Ombuds tillgång till vård- och omsorgsuppgifter och förenklad behörighetskontroll inom vården

SLUTBETÄNKANDE AV

 

UTREDNINGEN OM

 

SAMMANHÅLLEN INFORMATION

 

INOM VÅRD OCH OMSORG

SOU 2021:39

Ombuds tillgång till vård- och omsorgsuppgifter och förenklad behörighetskontroll inom vården

Slutbetänkande av Utredningen om sammanhållen information inom vård och omsorg

Stockholm 2021

SOU 2021:39

SOU och Ds finns på regeringen.se under Rättsliga dokument.

Svara på remiss – hur och varför

Statsrådsberedningen, SB PM 2003:2 (reviderad 2009-05-02).

Information för dem som ska svara på remiss finns tillgänglig på regeringen.se/remisser.

Layout: Kommittéservice, Regeringskansliet

Omslag: Elanders Sverige AB

Tryck och remisshantering: Elanders Sverige AB, Stockholm 2021

ISBN 978-91-525-0106-1 (tryck)

ISBN 978-91-525-0107-8 (pdf)

ISSN 0375-250X

Till statsrådet och chefen för Socialdepartementet Lena Hallengren

Genom beslut den 27 juni 2019 beslutade regeringen att tillsätta en särskild utredare med uppdrag att utreda och lämna förslag som rör personuppgiftshantering inom och mellan socialtjänst och hälso- och sjukvård (dir. 2019:37). Regeringen beslutade vidare den 29 oktober 2020 att ge den särskilde utredaren i uppdrag att även se över behovet av att göra ändringar i förordningen (2006:196) om register över hälso- och sjukvårdspersonal (HOSP-förordningen) samt, vid behov, föreslå nödvändiga ändringar av den (dir. 2020:112).

Till särskild utredare förordnades från och med den 1 oktober 2019 ordföranden i Arbetsdomstolen Sören Öman.

Som sakkunniga i utredningen förordnades från och med den

15 december 2019 ämnesrådet Jimmy Järvenpää, kanslirådet Henrik Moberg och departementssekreteraren Jenny Wada, samtliga vid Socialdepartementet, samt departementssekreteraren Ingela Alverfors, Infrastrukturdepartementet.

Som experter förordnades från och med den 15 december 2019 avdelningsdirektören Suzanne Isberg, Integritetsskyddsmyndigheten (f.d. Datainspektionen), juristen Maria Jacobsson, E-hälsomyndig- heten, juristen Manólis Nymark, Inera AB, juristen Pål Resare, Sveriges Kommuner och Regioner, och juristen Cecilia Östergren, Socialstyrelsen.

Ingela Alverfors entledigades från sitt uppdrag från och med den

15maj 2020 och ersattes från och med den 18 maj 2020 av kanslirådet Nils Fjelkegård, Infrastrukturdepartementet. Nils Fjelkegård och Henrik Moberg entledigades från sina uppdrag från och med den

21februari 2021. Henrik Moberg ersattes från och med den 22 februari 2021 av departementssekreteraren Hanna Lobosco, Socialdeparte- mentet.

Som sekreterare i utredningen har kammarrättsassessorn Ingrid Floderus arbetat från och med den 1 oktober 2019, hovrätts- assessorn Karin Hagaeus från och med den 1 januari 2020 och hov- rättsassessorn Sara Fröding Linebäck från och med den 28 september 2020. Hovrättsassessorn Magdalena Petersson har arbetat som sekre- terare i utredningen från och med den 30 november 2019 till och med den 31 juli 2020.

Utredningen, som har antagit namnet Utredningen om samman- hållen information inom vård och omsorg (S 2019:01), överlämnade den 18 januari 2021 delbetänkandet Informationsöverföring inom vård och omsorg (SOU 2021:4).

Härmed får utredningen överlämna slutbetänkandet Ombuds till- gång till vård- och omsorgsuppgifter och förenklad behörighetskontroll inom vården (SOU 2021:39). Utredningens uppdrag är därmed slut- fört.

Stockholm i maj 2021

Sören Öman

/Ingrid Floderus

Karin Hagaeus

Sara Fröding Linebäck

Innehåll

Sammanfattning ................................................................

13

1

Författningsförslag.....................................................

19

1.1Förslag till lag om ändring i patientdatalagen

(2008:355)................................................................................

19

1.2Ändring i förslaget till lag (0000:000) om sammanhållen vård- och omsorgsdokumentation

och kvalitetsuppföljning .........................................................

21

1.3Förslag till förordning om ändring i förordningen

(2006:196) om register över hälso- och

 

sjukvårdspersonal ...................................................................

24

1.4Förslag till förordning om ändring i offentlighets-

 

och sekretessförordningen (2009:641)

.................................. 29

2

Utredningens uppdrag och arbete................................

31

2.1

Utredningens uppdrag............................................................

31

2.2Utredningens delbetänkande innehåller

 

bakgrundsinformation ............................................................

32

2.3

Utredningens arbete ...............................................................

32

2.4

Slutbetänkandets disposition .................................................

33

BAKGRUND ......................................................................

35

3

Elektronisk tillgång till personuppgifter .......................

37

3.1

Inledning..................................................................................

37

 

 

5

Innehåll

SOU 2021:39

3.2Innebörden av direktåtkomst och annat elektroniskt

 

utlämnande..............................................................................

38

3.3

Elektronisk tillgång och dataskydd .......................................

40

4

Patientens elektroniska tillgång till sina

 

 

patientuppgifter.........................................................

43

4.1

Inledning .................................................................................

43

4.2

Allmänt om invånarnas användning av e-hälsotjänster ........

44

4.3

Användning av 1177 Vårdguidens e-tjänst Journalen...........

46

4.4

Inledning om gällande rätt .....................................................

48

4.5

Skyldigheten att föra patientjournal......................................

48

4.6

Innehållet i en patientjournal.................................................

49

4.7

Patientjournaler är allmänna handlingar ...............................

50

4.8Patientuppgifter omfattas av sekretess

och tystnadsplikt ....................................................................

52

4.9Patientens rätt att medge annan tillgång till sina

patientuppgifter ......................................................................

54

4.10Sekretess och möjligheten att medge annan tillgång till patientuppgifter för patienter som har legala

 

ställföreträdare ........................................................................

57

 

4.10.1

Barn och deras vårdnadshavare...............................

57

 

4.10.2

Andra personer med ställföreträdare .....................

59

4.11

Patienters direktåtkomst till patientuppgifter ......................

61

4.12

Direktåtkomst för patienter och deras ombud enligt

 

 

lagen om nationell läkemedelslista ........................................

64

5

Tillgång till HOSP-registret .........................................

67

5.1

Inledning .................................................................................

67

5.2

Behörighetskontroll av hälso- och sjukvårdspersonal..........

67

 

5.2.1

Behörighetskrav för viss hälso- och

 

 

 

sjukvårdspersonal ....................................................

67

6

SOU 2021:39

 

Innehåll

5.2.2

HOSP-registret .......................................................

68

5.2.3

HOSP-förordningen ...............................................

70

5.2.4Tidigare utredning om direktåtkomst till

 

HOSP-registret .......................................................

76

5.2.5

Regleringen i några andra länder.............................

77

5.2.6Regleringen för några andra yrkesregister –

en kort jämförelse....................................................

78

5.3 Sekretess och sekretessbrytande reglering ............................

81

5.3.1Sekretessregleringen för uppgifter i HOSP-

 

registret ....................................................................

81

5.3.2

Allmänt om sekretessbrytande bestämmelser .......

83

5.3.3Sekretessbrytande bestämmelser till förmån

för svenska myndigheter .........................................

84

5.3.4Sekretessbrytande bestämmelser till förmån

 

 

för andra än myndigheter........................................

87

ÖVERVÄGANDEN och FÖRSLAG .........................................

89

6

Ombuds elektroniska tillgång till vård- och

 

 

omsorgsuppgifter.......................................................

91

6.1

Inledning..................................................................................

91

6.2

Integritetsanalys......................................................................

93

 

6.2.1

Behov av och fördelar med elektronisk tillgång

 

 

 

för ombud inom hälso- och sjukvården .................

93

6.2.2Integritetsrisker och andra nackdelar med

 

elektronisk tillgång för ombud inom hälso-

 

 

och sjukvården .........................................................

97

6.2.3

Finns det användbara alternativ till

 

 

elektronisk tillgång för ombud inom hälso-

 

 

och sjukvården? .....................................................

100

6.2.4

Integritetsstärkande åtgärder................................

102

6.2.5

Avvägning mellan behov och integritetsrisker ....

108

6.2.6Motsvarande avvägning görs för elektronisk tillgång för ombud vid sammanhållen vård-

 

och omsorgsdokumentation .................................

112

6.2.7

Konsekvensbedömning avseende dataskydd .......

115

6.3 Reglering i lag........................................................................

116

7

Innehåll

SOU 2021:39

6.4 Elektronisk tillgång för patienters ombud..........................

117

6.4.1

Bakgrund................................................................

117

6.4.2Placeringen av den nya bestämmelsen

i patientdatalagen...................................................

118

6.4.3Ombudet får som mest ha elektroniska

 

tillgång till samma uppgifter som patienten ........

120

6.4.4

Ombudet ska vara en fysisk person som

 

 

patienten uppger sig känna personligen...............

122

6.4.5

Patientens medgivande .........................................

125

6.4.6Den elektroniska tillgången får ges genom

direktåtkomst eller annat elektroniskt

 

utlämnande.............................................................

135

6.4.7Begränsning till uppgifter registrerade efter ett

visst datum eller vid en viss vårdenhet .................

136

6.4.8Skyldighet att anmäla vid misstanke om att

 

förutsättningarna inte är uppfyllda ........................

138

6.4.9

Föreskrifter om säkerhetsåtgärder.......................

140

6.5Möjlighet att ge ombud elektronisk tillgång till

sammanhållen vård- och omsorgsdokumentation................

143

6.6 Förhållandet till dataskyddsförordningen ..........................

146

6.6.1

Inledning................................................................

146

6.6.2Vård- och omsorgsgivares behandling

 

 

av personuppgifterna.............................................

147

 

6.6.3

Ombudets behandling av personuppgifterna ......

151

6.7

Förhållandet till sekretess och tystnadsplikt ......................

153

7

HOSP-registret på internet........................................

157

7.1

Inledning ...............................................................................

157

7.2Allmänhetens behov av att kunna söka uppgifterna på

internet

..................................................................................

158

7.2.1

Inledning................................................................

158

7.2.2

Svenska användares behov ....................................

159

7.2.3

Utländska användares behov ................................

160

7.2.4

Patienters behov....................................................

161

7.2.5Allmänhetens tillgång på internet till uppgifter

i andra svenska yrkesregister ................................

162

8

SOU 2021:39

Innehåll

7.3Andra positiva effekter av att uppgifterna kan sökas

på internet..............................................................................

163

7.3.1

Inledning ................................................................

163

7.3.2Behovet av direktåtkomst minskar

 

 

förmodligen............................................................

163

 

7.3.3

Det blir svårare att luras ........................................

164

 

7.3.4

Socialstyrelsens arbete blir bättre, enklare

 

 

 

och billigare............................................................

164

7.4

Integritetsrisker och integritetsstärkande åtgärder ............

166

7.5

Avvägning mellan behov och integritetsrisker....................

168

7.6En sökfunktion på internet för att kontrollera

legitimationer ........................................................................

169

7.7Bara personnummer och samordningsnummer får

 

användas som sökbegrepp ....................................................

173

7.8

Vilka uppgifter bör visas i sökresultatet? ............................

176

 

7.8.1

Inledning ................................................................

176

 

7.8.2

Identifieringsuppgifter ..........................................

177

 

7.8.3

Folkbokföringsort .................................................

178

 

7.8.4

Yrke, specialitet och behörighetsuppgifter ..........

178

 

7.8.5

Prövotid..................................................................

181

7.9

Ett nytt ändamål för HOSP-registret..................................

182

7.10

Förhållandet till dataskyddslagstiftningen ..........................

182

 

7.10.1

Den rättsliga grunden............................................

183

 

7.10.2

Ett nytt ändamål ....................................................

184

 

7.10.3

Information till de registrerade ............................

185

7.11

Ändringar i sekretesslagstiftningen .....................................

186

8

Annan elektronisk tillgång till HOSP-registret .............

189

8.1

Inledning................................................................................

189

8.2

Direktåtkomst eller annat elektroniskt utlämnande...........

190

 

8.2.1

Utredningens uppdrag ..........................................

190

8.2.2Direktåtkomst innebär särskilda

 

integritetsrisker......................................................

190

8.2.3

Alternativ till direktåtkomst .................................

192

9

Innehåll

SOU 2021:39

8.2.4

Olika ändamål kan kräva olika sorters tillgång.... 194

8.3Socialstyrelsens möjligheter att medge elektronisk

tillgång

...................................................................................

195

8.3.1

Inledning................................................................

195

8.3.2Socialstyrelsen får medge myndigheter

 

och vårdgivare elektronisk tillgång ......................

196

8.3.3

Beslutet ska fattas efter samråd

 

 

med Integritetsskyddsmyndigheten ......................

200

8.3.4

Omfattningen av den elektroniska tillgången .....

202

8.3.5

Vad beslutet ska innehålla.....................................

203

8.3.6

Beslutet får inte överklagas...................................

205

8.3.7Krav på behörighetsstyrning, loggning,

 

åtkomstkontroll och ändamålsbegränsning.........

206

8.3.8

Ändringar i sekretesslagstiftningen .....................

209

8.3.9

Information till de registrerade ............................

214

8.4Utlämnanden i enstaka fall genom annat elektroniskt

utlämnande än direktåtkomst ...............................................

215

8.5 Utökad elektronisk tillgång för vissa aktörer .....................

216

8.5.1

Inledning................................................................

216

8.5.2

Försäkringskassan .................................................

217

8.5.3

Läkemedelsverket..................................................

220

8.5.4

Universitets- och högskolerådet ..........................

222

8.5.5

Universitet och högskolor....................................

225

8.5.6Andra myndigheter än de som i dag får

 

 

ha direktåtkomst ...................................................

227

8.6

De myndigheter som i dag får ha direktåtkomst................

228

8.7

Nya ändamål för HOSP-registret .......................................

229

 

8.7.1

Inledning................................................................

229

8.7.2Socialstyrelsens behandling för

statistikändamål.....................................................

230

8.7.3E-hälsomyndighetens behandling för ytterligare

ändamål ..................................................................

234

8.7.4Läkemedelsverkets kontroll av hälso- och sjukvårdspersonals identitet och behörighet

i dispensärenden ....................................................

245

10

SOU 2021:39

Innehåll

8.8Ändamål om planering för bemanning

av krigsorganisationer ...........................................................

248

8.8.1

Inledning ................................................................

248

8.8.2

Bakgrund ................................................................

248

8.8.3Regioners och kommuners ansvar

för krigsorganisationer ..........................................

250

8.8.4Allmän tjänsteplikt och möjlighet till

 

 

krigsplacering.........................................................

251

 

8.8.5

Utredningens bedömning .....................................

253

 

8.8.6

En möjlig reglering ................................................

256

9

Konsekvenser av förslagen........................................

259

9.1

Inledning................................................................................

259

9.2Förslagen om ombuds elektroniska tillgång till

patientuppgifter och sammanhållen vård- och

 

omsorgsdokumentation........................................................

260

9.3 Förslagen gällande HOSP-registret.....................................

263

9.3.1Förslaget om en sökfunktion på internet för

att kontrollera legitimationer................................

263

9.3.2Förslaget om att Socialstyrelsen får medge

myndigheter och vårdgivare elektronisk tillgång... 265

9.3.3Förslaget om att ta bort bestämmelser som

ger vissa myndigheter möjlighet att ha

 

direktåtkomst i dag ................................................

267

9.3.4Förslaget om att ta bort möjligheten till regelmässigt utlämnande på medium för

automatiserad behandling .....................................

267

9.3.5Förslagen om nya ändamål för HOSP-

 

 

registret ..................................................................

268

 

9.3.6

Andra konsekvenser ..............................................

268

10

Ikraftträdande och övergångsbestämmelser ................

271

10.1

Förslagen om ombuds elektroniska tillgång till

 

 

patientuppgifter och sammanhållen vård- och

 

 

omsorgsdokumentation........................................................

271

10.2

Förslagen om elektronisk tillgång till HOSP-registret ......

272

11

Innehåll

SOU 2021:39

11

Författningskommentar ............................................

275

11.1

Förslaget till lag om ändring i patientdatalagen

 

 

(2008:355) .............................................................................

275

11.2Ändring i förslaget till lag (0000:000) om sammanhållen vård- och omsorgsdokumentation

och kvalitetsuppföljning.......................................................

283

Bilagor

 

 

Bilaga 1

Kommittédirektiv 2019:37...........................................

287

Bilaga 2

Kommittédirektiv 2020:112.........................................

309

Bilaga 3 Förordning (2006:196) om register över hälso-

 

 

och sjukvårdspersonal ..................................................

319

Bilaga 4

Frågeställningar för fortsatt utredning ur ett

 

 

dataskydds- eller sekretessperspektiv.........................

325

12

Sammanfattning

Många patienter och omsorgsmottagare behöver, t.ex. på grund av hög ålder eller funktionsnedsättningar, hjälp av någon annan för att klara det praktiska kring sina vård- och omsorgsprocesser. Utred- ningen föreslår därför att vård- och omsorgsgivare, med patientens eller omsorgsmottagarens medgivande, ska få ge andra fysiska perso- ner (ombud) elektronisk tillgång till patientuppgifter och samman- hållen vård- och omsorgsdokumentation. I fråga om omsorgsmot- tagare handlar det om dokumentation av insatser för äldre och personer med funktionsnedsättningar. Ändringarna föreslås börja gälla den 1 juli 2022.

Det är för bl.a. patientsäkerhetens skull viktigt att det är enkelt att kontrollera hälso- och sjukvårdspersonals legitimationer. Därför föreslår utredningen att de flesta uppgifterna i Socialstyrelsens register över legitimerad hälso- och sjukvårdspersonal ska göras öppet sökbara via internet. Bara person- eller samordningsnummer ska få användas som sökbegrepp. Socialstyrelsen ska vidare enligt förslaget få medge andra myndigheter och vårdgivare elektronisk tillgång till uppgifterna i registret i de fall där tillgången via internet inte är tillräcklig. Förslagen innebär också att ändamålen för registret justeras något. Avsikten är att den som i dag har elektronisk tillgång till upp- gifterna ska ha minst samma tillgång. Ändringarna föreslås börja gälla den 1 januari 2023.

Regioner och kommuner bör inte i dagsläget få elektronisk till- gång till uppgifterna i registret för att kunna bemanna sina krigsorgani- sationer. Det beror på att regioner och kommuner i dag i princip bara kan ha redan anställd personal i sina krigsorganisationer. Ändras det, kan det finnas skäl att ge sådan tillgång.

13

Sammanfattning

SOU 2021:39

Ombuds elektroniska tillgång till patientuppgifter och sammanhållen vård- och omsorgsdokumentation

Utredningen föreslår en bestämmelse i patientdatalagen som gör det möjligt för vårdgivare att, i enlighet med patientens medgivande, ge någon utanför hälso- och sjukvården (ett ombud) elektronisk till- gång till patientuppgifter. Bestämmelsen är frivillig för vårdgivare att använda.

Den elektroniska tillgången, genom direktåtkomst eller annat elektroniskt utlämnande, får ges till en annan fysisk person som patienten uppger sig känna personligen. Den elektroniska tillgången får som mest omfatta de patientuppgifter som patienten själv får ha elektronisk tillgång till i dag. Den elektroniska tillgången ska på patientens begäran kunna begränsas till uppgifter registrerade efter ett visst datum eller vid en viss vårdenhet. Om någon inom hälso- och sjukvårdspersonalen får anledning att misstänka att patientens medgivande inte ger uttryck för patientens fria vilja eller att den enskilde varaktigt inte längre är i stånd att lämna ett sådant med- givande, är denne skyldig att genast anmäla detta till den vårdgivare som gett tillgången. Vårdgivaren har då att utreda om det finns skäl att avsluta den elektroniska tillgången. Motsvarande gäller om miss- tanken avser att patienten inte känner den som fått elektronisk till- gång personligen.

Utredningen har tidigare föreslagit lagstiftning om samman- hållen vård- och omsorgsdokumentation. Utredningen föreslår nu att det förslaget kompletteras med motsvarande bestämmelser om ombuds elektroniska tillgång. Det innebär att omsorgsgivare får, med omsorgsmottagarens medgivande, ge någon utanför social- tjänsten tillgång till den dokumentation om insatser för äldre och personer med funktionsnedsättningar som är elektroniskt tillgänglig för andra omsorgs- och vårdgivare i systemet för sammanhållen vård- och omsorgsdokumentation.

Eftersom det är frivilligt att anordna den elektroniska tillgången till vård- och omsorgsuppgifter bedöms förslagen i sig inte få några samhällsekonomiska konsekvenser. Fördelarna med förslagen över- väger de integritetsrisker som finns.

14

SOU 2021:39

Sammanfattning

Elektronisk tillgång till Socialstyrelsens register över legitimerad hälso- och sjukvårdspersonal

En sökfunktion på internet för att kontrollera legitimationer

Utredningen föreslår att Socialstyrelsen ska göra det möjligt för allmänheten att genom en sökfunktion på internet kontrollera en persons behörighet i registret över legitimerad hälso- och sjukvårds- personal, det s.k. HOSP-registret. Socialstyrelsen bör tillhandahålla både en vanlig webbsida med en sökruta och ett öppet applikations- programmeringsgränssnitt, ett s.k. API, som gör det möjligt att automatiserat ställa frågor och få svar.

Bara person- och samordningsnummer ska få användas som sök- begrepp, eftersom det är viktigt att sökresultatet ger otvetydigt svar på om en viss person har en legitimation eller inte. Som resultat av sökningen ska bara få visas det angivna person- eller samordnings- numret och anknytande uppgifter i registret om namn, typ av legiti- mation och när den utfärdades samt omfattningen av legitimationen vid s.k. partiellt tillträde, yrke och specialitet. Sökresultatet ska vara begränsat till personuppgifter om den som har en gällande legiti- mation. Uppgifter om bl.a. folkbokföringsort, förskrivarkod, åter- kallade legitimationer, prövotid eller begränsningar av förskrivningsrätt ska inte vara tillgängliga på internet.

De behov av elektronisk tillgång till uppgifter i HOSP-registret som Försäkringskassan, Universitets- och högskolerådet och vissa universitet och högskolor har kan tillgodoses genom sökfunktionen på internet.

Socialstyrelsen får medge elektronisk tillgång när sökfunktionen på internet inte är tillräcklig

Utredningen föreslår att Socialstyrelsen ska få besluta att medge en myndighet eller offentlig vårdgivare elektronisk tillgång till upp- gifter i HOSP-registret genom direktåtkomst eller annat elektro- niskt utlämnande. Direktåtkomst får medges bara om inte annat elektroniskt utlämnande är tillräckligt. Socialstyrelsen ska också få besluta att medge en privat vårdgivare tillgång till uppgifter i registret genom annat elektroniskt utlämnande än direktåtkomst. Den elektroniska tillgången får inte vara mer omfattande än vad

15

Sammanfattning

SOU 2021:39

myndigheten eller vårdgivaren behöver för att kunna utföra sina arbetsuppgifter.

Beslut om elektronisk tillgång ska fattas efter samråd med Integritetsskyddsmyndigheten och kan inte överklagas. Av Social- styrelsens beslut ska framgå för vilka ändamål som tillgången får användas samt vilka uppgifter och vilka legitimerade yrken som till- gången får gälla. Om Socialstyrelsen fattat beslut om att ge elektro- nisk tillgång, är Socialstyrelsen skyldig att ge den tillgång som beslutats.

Den som medgetts elektronisk tillgång får inte behandla person- uppgifterna för något annat ändamål än det för vilket de lämnats ut. E-hälsomyndigheten ska dock få behandla uppgifterna i den natio- nella läkemedelslistan i enlighet med ändamålen i 3 kap. 2–5 §§ lagen (2018:1212) om nationell läkemedelslista. Den som medgetts elek- tronisk tillgång ska se till att tillgången till personuppgifterna begränsas till vad varje användare behöver för att kunna fullgöra sina arbetsuppgifter, att tillgång till personuppgifterna dokumenteras och kan kontrolleras samt att det görs systematiska och återkom- mande kontroller av om någon obehörigen kommer åt sådana upp- gifter. Elektronisk tillgång får inte medges innan Socialstyrelsen har försäkrat sig om att frågorna om behörighet, åtkomstkontroll och säkerhet är lösta på ett sätt som är tillfredsställande ur integritets- synpunkt.

Utredningen föreslår även att Socialstyrelsen i enstaka fall ska få lämna ut uppgifter i registret genom annat elektroniskt utlämnande än direktåtkomst utan särskilt beslut och förhandssamråd med Integritetsskyddsmyndigheten.

De bestämmelser som i dag ger Inspektionen för vård och omsorg, Transportstyrelsen och offentliga vårdgivare möjlighet att ha direkt- åtkomst till uppgifter i registret ersätts av Socialstyrelsens möjlighet att besluta om elektronisk tillgång. Avsikten är att Socialstyrelsen, i de fall sökfunktionen på internet inte är tillräcklig, ska besluta att medge dessa myndigheter elektronisk tillgång i samma utsträckning som i dag. Även Läkemedelsverkets och E-hälsomyndighetens behov av elektronisk tillgång till uppgifter i registret bör tillgodoses genom ett sådant beslut av Socialstyrelsen.

16

SOU 2021:39

Sammanfattning

Nya ändamål för HOSP-registret

Utredningen föreslår att tre nya ändamål för behandling av person- uppgifter i HOSP-registret införs.

För det första ska uppgifterna, för att möjliggöra sökfunktionen på internet, få behandlas för att ge allmänheten upplysning om hälso- och sjukvårdspersonals behörighet. För det andra ska uppgifterna få behandlas för att framställa statistik om hälso- och sjukvård enligt lagen (2001:99) om den officiella statistiken. För det tredje ska upp- gifterna få behandlas för att kontrollera hälso- och sjukvårdspersonals identitet och behörighet vid handläggning av ärenden om dispens från begränsningar av förordnande och utlämnande av läkemedel.

De ändamål som i dag möjliggör behandling av personuppgifter för utlämnande av uppgifter till E-hälsomyndigheten ersätts med ett ändamål om att lämna uppgifter som behövs för E-hälsomyndig- hetens kontroll av hälso- och sjukvårdspersonals identitet och behörighet i enlighet med författning eller regeringsuppdrag.

Justering i sekretesslagstiftningen

Den s.k. folkbokföringssekretessen enligt 22 kap. 1 § första stycket 1 offentlighets- och sekretesslagen (2009:400) ska enligt utredningens förslag inte vara tillämplig när Socialstyrelsen gör sökfunktionen till- gänglig för allmänheten eller ger den elektroniska tillgång som Social- styrelsen beslutat om.

Konsekvenser

Ett genomförande av förslagen kommer att ha positiva effekter för patientsäkerheten, Socialstyrelsen och de som kontrollerar uppgifter i HOSP-registret.

Förslagen förväntas inte medföra några samhällsekonomiska kostnader, utöver vissa initiala kostnader för teknikanpassning och ändrade rutiner som uppvägs av de besparingar som effektivi- seringen ger på lite längre sikt. Fördelarna med förslagen överväger de integritetsrisker som finns.

17

Utlämnande genom direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning.
Om en region eller en kommun bedriver hälso- och sjukvård genom flera myndigheter, får en sådan myndighet ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet i samma region eller kommun.
Ytterligare bestämmelser om Ytterligare bestämmelser om direktåtkomst och annat elektro- direktåtkomst och annat elektro- niskt utlämnande finns i 5 § och i niskt utlämnande finns i 5 och 2 kap. och 4 kap. 11 § lagen 5 a §§ samt i 2 kap. och 4 kap. 11 § (0000:000) om sammanhållen lagen (0000:000) om samman- vård- och omsorgsdokumen- hållen vård- och omsorgsdoku-
tation och kvalitetsuppföljning. mentation och kvalitetsuppfölj- ning.
19

1 Författningsförslag

1.1Förslag till lag om ändring i patientdatalagen (2008:355)

Härigenom föreskrivs i fråga om patientdatalagen (2008:355) dels att 5 kap. 4 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 5 kap. 5 a §, av följande lydelse,

dels att det närmast före 5 kap. 5 § ska införas en ny rubrik som ska lyda ”Elektronisk tillgång för patienter och deras ombud”.

5 kap.

4 §

Lydelse enligt förslag iFöreslagen lydelse SOU 2021:4.

Författningsförslag

SOU 2021:39

Nuvarande lydelse

Föreslagen lydelse

5kap. 5 a §

Om den enskilde medger det får en vårdgivare ge en annan fysisk person som den enskilde uppger sig känna personligen tillgång genom direktåtkomst eller annat elektro- niskt utlämnande till sådana upp- gifter som avses i 5 § första stycket. Sådan tillgång ska på den enskildes begäran kunna begränsas till upp- gifter registrerade efter ett visst datum eller vid en viss vårdenhet.

Om någon inom hälso- och sjukvårdspersonalen får anledning att misstänka att den enskildes medgivande enligt första stycket inte ger uttryck för den enskildes fria vilja eller att den enskilde varaktigt inte längre är i stånd att lämna ett medgivande enligt första stycket, är denne skyldig att genast anmäla detta till den vårdgivare som gett tillgången. Motsvarande gäller om misstanken avser att den enskilde inte känner den som fått tillgång personligen.

Regeringen eller den myndig- het som regeringen bestämmer kan med stöd av 8 kap. 7 § regerings- formen meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid sådan direktåtkomst eller annat elektroniskt utlämnande som avses i första stycket.

Denna lag träder i kraft den 1 juli 2022.

20

SOU 2021:39

Författningsförslag

1.2Ändring i förslaget till lag (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning

Härigenom föreskrivs i fråga om den föreslagna lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsupp- följning

dels att 2 kap. 13 § i stället för lydelsen enligt förslaget i SOU 2021:4 ska ha följande lydelse,

dels att det ska införas två nya paragrafer, 2 kap. 13 a och 13 b §§, av följande lydelse.

Lydelse enligt förslag i

Föreslagen lydelse

SOU 2021:4

 

2kap. 13 §

En vård- eller omsorgsgivare får medge en patient eller omsorgs- mottagare tillgång genom direktåtkomst eller annat elektroniskt utlämnande till sådana uppgifter om patienten eller omsorgsmot- tagaren själv som får lämnas ut till honom eller henne och som en annan vård- eller omsorgsgivare får ha tillgång till enligt 3 §. Patien- ten eller omsorgsmottagaren får också medges tillgång genom direktåtkomst eller annat elektroniskt utlämnande till sådan doku- mentation som avses i 15 § första stycket.

Regeringen eller den myndig- het som regeringen bestämmer kan med stöd av 8 kap. 7 § regerings- formen meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid sådan direktåtkomst eller annat elektroniskt utlämnande som avses i första stycket.

I 5 kap. 5 § patientdatalagen (2008:355) finns det ytterligare bestämmelser om patientens till- gång genom direktåtkomst eller annat elektroniskt utlämnande till

21

Författningsförslag

SOU 2021:39

uppgifter hos vårdgivare om patienten själv.

13 a §

Om patienten eller omsorgs- mottagaren medger det får en vård- eller omsorgsgivare ge en annan fysisk person som patienten eller omsorgsmottagaren uppger sig känna personligen tillgång genom direktåtkomst eller annat elektro- niskt utlämnande till sådana uppgifter som avses i 13 §. Sådan tillgång ska på patientens eller om- sorgsmottagarens begäran kunna begränsas till uppgifter registrerade efter ett visst datum eller vid en viss organisatorisk enhet.

Om någon inom hälso- och sjukvårdspersonalen eller som ut- för arbetsuppgifter inom social- tjänsten får anledning att miss- tänka att patientens eller omsorgs- mottagarens medgivande enligt första stycket inte ger uttryck för patientens eller omsorgsmottaga- rens fria vilja eller att patienten eller omsorgsmottagaren varaktigt inte längre är i stånd att lämna ett medgivande enligt första stycket, är denne skyldig att genast anmäla detta till den vård- eller omsorgs- givare som gett tillgången. Mot- svarande gäller om misstanken av- ser att patienten eller omsorgsmot- tagaren inte känner den som fått tillgång personligen.

22

SOU 2021:39

Författningsförslag

13 b §

I5 kap. 5 och 5 a §§ patient- datalagen (2008:355) finns det ytterligare bestämmelser om elek- tronisk tillgång för patienten och andra till uppgifter hos vårdgivare om patienten själv.

Regeringen eller den myndig- het som regeringen bestämmer kan med stöd av 8 kap. 7 § regerings- formen meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid sådan direktåtkomst eller annat elektroniskt utlämnande som avses i 13 och 13 a §§.

23

Författningsförslag

SOU 2021:39

1.3Förslag till förordning om ändring

i förordningen (2006:196) om register över hälso- och sjukvårdspersonal

Härigenom föreskrivs i fråga om förordningen (2006:196) om register över hälso- och sjukvårdspersonal

dels att 7 § ska upphöra att gälla,

dels att rubrikerna närmast före 7 § och 7 c § ska utgå,

dels att 1, 5, 7 a–7 e och 8 §§ samt rubriken närmast före 7 a § ska ha följande lydelse,

dels att det ska införas två nya paragrafer, 7 f och 7 g §§, och närmast före 7 f och 7 g §§ nya rubriker av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1 §

För de ändamål som anges i 4

För de ändamål som anges i 4

och 5 §§ skall Socialstyrelsen med

och 5 §§ ska Socialstyrelsen med

hjälp av automatiserad behand-

hjälp av automatiserad behand-

ling föra ett register över hälso-

ling föra ett register över hälso-

och sjukvårdspersonal.

och sjukvårdspersonal.

5 §1

Personuppgifterna i registret får, utöver det som anges i 4 §, behandlas endast för att

1. utöva tillsyn över hälso- och sjukvården och dess personal,

2. lämna uppgifter

till den

2. lämna uppgifter som behövs

nationella läkemedelslistan enligt

för E-hälsomyndighetens kontroll

lagen (2018:1212) om

nationell

av hälso- och sjukvårdspersonals

läkemedelslista,

 

identitet och behörighet i enlighet

 

 

med författning eller regerings-

 

 

uppdrag,

3.lämna uppgifter till myndigheter och enskilda i enlighet med det som föreskrivs i annan författning eller avtal,

4. i samband med E-hälsomyn-

4. kontrollera hälso- och sjuk-

dighetens behandling av person-

vårdspersonals identitet och behörig-

uppgifter enligt lagen om nationell

het

läkemedelslista lämna uppgifter till

a. i samband med tjänstetillsätt-

1Senaste lydelse 2021:69.

24

Socialstyrelsen får, efter sam- råd med Integritetsskyddsmyndig- heten, besluta att medge en myn- dighet eller offentlig vårdgivare tillgång genom direktåtkomst eller annat elektroniskt utlämnande till uppgifter i registret. Direktåtkomst får endast medges om inte annat elektroniskt utlämnande är till- räckligt. Tillgången får inte vara mer omfattande än vad myndig-
25

SOU 2021:39Författningsförslag

den myndigheten för kontroll av

ning och under anställning eller

identitet och behörighet i fråga om

uppdrag,

förskrivare, legitimerade

sjuk-

b. att utfärda intyg, och

sköterskor utan behörighet att för-

c. vid handläggning av ärenden

skriva läkemedel, apotekare, recep-

om dispens från begränsningar av

tarier och dietister,

 

förordnande och utlämnande av

 

 

vissa läkemedel,

5. lämna uppgifter till E-hälso-

5. framställa statistik om hälso-

myndigheten för kontroll av för-

och sjukvård enligt lagen (2001:99)

skrivares identitet och behörighet

om den officiella statistiken, och

vid expedition på öppenvårds-

 

apotek av läkemedel och andra

 

varor som förskrivits,

 

 

6. kontrollera hälso- och sjuk-

6. ge allmänheten upplysning

vårdspersonals identitet och be-

om hälso- och sjukvårdspersonals

hörighet i samband med tjänste-

behörighet.

tillsättning och under anställning

 

eller uppdrag, och

 

 

7. kontrollera hälso- och

sjuk-

 

vårdspersonals identitet och be-

 

hörighet att utfärda intyg.

 

 

Direktåtkomst

 

Direktåtkomst och annat

 

 

elektroniskt utlämnande

7 a §2

Inspektionen för vård och omsorg får ha direktåtkomst till uppgifterna i registret.

2Senaste lydelse 2016:163.

Den som har medgetts till- gång enligt 7 a § ska se till att till- gången till personuppgifterna begränsas till vad varje användare behöver för att kunna fullgöra sina arbetsuppgifter, att tillgång till personuppgifterna dokumen- teras och kan kontrolleras och att systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter görs.
Tillgång enligt 7 a § får inte medges innan Socialstyrelsen har försäkrat sig om att frågorna om behörighet, åtkomstkontroll och säkerhet är lösta på ett sätt som är tillfredsställande ur integritets- synpunkt.

Författningsförslag

SOU 2021:39

En offentlig vårdgivare får ha direktåtkomst till uppgifter som avses i 6 § 1, 3 och 5–10.

Transportstyrelsen får ha direkt- åtkomst till uppgifter som avses i 6 § 1, 3, 5 och 7–9.

heten behöver för att utföra sina arbetsuppgifter.

Socialstyrelsen får, efter samråd med Integritetsskyddsmyndigheten, besluta att medge en privat vård- givare tillgång genom annat elek- troniskt utlämnande än direktåt- komst till uppgifter i registret. Till- gången får inte vara mer omfat- tande än vad vårdgivaren behöver för att utföra sina arbetsuppgifter.

Av beslutet ska framgå

1.för vilka ändamål enligt 5 § som tillgången får användas,

2.vilka uppgifter som tillgången får gälla, och

3.vilka legitimerade yrken som tillgången får gälla.

7 b §3

En myndighet som har med- getts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje användare behöver för att kunna fullgöra sina arbetsuppgifter.

Direktåtkomst får inte medges innan Socialstyrelsen har för- säkrat sig om att behörighets- och säkerhetsfrågorna är lösta på ett sätt som är tillfredsställande ur integritetssynpunkt.

3Senaste lydelse 2013:639.

26

Även utan ett beslut enligt 7 a § får Socialstyrelsen i enstaka fall lämna ut uppgifter i registret för ändamål som anges i 4 och 5 §§ genom annat elektroniskt ut- lämnande än direktåtkomst.
Uppgiftsskyldighet
7 f §
Socialstyrelsen ska på begäran av Inspektionen för vård och omsorg lämna ut uppgifter för det ändamål som anges i 5 § 1.
Socialstyrelsen ska ge den till- gång som beslutats enligt 7 a §.
27
Den som har medgetts tillgång enligt 7 a § får inte behandla person- uppgifterna för något annat ända- mål än det för vilket de lämnats ut.
E-hälsomyndigheten får dock behandla uppgifterna i den natio- nella läkemedelslistan i enlighet med ändamålen i 3 kap. 2–5 §§ lagen (2018:1212) om nationell läkemedelslista.

SOU 2021:39

Författningsförslag

7 c §4

Socialstyrelsen ska på begäran av Inspektionen för vård och omsorg lämna ut uppgifter för det ändamål som anges i 5 § 1.

Inspektionen för vård och omsorg har rätt att ta del av upp- gifterna i registret vid direkt- åtkomst enligt 7 a § första stycket.

7 d §5

En offentlig vårdgivare har

Ett beslut enligt 7 a § får inte

rätt att ta del av uppgifterna i

överklagas.

registret vid direktåtkomst enligt

 

7 a § andra stycket.

 

7e §6

Transportstyrelsen har rätt att ta del av uppgifterna i registret vid direktåtkomst enligt 7 a § tredje stycket.

4Senaste lydelse 2013:639.

5Senaste lydelse 2013:639.

6Senaste lydelse 2013:639.

Författningsförslag

SOU 2021:39

Upplysningar till allmänheten på internet

7 g §

Socialstyrelsen ska göra det möjligt för allmänheten att genom en sökfunktion på internet kon- trollera en viss persons behörighet.

Som sökbegrepp får bara använ- das personnummer eller samord- ningsnummer.

Som resultat av sökningen får bara visas det angivna person- numret eller samordningsnumret och anknytande uppgifter i registret om namn, typ av legitimation och när den utfärdades samt omfatt- ningen av legitimationen vid par- tiellt tillträde, yrke och specialitet. Sökresultatet får inte innehålla personuppgifter om annan än den som har en gällande legitimation.

8 §7

Utöver vad som framgår av artiklarna 13 och 14 i EU:s data- skyddsförordning ska den som är personuppgiftsansvarig enligt denna förordning lämna information till den registrerade om

1.de sekretess- och säkerhetsbestämmelser som gäller för registret,

2.rätten enligt artikel 82 i EU:s dataskyddsförordning och 7 kap. 1 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning till skadestånd vid behandling av person- uppgifter i strid med denna förordning,

3. vad som gäller i fråga om

3. vad som gäller i fråga om

sökbegrepp, direktåtkomst och

sökbegrepp, direktåtkomst och

utlämnande på medium för auto-

annat elektroniskt utlämnande,

matiserad behandling, och

och

4. huruvida registreringen är frivillig eller inte.

Denna förordning träder i kraft den 1 januari 2023.

7Senaste lydelse 2018:464.

28

SOU 2021:39

Författningsförslag

1.4Förslag till förordning om ändring i offentlighets- och sekretessförordningen (2009:641)

Härigenom föreskrivs i fråga om offentlighets- och sekretessförord- ningen (2009:641) att 6 § ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

6 §8

Sekretess gäller i nedan angiven verksamhet, som avser registrering av betydande del av befolkningen, för

1.uppgift om en enskilds personliga förhållanden, om det av sär- skild anledning kan antas att den enskilde eller någon närstående till honom eller henne lider men om uppgiften röjs, och

2.uppgift i form av fotografisk bild av den enskilde, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider men.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

Verksamheten avser

centrala hundregistret

fastighetsregistret

kommunala fastighetsregister

passregister och register över nationella identitetskort

röstlängdsregister

Skatteverkets databas över identitetskort för folkbokförda i Sverige

Socialstyrelsens register över Socialstyrelsens register över

hälso- och sjukvårdspersonal hälso- och sjukvårdspersonal, dock inte i fråga om utlämnande enligt 7 f § andra stycket och 7 g § förordningen (2006:196) om regis-

8Senaste 2020:1286.

29

Författningsförslag

SOU 2021:39

ter över hälso- och sjukvårdsperso- nal

Statens tjänstepensionsverks pensionsregister

Totalförsvarets plikt- och prövningsverks register över totalför- svarets personal

Transportstyrelsens vägtrafikregister

Denna förordning träder i kraft den 1 januari 2023.

30

2Utredningens uppdrag och arbete

2.1Utredningens uppdrag

Utredningens arbete utgår från utredningsdirektiven (dir. 2019:37) och tilläggsdirektiven (dir. 2020:112). I enlighet med utrednings- direktiven lämnade utredningen i januari 2021 ett delbetänkande, Informationsöverföring inom vård och omsorg (SOU 2021:4). Utred- ningen ska senast den 31 maj 2021 slutredovisa sitt uppdrag. I detta slutbetänkande redovisas utredningens uppdrag att

se över möjligheterna att ge ett ombud elektronisk åtkomst till patientjournalen, och

sammanställa och översiktligt beskriva eventuella ytterligare frågeställningar som utredningen under arbetet med utrednings- uppdraget uppmärksammat och som utredaren bedömer kräver vidare analys ur ett dataskydds- eller sekretessperspektiv, samt

analysera förutsättningar för och, om lämpligt, föreslå ändringar av bestämmelserna om direktåtkomst och ändamål i förord- ningen (2006:196) om register över hälso- och sjukvårdspersonal.

Utredningens båda direktiv i sin helhet bifogas slutbetänkandet, bilaga 1 och 2. Även förordningen om register över hälso- och sjuk- vårdspersonal bifogas slutbetänkandet, bilaga 3.

31

Utredningens uppdrag och arbete

SOU 2021:39

2.2Utredningens delbetänkande innehåller bakgrundsinformation

I delbetänkandet (SOU 2021:4) redogjorde utredningen noggrant för relevanta delar av dataskyddsregleringen, bl.a. dataskyddsförord- ningen1, (se kapitel 3, 4 och 6) och regleringen om sekretess och tystnadsplikt (se kapitel 5). Vidare redogjorde utredningen för de strukturförändringar som påverkar förutsättningarna att bedriva hälso- och sjukvård och socialtjänst (se kapitel 11).

Mot denna bakgrund upprepar utredningen inte det som framgår av delbetänkandet annat än när det är direkt relevant för övervägan- dena och förslagen i detta slutbetänkande. I förekommande fall görs det hänvisningar till delbetänkandet.

2.3Utredningens arbete

Utredningsarbetet inleddes i oktober 2019. Arbetet med frågorna om personuppgiftshantering inom och mellan socialtjänst och hälso- och sjukvård, utom ombuds åtkomst till patientjournal, redovisas i utredningens delbetänkande Informationsöverföring inom vård och omsorg (SOU 2021:4).

Utredningsarbetet har bedrivits på sedvanligt sätt med regel- bundna sammanträden och andra kontakter med experter och sak- kunniga. Under arbetet med slutbetänkandet har utredningen haft tre utredningssammanträden digitalt, varav ett slutjusteringsmöte.

Utredningen har i enlighet med vad som föreskrivs i direktiven haft samråd med andra utredningar med närliggande uppdrag. Sam- råden har i huvudsak genomförts över telefon eller som digitala möten. Utredningen har haft samråd med företrädare för Utred- ningen Sammanhållen kunskapsstyrning (S 2018:12), Utredningen om välfärdsteknik i äldreomsorgen (S 2018:11), Framtidens socialtjänst (S 2017:03), Samordnad utveckling för god och nära vård (S 2017:01) och Utredningen om hälso- och sjukvårdens beredskap (S 2018:09).

