journalen som en del i deras utbildning.

Några instanser har också synpunkter på utformningen av regelverket och de begrepp som används. Socialstyrelsen tillstyrker i huvudsak utredningens förslag men föreslår bl.a. beträffande behovet av före-

Prop. 2007/08:126

145

skrifter kring tekniska, fysiska och administrativa skyddsåtgärder att myndigheten ska få ett uttryckligt bemyndigande att meddela föreskrifter om informationssäkerhet i hälso- och sjukvård m.m. samt att det införs ytterligare bestämmelser i lagen om bl.a. krav på att en vårdgivares informationshantering ska vara organiserad så att den tillgodoser patientsäkerhet och kvalitet samt främjar kostnadseffektivitet.

Datainspektionen anser att användargränssnittet i ett system för vård- dokumentation ska ha ett utgångsläge som innebär att användaren inte kan se om patienten är aktuell i någon annan verksamhet hos vårdgivaren än den där användaren själv är verksam. Datainspektionen anser därför att modellen med elektronisk åtkomst bör utformas så att vårdgivarens anställda inte får tillgång till information om att patienten över huvud taget förekommer i en annan vårdenhet eller vårdprocess innan förut- sättningarna för åtkomsten är uppfyllda. Datainspektionen anser att detta är möjligt att åstadkomma med föreskrifter om behörighetstilldelning samt inom ramen för de övriga tekniska och organisatoriska säkerhets- åtgärder som vårdgivaren ska vidta enligt personuppgiftslagen för att skydda de personuppgifter som behandlas. Vidare anser Datainspek- tionen när det gäller utgångspunkten för de föreskrifter som Social- styrelsen förutsätts meddela enligt 8 kap. 5 § andra stycket att det inte framgår av lagtexten om informationen ska innehålla personuppgifter om anställda hos vårdgivarna. Datainspektionen har uppfattat att det inte finns något behov av att namnge vårdpersonal eller att presentera andra uppgifter som indirekt kan hänföras till en fysisk person, dvs. det är tillräckligt att för detta ändamål ange från vilken avdelning, klinik eller motsvarande enhet som åtkomsten härrör. Om personuppgifter om anställda hos vårdgivarna ändå ska ingå behöver det klargöras och det krävs i sådant fall ställningstaganden i integritetsfrågor som rör de anställda.

Landstinget Västmanland framhåller att det finns risk för begreppsförvirring i och med att begreppet direktåtkomst används i vård- registerlagen och där inte har den innebörd som framförs i förslaget.

Ytterligare några instanser har väckt frågan om disciplinpåföljd för personal som bryter mot den inre sekretessen. Förbundet Sveriges arbetsterapeuter anser att det saknas ett förtydligande om huruvida hälso- och sjukvårdspersonal som bryter mot den inre sekretessen kan bli föremål för disciplinpåföljd enligt bestämmelser i lagen om yrkes- verksamhet på hälso- och sjukvårdens område och Sveriges Psykologförbund anser att det bör tas fram föreskrifter om när vårdpersonal har rätt att ta del av journaler från andra vårdenheter och konstaterar att utredningen inte har berört möjligheten att ålägga den som bryter mot bestämmelsen disciplinansvar enligt sistnämnda lag.

Skälen för regeringens förslag: Den inom hälso- och sjukvården djupt rotade etiska principen om förtroendesekretess för uppgifter som kommer fram i kontakten mellan hälso- och sjukvårdspersonal och patient utgör självklart en stark motkraft mot att skvallra om patienter eller annars sprida uppgifter på ett oacceptabelt sätt bland arbetskamrater. Detsamma gäller i fråga om benägenheten att ta reda på uppgifter om patienter som vårdas på arbetsplatsen men som man inte själv har en yrkesmässig relation till. Med tanke på hälso- och sjukvårdens omfattning och det stora antalet anställd hälso- och sjukvårdspersonal,

Prop. 2007/08:126

146

omkring 300 000 personer bara i kommunernas och landstingens hälso- och sjukvård, kan man emellertid inte utgå från att sådant inte alls förekommer.

Utvecklingen mot gemensamma brett tillgängliga elektroniska journalsystem inom de stora vårdgivarnas verksamhet innebär samtidigt ökade risker för integritetsintrång. Om den ökade potentiella tillgänglig- heten till journaluppgifter inte hanteras på ett bra sätt så att patienterna kan känna sig säkra på att känslig information inte läses av obehöriga, finns det stor risk för att patienterna väljer att stå utanför system med elektronisk åtkomst.

Det behövs en blandning av preventiva och reaktiva åtgärder för att patientuppgifter inte ska hanteras på ett oacceptabelt sätt. Patient- datalagen ska emellertid tillämpas av hela det spektrum av olika slags verksamheter som bedrivs av små och stora vårdgivare och som täcks in i begreppet hälso- och sjukvård. Detsamma gäller de bestämmelser som enbart rör journalföring, som ska kunna tillämpas också av dem som även framgent för en manuell journal eller i ett elektroniskt journal- föringsprogram av blygsam omfattning. Det är därför knappast möjligt att i lagen formulera alla de krav som bör ställas på olika slags verk- samheter. Det finns också en risk för att detaljerade bestämmelser i lag visar sig olämpliga på sikt på grund av t.ex. en strukturell eller teknisk utveckling inom områden som inte nu kan överblickas. Möjligheterna att lagstifta om olika åtgärder är begränsade.

En mer lämplig väg att gå är att regleringen sker på en lägre nivå, där möjligheterna är större att anpassa kraven till de aktuella och organisatoriska eller informationstekniska behov och förutsättningar som finns. Berörda myndigheter bör därför utrustas med tydliga krav och befogenheter att meddela närmare föreskrifter i frågor som rör den inre sekretessen. Såsom framgått av avsnitt 9.6 kommer regeringen och efter vidaredelegation Socialstyrelsen även i fortsättningen kunna meddela föreskrifter om journalhandlingars hantering och förvaring på samma sätt som gäller i dag. Men även med sådana föreskrifter kommer det att ligga ett ansvar på vårdgivarna att utveckla goda rutiner och adekvata metoder för uppfyllande av de mål och krav som följer av författningarna.

När det gäller frågan hur man i patientdatalagen bör reglera han- teringen av och tillgängligheten till journaler och annan dokumentation om patienter kan man konstatera att redan de nuvarande bestämmelserna i 7 § första stycket patientjournallagen och 8 § vårdregisterlagen egent- ligen uttrycker det man vill uppnå, nämligen att obehöriga inte får till- gång till den integritetskänsliga informationen och att en anställd inte ska ges åtkomst till elektroniska journaler m.m. i vidare omfattning än vad han eller hon behöver för sitt arbete.

I den komplexa hälso- och sjukvårdsverksamheten är det dock naturligt att sådana allmänt hållna bestämmelser ger utrymme för olika tolkningar. Frågan är i vad mån det går, med beaktande av det tidigare sagda, att förtydliga bestämmelserna på ett sätt som kan passa i alla de verksam- heter vars informationshantering regleras av patientdatalagen.

I det följande redogörs för den reglering som behövs och som bör gälla både för manuellt och elektroniskt hanterad information.

Prop. 2007/08:126

147

Bestämmelser om inre sekretess avseende både manuellt och elektroniskt hanterade uppgifter

Regeringen anser att bestämmelsen i 7 § första stycket patientjournal- lagen om journalens hantering och förvaring är väsentlig för det inre sekretesskyddet. Bestämmelsen bör därför vara kvar men vidgas i sitt tillämpningsområde till att omfatta alla dokumenterade personuppgifter om en patient eller om annan enskild registrerad som behandlas enligt patientdatalagen. Regeringen föreslår således en bestämmelse som uttryckligen anger detta.

Det införs inte något förbud mot manuell journalföring eller annan manuell behandling av personuppgifter. Det är bl.a. därför relevant att i bestämmelsen tala om förvaring utöver hantering. Det kan noteras att bestämmelsen, även om den främst har betydelse för den inre sekretessen, inte enbart riktar sig mot obehöriga inom en vårdgivares organisation. Kravet på hanteringen och förvaringen gäller även i förhållande till övriga patienter och andra utomstående. Inom den allmänna hälso- och sjukvården följer detta redan av sekretesslagens och arkivlagens (1990:782) bestämmelser. För den enskilda hälso- och sjukvården finns dock ingen motsvarande reglering annat än den nämnda bestämmelsen i patientjournallagen.

Särskilt när det gäller den inre sekretessen är det viktigt att det klargörs att en befattningshavare är behörig att ta del av patientuppgifter endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.

Beträffande frågan om disciplinpåföljd för hälso- och sjukvårds- personal som bryter mot bestämmelserna om inre sekretess t.ex. genom att en person som tillhör hälso- och sjukvårdspersonalen obehörigen har tagit del av uppgifter i en patientjournal kan den personen bli föremål för disciplinpåföljd enligt lagen om yrkesverksamhet på hälso- och sjuk- vårdens område.

Dessutom är 48 § personuppgiftslagen (1998:204) tillämplig, se 10 kap. 1 § patientdatalagen, om den personuppgiftsansvariges skyldig- het att betala skadestånd till den enskilde för viss behandling av personuppgifter som skett i strid mot patientdatalagen.

Tilldelning av behörighet för elektronisk åtkomst

Regeringen föreslår att det i lagen ska införas en bestämmelse som före- skriver ett ansvar för den verksamhetsansvariga vårdgivaren att närmare bestämma villkoren för personalens elektroniska åtkomst till uppgifter om patienter.

Behörighet för personalens elektroniska åtkomst till uppgifter om patienter ska begränsas till vad befattningshavaren behöver för att kunna utföra sina arbetsuppgifter inom hälso- och sjukvården. Däri ligger bl.a. att behörigheter ska följas upp och förändras eller inskränkas efter hand som ändringar i den enskilde befattningshavarens arbetsuppgifter ger anledning till det. Bestämmelsen motsvarar i princip 8 § vårdregister- lagen. Syftet med bestämmelsen är att inpränta skyldigheten för den ansvariga vårdgivaren att göra aktiva och individuella behörighetstilldel- ningar utifrån analyser av vilken närmare information olika personal-

Prop. 2007/08:126

148

kategorier och olika slags verksamheter behöver. Men det behövs inte bara behovsanalyser. Även riskanalyser måste göras där man tar hänsyn till olika slags risker som kan vara förknippade med en alltför vid tillgänglighet avseende vissa slags uppgifter. Skyddade personuppgifter som är sekretessmarkerade, uppgifter om allmänt kända personer, uppgifter från vissa mottagningar eller medicinska specialiteter är exempel på kategorier som kan kräva särskilda riskbedömningar.