Utöver detta har utredningen genomfört digitala möten med före- trädare för Socialstyrelsen, Försäkringskassan, Läkemedelsverket, E-hälsomyndigheten, Universitets- och högskolerådet samt Sveriges

1Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

32

SOU 2021:39

Utredningens uppdrag och arbete

universitets- och högskoleförbund. Syftet med mötena har varit att fånga upp information, kunskap och synpunkter utifrån myndig- heternas och organisationernas perspektiv.

2.4Slutbetänkandets disposition

Slutbetänkandet är indelat i två delar utöver detta kapitel, författ- ningsförslagen i kapitel 1 samt en sammanställning av eventuella ytterligare frågeställningar i bilaga 4.

Den första delen, som omfattar kapitel 3–5, innehåller bakgrund med allmänna utgångspunkter. Kapitel 3 innehåller en kort beskriv- ning av den elektroniska tillgången till personuppgifter. I kapitel 4 beskrivs patientens elektroniska tillgång till sina patientuppgifter. Kapitel 5 innehåller en redogörelse för HOSP-registret, tillgången till dess uppgifter och regleringen i HOSP-förordningen samt rele- vanta bestämmelser om sekretess.

I den andra delen, kapitel 6–11, redogör utredningen inlednings- vis för sina generella överväganden och förslag. I kapitel 6 redogörs för frågan om ombuds elektroniska tillgång till patientuppgifter. I kapitel 7 motiveras utredningens förslag om att på internet till- gängliggöra vissa uppgifter i HOSP-registret. I kapitel 8 motiveras utredningens förslag som rör annan elektronisk tillgång till HOSP- registret och de nya ändamålen. Därefter kommer de avslutande kapitlen, kapitel 9–11, där utredningen i kapitel 9 redovisar sin konse- kvensanalys av förslagen och i kapitel 10 redovisar förslag till ikraft- trädande- och övergångsbestämmelser. Författningskommentarerna till lagförslagen återfinns i kapitel 11.

Slutligen presenteras i bilaga 4 en översiktlig sammanställning av ytterligare frågeställningar som utredningen under arbetet med utred- ningsuppdraget har uppmärksammat och som utredaren bedömer kräver vidare analys ur ett dataskydds- eller sekretessperspektiv.

33

BAKGRUND

35

3Elektronisk tillgång till personuppgifter

3.1Inledning

Det kvarvarande utredningsuppdraget rör utomståendes elektro- niska tillgång till personuppgifter, patientuppgifter respektive uppgifter om hälso- och sjukvårdspersonals legitimation. Den elek- troniska tillgången kan ges genom direktåtkomst eller annat elektro- niskt utlämnande. Dessa begrepp berörs i avsnitt 3.2. I avsnitt 3.3 berörs dataskyddsaspekter på utomståendes elektroniska tillgång till personuppgifter.

Dataskyddsförordningen innehåller inga särskilda restriktioner i fråga om elektroniskt utlämnande av personuppgifter i förhållande till andra former för utlämnande, såsom utlämnande muntligt eller på papper. Om personuppgifter enligt dataskyddsförordningen får lämnas ut till någon, kan utlämnandet således ske elektroniskt så länge säkerheten upprätthålls.

I s.k. registerförfattningar finns det däremot inte så sällan en sär- skild reglering av just elektroniskt utlämnande. Finns det inte i en registerförfattning någon bestämmelse som reglerar elektroniskt utlämnande, får sådant utlämnande, genom direktåtkomst eller på annat sätt, ske så länge själva utlämnandet inte är otillåtet. Det anses däremot att en bestämmelse i en registerförfattning som reglerar en viss form av elektroniskt utlämnande bör tolkas motsatsvis så att den formen av elektroniskt utlämnande till andra än som särskilt regle- rats inte är tillåten inom registerförfattningens tillämpningsområde. Om det anges att någon får ha direktåtkomst till ett författnings- reglerat register, innebär det således att andra utomstående inte får ha direktåtkomst. På motsvarande sätt anses en bestämmelse om att elektroniskt utlämnande får ske i t.ex. enstaka fall innebära att elek- troniskt utlämnande inte får ske i andra fall, t.ex. regelmässigt.

37

Elektronisk tillgång till personuppgifter

SOU 2021:39

3.2Innebörden av direktåtkomst och annat elektroniskt utlämnande

Direktåtkomst är en form av elektroniskt utlämnande av uppgifter. Uppgifter kan dock lämnas ut elektroniskt även på andra sätt än genom direktåtkomst. I s.k. registerförfattningar används ofta be- greppet ”utlämnande på medium för automatiserad behandling”, men även begrepp som ”elektronisk åtkomst” och ”elektroniskt ut- lämnande” används. Några legaldefinitioner av dessa begrepp finns inte. Vad som avses med begreppen anges ofta i förarbetena till de olika registerförfattningarna.1 Utredningen har i detta betänkande valt att använda begreppet annat elektroniskt utlämnande för sådan överföring av uppgifter i elektroniskt format som inte sker genom direktåtkomst.

Informationshanteringsutredningen, som bl.a. hade i uppdrag att avgöra om det fanns skäl att i registerförfattningar upprätthålla åt- skillnad mellan olika former av elektroniskt utlämnande, beskrev begreppen direktåtkomst och medium för automatiserad behandling på följande sätt.

Med direktåtkomst avses vanligtvis att någon har direkt tillgång till någon annans register eller databas och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen.2 I begreppet ligger också att den som är personuppgiftsansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst söktillfälle tar del av.3

Med begreppet utlämnande på medium för automatiserad behand- ling avses vanligen ett överlämnande av elektroniskt lagrade uppgifter via något slags medium för lagring eller överföring, exempelvis e-post eller USB-minne. Som regel innefattar denna typ av utlämnande att informationen lämnas ut i en form som medför att mottagaren kan bearbeta informationen.4 Utlämnande kan också ske elektroniskt genom en s.k. fråga-svar-funktion, se vidare nedan.

1Se resonemang i betänkandet Överskottsinformation vid direktåtkomst, SOU 2012:90 s. 198 f.

2SOU 2012:90 s. 198 f.

3SOU 2012:90 s. 198 som hänvisar till prop. 2004/05:164, Tullverkets brottsbekämpning Effek- tivare uppgiftsbehandling, s. 83 och prop. 2011/12:45, Kustbevakningsdatalag, s. 133.

4SOU 2012:90 s. 198 som hänvisar till prop. 2007/08:126 Patientdatalag m.m., s. 77.

38

SOU 2021:39

Elektronisk tillgång till personuppgifter

Informationshanteringsutredningen anförde vidare att det, genom informationsteknikens utveckling, har blivit allt svårare att dra gränsen mellan de olika utlämnandeformerna.5

Ett visst klargörande beträffande gränsdragningen har skett genom ett avgörande från Högsta förvaltningsdomstolen (den s.k. LEFI Online-domen), där frågan var om socialnämnderna kunde anses ha direktåtkomst till Försäkringskassans socialförsäkrings- databas.6 Domstolen konstaterade att de allmänna handlingar hos en myndighet som en annan myndighet genom direktåtkomst får tillgång till utgör allmänna handlingar även hos denna myndighet.7 Av dåvarande 2 kap. 3 § andra stycket (nuvarande 2 kap. 6 § första stycket) tryckfrihetsförordningen framgick att en upptagning anses förvarad hos en myndighet, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas eller avlyssnas eller uppfattas på annat sätt. De allmänna handlingar hos en myndig- het som en annan myndighet får tillgång till genom direktåtkomst utgör allmänna handlingar även hos denna myndighet.8 Domstolen anförde vidare att den avgränsning som på detta sätt görs av begrep- pet direktåtkomst, genom tillämpning av tryckfrihetsförordningens bestämmelser om allmänna handlingars offentlighet, kan användas även för att bestämma innehållet i detta begrepp i 114 kap. 22 § socialförsäkringsbalken.

I det aktuella fallet var alltså frågan om upptagningen kunde anses förvarad hos socialnämnderna i tryckfrihetsförordningens mening. Socialnämnderna kunde inte på egen hand söka information i social- försäkringsdatabasen, utan ett utlämnande förutsatte att Försäkrings- kassan reagerade på en begäran om att de efterfrågade uppgifterna skulle lämnas ut. Försäkringskassan ansågs därmed förfoga över frågan om och i så fall vilka uppgifter som skulle lämnas ut. Någon sådan teknisk tillgång till upptagningar som avses enligt nuvarande 2 kap. 6 § första stycket tryckfrihetsförordningen ansågs social- nämnderna inte ha, vilket innebar att förfarandet inte var att betrakta som direktåtkomst enligt socialförsäkringsbalken.

För att ett elektroniskt utlämnande ska anses utgöra direkt- åtkomst krävs det alltså att den aktuella upptagningen anses förvarad

5SOU 2012:90 s. 199.

6HFD 2015 ref. 61.

7Prop. 2002/03:135, Behandling av personuppgifter inom socialförsäkringens administration, s. 90.

8Prop. 2002/03:135 s. 90.

39

Elektronisk tillgång till personuppgifter

SOU 2021:39

hos mottagaren på det sätt som avses i 2 kap. 6 § första stycket tryckfrihetsförordningen, dvs. att upptagningen är tillgänglig för mottagaren med tekniskt hjälpmedel som mottagaren själv utnyttjar för överföring i sådan form att den kan läsas eller avlyssnas eller uppfattas på annat sätt. En sådan fråga-svartjänst med fördefinierade frågor och svar som prövades LEFI Online-domen utgör alltså inte direktåtkomst utan utlämnande på medium för automatiserad behand- ling, som utredningen i detta betänkande valt att kalla för annat elek- troniskt utlämnande.

3.3Elektronisk tillgång och dataskydd

På grund av de sammanställningsmöjligheter och möjligheter till spridning av uppgifter som en automatiserad behandling erbjuder anses det vara mer känsligt från integritetssynpunkt att lämna ut uppgifter elektroniskt än på papper. En myndighet kan således enligt en bestämmelse om uppgiftsskyldighet ha skyldighet att lämna ut vissa uppgifter till en annan myndighet, men den mottagande myndig- heten kanske bara har rätt att ha direktåtkomst till vissa av dessa uppgifter.9

När det gäller direktåtkomst kan det generellt sägas att sådan åtkomst ökar riskerna för intrång i den personliga integriteten. De upptagningar som direktåtkomsten avser blir allmänna handlingar hos den mottagande myndigheten. Ju fler myndigheter som har direktåtkomst till uppgifter i ett datasystem, desto större blir all- mänhetens möjlighet att få tillgång till uppgifterna. Ett annat skäl till att direktåtkomst kan anses innebära särskilda risker är att sådan åtkomst typiskt sett innebär att uppgifter blir tillgängliga för fler personer och att den utlämnande myndighetens möjligheter att kontrollera användningen så att obehöriga inte tar del av uppgifterna minskar. Den utlämnande myndigheten har inte kontroll över vilka uppgifter som mottagaren vid varje enskilt tillfälle tar del av och vem som tar del av uppgifterna. Det förhållandet att en myndighet får tillgång till uppgifter genom direktåtkomst ger dock inte mottagaren rätt att behandla personuppgifterna. Mottagaren måste ha rättsligt stöd i sin egen registerlagstiftning eller i annan tillämplig dataskydds-

9Dir. 2011:86, Integritet, effektivitet och öppenhet i en modern e-förvaltning, s. 11.

40

SOU 2021:39

Elektronisk tillgång till personuppgifter

reglering för behandlingen av personuppgifter och även i övrigt uppfylla alla skyldigheter som är förenade med den.

Även elektroniskt utlämnande av personuppgifter på annat sätt än genom direktåtkomst kan innebära risker för den personliga integ- riteten. Sådant utlämnande innebär nämligen som regel att mot- tagaren lättare kan bearbeta informationen, t.ex. genom att samköra den med information som hämtas från andra källor och sprida den vidare elektroniskt.

41

4Patientens elektroniska tillgång till sina patientuppgifter

4.1Inledning

I delbetänkandet Informationsöverföring inom vård och omsorg (SOU 2021:4) har utredningen redogjort för gällande rätt när det gäller skyddet för personuppgifter. Utredningen har bl.a. redogjort för att den enskildes rätt till skydd för personuppgifter är ett utflöde av skyddet för den personliga integriteten och rätten till respekt för privatlivet. Dessa grundläggande rättigheter skyddas av såväl svensk grundlag som av för Sverige bindande internationella regelverk (se närmare beskrivning i kapitel 3 i delbetänkandet). Dessutom har utredningen beskrivit dataskyddsförordningen (se kapitel 4 i del- betänkandet) och bestämmelser om sekretess och tystnadsplikt inom hälso- och sjukvård (se kapitel 5 i delbetänkandet). Vidare har utredningen redogjort för olika elektroniska former för utlämnanden av personuppgifter, bl.a. direktåtkomst (avsnitt 6.6 i delbetänkandet). Utredningen kommer inte här att upprepa sådant som beskrivs detal- jerat i delbetänkandet. I förekommande fall görs hänvisningar till beskrivningarna i delbetänkandet. I detta kapitel kommer utred- ningen att fokusera på relevanta bestämmelser när det gäller just att låta ombud få elektronisk tillgång, t.ex. genom direktåtkomst, till patientuppgifter.

Nedan följer inledningsvis en beskrivning av invånarnas använd- ning av e-hälsotjänster i allmänhet och 1177 Vårdguidens e-tjänst Journalen i synnerhet. Utredningen redogör sedan för bestämmelser om patientjournal inom hälso- och sjukvården, och om sekretess och patienters möjlighet att häva sekretessen och medge att någon annan får del av uppgifterna, t.ex. ett ombud. En särskild redogörelse görs när det gäller sekretess för barn och personer med legala ställföre- trädare. Därefter följer en redogörelse av gällande rätt när det handlar

43

Patientens elektroniska tillgång till sina patientuppgifter

SOU 2021:39

om att medge direktåtkomst till patienten själv samt till dennes ombud. Slutligen redogörs för ombuds direktåtkomst enligt lagen (2018:1212) om nationell läkemedelslista.

4.2Allmänt om invånarnas användning av e-hälsotjänster

Som beskrivs i kapitel 11 i delbetänkandet pågår förändringar i sam- hället som påverkar förutsättningarna att bedriva hälso- och sjukvård. En sådan förändring är den ökande andelen äldre i befolkningen. Äldre har ofta komplexa och sammansatta vårdbehov. En annan förändring är den tekniska utvecklingen som har lett till en allt högre grad av digitalisering och ökade möjligheter att dela digitaliserad infor- mation, både med andra aktörer inom vården och med patienterna.

Regeringen har tillsammans med Sveriges Kommuner och Regioner (SKR) kommit överens om Vision e-hälsa 2025. Enligt den överens- kommelsen ska Sverige år 2025 vara bäst i världen på att använda digitaliseringens och e-hälsans möjligheter, bl.a. i syfte att underlätta för människor att uppnå en god och jämlik hälsa och välfärd.1 Reger- ingen har även presenterat en nationell digitaliseringsstrategi. Även där är det övergripande målet för digitalisering att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter. Ett av del- målen handlar om s.k. digital kompetens. Digital kompetens innebär att alla människor, oavsett funktionsförmåga och ålder, ska vara för- trogna med digitala verktyg och tjänster samt ha förmåga att följa med och delta i den digitala utvecklingen utifrån sina förutsättningar.2

Sverige ligger i framkant i Europa när det gäller digitalisering och internetanvändning. Inom sjukvården har man sedan länge gått över till elektroniska patientjournaler. I princip all information hanteras numera elektroniskt i sådana system. Människor i Sverige är i allmän- het vana digitala användare och har i regel en positiv inställning till att regioner och kommuner erbjuder digital service och kommu- nicerar digitalt. En majoritet av invånarna har tillgång till dator eller smartphone och internet och förväntar sig att kunna ta del av sam- hällsservice digitalt. Covid-19-pandemin har på många sätt bidragit till att driva på digitaliseringen av hälso- och sjukvården. Pandemin

1Regeringskansliet och SKR, Vision e-hälsa 2025.

2Regeringskansliet, För ett hållbart digitaliserat Sverige – en digitaliseringsstrategi s. 6 och 12 f (dnr N2017/03643/D, publicerat den 18 maj 2017).

44

SOU 2021:39

Patientens elektroniska tillgång till sina patientuppgifter

har medfört förändrade behov och beteenden hos invånarna, inte minst i kommunikationen med hälso- och sjukvården. En tydlig effekt är att användningen av e-hälsotjänster ökat, särskilt bland äldre.3 Av en rapport från Internetstiftelsen framgår att internet- användare som är 76 år eller äldre är en åldersgrupp som markant ökat sin användning av e-hälsotjänster under covid-19-pandemin.4

Trots detta finns det människor i Sverige som av olika anled- ningar saknar förutsättningar att ta del av e-hälsotjänster. Vissa grupper, exempelvis unga, personer med funktionsnedsättningar och äldre, kan ha svårare att på egen hand använda digitala hjälp- medel och att hantera exempelvis sådan e-legitimation som vanligen krävs för att kunna ta del av digitala e-hälsotjänster. För dessa perso- ner riskerar den snabba digitaliseringen att skapa eller förstärka vad som brukar kallas ett digitalt utanförskap. Invånare som räknas som sällan- och icke-användare av internet beräknas enligt Internetstif- telsen uppgå till drygt en miljon människor. De som använder inter- net i lägre utsträckning, och därmed riskerar ett digitalt utanförskap, är främst personer äldre än 75 år, personer med funktionsnedsätt- ning samt personer med låg utbildning.5

Idag behöver nästan en femtedel av befolkningen hjälp att installera ett mobilt bank-id, vilket i många fall är en nödvändighet för att kunna logga in på e-hälsotjänster. Personer med funktionsvaria- tioner behöver i högre grad än befolkningen i övrigt hjälp med att använda digitala tjänster. Allra mest hjälp med digitala aktiviteter behöver de äldsta i samhället. Av de som är 76 år eller äldre behöver närmare 60 procent hjälp med att skaffa mobilt bank-id.6

Användningen av e-hälsotjänster skiljer sig åt mellan personer med funktionsnedsättningar och den övriga befolkningen. I en rap- port från 2019 beskrivs att det finns en betydande digital klyfta mellan personer med funktionsnedsättningar och personer utan funktionsnedsättningar. En tredjedel av personerna med funktions- nedsättningar tycks inte ha något sätt att identifiera sig digitalt. De

3E-hälsomyndighetens fokusrapport Jämlik e-hälsa Tillgång, fördelning och användning av e-hälsotjänster och välfärdsteknik (dnr 2020/05075 2020-11-23) s. 5 f.

4Internetstiftelsens rapport Svenskarna och Internet 2020 s. 36.

5E-hälsomyndighetens fokusrapport Jämlik e-hälsa Tillgång, fördelning och användning av e-hälsotjänster och välfärdsteknik (dnr 2020/05075 2020-11-23) s. 18 och Internetstiftelsens delrapport Digitalt utanförskap 2020 Q1, delrapport till undersökningen Svenskarna och inter- net 2020.

6Internetstiftelsens delrapport Digitalt utanförskap 2020 Q1, delrapport till undersökningen Svenskarna och internet 2020.

45

Patientens elektroniska tillgång till sina patientuppgifter

SOU 2021:39

har varken mobilt bank-id eller någon annan e-legitimation.7 Inom vissa områden är skillnaderna mellan de två grupperna relativt liten, t.ex. när det gäller viljan att boka tider till vården via internet. Perso- ner med funktionsnedsättningar är dock en heterogen grupp med stor inbördes variation när det gäller behov och förmåga att kunna delta i sin vård. Det finns därför variationer inom gruppen när det gäller användningen av e-hälsotjänster. E-hälsomyndigheten konsta- terar att ytterligare behovsanpassning av e-hälsotjänster skulle kunna bidra till mer jämlika möjligheter att vara delaktiga i e-hälsotjänsterna.8

4.3Användning av 1177 Vårdguidens e-tjänst Journalen

Som nämnts ovan tillhandahålls i dag en nationell teknisk lösning för att ge patienter direktåtkomst till sina patientjournaler via den lands- omfattande e-tjänsten Journalen. Denna nationella tekniska lösning tillhandahålls via Inera AB9. I Journalen kan patienter logga in med sin e-legitimation och få elektronisk tillgång till sina patientupp- gifter från de vårdgivare som är anslutna. Informationen hämtas automatiskt från hälso- och sjukvårdens journalsystem. Regionerna har gjort olika bedömningar om vilken patientinformation som ska göras tillgänglig genom direktåtkomst. Vilka uppgifter från patient- journalen som visas i Journalen, och från vilka mottagningar, kan således variera mellan olika vårdgivare. Regionerna har gemensamt kommit överens om en målbild och ett antal styrande principer för hur invånare ska kunna ta del av sin egen patientjournal i e-tjänsten Journalen. Målbilden var att vid utgången av år 2020 ska alla invånare som fyllt 16 år kunna ha elektronisk tillgång till all information om sig själv som dokumenteras i regionfinansierad hälso- och sjukvård samt tandvård.10

Enligt uppgift från Inera har Journalen använts av cirka 4,9 miljoner personer och varje månad loggar över en miljon personer in på

7Begripsam, rapporten Svenskarna med funktionsnedsättning och internet 2019 s. 12.

8E-hälsomyndighetens fokusrapport Jämlik e-hälsa Tillgång, fördelning och användning av e-hälsotjänster och välfärdsteknik (dnr 2020/05075 2020-11-23) s. 27.

9Inera AB (Inera) är ett bolag som ägs av regioner, kommuner och SKR Företag. Inera har till uppgift att koordinera och utveckla gemensamma digitala lösningar för regioner och kom- muner. Inera är personuppgiftsbiträde åt regionerna och kommunerna.

10E-hälsomyndighetens fokusrapport Jämlik e-hälsa Tillgång, fördelning och användning av e-hälsotjänster och välfärdsteknik (dnr 2020/05075 2020-11-23) s. 20 f.

46

SOU 2021:39

Patientens elektroniska tillgång till sina patientuppgifter

e-tjänsten. Antalet inloggningar har också ökat stadigt för varje år som tjänsten funnits. Ökningen har skett i samtliga åldersgrupper. Under covid-19-pandemin har antalet besökare till 1177 Vård- guidens e-tjänster ökat kraftigt. Samtidigt har exempelvis tjänsten Journalen utvecklats så att invånare i vissa fall kan ta del av sina prov- svar från covid-19-test där.

Kvinnor söker generellt vård oftare än män och de använder också 1177 Vårdguidens e-tjänster oftare än män. Bland personer som är 70 år eller äldre är det dock vanligare att män använder 1177 Vårdguidens e-tjänster. Det finns även regionala skillnader i användningen av e-tjänsterna. De allra flesta inloggningarna sker med mobilt bank-id som autentiseringsmetod.11

Tidigare fanns en särskild ombudsfunktion i Journalen där patienter kunde utse en annan fysisk person att dela sin journal med. På så vis kunde patienter ta hjälp av någon annan, ett ombud, som kunde logga in och få elektronisk tillgång till patientjournalen. Av kontakter med Inera har framkommit att år 2017 delade cirka 4 350 personer sin patientjournal till någon annan via ombudsfunktionen och siffrorna ökade stadigt för varje år. Delningsfunktionen användes av samtliga åldersgrupper men användningen i åldersgruppen 70–79 år stack ut något. Efter en dom i Högsta förvaltningsdomstolen stäng- des den tjänsten emellertid i juni 2018 (se nedan i avsnitt 4.11 för närmare beskrivning av domen).

Det finns i dag en funktionalitet i Journalen som används för att medge direktåtkomst till legala ställföreträdare i form av förvaltare och gode män12 samt i vissa fall för personer som har lämnat full- makter enligt lagen (2017:310) om framtidsfullmakter. Enligt upp- gift från Inera hade mellan den 1 januari och den 31 augusti 2020 cirka 30 förordnanden lagts till i denna ställföreträdarfunktion. Den funktionen används således inte i någon större omfattning.

11https://www.inera.se/tjanster/statistik-for-ineras-tjanster/statistik-for-1177-vardguidens- e-tjanster/invanare/.

12Gode män och förvaltare kan enligt Ineras rutiner medges tillgång till ombudsfunktionen under förutsättning att deras förordnande innefattar att bevaka rätt eller sörja för person, men inte om förordnandet endast avser förvalta egendom.

47

Patientens elektroniska tillgång till sina patientuppgifter

SOU 2021:39

4.4Inledning om gällande rätt

Patientdatalagen (2008:355), förkortad PDL, tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. Patient- datalagen innehåller även bestämmelser om att föra patientjournal.

Utredningen har i delbetänkandet redogjort bl.a. för bestämmelser i patientdatalagen om tillåtna ändamål för behandling av person- uppgifter och om direktåtkomst genom sammanhållen journalföring. Här i slutbetänkandet är i stället bestämmelserna i patientdatalagen om skyldigheten att föra patientjournal (3 kap.) samt om möjligheten att ge en enskild direktåtkomst till uppgifter om sig själv (5 kap. 5 §) av särskilt intresse. Vidare är bestämmelser som möjliggör för den enskilde att häva sekretess till förmån för annan enskild, t.ex. ett ombud, av intresse.

4.5Skyldigheten att föra patientjournal

Patientdatalagen fastställer att vid vård av patienter ska det föras patientjournal. En patientjournal ska föras för varje patient och får inte vara gemensam för flera patienter (3 kap. 1 § PDL). En patient- journal definieras i patientdatalagen som en eller flera journal- handlingar som rör samma patient (1 kap. 3 § PDL). Kravet på att föra patientjournal gäller både hos offentliga och privata vårdgivare. Skyldigheten att föra patientjournal har begränsats till personer som tillhör hälso- och sjukvårdspersonalen. Skyldigheten gäller dock inte all hälso- och sjukvårdspersonal utan endast dem som har mera cen- trala och självständiga arbetsuppgifter inom hälso- och sjukvården.13 Skyldigheten att föra patientjournal vid vård av patienter omfattar i första hand den som har legitimation eller särskilt förordnande att utöva ett visst yrke inom hälso- och sjukvården eller tandvården. I vissa fall är även icke-legitimerad personal skyldig att föra patient- journal (3 kap. 3 § PDL). De journalhandlingar som upprättas inom hälso- och sjukvården ska vara skrivna på svenska språket, vara tydligt utformade och så lätta som möjligt att förstå för patienten. Reger- ingen eller den myndighet som regeringen bestämmer får dock med- dela föreskrifter om att en sådan journalhandling får vara skriven på ett annat språk än svenska (3 kap. 13 § PDL).

13Prop. 1984:85/189 s. 46.

48

SOU 2021:39

Patientens elektroniska tillgång till sina patientuppgifter

Att en patientjournal ska föras för varje patient betyder inte att det för varje patient ska finnas endast en journal. För samma patient kan det finnas flera patientjournaler hos en vårdgivare. De som hos en vårdgivare deltar i vården av en patient får föra en gemensam jour- nal om denne. På sjukhus förs vanligen en för patienten gemensam patientjournal på varje klinik. Även inom en vårdcentral kan det finnas flera patientjournaler om samma patient. Vidare anses det uppenbart att de privata vårdgivarna för patientjournal var för sig, men en privat vårdgivare kan liksom en offentlig ha flera patient- journaler för en patient.14 I Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården finns bestämmelser om patientjournalens struktur och innehåll. Det anges att vårdgivaren ska säkerställa att de uppgifter som finns dokumenterade i en patientjournal finns tillgängliga på ett över- skådligt sätt för den hälso- och sjukvårdspersonal som är behörig att ta del av uppgifterna (5 kap. 1 § HSLF-FS 2016:40). Av de allmänna råden till nu nämnda föreskrift framgår att de delar av en patients journal som hör till en och samma individanpassade vårdprocess bör hållas samman.

Syftet med att föra en patientjournal är i första hand att bidra till en god och säker vård av patienten. Patientjournalen är ett stöd för vård och behandling av patienten. Hälso- och sjukvårdspersonal som inte har träffat patienten tidigare kan använda patientjournalen för att bedöma vilka åtgärder som behöver vidtas för att kunna ge patienten en god och säker vård. En patientjournal är även en infor- mationskälla för patienten, uppföljning och utveckling av verksam- heten, tillsyn och rättsliga krav, uppgiftsskyldighet enligt lag, samt forskning (3 kap. 2 § PDL).

4.6Innehållet i en patientjournal

En patientjournal får innehålla endast de uppgifter som behövs för de ändamål som anges i 2 kap. 4 § första stycket 1 och 2 patient- datalagen (3 kap. 5 § PDL). Kravet på att föra patientjournal gäller således bara den individinriktade verksamheten inom hälso- och sjukvården.

14Prop. 1984/85/189 s. 37.

49

Patientens elektroniska tillgång till sina patientuppgifter

SOU 2021:39

En patientjournal ska innehålla de uppgifter som behövs för en god och säker vård av patienten. Om uppgifterna finns tillgängliga, ska en patientjournal alltid innehålla

uppgift om patientens identitet,

väsentliga uppgifter om bakgrunden till vården,

uppgift om ställd diagnos och anledning till mera betydande åtgärder,

väsentliga uppgifter om vidtagna och planerade åtgärder,

uppgift om den information som lämnats till patienten,

dennes vårdnadshavare och övriga närstående och om de ställ- ningstaganden som gjorts i fråga om val av behandlingsalternativ och om möjligheten till en ny medicinsk bedömning, samt

uppgift om att en patient har beslutat att avstå från viss vård eller behandling (3 kap. 6 § PDL).

Patientjournalen ska vidare innehålla uppgift om vem som har gjort en viss anteckning i journalen och när anteckningen gjordes (3 kap. 6 § PDL).

Patientdatalagen reglerar vad som får finnas i en patientjournal (3 kap. 7 § PDL).15 Därutöver finns bestämmelser i andra författningar om vad patientjournalen får eller ska innehålla, se t.ex. smittskydds- lagen (2004:168) och förordningen (1991:1472) om psykiatrisk tvångsvård och rättspsykiatrisk vård. Vidare innehåller Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården bl.a. bestäm- melser om innehållet i patientjournalen.

4.7Patientjournaler är allmänna handlingar

En handling är allmän, om den förvaras hos en myndighet och enligt 2 kap. 9 eller 10 § i tryckfrihetsförordningen är att anse som inkom- men till eller upprättad hos en myndighet (2 kap. 4 § tryckfrihets- förordningen). Hos en offentlig vårdgivare utgör patientjournalen

15Prop. 2007/08:126 s. 93.

50

SOU 2021:39

Patientens elektroniska tillgång till sina patientuppgifter

en allmän handling enligt bestämmelserna i 2 kap. tryckfrihetsför- ordningen.16

Enligt patientdatalagen definieras patientjournal som en eller flera journalhandlingar som rör samma patient. Journalhandling defi- nieras som framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel och som upprättas eller inkommer i samband med vården av en patient. En journalhandling innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder (1 kap. 3 § PDL). Definitionen av patient- journal knyter således an till tryckfrihetsförordningens handlings- begrepp. Som framgår av bestämmelserna saknar det betydelse om handlingen är pappersbaserad eller digital. Enligt huvudregeln är en handling upprättad hos en myndighet, när den har expedierats (2 kap. 10 § första stycket tryckfrihetsförordningen). Det finns dock undan- tag från denna huvudregel beträffande vissa sorters handlingar. Diarier, journaler samt sådana register eller andra förteckningar som förs löpande, anses ha upprättats när de har färdigställts för anteckning eller införing (2 kap. 10 § andra stycket tryckfrihetsförordningen).

Högsta förvaltningsdomstolen har i ett rättsfall uttalat bl.a. följande när det gäller frågan om när en patientjournal blir en allmän handling (HFD 2013 ref. 33). Patientjournalen kan innehålla olika typer av uppgifter och handlingar. För löpande anteckningar i diarie- eller dagboksform iordningsställs som regel en eller flera särskilda handlingar, i anslutning till patientens första kontakt med den aktu- ella vårdgivaren eller vårdenheten. Förutom anteckningar i diarie- eller dagboksform kan patientjournalen innehålla även exempelvis röntgenbilder, provsvar, remisser och intyg. Handlingar som tillhör en patientjournal kan därmed bli att betrakta som allmänna vid olika tidpunkter, beroende på vilken bestämmelse i tryckfrihetsförord- ningen de omfattas av. De delar av en patientjournal som är avsedda för löpande anteckningar rörande vården av patienten omfattas av specialregeln i tryckfrihetsförordningen17, avseende sådana hand- lingar som anses upprättade när de färdigställts för anteckning eller införing. Högsta förvaltningsdomstolen uttalade även i målet att de

16En privat vårdgivare omfattas som regel inte av tryckfrihetsförordningens bestämmelser om allmänna handlingar. Patientjournaler hos privata vårdgivare, som inte är s.k. kommunala företag, utgör alltså inte allmänna handlingar. I avsnitt 4.8 nedan redogörs för att uppgifter i patientjournaler hos privata vårdgivare omfattas av bestämmelser om tystnadsplikt.

17Nuvarande 2 kap. 10 § andra stycket 1 tryckfrihetsförordningen.

51

Patientens elektroniska tillgång till sina patientuppgifter

SOU 2021:39

löpande anteckningarna i patientjournalen inom den offentligt bedrivna hälso- och sjukvården omedelbart blir en del av den all- männa handlingen, oavsett om anteckningarna har signerats.

Om en utomstående ges direktåtkomst eller annan elektronisk tillgång till en handling, anses handlingen expedierad och därmed upprättad hos myndigheten. Den externa tillgången gör alltså att en handling blir en allmän handling om den inte tidigare var det.

Allmänna handlingar omfattas av offentlighetsprincipen och upp- gifterna i handlingarna ska i regel lämnas ut på begäran, såvida de inte omfattas av sekretess. I patientdatalagen anges att en myndighet inom allmän hälso- och sjukvård under vissa förutsättningar är skyldig att lämna ut journalhandlingar och andra handlingar och uppgifter till en patient, samt att detta framgår av tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400), förkortad OSL (8 kap.

1§ PDL). Även en journalhandling inom enskild hälso- och sjukvård ska på begäran av patienten, eller av en närstående till patienten, så snart som möjligt tillhandahållas honom eller henne för att läsas eller skrivas av på stället eller i avskrift eller kopia, om de inte omfattas av tystnadsplikt enligt patientsäkerhetslagen (2010:659) (8 kap. 2 §PDL).

4.8Patientuppgifter omfattas av sekretess och tystnadsplikt

Uppgifter om patienter i patientjournal omfattas i regel av stark sekretess enligt 25 kap. 1 § offentlighets- och sekretesslagen. Sekre- tess gäller inom hälso- och sjukvården för uppgift om hälsotillstånd eller andra personliga förhållanden, om det inte står klart att upp- giften kan röjas utan att personen eller någon närstående lider men (25 kap. 1 § OSL). Presumtionen är att uppgifter i en patientjournal skyddas av sekretess och att uppgifterna inte lämnas ut till någon annan. För närmare beskrivning av regelverket hänvisas till kapitel 5 i delbetänkandet där utredningen allmänt beskrivit innebörden av sekretess och tystnadsplikt (se avsnitt 5.2 i delbetänkandet) och sekretess och tystnadsplikt inom hälso- och sjukvården (avsnitt 5.4 i delbetänkandet).

Offentlighets- och sekretesslagen gäller bara för myndigheter och för verksamheter som enligt lagen jämställs med myndigheter, t.ex. s.k. kommunala företag. Inom sådan hälso- och sjukvård som

52

SOU 2021:39

Patientens elektroniska tillgång till sina patientuppgifter

bedrivs av privata vårdgivare finns bestämmelser i 6 kap. patient- säkerhetslagen om tystnadsplikt för personal inom enskild hälso- och sjukvård som ger motsvarande skydd för uppgifterna. Där anges bl.a. att den som tillhör eller har tillhört hälso- och sjukvårds- personalen inom den enskilda (privata) hälso- och sjukvården inte obehörigen får röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden. Syftet är att patientuppgifter inte ska få ett sämre skydd när de behandlas i enskild verksamhet än när motsvarande hantering sker hos en myndighet.

I förarbetena till patientdatalagen angavs att vid tolkningen av obehörighetsrekvisitet är det naturligt att söka ledning i skade- rekvisitet som finns i sekretesslagens bestämmelser. Vidare konsta- terades att den enskilde ska få samma skydd för sin personliga integritet vare sig han eller hon får vård av en hälso- och sjukvårds- myndighet eller en privat vårdgivare.18 Sådant uppgiftslämnande som inte skulle ha hindrats av sekretess om det rört sig om en hälso- och sjukvårdsmyndighet anses alltså inte heller vara ett obehörigt röjande av uppgifterna hos en privat vårdgivare. Det innebär att upp- gifter om patienters hälsa och personliga förhållanden har ett mot- svarande skydd hos en privat vårdgivare som hos en hälso- och sjukvårdsmyndighet.

Sekretess till skydd för en enskild gäller inte i förhållande till den enskilde själv, om inte annat anges i offentlighets- och sekretess- lagen (12 kap. 1 § OSL). En enskild har därmed som huvudregel rätt att ta del av de uppgifter som gäller denne. När det gäller uppgifter om enskild inom hälso- och sjukvård finns en bestämmelse i 25 kap. 6 § offentlighets- och sekretesslagen som innebär att uppgifterna i patientjournalen i vissa särskilda undantagsfall kan hemlighållas även för den enskilde själv. Bestämmelsen anger att sekretessen enligt 25 kap. 1–5 §§ offentlighets- och sekretesslagen gäller i förhållande till den vård- eller behandlingsbehövande själv för uppgift om hans eller hennes hälsotillstånd, om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne.19 Syftet med bestämmelsen är i första hand att hindra en patient, under de förutsättningar som i övrigt

18Prop. 2007/08:126 s. 46.

19Detsamma gäller i fråga om sekretess enligt 25 kap. 17 a § offentlighets- och sekretesslagen om uppgiften om hälsotillståndet avser ordinationsorsak i den nationella läkemedelslistan enligt lagen om nationell läkemedelslista.

53

Patientens elektroniska tillgång till sina patientuppgifter

SOU 2021:39

gäller enligt paragrafen, från att ta del av sin patientjournal. Mot- svarande tystnadsplikt gäller för hälso- och sjukvårdspersonal inom privat hälso- och sjukvård.20 Rekvisitet ”synnerlig vikt” innebär att uppgifter i patientjournalen kan hemlighållas för patienten endast i yttersta undantagsfall. Av rättspraxis på området följer att bestäm- melsen i 25 kap. 6 § offentlighets- och sekretesslagen har ett mycket begränsat tillämpningsområde.21

Sekretess kan även i vissa andra situationer gälla för uppgifter i patientjournal i förhållande till den enskilde för uppgifter om denne. Exempelvis gäller sekretess för uppgift i anmälan eller utsaga av en enskild om någons hälsotillstånd eller andra personliga förhållanden, i förhållande till den som anmälan eller utsagan avser, om det kan antas att fara uppkommer för att den som har lämnat uppgiften eller någon närstående till denne utsätts för våld eller lider annat allvarligt men om uppgiften röjs (25 kap. 7 § OSL). Sekretess gäller även om uppgiften hänför sig till förundersökning i brottmål eller till ange- lägenhet som avser användning av tvångsmedel i sådant mål eller i annan verksamhet för att förebygga brott, om det kan antas att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas om uppgiften röjs (18 kap. 1 § OSL). Den senare bestämmelsen kan exempelvis aktualiseras i förundersök- ningar om barnmisshandel. Vårdnadshavare kan då med hänvisning till sekretess nekas att få tillgång till sin egen eller sitt barns vård- dokumentation.

4.9Patientens rätt att medge annan tillgång till sina patientuppgifter

När det gäller ombuds möjlighet att ta del av uppgifter i patient- journal, är en första förutsättning att den enskilde efterger sekretessen så att den inte gäller i förhållande till ombudet. I 12 kap. offentlighets- och sekretesslagen finns bestämmelser om den enskildes möjlighet att efterge (häva) sekretess som gäller till skydd för honom eller henne.

Eftersom sekretess, som redogjorts för ovan, i regel inte gäller i förhållande till den enskilde själv, kan den enskilde disponera över sina uppgifter. I detta ligger att den enskilde kan välja om den vill att

20Prop. 1979/80:2 Del A s. 179.

21Se t.ex. RÅ82 Ab 47 och RÅ83 Ab 132.

54

SOU 2021:39

Patientens elektroniska tillgång till sina patientuppgifter

någon utomstående ska få del av uppgifterna. I offentlighets- och sekretesslagen finns en bestämmelse om undantag från sekretess när den enskilde samtycker till det (10 kap. 1 § OSL). Bestämmelsen anger att sekretess till skydd för en enskild inte hindrar att en uppgift lämnas till en annan enskild eller till en myndighet, om den enskilde samtycker till det, samt att detta följer av 12 kap. och gäller med de begränsningar som anges där. Av 12 kap. 2 § offentlighets- och sekretesslagen följer att en enskild helt eller delvis kan häva sekre- tessen som gäller till skydd för honom eller henne, om inte annat anges i offentlighets- och sekretesslagen. En patient kan således medge att en annan person får tillgång till uppgifterna i dennes patient- journal, och på så vis häva sekretessen, om det inte finns någon bestämmelse om sekretess som hindrar detta.

För uppgift i patientjournal som omfattas av sekretess med stöd av

25 kap. 1 § offentlighets- och sekretesslagen finns som ovan nämnts ett undantag från huvudregeln att den enskilde har rätt att ta del av dessa och själv förfoga över uppgifterna (se 25 kap. 6 § OSL). Denna bestämmelse utgör ett snävt begränsat undantag från huvudregeln om att den till vars förmån en sekretessbestämmelse gäller själv har rätt att förfoga över sekretessen. Bestämmelsen innebär dock inte att patienten berövas sin rätt att medge att uppgift, dvs. i första hand patientjournalen, lämnas till annan. Medgivande att lämna uppgiften till annan, exempelvis till ett ombud, kan alltså lämnas, även om situationen skulle vara sådan att den enskilde själv inte vet vilka upp- gifter medgivandet omfattar.22

I förarbetena till sekretesslagstiftningen anges att det i och för sig är tänkbart att en enskild, som begär att få uppgifter om sig själv eller medger att en sekretessbelagd uppgift om honom eller henne lämnas till någon annan, kan vara offer för påtryckningar från utomstående. Trots detta har det inte ansetts komma i fråga att annat än i rena undantagsfall genom särskilda föreskrifter frånkänna hans eller hennes samtycke rättsverkan (jfr RÅ 1991 not. 167). Att en myn- dighet under hänvisning till den enskildes bästa vägrar att beakta dennes samtycke till utlämnande kan enligt förarbetena i längden medföra större skadeverkningar genom den osäkerhetskänsla som skapas hos den enskilde och den rubbning av förtroendet till myndig- heterna som mestadels blir följden. Det framhålls dock att en myndig-

22Prop. 1979/80:2 Del A s. 179 och RÅ 1991 not. 167.

55

Patientens elektroniska tillgång till sina patientuppgifter

SOU 2021:39

het givetvis inte behöver ta hänsyn till ett samtycke som efter vad som framgår saknar giltighet som rättshandling enligt allmänna regler.23

JO har uttalat att eftersom hälso- och sjukvårdssekretessen i de flesta fall inte gäller mot patienten själv och sekretessen kan efterges av denne, följer att patienten kan låta någon annan ta del av journal- handlingar som rör denne. Något krav på att patienten först själv tar del av sin journal har inte uppställts i sekretesslagstiftningen. För att en myndighet som har vården om journalhandlingarna ska vara säker på att den som åberopar patientens medgivande att få ta del av jour- nalen verkligen har ett sådant medgivande krävs som regel att veder- börande kan visa upp en skriftlig fullmakt från patienten. Det bör dock framhållas att sekretesslagstiftningen inte innehåller några formföreskrifter i detta hänseende.24

JO:s uttalande avsåg den då gällande sekretesslagen (1980:100). Inte heller i den nu gällande offentlighets- och sekretesslagen har det tagits in några formkrav för hur ett medgivande till att någon annan får ta del av uppgifter ska lämnas. Det ska tilläggas att genom för- valtningslagen (2017:900) har det införts vissa behörighetsregler för ombud (14 och 15 §§ förvaltningslagen). Av bestämmelserna följer att det inte finns något krav på att visa upp en fullmakt när en enskild anlitar ett ombud i ett ärende vid myndighet. En myndighet får dock begära att ett ombud ska styrka sin behörighet genom en skriftlig eller muntlig fullmakt (15 § första stycket förvaltningslagen).

Det finns inget hinder mot att ett medgivande ges i förväg, med tanke på en kommande situation. Exempelvis kan man tänka sig situationen att en patient i förväg, inför en vistelse på sjukhus, med- ger att en anhörig får ta del av tillkommande uppgifter i patientjour- nalen, t.ex. genom att lämna in en skriftlig fullmakt. I förhållande till myndigheten kan dock ett sådant samtycke alltid återkallas. Ett samtycke får emellertid inte ges ett så generellt innehåll att den en- skilde allmänt förklarar sig avstå från sekretessen hos en viss myndighet eller tjänsteman. Om en enskild uppmanas att lämna ett mer eller mindre generellt samtycke, kan omständigheterna vara sådana att samtycket inte bör tillerkännas rättslig giltighet.25

23Prop. 1979/80:2 Del A s. 329.

24JO 1983/84 s. 238 (dnr 2705-1982), angående krav på medgivande från patienter vid utläm- nande av deras patientjournal.

25Eva Lenberg m.fl., Offentlighets- och sekretesslagen, kommentar till 12 kap. 2 § offentlighets- och sekretesslagen, JUNO version:22.