Generellt sett kan sägas att ju mer omfattande ett informationssystem är, desto större mängd olika behörighetsnivåer måste det finnas. Avgörande för beslut om behörighet för t.ex. olika kategorier av hälso- och sjukvårdspersonal till elektronisk åtkomst till uppgifter i patient- journaler bör vara att behörigheten ska begränsas till vad befattnings- havaren behöver för ändamålet en god och säker patientvård. En mer vidsträckt eller grovmaskig behörighetstilldelning bör – även om den skulle ha poänger utifrån effektivitetssynpunkt - anses som en obefogad spridning av journaluppgifter inom en verksamhet och bör som sådan inte accepteras.

Vidare bör uppgifter lagras i olika skikt så att mer känsliga uppgifter kräver aktiva val eller annars inte är lika enkelt åtkomliga för personalen som mindre känsliga uppgifter. När det gäller personal som arbetar med verksamhetsuppföljning, statistikframställning, central ekonomi- administration och liknande verksamhet som inte är individorienterad torde det för flertalet befattningshavare räcka med tillgång till uppgifter som endast indirekt kan härledas till enskilda patienter. Elektronisk åtkomst till kodnycklar, personnummer och andra uppgifter som direkt pekar ut enskilda patienter bör på detta område kunna vara starkt begränsad till enstaka personer.

Att i generella termer reglera hur behörighetstilldelning till hälso- och sjukvårdspersonal och andra befattningshavare bör utformas ter sig dock inte möjligt, i vart fall inte lagstiftningsvägen. Närmare riktlinjer och föreskrifter bör därför meddelas på myndighetsnivå. Regeringens förslag är att det ska ankomma på Socialstyrelsen att efter samråd med Datainspektionen meddela föreskrifter i ämnet.

Vid sammanhållen journalföring bör behörighet tilldelas enligt samma principer, nämligen att varje vårdgivare prövar sin personals elektroniska åtkomst till andra vårdgivares vårddokumentation som finns tillgänglig för vårdgivaren i den sammanhållna journalföringen, se 6 kap. 8 § patientdatalagen.

Kontroll av elektronisk åtkomst

Enligt både patientjournallagen och vårdregisterlagen följer ett ansvar för den verksamhetsansvariga vårdgivaren att självmant följa upp hur behörighetssystem fungerar och i vad mån obehörig intern åtkomst skett. Enligt uppföljning av Datainspektionen tycks flera vårdgivare dock inte vara helt införstådda med sina skyldigheter i dessa avseenden. Därför föreslår regeringen en uttrycklig bestämmelse om skyldighet för vård- givaren att dokumentera all elektronisk åtkomst.

För att främja patientsäkerheten bör vårdgivarna vidare åläggas att systematiskt och fortlöpande företa kontroller av om obehörig åtkomst

Prop. 2007/08:126

149

individuella önskemål. Förslagen om patientens rätt att spärra informa- tion innebär alltså ingen inskränkning av vårdgivarnas skyldigheter att utifrån bl.a. behovs- och riskanalyser begränsa den elektroniska tillgängligheten till elektroniska patientuppgifter inom sin verksamhet. Patientens rätt till inre spärrar utgör bara ett komplement till vård- givarnas ansvar härvidlag.

Med patientens samtycke ska dessa s.k. inre spärrar få hävas av en behörig befattningshavare vid en annan vårdenhet eller vårdprocess som patienten besöker. Patienten ska också kunna vända sig till vårdgivaren och begära en mer varaktigt hävning.

Vidare föreslår regeringen att spärren ska kunna hävas av en annan vårdenhet alternativt annan vårdprocess, t.ex. akutmottagningen, om informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver och ett samtycke inte kan inhämtas, t.ex. därför att patienten är medvetslös, eller liknande och situationens allvar motiverar att spärren hävs. Då möjligheten att häva en spärr vid en sådan akut nödsituation kan upplevas som känslig för patienten är det viktigt att systemet är utformat så att det både tillgodoser patientens bästa i vårdsituationen men också så långt som möjligt skyddar patientens integritet genom att andra spärrade uppgifter som inte kan antas ha betydelse för den vård som patienten oundgängligen behöver inte per automatik görs tillgängliga vid en akut nödsituation.

För att säkerställa detta får en behörig befattningshavare bereda sig tillgång till en annan vårdenhets alternativt annan vårdprocess spärrade uppgifter om en patient vid en akut nödsituation endast om uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver. Systemet ska vara uppbyggt på så sätt att befattningshavaren i steg 1 får tillgång till information om vid vilken eller vid vilka vårdenheter eller vårdprocesser som det finns spärrade uppgifter. Befattningshavaren kan i detta skede endast se uppgiften vid vilken eller vid vilka vårdenheter eller vårdprocesser som spärrar har gjorts, inte specifikt typ av behandling som spärrats hos annan vårdenhet eller inom annan vårdprocess. Steg två innebär att befattningshavaren, genom att denne kan se vid vilken eller vid vilka vårdenheter eller vårdprocesser uppgifter har spärrats, kan bedöma om det spärrade uppgifterna kan antas ha betydelse för vården av patienten. Endast uppgifter som kan antas ha en sådan betydelse får hävas.

Regeringen anser att det är av fundamental betydelse att gå försiktigt fram vid införandet av ny lagstiftning som öppnar upp möjligheterna till spridning av känslig information. De patienter som till varje pris vill behålla en hemlighet måste kunna vända sig till svensk hälso- och sjukvård i den trygga förvissningen om att kunna få gehör för sin klart uttalade vilja om hur spridd den elektroniska tillgängligheten till information om honom eller henne ska vara.

Flera av experterna i utredningen och en majoritet av remissinstanserna har dock uttryckt oro för att utredningens förslag, som också innebär att en vårdgivare har rätt att spärra uppgifter i sina barns journal, kan missbrukas för att dölja att barnet far illa och försvåra för vårdpersonalen att upptäcka fall där anmälningsskyldighet föreligger enligt socialtjänst- lagen. Experterna och remissinstanserna har därför föreslagit att ett

Prop. 2007/08:126

152

undantag bör införas som innebär att vårdnadshavare inte ges möjlighet att spärra uppgifter i sina barns journal.

Utredningen tog upp frågan om undantag från spärrmöjligheten i betänkandet men fann inte skäl att föreslå undantag. Utredningen motiverade detta med att det är en bit kvar innan heltäckande journal- system för all journalföring blir vanliga hos stora myndigheter inom den landstingsbedrivna vården och att utredningen därför var tveksam till om förslagen om inre spärr kommer att innebära någon verklig försämring jämfört med de möjligheter man i realiteten har i dag när det gäller att identifiera utsatta patientkategorier. Vidare anförde utredningen att de inte haft möjlighet att inom ramen för uppdraget närmare kartlägga omfattningen av vilka problem som i dag finns på området och att det inte är lätt att överblicka vilka konsekvenser ett undantag från rätten att spärra vårddokumentation kan få.

Mot bakgrund av vad som framförts av experterna i utredningen och av remissinstanserna har regeringen dock kommit till slutsatsen att skyddet för barnet i dessa fall väger tyngre än skyddet för den enskildes integritet. Regeringen föreslår därför en regel som innebär att vårdnadshavare inte har rätt att spärra uppgifter i sina barns journal. I takt med barnets stigande ålder och mognad får dock barnet själv spärra uppgifterna.

Beträffande bedömning av mognadsgrad bör barn och tonåringar hanteras på motsvarande sätt som i den övriga verksamheten inom hälso- och sjukvården. I takt med den underåriges stigande ålder och mognad ska allt större hänsyn tas till barnets önskemål och vilja vad t.ex. gäller om uppgifter om honom eller henne ska få göras tillgängliga för andra vårdgivare eller inte och vad gäller samtycke vid ospärrade uppgifter, jfr. 6 kap. 11 § föräldrabalken.

Det går inte att nu göra annat än antaganden om hur många som kommer att välja att spärra uppgifter och varför eller anledningen till att patienter inte spärrar uppgifter. Den nyordning som regeringen föreslår bör därför utvärderas så snart som det finns underlag för en utvärdering. Visar det sig vid en framtida utvärdering att många patienter spärrar sina uppgifter och att det leder till problem utifrån patientsäkerhetssynpunkt vad det gäller andra områden än barn som far illa, som exempelvis smitta, kan det finnas skäl att överväga ytterligare lagändringar som gör undantag från den ordning som regeringen nu föreslagit.

Prop. 2007/08:126

153

12 Patientens rätt att ta del av handlingar m.m.

12.1Patientens rätt att ta del av sin journal

Regeringens förslag: I fråga om skyldigheten för en myndighet inom allmän hälso- och sjukvård att till patienten lämna ut journalhandlingar och andra handlingar och uppgifter görs i patientdatalagen en hänvisning till bestämmelserna i tryckfrihetsförordningen och sekretesslagen. Patientjournallagens bestämmelser om patientens rätt att ta del av journalhandlingar inom enskild hälso- och sjukvård förs över oför- ändrade till patientdatalagen med ett undantag. Undantaget innebär att även en närstående till patienten har rätt att få sin begäran att få ta del av en journalhandling inom enskild hälso- och sjukvård prövad.

Utredningens förslag: Överensstämmer i huvudsak med regeringens förslag med den ändringen att även en närstående till patienten har rätt att få sin begäran att få ta del av en journalhandling inom enskild hälso- och sjukvård prövad.

Remissinstanserna: Majoriteten av remissinstanserna har inget att invända mot utredningens förslag.

Barnombudsmannen tillstyrker förslagen men vill dock understryka att barn, i relation till deras ålder och mognad, har rätt till en viss själv- bestämmanderätt i förhållande till sina vårdnadshavare. Detta torde även gälla när barn och unga vill ta del av sina journalhandlingar.

Landstinget i Norrbotten anser att det bör bli tydligare vad informa- tionen till patienten ska innehålla vid ett registerutdrag. Landstinget anser att informationen till patienten inte ska innehålla medicinsk information eller andra personliga uppgifter, utan bara vilka typer av uppgifter som journalen innehåller. Att få del av dessa uppgifter ska inte förväxlas med att ta del av innehållet i journalen, vilket ska betraktas som en begäran av allmän handling i enlighet med Tryckfrihetsförordningen 2 kap 1 §. Svenska Läkaresällskapet anser att patienten bör kunna få tillgång till sin journal, men att det inte ska vara en skyldighet för vårdgivaren att bevilja detta. Motivet är att skydda patienten mot andras krav på patienten att få ut journalen. eHälsoinstitutet anser att förslaget är ett viktigt första steg mot att göra journaluppgifter tillgängliga för patienter men att detta arbete måste vidareutvecklas gärna med stöd av olika e-hälsotjänster. Den långsiktiga målsättningen måste enligt eHälsoinstitutet vara att patienten har rätt att äga informationen om sig själv. Sveriges Läkar- sekreterarförbund anser att det behövs till en förstärkt patienträtt då man i dagens läge fortfarande rätt ofta ifrågasätter patienters förfrågan om att få ut sina journalhandlingar och dessutom dröjer det lång tid innan patienten får sina handlingar. Socialstyrelsen framhåller att patienten enligt 16 § första stycket patientjournallagen ges rätt att på begäran och efter att ha fått saken prövad få ta del av sin journal inom hälso- och sjukvården. Det är emellertid inte ovanligt att en yrkesutövare inom hälso- och sjukvården får en begäran från t.ex. en närstående som önskar ta del av en avliden patients journalhandlingar. Närstående som önskar ta del av en avliden patients journalhandlingar nekas dock av Social- styrelsen till sådan åtkomst av det enkla skälet att sökanden inte är

Prop. 2007/08:126

154

”patient” enligt vad som anges i 16 § första stycket patientjournallagen. Socialstyrelsen önskar därför att det övervägs ett förtydligande i 8 kap. 2 § patientdatalagen som gör det lättare för myndigheten att fullgöra lagstiftarens intentioner. Styrelsen föreslår en bestämmelse som ger närstående till en patient en rätt att få sin behörighet prövad att få ta del av patientens journal.

Skälen för regeringens förslag: Regeringen har tidigare föreslagit att patientdatalagen ska innehålla ett särskilt kapitel om rättigheter för den enskilde. Bestämmelser om patientens rätt att ta del av sin journal bör tas in i det kapitlet.

Att en myndighet inom allmän hälso- och sjukvård under vissa förutsättningar är skyldig att lämna ut journalhandlingar och andra handlingar och uppgifter till en patient följer av bestämmelserna i tryckfrihetsförordningen och sekretesslagen. Till dessa författningar hänvisar 15 § patientjournallagen (1985:562) såvitt gäller journal- handlingar inom den allmänna hälso- och sjukvården. Bestämmelsen i 15 § patientjournallagen ska föras över till patientdatalagen. Regeringen föreslår därför att det även i patientdatalagen görs en hänvisning till bestämmelserna i tryckfrihetsförordningen och sekretesslagen.

Av tryckfrihetsförordningen och sekretesslagen följer att en patient i princip alltid har rätt att ta del av uppgifter om sig själv. Undantag gäller dock för uppgifter om hans eller hennes hälsotillstånd, om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne, 7 kap. 3 § sekretesslagen (1980:100). Vidare gäller undantag för anmälan eller annan utsaga av enskild om patientens hälsotillstånd eller andra personliga förhållanden, om det kan antas att fara uppkommer för att den som har gjort anmälan eller avgivit utsagan eller någon honom eller henne närstående utsätts för våld eller annat allvarligt men om uppgiften röjs för patienten, 7 kap. 6 § sekretesslagen.

I den mån något undantag inte är tillämpligt, ska journalen på begäran lämnas ut till patienten. Om ett undantag är tillämpligt endast för delar av journalen, ska journalen lämnas ut i övriga delar.

Enligt sekretesslagen föreligger som huvudregel en presumtion om att sekretess gäller för journalhandlingar inom den allmänna hälso- och sjukvården om annan än den enskilde, exempelvis en närstående till en patient, önskar få ta del av journalhandlingarna, om det inte står klart att uppgift i journalhandlingarna kan röjas utan att den enskilde eller någon närstående till den enskilde lider men, 7 kap. 1 c § sekretesslagen. Sekretessen gäller därmed med ett s.k. omvänt skaderekvisit. I 7 kap. 1 c § sista stycket sista meningen sekretesslagen finns en undantags- bestämmelse från hälso- och sjukvårdssekretessen. Det gäller utlämnande till enskild enligt vissa angivna lagar som har det gemensamt att lättnaden i sekretessen motiverats av hänsyn till den mottagande personens starka och berättigade intresse av att få del av informationen. Patienten kan också efterge sekretessen helt eller delvis till förmån för exempelvis en närstående till patienten.

Regeringen föreslår att patientjournallagens bestämmelser om patientens rätt att ta del av journalhandlingar inom enskild hälso- och sjukvård förs över oförändrade till patientdatalagen dock med ett undan- tag. Undantaget föranleds av socialstyrelsens synpunkter och innebär att

Prop. 2007/08:126

155

Landstinget i Kalmar län understryker betydelsen av att direktåtkomst sker med den försiktighet som utredningen anger i betänkandet. Detta gäller bl. a. personer med skyddade personuppgifter, unga kvinnor med invandrarbakgrund och andra grupper där risk för påtryckningar kan finnas. Ett öppnare förhållningssätt får enligt landstinget inte äventyra rätten till insynsskydd och integritet för enskilda patienter. Landstinget delar också utredningens uppfattning att det torde krävas vissa säkerhetsåtgärder för att vårdgivare ska kunna ge patienter direktåtkomst till deras egna uppgifter, bl. a. avseende identifieringen av den som efterfrågar uppgifterna samt avseende möjligheter att spärra vissa uppgifter som patienten inte medges ta del av på grund av sekretess.

Landstinget framhåller vidare att en uttrycklig skyldighet för vård- givare att dokumentera all elektronisk åtkomst till patientuppgifter gör det möjligt för den enskilde patienten att kunna få klar och tydlig information om vilken åtkomst som förekommit till dennes uppgifter. Liksom utredningen är landstinget övertygat om att allmänhetens förtroende för hälso- och sjukvården förstärks genom möjligheterna för patienten att, utöver tillgången till egna journaluppgifter, även få tillgång till information om hur dessa hanteras inom vården.

Landstinget i Östergötland delar utredningens slutsats att det vore olämpligt att ändra förutsättningarna så att patienten framöver skulle sägas äga sin egen journal. Däremot bör patientens inflytande över vården lyftas fram och detta görs bl.a. genom att patienten tillåts ha direktåtkomst till sin journal. Genom direktåtkomst till sin patientjournal och även till loggar tror landstinget att patientens förtroende för vården kommer att öka. Även patientens engagemang i vården torde öka, eftersom fler patienter kommer ta del av sina journaluppgifter.

Västra Götalands läns landsting och Sahlgrenska Universitetssjuk- huset har inget att invända mot att patienterna på ett smidigt sätt kan ta del av informationen i patientjournalerna och tillhörande åtkomst- dokumentation men anser att det kan ifrågasättas om direktåtkomst över Internet är värt de risker som det innebär för att obehöriga kommer åt uppgifterna. Västra Götalands läns landsting och Sahlgrenska Univer- sitetssjukhuset anser vidare att vårdgivarna bör undanta vissa journal- handlingar eller i andra fall fördröja patientens åtkomst, t.ex. för att först kunna få en personlig kontakt med patienten. Regionen och sjukhuset vill också fästa uppmärksamhet på att informationsflödet mellan vård och patient kommer att ske i båda riktningarna och att kraven på säker- hetslösningar måste likställas.

Landstinget Gävleborg anser att förslaget ger ökade möjligheter för patienten att i större utsträckning ta ansvar för sin egen hälsa. En patient med god kunskap om sin egen sjukdomsbild underlättar en säkrare vård. Landstinget anser vidare att patientens möjlighet att ta del av loggar behöver lyftas fram ytterligare för att stärka patientens integritet och medbestämmande.

Svenska föreningen för barn- och ungdomspsykiatri delar utredningens uppfattning att patienterna på ett smidigt sätt ska kunna ta del av sin journal. Föreningen påpekar att direktåtkomst över Internet är angelägen men kräver ett säkert krypterat informationsutbyte. Utvecklingen går raskt i riktning mot interaktiv vård via Internet som exempelvis innebär behandlingsuppföljning via frågeformulär på hemdatorn. Föreningen

Prop. 2007/08:126

157

anser vidare att vårdgivarna bör ha möjlighet att undanta visst journalmaterial.

Skälen för regeringens förslag: Användningen av Internet blir allt mer utbredd i Sverige och allt fler använder sig av elektroniska tjänster. Inom hälso- och sjukvården kan patienter söka information om sjukdomar och behandlingar via Internet. I flera landsting kan patienter också boka tider, förnya recept eller ställa frågor via Internet.

Mot bakgrund av den ökade Internetanvändningen framstår det som naturligt att patienter ges möjlighet att få direktåtkomst till sådana patientuppgifter som får lämnas ut till dem.

Önskemål om direktåtkomst till journaluppgifter har också framförts till utredningen från företrädare för ett antal patient- och anhörig- organisationer. Vidare visar den enkätundersökning som utredningen låtit Statistiska centralbyrån göra att 71 procent vill kunna ta del av sin patientjournal via Internet. Även om resultat från sådana undersökningar måste tolkas försiktigt, visar undersökningen att det finns ett stort intresse bland allmänheten att kunna ta del av sina journaluppgifter på detta sätt.