56

SOU 2021:39

Patientens elektroniska tillgång till sina patientuppgifter

I praktiken hanteras utlämnanden till ombud i dag antingen genom att det antecknas i patientens patientjournal att muntligt samtycke till utlämnande har lämnats eller genom att ett skriftligt samtycke (ofta benämnt fullmakt) tas in i patientjournalen. Därefter lämnas patientjournalen ut enligt vårdgivarens rutiner för utläm- nande av patientjournal. Av patientdatalagen följer att om en jour- nalhandling eller en avskrift eller kopia av handlingen har lämnats ut till någon, ska det dokumenteras i patientjournalen vem som har fått handlingen, avskriften eller kopian och när denna har lämnats ut. Detta gäller dock inte utlämnande genom direktåtkomst (3 kap. 11 § PDL). Av Socialstyrelsens föreskrifter och allmänna råd om journal- föring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40) följer att vårdgivaren ska säkerställa att en patient- journal, i förekommande fall, innehåller uppgifter om samtycken och återkallade samtycken (5 kap. 5 § 9). Hur den närmare hanteringen av samtycken eller fullmakter går till kan variera beroende på omständig- heterna i det enskilda fallet och vårdgivarens interna rutiner.

När det gäller privat hälso- och sjukvård innebär patientens med- givande till att någon annan får del av uppgifter givetvis att det inte är obehörigt att göra sådana utlämnanden som patienten gått med på. Tystnadsplikten inom den privata hälso- och sjukvården hindrar alltså inte att uppgifter lämnas ut med patientens medgivande.

4.10Sekretess och möjligheten att medge annan tillgång till patientuppgifter för patienter som har legala ställföreträdare

4.10.1Barn och deras vårdnadshavare

Om den enskilde är ett barn26 gäller sekretess till skydd för barnet även i förhållande till dennes vårdnadshavare (12 kap. 3 § OSL). Sekretessen gäller dock inte i förhållande till vårdnadshavaren i den utsträckning denne enligt 6 kap. 11 § föräldrabalken (FB) har rätt och skyldighet att bestämma i frågor som rör barnets personliga angelägenheter, såvida det inte kan antas att barnet lider betydande men om uppgiften röjs för vårdnadshavaren, eller om det annars anges i offentlighets- och sekretesslagen. Om sekretess inte gäller i

26Med barn avses person under 18 år.

57

Patientens elektroniska tillgång till sina patientuppgifter

SOU 2021:39

förhållande till vårdnadshavaren, förfogar denne ensam eller, beroende på barnets ålder och mognad, tillsammans med barnet över sekre- tessen till skydd för barnet.

Som utgångspunkt har vårdnadshavarna rätt att ta del av sekre- tessbelagda uppgifter som rör barnet. I takt med barnets stigande ålder och mognad ska dock allt större hänsyn tas till barnets integ- ritet och barnets egna synpunkter och önskemål. När ett barn har uppnått en viss mognad och utveckling kan därför vårdnadshavarna inte längre göra anspråk på att få veta vad barnet har berättat för t.ex. en läkare eller en socialsekreterare. Någon fast åldersgräns finns inte angiven till ledning för denna bedömning utan hänsyn måste tas till barnets mognad och utveckling i övrigt. Det kan även förekomma fall där det av hänsyn till barnets bästa kan vara befogat att inte lämna ut vissa uppgifter till vårdnadshavarna även om det är fråga om ganska små barn.27

För att närmare förstå sekretessregleringen när det gäller barn och deras vårdnadshavare inom hälso- och sjukvården måste bestäm- melserna i offentlighets- och sekretesslagen ses i belysning av bestämmelserna i föräldrabalken. Ett barn står under vårdnad av båda föräldrarna eller en av dem, till dess att barnet fyller 18 år (6 kap. 2 § FB). Huvudregeln när det gäller förhållandet mellan en underårig och hans eller hennes vårdnadshavare är att vårdnads- havaren har rätt och skyldighet att bestämma i frågor som rör barnets personliga angelägenheter. Vårdnadshavaren ska dock i takt med barnets stigande ålder och utveckling ta allt större hänsyn till barnets synpunkter och önskemål (6 kap. 11 § FB).28 Om barnet har två vårdnadshavare, ska de utöva denna bestämmanderätt över barnet tillsammans. Bestämmanderätten utövas dock av den ene vårdnads- havaren ensam när den andre till följd av frånvaro, sjukdom eller annan orsak är förhindrad att ta del i beslut rörande vårdnaden som inte utan olägenhet kan uppskjutas. Beslut av ingripande betydelse för barnets framtid får dock inte fattas av den ene vårdnadshavaren ensam, om inte barnets bästa uppenbarligen kräver det (6 kap. 13 § FB).

JO har uttalat att när det gäller åtgärder inom hälso- och sjuk- vården måste det i många fall anses tillräckligt att samråd sker med

27Prop. 1981/82:186 s. 36.

28Även inom hälso- och sjukvården finns liknande regler om barns självbestämmanderätt. Exempelvis anges att om patienten är ett barn ska barnets inställning till den aktuella vården så långt som det går klarläggas och dennes inställning ska sedan tillmätas betydelse i för- hållande till barnets ålder och mognad (4 kap. 3 § patientlagen [2014:821]).

58

SOU 2021:39

Patientens elektroniska tillgång till sina patientuppgifter

den ene vårdnadshavaren. Man får utgå från att den vårdnadshavare som initierar vårdkontakten informerar den andre vårdnadshavaren. Samråd med den andre vårdnadshavaren ska dock som regel ske om det finns någon särskild anledning att misstänka att denne inte samtycker till åtgärden eller om det är fråga om mera ingripande åtgärder.29 Är vårdnadshavarna skilda, separerade eller inte har kon- takt med varandra kan antagandet att den ena vårdnadshavaren infor- merar den andra förstås bli problematiskt. JO har i ett senare ärende uttalat att vid ingripande åtgärder som förutsätter båda vårdnads- havarnas samtycke, är det inte godtagbart att förlita sig enbart på den ena vårdnadshavarens uppgifter om ett lämnat samtycke, särskilt inte om vårdnadshavarna är separerade.30

4.10.2Andra personer med ställföreträdare

En person som på grund av sjukdom, psykisk störning, försvagat hälsotillstånd eller liknande förhållande behöver hjälp med att be- vaka sin rätt, förvalta sin egendom eller sörja för sin person eller inte klarar att vårda sig eller sin egendom, kan under vissa förhållanden få en legal ställföreträdare utsedd i form av en god man respektive en förvaltare (11 kap. 4 och 7 §§ FB). Att en person har en legal ställ- företrädare innebär inte att denne saknar egen rättshandlingsför- måga, utan personen kan fortfarande företa vissa rättshandlingar på egen hand. Den legala ställföreträdaren kan dock utföra handlingar som den företrädde inte med rättslig verkan kan utföra själv. Even- tuella fullmakter som den enskilde har utfärdat före förvaltarförord- nandet förlorar sin verkan inom ramen för förvaltarskapet.31

I ett rättsfall har Högsta förvaltningsdomstolen kommit fram till att en god man kunde få ut kopior av huvudmannens deklarationer eftersom denne på grund av sitt hälsotillstånd själv varken kunde begära ut dem eller häva den sekretess som gällde till skydd för honom.32 I ett senare rättsfall har Högsta förvaltningsdomstolen prövat frågan om en förvaltare har rätt att för huvudmannens räkning ta del av uppgifter som rör ställföreträdarskapet och som omfattas av

29JO 2003/04 s. 306 (dnr 2739–2001).

30Se JO:s beslut den 27 februari 2018 (dnr 6097–2017) där vårdpersonal utgått från att barnets mamma skulle informera pappan. Informationen nådde inte pappan då föräldrarna inte hade någon kontakt med varandra.

31SOU 2004:112 s. 471 f.

32RÅ 1999 ref. 38.

59

Patientens elektroniska tillgång till sina patientuppgifter

SOU 2021:39

sekretess.33 Högsta förvaltningsdomstolen konstaterade att sekre- tessen för de aktuella uppgifterna inte gäller i förhållande till huvud- mannen själv. Huvudmannen kan också, enligt 12 kap. 2 § offentlig- hets- och sekretesslagen, häva sekretess som gäller till skydd för honom eller henne. Mot denna bakgrund fick, på motsvarande sätt som i det tidigare fallet, en förvaltare i egenskap av företrädare för en person som varken kan begära ut handlingar eller häva sekre- tessen, anses ha rätt att ta del av uppgifter som omfattas av sekretess till skydd för huvudmannen. Som förutsättning gäller att uppgif- terna rör ställföreträdarskapet och att de behövs för att förvaltaren ska kunna fullgöra uppdraget.

I detta sammanhang bör också nämnas framtidsfullmakter. En person kan ge en framtidsfullmakt åt en fysisk person att företräda denne enligt lagen (2017:310) om framtidsfullmakter. Fullmakten avser det fallet att fullmaktsgivaren på grund av sjukdom, psykisk störning, försvagat hälsotillstånd eller något liknande förhållande varaktigt och i huvudsak inte längre har förmåga att ha hand om de angelägenheter som fullmakten avser. En framtidsfullmakt får om- fatta huvudmannens ekonomiska och personliga angelägenheter (1 och 2 §§ lagen om framtidsfullmakter). Bestämmelsen om fram- tidsfullmaktens omfattning är enligt förarbetena avsedd att överens- stämma med de områden som ett godmanskap enligt 11 kap. 4 § föräldrabalken får omfatta. Till personliga angelägenheter hör bl.a. att hjälpa fullmaktsgivaren i dennes kontakter med hälso- och sjuk- vården och den sociala omsorgsverksamheten. Dock undantas åtgär- der inom hälso- och sjukvård och tandvård från fullmakthavarens behörighet. Regeringen anförde i förarbetena att någon uttömmande uppräkning av vilken hälso- och sjukvård som undantas inte kan lämnas. Det går inte heller att helt undvika att vissa gränsdragnings- problem uppstår. Regeringens utgångspunkt var dock att de begräns- ningar som anses gälla för god man och förvaltare även ska gälla för framtidsfullmaktshavare.34

33HFD 2020 ref. 50.

34Prop. 2016/17:30 s. 30 och 109 f.

60

SOU 2021:39

Patientens elektroniska tillgång till sina patientuppgifter

4.11Patienters direktåtkomst till patientuppgifter

Vårdgivare har möjlighet att ge patienter elektronisk tillgång genom direktåtkomst till sådana uppgifter om sig själv som vårdgivaren får lämna ut. Patientdatalagen anger att vårdgivare får medge en enskild direktåtkomst till sådana uppgifter om den enskilde själv som får lämnas ut till honom eller henne och som behandlas för ändamål som anges i 2 kap. 4 § första stycket 1 och 2 patientdatalagen, dvs. för vårddokumentation (5 kap. 5 § PDL35). Av samma bestämmelse framgår att den enskilde under samma förutsättningar får medges direktåtkomst till dokumentation som avses i 4 kap. 3 § första stycket första meningen patientdatalagen, dvs. uppgifter om den åtkomst som förekommit till uppgifter om patienten (logglistor). Utredningen har ingående beskrivit bestämmelsen och de förarbetsuttalanden som låg bakom införandet i avsnitt 16.13 i delbetänkandet.

Bestämmelsen är inte tvingande utan ger en möjlighet för vård- givare att, om de så önskar, ge patienter direktåtkomst till uppgifter om sig själva. Vårdgivaren kan även välja att ge direktåtkomst till endast vissa delar av patientjournalen. I dagsläget är alla regioner anslutna till 1177 Vårdguidens e-tjänster. Det finns dock regionala skillnader i hur många verksamheter inom respektive region som tillhandahåller tjänsten. Hur mycket information som patienten kan se när denne loggar in varierar också mellan de olika regionerna. Det kan noteras att eftersom bestämmelsen om patientens direktåtkomst endast utgör en möjlighet som vårdgivare får välja om de vill använda, finns det ingen rättighet för patienter att få del av sina uppgifter elek- troniskt genom direktåtkomst. Det finns således inte heller någon möjlighet för patienter att överklaga vårdgivares beslut att t.ex. lämna ut enbart viss information ur patientjournalen genom direkt- åtkomst.36 En patient som vill få ut uppgifter om sig själv, kan då i stället göra en begäran om att få ut uppgifterna som allmänna handlingar.

Högsta förvaltningsdomstolen har kommit fram till att en vård- givare enligt gällande regelverk inte ens med samtycke får ge ett ombud

35Utredningen har i delbetänkandet föreslagit att bestämmelsen i 5 kap. 5 § patientdatalagen ändras till att även omfatta annat elektroniskt utlämnande.

36Det framgår av patientdatalagen att några i lagen särskilt angivna beslut av Inspektionen för vård och omsorg får överklagas enligt patientdatalagen. Övriga beslut enligt patientdatalagen får inte överklagas (10 kap. 2 § PDL).

61

Patientens elektroniska tillgång till sina patientuppgifter

SOU 2021:39

till en enskild direktåtkomst till vårdgivarens uppgifter om den en- skilde. Rättsfallet beskrivs nedan.

HFD 2017 ref. 67 om ombuds direktåtkomst till patientjournaler

I HFD 2017 ref. 67 prövade Högsta förvaltningsdomstolen frågan om ombud kan ges direktåtkomst till patienters patientjournaler. Domstolens slutsats var att en vårdgivare som behandlar person- uppgifter med stöd av patientdatalagen inte ens med den enskildes samtycke får ge ett ombud till en enskild direktåtkomst till vård- givarens uppgifter om den enskilde.

Bakgrunden till rättsfallet var att landstinget i Uppsala (numera Region Uppsala) hade gett patienter möjlighet att digitalt ”dela” sin patientjournal med någon annan, ett ombud. Tjänsten kunde nås genom inloggning med godkänd elektronisk identifiering. I tjänsten kunde patienten välja att ”dela” sin patientjournal med ett ombud genom att ange ombudets personnummer och välja om ombudet skulle ges tillgång till hela patientjournalen eller delar av den. Om- budet fick sedan ett meddelande som ombudet kunde acceptera. Ombudet fick då direktåtkomst till uppgifterna om patienten och kunde nå dessa genom att själv logga in i Journalen med godkänd elektronisk identifiering. Funktionen var tänkt att användas exem- pelvis när en patient som ska läggas in på sjukhus vill att anhöriga ska kunna följa vad som händer.

Vid tillsyn av tjänsten förelade Datainspektionen37 landstinget att upphöra med att ge ombud direktåtkomst. Datainspektionens moti- vering var att sådan åtkomst enligt lag uttryckligen endast får ges till den enskilde själv, dvs. inte till dennes ombud. Föreläggandet över- klagades av regionen som ansåg att vårdgivaren med stöd av en sär- skild bestämmelse om samtycke i patientdatalagen fick ge ombud direktåtkomst om patienten gav sitt samtycke till det. Målet av- gjordes slutligt i Högsta förvaltningsdomstolen.

Frågan i målet var om en vårdgivare som behandlar personupp- gifter med stöd av patientdatalagen får ge ombud direktåtkomst till vårdgivarens uppgifter om en enskild under samma förutsättningar som till den enskilde själv. Högsta förvaltningsdomstolen uttalade att ordalydelsen i bestämmelsen i 5 kap. 5 § första stycket patient-

37Datainspektionen bytte den 1 januari 2021 namn till Integritetsskyddsmyndigheten.

62

SOU 2021:39

Patientens elektroniska tillgång till sina patientuppgifter

datalagen inte ger uttryck för annat än att det endast är till patienten själv som vårdgivaren får ge direktåtkomst. Inte heller finns det något i motiven som talar för att lagstiftaren med den bestämmelsen avsett att ge vårdgivaren möjlighet att lämna ut uppgifter genom direktåtkomst till någon annan än patienten.

Frågan var då om regeln om den enskildes samtycke i 2 kap. 3 § första stycket patientdatalagen kunde tillämpas. Enligt den bestäm- melsen kan en annars otillåten behandling bli tillåten, om den enskilde samtycker till det. Utgångspunkten var, enligt dåvarande 10 § personuppgiftslagen (numera artikel 6.1 i dataskyddsförord- ningen), att den enskildes uttryckliga samtycke till en viss behand- ling av personuppgifter medför att behandlingen blir tillåten. Den enskildes samtycke läkte emellertid inte brister i förhållande till de grundläggande kraven på behandlingen i dåvarande 9 § person- uppgiftslagen (numera artikel 5.1 i dataskyddsförordningen). Det finns bestämmelser i patientdatalagen som specificerar de krav som ställdes enligt personuppgiftslagen, numera dataskyddsförordningen, och som därför inte kan åsidosättas med stöd av samtycke. Det stod därmed klart att samtyckesregeln i 2 kap. 3 § första stycket patient- datalagen – trots ordalydelsen – inte kan tillämpas på alla slags regler- ingar enligt patientdatalagen.

En bestämmelse som ger vårdgivaren möjlighet att ge patienten direktåtkomst till sina journaluppgifter är, enligt Högsta förvalt- ningsdomstolens mening, inte en bestämmelse av det slag som inte kan åsidosättas med stöd av samtycke. Det var således inte av det skälet uteslutet att samtyckesregeln skulle kunna ge stöd för ett ut- lämnande till patientens ombud. Bestämmelsen om direktåtkomst i 5 kap. 5 § patientdatalagen måste dock läsas tillsammans med 4 § i samma kapitel, som föreskriver att direktåtkomst till personuppgifter endast är tillåten i den utsträckning som anges i lag eller förordning. Det finns inte några andra bestämmelser som reglerar vårdgivares möjlighet att ge enskild direktåtkomst till journaluppgifter än den i 5 kap. 5 § patientdatalagen.

Högsta förvaltningsdomstolen ansåg att det var tydligt att lagstif- taren genom 5 kap. 4 och 5 §§ patientdatalagen avsett att uttömmande reglera till vem och under vilka förutsättningar en vårdgivare får ge direktåtkomst till en enskild. I den mån detta inte är tillåtet så är det förbjudet. Enligt Högsta förvaltningsdomstolens mening kunde

63

Patientens elektroniska tillgång till sina patientuppgifter

SOU 2021:39

därför inte den generellt utformade samtyckesregeln åberopas till stöd för att åsidosätta en specialreglering av det slaget.

Datainspektionen hade alltså haft fog för att förelägga landstinget att upphöra med att ge ombud direktåtkomst till landstingets person- uppgifter om enskilda. Högsta förvaltningsdomstolen betonade att 5 kap. 4 och 5 §§ patientdatalagen är avsedda att uttömmande reglera till vem och under vilka förutsättningar en vårdgivare får ge direkt- åtkomst till en enskild. Eftersom det inte finns någon bestämmelse som medger att direktåtkomst också får ges till ett ombud, är sådan direktåtkomst således inte tillåten ens med patientens samtycke.

Efter domen stod det klart att den lagtolkning som flera regioner gjort, dvs. att patienter kunde samtycka till att dela sin patientjournal med ett ombud genom direktåtkomst, inte var tillåten. Möjligheten för patienter att dela sina elektroniska journaluppgifter med ombud upphörde och den tjänst som gjorde det möjligt stängdes.

4.12Direktåtkomst för patienter och deras ombud enligt lagen om nationell läkemedelslista

Lagen (2018:121) om nationell läkemedelslista trädde i kraft den 1 maj 2021.38 Enligt den lagen får patienten ha direktåtkomst till uppgifter om sig själv. Direktåtkomst får även ges till en annan fysisk person som patienten utsett genom en fullmakt som finns regi- strerad i den nationella läkemedelslistan (5 kap. 6 § lagen om natio- nell läkemedelslista).

Patientens direktåtkomst till uppgifter i den nationella läke- medelslistan omfattar samtliga uppgifter som är att hänföra till patienten, med undantag för uppgifter för vilka sekretess gäller enligt 25 kap. 6 § eller 12 kap. 3 § offentlighets- och sekretesslagen. Sådana uppgifter som omfattas av sekretess i förhållande till patien- ten själv får således inte lämnas ut till patienten eller dennes ombud. Samtidigt infördes bestämmelser som medför att direktåtkomst till uppgifter i den nationella läkemedelslistan får ges till en fysisk person som patienten utsett genom fullmakt som finns registrerad i den nationella läkemedelslistan. Registrering av uppgifter om fullmakter

38Lagen träder dock i kraft först den 1 maj 2023 i fråga om bestämmelserna i 7 kap. 1 § och

9kap. 1 §. Genom lagen upphävs lagen (1996:1156) om receptregister och lagen (2005:258) om läkemedelsförteckning.

64

SOU 2021:39

Patientens elektroniska tillgång till sina patientuppgifter

ska vara ett ändamål för vilket personuppgifter får behandlas i den nationella läkemedelslistan.39

När det gäller möjligheten att låta ett ombud få direktåtkomst till uppgifter i den nationella läkemedelslistan, uttalades i förarbetena att frågan inte är oproblematisk. En sådan ordning skulle kunna leda till ett obehörigt nyttjande av uppgifterna i listan. Det kan finnas en risk att patienten känner sig tvingad eller blir vilseledd till att medge direktåtkomst till uppgifter. Därtill är uppgifterna i den nationella läkemedelslistan integritetskänsliga, kanske något känsligare än registerinnehållet i det tidigare receptregistret. Regeringen ansåg dock att de integritetsrisker som finns, får vägas mot det behov som vissa patienter har av att kunna utse en person som kan hjälpa dem med det praktiska kring deras läkemedelsanvändning. Behovet kan orsakas av att patienten på grund av hög ålder eller fysiska hinder behöver hjälp med att hålla ordning på sina läkemedel. Att inte ge ombud direktåtkomst till den nationella läkemedelslistan skulle försvåra vissa patienters läkemedelshantering och även kunna leda till patientsäkerhetsrisker. Regeringen föreslog därför att den som patienten (fullmaktsgivaren) utser som ombud ska kunna ges direkt- åtkomst till uppgifter i den nationella läkemedelslistan. Med hänsyn till risken för obehörigt nyttjande av uppgifterna i listan måste dock fullmakter som avser direktåtkomst vara registrerade i den nationella läkemedelslistan och får endast avse en fysisk person. Ombudets direktåtkomst omfattar inte uppgifter för vilka sekretess gäller mot fullmaktsgivaren (dvs. patienten).40

39Prop. 2017/18:223 s.164 f.

40Prop. 2017/18:223 s. 165.

65

5 Tillgång till HOSP-registret

5.1Inledning

Ett grundläggande syfte med bestämmelserna om behörighetskrav för yrken inom hälso- och sjukvården är patientsäkerheten. Inom hälso- och sjukvården ansvarar såväl vårdgivaren som hälso- och sjukvårdspersonalen för en god och säker vård av patienten. Även patienten kan genom att vara delaktig i den egna vården göra vården säkrare. Möjligheten att försäkra sig om att personalen har rätt behörighet kan ses som ett verktyg för detta. Socialstyrelsens register över legitimerad hälso- och sjukvårdspersonal (HOSP-registret) fyller här en viktig funktion.

Idetta kapitel redovisas inledningsvis HOSP-registret och regler- ingen i förordningen (2006:196) om register över hälso- och sjuk- vårdspersonal (HOSP-förordningen). Därefter följer en redogörelse för innebörden av elektroniskt utlämnande samt avslutningsvis för sekretessregleringen av uppgifter i HOSP-registret och allmänt om sekretessbrytande bestämmelser.

5.2Behörighetskontroll av hälso- och sjukvårdspersonal

5.2.1Behörighetskrav för viss hälso- och sjukvårdspersonal

Frågor om behörighet att utöva yrken inom hälso- och sjukvården regleras särskilt. Behörighetskraven ska garantera en viss kunskaps- nivå och sådana personliga egenskaper hos yrkesutövaren att denne är förtjänt av myndigheternas och allmänhetens förtroende.1 Behörig-

1Enligt 2 kap. 17 § regeringsformen får begränsningar i rätten att driva näring eller utöva yrke införas endast för att skydda angelägna allmänna intressen och aldrig i syfte enbart att ekonomiskt gynna vissa personer eller företag.

67

Tillgång till HOSP-registret

SOU 2021:39

hetsreglerna bidrar till att samhällets mål om att hälso- och sjuk- vården ska vara av god kvalitet uppnås och till att patientens behov av trygghet i vården och behandlingen tillgodoses. En viktig skillnad mellan en examen och en legitimation är att en legitimation kan åter- kallas om den som innehar den inte längre uppfyller kraven. Legiti- mationen utgör därför det viktigaste kompetensbeviset för en yrkes- utövare inom hälso- och sjukvården. Den är en personlig behörighet och ett uttryck för att den legitimerade står under samhällets tillsyn och har godkänts för yrkesverksamhet inom det område som legiti- mationen avser. Krav på legitimation för att få utöva sitt yrke gäller flera yrkesgrupper inom hälso- och sjukvården och inom tandvården. Regleringen finns i 4 kap. patientsäkerhetslagen (2010:659), med när- mare föreskrifter i patientsäkerhetsförordningen (2010:1369).

Socialstyrelsen prövar ansökningar om legitimation, särskilt för- ordnande att utöva yrke och bevis om specialistkompetens (4 kap. 10 § patientsäkerhetslagen). Prövningen av en ansökan om legiti- mation avser dels om den sökande uppfyller de fastlagda kraven på utbildning och i förekommande fall fullgjord praktik för yrket i fråga, dels att förhållandena inte är sådana att legitimationen skulle ha återkallats enligt bestämmelserna i 8 kap. patientsäkerhetslagen om sökanden hade varit legitimerad. Sådana omständigheter är exem- pelvis om den legitimerade varit grovt oskicklig vid utövning av sitt yrke, i eller utanför yrkesutövning gjort sig skyldig till ett allvarligt brott som är ägnat att påverka förtroendet för yrkesutövaren eller på annat sätt visat sig uppenbart olämplig att utöva yrket eller på grund av sjukdom eller någon liknande omständighet inte kan utöva yrket tillfredsställande. Socialstyrelsen gör normalt ingen övrig kvalitets- eller lämplighetsbedömning av en yrkesutövare i samband med att legitimation meddelas.

5.2.2HOSP-registret

Uppgifter om de yrkesutövare som omfattas av legitimationsbestäm- melser, samt uppgifter om specialistbevis för läkare och tandläkare registreras i HOSP-registret. HOSP-registret omfattar personer som har sökt och fått legitimation för yrken inom hälso- och sjuk- vårdens område. För närvarande finns i Sverige följande 22 legiti- mationsyrken: apotekare, arbetsterapeut, audionom, barnmorska,

68

SOU 2021:39

Tillgång till HOSP-registret

biomedicinsk analytiker, dietist, fysioterapeut eller sjukgymnast, hälso- och sjukvårdskurator, kiropraktor, läkare, logoped, naprapat, optiker, ortopedingenjör, psykolog, psykoterapeut, röntgen-sjuk- sköterska, receptarie, sjukhusfysiker, sjuksköterska, tandhygienist och tandläkare.

Det huvudsakliga ändamålet för registret är att föra en aktuell förteckning över legitimerad hälso- och sjukvårdspersonal (4 § HOSP-förordningen). Uppgifterna i registret används av arbets- givare, apotek och allmänhet främst för upplysningar om sjukvårds- personalens identitet och behörighet. Dessutom utgör registerupp- gifterna nödvändigt underlag för myndigheternas tillsyn men också för statistik och prognoser över tillgången på hälso- och sjukvårds- personal. Registret syftar dock ytterst till att bidra till att upprätt- hålla en hög patientsäkerhet.

Det är en rättslig skyldighet för Socialstyrelsen att föra ett register över hälso- och sjukvårdspersonal (1 § HOSP-förordningen). Social- styrelsen är också personuppgiftsansvarig för registret (3 a § HOSP- förordningen). I registret finns uppgifter om namn, personnummer, folkbokföringsort, yrke, eventuell specialistutbildning och datum då legitimation eller specialistkompetens utfärdades samt eventuell för- skrivarkod. Registret innehåller även uppgifter om de fall där prövo- tid pågår, om en legitimation är återkallad eller om en förskrivnings- rätt är begränsad eller indragen, men registret innehåller inga upp- lysningar om pågående tillsynsärenden. Registret förs utan samtycke från de registrerade och innehåller uppgifter om närmare 480 000 yrkesutövare.

Socialstyrelsen har till utredningen uppgett att antalet förfråg- ningar om uppgifter i registret har ökat de senaste åren, vilket bl.a. beror på att bemanningsföretag gör fler periodiska kontroller än tidigare och att fler förfrågningar görs av allmänheten. Socialstyrel- sen har vidare uppgett att myndigheten i dag svarar på cirka 100 000 e-postförfrågningar per år om innehållet i HOSP-registret. Till det tillkommer cirka 750 större beställningar och cirka 8 000 telefon- samtal. Myndigheten har som mål att svara inom 72 timmar vid för- frågningar om och beställningar av uppgifter från HOSP-registret. Under år 2019 varierade dock svarstiden mellan 5 och 20 arbetsdagar. Socialstyrelsens kostnad för att besvara frågor samt förvalta och utveckla HOSP-registret uppgick samma år till 8,3 miljoner kronor, vilket var en ökning jämfört med år 2018 (7,1 miljoner kronor) och

69

Tillgång till HOSP-registret

SOU 2021:39

år 2017 (5,7 miljoner kronor). Socialstyrelsens hantering av HOSP- registret och därtill hörande frågor upptar således en inte obetydlig del av myndighetens resurser. För närvarande arbetar fem personer heltid med hantering av registret.

Behandlingen av uppgifterna i registret regleras främst i HOSP- förordningen.

5.2.3HOSP-förordningen

HOSP-förordningen reglerar, som ovan sagts, behandling av upp- gifter i HOSP-registret. Förordningen innehåller bestämmelser som kompletterar dataskyddsförordningen2. Behandling av personupp- gifter i enlighet med dataskyddsförordningen är endast tillåten om den stöder sig på minst en av de rättsliga grunder som räknas upp i artikel 6.1 i dataskyddsförordningen. Grunden för sådan behandling av personuppgifter som är nödvändig för att den personuppgifts- ansvarige ska kunna uppfylla en rättslig förpliktelse (artikel 6.1 c) eller utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e) måste fastställas i nationell rätt eller EU-rätt (artikel 6.3).

Vid behandling av personuppgifter enligt HOSP-förordningen gäller dataskyddslagen3 och föreskrifter som har meddelats i anslut- ning till den lagen, om inte annat följer av HOSP-förordningen.

IHOSP-förordningen regleras uttömmande vilka uppgifter som registret får innehålla. Av 6 § följer att registret endast får innehålla följande uppgifter:

1.namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar och kön,

2.folkbokföringsort,

3.yrke,

4.grundyrke, läroanstalt, utbildningsland och datum för utfärdande av examen,

5.specialitet,

2Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av person-uppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

3Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.

70

SOU 2021:39

Tillgång till HOSP-registret

6.datum för utfärdande av legitimation respektive bevis om specialistkompetens,

7.datum när ett tidsbegränsat behörighetsbevis enligt 6 upphör att gälla,

8.beslut om partiellt tillträde,

9.beslut om prövotid och återkallelse av legitimation,

10.förskrivarkod och omfattning av förskrivningsrätt, och

11.sådana tekniska och administrativa uppgifter som är nödvändiga för att registerändamålen ska kunna tillgodoses.

En person som är registrerad har inte rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt HOSP-förord- ningen (3 §).

Vad som avses med de första punkterna i 6 § är i regel självklart men det kan finnas anledning att närmare förklara vad som avses med punkterna 7–10.

Beslut om tidsbegränsat behörighetsbevis (punkten 7) kan vara aktu- ellt när yrkeskvalifikationerna är förvärvade i en annan stat inom EES eller i Schweiz och yrkesutövaren avser att tillfälligt utöva ett yrke i Sverige. Regleringen finns i 5 kap. patientsäkerhetsförordningen.

Beslut om partiellt tillträde (punkten 8) kan fattas i enlighet med 3 kap 8 § förordningen (2016:157) om erkännande av yrkeskvali- fikationer.4 Syftet är att kunna ge yrkesverksamma en rätt att utöva ett yrke i ett annat land även om de verksamhetsområden som om- fattas av yrket i det mottagande landet är bredare än i det land där den yrkesverksamme fått sina kvalifikationer. Ett beslut om partiellt tillträde kan vara aktuellt under vissa särskilt angivna förutsättningar och innebär att ett erkännande av yrkesutövarens yrkeskvali- fikationer begränsas till att avse tillträde till en del av ett reglerat yrke (partiellt tillträde). Om partiellt tillträde till ett yrke har beviljats, ska yrket utövas under ursprungsstatens yrkestitel. Yrkesutövaren ska vid yrkesutövningen lämna tydlig information om behörighetens räckvidd.

4Genom förordningen genomförs allmänna bestämmelser i Europaparlamentets och rådets direktiv 2005/36/EG av den 7 september 2005 om erkännande av yrkeskvalifikationer, i lydelsen enligt Europaparlamentets och rådets direktiv 2013/55/EU (yrkeskvalifikationsdirektivet).

71

Tillgång till HOSP-registret

SOU 2021:39

Beslut om prövotid och återkallelse av legitimation (punkten 9) och annan behörighet fattas av Hälso- och sjukvårdens ansvarsnämnd (HSAN). Inspektionen för vård och omsorg (IVO) har tillsyn över hälso- och sjukvårdspersonalen och utreder enskilda yrkesutövare med utgångspunkt i patientsäkerheten och de risker som kan finnas i den enskildes utövande av yrket. Om IVO efter genomförd utred- ning bedömer att det finns skäl för beslut om prövotid, återkallelse av legitimation, återkallelse av annan behörighet att utöva yrke inom hälso- och sjukvården eller begränsning i förskrivningsrätt, ska IVO anmäla detta till HSAN som därefter får fatta beslut. Närmare bestäm- melser om prövotid och återkallelse av legitimation finns i 8 kap. patientsäkerhetslagen.

Förskrivarkod (punkten 10) behöver den som ska skriva ett recept för läkemedel. Läkare, tandhygienister och tandläkare får sin person- liga förskrivarkod av Socialstyrelsen i samband med beslutet om legitimation. Sjuksköterskor och barnmorskor som har ansökt om förskrivningsrätt får sin personliga förskrivarkod efter beslut från Socialstyrelsen. Förskrivningsrätten för hjälpmedel som gäller exem- pelvis arbetsterapeut och fysioterapeut/sjukgymnast lämnas i stället lokalt av varje region eller kommun. Förskrivningsrätten kan dras in eller begränsas efter beslut av HSAN om den som innehar rätten på något sätt misskött sig eller missbrukat sin rätt på ett sätt som även- tyrar patientsäkerheten (8 kap. 10 och 11 §§ patientsäkerhetslagen). Förskrivningsrätten får också dras in eller begränsas på egen begäran.

Ändamål

Som framförts ovan är det huvudsakliga syftet med registret att föra en aktuell förteckning över all legitimerad hälso- och sjukvårds- personals behörighet. Uppgifterna i registret används främst av apotek, arbetsgivare, myndigheter och allmänhet för legitimations- kontroll och tillsyn. Dessutom utgör registeruppgifterna underlag för viss statistik och prognoser över tillgången på hälso- och sjuk- vårdspersonal.

Av 4 § HOSP-förordningen följer att personuppgifterna i registret får behandlas för att föra en aktuell förteckning över legiti- merad hälso- och sjukvårdspersonal. Personuppgifterna i registret får enligt 5 §, utöver detta, behandlas endast för att

72

SOU 2021:39

Tillgång till HOSP-registret

1.utöva tillsyn över hälso- och sjukvården och dess personal,

2.lämna uppgifter till den nationella läkemedelslistan enligt lagen (2018:1212) om nationell läkemedelslista,

3.lämna uppgifter till myndigheter och enskilda i enlighet med det som föreskrivs i annan författning eller avtal,

4.i samband med E-hälsomyndighetens behandling av person- uppgifter enligt lagen om nationell läkemedelslista lämna upp- gifter till den myndigheten för kontroll av identitet och behörighet

ifråga om förskrivare, legitimerade sjuksköterskor utan behörig- het att förskriva läkemedel, apotekare, receptarier och dietister,

5.lämna uppgifter till E-hälsomyndigheten för kontroll av för- skrivares identitet och behörighet vid expedition på öppenvårds- apotek av läkemedel och andra varor som förskrivits,

6.kontrollera hälso- och sjukvårdspersonals identitet och behörighet

isamband med tjänstetillsättning och under anställning eller upp- drag, och

7.kontrollera hälso- och sjukvårdspersonals identitet och behörighet att utfärda intyg.

De angivna ändamålen är således de enda för vilka uppgifterna i registret får behandlas. Den uttömmande regleringen innebär att principen om ändamålsbegränsning (finalitetsprincipen), som inne- bär att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (artikel 5.1 b i dataskydds- förordningen), inte är tillämplig i den meningen att vidare behand- ling av personuppgifterna inte får ske ens för ändamål som inte är oförenliga med de angivna.

I 6 kap. 5 § offentlighets- och sekretesslagen (2009:400) anges att en myndighet på begäran av en annan myndighet ska lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång. Enligt ett avgörande från Högsta förvaltningsdomstolen ska den personuppgiftsansvariga myndigheten utöver sekretessprövningen inte göra någon kontroll av förenlig- heten med finalitetsprincipen i samband med lämnande av uppgifter

73

Tillgång till HOSP-registret

SOU 2021:39

enligt 6 kap. 5 § offentlighets- och sekretesslagen.5 Av avgörandet framgår att uppgiftslämnandet också ska vara förenligt med bl.a. de grundläggande principerna för behandling av personuppgifter, exem- pelvis att uppgiftslämnandet som sådant ska omfattas av lämpliga säkerhetsåtgärder och att fler uppgifter än vad som behövs för att uppfylla mottagarens behov inte får lämnas. Det framkommer även att det ankommer på den utlämnande myndigheten att säkerställa att personuppgifterna lämnas till den mottagande myndigheten i enlig- het med tillämpliga dataskyddsregler.

Direktåtkomst

HOSP-registret är inte publikt i den meningen att den som vill få ut uppgifter ur registret måste kontakta Socialstyrelsen med begäran om att få uppgifterna utlämnade. Utlämnanden får göras på medium för automatiserad behandling om uppgifterna ska behandlas för de ändamål som anges i 4 och 5 §§, men inte genom direktåtkomst (7 § HOSP-förordningen). Några aktörer får dock ha direktåtkomst till uppgifterna i registret (7 a § HOSP-förordningen). Vid direktåt- komst är det möjligt för mottagaren att ta del av uppgifter utan att den utlämnande aktören, i detta fall Socialstyrelsen, behöver vidta någon manuell åtgärd. Direktåtkomst ger därmed förutsättningar för att arrangera utlämnanden som sker enkelt, snabbt och utan kon- tinuerlig manuell administration.

Av 7 a § HOSP-förordningen följer att IVO får ha direktåtkomst till uppgifterna i registret. Av paragrafen följer även att en offentlig vårdgivare får ha direktåtkomst till uppgifter som avses i 6 § 1, 3 och 5–10 samt att Transportstyrelsen får ha direktåtkomst till uppgifter som avses i 6 § 1, 3, 5 och 7–9.

Av 7 b § HOSP-förordningen följer att den myndighet som har medgetts direktåtkomst ansvarar för att tillgången till personupp- gifter begränsas till vad varje användare behöver för att kunna fullgöra sina arbetsuppgifter. Det framgår vidare att direktåtkomst inte får medges innan Socialstyrelsen har försäkrat sig om att behörighets-

5HFD 2021 ref. 10. Region Stockholm begärde med stöd av bestämmelsen om uppgifts- skyldighet mellan myndigheter, 6 kap. 5 § offentlighets- och sekretesslagen, att Social- styrelsen till regionen skulle lämna vissa personuppgifter från HOSP-registret. I målet upp- kom frågan om ett sådant uppgiftslämnande är förenligt med den s.k. finalitetsprincipen enligt dataskyddsförordningen och om vilken prövning som ska göras då en myndighet begär att få ta del av personuppgifter med stöd av bestämmelsen.

74

SOU 2021:39

Tillgång till HOSP-registret

och säkerhetsfrågorna är lösta på ett sätt som är tillfredsställande ur integritetssynpunkt.

Genom en ändring i HOSP-förordningen, som trädde i kraft den 1 augusti 2013, fick den då nyinrättade myndigheten IVO direkt- åtkomst till uppgifter registret för sin tillsyn över hälso- och sjuk- vården och dess personal. I enlighet med Utredningen om rätt infor- mation i vård och omsorgs förslag i delbetänkandet SOU 2012:42 medgavs också vårdgivare, men bara offentliga vårdgivare och inte alla som förslaget avsåg, och Transportstyrelsen direktåtkomst till HOSP-registret. Det finns skäl att här kort redovisa de främsta motiven till detta.

IVO:s främsta arbetsuppgift är att svara för tillsyn och tillstånds- prövning inom hälso-och sjukvård, socialtjänst och verksamhet enligt lagen (1993:387) om stöd och service till vissa funktions- hindrade. Myndigheten, som inrättades den 1 juni 2013, ansågs ha behov av direktåtkomst till samtliga uppgifter i HOSP-registret.

Vårdgivare6 har ansvaret för att det finns rätt kompetens i verk- samheten men också för att hälso- och sjukvårdspersonalen har rätt behörighet för sina arbetsuppgifter7 och för åtkomst till patient- uppgifter i exempelvis journalsystemen. Bestämmelser om vård- givarens ansvar för detta finns bl.a. i patientsäkerhetslagen och, när det gäller tilldelning av behörighet för åtkomst av personuppgifter, i patientdatalagen (2008:355). Det är alltså nödvändigt att en vård- givare i egenskap av arbetsgivare lätt och regelbundet kan kontrollera yrkesutövarens kompetens och behörighet; både i samband med rekrytering och under löpande anställning för att kunna säkerställa att den anlitade är behörig att utöva sina arbetsuppgifter och ta del av integritetskänsliga patientuppgifter. Utredningen om rätt infor- mation i vård och omsorg föreslog därför i sitt delbetänkande8 att vårdgivare skulle ges direktåtkomst till i princip samtliga uppgifter i registret och att ändamålsbestämmelserna skulle ändras på så sätt att uppgifterna i HOSP-registret får användas för att kontrollera behörig- heten såväl vid rekrytering som under pågående anställning. Förslaget

6Med vårdgivare avses statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård, begreppet definieras bl.a. i 1 kap. 3 § patientsäkerhetslagen (2010:659) och i 1 kap. 3 § patientdatalagen. Med offentlig vårdgivare avses statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för.

7Se prop. 2009/10:210 Patientsäkerhet och tillsyn, s. 206.

8SOU 2012:42, s. 11.

75

Tillgång till HOSP-registret

SOU 2021:39

avsåg att ge alla vårdgivare möjlighet att själva direkt mot registret kontrollera yrkesutövares behörighet. I dag har dock endast offent- liga vårdgivare möjlighet att ha direktåtkomst till registret. Det ansågs krävas mer omfattande lagändringar om det skulle bli möjligt att erbjuda privata vårdgivare samma förutsättningar. Möjligheten omfattar direktåtkomst till flera av uppgifterna i registret men inte till uppgift om folkbokföringsort, grundyrke, läroanstalt, utbild- ningsland eller datum för utfärdande av examen.

Transportstyrelsen kontrollerar att den som utfärdat ett synintyg för körkort är legitimerad optiker. Denna kontroll gjordes innan direktåtkomst blev möjlig genom att Socialstyrelsen regelbundet lämnade ut uppgifter till Transportstyrelsen på medium för auto- matiserad behandling (filöverföring). Enligt Transportstyrelsen han- terades år 2012 omkring 270 000 synintyg per år. För att möjliggöra ett säkrare utlämnande och även höja kvaliteten på uppgifterna som ligger till grund för behörighetskontroll av intyg föreslog Utredningen om rätt information i vård och omsorg att Transportstyrelsen skulle få ha direktåtkomst till vissa uppgifter i HOSP-registret. Utred- ningen angav också att det inte kunde bortses ifrån att den dåvarande omfattande manuella hanteringen av personuppgifter i själva verket kunde utföras säkrare genom direktåtkomst och därmed även gagna de registrerades personliga integritet.

I avsnitt 5.3.3 redogörs för de sekretessbrytande bestämmelser som finns i HOSP-förordningen.

5.2.4Tidigare utredning om direktåtkomst till HOSP-registret

Utredningen om rätt information i vård och omsorg hade som del- uppdrag att analysera förutsättningarna för att på internet eller genom elektronisk direktåtkomst öka tillgängligheten till vissa personuppgifter i HOSP-registret och föreslog i delbetänkandet Bättre behörighetskontroll – Ändringar i förordningen (2006:196) om register över hälso- och sjukvårdspersonal (SOU 2012:42) bl.a. att Socialstyrelsen skulle få erbjuda allmänheten direktåtkomst till ett begränsat antal uppgifter i registret genom t.ex. internetpublicering.

76

SOU 2021:39

Tillgång till HOSP-registret

Utredningen föreslog även direktåtkomst för vårdgivare, Apotekens Service AB (numera E-hälsomyndigheten9) och Transportstyrelsen.

Av remissvaren på det delbetänkandet framgår bl.a. att förslagen om direktåtkomst för vissa aktörer mottogs i huvudsak positivt men att det skulle kunna finnas ytterligare aktörer med behov av direkt- åtkomst. Socialstyrelsen föreslog därför i sitt remissvar att myndig- heten skulle ges möjlighet att medge direktåtkomst till andra myn- digheter som har behov av uppgifter i sin verksamhet och vars syfte med användningen av uppgifterna överensstämmer med registrets ändamål enligt HOSP-förordningen. En majoritet av remissinstan- serna såg också ett behov av ett publikt register. Dock ansåg de flesta remissinstanserna att även uppgifter om behörighetsinskränkningar borde göras tillgängliga via direktåtkomst för allmänheten, vilket inte var en del av utredningens förslag. Alla remissinstanser var dock inte positiva till förslagen, främst förslaget om att skapa en direkt- åtkomst till registret för allmänheten kritiserades.10 Skälen som angavs var bl.a. att allmänheten inte skulle vara särskilt hjälpt av sökresul- taten, att hälso- och sjukvårdspersonal riskerar att uppfattas som olämpliga utifrån sökresultat och att förslaget skulle kunna ge all- mänheten uppfattningen att patienten ansvarar för att säkerställa att behandlande hälso- och sjukvårdspersonal är behöriga och lämpliga.