Patienter har också genom bestämmelser i hälso- och sjukvårdslagen och lagen om yrkesverksamhet på hälso- och sjukvårdens område getts rätt till information, delaktighet och medinflytande. Att ge patienter direktåtkomst till sina patientuppgifter bidrar till deras möjligheter att på ett bättre sätt aktivt delta i sin vård. Patienterna skulle t.ex. kunna bli mer informerade om sitt hälsotillstånd. Vidare skulle de kunna kontrollera att uppgifter som de lämnat till hälso- och sjukvårdspersonalen uppfattats på ett korrekt sätt. De skulle även kunna titta på resultat från provtagningar, vilket framför allt skulle spara tid för patienter som det regelbundet tas prover på och som ständigt behöver övervaka sitt sjukdomsförlopp. Direktåtkomst skulle också kunna vara ett sätt att låta journalen följa patienten genom att denne då kan låta en vårdgivare som han eller hon besöker för första gången, ta del av uppgifterna.

Regeringens förslag är mot bakgrund av detta att patienter bör ges möjlighet att ta del av uppgifter om sig själva via Internet och detta oavsett om vårdgivaren deltar i sammanhållen journalföring eller ej. Någon rättighet för enskilda att ha direktåtkomst till sina uppgifter bör dock inte införas för närvarande. Konsekvenserna av införandet av en sådan rättighet kan nämligen inte till fullo överblickas. En sådan rättighet skulle också innebära att alla vårdgivare som för elektroniska patient- journaler skulle vara skyldiga att ge sina patienter en sådan åtkomst. I nuläget saknas det förutsättningar att ålägga samtliga vårdgivare en sådan skyldighet.

Det kan naturligtvis inträffa att en patient som har getts direktåtkomst till sina patientuppgifter och som på egen hand tar del av dessa missförstår uppgifterna. Det kan emellertid hända även i dag när en patient får en utskrift av sin journal och väljer att läsa denna på egen hand. Det får nämligen inte, annat än i undantagsfall, uppställas som villkor för utlämnande av en journal att en läkare finns med och förklarar innehållet. Risken för missförstånd kan i viss mån motverkas om vårdgivarna erbjuder de patienter som ges direktåtkomst till sina uppgifter möjlighet att få hjälp att tyda dem.

Prop. 2007/08:126

158

Direktåtkomsten bör avse sådana uppgifter om den enskilde själv som får lämnas ut till honom eller henne och som omfattas av person- uppgiftsbehandling för ändamålet vårddokumentation. Det är dock vård- givaren som avgör i vilken utsträckning sådana uppgifter ska göras till- gängliga för patienterna. Datainspektionen har anfört att det inte finns något behov av att namnge vårdpersonal eller att presentera andra upp- gifter som indirekt kan hänföras till en fysisk person, dvs. det är till- räckligt att för detta ändamål ange från vilken avdelning, klinik eller mot- svarande enhet som åtkomsten härrör. Regeringen instämmer i Data- inspektionens bedömning och anser att sådana uppgifter inte bör lämnas ut till den enskilde.

Regeringen har i tidigare avsnitt framhållit betydelsen av att patienter kan få information om vilken elektronisk åtkomst som förekommit till uppgifter om honom eller henne. En bestämmelse som ger patienter rätt att på begäran få information om sådan åtkomst har också föreslagits. De skäl som tidigare anförts för en sådan bestämmelse talar också för att det bör vara tillåtet för vårdgivare att ge sina patienter direktåtkomst till logglistor som avser elektronisk åtkomst till uppgifter om dem.

Ett skäl som har anförts mot att ge patienter direktåtkomst till sina patientuppgifter är risken för att patienterna utsätts för påtryckningar från t.ex. anhöriga eller blivande arbetsgivare att visa dem uppgifterna. Det går naturligtvis inte att helt bortse från risken att några patienter kan komma utsättas för sådana påtryckningar. En sådan risk finns emellertid redan nu. En person kan t.ex. förmå en anhörig att ge honom eller henne fullmakt att begära ut journaluppgifter beträffande denne.

Ett sätt att begränsa denna risk är att göra uppgifterna inte alltför lätt tillgängliga. Uppgifter om en patient behöver inte med automatik finnas tillgängliga för denne via Internet enbart därför att en vårdgivare erbjuder sina patienter möjlighet att få direktåtkomst till patientuppgifter. Till- gängligheten bör i stället förutsätta att patienten inledningsvis på något sätt framfört önskemål till vårdgivaren om att få direktåtkomst till sina uppgifter. Denna förutsättning kommer sannolikt även innebära att det framför allt är de lite mer intresserade patienterna som kommer att ha direktåtkomst till sina patientuppgifter. En framställan om ett önskemål förutsätter ju överväganden från den enskildes sida och ett aktivt handlande. Det ger även vårdgivaren tillfälle att informera patienten om t.ex. vart han eller hon kan vända sig för att få hjälp att tyda uppgifterna. För tydlighetens skull kan tilläggas att det inte är regeringens mening att det ska krävas en formell ansökan från patienten som utmynnar i ett slags tillstånd. Alla patienter som framför önskemål till en vårdgivare som erbjuder sina patienter möjlighet att få direktåtkomst till patientuppgifter ska alltså kunna få sådan åtkomst.

Regeringens förslag i avsnitt 7.6 om att direktåtkomst till person- uppgifter som behandlas enligt patientdatalagen bara får förekomma i den utsträckning som anges i lag eller förordning, innebär att för att den nu föreslagna direktåtkomsten ska bli tillåten krävs att en bestämmelse om detta tas in i patientdatalagen. Regeringen föreslår därför att det i patientdatalagen anges att en vårdgivare får medge en enskild direkt- åtkomst till sådana uppgifter om den enskilde som behandlas för det ändamål som i avsnitt 7.1 betecknar vårddokumentation. För att under- stryka att en sekretessprövning är nödvändig i samband med att uppgifter

Prop. 2007/08:126

159

verksamheter som bedrivs inom samma myndighet eftersom det skulle strida mot sekretesslagens systematik att införa ett sådant förtydligande.

Utredningens förslag: Utredningens förslag överensstämmer i sak med regeringens förslag och bedömning med den ändringen att regeringen valt en annan lagteknisk lösning.

Remissinstanserna: Majoriteten av remissinstanserna har inget att anföra mot utredningens förslag.

Sahlgrenska Universitetssjukhuset, SU, tillstyrker utredningens förslag till ändring i sekretesslagen. SU anser att förslaget gör det möjligt att organisera olika delar av ett landstings hälso- och sjukvård under olika politiska nämnder och samtidigt bibehålla tillgången till vårdinformation i vårdkedjor. Det ger också förutsättningar att samordna t.ex. radio- logiverksamhet i landstinget även om patienterna finns vid olika sjukhus. Ett genomförande av utredningens förslag i denna del är enligt SU en absolut förutsättning för att vården ska kunna tillgodogöra sig de möjlig- heter till ökad patientsäkerhet och effektivitet som den moderna informa- tionstekniken ger. Självfallet måste patienternas behov av skydd för den personliga integriteten beaktas men detta ska inte vara beroende av hur den politiska organisationen utformas i ett landsting. Utredningen lägger fram förslag på hur patienternas integritet i stället ska skyddas genom möjlighet till spärrar samt kontroller av att obehörig läsning av patientjournaler inte sker.

Justitieombudsmannen, JO, ställer sig tveksam till utredningens före- slag att hälso- och sjukvårdssekretessen inte ska hindra att en uppgift lämnas från en myndighet inom hälso- och sjukvården till en annan sådan myndighet i samma kommun eller landsting. JO anför att utredningens förslag innebär att sekretessområdet inom hälso- och sjukvården blir mycket stort. Inom ett landsting kommer sekretessen inte att gälla mellan t.ex. psykiatrin, folktandvården, verksamhet som rör smittsamma sjuk- domar, missbrukarvården eller den somatiska vården. JO ifrågasätter mot bakgrund av detta lämpligheten i förslaget och anser att konsekvenserna behöver belysas ytterligare. JO anför vidare att om förslaget leder till lagstiftning vill JO ifrågasätta om inte bestämmelsen, med hänsyn till den nuvarande sekretesslagens struktur, bör införas i lagens första kapitel. JO hänvisar vidare till det yttrande som JO lämnade över Offentlighets- och sekretesskommitténs (OSEK) betänkande där JO inte avvisade möjlig- heterna att lämna ut uppgifter, men påtalade att undantagsregler på detta område måste utformas efter noggranna överväganden där den enskildes berättigade krav på integritet och självbestämmande tillmäts särskild tyngd. JO konstaterar att patientdatautredningen har anslutit sig till OSEK:s bedömning att det av patientsäkerhetsskäl behövs en bestäm- melse om sekretessgenombrott inom vård- och omsorgsområdet för att en enskild ska kunna få nödvändig vård, omsorg etc. Till skillnad från OSEK föreslår dock patientdatautredningen att det i bestämmelsen uttryckligen anges att sekretessgenombrottet ska gälla bara om den enskilde på grund av sitt hälsotillstånd eller av annat skäl inte kan samtycka till att uppgifter lämnas ut. Att detta tydligt framgår i lagtexten anser JO är en förbättring men det hindrar inte att den uppfattning som JO gav uttryck för i sitt yttrande över OSEK:s betänkande i allt väsentligt

Prop. 2007/08:126

161

och sjukvård som bedrivs inom Kriminalvården (7 kap. 1-3 och 6 §§ sekretesslagen). Först om olika delar av en myndighets verksamhet har att tillämpa olika sekretessbestämmelser finns det skäl att även ta ställning till om de olika verksamhetsgrenarna är att betrakta som självständiga i förhållande till varandra. Som exempel kan nämnas det allmänna ombudet hos Försäkringskassan. I lagstiftningsärendet rörande anpassningar till inrättandet av Försäkringskassan uttalades att ombudet skulle komma att inta en sådan särställning inom myndigheten och ha en sådan egen beslutsbefogenhet att handlingar som skulle komma att utväxlas mellan ombudet och andra organ inom Försäkringskassan sannolikt i stor utsträckning skulle komma att bli allmänna (jfr 2 kap. 8 § tryckfrihetsförordningen). Det konstaterades dock att någon sekretess- gräns inte skulle uppstå mellan det allmänna ombudet och Försäkrings- kassans övriga organisation eftersom såväl ombudet som organisationen i övrigt hade att tillämpa samma sekretessbestämmelser (prop. 2003/04:152 s. 250 f.).

Samtliga verksamheter, som utgör hälso- och sjukvård eller annan medicinsk verksamhet, inom den offentliga sektorn har att tillämpa sekretessen enligt 7 kap. 1 c § sekretesslagen. Härav följer att all hälso- och sjukvård som lyder under samma nämnd inom ett landsting eller en kommun utgör en och samma verksamhetsgren i sekretesslagens mening. Regeringen delar Patientdatautredningens bedömning att det inte bör införas någon särskild bestämmelse om att det inte finns någon sekretess- gräns mellan hälso- och sjukvårdsverksamheter som bedrivs inom samma myndighet. Något sådant förtydligande finns inte i sekretesslagen beträffande andra sekretessområden och får anses vara överflödigt.

Det sagda innebär inte att det är fritt fram för hälso- och sjukvårds- personal som arbetar inom samma myndighet att utbyta sekretessbelagda uppgifter. Som anges i flera av de nämnda lagstiftningsärendena har Justitieombudsmannen uttalat att det torde stå klart att en befatt- ningshavare inte har någon obegränsad frihet att lämna uppgifter som omfattas av sekretess till sina arbetskamrater. Å andra sidan är det tydligt att sekretesslagen inte heller kan utgöra hinder mot att en handläggare rådfrågar andra befattningshavare om ett ärende, åtminstone inte om det framstår som objektivt försvarbart. Vidare måste uppgifter fritt kunna lämnas till dem som på ett eller annat sätt deltar i beredandet och avgörandet av ett ärende (JO 1983/84 s. 262). Den enskildes integritet kan vidare skyddas av andra typer av bestämmelser än sekre- tessbestämmelser. På hälso- och sjukvårdsområdet är, som framgått av avsnitt 11.2, 2 a § hälso- och sjukvårdslagen (1982:763) av grund- läggande betydelse. Enligt den bestämmelsen ska verksamheten bygga på respekt för patientens självbestämmande och integritet och så långt det är möjligt utföras och genomföras i samråd med patienten. Mot bakgrund av den bestämmelsen har JO uttalat att en patients uttryckliga önskemål om att journaler inte ska lämnas till andra kliniker på samma sjukhus ska respekteras utom i rena nödsituationer (JO 1986/87 s. 199). Det anges vidare i 7 § patientjournallagen (1985:562) att varje journalhandling ska hanteras och förvaras så att obehöriga inte får tillgång till den. Som fram- gått av avsnitt 11.3 har nämnda bestämmelse inarbetats i förslaget till ny patientdatalag och vidgats till att omfatta inte bara journaluppgifter utan alla dokumenterade personuppgifter om patienter eller andra enskilda

Prop. 2007/08:126

163

befintliga sekretesslagen bör införas en sekretessbrytande bestämmelse av innebörd att hälso- och sjukvårdssekretessen inte ska hindra att en uppgift lämnas från en myndighet inom hälso- och sjukvården i en kommun eller ett landsting till annan sådan myndighet i samma kommun eller landsting. JO har ställt sig tveksam till detta förslag. JO anför att utredningens förslag innebär att sekretessområdet inom hälso- och sjukvården blir mycket stort. Inom ett landsting kommer sekretessen inte att gälla mellan t.ex. psykiatrin, folktandvården, verksamhet som rör smittsamma sjukdomar, missbrukarvården eller den somatiska vården. JO ifrågasätter mot bakgrund av detta lämpligheten i förslaget och anser att konsekvenserna behöver belysas ytterligare.

Som framgått av vad som anförts tidigare finns det inte någon sekretessgräns mellan hälso- och sjukvårdsverksamheter som bedrivs inom samma myndighet. En kommun eller ett landsting kan organisera sin verksamhet så att all hälso- och sjukvård lyder under samma nämnd. I ett sådant fall gäller inte sekretess mellan de verksamheter som JO nämner. Införandet av den fria kommunala nämndorganisationen har dock medfört att nya sekretessgränser kan uppstå beroende på hur en kommun eller landsting väljer att organisera sin verksamhet, även om de överväganden som ligger till grund för vald organisationsform inte har någon relevans för sekretessfrågan. Bestämmelsen om att det gäller sekretess mellan myndigheter (1 kap. 3 § första stycket sekretesslagen) får förstås ha samma effekt även beträffande andra sekretessområden, t.ex. på det statliga området, i de fall hanteringen av en verksamhet som omfattas av en sekretessreglering delas upp på flera olika myndigheter. De flesta sekretessbestämmelser är dock försedda med ett s.k. rakt skadrekvisit, dvs. presumtionen är att uppgifterna är offentliga. Vidare är den s.k. generalklausulen, som stadgar att sekretess inte hindrar att en uppgift lämnas till en myndighet om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda (14 kap. 3 § första stycket sekretesslagen), tillämplig på de flesta sekretessområden. En av de aspekter som ska beaktas vid tillämpningen av sistnämnda bestämmelse är om uppgifterna blir sekretessbelagda hos den mottagande myndigheten i samma utsträckning som hos den utlämnande myndigheten (Sekretesslagen. En kommentar. Regner m.fl. s. 14:26). Det sagda innebär att om en verksamhet delas upp på flera myndigheter har dessa i de flesta fall goda möjligheter att utbyta uppgifter i de fall det behövs. Några få sekretessområden, bl.a. hälso- och sjukvårdssekretessen och socialtjänstsekretessen, är dock undantagna från generalklausulens tillämpningsområde (14 kap. 3 § andra stycket sekretesslagen). Detta innebär att de sekretessgränser som mot bakgrund av 1 kap. 3 § sekretesslagen i kombination med den fria kommunala nämndorganisationen kan uppstå, har skapat särskilda problem inom bl.a. hälso- och sjukvården såvitt gäller t.ex. verksamhetsuppföljning i de fall en kommun eller ett landsting har valt att dela upp hälso- och sjukvårds- verksamheten på flera myndigheter. Såväl OSEK:s som patient- datautredningens förslag innebär att samma sekretessgränser ska gälla inom hälso- och sjukvården oavsett hur en kommun eller ett landsting väljer att organisera denna verksamhet. Med hänsyn till hur nämnderna var organiserade innan den fria kommunala nämndorganisationen

Prop. 2007/08:126

165

ningarna annorlunda när det gäller psykiatriska journaler och somatiska journaler med särskilt känsligt innehåll, t.ex. gynekologijournaler. I de fall man har anledning att ifrågasätta om patienten skulle anse det vara till men för honom att journalen överlämnas till annan sjukvårds- myndighet så ska patientens egen uppfattning inhämtas. Motsätter sig patienten att journalen lämnas ut ska detta respekteras även om läkaren anser att ett utlämnande inte är till men för patienten. Detta beror på att begreppet ”men” i sekretesslagen ska tolkas med utgångspunkt från den enskildes värdering. Inom den frivilliga hälso- och sjukvården blir det därför enligt JO inte aktuellt att göra en egentlig menprövning annat än i sådana fall, där det gäller en journal med känsligt innehåll och det av praktiska skäl inte är möjligt att inhämta patientens egen uppfattning. Som nämnts tidigare anser JO vidare att ett önskemål från en patient att hans eller hennes journaler inte ska lämnas till annan sjukvårds- myndighet måste respekteras utom i rena nödsituationer (JO 1986/87 s. 198 f.).

På senare år har det blivit alltmer vanligt att kommunen eller landstingen efter upphandling överlåter driften av en verksamhet till en privat aktör. Patienterna har också stora möjligheter att välja mellan olika vårdgivare. Detta innebär att uppgifter om en patient kan komma att spridas på en mängd aktörer, vilket kan vara vanskligt från patient- säkerhetssynpunkt.

Vissa personer har vidare sammansatta vård- och stödbehov som inbegriper insatser från både hälso- och sjukvården och socialtjänsten. Ett antal reformer med betydelse för vård- och omsorgsområdet genomfördes under 1990-talet, t.ex. ädelreformen, handikappreformen samt psykiatrireformen. Huvudmannaskapet för hälso- och sjukvården är sedan dess delat mellan landstingen och kommunerna. Ett av syftena med reformerna har varit att skapa ett bättre och mer samlat omhändertagande av äldre och andra personer med sammansatta behov av både medicinska och sociala insatser. Samtidigt har det sedan reformerna infördes påtalats fortsatta brister i omhändertagandet. En av flera brister som framhållits rör svårigheter i informationsutbytet inom vården och omsorgen med anledning av att ett gott och samlat omhändertagande ofta är beroende av stöd och insatser från både landsting och kommuner samt privata vårdgivare eller privata entreprenörer som driver särskilda äldreboenden m.m. Ett kvarstående problem är de sekretessgränser som finns mellan hälso- och sjukvårdverksamheter som bedrivs av de inblandade aktö- rerna. Ett ytterligare problem är också att socialtjänstverksamhet, som utgör ett annat sekretessområde, inbegrips i vården och omsorgen.

Som nämnts tidigare gäller sekretess inom en myndighet mellan olika verksamhetsgrenar när de är att anse som självständiga i förhållande till varandra. Hälso- och sjukvården och socialtjänsten är olika verksamhets- grenar i sekretesslagens mening. När det gäller verksamhet enligt den s.k. Ädelreformen anförde föredragande statsrådet att den kommunala hälso- och sjukvården och socialtjänsten i detta fall inte är att betrakta som självständiga i förhållande till varandra i sekretesslagens mening därför att det inte var fråga om verksamheter av skilda slag. Någon ändring av uppdelningen i självständiga verksamhetsgrenar i sekretesslagens mening mellan den kommunala socialtjänsten och övriga fall då hälso- och sjukvården bedrevs inom socialtjänsten avsågs dock inte (prop.

Prop. 2007/08:126

167

1990/91:14 s. 85). Enligt OSEK är skälet till att det inte uppstår sekretess i en nämnd mellan integrerad verksamhet som omfattas av Ädelreformen snarare att hälso- och sjukvårdsverksamheten och socialtjänstverk- samheten i sådana situationer inte är självständiga i förhållande till varandra än att det skulle vara fråga om verksamhet av samma slag. Detta reser enligt OSEK i sin tur frågan hur det förhåller sig med andra verksamheter där hälso- och sjukvård och socialtjänst integreras och hanteras av samma nämnd (SOU 2003:99 s. 257).