Till följd av utredningen gjordes som ovan nämnts vissa ändringar i HOSP-förordningen. Dock medgavs endast offentliga vårdgivare direktåtkomst, Apotekens Service AB medgavs ingen direktåtkomst, och inte heller förslaget om ett publikt register eller internetpubli- cering ledde till någon ändring.

5.2.5Regleringen i några andra länder

Utredningen har inte för avsikt att närmare redogöra för regleringen i andra länder av tillgången till uppgifter om hälso- och sjukhus- personals behörighet. Utredningen om rätt information i vård och omsorg redovisade kortfattat i delbetänkandet Bättre behörighets- kontroll – Ändringar i förordningen (2006:196) om register över hälso- och sjukvårdspersonal (SOU 2012:42) den grundläggande regleringen

9E-hälsomyndigheten bildades den 1 januari 2014, genom en ombildning av Apotekens Service AB.

10Se t.ex. remissvar från Sveriges Tandläkarförbund, Tandvårds- och läkemedelsförmåns- verket och Falu kommun.

77

Tillgång till HOSP-registret

SOU 2021:39

i frågan i de nordiska länderna samt mycket kortfattat för regleringen i Storbritannien, Irland och Nederländerna.11 Sammanfattningsvis konstaterades att samtliga nordiska länder förutom Sverige har någon form av publika register över legitimerad hälso- och sjuk- vårdspersonal. Det kan dock vara av intresse att här redovisa något om vilka olika sökkriterier som används i de nordiska ländernas sök- system. I Finland kan man söka med hjälp av personens namn eller registreringsnummer, i Norge är sökkriterierna antingen ett särskilt norskt HPR-nummer eller ett norskt personnummer. I Danmark och Island är flera uppgifter offentligt tillgängliga på internet. Även i de andra nämnda länderna kunde konstateras att det finns olika former av publika register med uppgifter om hälso- och sjukvårds- personal.

5.2.6Regleringen för några andra yrkesregister – en kort jämförelse

Förutom register för yrken med behörighetskrav och legitimation inom hälso- och sjukvård finns även register för vissa andra yrken, såsom fastighetsmäklare och revisorer. Utredningen ser ett värde i att kortfattat redovisa något om dessa register i jämförande syfte.

Fastighetsmäklarregistret

Fastighetsmäklarinspektionen är en statlig myndighet som ansvarar för registrering och tillsyn av fastighetsmäklare.

Fastighetsmäklarinspektionen ska föra ett register över registrerade fastighetsmäklare och gör detta i fastighetsmäklarregistret.12 Bestäm- melser om registret finns i fastighetsmäklarförordningen (2011:668). Enligt bestämmelserna ska bl.a. följande uppgifter registreras om varje fastighetsmäklare:

namn, personnummer eller, om sådant saknas, samordnings- nummer eller födelsedatum, folkbokföringsadress eller, om sådan saknas, bostadsadress, e-postadress och telefonnummer,

11SOU 2012:42 s. 41–44.

12I Sverige fanns det år 2020 cirka 7 200 registrerade mäklare.

78

SOU 2021:39

Tillgång till HOSP-registret

i förekommande fall det företagsnamn som mäklaren driver sin verksamhet under,

eventuell arbetsgivares namn, adress och telefonnummer samt, om arbetsgivaren är en juridisk person, organisationsnummer,

typ av registrering (fullständig registrering eller registrering för hyresförmedlare),

nuvarande och tidigare ansvarsförsäkring,

datum för beslut om registrering, och

datum för beslut om avregistrering (23 §).

Det är Fastighetsmäklarinspektionen som är personuppgiftsansvarig för registret (21 §).

Fastighetsmäklarinspektionen ska dessutom enligt 26 § hålla följande uppgifter i registret tillgängliga på sin webbplats:

mäklarens namn,

mäklarens senaste registreringsdatum,

typ av registrering (fullständig registrering eller registrering som hyresförmedlare),

namn och adress till det företag som mäklaren antingen driver eller arbetar hos, och

om mäklaren har en tillfällig registrering: vilket land (medlems- stat) mäklaren är etablerad i och hur länge den tillfälliga regi- streringen gäller.

Personuppgifter i fastighetsmäklarregistret får behandlas om det behövs för prövning av en ansökan om registrering eller en under- rättelse om tillfällig verksamhet, den tillsyn som Fastighetsmäklar- inspektionen utövar över fastighetsmäklare enligt fastighetsmäklar- lagen (2011:666), och för information till allmänheten om mäklare som är eller har varit registrerade (22 §).

Personuppgifter som behandlas för ändamål som anges ovan får också behandlas för att fullgöra uppgiftslämnande som sker i överens- stämmelse med lag eller förordning. Uppgifterna får även behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna

79

Tillgång till HOSP-registret

SOU 2021:39

samlades in. Utöver detta finns bl.a. bestämmelser om vilka övriga uppgifter som får antecknas i registret i ett tillsynsärende eller för prövning av frågor om registrering (25 §). Det finns även bestäm- melser om gallring av personuppgifter i registret (27–30 §§).

Uppgifterna som tillhandahålls på Fastighetsmäklarinspektionens webbplats lagras inte på myndighetens webbplats utan tillhandahålls genom en utvecklad fråga-svarfunktion som ansluter till en utvecklad s.k. nod. Uppgifterna som tillhandahålls är därmed aktuella men genom noden kan den information som tillhandahålls begränsas.

Register för revisorer eller registrerade revisionsbolag

Revisorsinspektionen är regeringens expertmyndighet i frågor om revisorer och revision. Myndigheten utövar tillsyn över godkända och auktoriserade revisorer och registrerade revisionsföretag, samt examinerar och auktoriserar revisorer. För att vara godkänd eller auktoriserad revisor måste man uppfylla särskilda i revisorslagen (2001:883) uppställda krav avseende bl.a. utbildning, erfarenhet och redbarhet.

Revisorsinspektionen ska föra ett register över revisorer, regi- strerade revisionsbolag och revisorer från tredjeland (40 § revisors- lagen).13 Närmare bestämmelser om registret finns i främst i förord- ningen (1995:665) om revisorer, revisorsförordningen.14 Av 15 § revisorsförordningen följer att registret ska för varje revisor inne- hålla uppgifter om:

namn, registernummer och personnummer eller, om sådant sak- nas, födelsedatum,

bostadsadress och tjänsteadress, och

i förekommande fall företagsnamn, organisationsnummer, post- adress och webbplats för det registrerade revisionsbolag som revisorn utövar verksamhet i.

13Vid utgången av år 2020 fanns det cirka 3 100 kvalificerade revisorer, Revisorsinspektionen 2021, Årlig rapport 2020, s. 6, dnr 2021–0499.

14Även förordningen (2007:1077) med instruktion för Revisorsinspektionen innehåller bestäm- melser om att Revisorsinspektionen har som uppgift att föra ett register.

80

SOU 2021:39

Tillgång till HOSP-registret

Revisorsinspektionen är personuppgiftsansvarig för den behandling av personuppgifter som sker i registret (12 §).

Det framgår dessutom av 17 § att de uppgifter i registret som framgår av 15 § ska hållas tillgängliga på Revisorsinspektionens webbplats. Detta gäller dock inte uppgifterna om personnummer och bostadsadresser. Webbsidan uppdateras en gång varje dygn.

Det finns även bestämmelser om att uppgifter om revisorer eller registrerade revisionsbolag ska tas bort (gallras) ur registret så snart som möjligt efter att ett beslut om upphävande av auktorisation, godkännande eller registrering, eller meddelat beslut om avslag på ansökan om fortsatt auktorisation, godkännande eller registrering har fått laga kraft (16 §).

5.3Sekretess och sekretessbrytande reglering

5.3.1Sekretessregleringen för uppgifter i HOSP-registret

Offentlighetsprincipen ger var och en rätt att på begäran ta del av uppgifter som finns i allmänna handlingar hos svenska myndigheter. Offentlighetsprincipen får bara inskränkas om det är påkallat av hänsyn till vissa särskilt angivna intressen, såsom t.ex. skyddet för enskildas personliga förhållanden. Inskränkningar måste anges i en särskild lag eller i annan lag till vilken den lagen hänvisar (2 kap. 2 § tryckfrihetsförordningen). Den särskilda lag som avses är offentlig- hets- och sekretesslagen.

Enligt 22 kap. 1 § offentlighets- och sekretesslagen, gäller sekre- tess för uppgift om en enskilds personliga förhållanden, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs. En förutsättning för att sekretess ska gälla enligt denna bestämmelse är bl.a. att uppgiften förekommer i verksamhet som avser folkbokföringen eller annan liknande registrering av befolkningen. I den utsträckning regeringen meddelar föreskrifter om det, gäller sekretess även om uppgiften förekommer i annan verksamhet som avser registrering av en bety- dande del av befolkningen. Huvudregeln är således att uppgifterna i de register som omfattas av bestämmelsen ska vara offentliga. Endast om det av särskild anledning kan antas att ett utlämnande skulle leda till skada eller men kan uppgifter hemlighållas.

81

Tillgång till HOSP-registret

SOU 2021:39

Regeringen har i 6 § offentlighets- och sekretessförordningen (2009:641) meddelat sådana föreskrifter om sekretess i annan verk- samhet som avser registrering av en betydande del av befolkningen. Av föreskrifterna framgår att sekretess gäller bl.a. för uppgift om enskilds personliga förhållanden i HOSP-registret, om det av sär- skild anledning kan antas att den enskilde eller någon närstående lider men om uppgiften röjs. Huvudregeln är alltså att uppgifterna i HOSP-registret är offentliga. Endast om det finns särskild anled- ning att anta att ett utlämnande skulle leda till skada eller men om- fattas uppgifterna av sekretess. Sekretesskyddet för uppgifterna är följaktligen svagt och huvudregeln är att uppgifterna inte får hem- lighållas. Socialstyrelsen lämnar därför rutinmässigt ut uppgifter ur registret i enlighet med en begäran, om det inte finns särskild anled- ning att anta att ett utlämnande i det enskilda fallet skulle leda till skada eller men för den enskilde eller någon som står den enskilde nära. En sådan särskild anledning skulle kunna vara att uppgifterna kan avslöja var någon som är hotad eller förföljd bor eller uppehåller sig. I HOSP-registret finns visserligen inte uppgifter som direkt pekar ut var den registrerade bor eller uppehåller sig, såsom uppgift om bostadsadress eller arbetsplats. Däremot innehåller registret upp- gift om folkbokföringsort, vilket om inte annat kan ge en indikation om den registrerades hemvist. Det kan därför inte uteslutas att vissa uppgifter i registret kan bedömas vara sekretessbelagda i ett enskilt fall där den enskilde är hotad eller förföljd. En anledning till att göra en närmare skadebedömning kan således vara att den enskilde efter beslut av Skatteverket har fått skyddade personuppgifter, exempelvis en sekretessmarkering i folkbokföringen, och den informationen nått Socialstyrelsen.

Till skydd för förföljda personer finns dessutom en sekretess- bestämmelse för uppgift om enskilds personliga förhållanden oav- sett i vilket sammanhang uppgiften förekommer (21 kap. 3 § OSL). I bestämmelsen anges att sekretess gäller för uppgift om en enskilds bostadsadress eller annan jämförbar uppgift som kan lämna upplys- ning om var den enskilde bor stadigvarande eller tillfälligt, den en- skildes telefonnummer, e-postadress eller annan jämförbar uppgift som kan användas för att komma i kontakt med denne samt för mot- svarande uppgifter om den enskildes anhöriga, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne

82

SOU 2021:39

Tillgång till HOSP-registret

kan komma att utsättas för hot eller våld eller lida annat allvarligt men om uppgiften röjs.

Sekretess gäller vidare för personuppgift, bl.a. om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med dataskyddsförordningen eller dataskyddslagen (21 kap. 7 § OSL).

Slutligen bör det nämnas att sekretessbestämmelser till skydd för den enskilde som huvudregel inte gäller i förhållande till den enskilde själv (12 kap. 1 § OSL).

5.3.2Allmänt om sekretessbrytande bestämmelser

Sekretess gäller som huvudregel både mot enskilda och mot andra svenska myndigheter (8 kap. 1 § OSL). I vissa fall måste dock myndigheter kunna utbyta uppgifter för att kunna utföra sina arbets- uppgifter. Sekretessregleringen innehåller därför särskilda sekretess- brytande bestämmelser. Dessa har utformats efter en intresseavväg- ning mellan myndigheternas behov av att utbyta uppgifter och det intresse som den aktuella sekretessbestämmelsen avser att skydda. Definitionen av en sekretessbrytande bestämmelse är att det är en bestämmelse som innebär att en sekretessbelagd uppgift får lämnas ut under vissa förutsättningar (3 kap. 1 § OSL).

Dataskyddsregler som innebär att uppgifter får lämnas ut i en viss form, dvs. bestämmelser om utlämnande på medium för automa- tiserad behandling respektive direktåtkomst, har inte någon sekre- tessbrytande effekt i sig. Dataskyddsreglerna måste därför i många fall kompletteras med särskilda sekretessbrytande bestämmelser för att direktåtkomsten ska kunna komma till stånd.15 Det beror på att bestämmelser om direktåtkomst har en annan funktion än de sekre- tessbrytande reglerna. Sekretessbrytande regler anger i vilken mån sekretessbelagda uppgifter överhuvudtaget får lämnas från en myn- dighet till en annan. Bestämmelser om direktåtkomst tar endast sikte på formen för utlämnandet.

Om avsikten är att sekretessbelagda uppgifter under vissa förut- sättningar ska kunna lämnas ut elektroniskt till en viss myndighet eller till en enskild, måste det finnas eller införas regler som har en sekretessbrytande effekt.

15Se t.ex. prop. 2004/05:164 Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling s. 83, prop. 2009/10:85 Integritet och effektivitet i polisens brottsbekämpande verksamhet, s. 189–190 och dir. 2011:86 Integritet, effektivitet och öppenhet i en modern e-förvaltning, s. 11.

83

Tillgång till HOSP-registret

SOU 2021:39

5.3.3Sekretessbrytande bestämmelser till förmån för svenska myndigheter

Sekretessbrytande regler som gäller i förhållande till svenska myn- digheter ska införas i offentlighets- och sekretesslagen eller i lag eller förordning som den lagen hänvisar till (8 kap. 1 § OSL). Någon hän- visning till den lag eller förordning som innehåller en sekretess- brytande bestämmelse behöver dock inte tas in i offentlighets- och sekretesslagen, om bestämmelsen i fråga utformas som en uppgifts- skyldighet (se 10 kap. 28 § första stycket OSL).

Av 10 kap. 28 § offentlighets- och sekretesslagen följer att sekre- tess inte hindrar att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning. Det är inte nödvän- digt att bestämmelsen om uppgiftsskyldighet har utformats med utgångspunkt från att uppgifterna kan vara hemliga. Däremot krävs för att bestämmelsen ska beaktas att den uppfyller vissa krav på konkretion. Den kan ta sikte på utlämnande av uppgifter av ett speciellt slag, gälla en viss myndighets rätt att få del av uppgifter i allmänhet eller avse en skyldighet för en viss myndighet att lämna andra myndigheter information.16 Uppgiftsskyldighet mellan svenska myndigheter kan också följa av EU-förordningar, en sådan rättsakt jämställs med lag vid tillämpning av 10 kap. 28 § offentlighets- och sekretesslagen.17

När det gäller sekretessbrytande regler till förmån för svenska myndigheter som avser uppgifter om enskildas personliga eller ekonomiska förhållanden måste hänsyn tas till att var och en gent- emot det allmänna är skyddad mot betydande intrång i den person- liga integriteten, om det sker utan samtycke och innebär övervak- ning eller kartläggning av den enskildes personliga förhållanden (2 kap. 6 § andra stycket regeringsformen). En inskränkning i denna fri- och rättighet får endast göras i lag (2 kap. 20 § första stycket 2 regeringsformen).18 Detta innebär att en uppgiftsskyldighet i för- hållande till en svensk myndighet som omfattar uppgifter om en- skilda i vissa fall kan behöva införas på lagnivå.19

16Prop. 1979/80:2 med förslag till sekretesslag m. m, Del A s. 322.

17Se t.ex. prop. 2012/13:122 Ingripande mot marknadsmissbruk vid handel med grossistenergi- produkter, s. 42.

18Jfr dock p. 2 i övergångsbestämmelserna till SFS 2010:1408.

19Prop. 2009/10:80 En reformerad grundlag, s. 184.

84

SOU 2021:39

Tillgång till HOSP-registret

Konsekvenser av att en uppgift lämnas till en annan myndighet

Får en myndighet en sekretessreglerad uppgift från en annan myn- dighet, gäller sekretess för uppgiften hos den mottagande myndig- heten endast om sekretess följer av en primär sekretessbestämmelse som är tillämplig hos den mottagande myndigheten eller av en bestämmelse om överföring av sekretess. Motsvarande gäller om en myndighet har elektronisk tillgång till en sekretessreglerad uppgift hos en annan myndighet (7 kap. 2 § OSL). Det finns alltså inte någon generell regel om överföring av sekretess mellan myndigheter.

Det finns dock en särskild bestämmelse om överföring av sekre- tess vid elektronisk tillgång för myndigheter. Om en myndighet har elektronisk tillgång till uppgifter i en annan myndighets upptagning för automatiserad behandling och dessa uppgifter omfattas av sekre- tess hos den utlämnande myndigheten, överförs sekretessen till den mottagande myndigheten (11 kap. 4 § OSL). Med formuleringen att ”en myndighet hos en annan myndighet har elektronisk tillgång till en upptagning för automatiserad behandling” avses att upptagningen ska vara tillgänglig hos den mottagande myndigheten på ett sådant sätt som avses i 2 kap. 3 § tryckfrihetsförordningen, dvs. upptag- ningen ska vara tillgänglig med tekniskt hjälpmedel som myndig- heten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas.20 Av förarbetena framgår att bestämmelsen om överföring av sekretess endast tar sikte på direkt- åtkomstsituationer.21 Detta framgår också tydligt av 11 kap. 4 § offentlighets- och sekretesslagen och rubriken till den bestämmel- sen. Detta gäller dock inte om en sekretessbestämmelse till skydd för samma intresse redan är tillämplig på uppgifterna hos den mottagande myndigheten (11 kap. 8 § OSL). Om det finns en sekre- tessbestämmelse som är primärt tillämplig hos den mottagande myndigheten, är det således den bestämmelsen som ska tillämpas i stället för den överförda sekretessen oavsett om den primära sekre- tessen22 är starkare eller svagare än den sekundära sekretessen23. Även

20Lenberg, m.fl., Offentlighets- och Sekretesslagen, kommentaren till 11 kap 4 §, JUNO version:22.

21Prop. 2007/08:160 Utökat elektroniskt informationsutbyte, s. 164 och Lenberg, m.fl., Offentlig- hets- och Sekretesslagen, kommentaren till 11 kap 8 §, JUNO version:22.

22En bestämmelse om sekretess som en myndighet ska tillämpa på grund av att bestämmelsen riktar sig direkt till myndigheten eller omfattar en viss verksamhetstyp eller en viss ärendetyp som hanteras hos myndigheten, (3 kap. 1 § OSL).

23En bestämmelse om sekretess som en myndighet ska tillämpa på grund av en bestämmelse om överföring av sekretess (3 kap. 1 § OSL).

85

Tillgång till HOSP-registret

SOU 2021:39

uttryckliga undantag i offentlighets- och sekretesslagen från den primära sekretessbestämmelsens tillämpningsområde (se t.ex. 39 kap. 2 § 2 st. OSL) har företräde framför den överförda sekretessen. Detta innebär att det kan vara så att en uppgift som omfattas av sekretess hos den utlämnande myndigheten inte gör det hos en myndighet som har direktåtkomst till uppgiften hos den utlämnande myndigheten.

Bestämmelser med sekretessbrytande effekt i HOSP-förordningen

Som ovan nämnts behöver de sekretessbrytande bestämmelserna vara formulerade på olika sätt beroende på om avsikten är att upp- gifterna ska lämnas ut på medium för automatiserad behandling eller via direktåtkomst. I HOSP-förordningen finns sekretessbrytande bestämmelser för informationsöverföring genom direktåtkomst i 7 § c andra stycket, 7 d och 7 e §§. I dessa bestämmelser anges att IVO, Transportstyrelsen och offentliga vårdgivare har rätt att vid direktåtkomst ta del av de uppgifter som de enligt förordningen får ha direktåtkomst till i registret. Det är fråga om uppgiftsskyldig- heter, eftersom rätten att ta del av uppgifter logiskt motsvaras av en skyldighet för Socialstyrelsen att lämna ut uppgifterna. Här har uppgiftsskyldigheten alltså begränsats till att bara gälla vid direkt- åtkomst. Om Socialstyrelsen på annat sätt vill lämna ut uppgifter till dessa myndigheter, måste således en sekretessbedömning göras om det inte finns någon annan sekretessbrytande bestämmelse.

IHOSP-förordningen finns bara en generell sekretessbrytande bestämmelse, och den innebär att Socialstyrelsen på begäran av IVO ska lämna ut uppgifter för att utöva tillsyn över hälso- och sjuk- vården och dess personal (7 § c första stycket). Här krävs det alltså en begäran för att Socialstyrelsen utan hinder av sekretess ska få lämna ut uppgifter till IVO (och dessutom att inspektionen ska använda uppgifterna för att utöva tillsyn), men utlämnandet får ske på vilket sätt som helst, muntligen, på papper eller via filöverföring.

86

SOU 2021:39

Tillgång till HOSP-registret

5.3.4Sekretessbrytande bestämmelser till förmån för andra än myndigheter

Någon bestämmelse som motsvarar 10 kap. 28 § första stycket offentlighets- och sekretesslagen finns inte beträffande uppgifts- utlämnande till enskilda. Sekretessbrytande bestämmelser som gäller i förhållande till enskilda rättssubjekt som exempelvis allmänheten och privata vårdgivare kan föras in i andra lagar än offentlighets- och sekretesslagen eller i en förordning, men då måste en hänvisning till den lagen eller förordningen alltid föras in i offentlighets- och sekre- tesslagen (8 kap. 1 § OSL). Ett exempel på en sådan hänvisning är bestämmelsen i 27 kap. 7 § offentlighets- och sekretesslagen. Enligt den bestämmelsen hindrar inte viss sekretess till skydd för enskild inom verksamhet som rör skatt och tull att uppgifter lämnas till enskilda enligt vad som föreskrivs i förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet (se förordningens 5 och 7 §§).

Konsekvenser av att en uppgift lämnas till en enskild

Om en myndighet har elektronisk tillgång till uppgifter i en annan myndighets upptagning för automatiserad behandling och dessa uppgifter omfattas av sekretess hos den utlämnande myndigheten, överförs som ovan nämnts sekretessen till den mottagande myndig- heten (11 kap. 4 § OSL). Det finns dock ingen bestämmelse med motsvarande innebörd när enskilda får elektronisk tillgång till upp- gifter i en myndighets upptagning för automatiserad behandling.

Det finns dock en möjlighet att föreskriva om tystnadsplikt för de som arbetar inom mottagande privat verksamhet. Reglering av tystnadsplikt i det allmännas verksamhet finns som framgår ovan i offentlighets- och sekretesslagen. Tystnadsplikt för funktionärer inom den privata sektorn finns i allmänhet i de författningar som reglerar den verksamhet i vilken tystnadsplikten gäller. En sådan föreskrift är som regel straffsanktionerad genom 20 kap. 3 § brotts- balken, förutsatt att det inte i författningen eller på annat håll finns ett särskilt stadgat straff för åsidosättande av föreskriften. Straff- ansvaret gäller för var och en som röjer en uppgift som han eller hon har skyldighet att hemlighålla enligt lag eller annan författning.

87

Tillgång till HOSP-registret

SOU 2021:39

Som exempel på reglering om tystnadsplikt kan nämnas att för personal inom privat hälso- och sjukvård gäller tystnadsplikt enligt 6 kap. 12–14 §§ patientsäkerhetslagen. Där anges bl.a. att den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda (privata) hälso- och sjukvården inte obehörigen får röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälso- tillstånd eller andra personliga förhållanden. Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning. Med hälso- och sjukvårdspersonal avses enligt 1 kap. 4 § patientsäkerhetslagen den som har legitimation för ett yrke inom hälso- och sjukvården, personal som är verksam vid sjuk- hus och andra vårdinrättningar och som medverkar i hälso- och sjukvård av patienter, den som i annat fall vid hälso- och sjukvård av patienter biträder en legitimerad yrkesutövare, viss personal vid apotek, Giftinformationscentralen och larmcentral och sjukvårds- rådgivning. Med legitimerad yrkesutövare jämställs även den som enligt särskilt förordnande har motsvarande behörighet. Regeringen får meddela föreskrifter om att andra grupper av yrkesutövare inom hälso- och sjukvården ska omfattas av lagen.

88

ÖVERVÄGANDEN

och

FÖRSLAG

89

6Ombuds1 elektroniska tillgång2 till vård- och omsorgsuppgifter

6.1Inledning

Patientjournalen har historiskt sett främst varit ett arbetsinstrument för hälso- och sjukvårdspersonal. Patientjournalen har emellertid kommit att bli en allt viktigare källa till information för patienten. Den tekniska utvecklingen har lett till en allt högre grad av digita- lisering inom hälso- och sjukvård. Det har bl.a. blivit mycket enklare att överföra information digitalt på ett säkert sätt. I princip all doku- mentation i patientjournaler sker i dag i elektroniska journalsystem. Parallellt med den tekniska utvecklingen har fokus på patientens delaktighet i vården ökat. En grundprincip är att patienten ska kunna få insyn i och kunskap om sin hälsa och vård för att uppnå ökad delaktighet i vården.

I dag finns möjligheter att ge patienter hälsoinformation elektro- niskt, exempelvis genom e-hälsotjänster där patienten kan ta del av sin hälsodata via internet och sköta kontakter med hälso- och sjuk- vården. Genom en bestämmelse i patientdatalagen (2008:355) (för- kortad PDL) har vårdgivare en möjlighet att ge en patient direkt- åtkomst till sådana uppgifter om sig själv som vårdgivaren får lämna ut (5 kap. 5 § PDL). En nationell teknisk lösning för att ge patienter direktåtkomst till patientjournaler, baserat på bestämmelsen i patient-

1Med ombud avser utredningen en fysisk person som patienten eller omsorgsmottagaren upp- ger sig känna personligen och som patienten eller omsorgsmottagaren vill ska få elektronisk tillgång till patientuppgifter (dvs. personuppgifter som behandlas för ändamål som anges i

2kap. 4 § första stycket 1 och 2 patientdatalagen och sådan dokumentation, loggar, som avses i 4 kap. 3 § första stycket första meningen patientdatalagen) respektive vård- och omsorgs- dokumentation enligt den nya lag utredningen föreslagit i delbetänkandet SOU 2021:4.

2Med elektronisk tillgång avses direktåtkomst eller annat elektroniskt utlämnande.

91

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

SOU 2021:39

datalagen, tillhandahålls via Inera AB:s3 digitala tjänst 1177 Vård- guidens e-tjänster via tjänsten Journalen. Den som har en e-legiti- mation och tillgång till internet kan, om vårdgivarna gjort det möjligt, när som helst logga in på 1177 Vårdguidens e-tjänster på internet och få tillgång till och läsa uppgifter i sina patientjournaler.

Många människor behöver hjälp för att kunna vara delaktiga i sin vård. Ofta tar de hjälp av närstående som träder in för att stödja och hjälpa i vårdprocessen. Tidigare tillät därför vissa regioner patienten att utse ett ombud som kunde få ta del av dennes patientjournaler via internet. Patienten angav ombudets personnummer och valde om ombudet skulle ges tillgång till alla uppgifter i patientjournalerna eller bara vissa delar. Efter en dom i Högsta förvaltningsdomstolen4 fick dock den tjänsten stängas. Detta eftersom Högsta förvaltnings- domstolen bedömde att en vårdgivare, utifrån bestämmelserna i patientdatalagen, inte ens med patientens samtycke får ge ett ombud direktåtkomst till vårdgivarens uppgifter om patienten. En mer ut- förlig beskrivning av omständigheterna i rättsfallet och domstolens bedömning har getts i avsnitt 4.11.

Många patienter har emellertid behov av att kunna utse en person som kan hjälpa dem med det praktiska kring deras vårdprocesser. Behovet kan bero på att patienten på grund av ålder eller fysiska eller psykiska hinder behöver hjälp med att hålla ordning på sina sjuk- vårdsbesök, diagnoser eller läkemedel. Vissa personer kan även ha svårt att på egen hand få tillgång till digitala tjänster och med att installera exempelvis e-legitimation. Invånarnas användning av digi- tala tjänster och av 1177 Vårdguidens e-tjänster beskrivs närmare i avsnitt 4.2 och 4.3.

Lagen (2018:1212) om nationell läkemedelslista, som trädde i kraft den 1 maj 2021, innehåller bestämmelser som ger möjlighet att ge ett ombud direktåtkomst till uppgifter i den nationella läkemedelslistan (5 kap. 6 § lagen om nationell läkemedelslista).

Utredningen ska mot denna bakgrund se över möjligheterna att ge ett ombud åtkomst till patientjournalen, vilket görs i detta kapitel. Om förslag lämnas ska utredningen särskilt redogöra för hur hänsyn tagits till behovet av informationssäkerhet, rättssäkerhet samt skydd för den personliga integriteten.

3Inera AB (Inera) är ett bolag som ägs av regioner, kommuner och SKR Företag. Inera har till uppgift att koordinera och utveckla gemensamma digitala lösningar för regioner och kom- muner. Inera är personuppgiftsbiträde åt regionerna och kommunerna.

4HFD 2017 ref. 69.

92

SOU 2021:39

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

Utredningen överväger i avsnitt 6.5 på eget initiativ om det bör finnas en möjlighet att ge ombud elektronisk tillgång till den samman- hållna vård- och omsorgsdokumentation som utredningen lämnat förslag om i delbetänkandet.

6.2Integritetsanalys

6.2.1Behov av och fördelar med elektronisk tillgång för ombud inom hälso- och sjukvården

Utredningens bedömning: Det finns ett klart behov av och klara fördelar med att vårdgivare får möjlighet att, i enlighet med patientens frivilliga medgivande, ge någon utanför hälso- och sjukvården som patienten känner personligen elektronisk tillgång till patientuppgifter.

Många patienter har behov av hjälp av en annan person med det praktiska kring deras vårdprocesser. Behovet kan komma sig av att patienten på grund av ålder eller fysiska hinder behöver hjälp med att hålla ordning på sina sjukvårdsbesök, diagnoser eller läkemedel. Även personer med funktionsnedsättningar kan behöva hjälp med sina vårdprocesser. För dessa patienter skulle det i många fall vara till fördel om den hjälpande personen fick elektronisk tillgång till patientuppgifterna på ett smidigt sätt. På så vis kan patienten lättare få hjälp med att hålla ordning på mediciner, sjukvårdsbesök och diagnoser. Genom att exempelvis en närstående kan få elektronisk tillgång till patientuppgifter efter ett läkarbesök, uppstår klara för- delar för patienten. Patienten kan då få hjälp att ta vara på sina rättig- heter i hälso- och sjukvården. Detta gäller i synnerhet för en äldre patient, eller en person med funktionsnedsättning, som kan ha svårt att minnas eller själv redogöra för samtalet med läkaren. När det gäller exempelvis äldre multisjuka personer med komplexa vård- behov kan det finnas behov av att ta hjälp av en person som kan få elektronisk tillgång till patientuppgifterna för att få till stånd en ytterligare bedömning (s.k. second opinion) eller en anmälan om upplevda fel eller missförhållande.

Det kan även handla om att en patient, som annars inte behöver hjälp med hälso- och sjukvården, inför en viss konkret vårdsituation

93

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

SOU 2021:39

vill låta en närstående få insyn i patientuppgifter. Det kan t.ex. vara inför en planerad sjukhusvistelse, en operation eller ett akut in- sjuknande med inläggning på sjukhus, där patienten önskar att en närstående är behjälplig och kan hållas uppdaterad. I sådana situa- tioner kan det finnas behov av att ge en annan person smidig elek- tronisk tillgång till patientuppgifter.

Språket i patientjournaler är som huvudregel svenska. Patienter som inte kan läsa svenska, eller som har svårt att förstå den typ av medicinska uttryck och termer som används i patientjournalen, kan behöva hjälp av en närstående som förstår svenska språket för att sätta sig in uppgifterna och kunna bli mer delaktig i den egna vården.5

Önskemål om att få ge någon utanför hälso- och sjukvården som patienten känner personligen, exempelvis en närstående, elektronisk tillgång till patientuppgifter har framförts under lång tid. Patient- och anhörigorganisationer framhöll till utredningen Rätt infor- mation på rätt plats i rätt tid det positiva med att låta närstående ta del av patientens patientjournal för att på så sätt kunna hjälpa till och hålla sig uppdaterad. Det framhölls också som ett sätt för familje- medlemmar med stora geografiska avstånd mellan varandra att hålla sig uppdaterade och bevaka patientens intressen i sådant som rör hälso- och sjukvårdskontakter. Den utredningen betonade att med enkel och säker tillgång till aktuell information får närstående bättre möjligheter att bidra till ökad hälsa och livskvalitet för nära och kära. Utredningen Rätt information på rätt plats i rätt tid föreslog att det skulle anges i lag att vårdgivare enligt den enskildes anvisning får medge en annan fysisk person än den enskilde direktåtkomst till sådana uppgifter och sådan dokumentation som får lämnas ut till den enskilde genom direktåtkomst.6 Att patienter och närstående ser ett behov av att låta närstående få elektronisk tillgång till patientupp- gifter bekräftas även av en förstudie i projektet Din journal på nätet.7

Att det finns ett stort intresse för att låta anhöriga få elektronisk tillgång till patientuppgifter visas också av att Inera tidigare hade en ombudsfunktion som användes i relativt stor omfattning. Efter att tjänsten stängts hörde bl.a. anhöriga till personer med funktions- nedsättningar som använt ombudsfunktionen av sig till Inera och uttryckte sin besvikelse över att funktionen togs bort.

5Se dock avsnitt 6.4.4 för utredningens bedömning om yrkesverksamma tolkar.

6SOU 2014:23 s. 911 f.

7Din journal på nätet – förstudien (Inera, 2011).

94

SOU 2021:39

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

Genom en smidig elektronisk tillgång till patientuppgifter kan man öka patienters delaktighet i vården. Som ett led i detta finns det fördelar med att låta patienter själva få disponera över vilka utanför hälso- och sjukvården som kan få elektronisk tillgång till patient- uppgifter. Därmed kan den som har svårt att använda sin egen möjlighet till elektronisk tillgång ändå, via någon annan, bli mer delaktig i sin vård. Det är särskilt viktigt för vissa grupper, exempel- vis äldre och personer med funktionsnedsättningar, som kan ha särskilda svårigheter att använda sig av digitala e-hälsotjänster. Även för den som själv kan använda digitala e-hälsotjänster kan det öka delaktigheten i vården om det blir möjligt att ta hjälp av en annan person som kan ges elektronisk tillgång till patientuppgifterna. På så vis skapas bättre förutsättningar för att patienter som så vill kan diskutera sin hälsa och vård med andra personer.

I förarbetena till bestämmelsen om patientens direktåtkomst i patientdatalagen uttalade regeringen att patienter genom bestäm- melser i bl.a. hälso- och sjukvårdslagen har getts rätt till information, delaktighet och medinflytande. Att ge patienter direktåtkomst till sina patientuppgifter bidrar till deras möjligheter att på ett bättre sätt aktivt delta i sin vård. Patienterna skulle t.ex. bli mer informerade om sitt hälsotillstånd. Vidare skulle de kunna kontrollera att upp- gifter som de lämnat till hälso- och sjukvårdspersonalen uppfattats på ett korrekt sätt. De skulle även kunna titta på resultat från prov- tagningar, vilket framför allt skulle spara tid för patienter som det regelbundet tas prover på och som ständigt behöver övervaka sitt sjukdomsförlopp. Av samma skäl ansåg regeringen att det också skulle vara tillåtet för vårdgivare att ge sina patienter direktåtkomst till logglistor som avser elektronisk åtkomst till uppgifter om dem.8

Argumenten för att underlätta patientens möjligheter till insyn och delaktighet i vården genom att ge patienten direktåtkomst, gör sig enligt utredningen gällande även när det gäller möjligheten för vårdgivare att, i enlighet med patientens medgivande, ge någon utanför hälso- och sjukvården som patienten känner personligen elektronisk tillgång till patientuppgifter. Ur ett patient- och när- ståendeperspektiv finns det klara fördelar med att närstående kan få elektronisk tillgång till patientuppgifter. Exempelvis ökar möjlig- heten för vuxna barn att bistå sina åldrade föräldrar och för anhöriga

8Prop. 2007/08:126 s. 158 f.

95

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

SOU 2021:39

till personer med funktionsnedsättningar att hjälpa dem att ha insyn i vården.

Det ligger också i linje med de övergripande politiska önskemålen om ökad elektronisk tillgång till patientuppgifter och ökad delaktig- het för patienter att tillåta elektronisk tillgång för anhöriga så att de bättre kan stödja sina nära inom vårdprocesser. Utvecklingen av e- hälsotjänster är dessutom prioriterade aktiviteter i genomförande- planen för Vision e-hälsa 2025.9

Den ökade användningen av e-hälsotjänster, särskilt till följd av covid-19-pandemin, visar att invånarna både vill och har ett behov av att använda e-hälsotjänster såsom elektronisk tillgång till sina patientjournaler. Utbudet av e-hälsotjänster, och allmänhetens för- väntningar på tillgång till sådana, kommer sannolikt att fortsätta öka. För att uppnå visionen om jämlik vård och ökad digital tillgäng- lighet, är det angeläget att skapa legala förutsättningar som under- lättar för personer som av olika anledningar kan ha svårigheter att använda e-hälsotjänster att vara delaktiga.

En grundläggande förutsättning för att hälso- och sjukvård ska kunna ges på lika villkor är att den är tillgänglig för alla. Samma sak gäller digital offentlig service. Lagen (2018:1937) om tillgänglighet till digital offentlig service syftar till att ingen ska hindras från att använda digital service på grund av funktionsnedsättning. Lagen omfattar även privata aktörer som yrkesmässigt bedriver hälso- och sjukvård som till någon del är offentligt finansierad. När hälso- och sjukvård blir mer digitalt tillgänglig blir det allt viktigare att säker- ställa att fördelarna med e-hälsa kommer till nytta för alla.

En anledning till att människor hamnar i vad som brukar kallas digitalt utanförskap är att den digitala servicen inte är tillräckligt behovsanpassad, vilket leder till exkludering av personer med sär- skilda behov. E-hälsotjänster kan öka förutsättningarna att anpassa vården utifrån olika patienters behov. E-hälsomyndigheten har kon- staterat att digitaliseringen kan bidra till en ökad jämlikhet genom att vården blir mer tillgänglig och kommer närmare invånarna. Samtidigt kan digitaliseringen skapa nya hinder och utanförskap om inte till- gänglighetsaspekten finns med vid utveckling och utformning av produkter och tjänster (se avsnitt 4.2).10 Att patienter som av olika

9Regeringskansliet och SKR (2020), En strategi för genomförande av Vision e-hälsa 2025. Nästa steg på vägen 2020–2022.

10E-hälsomyndighetens fokusrapport Jämlik e-hälsa Tillgång, fördelning och användning av e-hälsotjänster och välfärdsteknik (dnr 2020/05075 2020-11-23) s. 15 f.

96

SOU 2021:39

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

skäl har svårt att själva hantera digitala e-hälsotjänster har möjlighet att medge att någon utanför hälso- och sjukvården som patienten känner personligen får elektronisk tillgång, och därmed enklare kan hjälpa dem, skulle öka förutsättningarna för en jämlik och tillgänglig digital vård.

Lagen om nationella läkemedelslista ger möjlighet för patienter att utse ombud som ges direktåtkomst till läkemedelsuppgifter om patienten. Det framstår som fördelaktigt och i konsekvens med detta att det också är möjligt att med patientens medgivande ge elektro- nisk tillgång till andra patientuppgifter.

Möjligheten för vårdgivare att, i enlighet med patientens med- givande, ge någon utanför hälso- och sjukvården som patienten känner personligen elektronisk tillgång till patientuppgifter skulle samman- fattningsvis sannolikt leda till en större delaktighet i vården för patienter som riskerar ett digitalt utanförskap. Det skulle därmed bidra till en mer jämlik vård. Även för den som själv kan använda sin elektroniska tillgång kan det öka delaktigheten i vården och möjlig- heten att ta till vara sina rättigheter om det blir enklare för personer utanför hälso- och sjukvården som patienten vill diskutera sin hälsa och vård med att få tillgång till patientuppgifter. Närstående med egen elektronisk tillgång till patientuppgifter skulle inte behöva oroa sig för att de missat väsentliga uppgifter om patientens hälsa och vård och skulle kunna känna att de kan bistå patienten på ett infor- merat sätt.

6.2.2Integritetsrisker och andra nackdelar med elektronisk tillgång för ombud inom hälso- och sjukvården

Utredningens bedömning: Det finns vissa risker med att vård- givare får möjlighet att, i enlighet med patientens frivilliga med- givande, ge någon utanför hälso- och sjukvården som patienten känner personligen elektronisk tillgång till patientuppgifter.

Fördelarna med att vårdgivare får möjlighet att, i enlighet med patientens frivilliga medgivande, ge någon utanför hälso- och sjuk- vården som patienten känner personligen elektronisk tillgång till patientuppgifter måste vägas mot de risker och eventuella andra nackdelar som detta kan medföra. Det kan handla om risker för den

97

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

SOU 2021:39

personliga integriteten. Det kan även finnas risker för missbruk av patientuppgifterna eller för att uppgifterna används på ett sätt som inte är önskvärt.

En risk är att någon mot patientens egentliga vilja bereder sig in- syn i patientuppgifter. Detta skulle kunna ske med hot eller genom någon form av påtryckning. Ett skäl som anfördes i förarbetena mot att ge patienter direktåtkomst till sina journaluppgifter var just risken för att patienten utsätts för påtryckningar från t.ex. anhöriga eller blivande arbetsgivare att visa dem uppgifterna. Regeringen anförde då att det naturligtvis inte går att helt bortse från risken att några patienter kan komma utsättas för sådana påtryckningar. Sam- tidigt påpekade regeringen att en sådan risk ändå redan fanns. En person kunde t.ex. förmå en anhörig att ge honom eller henne full- makt att begära ut journaluppgifter beträffande denne.11 Det skulle kunna finnas risk att anhöriga eller andra utövar påtryckningar för att en patient ska medge elektronisk tillgång för att på så vis bereda sig tillgång till patientuppgifter. Vidare kan man tänka sig situationer där kontrollerande anhöriga som inte i alla avseenden har patientens bästa för ögonen får del av patientuppgifter. Det kan handla om en förövare av våld i nära relationer, en vårdnadshavare som vill ha kon- troll i en s.k. hederskontext eller en kontrollerande partner. Dessa skulle då kunna använda den elektroniska tillgången till patient- uppgifter för att bevaka och kontrollera patienten och kanske utsätta denne för något negativt på grund av uppgifterna. På motsvarande sätt som regeringen anfört i äldre förarbeten, konstaterar dock utredningen att så kan ske redan i dag genom att någon förmår en patient att använda patientens egen elektroniska tillgång i den andres närvaro. Alternativt kan någon i dag bereda sig tillgång till patientens e-legitimation eller förmå patienten att lämna en fullmakt att få till- gång till patientuppgifter muntligt eller på papper.

Förutom kontrollerande närstående finns andra som kan ha ett intresse av att få elektronisk tillgång till patientuppgifter på ett sätt som inte rimligen bör tillåtas. Ett försäkringsbolag kan ha intresse av att få elektronisk tillgång till patientjournaler t.ex. som ett villkor för att ingå ett försäkringsavtal. Ett försäkringsbolag får bara i vissa i försäkringsavtalslagen (2005:104) angivna fall, med patientens sam- tycke, bereda sig tillgång till uppgifter om enskild persons hälsotill- stånd. Försäkringsbolagens tillgång har begränsats med hänsyn till

11Prop. 2007/08:126 s. 159.

98

SOU 2021:39

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

integritetsskyddsskäl och för att förhindra förtroendebrister för deras verksamhet.12 Det finns även andra jämförbara situationer där elektronisk tillgång till patientuppgifter inte rimligen bör tillåtas. En arbetsgivare skulle t.ex. kunna begära att få elektronisk tillgång till patientuppgifter om arbetssökande och arbetstagare. Även andra rent kommersiella aktörer skulle kunna ha ett intresse av patient- uppgifter och därmed vilja begära att patienten medger elektronisk tillgång.

Man kan även tänka sig att hälso- och sjukvårdspersonal (utan aktuell patientrelation) och forskare kan ha intresse av att få elektro- nisk tillgång till patientuppgifter för att på så vis kunna löpande ta del av patientuppgifterna utan att använda sig av det vanliga regel- verket. Det finns i dessa fall en risk för att den elektroniska till- gången används för att kringgå andra regelverk, t.ex. bestämmelserna om sammanhållen journalföring i patientdatalagen eller krav på s.k. etikgodkännande enligt lagen (2003:460) om etikprövning av forsk- ning som avser människor, på ett sätt som inte bör tillåtas eller under- lättas. Det har också framförts farhågor om att personer genom egen elektronisk tillgång till patientuppgifter kan få information om att en patient använder narkotiska preparat och sedan tillskansar sig dessa. En annan risk är att den som medgetts elektronisk tillgång får del av mer information än vad patienten egentligen vill. En ytter- ligare faktor att beakta är att den fysiska person som medges elek- tronisk tillgång till patientuppgifter normalt sett inte omfattas av någon tystnadsplikt. Därmed kan det finnas risk för att uppgifterna sprids på ett sätt som inte är förenligt med integritetsskyddet.