Som nämnts tidigare är generalklausulen inte tillämplig på hälso- och sjukvårdssekretessen. Om en menprövning hindrar ett utlämnande av en uppgift och det saknas samtycke från den enskilde saknas som huvudregel möjlighet att lämna ut uppgifter från en myndighet inom hälso- och sjukvården till en annan sådan myndighet i en annan kommun eller ett annat landsting eller till socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område, såvida inte nödbestämmelsen enligt 24 kap. 4 § brottsbalken är tillämplig. Det finns dock en sekretessbrytande bestämmelse med ett begränsat tillämp- ningsområde i 14 kap. 2 § nionde stycket sekretesslagen. Enligt den bestämmelsen hindrar sekretess enligt 7 kap. 1 c och 4 §§ sekretesslagen inte att uppgift om enskild, som inte fyllt 18 år eller som fortgående missbrukar alkohol, narkotika eller flyktiga lösningsmedel, eller när- stående till denne lämnas från myndighet inom hälso- och sjukvården och socialtjänsten till annan sådan myndighet, om det behövs för att den enskilde ska få nödvändig vård, behandling eller annat stöd. Detsamma gäller i fråga om lämnande av uppgift om gravid kvinna eller närstående till henne, om det behövs för en nödvändig insats till skydd för det väntande barnet. Denna bestämmelse tar således sikte på särskilt utsatta personer. I förarbetena betonas att detta undantag från sekretessen bör användas med urskiljning och varsamhet. Endast i de situationer där det framstår som direkt påkallat att bistå en enskild eller ett väntat barn bör undantaget utnyttjas. En förutsättning bör normalt vara att den berörda personen kan antas direkt motsätta sig att uppgifter lämnas eller att saken brådskar så att det inte finns tid att inhämta samtycke. I första hand bör samtycke utvecklas (prop. 1990/91:111 s. 41).

Mot bakgrund av de patientsäkerhetsaspekter som gör sig gällande när vårduppgifter om en enskild i allt större utsträckning sprids på allt fler vårdgivare och de brister i omhändertagandet som finns i integrerade verksamheter, därför att information om den enskilde på grund av sekretessen inte alltid kan förmedlas mellan de olika verksamheterna i tillräcklig utsträckning, har såväl OSEK som Patiendatautredningen föreslagit att det bör införas ytterligare en sekretessbrytande bestäm- melse. Förslaget innebär att sekretess inte ska hindra att uppgift om en enskild som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område. Patientdatautredningen har därutöver före- slagit att det av lagtexten ska framgå att sekretessgenombrottet bara gäller ”om den enskilde på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att uppgifter lämnas ut”. Förslaget tar med detta tillägg i huvudsak sikte på patienter som på grund av hälsorelaterat skäl

Prop. 2007/08:126

168

inte kan samtycka eller som annars inte har beslutsförmåga. Viljan hos den patient som klart och utan inflytande av en allvarlig psykisk störning eller liknande motsätter sig ett uppgiftsutlämnande ska däremot respekteras. Patientdatautredningen anser att förslaget är väl förenligt med bestämmelsen i 2 a § hälso- och sjukvårdslagen om att hälso- och sjukvård ska bygga på respekt för patientens självbestämmande och integritet samt att vården och behandlingen så långt möjligt ska utformas och genomföras i samråd med patienten. Regeringen delar denna bedömning och anser att förslaget bör genomföras.

Lagteknisk lösning

Patientdatautredningen har föreslagit att de befintliga sekretessbrytande bestämmelserna i förhållande till enskild i 7 kap. 1 c § femte stycket och de föreslagna nya sekretessbrytande bestämmelserna ska placeras i en ny paragraf (7 kap. 1 d §). Utredningen har vidare föreslagit att bestäm- melsen i nuvarande 7 kap. 1 c § tredje stycket, som dels stadgar viss sekretess i verksamhet som avser omhändertagande av patientjournal inom enskild hälso- och sjukvård, dels innehåller en sekretessbrytande bestämmelse avseende sådana uppgifter, ska placeras i ytterligare en ny paragraf (7 kap. 1 e §).

JO har ifrågasatt om inte en av de nya sekretessbrytande bestäm- melserna – med hänsyn till den nuvarande sekretesslagens struktur – bör införas i lagens första kapitel och om inte en annan av de nya sekretessbrytande bestämmelserna bör införas i 14 kap. 2 § sekretess- lagen.

Utredningens förslag innebär från lagteknisk synpunkt en principiell nyordning i sekretesslagen på så vis att det f.n. inte finns några paragrafer som enbart innehåller sekretessbrytande bestämmelser i 7–9 kap. sekretesslagen. Sådana bestämmelser har hittills antingen infogats i respektive sekretessbestämmelse eller samlats i 14 kap. Den sekretess- brytande bestämmelsen om nödvändigt utlämnande i 1 kap. 5 § sekretesslagen utgör ett undantag från denna systematik. Utredningens förslag får vidare till följd att det kommer att finnas två paragrafer mellan bestämmelsen om sekretess i 7 kap. 1 c § och de undantag från denna sekretess som görs i 7 kap. 2 §. Förslaget innefattar vidare ingen hän- visning till den bestämmelse i 14 kap. 2 § nionde stycket sekretesslagen enligt vilken sekretessen enligt 7 kap. 1 c § bryts under vissa förut- sättningar. Sammantaget anser regeringen att de nya bestämmelserna i större utsträckning bör inordnas i sekretesslagens nuvarande systematik. För att sekretessregleringen ska bli så lättillämpad som möjligt bör såväl de befintliga som de nya sekretessbrytande bestämmelserna inarbetas i 7 kap. 1 c § i en tydlig struktur. De sekretessbrytande bestämmelserna bör införas dels i en punktuppräkning i ett omarbetat sjätte stycke, dels i ett nytt sjunde och åttonde stycke. Vidare bör i ett nytt nionde stycke en hänvisning göras till de befintliga sekretessbrytande bestämmelserna i 14 kap. 2 § sekretesslagen. En sådan lösning innebär att regleringen samlas på ett överskådligt sätt samtidigt som regleringen överens- stämmer med sekretesslagens nuvarande systematik. Paragrafen blir visserligen relativt lång. Det är dock inte ovanligt med långa paragrafer i

Prop. 2007/08:126

169

sådana konsekvenser för informationshanteringens villkor inte låser fast nämndstrukturen i landsting och kommuner på ett olyckligt sätt. Regeringens förslag innebär att det i praktiken inte kommer att vara någon väsentlig skillnad i patientdatahanteringen om ett landsting eller en kommun bedriver hälso- och sjukvård genom en eller flera myndig- heter.

Det faktum att direktåtkomst ska tillåtas mellan nämnder i samma landsting eller samman kommun innebär dock inte att det kan vara fritt fram för hälso- och sjukvårdspersonalen att utbyta vilka uppgifter som helst. Även om direktåtkomst är tillåtet för att lämna ut uppgifter mellan nämnder i samma landsting eller samma kommun måste t.ex. vårdpersonalen vara behörig att ta del av uppgifterna om patienten, se 4 kap. 2 § patientdatalagen. Patientens uttryckliga önskemål om att upp- gifter om honom eller henne inte fritt ska lämnas till en annan myndighet inom kommunen eller landstinget ska även normalt respekteras på motsvarande sätt som gäller t.ex. mellan olika kliniker inom en myndighet (jfr den enskildes möjligheter att begära att uppgifter spärras i förhållande till en annan vårdenhet eller vårdprocess hos samma vårdgivare enligt 4 kap. 4 § patientdatalagen).

När det gäller de kommunala företagen, det vill säga sådana som avses i 1 kap. 9 § sekretesslagen, anser regeringen att de inte bör få ha direkt- åtkomst till landstingets personuppgifter under andra förutsättningar än de som följer av bestämmelserna om sammanhållen journalföring.

SKL har ställt sig tveksam till detta förslag. SKL anför att en vårdinrättning som omfattas av 1 kap. 9 § sekretesslagen i patient- datalagen bör behandlas som landstingsdriven/kommundriven vård- verksamhet. SKL anser att det inte finns några sakliga skäl att göra skillnad mellan verksamheter som drivs i förvaltningsform och verksamheter som drivs i annan form och som omfattas av 1 kap 9 § sekretesslagen. Regeringen föreslår visserligen att sekretessen ska rivas mellan kommunala företag och myndigheter i enlighet med förslaget om sekretessgenombrott mellan nämnder och kommunala företag i samma landsting eller kommun, se avsnitt 13.1. Skälet till att regeringen dock anser att de kommunala företagen ska följa bestämmelserna om samman- hållen journalföring till skillnad från nämnderna är främst att direkt- åtkomst är, som nämnts, en utlämnandeform som är speciellt integritets- känslig. Särskild återhållsamhet är därför påkallad, bl.a. därför att de kommunala företagen kan ha andra intressenter som äger delar av företagen, t.ex. kan kommunala aktiebolag ägas till 49 procent av privata intressenter eller andra sjukvårdshuvudmän, vilket gör situationen av- vikande från den då ett och samma landsting eller en kommun organiserat den egna hälso- och sjukvården att bedrivas genom flera myndigheter. SKL:s synpunkter kan dock anses vara särskilt befogade vad det gäller exempelvis kommunala företag som ägs till 100 procent av en kommun eller ett landsting. Frågan är varför i dessa fall olika bestämmelser ska vara tillämpliga beroende på valet av driftsform. Regeringens förslag om sammanhållen journalföring innebär dock en nyordning i sig och medför ingen försämring i förhållande till vad som gäller i dag. Tvärtom torde förslagen innebära att uppgiftsutbytet mellan vårdgivarna kommer att underlättas. Det är därför av allmän synpunkt viktigt att gå stegvis fram. Regeringen anser således att det i nuläget inte

Prop. 2007/08:126

172

ändamål. Vidare har föreslagits att de nuvarande begränsningarna i fråga om samkörning av vårdregister med andra register avskaffas.

Förslagen undanröjer de oklarheter som i dag anses gälla i fråga om de rättsliga förutsättningarna för myndigheter inom hälso- och sjukvården och privata vårdgivare att behandla personuppgifter för ändamålet att följa upp sin egen verksamhet.