Om patienten vill medge någon annan elektronisk tillgång, måste personuppgifter om denne registreras av vårdgivaren. Utredningen har svårt att se att behandlingen av personuppgifter om den som patienten vill medge elektronisk tillgång kan leda till några beaktans- värda integritetsrisker som inte motverkas på ett fullgott sätt genom bestämmelserna i dataskyddsförordningen om bl.a. de registrerades rättigheter.

12Prop. 2009/10:241 s. 20 ff.

99

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

SOU 2021:39

6.2.3Finns det användbara alternativ till elektronisk tillgång för ombud inom hälso- och sjukvården?

Man kan fråga sig om att införa en möjlighet till just egen elektronisk tillgång till patientuppgifter är den lämpligaste lösningen för att när- stående till patienter ska kunna stödja och hjälpa till i vården. Redan i dag förekommer det sannolikt att patienter som själva har svårt att använda e-hälsotjänster ber anhöriga om hjälp och ”lånar ut” sin e- legitimation. På så vis kan patienten genom den närståendes försorg ta del av exempelvis Journalen digitalt. E-legitimationen är dock en personlig tjänst för att legitimera sig digitalt. Det är inte tänkt att den ska användas av andra. Det framstår inte som tillfredsställande att vissa patienter ska vara hänvisade till att, förmodligen i strid med villkoren för användning av e-legitimationen, låta andra logga in med patientens e-legitimation. Genom att låta den närstående logga in med patientens e-legitimation kan denne kanske dessutom få till- gång till fler e-tjänster på 1177 Vårdguiden än vad patienten önskar. Att patienter kan låna ut sin e-legitimation framstår därför, av flera skäl, inte som ett gott alternativ.

En annan möjlighet som står till buds i dag är t.ex. att patienten kan medge att en anhörig hos vårdgivaren får ta del av patient- uppgifter på papper eller får muntlig information från denne. I sådana fall torde vårdgivaren regelmässigt – om det inte finns skäl att ifrågasätta riktigheten av det lämnade medgivandet – lämna ut kopior av patientuppgifterna till den anhörige enligt interna rutiner för att lämna ut handlingar, exempelvis i form av papperskopior. På så vis kan den anhörige alltså ta del av patientuppgifter. Detta för- farande är dock administrativt krångligare än elektronisk tillgång. Därtill innebär det en fördröjning i tid då den anhörige måste fram- ställa en formell begäran till vårdgivaren för att därefter få ut hand- lingarna. Till skillnad från vid användning av tjänsten Journalen på 1177 Vårdguiden måste man då ofta vända sig till respektive sjukhus, klinik eller vårdinrättning för att kunna ta del av alla patientuppgifter hos vårdgivaren. Genom den elektroniska tillgången kan man på ett smidigare sätt få överblick över patientuppgifter från olika aktörer inom hälso- och sjukvården. En annan stor fördel är att den som fått elektronisk tillgång själv fortlöpande kan ta del av nya patient- uppgifter så länge patienten vill det.

100

SOU 2021:39

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

Det finns vissa möjligheter för legala ställföreträdare att ta del av sina huvudmäns patientuppgifter elektroniskt. Inera har en funktion i tjänsten Journalen som används för olika former av legala ställ- företrädare, däribland gode män och förvaltare, under förutsättning att förordnandet anses omfatta att ta del av patientuppgifter. Det förefaller dock finnas oklarheter och osäkerhet kring vad ställföre- trädarskapet omfattar och i vilken mån ställföreträdaren har rätt att ta del av patientuppgifter.13 Alldeles oavsett finns det många perso- ner som inte behöver legala ställföreträdare, utan vars behov är just att kunna ta hjälp av en närstående med vårdkontakter och tillgång till patientuppgifter.

Sedan 2017 finns lagen (2017:310) om framtidsfullmakter enligt vilken en enskild kan utse någon som får företräda denne för det fall han eller hon på grund av sjukdom, psykisk störning, försvagat hälsotillstånd eller något liknande förhållande varaktigt och i huvud- sak inte längre har förmåga att ha hand om de angelägenheter som fullmakten avser. Framtidsfullmakten avser alltså det förhållandet att fullmaktsgivaren i en situation som uppstår längre fram, i fram- tiden, inte längre kan sköta sina angelägenheter. Framtidsfullmakten kan omfatta huvudmannens ekonomiska och personliga angelägen- heter. Till personliga angelägenheter hör bl.a. att hjälpa fullmakts- givaren i dennes kontakter med hälso- och sjukvården. Dock undan- tas i lagen om framtidsfullmakter åtgärder inom hälso- och sjukvård eller tandvård från det område som är möjligt att överlåta till en fullmaktshavare.14 Det är utredningens bedömning att inte heller lagen om framtidsfullmakter kan användas som ett fullgott alternativ för att patienter ska kunna utse någon som får elektronisk tillgång till deras patientuppgifter.

Utredningen anser sammanfattningsvis inte att de alternativ som står till buds för att den som patienten utsett ska kunna ta del av patientuppgifter är tillfredställande. Det finns uppenbara fördelar med att vårdgivare får möjlighet att, i enlighet med patientens frivilliga medgivande, ge någon utanför hälso- och sjukvården som patienten känner personligen just elektronisk tillgång till patientuppgifter.

13Rättsläget har möjligen klarnat efter rättsfallet HFD 2020 ref. 50. Högsta förvaltnings- domstolen ansåg där att en förvaltare i egenskap av företrädare för en person, som varken kan begära ut handlingar eller häva sekretessen, under vissa förutsättningar har rätt att ta del av uppgifter som omfattas av sekretess till skydd för huvudmannen.

14Prop. 2016/17:30 s. 109 f.

101

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

SOU 2021:39

6.2.4Integritetsstärkande åtgärder

Utredningen har ovan redogjort för att det finns ett klart behov av och klara fördelar med att vårdgivare får möjlighet att, i enlighet med patientens frivilliga medgivande, ge någon utanför hälso- och sjukvården som patienten känner personligen elektronisk tillgång till patientuppgifter. Från ett integritetsperspektiv är det viktigt att möjligheten bara används i de fall som den är avsedd för så att den inte öppnar upp för vad som kan betecknas som missbruk av patient- uppgifterna. Att en vårdgivare ger någon elektronisk tillgång till patientuppgifter innebär att vårdgivaren behandlar personuppgifter i dataskyddsförordningens mening. Det är därför viktigt att de flesta allmänna principerna för behandling av personuppgifter i artikel 5.1 i dataskyddsförordningen beaktas, även om det enligt artikel 23 i dataskyddsförordningen är möjligt att i nationell rätt avvika från dessa under vissa förutsättningar.

Enligt principen om uppgiftsminimering ska personuppgifterna vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (artikel 5.1 c i dataskyddsförord- ningen). Vidare ska personuppgifterna enligt principen om integritet och konfidentialitet behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna. I detta ingår skydd mot obehörig eller otillåten behandling, med användning av lämpliga tekniska eller organisatoriska åtgärder (artikel 5.1 f i dataskyddsförordningen). Observera att det alltid är den personuppgiftsansvarige, dvs. vård- givaren, som ansvarar för och ska kunna visa att principerna i artikel 5.1 i dataskyddsförordningen efterlevs (principen om ansvars- skyldighet, artikel 5.2 i dataskyddsförordningen).

Utredningen anser att en grundförutsättning för att någon utan- för hälso- och sjukvården ska få ges elektronisk tillgång till patient- uppgifter är att detta är ett uttryck för patientens verkliga och fria vilja. Det ska således helt och hållet bygga på frivillighet från patien- tens sida att lämna ett medgivande. I förarbetena till patientdatalagen angavs att ett vanligt sätt att beskriva begreppet personlig integritet i samband med informationshantering är att den enskilde ska kunna kontrollera spridningen av uppgifter om sig själv eller ha en rätt att bestämma vilka uppgifter om sig själv som han eller hon vill dela med sig till andra.15 Utredningen gör bedömningen att patientens intresse

15Prop. 2007/08 126 s. 110.

102

SOU 2021:39

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

av självbestämmande i fråga om vilka utanför hälso- och vården som har elektronisk tillgång i sig väger tungt. Detta är också och i linje med intentionerna bakom hälso- och sjukvårdslagen i fråga om själv- bestämmande och frivillighet. Det ligger även i dataskyddsförord- ningens anda att använda den registrerades inställning till behand- lingen som en integritetsstärkande åtgärd.

Observera att enligt utredningens bedömning är samtycke inte i sig den rättsliga grunden för vårdgivarens behandling av person- uppgifter i dataskyddsförordningens mening. Den rättsliga grunden beskrivs närmare i avsnitt 6.6. När utredningen talar om patientens medgivande eller samtycke i detta sammanhang handlar det dels om samtycke till att efterge sekretesskyddet som annars gäller för upp- gifterna, dels om samtycke som en integritetsstärkande åtgärd.

För att minska risken för kringgående av regelverken om hälso- och sjukvårdspersonalens elektroniska tillgång, om forskning som innefattar behandling av känsliga personuppgifter och om för- säkringsbolags möjligheter att få tillgång till uppgifter om hälso- tillstånd bör bara fysiska personer som patienten uppger sig känna personligen, ges elektronisk tillgång till patientuppgifter. Juridiska personer, såsom kommersiella aktörer, bör således inte få ges elektro- nisk tillgång. Genom kravet på att patienten ska uppge sig känna den fysiska personen personligen motverkas i viss mån risken för att hälso- och sjukvårdspersonal, forskare, juridiska personer via bulvaner och enskilda näringsidkare ges elektronisk tillgång. Det är dock inte meningen att vårdgivaren i varje enskilt fall ska kontrollera eller godkänna personen ”på förhand”. Tanken är att patienten, genom att t.ex. kryssa i en ruta i webb-gränssnittet, uppger sig känna den fysiska personen som den vill ge elektronisk tillgång personligen. Därmed får vårdgivaren göra patientuppgifterna elektroniskt till- gängliga för den som patienten uppgett sig känna personligen.

Det är viktigt att säkerställa att ett lämnat medgivande verkligen ger uttryck för patientens fria vilja, och inte är ett utslag av exempel- vis påtryckningar. Frågan är då hur man på ett väl avvägt sätt kan säkerställa att medgivandet ger uttryck för patientens verkliga fria vilja, samtidigt som man uppnår syftet med att införa möjligheten att ge elektronisk tillgång, nämligen att underlätta för patienter att låta någon hjälpa dem i deras vårdprocesser.

I förarbetena till sekretesslagstiftningen angavs att det, trots risken för påtryckningar, inte kunde komma i fråga att annat än i

103

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

SOU 2021:39

rena undantagsfall genom särskilda föreskrifter frånkänna personens samtycke rättsverkan. Att en myndighet under hänvisning till den enskildes bästa skulle vägra att beakta dennes samtycke kan enligt förarbetena i längden medföra större skadeverkningar genom en osäkerhetskänsla hos den enskilde och den rubbning av förtroendet till myndigheterna som mestadels blir följden. I förarbetena fram- hölls dock att en myndighet givetvis inte behöver ta hänsyn till ett samtycke som efter vad som framgår saknar giltighet som rätts- handling enligt allmänna regler.16 Dessa förarbetsuttalanden måste ses mot bakgrund av den grundlagsfästa offentlighetsprincipen som sekretesslagstiftningen utgör preciserade undantag från. Att efterge (häva) sekretessen innebär att den grundlagsfästa och därmed över- ordnade offentlighetsprincipen får ett större genomslag. Om man inför en möjlighet, men ingen skyldighet, för vårdgivare att ge elek- tronisk tillgång, får vårdgivaren fritt välja om denne i det enskilda fallet vill ge sådan tillgång eller låta den fortgå. Den som fullgör offentliga förvaltningsuppgifter har dock att följa regeringsformens krav på att iaktta saklighet och opartiskhet och beakta allas likhet inför lagen. Utredningens uppdrag är som nämnts begränsat till att se över möjligheterna att ge elektronisk tillgång.

En tänkbar metod för att bedöma medgivandets frivillighet är att vårdgivaren, när en patient ger uttryck för att den önskar medge någon elektronisk tillgång, kallar patienten till någon form av besök eller samtal med legitimerad hälso- och sjukvårdspersonal för att innan den elektroniska tillgången ges, försöka utröna om ett lämnat medgivande verkligen ger uttryck för patientens fria vilja. Under förutsättning att hälso- och sjukvårdspersonalen har insyn i patientens situation och hemförhållanden skulle det kunna bidra till att man säkerställer att medgivandet är frivilligt. För en stor majori- tet av patienterna torde det dock handla om en verklig och fri vilja att medge någon elektronisk tillgång. En sådan generell förhands- kontroll, där frågor behöver ställas kring hemförhållanden och rela- tioner till närstående, skulle också i sig kunna upplevas som integ- ritetskränkande av många patienter och närstående. Det skulle även fördröja processen och öka vårdgivarens administrativa börda, vilket i sin tur skulle riskera att vårdgivare väljer att inte använda möjlig- heten att ge elektronisk tillgång. Det kan också ifrågasättas om en sådan generell förhandskontroll är ett proportionerligt medel för att

16Prop. 1979/80:2 Del A s. 329.

104

SOU 2021:39

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

uppå målet. En kontrollerande anhörig som önskar få tillgång till patientuppgifter kan, som beskrivits tidigare, redan i dag använda olika metoder för att bereda sig tillgång till uppgifterna.

Utredningen anser att vårdgivarens möjlighet till kontroll i stället bör komma till uttryck genom att hälso- och sjukvårdspersonal ska vara skyldig att till vårdgivaren genast anmäla misstankar om att patientens medgivande inte ger uttryck för dennes fria vilja. En sådan anmälan ska göras närhelst en misstanke om detta uppstår. Därmed får vårdgivaren möjlighet att utreda om misstanken är befogad och överväga om den elektroniska tillgången ska avbrytas.

På motsvarande sätt bör hälso- och sjukvårdspersonal vara skyl- dig att till vårdgivaren genast anmäla misstankar om att patienten inte känner den som getts elektronisk tillgång personligen. Därmed får vårdgivaren möjlighet att utreda om patientens uppgift om att denne känner den fysiska personen är riktig och överväga om den elektroniska tillgången ska avbrytas. Även genom kontroller av vilka fysiska personer som getts elektronisk tillgång till många olika patienters uppgifter kan vårdgivaren få indikationer på att patien- terna inte känner den som getts elektronisk tillgång personligen.

Elektronisk tillgång får enligt förslaget ges bara om patienten medger det. Det innebär en integritetsstärkande åtgärd att patienten när som helst, av vilken orsak som helst och på vilket sätt som helst kan ta tillbaka sitt medgivande med följd att vårdgivaren genast måste avsluta den elektroniska tillgången. Det kan emellertid inträffa att den som lämnat ett medgivande blir oförmögen att ta tillbaka det. För att vårdgivaren ska uppmärksamma att så har blivit fallet och kunna överväga om den elektroniska tillgången bör få fortsätta, före- slås att hälso- och sjukvårdspersonalen ska vara skyldig att anmäla misstankar om att patienten inte längre kan lämna ett medgivande, dvs. är beslutsoförmögen.17

Vårdgivaren ges genom förslaget en möjlighet att, i enlighet med patientens medgivande, ge någon utanför hälso- och sjukvården elektronisk tillgång till patientuppgifter. Det ska alltså inte vara fråga om en rättighet, för patienten eller den som patienten medgett elek- tronisk tillgång, att någon ges elektronisk tillgång. En vårdgivare kan således välja att överhuvudtaget avstå från att ge elektronisk tillgång. Vårdgivaren kan som nämnts också i ett enskilt fall neka eller avsluta

17Se avsnitt 6.4.5 om utredningens närmare överväganden när det gäller personer med varaktigt nedsatt beslutsförmåga.

105

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

SOU 2021:39

sådan tillgång, om tillgången t.ex. med anledning av en anmälan inte (längre) bedöms lämplig och det är förenligt med regeringsformens krav på saklighet och opartiskhet. En vårdgivare kan även på förhand göra bedömningen att det exempelvis inte framstår som lämpligt att ge elektronisk tillgång till vissa typer av patientuppgifter, t.ex. sådana som en psykiatrisk klinik registrerat, eller att sådan tillgång bör ges bara till patientuppgifter om äldre och personer med funktionsned- sättningar eller om personer som är inlagda på sjukhus. Under förut- sättning att kraven på saklighet och opartiskhet följs kan vårdgivare ta fram rutiner för hur tilldelning av elektronisk tillgång ska gå till och exempelvis välja att införa rutiner för vilken typ av patient- uppgifter som får omfattas av den elektroniska tillgången.

En annan farhåga med att ge någon annan elektronisk tillgång till patientuppgifter är att denne skulle komma att ta del av för mycket information, exempelvis inaktuella journalanteckningar som ligger långt bakåt i tiden. Det kan handla om exempelvis uppgifter från för- lossning, vistelser inom psykiatrisk vård eller andra känsliga upp- gifter som registrerats för länge sedan. Syftet med att införa en möjlighet att låta någon annan ha elektronisk tillgång till patient- uppgifter är, utifrån utredningens perspektiv, att kunna bistå i vården ”här och nu”. Tanken är inte att möjligheten ska användas för att kringgå sekretessbestämmelser och läsa gamla patientjournaler som inte har något att göra med patientens nuvarande situation. En integritetsstärkande åtgärd för att minimera denna risk är att patienten ska kunna begränsa den elektroniska tillgången till upp- gifter registrerade efter ett visst datum eller vid en viss vårdenhet hos vårdgivaren, t.ex. ett sjukhus, en sjukhusavdelning eller en klinik. Patienten ska kunna medge elektronisk tillgång endast till patient- uppgifter registrerade från och med ett visst datum, t.ex. den dag medgivandet lämnas eller något tidigare eller senare datum. En sådan begränsning ska patienten kunna begära, ändra eller upphäva när som helst och av vilket skäl som helst. Det är alltså patienten som ska få välja vilka patientuppgifter denne vill att någon annan ska ha elek- tronisk tillgång till. Detta framstår som förenligt med dataskydds- förordningens princip om uppgiftsminimering. Samtidigt är det förenligt med grundprincipen om att patientens fria vilja och själv- bestämmande ska respekteras.

Såvitt utredningen har förstått fanns tidigare motsvarande spärr- möjligheter i den ombudsfunktion som Inera administrerade.

106

SOU 2021:39

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

Utredningen anser dock att det bör komma till uttryck i lagen att så ska kunna ske. På så vis blir det ännu tydligare att det är patienten som förfogar över vilka uppgifter denne vill medge elektronisk till- gång till.

Förslaget innebär ingen inskränkning av principen om integritet och konfidentialitet och bestämmelserna om säkerhetsåtgärder i dataskyddsförordningen. En förutsättning för att ge elektronisk tillgång är således att den kan ske på ett säkert sätt, t.ex. genom säker inloggning med e-legitimation, säker överföring av personuppgifter, säker separation av olika patienters uppgifter så att det bara ges elek- tronisk tillgång till avsedda uppgifter och så att den som getts elektronisk tillgång under inga förhållanden kan ändra eller tillföra patientuppgifter. Tanken är alltså inte att den som getts elektronisk tillgång ska kunna vidta några aktiva åtgärder, som att boka eller avboka tider eller begära receptförnyelse för patientens räkning.

En annan integritetsstärkande åtgärd är att patienten när som helst ska kunna ta tillbaka sitt medgivande, vilket vårdgivaren får förutsättas kunna hantera på ett smidigt sätt. Exempelvis bör det kunna ske genom att patienten legitimerar sig genom att logga in på webb-tjänsten med sitt bank-id och kryssar i att behörigheten ska spärras eller liknande. Då ska omedelbart behörigheten att få elek- tronisk tillgång till patientuppgifter avslutas. Även när en patient på annat sätt kontaktar vårdgivaren och meddelar att denne inte längre vill att någon ska ha elektronisk tillgång till patientuppgifter ska detta respekteras. Några skäl behöver inte uppges. Funktionen ska alltså helt och hållet bygga på att det är frivilligt från patientens sida att låta någon ha elektronisk tillgång till patientuppgifter. Genom att patienten när som helst kan ta tillbaka sitt medgivande och häva behörigheten säkerställs att behörigheten hela tiden bygger på fri- villighet från patientens sida.

107

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

SOU 2021:39

6.2.5Avvägning mellan behov och integritetsrisker

Utredningens bedömning: Behoven av och fördelarna med att vårdgivare får möjlighet att, i enlighet med patientens frivilliga medgivande, ge någon utanför hälso- och sjukvården som patien- ten känner personligen elektronisk tillgång till patientuppgifter överväger integritetsriskerna. Detta förutsätter dock att vissa integritetsstärkande bestämmelser införs.

Rätten till skydd för den personliga integriteten är inte absolut utan kan inskränkas. Rättigheten måste förstås utifrån sin kontext i samhället och vägas mot andra grundläggande rättigheter utifrån en proportionalitetsbedömning (skäl 4 till dataskyddsförordningen). För att det ska vara motiverat att införa utvidgade möjligheter till informationsdelning måste behovet av behandlingen av person- uppgifterna väga tyngre än den enskildes intresse av skydd för den personliga integriteten. En annan aspekt av den personliga integ- riteten är att den enskildes vilja ska respekteras.

Om en patient frivilligt medger att någon som denne uppger sig känna personligen får elektronisk tillgång till patientens uppgifter, finns det enligt utredningens mening mycket som talar för att detta som utgångspunkt ska respekteras. Det ligger i linje med de grund- läggande kraven i hälso- och sjukvårdslagen (2017:30) och patient- lagen (2014:821) om att verksamheten ska bygga på respekt för patientens självbestämmande och integritet. Det är även förenligt med dataskyddsförordningen. Redan i dag godtas att hälso- och sjukvårdspersonal hos en vårdgivare med patientens samtycke ges elektronisk tillgång till patientuppgifter hos en annan vårdgivare för vården av patienten.

Att införa en möjlighet för vårdgivare att, i enlighet med patien- tens frivilliga medgivande, ge någon utanför hälso- och sjukvården som patienten känner personligen elektronisk tillgång till patient- uppgifter skulle underlätta för många patienter som utan hjälp har svårt att vara delaktiga i sin vård. Det skulle också underlätta för när- stående som vill hålla sig löpande informerade om och hjälpa till i vården av exempelvis sina gamla föräldrar. Utredningen har även fått information om att anhörigvårdare och andra närstående redan i dag hjälper sina anhöriga genom att ”låna” deras e-legitimation och där- med får elektronisk tillgång till patientuppgifter, låt vara att det i dag

108

SOU 2021:39

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

sker utan lagstöd och förmodligen står i strid med villkoren för användningen av e-legitimationen. Med en åldrande befolkning och allt större fokus på primärvård och vård i hemmet blir anhöriga en viktig resurs i vården och omsorgen. Därför anser utredningen att det finns ett stort och välmotiverat behov av att vårdgivare, i enlighet med patientens frivilliga medgivande, kan ge någon utanför hälso- och sjukvården som patienten känner personligen elektronisk till- gång till patientuppgifter.

När det gäller risken för att den som får elektronisk tillgång och som normalt sett inte omfattas av lagstadgad tystnadsplikt sprider patientuppgifterna vidare på ett sätt som patienten inte vill kan följande noteras. Patienten har redan i dag rätt att ge andra som inte har tystnadsplikt tillgång till uppgifterna muntligt eller på papper genom att efterge sekretess eller genom att själv berätta för personen. Den elektroniska användningen av personuppgifterna för obehörig vidarespridning omfattas – i praktiken hindras – normalt av data- skyddsförordningen. Detta gäller dock inte om det är fråga om sådan s.k. rent privat behandling av personuppgifter som avses i artikel 2.2 c i dataskyddsförordningen. Patienten har dock alltid möjlighet att uttryckligen avtala med den som har elektronisk tillgång om tyst- nadsplikt, och sanktioner vid brott mot tystnadsplikten, innan den elektroniska tillgången medges. Patienten har vidare i förhållande till offentliga vårdgivare, enligt 12 kap. 2 § andra stycket offentlighets- och sekretesslagen (2009:400) (OSL), möjlighet att göra sitt med- givande beroende av att hälso- och sjukvårdsmyndigheten gör ett s.k. sekretessförbehåll som vid straffansvar skapar en tystnadsplikt för mottagaren. Genom förbehållet inskränks mottagarens rätt att lämna uppgifter vidare eller utnyttja dem. Viss vidarespridning av patientuppgifter träffas vidare av straffbestämmelserna om förtal. Om en vårdgivare får reda på att patientuppgifterna obehörigt sprids, kan den elektroniska tillgången genast avbrytas. Eftersom utredningen föreslår en frivillig bestämmelse, finns det aldrig någon skyldighet för vårdgivaren att göra patientuppgifter elektroniskt tillgängliga för en annan fysisk person, oaktat om patienten begärt detta.

Enligt utredningens mening är befintlig reglering tillräcklig för att motverka en eventuell ökad risk för obehörig vidarespridning av patientuppgifter till följd av den elektroniska tillgången. Eftersom lagen om nationell läkemedelslista redan tillåter att ombud ges direktåtkomst till läkemedelsuppgifter, bedöms risken för att någon

109

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

SOU 2021:39

får information om att en patient använder narkotiska preparat och tillskansar sig dessa inte öka om vårdgivare får möjlighet att ge elektronisk tillgång till även andra patientuppgifter.

De övriga risker som finns med att ge vårdgivare möjlighet att, i enlighet med patientens frivilliga medgivande, ge någon utanför hälso- och sjukvården som patienten känner personligen elektronisk tillgång till patientuppgifter kan enligt utredningens mening på ett tillfredsställande sätt motverkas genom integritetsstärkande åtgär- der. Risken för att patientens medgivande inte är verkligen frivilligt kan motverkas genom en skyldighet för hälso- och sjukvårdsperso- nalen att till vårdgivaren genast anmäla misstankar om detta så att dessa kan utredas och den elektroniska tillgången kan avbrytas om det finns några tveksamheter. Utredningen föreslår en sådan skyl- dighet. Risken för att någon får del av patientuppgifter genom att utöva påtryckningar mot patienten kommer dessutom enligt utred- ningens bedömning sannolikt inte att öka påtagligt genom att vård- givare får möjlighet att med patientens frivilliga medgivande ge någon utanför hälso- och sjukvården elektronisk tillgång till patient- uppgifterna. Regeringen gjorde i förarbetena till sekretesslagstift- ningen, patientdatalagen och lagen om nationell läkemedelslista bedömningar som ligger i linje med detta när det gäller risken för att någon utomstående tvingar till sig tillgång till känsliga uppgifter.18

Det finns en risk för att den som lämnat ett frivilligt medgivande blir oförmögen att ta tillbaka det och att fortsatt elektronisk tillgång enligt medgivandet kan innebära ett integritetsintrång. För att vård- givaren ska uppmärksamma att patienten blivit beslutsoförmögen och kunna överväga om den elektroniska tillgången bör få fortsätta föreslås att hälso- och sjukvårdspersonalen ska vara skyldig att anmäla misstankar om att patienten inte längre kan lämna ett med- givande. Detta får enligt utredningens mening anses tillräckligt för att motverka den aktuella risken, som inte lär aktualiseras särskilt ofta. Risken för att någon genom den elektroniska tillgången kan ta del av mer information än vad patienten vill kan motverkas genom att patienten får möjlighet att begränsa den elektroniska tillgången till uppgifter registrerade efter ett visst datum eller vid en viss vård- enhet hos vårdgivaren. Utredningen föreslår att vårdgivare som ger elektronisk tillgång ska erbjuda patienten en sådan möjlighet. Risken för att den som fått elektronisk tillgång till något som registrerats

18Prop. 1979/80:2 Del A s. 329, prop. 2007/08:126 s. 159 och prop. 2017/18:223 s. 165.

110

SOU 2021:39

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

efter medgivandet som patienten inte vill att denne ska få veta mot- verkas av att patienten, om denne är förmögen till det, själv har elek- tronisk tillgång till det som registreras. Patienten har möjlighet att när som helst ta tillbaka sitt medgivande eller begränsa den elek- troniska tillgången.

Förslaget innebär ingen inskränkning av principen om integritet och konfidentialitet och bestämmelserna om säkerhetsåtgärder i dataskyddsförordningen. Dessa bestämmelser får, tillsammans med de bestämmelser om behörighetsbegränsningar, loggning och logg- kontroll som finns i patientdatalagen, anses tillräckliga för att mot- verka risker som har med säkerheten att göra.

Risken för att personer som patienten inte vill ska ha elektronisk tillgång till patientuppgifter får det kan på ett tillfredsställande sätt motverkas av bestämmelser som innebär att juridiska personer inte får ges elektronisk tillgång och att bara fysiska personer som patien- ten uppger sig känna personligen får ges elektronisk tillgång. Utred- ningen föreslår sådana bestämmelser tillsammans med bestämmelser om skyldighet för hälso- och sjukvårdspersonalen att till vårdgivaren genast anmäla misstankar om att patienten inte känner den som fått tillgång personligen. Genom dessa bestämmelser motverkas också risken för att hälso- och sjukvårdspersonal, forskare, juridiska perso- ner, via bulvaner, och enskilda näringsidkare har elektronisk tillgång på ett sätt som inte rimligen bör tillåtas. Denna risk motverkas även genom att vårdgivaren har möjlighet att kontrollera vilka fysiska personer som getts elektronisk tillgång till många patienters uppgifter.

Utredningen anser sammanfattningsvis att det finns vissa risker med att vårdgivare får möjlighet att, i enlighet med patientens med- givande, ge någon utanför hälso- och sjukvården som patienten känner personligen elektronisk tillgång till patientuppgifter. Utred- ningen anser att det också finns ett klart behov av och klara fördelar med detta. Vissa risker kan på ett tillfredsställande sätt motverkas genom befintliga bestämmelser och de integritetsstärkande åtgärder som föreslås. De kvarvarande riskerna måste vägas mot de behov som finns och de fördelar som kan uppnås. Enligt utredningens bedömning är behoven och fördelarna så stora och påtagliga att de kvarvarande riskerna får accepteras. Utredningen vill i det samman- hanget betona att förslagen helt bygger på frivillighet; vårdgivare och patienter behöver inte gå med på elektronisk tillgång och den som fått sådan tillgång behöver inte använda den. Utredningen bedömer

111

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

SOU 2021:39

således att behoven och fördelarna överväger integritetsriskerna. Utredningen föreslår därför att det ska införas bestämmelser som gör det möjligt att ge någon utanför hälso- och sjukvården som patienten känner personligen elektronisk tillgång till patientuppgifter.

6.2.6Motsvarande avvägning görs för elektronisk tillgång för ombud vid sammanhållen vård- och omsorgsdokumentation

Utredningens bedömning: Det finns behov av och fördelar med att vård- och omsorgsgivare vid sammanhållen vård- och omsorgs- dokumentation får möjlighet att, i enlighet med patientens eller omsorgsmottagarens frivilliga medgivande, ge någon utanför hälso- och sjukvården och socialtjänsten som patienten eller omsorgs- mottagaren känner personligen elektronisk tillgång till sådan dokumentation som får göras tillgänglig för patient eller omsorgs- mottagare. Behoven och fördelarna överväger integritetsriskerna. Detta förutsätter dock att vissa integritetsstärkande bestäm- melser införs.

I delbetänkandet föreslog utredningen att det ska införas s.k. sam- manhållen vård- och omsorgsdokumentation. Förslaget innebär att vård- och omsorgsgivare får göra dokumentation om patienter och omsorgsmottagare elektroniskt tillgänglig mellan sig under vissa i förutsättningar.19 Inom socialtjänsten gäller förslagen bara doku- mentation om insatser för äldre och personer med funktionsnedsätt- ningar. I sammanhållen vård- och omsorgsdokumentation kan således ingå uppgifter som dokumenterats i patientjournaler respek- tive i socialtjänstens dokumentation om enskilda omsorgsmottagare som rör insatser för äldre och personer med funktionsnedsättningar.

Utredningens uppdrag är nu att se över möjligheterna att ge ett ombud elektronisk tillgång till patientuppgifter. Sådan dokumentation som förs inom socialtjänsten omfattas därmed inte. Utredningens uppdrag har emellertid också varit att se över möjligheterna att in-

19Med omsorgsgivare avses i den föreslagna lagen myndigheter och privata företag som ansvarar för eller utför insatser för äldre eller personer med funktionsnedsättningar. Den som fått eller får sådana insatser eller som fått eller får behovet av sådana insatser bedömda kallas i lagen omsorgs- mottagare. Se kapitel 16 i delbetänkandet för utredningens förslag om sammanhållen vård- och omsorgsdokumentation.

112

SOU 2021:39

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

föra direktåtkomst, i likhet med den möjlighet som i dag ges genom sammanhållen journalföring, mellan vissa verksamheter inom social- tjänsten och hälso- och sjukvården. Utredningen föreslog därför i delbetänkandet en ny lag om sammanhållen vård- och omsorgs- dokumentation och kvalitetsuppföljning. De nuvarande bestämmel- serna i patientdatalagen om sammanhållen journalföring togs in i den föreslagna lagen.

Som utredningen betonade i delbetänkandet finns det en möjlig- het enligt 5 kap. 5 § patientdatalagen för patienter att genom direkt- åtkomst ta del av uppgifter om sig själva oavsett om vårdgivaren deltar i sammanhållen journalföring eller inte. I konsekvens med detta föreslog utredningen att den nya lagen ska innehålla en bestäm- melse som medger att en patient eller omsorgsmottagare ges till- gång, genom direktåtkomst eller annat elektroniskt utlämnande, till sådana uppgifter om personen själv som får lämnas ut till honom eller henne och som andra vård- och omsorgsgivare får ha tillgång till genom sammanhållen vård- och omsorgsdokumentation. Ett annat skäl till att införa en sådan bestämmelse i den föreslagna lagen var att en särskild bestämmelse om att en patient får ha elektronisk tillgång till sammanhållen vård- och omsorgsdokumentation om sig själv skulle göra regelverket kring sammanhållen vård- och omsorgs- dokumentation tydligare än om endast 5 kap. 5 § patientdatalagen skulle tillämpas avseende sådan tillgång. En hänvisning i lagen till 5 kap. 5 § patientdatalagen föreslogs dock av tydlighetskäl.20

I utredningens uppdrag ingår alltså att föreslå ett system med sammanhållen vård- och omsorgsdokumentation som liknar det för sammanhållen journalföring. Att överväga en motsvarande möjlig- het att, i enlighet med omsorgsmottagarens frivilliga medgivande, ge någon utanför hälso- och sjukvården och socialtjänsten som omsorgs- mottagaren känner personligen elektronisk tillgång till samman- hållen vård- och omsorgsdokumentation ligger i linje med utred- ningens uppdrag. Ett övergripande syfte med utredningens förslag är att införa en mer sammanhållen informationsöverföring inom vård och omsorg. Det skulle därför framstå som inkonsekvent att införa en möjlighet för enbart vårdgivare att, i enlighet med patientens frivilliga medgivande, ge någon utanför hälso- och sjukvården som patienten känner personligen elektronisk tillgång till patientuppgifter.

20Se utredningens delbetänkande Sammanhållen information inom vård och omsorg, (SOU 2021:4) s. 475.

113

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

SOU 2021:39

De behov och fördelar som utredningen ovan redogjort för när det handlar om att ge någon utanför hälso- och sjukvården som patienten känner personligen elektronisk tillgång till patientupp- gifter, gör sig gällande på motsvarande sätt i fråga om omsorgsgivares dokumentation i sammanhållen vård- och omsorgsdokumentation. Det ska framhållas att det är endast uppgifter om insatser för äldre och personer med funktionsnedsättningar som får ingå i systemet för sam- manhållen vård- och omsorgsdokumentation. Detta är de grupper där det enligt utredningens bedömning lär finnas störst behov av att ta hjälp av t.ex. en närstående som kan hjälpa till i kontakterna med både vården och omsorgen. När det gäller integritetsrisker och andra nackdelar samt frågan om det finns användbara alternativ till elek- tronisk tillgång gör utredningen motsvarande överväganden som ovan avseende patientuppgifter (se avsnitt 6.2.2 respektive 6.2.3). Riskerna kan vägas upp med integritetsstärkande åtgärder enligt vad utredningen angett i avsnitt 6.2.4.

Utredningen gör vid en avvägning mellan behov och integritets- risker motsvarande bedömning som i avsnitt 6.2.5. Utredningen bedömer således att behoven och fördelarna tillsammans med före- slagna integritetsstärkande åtgärder överväger integritetsriskerna. Därtill framstår det som lämpligt och i konsekvens med utredningens gjorda avvägningar att uppgifter om omsorgsmottagare som ingår i sammanhållen vård- och omsorgsdokumentation på motsvarande sätt kan få göras elektroniskt tillgängliga för en närstående fysisk person med stöd av omsorgsmottagarens medgivande. Utredningen före- slår därför att den tidigare föreslagna lagen tillförs bestämmelser som gör det möjligt att, med omsorgsmottagarens medgivande, ge någon utanför hälso- och sjukvården och socialtjänsten som omsorgs- mottagaren känner personligen elektronisk tillgång till samman- hållen vård- och omsorgsdokumentation. Vårdgivare får redan en sådan möjlighet genom den nya bestämmelse som nu föreslås i patientdatalagen. Bestämmelsen i lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning bör dock omfatta även vårdgivares möjlighet till detta, eftersom det gör regelverket kring sammanhållen vård- och omsorgsdokumentation tydligare än om endast den i patientdatalagen föreslagna bestämmelsen ska tillämpas avseende sådan tillgång. En erinran om att den nya bestämmelsen i patientdatalagen finns bör dock av tydlighetskäl finnas i lagen.

114

SOU 2021:39

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

6.2.7Konsekvensbedömning avseende dataskydd

Utredningens bedömning: Den här gjorda konsekvensbedöm- ningen avseende dataskydd uppfyller kraven i artikel 35.10 i data- skyddsförordningen. En vårdgivare eller en omsorgsgivare behöver därför i regel inte göra en egen konsekvensbedömning avseende dataskydd innan ett system för att, i enlighet med patientens eller omsorgsmottagarens medgivande, ge någon utanför hälso- och sjukvården och socialtjänsten elektronisk tillgång till patient- uppgifter och sammanhållen vård- och omsorgsdokumentation införs.

Utredningen har i sitt delbetänkande beskrivit principen om ansvars- skyldighet i artikel 5.2 i dataskyddsförordningen, som innebär att det är den personuppgiftsansvarige som ska säkerställa och kunna visa att dataskyddsförordningens grundläggande principer efterlevs. Huvud- regeln är att den personuppgiftsansvarige ska genomföra en konse- kvensbedömning avseende dataskydd före en behandling av person- uppgifter som sannolikt medför hög risk för de registrerade. Under vissa förutsättningar finns en möjlighet att genomföra en konse- kvensbedömning avseende dataskydd redan i lagstiftningsarbetet (artikel 35.10 i dataskyddsförordningen).

Utredningen har i sitt delbetänkande närmare redogjort för vilka krav som ställs på en konsekvensbedömning avseende dataskydd enligt dataskyddsförordningen samt sina bedömningar i samband med de lagförslag som där lämnades (se avsnitt 12.3.12, 13.3.5 och

14.6.6.i delbetänkandet). Utredningen kommer inte att här upprepa vad som där angetts om gällande rätt.

Utredningen bedömer att den riskanalys, med de gjorda avväg- ningarna mellan behov och integritetsrisker, som genomförs i detta kapitel i sig är en sådan konsekvensbedömning avseende dataskydd enligt artikel 35.10 i dataskyddsförordningen som görs i samband med ett lagstiftningsärende. Det innebär att en särskild konsekvens- bedömning avseende dataskydd i de allra flesta fall inte behöver göras av varje vård- och omsorgsgivare innan ett system för att, i enlighet med patientens eller omsorgsmottagarens medgivande, ge någon utanför hälso- och sjukvården och socialtjänsten elektronisk tillgång till patientuppgifter och sammanhållen vård- och omsorgs- dokumentation införs.

115

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

SOU 2021:39

I undantagsfall, t.ex. om vård- eller omsorgsgivaren vill använda teknik som inte används i dag och som kan påverka den personliga integriteten, kan det förmodligen krävas att vård- eller omsorgs- givaren gör en egen konsekvensbedömning avseende dataskydd. Det är den personuppgiftsansvarige vård- eller omsorgsgivaren som har att ta ställning till om det krävs en konsekvensbedömning avseende dataskydd i det enskilda fallet och i så fall hur eventuella risker ska kunna minimeras.

6.3Reglering i lag

Det anges i 5 kap. 4 § patientdatalagen att utlämnande genom direkt- åtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning. Något motsvarande krav på reglering i lag eller förordning vid direktåtkomst finns inte i de registerförfatt- ningar som reglerar socialtjänstens verksamhet, lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, SoLPUL, och förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten, SoLPUF. Som beskrivs närmare i delbetänkandet (se t.ex. avsnitt 3.2 i delbetänkandet) är dock riksdagen och regeringen överens om att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll bör regleras särskilt i lag. En reglering som gör det möjligt för vårdgivare och omsorgsgivare att, i enlighet med patientens eller omsorgsmottagarens medgivande, ge någon utanför hälso- och sjukvården och socialtjänsten elektronisk tillgång till patientuppgifter respektive sammanhållen vård- och omsorgs- dokumentation bör därför redan av denna anledning regleras i lag. Härtill kommer att patientens egen elektroniska tillgång redan regle- ras i lag och att den elektroniska tillgången till den egna vård- och omsorgsdokumentationen föreslagits reglerad i lag. Möjligheterna att medge någon annan elektronisk tillgång till ens uppgifter anknyter till möjligheterna att själv ha sådan tillgång.

116

SOU 2021:39

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

6.4Elektronisk tillgång för patienters ombud

Utredningens förslag: Om den enskilde medger det får en vård- givare ge en annan fysisk person, som den enskilde uppger sig känna personligen, elektronisk tillgång till sådana uppgifter som avses i 5 kap. 5 § första stycket patientdatalagen. Sådan tillgång ska på den enskildes begäran kunna begränsas till uppgifter registrerade efter ett visst datum eller vid en viss vårdenhet.

6.4.1Bakgrund

Patienters rätt till insyn och delaktighet blir allt viktigare inom hälso- och sjukvården. Som ett led i detta har möjligheten för en- skilda att ta del av sina patientuppgifter genom direktåtkomst införts i patientdatalagen (5 kap. 5 § PDL). Som beskrivits i avsnitt 6.2.1 finns det dock många patienter som har svårigheter att ta del av digital information och använda sin direktåtkomst. Dessa personer kan behöva utse en person som kan hjälpa dem med det praktiska kring deras vårdprocesser. Behovet kan komma sig av att personerna på grund av ålder eller fysiska eller psykiska hinder behöver hjälp med att hålla ordning på sina besök, diagnoser eller läkemedel.

Från och med den 1 maj 2021 finns möjlighet att ge ett ombud direktåtkomst till uppgifter om en patient i den nationella läkemedels- listan (5 kap. 6 § lagen om nationell läkemedelslista). Tidigare till- handahölls en ombudsfunktion i 1177 Vårdguidens e-tjänst Jour- nalen. Efter Högsta förvaltningsdomstolens dom i HFD 2017 ref. 67 står det dock klart att en vårdgivare som behandlar personuppgifter med stöd av patientdatalagen inte enligt gällande rätt får ge ett ombud till en enskild direktåtkomst till vårdgivarens uppgifter om den enskilde. Högsta förvaltningsdomstolen betonade att 5 kap. 4 och 5 §§ patientdatalagen är avsedda att uttömmande reglera till vem och under vilka förutsättningar en vårdgivare får ge direkt- åtkomst till en enskild. Eftersom det inte finns någon bestämmelse som medger att direktåtkomst även får ges till ett ombud, är sådan direktåtkomst inte tillåten ens med patientens samtycke. Ombuds- funktionen i Journalen fick stängas, men eftersom behovet kvarstår har utredningen fått i uppdrag att se över möjligheterna införa bestäm- melser som ger ombud åtkomst till patientjournalen.

117

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

SOU 2021:39

I avsnitt 6.2 redogör utredningen för att det finns ett klart behov av och stora fördelar med att låta vårdgivare, i enlighet med patien- tens frivilliga medgivande, ge någon utanför hälso- och sjukvården som patienten känner personligen elektronisk tillgång till patient- uppgifter. Vid en avvägning mellan behov och integritetsrisker har utredningen gjort bedömningen att behoven av och fördelarna med att vårdgivare får denna möjlighet överväger integritetsriskerna. Utredningen föreslår därför att det ska införas en bestämmelse som ger vårdgivare möjlighet att i enlighet med patientens frivilliga med- givande ge någon utanför hälso- och sjukvården som patienten känner personligen elektronisk tillgång till patientuppgifter.

Nedan redogör utredningen för hur en sådan bestämmelse bör utformas och för de rekvisit som föreslås. Det redogörs bl.a. för vilka uppgifter den elektroniska tillgången föreslås omfatta och till vem den enskilde får medge elektronisk tillgång till patientuppgifterna. En särskild fråga är vad det innebär att den enskilde lämnar ett giltigt medgivande. I anslutning till detta diskuterar utredningen vad som gäller för personer som av olika skäl har nedsatt beslutsförmåga och vad som gäller för barns medgivande. Som utredningen redogör för i avsnitt 6.2.4 behöver bestämmelsen åtföljas av vissa integritets- stärkande åtgärder, för vilka också redogörs nedan.

Utredningen gör motsvarande avvägning mellan behov och integ- ritetsrisker för elektronisk tillgång till vård- och omsorgsdoku- mentation för någon utanför hälso- och sjukvården och social- tjänsten (se avsnitt 6.2.6). Utredningen föreslår därför att det införs en särskild bestämmelse för att på motsvarande sätt som för patient- uppgifter som behandlas enligt patientdatalagen, kunna ge någon utanför hälso- och sjukvården och socialtjänsten elektronisk tillgång till sammanhållen vård- och omsorgsdokumentation. Även detta ska bygga på patientens eller omsorgsmottagarens frivilliga medgivande, och den elektroniska tillgången får ges till någon som patienten eller omsorgsmottagaren uppger sig känna personligen.

6.4.2Placeringen av den nya bestämmelsen i patientdatalagen

I 5 kap. 5 § patientdatalagen finns en bestämmelse om en patients direktåtkomst till uppgifter om sig själv. Det anges att en vårdgivare får medge en enskild direktåtkomst till sådana uppgifter om den

118

SOU 2021:39

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

enskilde själv som får lämnas ut till honom eller henne och som behandlas för ändamål som anges i 2 kap. 4 § första stycket 1 och 2 patientdatalagen (dvs. för ändamålet vårddokumentation). Den en- skilde får under samma förutsättningar medges direktåtkomst till sådan dokumentation som avses i 4 kap. 3 § första stycket första meningen (dvs. uppgifter om den åtkomst som förekommit till upp- gifter om patienten, s.k. logglistor).

Utredningen anser att det är lämpligt att den nya bestämmelsen om att vårdgivare har möjlighet att, i enlighet med patientens fri- villiga medgivande ge någon utanför hälso- och sjukvården som denne känner personligen elektronisk tillgång till patientuppgifter, placeras närmast efter 5 kap. 5 § patientdatalagen.

”Ombud” är det uttryck som i allmänhet används för att beskriva någon utanför hälso- och sjukvården som patienten har utsett och som ges elektronisk tillgång till patientuppgifter.21 Uttrycket används i lagen om nationell läkemedelslista, där rubriken till 5 kap. 6 § är ”Direktåtkomst för patient och ombud”. Utredningen anser dock inte att ordet ombud bör användas i den föreslagna bestämmelsen (se motivering i avsnitt 6.4.4). Däremot framstår det av pedagogiska skäl som lämpligt att använda ordet ”ombud” i en rubrik. Utred- ningen föreslår därför att det införs en ny rubrik med lydelsen ”Elektronisk tillgång för patienter och deras ombud” närmast före 5 kap. 5 § i patientdatalagen.

I 5 kap. 4 § patientdatalagen finns en bestämmelse om utläm- nande genom direktåtkomst. I paragrafens tredje stycke finns en upplysning som hänvisar till ytterligare bestämmelser om direkt- åtkomst i patientdatalagen. Utredningen har i delbetänkandet före- slagit att den bestämmelsen ändras bl.a. så att utlämnandet även avser annat elektroniskt utlämnande än direktåtkomst. Utredningen har även föreslagit att hänvisningarna i det tredje stycket i paragrafen ändras som en följd av de lagförslag som lämnats i övrigt om sam- manhållen vård- och omsorgsdokumentation (se kapitel 18.2.2 i del- betänkandet om följdändringar i patientdatalagen). Enligt den lydelse som föreslagits i SOU 2021:4 ska tredje stycket 5 kap. 4 § patientdatalagen upplysa om att ytterligare bestämmelser om direkt- åtkomst och annat elektroniskt utlämnande finns i 5 kap. 5 § patient- datalagen och i 2 kap. och 4 kap. 11 § i den föreslagna lagen (0000:000)

21Jfr t.ex. utredningsdirektiven (dir. 2019:37) s. 18 f, HFD 2017 ref. 67 och Ineras tidigare nämnda ombudsfunktion.

119

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

SOU 2021:39

om sammanhållen vård- och omsorgsdokumentation och kvalitetsupp- följning.

Som en följd av att utredningen nu föreslår en ny bestämmelse om direktåtkomst och annat elektroniskt utlämnande bör tredje stycket i 5 kap. 4 § patientdatalagen ändras så att det upplyses också om denna senare bestämmelse.

6.4.3Ombudet får som mest ha elektroniska tillgång till samma uppgifter som patienten

Syftet med att införa en möjlighet att, med stöd av patientens med- givande, ge någon utanför hälso- och sjukvården som patienten känner personligen elektronisk tillgång till patientuppgifter är att patienten ska kunna ta hjälp av närstående i sina vårdkontakter. Tanken är att patienten ska kunna få hjälp med att hålla ordning på läkarbesök, diagnoser, ordinationer m.m. Frågan är då vilka patient- uppgifter som ska omfattas.

En vårdgivare får enligt gällande regler medge en enskild direkt- åtkomst till sådana uppgifter om den enskilde själv som får lämnas ut till honom eller henne och som behandlas för ändamålet vård- dokumentation. Den enskilde får under samma förutsättningar med- ges direktåtkomst till sådan dokumentation som avses i 4 kap. 3 § första stycket första meningen, dvs. uppgifter om den åtkomst till uppgifter som förekommit om den enskilde (logglistor) (5 kap. 5 § och 4 kap. 3 § första stycket första meningen PDL). I förarbetena till 5 kap. 5 § första stycket patientdatalagen angavs att patienter genom bestämmelser i hälso- och sjukvårdslagen och lagen om yrkesverksamhet på hälso- och sjukvårdens område getts rätt till information, delaktighet och medinflytande. Att ge patienter direkt- åtkomst till sina patientuppgifter bidrar till deras möjligheter att på ett bättre sätt aktivt delta i sin vård. Patienterna skulle t.ex. kunna bli mer informerade om sitt hälsotillstånd. Vidare skulle de kunna kontrollera att uppgifter som de lämnat till hälso- och sjukvårds- personalen uppfattats på ett korrekt sätt. De skulle även kunna titta på resultat från provtagningar, vilket framför allt skulle spara tid för patienter som det regelbundet tas prover på och som ständigt behöver övervaka sitt sjukdomsförlopp. Direktåtkomst skulle också kunna vara ett sätt att låta patientjournalen följa patienten genom att

120

SOU 2021:39

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

denne då kan låta en vårdgivare som han eller hon besöker för första gången, ta del av uppgifterna.22

De argument som anfördes till stöd för patientens egen direkt- åtkomst gäller enligt utredningens bedömning också när det handlar om att med stöd av patientens medgivande ge en annan fysisk person utanför hälso- och sjukvården elektronisk tillgång till uppgifterna. Utredningen anser att det är lämpligt att den som patienten har utsett får ha elektronisk tillgång till de uppgifter om patienten som patienten själv får ha sådan tillgång till. På så vis ökar förutsätt- ningarna för att patienter som av olika anledningar har svårt att själva använda sig av sin elektroniska tillgång kan bli bättre informerade om sitt hälsotillstånd och ta tillvara sina rättigheter inom hälso- och sjukvården.

Utredningen redogör i avsnitt 4.9 för patientens rätt att medge någon annan tillgång till sina patientuppgifter. För uppgift i patient- journal som omfattas av hälso- och sjukvårdssekretess enligt 25 kap. 1 § offentlighets- och sekretesslagen finns ett undantag från huvud- regeln om att den enskilde har rätt att ta del av dessa och själv förfoga över uppgifterna. Bestämmelsen innebär att sekretessen gäller i för- hållande till den vård- eller behandlingsbehövande själv för uppgift om hans eller hennes hälsotillstånd, om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne (25 kap. 6 § OSL). Bestämmelsen innebär i och för sig inte att patienten berövas sin rätt att medge att uppgift lämnas till annan. Medgivande att lämna uppgiften till en annan person, skulle i och för sig kunna lämnas, även om situationen är sådan att den enskilde själv inte vet vilka uppgifter medgivandet omfattar. Sekretess kan även i vissa fall gälla i förhållande till patien- ten själv för t.ex. uppgift i en anmälan eller utsaga (25 kap. 7 § OSL) respektive för uppgifter som hänför sig till förundersökning i brott- mål (18 kap. 1 § OSL).

Utredningen anser dock inte att det är lämpligt att den som patienten utsett ska kunna få elektronisk tillgång till sådana ytterst känsliga uppgifter som omfattas av sekretess i förhållande till patien- ten och som denne därför inte får ha elektronisk eller annan tillgång till. Utredningen anser att den patienten utsett bara bör får ha elek- tronisk tillgång till sådana uppgifter om patienten som han eller hon får ha elektronisk tillgång till. Om det i undantagsfall förekommer

22Prop. 2007/08:126 s. 158.

121

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

SOU 2021:39

sådana uppgifter som omfattas av sekretess i förhållande till patien- ten, kan patienten liksom i dag göra en sedvanlig begäran om att få ta del av allmänna handlingar och då lämna sitt medgivande till att sådana uppgifter lämnas ut till den patienten utsett.

Den patienten utsett bör alltså med patientens medgivande kunna få precis samma elektroniska tillgång till uppgifter om patienten som patienten själv får ha sådan tillgång till. Det är den maximala elek- troniska tillgången som den patienten utsett får ha. Vilka uppgifter som den patienten utsett i ett enskilt fall får ha elektronisk tillgång till är också beroende av hur patientens medgivande är utformat. Patienten kan t.ex. begränsa sitt medgivande till att avse bara vissa av de uppgifter som patienten själv får ha elektronisk tillgång till. Om den patienten utsett i detta fall kommer att få någon elektronisk till- gång, lär bero bl.a. på vilka tekniska förutsättningar vårdgivaren har att hantera begränsade medgivanden. I avsnitt 6.4.7 framgår att patienten alltid ska ha möjlighet att begränsa sitt medgivande till upp- gifter registrerade efter ett visst datum eller vid en viss vårdenhet.

Patienter har varken enligt patientdatalagen eller enligt offentlig- hetsprincipen i 2 kap. tryckfrihetsförordningen, någon rätt att få elektronisk tillgång till sina patientuppgifter. Utredningens uppdrag omfattar inte att lämna förslag om en sådan rätt. Därför bör det inte komma i fråga att, indirekt, ge patienter en sådan rätt genom att ge den patienten utsett en sådan rätt.

Utredningens föreslag innebär alltså endast en möjlighet för de vårdgivare som anser att det är lämpligt, att med patientens med- givande ge elektronisk tillgång till en annan fysisk person som patienten uppger sig känna personligen. Någon skyldighet för vård- givare föreslås inte och således inte heller någon rättighet för patien- ten eller den patienten utsett i förhållande till vårdgivaren.

6.4.4Ombudet ska vara en fysisk person som patienten uppger sig känna personligen

Många patienter har behov av och önskemål om att kunna utse en person som kan hjälpa dem med det praktiska kring deras vård- processer. Det ligger i sakens natur att det ska handla om någon som patienten har förtroende för. Utredningens förslag om att en annan fysisk person ska kunna ges elektronisk tillgång till patientuppgifter

122

SOU 2021:39

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

bygger på att det är patienten själv som väljer vem den vill medge sådan tillgång.

I lagen om framtidsfullmakter finns en offentligrättsligt reglerad möjlighet för enskilda att genom fullmakt utse någon som kan ha hand om deras personliga angelägenheter om de själva skulle bli beslutsoförmögna. I förarbetena till lagen om framtidsfullmakter anges att en möjlighet att själv utse sin företrädare skapar goda förut- sättningar för en väl fungerande relation mellan den enskilde och ställ- företrädaren. Med allt fler äldre i befolkningen ökar också behovet av hjälp. Det är viktigt att samhällets resurser används på ett så effektivt och ändamålsenligt sätt som möjligt. Detta förutsätter att enskilda kan få hjälp på ett mindre ingripande sätt än att en god man eller förvaltare utses. En utgångspunkt vid samhällets insatser är att de ska bygga på respekt för enskildas integritet. Vidare ska enskilda i största möjliga utsträckning ges inflytande och medbestämmande i frågor som rör dem själva. En annan grundläggande utgångspunkt är att systemet ska vara rättssäkert och skydda enskilda mot utnyttjande. På samma sätt som gäller för vanliga fullmakter vilar framtidsfullmakter på den förutsättningen att det är den enskilde som väljer fullmakts- havare. Det förtroende som han eller hon ger fullmaktshavaren inne- bär i sig ett skydd mot att denne agerar illojalt.23

Utredningens förslag om möjlighet att ge en annan fysisk person, med stöd av patientens medgivande, elektronisk tillgång till patient- uppgifter bygger, i likhet med lagen om framtidsfullmakter, på att patienten själv väljer vem som ska utses. Det lär innebära att det är en person som denne har förtroende för, vilket i sig utgör ett skydd mot illojalt agerande.

Utredningen anser dock att det ska införas ett krav på att det är en person som den enskilde uppger att den känner personligen. Med ”känna personligen” avses någon sorts relation i patientens privata sfär. Det kan t.ex. handla om en familjemedlem, en bekant, en granne eller någon annan person som patienten anser sig känna personligen. Det ska inte ställas några närmare krav på vad det innebär att känna någon personligen, utan det är ytterst patienten som får avgöra om den vill uppge att den känner någon personligen. Utredningen före- slår dock att bestämmelsen utformas så att det bara är en fysisk person som patienten uppger sig känna personligen som får ges elektronisk tillgång. Juridiska personer får således inte ges elektronisk tillgång.

23Prop. 2016/17:30 s. 20 ff.

123

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

SOU 2021:39

Ett syfte med detta är att säkerställa att det inte rör sig om någon kommersiell eller yrkesmässig verksamhet som kan bidra till ett kringgående av sekretessreglerna, utan att det rör sig om en person som agerar inom ramen för den privata sfären.

När det gäller personer med legala ställföreträdare i form av gode män eller förvaltare, finns möjligheter att ta del av huvudmannens patientuppgifter redan i egenskap av legal ställföreträdare (se nedan i avsnitt 6.4.5 för närmare överväganden om legala ställföreträdare). Det finns inget hinder mot att en person, som anser att den känner sin gode man eller förvaltare personligen, medger att denne får elek- tronisk tillgång trots att personen t.ex. yrkesmässigt är god man. Det är för övrigt inte ovanligt att familjemedlemmar eller andra som patienten känner personligen förordnas som gode män. Om patien- ten vill medge ställföreträdaren elektronisk tillgång till sina patient- uppgifter, får den alltså göra det enligt utredningens förslag.

När det gäller patienter som inte förstår svenska, kan dessa i vissa vårdsituationer behöva hjälp av en tolk vid vårdkontakter. Som ett led i detta kan tolken behöva ta del av vissa patientuppgifter. När det är fråga om en person som är yrkesverksam som tolk rör det sig typiskt sett inte om en sådan relation inom patientens privata sfär, som utredningens förslag tar sikte på. Patienten torde i regel inte känna tolken personligen på det sätt som avses. Det ska framhållas att inget hindrar att patienten precis som i dag lämnar sitt med- givande till att de uppgifter som behövs i vårdsituationen lämnas ut till tolken genom ett utlämnande av allmänna handlingar. Avsikten är dock inte att tolkar ska få elektronisk tillgång till patientuppgifter om den patient de tolkar för.

Utredningen föreslår ingen begränsning i antalet fysiska personer som patienten får medge elektronisk tillgång. Det finns således inget hinder mot att en patient medger flera personer samtidigt elektro- nisk tillgång. Man kan t.ex. tänka sig att en äldre person med vuxna barn vill ge samtliga sina barn elektronisk tillgång. Vårdgivare har dock som nämnts ingen skyldighet att ge elektronisk tillgång. Under förutsättning att kraven på saklighet och opartiskhet iakttas kan vårdgivare ta fram rutiner för hur tilldelning av elektronisk tillgång ska gå till och kan exempelvis välja att införa rutiner för hur många personer som samtidigt får medges elektronisk tillgång till en och samma patients uppgifter.

124

SOU 2021:39

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

Utredningen vill betona att förslaget avser en offentligrättslig lagstiftning där patienten genom att lämna sitt medgivande kan häva sekretessen till förmån för en annan fysisk person. Det kan därför vara missvisande att använda uttrycket ”ombud” i den föreslagna bestämmelsen. Ombud kan föra tankarna till det civilrättsliga ombuds- begreppet. Den fysiska person som medges elektronisk tillgång ges vidare inte någon rättshandlingsförmåga, utan personen får endast en passiv läsbehörighet till patientuppgifterna. Därför bör uttrycket ”ombud” undvikas i själva bestämmelsen. Det är bättre att i bestäm- melsen tala om en annan fysisk person som den enskilde uppger sig känna personligen.

Det ska betonas att vårdgivaren inte behöver göra någon kontroll eller lämna ett godkännande i det enskilda fallet för att en annan fysisk person ska kunna ges tillgång till patientuppgifterna. Detta markeras i den föreslagna bestämmelsen genom formuleringen ”uppger sig känna personligen”. I praktiken bör detta kunna lösas på ett för patienten smidigt sätt. Exempelvis kan man tänka sig en kryss- ruta i webb-gränssnittet där patienten får kryssa i att den känner den fysiska person den vill medge elektronisk tillgång personligen.

Det får förutsättas att vårdgivaren kontrollerar att inte en och samma person har elektronisk tillgång till för många patienters uppgifter. I sådana fall bör vårdgivaren undersöka detta och överväga att ta bort personens elektroniska tillgång. Det finns som sagt inte någon skyldighet för vårdgivare att ge en annan fysisk person elek- tronisk tillgång.

6.4.5Patientens medgivande

Utredningens bedömning: Patientens frivilliga medgivande är en förutsättning för att ge en annan fysisk person, som patienten uppger sig känna personligen, elektronisk tillgång till patient- uppgifter. Ett barn som är tillräckligt moget för att förstå vad saken gäller, och som har rätt att självt disponera sina patientupp- gifter, kan lämna sitt medgivande till att en annan fysisk person som barnet uppger sig känna personligen får elektronisk tillgång till barnets patientuppgifter.

Det bör inte införas några särskilda bestämmelser för patienter med varaktigt nedsatt beslutsförmåga.

125

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

SOU 2021:39

En grundförutsättning för att ge en annan fysisk person som patien- ten uppger sig känna personligen elektronisk tillgång till patientupp- gifter är att det bygger på att patienten verkligen vill detta, och mani- festerar sin vilja genom att lämna sitt medgivande. Med medgivande menas här den typen av medgivande som avses i offentlighets- och sekretesslagen. Medgivandet medför att sekretessen som annars råder för patientuppgifterna hävs till förmån för den person som den enskilde utsett.24

En stor del av informationshanteringen inom hälso- och sjuk- vården förutsätter att patienten själv kan ta ställning och ge uttryck för sin vilja i olika avseenden. Patientens självbestämmande och integritet ska som utgångspunkt respekteras. Endast i rena undan- tagsfall bör man kunna frånkänna hans eller hennes medgivande rättsverkan. Så gäller även för utredningens förslag. Om patienten lämnar sitt medgivande till att en annan fysisk person får elektronisk tillgång till dennes patientuppgifter, bör detta som utgångspunkt respekteras. En annan sak är att en vårdgivare givetvis inte behöver ta hänsyn till ett medgivande som efter vad som framgår saknar giltighet enligt allmänna regler, exempelvis för att det inte är ett uttryck för patientens fria vilja.

Som beskrivs i avsnitt 4.9 innehåller varken hälso- och sjukvårds- lagstiftningen eller sekretesslagstiftningen några formkrav för hur en patient kan lämna ett medgivande till att lämna ut sekretesskyddade uppgifter. Det viktiga är att den utlämnande vårdgivaren är säker på att den som åberopar patientens medgivande har ett sådant med- givande. I dag finns tekniska möjligheter att säkerställa att det verk- ligen är patientens medgivande genom stark autentisering, t.ex. med mobilt bank-id. Det kan även tänkas ske genom att visa upp en av patienten undertecknad skriftlig handling.

Utredningen anser inte att det bör införas några särskilda form- krav för hur medgivandet kan lämnas. Det ankommer på vårdgivaren att garantera att det rör sig om ett medgivande från patienten, exem- pelvis genom att tillhandahålla säkra tekniska lösningar. Detta ingår i vårdgivarens personuppgiftsansvar. Som alltid gäller kraven i data- skyddsförordningen på integritet och konfidentialitet (artikel 5.1 f). Det innebär att den personuppgiftsansvarige ska se till att person-

24Det brukar även kallas att lämna sitt samtycke. Utredningen använder dock här begreppet medgivande för att inte förväxla det med begreppet samtycke som används i dataskydds- förordningen som rättslig grund för att behandla personuppgifter.

126

SOU 2021:39

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

uppgifterna behandlas på ett sätt som säkerställer lämplig säkerhet för uppgifterna, med användning av lämpliga tekniska eller organi- satoriska åtgärder. Exempelvis kan man tänka sig att patientens identitet kontrolleras genom stark autentisering, genom att patienten loggar in med bank-id och medger att en annan fysisk person får elektronisk tillgång till patientuppgifter. Detta bör kunna ske på ett för patienten enkelt sätt, exempelvis genom kryssrutor.

Som utredningen beskrivit finns det många patienter som kan ha svårt att på egen hand ladda ner bank-id och använda digitala tjänster såsom direktåtkomst via Journalen. Samtidigt lär det vara dessa patienter som har störst nytta av att ta hjälp av en närstående som kan ges elektronisk tillgång till patientuppgifterna. För att dessa patienter inte ska stängas ute från möjligheten att lämna sitt med- givande är det lämpligt att vårdgivare ser till att det finns möjlighet att lämna sitt medgivande utan att detta kräver att man använder bank-id eller motsvarande digitala lösningar. Annars riskerar för- slaget att inte kunna användas av de patientgrupper som har störst behov av det. Det kan tilläggas att inget hindrar att någon hjälper patienten att logga in i den digitala tjänsten, kryssa i rutorna och ange de uppgifter som krävs i webb-gränssnittet.

Den elektroniska tillgången bygger på patientens frivilliga och aktuella medgivande. Patienten ska när som helst kunna ta tillbaka sitt medgivande. Det ankommer därför på vårdgivaren att se till att man på ett enkelt och säkert sätt kan återkalla sitt medgivande. Exempelvis bör det kunna ske genom att patienten legitimerar sig med bank-id eller motsvarande och meddelar att medgivandet åter- kallas. Även detta bör kunna ske på ett för patienten smidigt sätt genom en kryssruta. Då ska den elektroniska tillgången till patient- uppgifter omedelbart avslutas. Vårdgivaren bör även se till att en patient kan kontakta vårdgivaren på andra sätt för att meddela att denne inte längre vill att någon ska ha elektronisk tillgång. Genom att patienten när som helst kan ta tillbaka sitt medgivande säkerställs att den elektroniska tillgången hela tiden bygger på frivillighet från patientens sida.

Utredningen anser inte att det är nödvändigt att uppgifter om medgivanden, ändringar eller återkallelser av sådana, avseende elek- tronisk tillgång till patientuppgifter antecknas i patientjournalen. Däremot krävs givetvis dokumentation och bevarande av patientens medgivande på lämpligt sätt för att vårdgivaren ska kunna hantera

127

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

SOU 2021:39

och hålla ordning på medgivanden och återkallelser av dessa. Det får förutsättas att vårdgivare, i förekommande fall tillsammans med sitt personuppgiftsbiträde, i dag i praktiken Inera AB, utarbetar rutiner för hur detta ska gå till.

Patienter med nedsatt beslutsförmåga

Patientens medgivande är en förutsättning för att ge en annan fysisk person som patienten uppger sig känna personligen elektronisk tillgång till patientuppgifter. Inom hälso- och sjukvården finns det många patienter som av olika anledningar kan ha svårt att ge uttryck för sin vilja i olika avseenden. Det kan handla om patienter som på grund av ålder, demens eller funktionsnedsättningar av olika slag har svårt att ge uttryck för sina önskemål. Dessa personer har i många fall även nedsatt förmåga att ta emot information och lämna sam- tycke till olika sorters informationshantering som vårdinsatsen förutsätter. De torde även ha svårigheter att använda sig av e-hälso- tjänster och att på egen hand ladda ner och använda e-legitimation. Det är samtidigt sannolikt dessa patienter som har särskilt stor nytta av att kunna ta hjälp av en annan person, som hjälper dem med det praktiska kring deras vårdprocesser, exempelvis att hålla ordning på besök, diagnoser och läkemedel. En särskild fråga är då hur man ska se på möjligheten för personer med olika former av nedsatt besluts- förmåga att lämna medgivande till att en annan person får elektro- nisk tillgång till patientuppgifter.

Utredningen vill inledningsvis betona att avgörande för att kunna lämna ett medgivande till att häva sekretessen för patientuppgifterna är att man förstår vad man gör. Medgivandet är ett uttryck för patien- tens fria vilja att låta en annan person få elektronisk tillgång. Det krävs alltså inte att patienten är insatt i hur den aktuella e-tjänsten fungerar eller känner till regelverket om direktåtkomst eller annat elektroniskt utlämnande för att kunna lämna ett sådant medgivande. Det är för övrigt sannolikt många personer, med full eller nedsatt beslutsförmåga, som inte fullt ut har den inblicken. Det som krävs är att medgivandet att häva sekretessen till förmån för en annan person är aktuellt, relevant och specifikt. Utredningen föreställer sig att många patienter, som på grund av hög ålder eller funktions- nedsättningar har svårt att ta till sig viss information, ändå har för-

128

SOU 2021:39

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

mågan att ge uttryck för att de vill att en viss annan person ska få elektronisk tillgång till patientuppgifter.

Vissa personer har dock ett sådant hälsotillstånd eller så nedsatt kognitiv förmåga att de inte kan lämna ett giltigt medgivande till att häva sekretessen. För att kunna lämna ett giltigt medgivande, måste man förstå vad saken handlar om och vad man gör. När det gäller personer med varaktigt nedsatt beslutsförmåga saknas således möjlig- het att lämna ett giltigt medgivande till elektronisk tillgång. I de fallen kan den föreslagna bestämmelsen inte tillämpas. Det ingår inte i utred- ningens uppdrag att utreda särskilda frågor som rör personer med nedsatt beslutsförmåga. Behövs särskild reglering om sådana personer på det område som omfattas av utredningsuppdraget, bör regleringen enligt utredningens direktiv utformas i enlighet med befintlig reglering. Frågan är då om någon särskild reglering för personer med varaktigt nedsatt beslutsförmåga bör föreslås i detta fall.

I delbetänkandet lämnade utredningen förslag till särskilda bestämmelser för personer som inte endast tillfälligt saknade för- måga att ta ställning när det gäller sammanhållen vård- och omsorgs- dokumentation och kvalitetsuppföljning. Förslagen utformades med bestämmelsen i 6 kap. 2 a § patientdatalagen som förlaga. Den bestämmelsen gör det möjligt att göra uppgifter om en patient med varaktigt nedsatt beslutsförmåga tillgängliga för andra vårdgivare som är anslutna till systemet med sammanhållen journalföring. En vårdgivare får ta del av uppgifterna under förutsättning att det har betydelse för nödvändig vård och att det efter att ha försökt klar- lägga patientens vilja, inte finns skäl att anta att patienten skulle mot- sätta sig detta. Utredningen ansåg att det kan antas att omsorgs- mottagare med nedsatt beslutsförmåga, t.ex. äldre med demens och personer med funktionsnedsättning, tillhör just de grupper som är i störst behov av informationsöverföring mellan instanserna, eftersom de ofta har svårigheter att själva förmedla informationen. När det gäller kvalitetsuppföljning ansåg utredningen att det fanns ett stort och berättigat behov av att uppgifter om patienter och omsorgsmottagare med varaktigt nedsatt beslutsförmåga får ingå i kvalitetsuppföljning.25

Det finns en särskild sekretessbrytande bestämmelse som kan bli tillämplig om den enskilde på grund av demens eller annat hälso- relaterat skäl inte kan samtycka. Bestämmelsen anger att om den

25Se avsnitt 16.5.6 och 17.5.2 i delbetänkandet Informationsöverföring inom vård och omsorg (SOU 2021:4).

129

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

SOU 2021:39

enskilde på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en uppgift lämnas ut, hindrar sekretess enligt 25 kap. 1 § offentlighets- och sekretesslagen inte att en uppgift om honom eller henne som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjuk- vården eller inom socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område (25 kap. 13 § OSL). I förarbetena motiverades införandet av bestämmelsen med de patientsäkerhetsaspekter som gör sig gällande när vårduppgifter om en enskild i allt större utsträckning sprids på allt fler vårdgivare och de brister i omhändertagandet som finns i integrerade verksamheter, därför att information om den enskilde på grund av sekretessen inte alltid kan förmedlas mellan de olika verksamheterna i tillräcklig ut- sträckning.26

Det lär visserligen vara obestridligt att äldre med demens och personer med funktionsnedsättningar hör till dem med störst behov av stöd och hjälp från andra för att kunna vara delaktiga i vården. Många av dessa torde också ha en förmåga att lämna ett medgivande till att en annan fysisk person ges elektronisk tillgång till patientupp- gifterna. Utredningen anser dock inte att det är lämpligt att här införa särskilda regler för personer som på grund av t.ex. demens eller andra förhållanden har varaktigt nedsatt beslutsförmåga. Detta har att göra med att en grundförutsättning för att införa en möjlighet för patienten att medge elektronisk tillgång, är att det bygger på patientens egen fria vilja. Att patienten förstår vad den gör, och vill ta hjälp av en närstående, är en förutsättning för att kunna tillämpa den föreslagna bestämmelsen.

Det ska tilläggas att det här, till skillnad från sammanhållen vård- och omsorgsdokumentation eller den ovan nämnda sekretessbry- tande bestämmelsen, inte handlar om att uppgifterna behövs för att ge patienten nödvändig vård. Det finns inte några uttalade patient- säkerhetsbehov som gör sig gällande när det handlar om att ge en person utanför hälso- och sjukvården elektronisk tillgång till patient- uppgifter. Det finns inte heller något berättigat allmänt intresse av att ge personer utanför hälso- och sjukvården elektronisk tillgång till patientuppgifter, såsom vid kvalitetsuppföljning. Om situationen är sådan att patienten inte själv kan lämna ett frivilligt medgivande, kan

26Prop. 2007/08:126 s. 168.

130

SOU 2021:39

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

alltså elektronisk tillgång inte ges till någon utanför hälso- och sjuk- vården.

För personer med varaktigt nedsatt beslutsförmåga som inte kan sköta sina angelägenheter finns möjlighet att förordna en legal ställ- företrädare med stöd av bestämmelserna i föräldrabalken. Denne kan i sin tur ges elektronisk tillgång till patientuppgifter, i egenskap av legal ställföreträdare, om detta ingår i uppdraget (se avsnittet nedan med rubriken Patienter med legala ställföreträdare).

Patienter vars tillstånd förändras så att de inte längre kan ta ställning till om den elektroniska tillgången ska avslutas

Patientens tillstånd kan över tid förändras på så sätt att det kan ifrågasättas om denne fortfarande är i stånd att ta ställning till om den elektroniska tillgången ska fortsätta. En fråga är, vad som ska gälla om en patient som medgett en närstående elektronisk tillgång senare hamnar i ett varaktigt tillstånd som innebär denne inte längre kan ta ställning till om den elektroniska tillgången ska avslutas, exempelvis vid förvärrad demens.

Utredningen anser inte att den omständigheten att patienten efter medgivandet får sin beslutsförmåga varaktigt nedsatt i sig behöver medföra att den elektroniska tillgången avbryts. Det kan ofta antas, att medgivandet fortfarande är ett uttryck för patientens vilja även om patientens hälsotillstånd eller kognitiva funktioner har försämrats. Det vore också olyckligt om de patienter som sannolikt har det största behovet av hjälp från närstående i sina vårdkontakter skulle berövas det stödet genom att den elektroniska tillgången avslutas.

Att den patient som medgett elektronisk tillgång blir varaktigt oförmögen att ta ställning till om den tillgången ska avslutas innebär dock att man inte längre kan förlita sig på patientens möjlighet att ta tillbaka sitt medgivande som en garanti för att den elektroniska tillgången motsvarar patientens aktuella vilja. När patienten inte längre kan ge uttryck för vad den vill, bör någon annan göra en bedömning av vad som kan tänkas vara patientens verkliga vilja. Den bedömningen kan man inte rimligen överlåta till den som med- givandet avser. I stället bör vårdgivaren i den situationen bedöma om det fortfarande är patientens vilja att personen har elektronisk tillgång. Utredningen anser därför att vårdgivarna bör vara upp-

131

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

SOU 2021:39

märksamma på och vid misstanke kontrollera om det finns anledning att anta att patienten inte längre vill att den digitala tillgången ska vara kvar, men har blivit oförmögen att återkalla medgivandet själv.

Utredningen föreslår därför att hälso- och sjukvårdspersonal vid misstanke om att patienten varaktigt inte längre är i stånd att lämna ett medgivande ska anmäla detta till vårdgivaren, vilket beskrivs nedan i avsnitt 6.4.8. Vårdgivaren bör då försöka undersöka hur patienten ställer sig till den elektroniska tillgången. Om det inte framkommer något som tyder på att patienten skulle vilja återkalla medgivandet, finns det ingen anledning att avsluta den elektroniska tillgången. Om patienten i sitt nuvarande tillstånd visar ett avstånds- tagande eller direkt motvilja mot den som getts elektronisk tillgång, vilket kan vara tecken på att inställningen till den elektroniska till- gången ändrats, kan det finnas anledning att avsluta den elektroniska tillgången. Om patienten sedan ändrar sin inställning till den som haft elektronisk tillgång och åter visar förtroende för denna, kan det finnas anledning att, med stöd av det lämnade medgivandet, åter ge personen elektronisk tillgång.

Patienter med legala ställföreträdare

En god man eller förvaltare är en legal ställföreträdare som förord- nats för att bevaka huvudmannens rättigheter i vissa avseenden.27 För personer som har legal ställföreträdare i form av god man eller för- valtare, finns i dag en funktion i Journalen där legala ställföreträdare kan ges direktåtkomst till patientens uppgifter om det anses ligga inom ramen för uppdraget. Högsta förvaltningsdomstolen har nyligen uttalat sig i fråga om en förvaltares rätt att för huvudmannens räkning ta del av uppgifter som omfattas av sekretess (HFD 2020 ref. 50). Utredningen vill betona att utredningens förslag varken påverkar eller begränsar den möjlighet som finns för förvaltare och gode män att ha insyn i sina huvudmäns patientuppgifter. Utredningens för- slag syftar till att skapa en möjlighet att, vid sidan om existerande regelverk med legala ställföreträdare, låta patienter själva utse en person som de känner personligen som kan hjälpa dem i deras vård-

27En förvaltares uppdrag kan innefatta att bevaka rätt, förvalta egendom och sörja för person (11 kap. 7 § föräldrabalken).

132

SOU 2021:39

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

kontakter. Om förslaget genomförs, blir det således ett komplement till nuvarande former av ställföreträdarskap.

Det finns inget som hindrar att patienten, om den anser att den känner den gode mannen eller förvaltaren personligen och förstår vad den gör, medger att den gode mannen eller förvaltaren får elektronisk tillgång till patientuppgifterna med stöd av den före- slagna bestämmelsen.

Barn28 och deras vårdnadshavare

Det finns inga generella åldersgränser för när barn kan samtycka till olika åtgärder inom hälso- och sjukvården. Det finns inte heller någon särskild åldersgräns i offentlighets- och sekretesslagen när det gäller barns medgivande. Som utredningen beskriver i avsnitt 4.10.1 har vårdnadshavare rättigheter och skyldigheter enligt föräldrabalken att bestämma i frågor som rör barnets personliga angelägenheter. I takt med barnets stigande ålder och utveckling ska vårdnads- havaren ta allt större hänsyn till barnets synpunkter och önskemål. Sekretess för uppgifter om ett barn gäller inte i förhållande till vård- nadshavaren i den utsträckning denne enligt föräldrabalken har rätt och skyldighet att bestämma i frågor om barnet. Sekretess gäller dock i förhållande till vårdnadshavaren, om det kan antas att den underårige lider betydande men om uppgiften röjs för vårdnads- havaren eller om det annars anges i offentlighets- och sekretesslagen.

Detta betyder att när det gäller yngre barn, får vårdnadshavare i regel ha full insyn i sina barns patientuppgifter, och att vårdnads- havaren (eller vårdnadshavarna gemensamt) kan häva den sekretess som gäller för uppgifterna. Med stigande ålder och mognad kan sedan vårdnadshavaren (eller vårdnadshavarna gemensamt) besluta tillsammans med barnet. Slutligen, särskilt när det gäller äldre barn som närmare sig 18-årsåldern, kan barnet självt disponera över sina uppgifter och häva sekretessen om barnet självt vill. Vårdnads- havarna har då inte längre rätt att ta del av uppgifterna.

Utredningen anser att ett barn som förstår vad saken gäller, och som har rätt att självt disponera sina uppgifter, ska ha möjlighet att lämna sitt medgivande till att någon, som barnet anser sig känna personligen, får elektronisk tillgång till barnets patientuppgifter.

28Med barn avses den som är under 18 år.

133

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

SOU 2021:39

Det ligger även i linje med Förenta nationernas konvention om barns rättigheter, barnkonventionen, som sedan den 1 januari 2020 gäller som svensk lag. Av barnkonventionen följer bl.a. att barnets bästa ska beaktas och att barnet har rätt att uttrycka sin åsikt och få den beaktad.

En särskild fråga är när ett barn självt kan lämna sitt medgivande. Som beskrivs i avsnitt 4.10.1 måste detta ses i ljuset av vårdnads- havarnas skyldigheter i frågor som rör barnet. Det finns ingen fast åldersgräns i patientdatalagen som anger när ett barn får ges direkt- åtkomst till sina patientuppgifter. I förarbetena till bestämmelsen tog regeringen inte särskilt upp frågan om barns direktåtkomst.

När det gäller hur barnets åsikter ska beaktas har det i svensk rättspraxis skapats vissa utgångspunkter, t.ex. att en 12-årings vilja normalt ska ges avgörande betydelse. I dataskyddslagen anges att vid erbjudande av informationssamhällets tjänster direkt till ett barn som bor i Sverige ska behandling av personuppgifter vara tillåten med stöd av barnets samtycke, om barnet är minst 13 år. Om barnet är under 13 år, ska sådan behandling vara tillåten endast om sam- tycke ges eller godkänns av den som har föräldraansvar för barnet (2 kap. 4 § dataskyddslagen).

I praktiken har regionerna i dag i regel löst det så att man auto- matiskt låter vårdnadshavare få direktåtkomst till sina barns upp- gifter genom Journalen till dess att barnet fyller 13 år. För barn som fyllt 16 år ges barnet i regel automatisk direktåtkomst till sina egna patientuppgifter. För barn i åldern 13–15 år är det mer komplicerat. Det har att göra med att barnet är i en sådan ålder där det kan variera individuellt om barnet har uppnått sådan mognad att det självt kan disponera över sin sekretess, eller om det är vårdnadshavarna som kan göra det i egenskap av barnets legala ställföreträdare. De offent- liga vårdgivarna har tillsammans med sitt personuppgiftsbiträde Inera bedömt att det inte är lämpligt att automatisk ge vare sig barn

iåldern 13–15 år eller deras vårdnadshavare direktåtkomst. I prak- tiken har man infört en lösning som innebär att vårdnadshavares till- gång till sina barns uppgifter i Journalen automatiskt stängs ner när barnet fyller 13 år. De barn som nått en sådan mognad vid 13 års ålder att de själva får disponera sina uppgifter, har alltså fått vara styrande för samtliga vårdnadshavares åtkomst till barns patientuppgifter. För barn i åldrarna 13–15 år kan i stället en individuell prövning göras i det

134

SOU 2021:39

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

enskilda fallet om barnet självt, eller vårdnadshavarna, ska ges elek- tronisk tillgång till uppgifter om barnet genom Journalen.

Utredningen anser att det inte bör införas någon specifik ålders- gräns för när ett barn kan lämna medgivande till att någon annan får elektronisk tillgång. Det framstår som mest lämpligt att barns själv- bestämmande respekteras på motsvarande sätt som i övrigt inom hälso- och sjukvården, med beaktande av att barnet också självt måste kunna disponera sekretessen enligt offentlighets- och sekre- tesslagen respektive tystnadsplikten enligt patientsäkerhetslagen. Här får man således utgå från allmänna principer om att allt större hänsyn ska tas till barnets önskemål utifrån dess stigande ålder och mognad. Utredningen anser att detta är förenligt med det särskilda skydd för uppgifter om barn som kommer till uttryck bl.a. i skäl 38 till dataskyddsförordningen.

På motsvarande sätt som görs i dag när det gäller barns egen direktåtkomst till patientuppgifter, kan vårdgivare ta fram rutiner för barns möjlighet att medge någon annan elektronisk tillgång. Det gäller givetvis under förutsättning att det allmänna kravet på objek- tivitet och saklighet iakttas. När det gäller barn ska också principen om barnets bästa beaktas.

6.4.6Den elektroniska tillgången får ges genom direktåtkomst eller annat elektroniskt utlämnande

Utredningens förslag: Den elektroniska tillgången för den som patienten utsett får ges genom direktåtkomst eller annat elektro- niskt utlämnande.

I kapitel 3 beskriver utredningen skillnaderna mellan direktåtkomst och annat elektroniskt utlämnande. Direktåtkomst anses vara för- knippad med särskilda integritetsrisker. Skillnaden i praktiken för mottagaren mellan direktåtkomst och annat elektroniskt utläm- nande genom en fråga-svar-funktion är inte särskilt stor.

Utredningen har i sitt delbetänkande föreslagit att vissa bestäm- melser i patientdatalagen som gäller direktåtkomst, bl.a. 5 kap. 5 §, ändras så att de även gäller tillgång genom annat elektroniskt utläm- nande än direktåtkomst. Utredningen hänvisar till delbetänkandet för den närmare motiveringen till varför förslagen om annat elektroniskt

135

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

SOU 2021:39

utlämnande lämnats (se avsnitt 16.3 i delbetänkandet) och varför förslag om att göra motsvarande följdändringar i andra bestäm- melser i patientdatalagen som reglerar direktåtkomst lämnas (se avsnitt 18.2 i delbetänkandet). Av motsvarande skäl som angetts i utredningens tidigare bedömningar, anser utredningen att det också här är lämpligt att den elektroniska åtkomsten omfattar inte bara direktåtkomst utan även annat elektroniskt utlämnande. Om ett system är utformat som en elektronisk fråga-svar-funktion, trots att bara direktåtkomst är tillåten, skulle det kunna leda till oönskade konsekvenser, såsom att personal hos vårdgivaren begår tystnads- pliktsbrott. Om den mest integritetskänsliga formen av utlämnande (direktåtkomst) är tillåten, finns det från integritetsskyddsynpunkt inte skäl att förbjuda andra former av elektroniskt utlämnande.

I detta fall avser den elektroniska tillgången bara uppgifter om en enda person, patienten, och denne får redan i dag ha direktåtkomst till uppgifterna. Att den som patienten utser också får ha elektronisk tillgång till uppgifterna genom annat elektroniskt utlämnande –

istället för genom bara direktåtkomst – är därför logiskt och innebär

isig inga ökade integritetsrisker. Det blir också enklare och billigare för vårdgivarna om patienten och den som denne utser får ha samma slags elektroniska tillgång. Den som patienten utser bör därför få ges elektronisk tillgång genom direktåtkomst eller annat elektroniskt utlämnande.

6.4.7Begränsning till uppgifter registrerade efter ett visst datum eller vid en viss vårdenhet

För att någon utanför hälso- och sjukvården (och socialtjänsten, enligt utredningens förslag i delbetänkandet) ska få ges elektronisk tillgång till patientuppgifter krävs att patienten har medgivit det. Medgivandet kan avse elektronisk tillgång till alla patientens upp- gifter eller vara begränsat på olika sätt. Är medgivandet begränsat, lär det av tekniska skäl ofta vara svårt att ge den som patienten utser någon elektronisk tillgång alls. Det kan därför antas att den patient som egentligen vill att någon ska få elektronisk tillgång till bara vissa uppgifter går med på att denne får elektronisk tillgång till alla uppgifter bara för att det ska bli någon elektronisk tillgång alls. Detta är inte bra och stämmer mindre väl med principen om uppgifts- minimering. Samtidigt måste man ha förståelse för att en vårdgivare

136

SOU 2021:39

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

av tekniska och ekonomiska skäl inte gärna kan tillgodose varje indi- viduellt önskemål om begränsad elektronisk tillgång. Krävde man detta, skulle förmodligen få vårdgivare använda möjligheten att införa elektronisk tillgång.

Om vårdgivaren inte är skyldig att inför någon begränsning av den elektroniska tillgången, riskerar det alltså att leda till att patien- ter medger en mer omfattande elektronisk tillgång än de egentligen önskar. Om å andra sidan vårdgivaren bara fick ge elektronisk till- gång om varje begränsning av patientens medgivande respekterades, skulle det leda till att få vårdgivare var beredda att ge elektronisk tillgång. Man måste som utredningen ser det göra en avvägning av vilka viktiga begränsningar av medgivandet som vårdgivaren ska vara skyldig att respektera för att överhuvudtaget få erbjuda elektronisk tillgång.

Syftet med att införa möjligheten till elektronisk tillgång är, från utredningens synvinkel, främst att den som får tillgången ska kunna bistå patienten i den vård som är aktuell för tillfället. Tanken är således inte att den elektroniska tillgången ska användas för att ta del av patientuppgifter som inte är relevanta för patientens nuvarande situation. En lämplig avvägning är därför enligt utredningens mening att kräva att patienten alltid ska kunna begränsa sitt medgivande till uppgifter registrerade efter ett visst datum eller vid en viss vård- enhet. Det gör att patienten i de allra flesta fall bör kunna skräddarsy sitt medgivande så att det motsvarar vad patienten egentligen vill samtidigt som det bör vara förhållandevis enkelt och billigt för vård- givaren att hantera, bl.a. eftersom det anknyts till vårdgivarens egna organisatoriska enheter.