Det kommer dock inte heller med dessa förslag att vara tillåtet att basera verksamhetsuppföljningen på personuppgifter, dvs. uppgifter som direkt eller indirekt kan hänföras till en enskild person, om det är tillräckligt att använda avidentifierade uppgifter. Vidare innebär begräns- ningen i 9 § första stycket f personuppgiftslagen, om att inte fler person- uppgifter får behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen, att personuppgifter som endast indirekt pekar ut den enskilde i första hand ska användas.

När det gäller frågan om att förbättra landstingens och kommunernas möjligheter att göra gemensamma uppföljningar av sådana insatser som involverar både hälso- och sjukvård och socialtjänst så utreds detta för närvarande av Socialtjänstdatautredningen (S2007:92). Utredaren ska överlämna förslag på en sammanhållen reglering av området senast den 31 mars 2009.

Regeringen delar utredningens bedömning att verksamhetsuppföljning inte medför någon nämnvärd spridning av personuppgifter inom en vårdgivares verksamhet, bl.a. därför att själva personuppgiftshanteringen vid verksamhetsuppföljning normalt engagerar endast en liten krets av anställda. Med tanke härpå och med tanke på vikten av att verksamhets- uppföljningen är baserad på ett heltäckande och korrekt material, instämmer regeringen i utredningens bedömning att det inte bör införas någon rätt för patienten att begränsa användningen av uppgifterna för verksamhetsuppföljning som skulle kunna sägas motsvara den rätt som föreslås i avsnitt 11 om att patienten ska kunna få uppgifter spärrade från åtkomlighet för en större krets av hälso- och sjukvårdpersonal. I detta fall väger vårdgivarens och det allmännas intresse tyngre än den enskildes intresse av största möjliga integritetsskydd. Det föreslås således ingen rätt för den enskilde patienten att motsätta sig att uppgifter om honom eller henne används vid uppföljning av en vårdgivares egen verksamhet.

Förslagen i patientdatalagen i förening med förslaget om slopade sekretesshinder mellan myndigheter inom hälso- och sjukvården i samma landsting eller kommun innebär att sjukvårdshuvudmännen och privata vårdgivare får avsevärt förbättrade rättsliga möjligheter att utan patienternas samtycke företa verksamhetsuppföljning baserad på patient- data jämfört med vad som följer av gällande rätt. Exempelvis innebär förslagen att olika journal- och patientadministrativa system som kan finnas utspridda i landstinget kan samköras även om något system hör till ett landstingskommunalt företag och alldeles oavsett att syftet är något slag av verksamhetsuppföljning. De förbättrade möjligheterna inom ramen för en sjukvårdshuvudmans eller annan vårdgivares hälso- och sjukvårdsverksamhet gäller alldeles oavsett om det närmare syftet med att följa upp verksamheten tar sikte på t.ex. den medicinska kvaliteten i vården eller på verksamhetens kostnadseffektivitet.

Sammantaget förbättrar regeringens samlade lagförslag kommunernas, landstingens och de privata vårdgivarnas möjligheter att ur olika aspekter

Prop. 2007/08:126

175

8 § personuppgiftslagen (1998:204), som också gäller vid behandling av personuppgifter enligt den föreslagna lagen.

Vidare bör personuppgifter kunna lämnas ut om det följer av en särskilt föreskriven uppgiftsskyldighet som exempelvis avses i 14 kap. 1 § sekre- tesslagen (1980:100) eller 2 kap. 8 och 9 §§ lagen (1998:531) om yrkes- verksamhet på hälso- och sjukvårdens område. Ett exempel är att uppgifter lämnas ut enligt 43 § personuppgiftslagen i samband med Datainspektionens tillsyn över personuppgiftsbehandlingen eller att uppgifter levereras till hälsodataregister via ett kvalitetsregister. Utrymmet för att lämna ut personuppgifter från kvalitetsregistren är således väsentligen mera snävt än vad som föreslagits i stort när det gäller personuppgifter inom hälso- och sjukvården där det räcker att utlämnandet sker i överensstämmelse med lag eller förordning.

Dock talar skäl mot att exempelvis tillåta utlämnande med stöd av 15 kap. 5 § sekretesslagen, som föreskriver att en myndighet på begäran av en annan myndighet ska lämna ut uppgift som den förfogar över i den mån inte hinder möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. Det är nämligen svårt att överblicka vilket uppgiftsutlämnande som en tillämpning av 15 kap. 5 § sekretess- lagen kan leda till.

Av hänsyn till enskildas personliga integritet bör dock inga andra ända- mål vara tillåtna. Det innebär att det inte är tillåtet att behandla person- uppgifterna för andra ändamål även om dessa inte är oförenliga med det ändamål för vilket uppgifterna har samlats in, dvs. kvalitetssäkring. Personuppgiftslagens finalitetsprincip gäller alltså inte vid behandling av personuppgifter i nationella eller regionala kvalitetsregister.

När det gäller det särskilda ändamålet statistik om hälso- och sjukvård kan anmärkas att inrapporterade data sammanställs statistiskt i de åter- rapporteringar m.m. som framställs i kvalitetssäkringsarbetet. Sådan statistikframställning omfattas av det primära ändamålet kvalitetssäkring. Det särskilda statistikändamålet tillåter därutöver att personuppgifter behandlas särskilt för att framställa statistik som kan användas för andra ändamål än att förbättra vårdens kvalitet.

Det särskilda efterkommande ändamålet forskning medger att person- uppgifter, som samlats in för kvalitetssäkringsändamål, också ska få används i forskning inom hälso- och sjukvårdsområdet. Med forskning avses även epidemiologiska studier. Det ska dock observeras att ända- målet inte utgör något undantag från etikprövningslagen och dess krav på etikprövning då forskning innefattar behandling av känsliga person- uppgifter m.m. Har den enskilde inte uttryckligen samtyckt till person- uppgiftsbehandlingen för ett specifikt forskningsprojekt, krävs god- kännande av etikprövningsnämnd vid all forskning avseende person- uppgifter i kvalitetsregister.

Av hänsyn till enskildas integritet bör personuppgifter få lämnas ut till tredje man bara om mottagaren ska använda uppgifterna för att själv bedriva kvalitetssäkring av hälso- och sjukvård, för forskning inom hälso- och sjukvårdsområdet eller för att framställa statistik.

Modellen att specifikt beskriva tillåtna utlämnanden innebär ett starkt integritetsskydd för den enskilde. Av patientdatalagen framgår tydligt när uppgifter, som är insamlade för kvalitetssäkring, kan lämnas ut till tredje man.

Prop. 2007/08:126

180

kvalitetsregister så att dessa får en utformning som är optimal utifrån både vården och forskningens behov. Att lägga upp ett regionalt eller nationellt kvalitetsregister torde kräva stora både administrativa och ekonomiska resurser. Visserligen lämnar Socialstyrelsen bidrag till kvalitetsregister inom ramen för Dagmaröverenskommelsen, men universiteten torde kunna tillföra både kompetens och resurser inom ramen för olika forskningsprojekt vid upprättandet av sådana kvalitets- register. KI anser att det kollektiva patientintresset inte gynnas av att rätten att få vara personuppgiftsansvarig för regionala och nationella kvalitetsregister begränsas till att gälla myndigheter inom hälso- och sjukvården. Statens beredning för medicinsk utvärdering, SBU, påpekar att det är troligt att allt fler kvalitetsregister kommer att arbeta med system där registrering i kvalitetsregistret integreras med den ordinarie journalföringen. Även för tillstånd där patienten omhändertas i en sekvens av vårdgivare bör detta vara möjligt. SBU uttrycker osäkerhet om i vad mån utredningen beaktat denna utveckling. Landstinget i Östergötland har uppfattat det så, att det är i samband med given vård som uppgifter lämnas till kvalitetsregistren. Landstinget instämmer i utredningens bedömning att uppgifter i ett kvalitetsregister kan vara av ännu mer integritetskänsligt slag än uppgifterna i en patientjournal. Landstinget uppfattar därför att kraven på informationssäkerhet vad gäller behörighetstilldelning, inloggning, logguppföljning etc. enligt utredningen måste ligga på minst samma nivå som för patientjournaler.

Skälen för regeringens förslag: Vem som är personuppgiftsansvarig för behandling av personuppgifter i de olika nationella kvalitetsregistren är en komplex fråga. Den genomgång som utredningen gjort av de nationella kvalitetsregister som finns i dag ger ingen entydig bild av hur det förhåller sig med personuppgiftsansvaret. Vanligen anges en sjukvårdshuvudman, ett landsting, som huvudman för ett register och en viss person som registerhållare eller registeransvarig. Myndigheten, och inte enskilda kliniker eller läkare, torde i dessa fall vara att anse som personuppgiftsansvarig för registret i fråga. Ibland förekommer emeller- tid uppgift om att det är en specialistförening, dvs. en ideell förening, som äger, driver och ansvarar för ett register. Inte sällan är det oklart om ett kvalitetsregister förs i en specialistförenings eller i en eller flera sjukvårdshuvudmäns regi.

I avsnitt 8 har regeringen föreslagit en grundläggande bestämmelse om personuppgiftsansvar vid behandling av personuppgifter enligt patient- datalagen. Enligt bestämmelsen är varje myndighet inom hälso- och sjukvården eller en privat vårdgivare personuppgiftsansvarig för den behandling av personuppgifter som den utför.

Liksom vid sammanhållen journalföring, uppkommer emellertid frågor om det finns anledning att föreslå någon särreglering av person- uppgiftsansvaret för nationella och regionala kvalitetsregister med tanke på det samarbete mellan flera aktörer som kvalitetsregisterföringen innebär. En särskild fråga är också i vad mån specialistföreningar, dvs. ideella föreningar, bör kunna ha ett personuppgiftsansvar för ett kvalitetsregister, ensamt eller delat med inrapporterande myndigheter och privata vårdgivare. I dessa frågor gör regeringen följande bedömning.

Givetvis underlättas den enskildes möjligheter att ta till vara sina rättigheter, om det direkt av lagen framgår vem han eller hon ska vända

Prop. 2007/08:126

182

sig till med klagomål på personuppgiftsbehandlingen i ett kvali- tetsregister. Ansvaret för den stora mängden nationella eller regionala kvalitetsregister är emellertid i hög grad utspritt inom den praktiserande hälso- och sjukvården. Nya register tillkommer hela tiden och vissa läggs ibland ner. Kvalitetsregistren är dessutom organiserade på olika sätt och har många involverade aktörer som i olika skeden och på olika sätt behandlar de personuppgifter som ingår i eller ska ingå i registren. En detaljreglering av personuppgiftsansvaret ter sig mot den bakgrunden knappast möjligt. En reglering skulle dessutom riskera att låsa fast registerföringen i oflexibla organisationslösningar, som kanske inte passar för alla typer av kvalitetsregister eller som inte visar sig vara ändamålsenliga över tiden. Något direkt utpekande av vem som ska vara personuppgiftsansvarig för nationella eller regionala kvalitetsregister föreslås alltså inte.

Dock föreslås att endast en eller flera myndigheter inom hälso- och sjukvården ska få driva ett nationellt eller regionalt kvalitetsregister, dvs. administrera och hantera personuppgifterna på den centrala registernivån. Från denna huvudregel föreslås att regeringen eller den myndighet som regeringen bestämmer ska få medge undantag och besluta om att även annan än en hälso- och sjukvårdsmyndighet får vara personuppgifts- ansvarig, t.ex. ett universitet. Huvudregeln är motiverad av att det framstår som mindre lämpligt att stora samlingar av integritetskänsliga personuppgifter samlas i enskild verksamhet utan att förutsättningarna för detta närmare övervägs och anges.

För den personuppgiftsbehandling som privata eller offentliga vård- givare utför när de samlar in och rapporterar in uppgifter till registret eller annars behandlar registrerade personuppgifter föreslås emellertid respektive vårdgivare själv vara personuppgiftsansvarig enligt patient- datalagens allmänna huvudregel om personuppgiftsansvar. Det innebär t.ex. att när en privatpraktiserande vårdgivare fyller i elektroniska blanketter för rapportering till ett kvalitetsregister, som en myndighet inom ett landsting är personuppgiftsansvarig för, är det vårdgivaren och inte landstinget som bär personuppgiftsansvaret för att personuppgifterna hanteras korrekt och i enlighet med patientdatalagens och sekretesslagens krav. För den fortsatta centrala hanteringen av inrapporterade personupp- gifter föreslås emellertid personuppgiftsansvaret vara samlat hos en eller flera myndigheter. Till den centrala hanteringen hör t.ex. ansvaret för säkerhetsfrågor och ansvaret för att felaktiga uppgifter i registret rättas.

Det föreslagna uppdelade ansvaret mellan den myndighet som centralt administrerar ett kvalitetsregister och inrapporterande vårdenheter kan hävdas vara mindre integritetsvänlig jämfört med en ordning som innebär att den centrala administratören ensam har ansvaret för all person- uppgiftsbehandling som sker inom ramen för ett register. Regeringen delar dock utredningens bedömning att det är rimligt att vårdgivarna, som är skyldiga att kvalitetssäkra sin verksamhet, enligt patient- datalagens huvudregel själva bär det formella ansvaret för den person- uppgiftshantering som de själva utför i samband med registerhanteringen. Den hanteringen har vidare en central administratör normalt inga formella eller praktiska möjligheter att närmare kontrollera utöver de befogenheter som följer av personuppgiftsansvaret. Mot bakgrund av det

Prop. 2007/08:126

183

det inte räcker med kodade uppgifter. SFAM noterar dock att det inte framgår vilken myndighet som kommer att ha bedömningsrätten angående detta. Riksföreningen för skolsköterskor framhåller att de förstår att kvalitetsregister är viktiga för sjukvården, men att skol- hälsovården ännu inte har en given plats i dessa register. Däremot är vissa hälsoregister av stort intresse för riksföreningen t.ex. ett kommande Vaccinationsregister via SVEVAC och ett Längd- och Viktregister. Det ökar enligt riksföreningen patientsäkerheten att ha tillgång till en sammanställning av de vaccinationer barn fått och att ha tillgång till hela tillväxtkurvan.

Skälen för regeringens förslag: Att närmare precisera i detalj vilka personuppgifter som får behandlas i alla de sinsemellan olika nationella kvalitetsregistren konstaterar utredningen vara en omöjlighet, i vart fall på lagstiftningsnivå. Enligt utredningen bör emellertid några begräns- ningar införas av hänsyn till enskildas personliga integritet.

Den första begränsningen innebär att det bara är personuppgifter som behövs för ändamålet kvalitetssäkring av hälso- och sjukvårdsverksamhet som får samlas in och fortsättningsvis behandlas. Tolkningen av vad som behövs för ändamålet kvalitetssäkring av hälso- och sjukvårdsverksamhet kan ske inom ganska vida ramar. Exempelvis finns inget hinder mot att uppgifter om vårdens kostnadseffektivitet i form av Kostnad Per Patient (KPP), nyckeltal och liknande behandlas parallellt med uppgifter om be- handlingsresultat m.m. Personuppgifter som inte direkt behövs för kvalitetssäkringsändamål utan enbart skulle vara bra att ha i framtida forskningsprojekt får inte samlas in.

Vidare ska nationella och regionala kvalitetsregister i första hand bygga på användningen av kodade personuppgifter eller indirekt utpekande personuppgifter, t.ex. ålder, kön och hemort i kombination med sjukdomsrelaterade uppgifter, i stället för direkt utpekande person- uppgifter.

Uppgifter om hälsa är känsliga personuppgifter enligt 13 § person- uppgiftslagen men måste trots det få behandlas i nationella och regionala kvalitetsregister. Däremot finns det från integritetssynpunkt skäl att in- skränka utrymmet för behandling av andra känsliga personuppgifter som avses i 13 § personuppgiftslagen liksom uppgifter om lagöverträdelser m.m. som avses i 21 § samma lag. Regeringen föreslår att sådana upp- gifter ska få behandlas i nationella eller regionala kvalitetsregister bara om regeringen, eller efter vidaredelegation Datainspektionen efter sam- råd med Socialstyrelsen, i enskilda fall tillåter det. De närmare förut- sättningarna bör dock inte anges i författning utan i beslut i enskilda fall rörande ett visst kvalitetsregister. De förslag som lämnats i avsnitt 7.4 om verkan av den enskilde registrerades uttryckliga samtycke, medför att dessa slags uppgifter med ett sådant samtycke får registreras i ett kvalitetsregister redan utan särskilt stöd i ett särskilt beslut. I dessa fall kan inte nog understrykas att det i information till den enskilde klart bör framgå att ett uttryckligt samtycke omfattar just dessa slags personuppgiftskategorier.

Enligt regeringens bedömning är det vidare förenligt med data- skyddsdirektivet att i nationell lagstiftning uppställa en begränsning för behandling i särskilda register av vissa personuppgiftskategorier på det sätt som här föreslagits.

Prop. 2007/08:126

185

det. Kammarrätten tillstyrker en sådan lösning i stället för ett krav på samtycke.

Någon prövning av huruvida den enskildes invändning är berättigad eller inte har emellertid inte införts. Utredningen menar att det ligger i sakens natur att den registrerade kan ha berättigade skäl att motsätta sig behandlingen då uppgifterna gäller hälsa. Kammarrätten anser att även om denna slutsats kan tänkas vara rimlig, så är frågan inte tillräckligt utredd, eftersom dataskyddsdirektivet inte är ett minimidirektiv. Kammarrätten förordar att frågan regleras.

Västra Götalands läns landsting och Sahlgrenska Universitetssjuk- huset, SU, anför att det i lagförslaget anges i 7 kap. 2 § att den enskilde har rätt att få uppgifter om sig själv utplånade ur registret. Regionen och SU föreslår att den enskilde i stället ska ha rätt att få uppgifterna ut- plånade eller avidentifierade. En motsvarande bestämmelse finns i 3 kap. 6 § biobankslagen. Även små bortfall i ett kvalitetsregister kan drastiskt minska värdet av de uppgifter som finns på dem som kvarstår i registret.

Karolinska Institutet, motsätter sig inte att patienter ska ha rätt att utplåna sina uppgifter om de så önskar. För att säkerställa att forsknings- resultat inte blir felaktiga bör dock uppgifter om ålder och kön på patienter som utplånar sina uppgifter kunna behållas.

Landstinget Västmanland anför att av 2 § framgår det att patienten både i förväg och i efterhand kan motsätta sig att personuppgifter behandlas. Detta anser landstinget är olyckligt då en fullständig registrering är grunden för kvalitetsuppföljning och registren annars tappar i värde. Registrering av personuppgifter görs endast då det är helt nödvändigt och självklart ska då i första hand avidentifierade uppgifter användas.

Statens medicinsk-etiska råd framhåller att kvalitetsregister är utomordentligt viktiga för forskning och för hälso- och sjukvårdens utveckling. Den enskildes möjlighet att välja att stå utanför kan därför få negativa konsekvenser. När det gäller kvalitetsregister menar rådet att den enskildes integritet måste vägas mot allmänintresset av en hög- kvalitativ sjukvård.

Svenska Läkaresällskapet anser att det är viktigt att kvalitetsregister får en hög täckningsgrad och patienter bör om möjligt inte kunna avstå från att delta i dessa.

Sveriges Pensionärers Riksförbund, SPRF, anser att om uppgifter inte kan avidentifieras, ska de inte få användas för forskningsändamål med mindre än att patienten ger sitt uttryckliga tillstånd till detta. SPRF delar vidare utredningens åsikt att en patient ska slippa att mot sin vilja bli registrerad i ett nationellt eller regionalt kvalitetsregister om detta inne- bär att patientens identitet röjs.

Svenska föreningen för barn- och ungdomspsykiatri ser det som angeläget att lagtexten ger möjlighet att använda uppgifter från ett kvalitetsregister som beslutsstöd i en enskild patients vård och behandling. Vanligtvis räcker uppgifter i patientjournalen, men i vissa situationer kan strukturerade patientuppgifter underlätta uppföljning av vård och behandling. I stället för att den enskilde ges rätten att få uppgifter om sig själv utplånade ur kvalitetsregistret föreslår föreningen att den enskilde får rätt att avidentifiera uppgifterna – i överensstämmelse med regelverket för blod- och vävnadsprover i 3 kap. 6 § biobankslagen.

Prop. 2007/08:126

187