Med vårdenhet avses enligt Socialstyrelsens termbank organisa- torisk enhet som tillhandahåller hälso- och sjukvård. Vårdenhet före- kommer i 4 kap. patientdatalagen som bl.a. reglerar spärrmöjligheter och inre sekretess. Exempelvis får personuppgifter som dokumen- terats för vårdändamål hos en vårdenhet eller inom en vårdprocess inte göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vårdgivare, om patienten motsätter sig det (4 kap. 4 § PDL). Det framstår därför som lämpligt att här låta patientens medgivande begränsas utifrån vårdenhet.

Den som vill att anhöriga bara ska kunna följa det aktuella vård- förloppet, t.ex. hur det går med en större operation, kan då begränsa

137

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

SOU 2021:39

medgivandet till tiden efter intagningen på sjukhuset och den aktuella kliniken. Patienten kan också förhindra elektronisk tillgång till uppgifter registrerade inom t.ex. psykiatrin eller förlossnings- vården. De nämnda begränsningarna i tiden och till en vårdenhet ska kunna göras för varje person för sig. Om patienten utsett flera perso- ner, ska alltså begränsningarna kunna göras olika för respektive person. Patienten kan när som helst ändra sitt medgivande och in- föra eller ta bort en begränsning. Om patienten anmäler att den vill göra en begränsning som vårdgivaren inte måste respektera (dvs. som gäller något annat än uppgifter registrerade efter ett visst datum eller vid en viss vårdenhet) och kan vårdgivaren inte heller tekniskt respektera begränsningen, måste den elektroniska tillgången avslutas.

Bestämmelsen om vilka begränsningar som alltid måste kunna respekteras hindrar inte att vårdgivaren respekterar även andra typer av begränsningar. Någon skyldighet finns dock inte att respektera andra typer av begränsningar.

6.4.8Skyldighet att anmäla vid misstanke om att förutsättningarna inte är uppfyllda

Utredningens förslag: Om någon inom hälso- och sjukvårds- personalen får anledning att misstänka att patientens medgivande av elektronisk tillgång inte ger uttryck för patientens fria vilja eller att patienten varaktigt inte längre är i stånd att lämna ett sådant medgivande, är denne skyldig att genast anmäla detta till den vårdgivare som gett den elektroniska tillgången. Mot- svarande gäller om misstanken avser att patienten inte känner den som fått tillgång personligen.

I avsnitt 6.4.5 redogör utredningen för att patientens frivilliga med- givande är en förutsättning för att en annan fysisk person ska ges elektronisk tillgång till patientens uppgifter. I avsnitt 6.2.4 berörs integritetsstärkande åtgärder för att stärka skyddet för att patientens medgivande är frivilligt och återspeglar dennes vilja. Som beskrivits bör vårdgivarens möjlighet – och skyldighet - att säkerställa att med- givandet är frivilligt och aktuellt komma till uttryck genom att det införs en anmälningsplikt. Det ska betonas att det alltid är vård- givaren som ansvarar för att medgivandet är frivilligt och aktuellt.

138

SOU 2021:39

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

Det är vårdgivaren som lämnar ut uppgifterna genom att göra dessa elektroniskt tillgängliga och vårdgivaren är också personuppgifts- ansvarig för behandlingen. Detta ansvar ligger inte på hälso- och sjukvårdspersonalen. För att vårdgivaren i praktiken ska kunna efterleva sitt ansvar, bör det dock föreskrivas att hälso- och sjuk- vårdspersonal genast ska anmäla till vårdgivaren när det finns anled- ning att misstänka att medgivandet inte ger uttryck för patientens fria vilja eller att patienten varaktigt inte längre är i stånd att lämna ett medgivande.

Hälso- och sjukvårdspersonal bör alltså vara skyldig att till vård- givaren genast anmäla misstankar om att patientens medgivande inte ger uttryck för dennes fria vilja. Misstanke kan exempelvis uppstå vid ett vårdmöte om hälso- och sjukvårdspersonalen får indikationer på att en anhörig uppträder hotfullt mot patienten, eller vice versa, eller försöker få insyn i patientens förhållande på ett otillbörligt sätt. Tanken är dock inte att hälso- och sjukvårdspersonalen aktivt ska söka efter information, men får de ändå t.ex. i sitt vårdarbete infor- mation som gör att en misstanke kan uppstå är de skyldiga att anmäla det till vårdgivaren.

På motsvarande sätt bör hälso- och sjukvårdspersonal vara skyl- dig att till vårdgivaren genast anmäla om det uppstår misstankar om att patienten inte känner den som getts elektronisk tillgång person- ligen. En sådan anmälan gör det möjligt för vårdgivaren att utreda om patientens uppgift om att denne känner den fysiska personen är riktig och överväga om den elektroniska tillgången ska avbrytas. Även genom kontroller av vilka fysiska personer som getts elek- tronisk tillgång till patienters uppgifter kan vårdgivaren få indika- tioner på att patienterna inte känner den som getts elektronisk till- gång personligen. Om en fysisk person getts elektronisk tillgång till många patienters uppgifter, kan det tyda på att det finns kommersiella eller andra intressen som ligger bakom den elektroniska tillgången, vilket bör föranleda att den elektroniska tillgången avslutas.

Det kan även inträffa att den som lämnat ett medgivande senare blir oförmögen att ta tillbaka det. För att vårdgivaren ska uppmärk- samma att så har blivit fallet och kunna överväga om den elektro- niska tillgången bör fortsätta bör hälso- och sjukvårdspersonalen vara skyldig att anmäla misstankar om att patienten varaktigt inte längre kan lämna ett medgivande, dvs. är varaktigt beslutsoförmögen. Det kan t.ex. handla om en äldre patient vars tillstånd ändrats så att

139

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

SOU 2021:39

den nu uttrycker att den inte längre vill att barnen ska ha elektronisk tillgång till patientuppgifterna. Det kan även vara fråga om en patient som blivit dement och inte längre känner igen sina släktingar, och ger uttryck för att den inte vill ha med dessa att göra.

En anmälan ska göras närhelst en misstanke uppstår. Detta är avgörande för att vårdgivaren ska kunna utöva sitt personuppgifts- ansvar och säkerställa att medgivandet är frivilligt och aktuellt. Redan om det finns anledning till misstanke, ska en anmälan göras. Det finns inget formkrav för anmälan, men vårdgivaren kan lämna instruktioner till sin personal om hur anmälan ska göras. Anmälan ska innehålla uppgift om vem patienten är och vilka omständigheter som lett fram till misstanken. Avsikten är inte att hälso- och sjuk- vårdspersonalen ska efterforska saken närmare genom att ta del av hela patientjournalen eller samla in ytterligare uppgifter. Om hälso- och sjukvårdspersonal anmäler att det finns anledning till misstanke, ankommer på vårdgivaren att hantera och i förekommande fall utreda detta. Genom att anmälan görs så snart som möjligt, får vård- givaren möjlighet att utreda om misstanken är befogad och överväga om den elektroniska tillgången ska avslutas.

Utredningen anser inte att anmälan i sig är en sådan uppgift som behöver journalföras. Det får förutsättas att vårdgivaren skapar rutiner för hur hälso- och sjukvårdspersonalen ska kunna göra en anmälan samt hur anmälan ska dokumenteras. Om så bedöms lämp- ligt, finns det inget som hindrar att Socialstyrelsen utfärdar allmänna råd om hur anmälningsskyldigheten kan utövas.

Som beskrivs i avsnitt 6.4.5 måste den elektroniska tillgången inte avslutas för att patienten blivit varaktigt beslutsoförmögen. Kravet är alltså endast att en anmälan ska göras vid misstanke, så att vård- givaren får möjlighet att utreda om det kan finnas skäl att avsluta den elektroniska tillgången.

6.4.9Föreskrifter om säkerhetsåtgärder

Utredningens förslag: Regeringen eller den myndighet som reger- ingen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid den elektroniska tillgången.

140

SOU 2021:39

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

Det kan finnas behov av föreskrifter om säkerhetsåtgärder vid den elektroniska tillgången motsvarande dem som Socialstyrelsen kan meddela enligt 5 kap. 5 § patientdatalagen och 2 § patientdata- förordningen (2008:360). Det anges även i dataskyddsförordningen att den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behand- lingen utförs i enlighet med dataskyddsförordningen (artikel 24). Frågan är om det är nödvändigt med en reglering eller ett bemyn- digande i lag för att säkerhetsföreskrifter ska kunna utfärdas.

Föreskrifter ska meddelas av riksdagen genom lag om de avser åligganden för kommuner (8 kap. 2 § 3 regeringsformen). Också föreskrifter om skyldigheter för enskilda ska meddelas av riksdagen genom lag (8 kap. 2 § 2 regeringsformen). Riksdagen kan dock, med vissa inte här aktuella undantag, bemyndiga regeringen att meddela sådana föreskrifter (8 kap. 3 § regeringsformen). Riksdagen kan då också medge att regeringen bemyndigar en förvaltningsmyndighet att meddela föreskrifter i ämnet (8 kap. 10 § regeringsformen). Regeringen får enligt 8 kap. 7 § regeringsformen meddela före- skrifter som inte enligt grundlag ska meddelas av riksdagen och före- skrifter om verkställighet av lag. Enligt 8 kap. 11 § regeringsformen får regeringen bemyndiga en myndighet under regeringen att med- dela föreskrifter enligt 8 kap. 7 § regeringsformen.

Enligt patientdatalagen är utlämnande genom direktåtkomst till personuppgifter tillåten endast i den utsträckning som anges i lag eller förordning (5 kap. 4 § första stycket PDL). Den föreslagna bestämmelsen om elektronisk tillgång utgör således såvitt avser direktåtkomst ett undantag från ett i lag angivet förbud, som det är frivilligt att använda sig av. När det gäller utlämnande genom direkt- åtkomst införs alltså en möjlighet för vårdgivare att lämna ut upp- gifter på ett sätt som annars inte vore tillåtet. Föreskrifterna kan, på grund av att det handlar om en frivillig möjlighet att använda undan- taget från det lagstadgade förbudet, inte sägas avse några åligganden för kommuner eller några skyldigheter för enskilda när det gäller direktåtkomst. Den som frivilligt använder sig av den möjligheten måste dock följa de säkerhetsföreskrifter som kan ha meddelats av regeringen eller bemyndigad myndighet.

Det finns däremot inget generellt lagstadgat förbud mot annat elektroniskt utlämnande än direktåtkomst. Annat elektroniskt utläm- nande än direktåtkomst är således i dag inte förbjudet utan får ske.

141

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

SOU 2021:39

Den föreslagna bestämmelsen kan därmed ses som en inskränkning av den handlingsfrihet som finns i dag. De krav på säkerhetsåtgärder som ska gälla vid annat elektroniskt utlämnande än direktåtkomst får därför anses vara åligganden för kommuner och skyldigheter för en- skilda. Å andra sidan finns det redan enligt dataskyddsförordningen, bl.a. artikel 32.1, generella krav på säkerhetsåtgärder vid behandling av personuppgifter såsom utlämnande av dem. Det är möjligt för regeringen att enligt 8 kap. 7 § regeringsformen meddela föreskrifter om verkställighet av EU-förordningar.29 Det får enligt utredningens bedömning här ses som sådana föreskrifter om verkställighet som regeringen, utan särskilt bemyndigande, får meddela. Därför behövs det inte ett bemyndigande i lag för att regeringen eller den myndig- het som regeringen bestämmer ska få meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid annat elektroniskt utläm- nande än direktåtkomst.

Regeringen eller den myndighet som regeringen bestämmer kan alltså meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid den elektroniska tillgången. En upplysning om detta bör för tydlighets skull finnas i patientdatalagen.

29Prop. 1999/2000:126 s. 135 f.

142

SOU 2021:39

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

6.5Möjlighet att ge ombud elektronisk tillgång till sammanhållen vård- och omsorgsdokumentation

Utredningens förslag: Om patienten eller omsorgsmottagaren medger det får en vård- eller omsorgsgivare ge en annan fysisk person, som patienten eller omsorgsmottagaren uppger sig känna personligen, tillgång genom direktåtkomst eller annat elektro- niskt utlämnande till sammanhållen vård- och omsorgsdokumen- tation och kvalitetsuppföljning. Sådan tillgång ska på patientens eller omsorgsmottagarens begäran kunna begränsas till uppgifter registrerade efter ett visst datum eller vid en viss organisatorisk enhet.

Om någon inom hälso- och sjukvårdspersonalen eller som ut- för arbetsuppgifter inom socialtjänsten får anledning att miss- tänka att patientens eller omsorgsmottagarens medgivande inte ger uttryck för patientens eller omsorgsmottagarens fria vilja eller att patienten eller omsorgsmottagaren varaktigt inte längre är i stånd att lämna ett medgivande, är denne skyldig att genast anmäla detta till den vård- eller omsorgsgivare som gett tillgången. Mot- svarande gäller om misstanken avser att patienten eller omsorgs- mottagaren inte känner den som fått tillgång personligen.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid sådan elektro- nisk tillgång.

Det ingår i och för sig inte i utredningens uppdrag att se över möjlig- heterna att införa någon allmän möjlighet för enskilda att utse ett ombud som kan få tillgång till socialtjänstens dokumentation. I avsnitt 6.2.6 har utredningen emellertid kommit fram till att de behov och fördelar som utredningen redogjort för när det handlar om att, i enlighet med patientens frivilliga medgivande, ge någon utanför hälso- och sjukvården som patienten känner personligen elektronisk tillgång till patientuppgifter, gör sig gällande på mot- svarande sätt i fråga om omsorgsgivares dokumentation i samman- hållen vård- och omsorgsdokumentation. Därför föreslår utred- ningen att en ny bestämmelse ska tas in i den i delbetänkandet före- slagna lagen om sammanhållen vård- och omsorgsdokumentation

143

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

SOU 2021:39

och kvalitetsuppföljning. Bestämmelsen medför att någon annan får ges elektronisk tillgång till uppgifter om omsorgsmottagare i social- tjänsten i de fall uppgifterna ingår i sammanhållen vård- och omsorgs- dokumentation.

Det ska framhållas att det är socialtjänstens uppgifter om äldre och personer med funktionsnedsättningar som får vissa insatser, som får ingå i sammanhållen vård- och omsorgsdokumentation. Det handlar om personer med ett sammansatt vård- och omsorgsbehov som ofta samtidigt får insatser från både hälso- och sjukvården och socialtjänsten. Detta är de grupper där det troligen finns stort behov av hjälp av en närstående med kontakterna med både vården och omsorgen. Den person som den enskilde utser, bör således kunna ges elektronisk tillgång till den sammanhållna vård- och omsorgs- dokumentationen, oavsett om uppgifterna härrör från hälso- och sjukvårdens eller från socialtjänstens dokumentation.

Bestämmelsen om elektronisk tillgång i den föreslagna lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsupp- följning bör ha motsvarande innebörd och utformning som den föreslagna bestämmelsen om elektronisk tillgång i patientdatalagen. Utredningen hänvisar därför i denna del till sina överväganden i avsnitt 6.4 ovan. Här är det dock i stället uppgifter som ingår i sam- manhållen vård- och omsorgsdokumentation och beskrivs i 13 § första stycket i den förslagna lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning som omfattas. För den närmare innebörden av sammanhållen vård- och omsorgsdoku- mentation hänvisas till kapitel 16 i delbetänkandet. Där förklaras ingående vad som avses med omsorgsmottagare, omsorgsgivare, vilka uppgifter som får ingå i sammanhållen vård- och omsorgsdoku- mentation och vilka insatser som omfattas.

Till skillnad från i den föreslagna bestämmelsen i patientdata- lagen, där utredningen använder begreppet ”enskild”, föreslås här att den enskilde beskrivs med begreppen patienten eller omsorgs- mottagaren. Detta för att anknyta till de begrepp som används i de föreslagna bestämmelserna om sammanhållen vård- och omsorgs- dokumentation. Det krävs dock inte att personen har en aktuell patientrelation eller en pågående omsorgsinsats för att kunna lämna sitt medgivande till att en annan fysisk person som denne känner personligen får elektronisk tillgång till uppgifterna.

144

SOU 2021:39

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

Utlämnande bör få ske genom direktåtkomst eller annat elektro- niskt utlämnande, se motiveringen ovan i avsnitt 6.4.6. Utlämnandet får bara avse sådana uppgifter om patienten eller omsorgsmottagaren själv som får lämnas ut till honom eller henne och som en annan vård- eller omsorgsgivare får ha tillgång till genom sammanhållen vård- och omsorgsdokumentation. En vård- eller omsorgsgivare får således enligt den föreslagna bestämmelsen bara ge elektronisk till- gång till uppgifter som denne själv har dokumenterat och gjort tillgängliga för andra vård- och omsorgsgivare och inte till uppgifter hos andra vård- och omsorgsgivare som vård- eller omsorgsgivaren bara har tillgång till genom sammanhållen vård- och omsorgsdoku- mentation. Det kan dock antas att de allra flesta vård- och omsorgs- givare kommer att anlita ett och samma personuppgiftsbiträde för att hantera den elektroniska tillgången. Därmed bör patienten eller omsorgsmottagaren i praktiken kunna ges en enkel möjlighet att medge elektronisk tillgång till uppgifter hos alla vård- eller omsorgs- givare som anlitat samma personuppgiftsbiträde. På motsvarande sätt som beskrivits i avsnitt 6.4.7 bör den elektroniska tillgången på patientens eller omsorgsmottagarens begäran kunna begränsas till uppgifter registrerade efter ett visst datum eller vid en viss organi- satorisk enhet. Med ”organisatorisk enhet” är tanken att det är vård- eller omsorgsgivaren själv som avgör vilka organisatoriska enheter den har och gränserna mellan dem.

Det bör också här finnas en skyldighet att genast anmäla till den vård- eller omsorgsgivare som gett tillgången, om någon inom hälso- och sjukvårdspersonalen eller som utför arbetsuppgifter inom social- tjänsten får anledning att misstänka att patientens eller omsorgs- mottagarens medgivande inte ger uttryck för patientens eller omsorgsmottagarens fria vilja. Hälso- och sjukvårdspersonalen ska även anmäla om den får misstanke om att patienten eller omsorgsmot- tagaren inte längre är i stånd att lämna ett medgivande eller om miss- tanken avser att patienten eller omsorgsmottagaren inte känner den som fått tillgång personligen.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om säkerhetsåtgärder vid elektronisk tillgång. En upplysning om detta bör tas in i lagen. Se avsnitt 16.13.2 i delbetänkandet och avsnitt 6.4.9 för närmare motivering.

145

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

SOU 2021:39

Iden föreslagna lagen om sammanhållen vård- och omsorgs- dokumentation och kvalitetsuppföljning bör det upplysas om att det

ipatientdatalagen finns ytterligare bestämmelser om elektronisk till- gång för patienten och andra till uppgifter hos vårdgivare om patien- ten själv.

6.6Förhållandet till dataskyddsförordningen

Utredningens bedömning: Det är förenligt med dataskydds- förordningen att införa bestämmelser i svensk rätt som ger vård- och omsorgsgivare möjlighet att, i enlighet med ett frivilligt med- givande, ge någon utanför vården och omsorgen som patienten eller omsorgsmottagaren känner personligen elektronisk tillgång till patientuppgifter och sammanhållen vård- och omsorgsdoku- mentation.

Den rättsliga grunden för att behandla personuppgifterna är, i vart fall, utförandet av en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. Stödet för att behandla känsliga personuppgifter finns i artikel 9.2 h i dataskyddsförord- ningen.

6.6.1Inledning

En förutsättning för att införa bestämmelser som ger vård- och omsorgsgivare möjlighet att, i enlighet med ett frivilligt medgivande, ge någon utanför vården och omsorgen som patienten eller omsorgs- mottagaren känner personligen elektronisk tillgång till patientupp- gifter och sammanhållen vård- och omsorgsdokumentation är att detta är förenligt med dataskyddsförordningen. I kapitel 4 i delbetän- kandet har utredningen gjort en genomgång av dataskyddsförord- ningen, bl.a. om vad som utgör behandling av personuppgifter, vad som är en rättslig grund för att behandla personuppgifter och de särskilda förutsättningar som krävs för att få behandla känsliga personuppgifter. I avsnitt 15.3 i delbetänkandet har utredningen redogjort för sina bedömningar om sammanhållen vård- och omsorgs- dokumentation och kvalitetsuppföljning och förhållandet till data- skyddsförordningen. Utredningen hänvisar till kapitel 4 respektive

146

SOU 2021:39

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

avsnitt 15.3 i delbetänkandet för en fylligare genomgång av kravet på rättslig grund enligt dataskyddsförordningen.

6.6.2Vård- och omsorgsgivares behandling av personuppgifterna

Rättslig grund för behandlingen

För att en behandling av personuppgifter ska vara tillåten, behöver den stödja sig på (minst) en av de rättsliga grunder som räknas upp i artikel 6.1 i dataskyddsförordningen (jfr avsnitt 4.6 i delbetän- kandet). Av artikel 4 i dataskyddsförordningen framgår att utläm- ning genom överföring är en form av behandling av personuppgifter. Utlämnandet utgör således i sig en behandling av personuppgifter i dataskyddsförordningens mening, och måste därför ha en rättslig grund i artikel 6.1 i dataskyddsförordningen.

Den rättsliga grunden för att myndigheter ska få behandla person- uppgifter är i regel att det är nödvändigt för att utföra en arbets- uppgift av allmänt intresse (artikel 6.1 e i dataskyddsförordningen) alternativt fullgöra en rättslig förpliktelse (artikel 6.1 c i dataskydds- förordningen).30 Regeringen har uttalat att sådan verksamhet som en statlig eller kommunal myndighet bedriver inom ramen för sin befogenhet är ett allmänt intresse.31 Det står vidare klart att hälso- och sjukvård samt socialtjänst, inklusive den behandling av person- uppgifter som är nödvändig för att utföra arbetsuppgifterna, är sådana allmänna intressen som avses i artikel 6.1 e i dataskydds- förordningen.32

Den behandling av personuppgifter som sker inom hälso- och sjukvården genom insamling och sedermera dokumentation i patient- journal har stöd i ändamålsbestämmelsen i 2 kap. 4 § 1 och 2 samt 3 kap. patientdatalagen om skyldigheten att dokumentera i patient- journal. Detta bygger i sin tur, enligt utredningens och tidigare utred- ningars bedömning, på (i vart fall33) den rättsliga grunden rättslig förpliktelse (artikel 6.1 c i dataskyddsförordningen). Motsvarande

30Prop. 2017/18:105 s. 57 och SOU 2021:4 s. 340 f.

31Prop. 2017/18:105 s. 57.

32Jfr delbetänkandet avsnitt 4.6 samt där redovisade förarbetsuttalanden.

33Regeringen har uttalat att flera rättsliga grunder samtidigt kan vara tillämpliga i vissa situationer (prop. 2017/18:105 s. 57). Det får i det enskilda fallet ankomma på den personuppgiftsansvarige att – som alltid – klargöra med stöd av vilken rättslig grund som behandlingen sker.

147

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

SOU 2021:39

gäller för den dokumentation som socialtjänsten behöver utföra om enskilda med stöd av ändamålsbestämmelsen i 6 § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten (SoLPUL) och den dokumentationsskyldighet som finns i socialtjänstlagen.34

En fråga som då uppkommer är om utlämnandet av patientupp- gifter respektive sammanhållen vård- och omsorgsdokumentation i enlighet med patientens eller omsorgsmottagarens medgivande kan ses som ett utflöde av den rättsliga förpliktelsen att föra patient- journal och dokumentera inom socialtjänsten eller om det snarare bör ses som en arbetsuppgift av allmänt intresse.

Av 2 kap. 5 § patientdatalagen följer, att personuppgifter som behandlas för ändamål som anges i 4 § samma lag också får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Behandling av personuppgifter för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller för- ordning enligt 2 kap. 5 § patientdatalagen utgör en rättslig förplik- telse (artikel 6.1 c i dataskyddsförordningen) om det sker på grund av en uppgiftsskyldighet. Socialdataskyddsutredningen bedömde att, i den mån uppgiftslämnandet inte grundar sig på en skyldighet utan på en möjlighet att lämna uppgifter, får uppgiftslämnandet i stället anses utgöra en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen.35

Av 6 § andra stycket SoLPUL framgår att personuppgifter får behandlas för uppgiftsutlämnande som föreskrivs i lag eller förord- ning. Socialdataskyddsutredningen har uttalat att sådant uppgifts- utlämnande sker till följd av en rättslig förpliktelse och därmed har stöd i artikel 6.1 c i dataskyddsförordningen.36 I den mån uppgifts- lämnandet inte grundar sig på en skyldighet utan på en möjlighet att lämna uppgifter, anser utredningen att uppgiftslämnandet även här får anses utgöra en arbetsuppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen.

Som nämnts kommer utredningen endast att föreslå en frivillig möjlighet för vård- och omsorgsgivare att ge en fysisk person till- gång till uppgifterna. Det är således inte fråga om någon uppgifts- skyldighet. Därför är det enligt utredningens bedömning inte fråga om en rättslig förpliktelse. Genom att föreslå bestämmelser i patient-

34Jfr Socialdataskyddsutredningens bedömning SOU 2017:66 s. 326 och 396 f.

35SOU 2017:66 s. 326 f.

36SOU 2017:66 s. 397.

148

SOU 2021:39

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

datalagen och den i delbetänkandet föreslagna lagen om samman- hållen vård- och omsorgsdokumentation och kvalitetsuppföljning som stöd för att lämna ut uppgifterna, kommer det att finnas stöd – men inte någon skyldighet – i nationell rätt för att lämna ut personuppgifterna (jfr 2 kap. 5 § patientdatalagen respektive 6 § andra stycket SoLPUL). Vård- och omsorgsgivares behandling genom utlämnandet av patientuppgifter och vård- och omsorgs- dokumentation får, i detta sammanhang, ses som behandling av personuppgifter som sker för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag.

Att utföra vården och omsorgen är en arbetsuppgift av allmänt intresse. Syftet med att låta patienter och omsorgsmottagare medge någon utanför vården och omsorgen elektronisk tillgång till upp- gifter är att öka patienters och omsorgsmottagares delaktighet i just vården och omsorgen. Den behandling av personuppgifter som sker genom utlämnandet i enlighet med patientens eller omsorgsgivarens medgivande är därför, enligt utredningens mening, nödvändig för att utföra en arbetsuppgift av allmänt intresse (artikel 6.1 e i dataskydds- förordningen).

En annan rättslig grund som skulle kunna ligga nära till hands när det som här är fråga om att med stöd av patientens eller omsorgs- mottagarens medgivande lämna ut uppgifter, är att den registrerade har lämnat sitt samtycke till behandlingen. Samtycke som rättslig grund kan dock ofta inte användas av myndigheter när de fullgör sina arbetsuppgifter (skäl 43 till dataskyddsförordningen). Myndig- heternas utrymme för att grunda behandling på samtycke från den registrerade anses därför vara begränsat, i vart fall i sådana situationer där det är osannolikt att ett samtycke lämnas frivilligt.37 Den rättsliga grunden för att vård- och omsorgsgivare ska få behandla person- uppgifter med stöd av den bestämmelse som föreslås bör inte i första hand vara samtycke utan utförandet av en arbetsuppgift av allmänt intresse. Den registrerades medgivande till att ge en annan fysisk person elektronisk tillgång till uppgifterna får i första hand ses som en integritetsstärkande åtgärd. En annan sak är att den registrerades medgivande är en förutsättning för att häva den sekretess som råder för uppgifterna i förhållande till en person utanför hälso- och sjuk- vården eller socialtjänsten, och som annars hade hindrat ett utläm- nande (se nedan avsnitt 6.7).

37Prop. 2017/18:105 s. 56.

149

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

SOU 2021:39

Att registrera patientens medgivande till att ge en annan fysisk person elektronisk tillgång till patientuppgifter utgör i sig en behand- ling av personuppgifter. Denna behandling är nödvändig för att den personuppgiftsansvarige ska kunna hantera medgivanden och åter- kallelser. Även denna behandling av personuppgifter är därför nöd- vändig för att utföra en arbetsuppgift av allmänt intresse.

Stöd för att behandla känsliga personuppgifter

De uppgifter som lämnas ut kommer i allmänhet att vara känsliga personuppgifter om hälsa som enligt huvudregeln i artikel 9.1 i data- skyddsförordningen inte får behandlas. Det innebär att något av undantagen i artikel 9.2 i dataskyddsförordningen för att få behandla känsliga personuppgifter behöver vara uppfyllda (se närmare avsnitt 4.8 i delbetänkandet).

Som utredningen redovisat i avsnitt 4.8.3 i delbetänkandet finns det stöd i artikel 9.2 h i dataskyddsförordningen och 3 kap. 5 § dataskyddslagen för att behandla känsliga personuppgifter inom hälso- och sjukvård och social omsorg. Uppräkningen i artikel 9.2 h i dataskyddsförordningen lär i praktiken täcka nästan all behandling av känsliga personuppgifter som förekommer inom hälso- och sjuk- vårdsområdet samt socialtjänsten.38 Utredningen bedömer att den möjlighet som nu föreslås, nämligen att, i enlighet med patientens eller omsorgsmottagarens medgivande, ge någon utanför hälso- och sjukvården och socialtjänsten som patienten eller omsorgsmot- tagaren känner personligen elektronisk tillgång till patientuppgifter och sammanhållen vård- och omsorgsdokumentation, är en sådan typ av behandling som har stöd i artikel 9.2 h i dataskyddsförord- ningen och 3 kap. 5 § dataskyddslagen.

Behandling får ske under förutsättning att kravet på tystnadsplikt som följer av artikel 9.3 i dataskyddsförordningen är uppfyllt. Inom hälso- och sjukvården och socialtjänsten gäller som regel tystnads- plikt, både i den offentliga och i den privata sektorn. I regel råder stark sekretess för den typ av personuppgifter som förkommer inom hälso- och sjukvård och socialtjänst. Det innebär att kravet på

38Sören Öman, Dataskyddsförordningen (GDPR) m.m. – En kommentar, kommentaren till artikel 9. JUNO version:1A.

150

SOU 2021:39

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

tystnadsplikt som följer av artikel 9.3 i dataskyddsförordningen är uppfyllt.

6.6.3Ombudets behandling av personuppgifterna

Den fysiska person som får elektronisk tillgång till patientuppgifter eller sammanhållen vård- och omsorgsdokumentation utför i sin tur en behandling av personuppgifter, exempelvis genom läsning av personuppgifterna. Frågan är hur denna behandling förhåller sig till dataskyddsförordningen.

Utredningen anser att ledning kan hämtas från förarbetena till lagen om nationell läkemedelslista. Där anförde regeringen att möjligheten att genom en fullmakt utse en annan fysisk person som kan få direktåtkomst till uppgifter i den nationella läkemedelslistan främst torde bli aktuell i privata relationer. Det kan t.ex. handla om en närstående till en äldre person som genom en sådan fullmakt kan vara behjälplig med den äldres läkemedelsanvändning. Den behand- ling av personuppgifter som den närstående då utför ligger, enligt regeringens bedömning, utanför dataskyddsförordningens tillämp- ningsområde enligt artikel 2.2 c i förordningen. Detta eftersom det då rör sig om en fysisk person som behandlar personuppgifter som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll. Regeringen anförde också att om en patient genom en fullmakt utser en fysisk person att få direktåtkomst till uppgifter i den nationella läkemedelslistan och omständigheterna är sådana att ombudets behandling av personuppgifter omfattas av data- skyddsförordningen, måste behandlingen givetvis vara förenlig med tillämpliga dataskyddsregler.39

Det ska nämnas att den som endast har tillgång till person- uppgifter i en uppgiftssamling genom att t.ex. söka bland och läsa dessa, men varken har någon faktiskt eller rättslig möjlighet att ändra, komplettera eller radera personuppgifterna, inte anses vara personuppgiftsansvarig. Den som bara har sådan begränsad tillgång till personuppgifterna anses inte ha sådan bestämmanderätt över ändamålen och medlen för behandlingen av personuppgifter att han eller hon kan anses som personuppgiftsansvarig.40 I patientdatalagen

39Prop. 2017/18:223 s. 165 f.

40Sören Öman, Dataskyddsförordningen (GDPR m.m.) – En kommentar, kommentaren till artikel 4.7, JUNO version:1A

151

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

SOU 2021:39

har dock införts en specialbestämmelse som klargör att, när en vård- givare via direktåtkomst bereder sig elektronisk tillgång till person- uppgifter om patienter hos en annan vårdgivare för att söka efter och läsa vårddokumentation, blir denne i det fallet personuppgifts- ansvarig för denna behandling (se 2 kap. 6 § andra stycket PDL). Detta hänger samman med att en vårdgivare enligt patientdatalagen är personuppgiftsansvarig för all den behandling av personuppgifter som vårdgivaren utför.41

Utredningen anser att motsvarande resonemang som i för- arbetena till lagen om nationell läkemedelslista bör gälla avseende den behandling av personuppgifterna som den fysiska personen som medgetts elektronisk tillgång utför när denne tar del av uppgifterna. Enligt utredningens förslag ska elektronisk tillgång endast få ges till fysiska personer som patienten eller omsorgsmottagaren uppger sig känna personligen. Som tidigare nämnts avses någon form av rela- tion i patientens privata sfär. Det ska alltså typiskt sett inte vara fråga om någon yrkesmässig verksamhet. Som utredningen angett ovan, kan det dock tänkas att en patient har en legal ställföreträdare i form av en god man eller förvaltare som han eller hon personligen känner på det sätt som avses. I regel bör det därför även här i vart fall vara fråga om sådan behandling av personuppgifter som utförs av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll. Därmed är dataskydds- förordningen inte tillämplig på personens behandling av person- uppgifterna. Skulle det i ett enskilt fall trots allt vara fråga om en behandling som omfattas av dataskyddsförordningen och som personen är personuppgiftsansvarig för, måste personens behandling givetvis vara förenlig med tillämpliga dataskyddsbestämmelser. Om en vård- eller omsorgsgivare får reda på att uppgifterna obehörigt sprids vidare av personen, kan dennes elektroniska tillgång genast avbrytas.

41Prop. 2007/08:126 s. 62.

152

SOU 2021:39

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

6.7Förhållandet till sekretess och tystnadsplikt

Utredningens bedömning: Utlämnandet till en fysisk person utanför hälso- och sjukvården och socialtjänsten bygger på att patienten eller omsorgsmottagaren medger det elektroniska ut- lämnandet och därmed häver sekretessen i förhållande till personen. Därför är det förenligt med regelverket om sekretess och tystnads- plikt att införa bestämmelser som tillåter ett sådant utlämnande.

När en myndighet lämnar ut allmänna handlingar som innehåller personuppgifter, utgör själva utlämnandet en behandling av person- uppgifter enligt dataskyddsförordningen. Samtidigt är det fråga om ett röjande av uppgifterna i sekretesslagstiftningens mening. Att ge någon utanför hälso- och sjukvården och socialtjänsten, som patienten eller omsorgsmottagaren känner personligen, elektronisk tillgång till patientuppgifter och sammanhållen vård- och omsorgsdokumen- tation, innebär alltså att det sker ett utlämnande av uppgifter i offent- lighets- och sekretesslagens mening. Sekretesskyddet för enskildas personliga förhållanden i hälso- och sjukvård och socialtjänst syftar till att skydda uppgifter om patienten och omsorgsmottagaren (25 kap. 1 § respektive 26 kap. 1 § OSL). Sekretessen gäller dock i regel inte i förhållande till patienten eller omsorgsmottagaren själv. Man brukar tala om att den enskilde disponerar sin egen sekretess. Den enskilde kan välja att, helt eller delvis, häva sekretessen som gäller till skydd för honom eller henne genom att medge att upp- gifter lämnas ut till någon annan (12 kap. 2 § OSL). Genom ett sådant medgivande hävs sekretessen i förhållande till det utlämnande som den enskilde medgett.

Patienter och omsorgsmottagare kan redan i dag förfoga över sina uppgifter och t.ex. välja att låta en närstående ta del av dem. På motsvarande sätt kommer patienter och omsorgsmottagare, om utredningens föreslag genomförs, att kunna välja att disponera sekretessen och lämna sitt medgivande till att uppgifterna lämnas ut till en fysisk person så att denne får elektronisk tillgång till dem. Genom ett sådant medgivande bryts den sekretess som annars gäller för uppgifterna i förhållande till den person till vilken medgivandet gäller. På motsvarande sätt blir röjandet genom den elektroniska tillgången inte obehörigt och i strid med den tystnadsplikt som gäller inom den privata hälso- och sjukvården och socialtjänsten.

153

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

SOU 2021:39

Det ska framhållas att den elektroniska tillgången inte ska om- fatta sådana uppgifter för vilka sekretess i undantagsfall gäller mot patienten eller omsorgsmottagaren. Motsvarande gäller också i dag för de uppgifter som patienten själv kan få tillgång till genom direkt- åtkomst (5 kap. 5 § PDL).

Ett medgivande till att lämna ut uppgifter kan lämnas i förväg, men det måste vara aktuellt, relevant och specifikt. Ett medgivande till utlämnande av uppgifter anses inte kunna vara så generellt att en enskild helt avstår från sekretess t.ex. hos en viss myndighet eller tjänsteman. Genom de integritetsstärkande åtgärder som föreslås (se avsnitt 6.2.4) anser utredningen att det på ett proportionerligt och väl avvägt sätt skapas förutsättningar för att lämna ett i sekretess- hänseende relevant och giltigt medgivande till utlämnandet. Efter- som patienten eller omsorgsmottagaren när som helst och utan några formkrav kan återkalla sitt medgivande, så att den elektroniska tillgången spärras, säkerställs kravet på att det handlar om ett aktuellt samtycke. Genom att patienten eller omsorgsmottagaren själv väljer vem som får medges elektronisk tillgång, samt föreslås kunna begränsa den elektroniska tillgången till uppgifter registrerade efter ett visst datum eller vid en viss enhet hos vård- eller omsorgsgivaren, uppnås kravet på att det ska röra sig om ett specifikt medgivande.

Som utredningen nämnt kan det finnas en risk för att den som lämnat ett frivilligt medgivande senare blir oförmögen att själv ta tillbaka medgivandet. För att vårdgivaren ska uppmärksamma om personen blivit varaktigt beslutsoförmögen och kunna överväga om den elektroniska tillgången bör avslutas, föreslår utredningen att hälso- och sjukvårdspersonalen och de som utför arbetsuppgifter inom socialtjänsten, ska vara skyldiga att anmäla misstankar om att patienten inte längre kan lämna ett medgivande (se avsnitt 6.4.8). Detta säkerställer enligt utredningen på ett tillräckligt sätt att med- givandet är aktuellt även när det gäller personer som blivit varaktigt beslutsoförmögna.

Även barn ska enligt utredningens förslag kunna lämna ett med- givande till elektronisk tillgång. Det föreslås inga specialregler om barns medgivande. Detta får anpassas efter omständigheterna i det enskilda fallet och det aktuella barnets ålder och mognad. När det gäller att bedöma möjligheten för ett barn att lämna sitt medgivande utvecklar utredningen detta närmare i avsnitt 6.4.5.

154

SOU 2021:39

Ombuds elektroniska tillgång till vård- och omsorgsuppgifter

En ytterligare aspekt när det gäller förhållandet till sekretess och tystnadsplikt är att sekretess gäller för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen (21 kap. 7 § OSL). Eftersom bestäm- melsen kommer att vara så utformad att tillgång endast får ges en fysisk person som patienten eller omsorgsmottagaren känner person- ligen, kommer det oftast att handla om sådan s.k. rent privat behand- ling som inte omfattas av dataskyddsförordningen. Därmed finns det i regel inte skäl att anta att uppgifterna skulle behandlas i strid med dataskyddsförordningen. Om en vård- eller omsorgsgivare får anled- ning att misstänka att behandlingen skulle stå i strid med dataskydds- förordningen, kan den elektroniska tillgången genast avbrytas.

155

7 HOSP-registret på internet

7.1Inledning

Under de senaste åren har antalet förfrågningarna till Socialstyrelsen om uppgifter i HOSP-registret ökat. Förfrågningar kommer från flera olika aktörer, såväl offentliga som enskilda. Med enskilda menas både fysiska personer och privata juridiska personer. Ett grund- läggande syfte med att låta vissa uppgifter i HOSP-registret vara tillgängliga på internet för allmänheten skulle vara att bidra till en ökad patientsäkerhet bl.a. genom att det gör det svårare för icke- legitimerade att uppträda som sådana. Om uppgifter i HOSP- registret finns enkelt tillgängliga för allmänheten skulle också Social- styrelsens arbete med att svara på frågor om innehållet i registret bli mindre omfattande och billigare. Mot detta ska ställas vikten av att skyddet för den personliga integriteten upprätthålls.

Utredningen har i uppdrag att analysera de rättsliga förutsätt- ningarna för att tillgängliggöra vissa uppgifter i HOSP-registret för allmänheten, t.ex. via internet, och bedöma vilka uppgifter som är relevanta att göra tillgängliga på det sättet. Utredningen kan inte se att ett tillgängliggörande för allmänheten i dag kan göras bättre än öppet på internet och berör därför bara detta alternativ.

I detta kapitel redovisas först behovet för allmänheten av att enkelt kunna kontrollera om en person har en viss legitimation och vissa andra positiva effekter av att detta görs möjligt. Därefter redo- visas integritetsrisker med att göra så och de integritetsstärkande åtgärder som bör vidtas, varpå en samlad integritetsanalys med en avvägning mellan fördelar och integritetsrisker redovisas. Sedan redogör utredningen för sina överväganden och förslag när det gäller att på internet tillgängliggöra vissa uppgifter i HOSP-registret för allmänheten. Det redovisas särskilt vilka sökbegrepp som bör vara tillåtna och vilka uppgifter i HOSP-registret som bör visas i sök-

157

HOSP-registret på internet

SOU 2021:39

resultatet. Avslutningsvis berörs nödvändiga följdändringar i form av ett nytt ändamål för behandlingen av personuppgifterna i registret och en föreskrift om undantag från s.k. folkbokföringssekretess.

7.2Allmänhetens behov av att kunna söka uppgifterna på internet

Utredningens bedömning: Det finns ett befogat behov av att allmänheten på internet kan kontrollera om en person har en viss legitimation.

Mot bakgrund av syftet med legitimering av hälso- och sjuk- vårdspersonal framstår det som motiverat att göra information om de registrerades behörighet mer tillgänglig än vad som är fallet i dag. Det bidrar till en förbättrad patientsäkerhet. Därtill kan det ses som en nödvändig anpassning till dagens internationalisering och mer globala arbetsmarknad, framför allt i förhållande till våra grannländer.

Det finns också ett behov av att effektivisera Socialstyrelsens hantering av förfrågningar om uppgifter i HOSP-registret. En mer automatiserad hantering skulle underlätta för Socialstyrelsen, minska kostnaderna och bidra till en ökad patientsäkerhet.

7.2.1Inledning

Redan de huvudsakliga ändamålen för legitimationssystemet – att bara vissa individer ska få utföra vissa arbetsuppgifter inom hälso- och sjukvården – och HOSP-registret – att ha en aktuell förteckning över legitimerad hälso- och sjukvårdspersonal – gör att snart sagt vem som helst kan komma att behöva kontrollera uppgifter i HOSP- registret för att förvissa sig om att den som ska göra något inom hälso- och sjukvården får göra det. Att det finns ett legitimt och berättigat behov för allmänheten, var och en, att få veta om någon har en viss legitimation står därmed klart för utredningen. I det följande beskrivs behoven för olika kategorier av intressenter närmare.

158

SOU 2021:39

HOSP-registret på internet

7.2.2Svenska användares behov

Enligt uppgift från Socialstyrelsen har andelen förfrågningar om uppgifter ur HOSP-registret ökat de senaste åren. I de flesta fall handlar det om att ta reda på om en viss person är legitimerad eller vilken specialitet yrkesutövaren har. Utan större utredningsinsatser är det svårt att ange hur stor andel av förfrågningarna från enskilda som kommer från fysiska personer respektive juridiska personer.

Även svenska myndigheter kan ha behov av att kontrollera om någon har en viss legitimation utan att de har behov av direktåtkomst till uppgifterna i HOSP-registret. Hälso- och sjukvårdens ansvars- nämnd (HSAN) är ett uppenbart exempel, men nästan varje svensk myndighet kan åtminstone ibland behöva kontrollera t.ex. vilken behörighet den som skrivit ett intyg har. I dag har endast offentliga vårdgivare, Inspektionen för vård och omsorg och Transportstyrelsen möjlighet till direktåtkomst till uppgifterna i HOSP-registret. I kapitel 8 berör utredningen möjligheterna för andra aktörer att få tillgång till uppgifterna genom direktåtkomst eller annat elektroniskt utlämnande.

För de yrkesgrupper inom hälso- och sjukvården där det krävs legitimation innebär arbetet ett särskilt ansvar för patienternas säkerhet. Den legitimerade har godkänts för yrkesverksamhet inom det område som legitimationen avser och står under samhällets till- syn. Legitimationen kan därmed ses som en garanti för att en person har en viss kunskapsnivå och sådana personliga egenskaper att denne är förtjänt av allmänhetens och myndigheternas förtroende när det gäller yrkesutövningen. Mot denna bakgrund framstår det som motiverat att göra information om de som är registrerade lättare tillgänglig än vad som är fallet i dag. Den som vill anställa eller annars anlita någon som har en viss behörighet behöver kunna kontrollera om personen har en viss legitimation. Det gäller i synnerhet privata vårdgivare och bemanningsföretag som tillhandahåller hälso- och sjukvårdspersonal, men även andra. Enligt Socialstyrelsen kommer en betydande andel av förfrågningarna om uppgifter i registret från just bemanningsföretag.

Också den som har en legitimation kan vilja kontrollera att den är korrekt registrerad.

159

HOSP-registret på internet

SOU 2021:39

7.2.3Utländska användares behov

Utredningen redovisar i avsnitt 5.2.5 kortfattat motsvarande upp- gifters tillgänglighet i framför allt Sveriges grannländer. Det kan här uppmärksammas att det svenska systemet vid en jämförelse framstår som restriktivt i förhållande till dessa länders system.

Sverige, Norge, Danmark, Finland och Island har träffat en överens- kommelse1 om en gemensam arbetsmarknad för viss hälso- och sjuk- vårdspersonal för de nordiska länderna. Huvudregeln i den nordiska överenskommelsen innebär att den som har legitimation eller aukto- risation att utöva ett reglerat yrke i ett nordiskt land ska ha rätt att få behörighet även i annat nordiskt land. Detta medför ett ständigt behov inom hela Norden av att lätt kunna kontrollera svenska legi- timationer för hälso- och sjukvårdspersonal.

Den fria rörligheten för arbetstagare är sedan år 1957 en av hörn- stenarna i Europeiska unionen (EU). Den innebär en rätt att söka arbete, arbeta och bosätta sig i en medlemsstat på samma villkor som medlemsstatens egna medborgare. Inom EES-området råder dess- utom fri rörlighet för hälso- och sjukvårdspersonal. Detta möjlig- görs genom det ömsesidiga erkännandet av yrkeskvalifikationer för reglerade vårdyrken i medlemsstaterna, yrkeskvalifikationsdirek- tivet2. Yrkeskvalifikationsdirektivet innebär dock inte att t.ex. en svensk läkare får arbeta som det i en annan medlemsstat endast med stöd av sin svenska legitimation. Det krävs som huvudregel en legi- timation som utfärdas av mottagande medlemsstats myndigheter. Varje medlemsstat måste ge en läkare med godkänt utbildnings- eller kompetensbevis från en annan medlemsstat tillstånd att utöva yrket (legitimation), när det begärs och tillräcklig dokumentation lämnats. Behöriga myndigheter för de reglerade yrken som har konsekvenser för patientsäkerhet ska informera motsvarande myndigheter i andra länder om yrkesutövare som begränsats eller förbjudits utöva yrket. Men behovet av att på ett enkelt sätt kunna kontrollera en yrkes- utövares svenska behörighet finns hos såväl enskilda fysiska perso- ner som juridiska personer och myndigheter inom hela EES.

1Det finns sedan år 1982 en nordisk överenskommelse om gemensam arbetsmarknad, överens- kommelsen har reviderats genom SÖ 1994:2 Överenskommelse om nordisk arbetsmarknad för viss hälso- och sjukvårdspersonal och veterinärer (Arjeplogavtalet), ändrad genom SÖ 2001:5 och senast år 2018 med ändringar som trädde ikraft den 1 februari 2020.

2Med yrkeskvalifikationsdirektivet avses Europaparlamentets och rådets direktiv 2005/36/EG av den 7 september 2005 om erkännande av yrkeskvalifikationer, som ändrats genom Europaparla- mentets och rådets direktiv 2013/55/EU.

160

SOU 2021:39

HOSP-registret på internet

Ett annat exempel är det EU-samarbete om förskrivning av läke- medel och expediering av e-recept som innebär att utlänningar kan behöva kontrollera att en svensk förskrivare är behörig att förskriva läkemedel.3 Även vid remittering av patienter till utlandet kan det finnas behov för utlänningar att kontrollera remittentens legitimation. Motsvarande behov kan finnas vid internationellt biståndsarbete, internationella forskningssamarbeten och internationell läkemedels- prövning.

Att det för aktörer utanför Sveriges gränser behöver bli lättare än i dag att kontrollera behörigheten för personer som uppger sig ha svensk legitimation fördes fram redan i remissvaren på det tidigare förslaget om ett publikt HOSP-register (SOU 2012:42).4

7.2.4Patienters behov

Det har blivit vanligare att patienten vill vara delaktig i sin vård, vilket kan vara en anledning till det ökade intresset för uppgifterna i HOSP- registret från fysiska personer. En annan bidragande orsak skulle kunna vara den strukturella förändring som skett inom hälso- och sjukvården där andelen privata vårdgivare ökat, liksom användandet av bemanningsföretag. Bakom den fysiska personen som gör för- frågan kan dölja sig ett företag som behöver uppgifterna.

Som redovisas i kapitel 5 föreslog Utredningen om rätt infor- mation i vård och omsorg i sitt delbetänkande SOU 2012:42 att vissa uppgifter i HOSP-registret skulle göras tillgängliga för allmänheten genom direktåtkomst. En majoritet av remissinstanserna såg också ett behov av ett publikt register. Förslaget ledde dock inte till någon sådan förändring. De remissinstanser som inte var för förslaget pekade främst på risken att den som inte finns sökbar i det publika registret riskerar att bli felaktigt misstänkliggjord. Det hängde samman med frågan om den hälso- och sjukvårdspersonal som arbetar under prövotid eller har behörighetsbegränsningar skulle finnas med i det publika registret eller inte. I dessa fall handlade farhågorna alltså i första hand om vilka uppgifter som skulle vara tillgängliga. Den frågan återkommer utredningen till nedan. Det fanns emellertid också synpunkter på huruvida registret skulle göras tillgängligt på

3Jfr dir. 2020:80 Vissa frågor om förskrivning och expediering av elektroniska recept inom EES.

4Se t.ex. Kommerskollegiums remissvar på SOU 2012:42.

161

HOSP-registret på internet

SOU 2021:39

internet samt att allmänheten inte skulle vara särskilt hjälpt av sök- resultaten. Flera remissinstanser förde dock fram att det vore en fördel med ett svenskt system mer likt övriga nordiska länders och att patienter i Sverige borde ha samma möjligheter att själva ta del av uppgifter om yrkesutövares behörighet inom hälso- och sjukvården.5

Som ovan angetts kan legitimationen ses som en garanti för att en person har en viss kunskapsnivå och sådana personliga egenskaper att denne är förtjänt av allmänhetens och myndigheternas för- troende när det gäller yrkesutövningen. Enligt utredningens bedöm- ning är det visserligen rimligt att en aktiv och delaktig patient har möjlighet att snabbt och enkelt själv förvissa sig om att han eller hon kommer att vårdas av en person med rätt legitimation. Det skulle kunna motivera att göra information om de som är registrerade lättare tillgänglig även för patienter. Utöver det kan det finnas ett befogat intresse hos närstående till en patient, särskilt den som har svårt att reda sig själv, av att kontrollera att de som vårdar den anhörige är behöriga.

Med detta sagt ska det dock understrykas att ansvaret för att vårdpersonal har rätt behörighet vilar på vårdgivaren.

Som framgår i avsnitt 7.7 finns det tungt vägande skäl för att bara tillåta person- och samordningsnummer som sökbegrepp, vilket gör att sökfunktionen i praktiken får mindre betydelse för patienter som bara undantagsvis kan antas känna till numret.

7.2.5Allmänhetens tillgång på internet till uppgifter i andra svenska yrkesregister

Som utredningen redogör för i kapitel 5 är det inte främmande att register med personuppgifter för personer med vissa behörigheter eller yrken görs tillgängliga för allmänheten på internet. I de givna exemplen, som rör fastighetsmäklare och revisorer, handlar det om att vissa av dessa registers uppgifter finns tillgängliga genom en sök- funktion, vilket motsvarar en s.k. fråga-svarfunktion. Genom sök- funktionen kan allmänhetens behov av att kontrollera att någon är behörig som regel tillgodoses. Kontrollen sker enkelt och svaret ges i princip omedelbart.

5Se t.ex. Sveriges Kommuner och Landstings (numera Sveriges Kommuner och Regioner) och Region Skånes remissvar på SOU 2012:42.

162

SOU 2021:39

HOSP-registret på internet

Det ska här noteras att uppgifterna i fastighetmäklarregistret och revisorsregistret inte omfattas av folkbokföringssekretess vilket uppgifterna i HOSP-registret gör enligt 6 § offentlighets- och sekre- tessförordningen (2009:641). Det ska också sägas att HOSP- registret med sina 480 000 registrerade personer är betydligt större än både fastighetsmäklarregistret och revisorsregistret, men typen av personuppgifter i registren är likartad. Det finns dock fler uppgifter i fastighetmäklarregistret och revisorsregistret som möjliggör en säkrare identifiering av den registrerade utan att person- eller sam- ordningsnummer används som sökbegrepp.

7.3Andra positiva effekter av att uppgifterna kan sökas på internet

Utredningens bedömning: Om det är möjligt att på internet kontrollera om en person har en viss legitimation, minskar tro- ligen behovet av direktåtkomst till HOSP-registret. Det skulle också bli svårare att oriktigt hävda att man har en legitimation.

Utöver detta skulle Socialstyrelsens hantering av förfråg- ningar om uppgifter i HOSP-registret bli enklare, snabbare och mer kostnadseffektiv. Hanteringen skulle därtill bli säkrare såväl ur ett patientperspektiv som ett integritetsperspektiv.

7.3.1Inledning

Att flera av de behov som redovisas i avsnitt 7.2 kan tillgodoses är givetvis en positiv effekt av att allmänheten på egen hand enkelt på internet kan kontrollera om någon har en viss legitimation. I detta avsnitt redovisas andra positiva effekter av detta.

7.3.2Behovet av direktåtkomst minskar förmodligen

Om de mest efterfrågade uppgifterna i HOSP-registret – uppgifter om någon har en viss legitimation – görs allmänt tillgängliga på inter- net, kommer behovet av direktåtkomst till uppgifterna i registret förmodligen minska. Direktåtkomst innebär att mottagaren har

163

HOSP-registret på internet

SOU 2021:39

möjlighet att själv få fram alla berörda uppgifter i registret, t.ex. en lista med alla personer som har en viss legitimation. Mottagaren behöver dock sällan den möjligheten, utan bara möjligheten att själv kunna ta reda på om en viss person har en viss legitimation. Direkt- åtkomst anses mer integritetskänsligt än andra former av elektro- niskt utlämnande (se närmare bl.a. avsnitt 12.3 i delbetänkandet). Genom att ge allmänheten tillgång till utvalda uppgifter på internet kan alltså en mer integritetskänslig åtkomst i många fall undvikas.

Också förfrågningar om många personer på en gång eller upprepade förfrågningar skulle kunna hanteras genom allmänhetens tillgång på internet om den avsåg även tillgång via ett öppet applikationsprogram- meringsgränssnitt, ett s.k. API6. Se mer om API i avsnitt 7.6.

7.3.3Det blir svårare att luras

I och med möjligheten att enkelt och snabbt på internet kunna kon- trollera en uppgift om att någon har en legitimation blir det svårare att oriktigt hävda att man har den behörighet som följer med en legitimation. Detta kan i sin tur avskräcka personer från att luras om sin behörighet. Även på så sätt kan patientsäkerheten och tilltron till legitimationssystemet stärkas.

7.3.4Socialstyrelsens arbete blir bättre, enklare och billigare

Av utredningens redovisning i kapitel 5 framgår att det är stora mängder förfrågningar om uppgifter från HOSP-registret som varje år kommer till Socialstyrelsen. Det framgår också att antalet för- frågningar tycks öka något för varje år. De flesta förfrågningar kommer via mejl. Enligt uppgifter från Socialstyrelsen anger sökan- den som huvudregel ett (eller flera) personnummer eller samord- ningsnummer i sin förfrågan. I vissa fall anges i stället födelsedatum i kombination med namnuppgifter eller endast namnuppgifter, men med ett sådant förfarande kan myndigheten inte garantera att det är rätt person som svaret avser. Varje sökning sker manuellt genom att en anställd på Socialstyrelsen matar in sökbegrepp, får svar och sedan skickar mejl tillbaka med svaret till sökanden. För förfrågningar via

6Application Programming Interface.

164

SOU 2021:39

HOSP-registret på internet

telefonsamtal är proceduren likartad. I varje enskilt fall görs också en sekretessprövning innan uppgifterna lämnas ut.

Utöver förfrågningar om enstaka uppgifter får Socialstyrelsen också beställningar som avser ett större antal sökningar på en gång. Därtill hanterar Socialstyrelsen varje vardag en fil (lista) med bl.a. person- eller samordningsnummer för anställda inom vård och omsorg från Inera AB7 som är personuppgiftsbiträde åt bl.a. regio- nerna och kommunerna. Socialstyrelsen hämtar filen från en server och skickar den för matchning mot HOSP-registret vilket tar ungefär 15–20 minuter. Efter matchningen skapar Socialstyrelsen en ny fil där varje person- eller samordningsnummer har kompletterats med relevant information i HOSP-registret. Den matchade filen överförs sedan tillbaka till servern för hämtning av Inera AB.

De ovan redovisade exemplen visar tydligt att den manuella hanteringen inte är anpassad för att effektivt hantera mängden för- frågningar. Systemets ineffektivitet riskerar bl.a. att fördröja rekry- teringsprocesser. Om allmänheten själv får tillgång till de viktigaste uppgifterna på internet, kan många manuella förfrågningar till Socialstyrelsen med stor sannolikhet undvikas. Genom egen enkel tillgång till uppgifterna finns det inget incitament att göra manuella förfrågningar. Allmänheten får vidare svar betydligt fortare än vid en manuell förfrågan.

Den manuella hanteringen, där personnummer i t.ex. ett mejl manuellt förs över till en sökruta och svaret manuellt kopieras, inne- bär risker för handhavandefel som kan undvikas genom att processen automatiseras. Automatiseringen innebär visserligen andra risker för t.ex. systematiska fel i programmeringen, men dessa bör enklare kunna hanteras med noggrann testning och löpande uppföljning samt en struktur som förhindrar oavsiktlig spridning av uppgifter.

Att utarbeta och underhålla ett webbgränssnitt och ett API samt att sedan följa upp att gränssnitten fungerar som avsett kostar för- stås, särskilt i det inledande skedet. Det är dock utredningens bedöm- ning att det särskilt på sikt blir avsevärt billigare med en automati- sering än med den manuella hanteringen som kostar mer och mer allteftersom antalet förfrågningar ökar. Redan Socialstyrelsens egna framställningar om att få övergå till automatisering talar tydligt för

7Inera AB ägs av Sveriges Kommuner och Regioner (SKR), via bolaget SKR Företag AB, samt alla regioner och nästan samtliga kommuner.

165

HOSP-registret på internet

SOU 2021:39

det. En övergång till en ökad digitalisering är också i linje med Sveriges digitaliseringsstrategi.8

7.4Integritetsrisker och integritetsstärkande åtgärder

Utredningens bedömning: Att göra vissa uppgifter i HOSP- registret öppet tillgängliga på internet innebär en ökad spridning av personuppgifter och därmed risk för ett ökat integritetsintrång. Integritetsriskerna motverkas genom en integritetsstärkande utformning av regleringen, där såväl sökbegrepp som antalet personuppgifter i sökresultatet begränsas. Risken är acceptabel med hänsyn till hur viktigt det är med en säker identifiering av legitimerad hälso- och sjukvårdspersonal.

Om vissa uppgifter i HOSP-registret är öppet tillgängliga på internet, blir det en ökad spridning av personuppgifter och därmed risk för ett ökat integritetsintrång. Allmänhetens behov och intresse av att behandla personuppgifter för att kunna kontrollera hälso- och sjukvårdspersonals behörighet behöver därför vägas mot de integritet- srisker som är förknippade med behandlingen. I huvudsak gäller att ju större informationsmängder som finns samlade så att person- uppgifter kan sökas och sammanställas på ett enkelt sätt, desto större risk för kontroll över och kartläggning av individer. För varje användare som har tillgång till uppgifter om en viss person, ökar allmänt sett risken för integritetsintrång, obehörigt röjande och andra former av missbruk av personuppgifterna.

Spridningen av personuppgifter kan begränsas genom att bara en funktion för att söka efter om någon, en viss individ, har en legi- timation är tillgänglig på internet. Därmed blir enbart uppgifter om den som faktiskt eftersöks tillgängliga. Man undviker därigenom också att lägga ut listor med personer öppet på internet som kan fångas upp av sökmotorer och därefter visas i deras sökresultat. Inte heller blir det i praktiken möjligt att på internet få kompletta upp- gifter om vilka som har en viss legitimation. Utredningen föreslår

8Se t.ex. Regeringens digitaliseringsstrategi, För ett hållbart digitaliserat Sverige – en digitaliserings- strategi, dnr: N2017/03643/D. Där anges bl.a. att det övergripande målet är att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter.

166

SOU 2021:39

HOSP-registret på internet

därför som en integritetsstärkande åtgärd att en sökfunktion bara avseende individer ska göras tillgänglig på internet.

Risken för att någon efter sökning felaktigt tror att den efter- sökta personen har eller inte har en legitimation kan motverkas, till och med nästan helt elimineras, genom att bara entydigt identi- fierande uppgifter får användas som sökbegrepp. Därmed minskas risken för personförväxling betydligt. Likaså minimeras eller elimi- neras risken för att den som söker får del av s.k. överskottsinfor- mation (i detta fall uppgifter om andra individer än den sökningen avser). Utredningen föreslår som en integritetsstärkande åtgärd att bara person- och samordningsnummer, dvs. entydigt identifierande uppgifter, får användas som sökbegrepp. En risk med det förslaget är att allmänhetens intresse för att ta reda på hälso- och sjukvårds- personalens person- och samordningsnummer skulle kunna öka, dvs. att det leder till en ökad användning i samhället av sådana num- mer. Den eventuellt ökade användningen är emellertid enligt utred- ningens bedömning klart motiverad med hänsyn till hur viktigt det är med en säker identifiering av legitimerad hälso- och sjukvårds- personal (jämför 3 kap. 10 § dataskyddslagen).

Enligt utredningens bedömning är en uppgift om att någon med ett visst person- eller samordningsnummer har en gällande legiti- mation inom hälso- och sjukvård inte i sig särskilt integritetskänslig. Utredningen gör samma bedömning avseende uppgifterna i HOSP- registret om när legitimationen utfärdades, vad den omfattar när det är fråga om bara ett s.k. partiellt tillträde, yrke, och specialitet. Utredningen föreslår som en integritetsstärkande åtgärd i enlighet med principen om uppgiftsminimering att inga andra personupp- gifter från registret får visas i sökresultatet. Därmed undviks att integritetskänsligare uppgifter i registret, som uppgifter om folk- bokföringsort, återkallad legitimation eller tidsbegränsning av legiti- mation, begränsningar av förskrivningsrätt och förskrivarkod, blir tillgängliga på internet.

167

HOSP-registret på internet

SOU 2021:39

7.5Avvägning mellan behov och integritetsrisker

Utredningens bedömning: Behoven av och fördelarna med en möjlighet att på internet kunna kontrollera om en person har en viss legitimation överväger integritetsriskerna. Detta förutsätter dock att regleringen om detta får en integritetsstärkande utformning.

För att det ska vara motiverat att göra personuppgifter i HOSP- registret öppet tillgängliga på internet måste behovet av och för- delarna med detta väga tyngre än integritetsriskerna och de regi- strerades intresse av skydd för den personliga integriteten. Rätten till skydd för den personliga integriteten är inte någon absolut rättig- het, utan den måste ses i sitt sammanhang och vägas mot andra grundläggande rättigheter utifrån en proportionalitetsbedömning (skäl 4 till dataskyddsförordningen).

Syftet med att göra personuppgifterna enkelt tillgängliga på inter- net för kontroll av om någon har en viss legitimation är ytterst att förbättra patientsäkerheten, vilket är ett tungt vägande och allmänt intresse. Utredningen anser att det finns ett klart behov av och klara fördelar med att på internet kunna kontrollera om någon har en viss legitimation (se avsnitt 7.2 och 7.3).

Redan i dag är samtliga uppgifter i HOSP-registret i praktiken tillgängliga för nästan var och en, eftersom en sekretessprövning i regel medför att uppgifterna kan lämnas ut. Att var och en enkelt kan kontrollera att någon har en viss legitimation är väl förenligt med det primära ändamålet för registret, att föra en aktuell förteckning över legitimerad hälso- och sjukvårdspersonal. De registrerade har ansökt om legitimation och bör, genom HOSP-förordningen, vara medvetna om att deras legitimation registreras så att den ska kunna kontrolleras. Den som inte längre vill ha en legitimation kan på egen begäran få den återkallad.

Enligt utredningens bedömning är integritetsriskerna med att var och en på internet kan kontrollera om någon har en viss legitimation måttliga eller till och med små. De integritetsrisker som finns kan enligt utredningens mening på ett acceptabelt sätt motverkas, eller elimineras, genom integritetsstärkande utformning av regleringen (se avsnitt 7.4). Utredningen föreslår en sådan utformning. För att på internet få tillgång till uppgifter om en person ska således krävas att mottagaren redan känner till personens person- eller samord-

168

SOU 2021:39

HOSP-registret på internet

ningsnummer. De personuppgifter som efter en sökning på ett person- eller samordningsnummer blir tillgängliga på internet ska begränsas till sådana som inte kan anses särskilt integritetskänsliga och som är nödvändiga för att kontrollera om personen har en gällande legitimation och för en säker identifiering.

Det är utredningens sammanfattande slutsats att behoven av och fördelarna med att var och en på internet kan kontrollera om någon har en viss legitimation överväger integritetsriskerna om regleringen får den integritetsstärkande utformning som föreslås.

7.6En sökfunktion på internet för att kontrollera legitimationer

Utredningens förslag: Socialstyrelsen ska göra det möjligt för allmänheten att genom en sökfunktion på internet kontrollera en persons behörighet.

Utredningens bedömning: Socialstyrelsen bör tillhandahålla både en vanlig webbsida med en sökruta och ett öppet applikations- programmeringsgränssnitt, ett s.k. API, som gör det möjligt att automatiserat ställa frågor och få svar.

Som beskrivs i kapitel 5 är uppgifterna i HOSP-registret i princip tillgängliga för var och en i dag, men varje förfrågan om uppgifter måste hanteras manuellt av Socialstyrelsen. Med hänsyn till den stora och ökande mängden förfrågningar ter sig den manuella hanteringen ineffektiv och kostsam. I slutändan kan svårigheterna med och tids- åtgången för att kontrollera om någon har en viss legitimation leda till att patientsäkerheten försämras i och med att risken för obehöriga inom hälso- och sjukvården ökar eller att risken ökar för att nöd- vändig vård eller medicinering försenas. I takt med samhällets digita- lisering ökar efterfrågan på snabb tillgång till information. I dag är internet och olika webbsidor den mest naturliga platsen att söka information. Utredningen ser inte att det i dag finns något egentligt alternativ till att tillgängliggörandet görs öppet på internet.

Enligt utredningen bör det vara enkelt för t.ex. en arbetsgivare eller ett bemanningsföretag att kontrollera att den som man över-

169

HOSP-registret på internet

SOU 2021:39

väger att anlita har rätt legitimation. En sökning behöver därför så enkelt som möjligt kunna ge svar på om en viss person har legitimation.

Enligt nuvarande reglering måste den som vill kontrollera behörig- heten hos hälso- och sjukvårdspersonal kontakta Socialstyrelsen för att få uppgifterna manuellt utlämnade. Som framgår av redogörelsen i avsnitt 5.2.2 har myndigheten som mål att svara inom 72 timmar, men med ökade volymer av förfrågningar kan detta mål enligt upp- gift från myndigheten inte alltid uppnås. Det är otillfredsställande att svarstiden är så pass lång som den är. Redan en väntan i 72 timmar, vilket motsvarar tre dygn, ter sig i dagens informationssamhälle som en lång väntan på en viktig uppgift. Att väntan dessutom kan bli betydligt längre än så gör hanteringen oförutsägbar.

Flera av de behov som redovisas i avsnitt 7.2 kan tillgodoses genom en enkel möjlighet att på internet kontrollera om någon har en viss behörighet. Dessa behov är enligt utredningens mening de i dagsläget mest angelägna att tillgodose. Det kan därutöver finnas behov av att på ett enkelt och snabbt sätt få tillgång till listor med uppgifter om personer som har en viss legitimation, dvs. att söka uppgifter om vilka individer som har en viss registrerad egenskap i stället för att kontrollera en viss individs legitimation. Det kan exempelvis handla om företag och myndigheter som vill ha listor med personer som man kan kontakta för att kunna anställa eller annars anlita. Att införa en möjlighet att på internet få tillgång till sådana listor skulle emellertid öka risken för integritetsintrång, t.ex. genom att personerna blir kontaktade på ett oönskat vis, utan att det har motsvarande nytta för patientsäkerheten. Därför bör tillgänglig- heten, som en integritetsstärkande åtgärd, begränsas till det mest angelägna behovet, att genom sökning efter en viss person kunna kontrollera om denne har en viss gällande legitimation.

För att bl.a. förenkla hanteringen av förfrågningar från allmänheten föreslog Utredningen om rätt information i vård och omsorg i delbetän- kandet Bättre behörighetskontroll – Ändringar i förordningen (2006:196) om register över hälso- och sjukvårdspersonal (SOU 2012:42) bl.a. att allmänheten skulle få del av uppgifter ur HOSP-registret genom direktåtkomst. Ett av de främsta skälen ansågs vara att det vid direkt- åtkomst är möjligt för mottagaren att ta del av uppgifterna utan att den utlämnande aktören, i detta fall Socialstyrelsen, behöver vidta någon manuell åtgärd. Direktåtkomst skulle därmed (till skillnad från annat elektroniskt utlämnande) ge förutsättningar för att

170

SOU 2021:39HOSP-registret på internet

arrangera utlämnanden enkelt, snabbt och utan kontinuerlig manuell administration.9 Den digitala utvecklingen går dock snabbt framåt och i dag bör utlämnande av uppgifter som utgångspunkt inte ske genom direktåtkomst. Av Informationshanteringsutredningens slut- betänkande Myndighetsdatalag10 framgår bl.a. att det är ett starkt rätts- säkerhetskrav att gränserna mellan myndigheterna i rättslig mening kan upprätthållas. Vid direktåtkomst tas gränsen mellan de uppgifts- utbytande myndigheterna delvis bort. När myndigheter ska införa tjänster för att lämna ut uppgifter automatiserat bör nya e-tjänster enligt Samverkansprogrammet för digital utveckling, eSam11, inte ut- formas för direktåtkomst. 12

Behovet av att på internet kunna kontrollera om någon har en viss legitimation kan tillgodoses genom det som kallas annat elektroniskt utlämnande (än direktåtkomst). Det räcker med en s.k. fråga-svar- funktion. En sådan funktion innebär att Socialstyrelsen automatiskt reagerar på en begäran om att få ut uppgifter genom att automa- tiserat kontrollera vilka uppgifter som begärs ut och i varje enskilt fall automatiserat pröva om begäran är förenlig med de rättsregler som gäller för att få uppgifterna utlämnade. En sådan prövning sker genom tekniska kontroller av att alla i funktionen inbyggda regler är uppfyllda i det enskilda fallet och att som svar bara lämnas de upp- gifter som efterfrågats och som enligt fastställda regler får lämnas ut på det sättet. Socialstyrelsen som utlämnande myndighet måste således på förhand ha identifierat och avgränsat de uppgifter som kan komma i fråga att lämnas ut via internet. Myndigheten utför sedan en automatiserad granskning av varje inkommen sökfråga (begäran om utlämnande av vissa uppgifter), kontrollerar i varje enskilt fall om de begärda uppgifterna får lämnas ut och expedierar begärda uppgifter bara i den utsträckning som de får lämnas ut på det sättet. Avgörandet av om uppgifterna ska lämnas ut ligger alltså hos den utlämnande myndigheten, Socialstyrelsen, eftersom det är den som förfogar över det automatiserade system som prövar om begärt ut- lämnande ska ske.

Utredningen föreslår alltså att Socialstyrelsen ska göra det möjligt för allmänheten att genom en sökfunktion på internet kontrollera en

9Se kort resonemang i SOU 2012:42, s. 52.

10SOU 2015:39, s. 150.

11eSamverkansprogrammet, eSam, är offentlig samverkan för ökad digitalisering och ett medlems- drivet program för samverkan mellan 29 myndigheter och Sveriges Kommuner och Regioner.

12Se eSam, Juridisk vägledning för verksamhetsutveckling inom e-förvaltning 3.0, s 20.

171

HOSP-registret på internet

SOU 2021:39

viss persons behörighet.13 Förslaget innebär att uppgifterna i HOSP- registret blir tillgängliga på liknande sätt som i de övriga nordiska länderna. Avsikten är att Socialstyrelsen ska utveckla och tillhanda- hålla både ett webbgränssnitt (en webbplats, bestående av html-kod, med en sökruta och utrymme för sökresultatet) och ett API, (t.ex. ett s.k. REST14 API, med tillhörande förklaringar) öppet på internet. API:et gör det möjligt att automatiserat mer eller mindre samtidigt ställa flera sökfrågor. API:et bör ge användare såsom myndigheter och företag möjlighet att integrera en funktion i sina it-system för att kunna kontrollera om en person har en viss behörighet. Eftersom de uppgifter som enligt utredningens förslag ska vara tillgängliga genom API:et inte kommer att vara mer omfattande än de uppgifter som föreslås vara tillgängliga genom den öppna sökfunktionen på internet, bör utgångspunkten vara att även API:et ska vara öppet tillgängligt för alla. Ibland kan det finnas anledning att i syfte att öka säkerheten först kräva en ansökan om anslutning till API:er som den som tillhandahåller API:et kan godkänna. Vid ett godkännande upp- rättas en överenskommelse med användaren som kan reglera t.ex. kommunikationssätt och hur länge överenskommelsen är giltig. Därefter tilldelas användaren olika s.k. API-nycklar. För den sök- funktion som utredningen föreslår bedömer utredningen alltså att det inte finns anledning till ett sådant ansökningsförfarande. Det slutliga avgörandet av om ett för alla öppet ansökningsförfarande ska tillämpas ligger dock hos Socialstyrelsen.

De uppgifter som lämnas som sökresultat ska härröra från HOSP- registret, men de behöver inte hämtas direkt från det registret, vilket kan vara olämpligt från säkerhetssynpunkt, utan kan hämtas från t.ex. en speglad kopia av registret. Det får förutsättas att Social- styrelsen på internet informerar om när uppgifterna senast upp- daterades, om de inte återspeglar det aktuella innehållet i HOSP- registret. Det bör betonas att uppgifter inte får vara tillgängliga på internet annat än via sökfunktionen, dvs. uppgifter får inte i avvaktan på sökfrågor lagras på en plats som är öppet tillgänglig på internet.

Skyldigheten att tillhandahålla sökfunktionen hindrar inte att Socialstyrelsen av säkerhetsskäl eller tekniska skäl inför begräns- ningar. Det kan exempelvis handla om att begränsa antalet sökfrågor

13Det ska dock noteras att det är legitimation och specialistbehörighet som kommer att kunna kontrolleras genom sökfunktionen och inte eventuell förskrivningsbehörighet.

14Representational State Transfer.

172

SOU 2021:39

HOSP-registret på internet

inom ett visst tidsintervall, att spärra en ip-adress som använt sök- funktionen på ett inte avsett sätt eller andra åtgärder som Social- styrelsen av säkerhetsskäl eller tekniska skäl ser behov av.

7.7Bara personnummer och samordningsnummer får användas som sökbegrepp

Utredningens förslag: Som sökbegrepp får bara personnummer och samordningsnummer användas.

Utredningens bedömning: Bara sökbegrepp som gör att sök- resultatet otvetydigt ger svar på om någon har en legitimation eller inte bör tillåtas. Annars är riskerna för försämrad patient- säkerhet och förtroendeskador för stora och allvarliga.

Syftet med att införa en sökfunktion är att var och en enkelt ska kunna kontrollera på internet om någon har en viss behörighet. På så vis förbättras patientsäkerheten bl.a. genom att risken för obehöriga inom hälso- och sjukvården minskar. Ett grundläggande krav på en sådan sökfunktion är att den ger ett otvetydigt svar på om den eftersökta personen har en legitimation eller inte. En sök- funktion som innebär en risk för att den som söker drar en felaktig slutsats av svaret är inte ändamålsenlig. En sådan sökfunktion kan tvärtom leda till en försämrad patientsäkerhet (vid s.k. falskt positiva svar, dvs. att den som söker felaktigt tror att personen har en legi- timation) eller andra negativa konsekvenser som till varje pris bör undvikas (vid s.k. falskt negativa svar), såsom obefogad misstro mot legitimerad hälso- och sjukvårdspersonal eller minskat förtroende för Socialstyrelsen som tillhandahåller sökfunktionen.

Det enda sättet att i praktiken undvika tvetydiga svar är att begränsa vad man kan söka efter, dvs. reglera vilka sökbegrepp som är tillåtna. Är sökbegreppet otvetydigt, kommer också sökresultatet att vara det. Eftersom det handlar om att söka uppgifter om en viss individ för att kontrollera dennes behörighet, bör de tillåtna sök- begreppen begränsas till uppgifter som entydigt identifierar individen. I Sverige i dag är det, förutom biometriska uppgifter som ännu inte

173

HOSP-registret på internet

SOU 2021:39

finns i HOSP-registret, bara person- och samordningsnummer15 som uppfyller den funktionen, dvs. entydigt identifierar en individ. Man kan säga att även s.k. HOSP-id och förskrivarkod är unika identitetsuppgifter som finns i HOSP-registret. HOSP-id är en administrativ beteckning som tilldelas när en person registreras första gången i HOSP-registret. HOSP-id består av ett löpnummer om sex siffror. Det är dock inte en kod som är känd för allmänheten och den lämpar sig därför inte som sökbegrepp i detta fall. Förskrivar- koden är också en personlig kod som den som ska skriva ett recept på vissa läkemedel behöver. Av skäl som redovisas i avsnitt 7.8.4 nedan följer att denna kod inte heller är lämplig som sökbegrepp.

Att tillåta sökning på efternamn och bara visa ett fullständigt sökresultat med personuppgifter om det endast finns en individ med det efternamnet registrerad i HOSP-registret ger inte ett otvetydigt svar. Det kan finnas flera andra i Sverige som har samma efternamn (och som inte har legitimation). Att låta Socialstyrelsen automatiskt kontrollera mot folkbokföringen om ett namn är unikt i Sverige förefaller inte vara en lämplig väg att gå. För det första leder det till en behandling av personuppgifter som Socialstyrelsen egentligen inte behöver utföra för att fullgöra sina arbetsuppgifter. För det andra kan den som söker i det fallet själv kontrollera med folkbok- föringen och på så sätt få fram ett unikt person- eller samordnings- nummer som kan användas som sökbegrepp.

Att tillåta sökning på andra uppgifter i HOSP-registret än person- och samordningsnummer leder, förutom till svar som inte är otvetydiga, till risk för att den som söker får del av s.k. över- skottsinformation, i detta fall uppgifter om andra individer än den sökningen avser. Tillåts sökning på t.ex. efternamn och typ av legi- timation, skulle det bli möjligt att få fram listor med uppgifter om flera personer, t.ex. alla med efternamnet Andersson och läkarlegiti- mation, utan att den som söker kan dra en otvetydig slutsats om den Andersson som sökningen avser har en läkarlegitimation eller inte. Även om en sökning på namn och flera andra uppgifter i HOSP- registret skulle leda fram till en enda individ, är svaret som nämnts inte otvetydigt eftersom det kan finnas andra med samma namn som inte har legitimation. Utredningen föreslår därför att bara person-

15Med samordningsnummer avses en unik identitetsbeteckning på en person som inte är eller har varit folkbokförd i Sverige. En sådan person får efter begäran från en myndighet eller ett annat organ som regeringen bestämmer tilldelas ett samordningsnummer (18 a § folkbok- föringslagen [1991:481]).

174

SOU 2021:39

HOSP-registret på internet

och samordningsnummer får användas som sökbegrepp. Det är vikten av en säker identifiering som gör det klart motiverat att behandla personuppgifterna person- och samordningsnummer (jämför 3 kap. 10 § dataskyddslagen).

Utredningen är medveten om att detta förslag, som också utgör en integritetsstärkande åtgärd, innebär att sökfunktionen blir mindre nyttig för den breda allmänheten. Det gäller särskilt som det i den personaladministrativa verksamheten inom den offentliga hälso- och sjukvården normalt råder sekretess för uppgifter om personnummer och födelsedatum (39 kap. 3 § offentlighets- och sekretesslagen [2009:400], OSL, och 10 § offentlighets- och sekretessförord- ningen). Riskerna för försämrad patientsäkerhet och förtroende- skador är emellertid enligt utredningens bedömning så stora och allvarliga att en sökfunktion för var och en på internet som inte ger otvetydiga svar inte kan accepteras.

En person i registret som inte har något person- eller samord- ningsnummer blir med förslaget inte sökbar. Socialstyrelsen kan dock alltid i samband med registreringen i HOSP-registret begära ett samordningsnummer hos Skatteverket för den som inte redan har det eller ett personnummer. Socialstyrelsen bör enligt utred- ningens mening lämpligen göra det för att säkerställa en säker och entydig identifiering av alla som har en legitimation.

Att sökfunktionen genom förslaget blir mindre nyttig för den breda allmänheten innebär emellertid inte att den blir onyttig. Tvärt- om gör den allmänt tillgängliga sökfunktionen på internet att en mer integritetskänslig direktåtkomst kan undvikas (se avsnitt 7.3.2). Bland annat privata arbetsgivare, lärosäten, utländska användare och andra som regelmässigt kan få tillgång till nödvändiga person- och samordningsnummer kommer också att ha nytta av sökfunktionen. Det är fråga om ofta återkommande användare hos Socialstyrelsen. Belastningen på Socialstyrelsen förväntas bli betydligt mindre om dessa användare på egen hand kan kontrollera om personer har legitimation.

175

HOSP-registret på internet

SOU 2021:39

7.8Vilka uppgifter bör visas i sökresultatet?

Utredningens förslag: Som resultat av sökningen får bara visas det angivna person- eller samordningsnumret och anknytande uppgifter i HOSP-registret om namn, typ av legitimation och när den utfärdades samt omfattningen av legitimationen vid partiellt tillträde, yrke och specialitet. Sökresultatet får inte innehålla personuppgifter om annan än den som har en gällande legitimation.

Utredningens bedömning: Uppgifter om bl.a. folkbokföringsort, förskrivarkod, löpande prövotid eller begränsningar av förskriv- ningsrätt bör inte vara tillgängliga för allmänheten på internet. Inte heller uppgifter om återkallade legitimationer bör vara till- gängliga på det sättet. Socialstyrelsen bör tydligt upplysa om att sådana uppgifter inte visas i sökresultatet.

7.8.1Inledning

Utredningen redovisar utförligt i avsnitt 5.2.3 vilka uppgifter som får finnas i HOSP-registret. I huvudsak rör det sig om uppgifter som namn, personnummer eller andra liknande identitetsbeteckningar, folkbokföringsort, yrke, läroanstalt, utbildningsland och datum för utfärdande av examen, specialitet, datum för utfärdande av legiti- mation respektive bevis om specialistkompetens, behörighet och behörighetsinskränkningar, beslut om prövotid och återkallelse av legitimation samt förskrivarkod och omfattning av förskrivningsrätt.

Allmänheten behöver inte alla de registrerade uppgifterna för att kunna kontrollera om en person har en viss legitimation. Av integ- ritetsskyddsskäl bör allmänhetens tillgång på internet därför begränsas till de uppgifter i registret som behövs för att kunna kon- trollera om en person har en legitimation eller en viss specialistkom- petens.

Detta avsnitt berör vad som får visas som sökresultat efter att ett person- eller samordningsnummer angetts som sökbegrepp. Om det inte finns någon notering i registret om att det angivna numret är förknippat med en gällande legitimation, bör den som söker givetvis upplysas om detta utan att några andra personuppgifter än det angivna numret visas i sökresultatet. I det följande berörs vilka personuppgifter

176

SOU 2021:39

HOSP-registret på internet

som bör visas i sökresultatet om det angivna person- eller samord- ningsnumret är förknippat med en gällande legitimation. I övrigt får förstås upplysningar som inte är personuppgifter visas med anled- ning av sökning, t.ex. om hur man kan få tag i mera information och när uppgifterna senast uppdaterades.

7.8.2Identifieringsuppgifter

HOSP-registret får innehålla flera uppgifter som syftar till att identi- fiera den som har behörighet. Förutom namnet på den registrerade finns uppgifter om personnummer, samordningsnummer eller annan liknande identitetsbeteckning16 och kön. I praktiken används inte några andra identitetsbeteckningar än personnummer och samord- ningsnummer.

Eftersom sökningen skett med ett person- eller samordnings- nummer, bör det numret få visas för att otvetydigt slå fast identi- teten på den som övriga uppgifter avser. Det är klart motiverat med hänsyn till vikten av en säker identifiering av legitimerad hälso- och sjukvårdspersonal (jämför 3 kap. 10 § dataskyddslagen). Dessutom bör namnet få visas i sökresultatet för att undvika förväxling av personer. En persons namn är inte en uppgift som på något sätt är känslig.

För att kunna kontrollera om en person har en viss legitimation behövs inte uppgift om personens kön. Den uppgiften bör därför inte visas i sökresultatet. En annan sak är att det redan av person- eller samordningsnumret indirekt framgår personens kön.

När det gäller personer i HOSP-registret som av något skäl har skyddade personuppgifter finns det anledning att överväga om en särskild ordning behövs. Med skyddade personuppgifter avses här fingerade personuppgifter, skyddad folkbokföring och sekretess- markering. Utredningen kan inte se några beaktansvärda risker med att låta de uppgifter om personens legitimation som är aktuella här vara tillgängliga för var och en.

16Med detta avses möjligheten att t.ex. föra in passuppgifter (passnummer, födelsedatum och giltighetstid för pass) för den som ska registreras utan person- eller samordningsnummer. Utredningen har förstått att denna möjlighet är problematisk och därför inte används i någon större utsträckning. Utredningen vill här lyfta fram att Socialstyrelsens har möjlighet att begära samordningsnummer för en person utan personnummer som registreras i HOSP-registret.

177

HOSP-registret på internet

SOU 2021:39

7.8.3Folkbokföringsort

Uppgift om folkbokföringsort kan ge viss information om vilket landområde en person arbetar och bor inom. Folkbokföringsorten får ses som en uppgift av mer privat karaktär. Dessutom är folkbok- föringsorten en av få uppgifter i registret som skulle kunna omfattas av sekretess i ett enskilt fall, t.ex. om en registrerad är förföljd eller utsatt för hot. Det har inte heller framkommit att uppgift om folkbokföringsort är en uppgift som särskilt efterfrågas av enskilda. För att kunna kontrollera om en person med ett visst personnummer eller samordningsnummer har en viss legitimation behövs inte upp- gift om dennes folkbokföringsort. Den uppgiften bör därför inte visas i sökresultatet. Utredningen om rätt information i vård och omsorg kom till samma slutsats.17

7.8.4Yrke, specialitet och behörighetsuppgifter

Den registrerades yrke är en grundläggande uppgift som får anses nödvändig för att kunna kontrollera om en person har en legiti- mation. Detsamma gäller för uppgift om specialitet. Uppgifter om yrke och specialitet bör därför få visas i sökresultatet. Utredningen om rätt information i vård och omsorg kom till samma slutsats.18

Typen av legitimation, inklusive uppgift om specialistkompetens, måste naturligtvis få visas i sökresultatet. Det är dock bara uppgifter om gällande legitimationer som får visas i sökresultatet, t.ex. i det fallet att personen har en gällande och en återkallad legitimation.

HOSP-registret innehåller flera olika uppgifter om hur, var och när den registrerade har fått sin legitimation och vad den gäller. Uppgifter om grundyrke, läroanstalt, utbildningsland och datum för utfärdande av examen behövs inte för att kunna kontrollera om en person har en viss legitimation. De uppgifterna bör därför inte visas i sökresultatet.

Uppgift om datum för utfärdande av legitimation respektive bevis om specialistkompetens behövs visserligen inte för att kunna kon- trollera om en person vid söktillfället har en viss legitimation. Där- emot är uppgiften nödvändig för att t.ex. kunna kontrollera att intygs- givare hade behörighet när intyget skrevs. Dessa datumuppgifter kan

17SOU 2012:42, s. 57 och 59.

18SOU 2012:42, s. 59.

178

SOU 2021:39

HOSP-registret på internet

inte anses vara av särskilt känslig karaktär. Enligt utredningens mening talar därför övervägande skäl för att datumuppgifterna ska få visas i sökresultatet. Utredningen om rätt information i vård och omsorg kom till samma slutsats.19

Uppgift om datum när ett tidsbegränsat behörighetsbevis upphör att gälla behövs inte för att kunna kontrollera om en person vid sök- tillfället har en viss legitimation. Det är bara den som fått sina yrkes- kvalifikationer utomlands, dvs. oftast utlänningar, som kan få ett tidsbegränsat behörighetsbevis. Datumuppgiften avslöjar alltså att personen inte har fått sina yrkeskvalifikationer i Sverige och kan därför i viss mån anses vara av känslig karaktär. Även om datum- uppgiften i vissa fall kan vara av intresse anser utredningen att den uppgiften inte bör få visas i sökresultatet. Socialstyrelsen bör lämp- ligen upplysa om att ett behörighetsbevis kan vara tidsbegränsat och att detta inte framgår av sökresultatet.

Uppgift om beslut om partiellt tillträde, dvs. att personen får utöva bara en del av de arbetsuppgifter som ett legitimationsyrke omfattar, behövs för att kunna kontrollera om en person har en viss behörig- het. Även om uppgiften avslöjar att personen har fått sina yrkes- kvalifikationer utomlands, anser utredningen därför att uppgiften, dvs. omfattningen av legitimationen, bör få visas i sökresultatet.

Uppgift om beslut om återkallelse av legitimation behövs inte för att kunna kontrollera om en person vid söktillfället har en legiti- mation. Även om en återkallelse kan ske på egen begäran, får en sådan uppgift anses integritetskänslig. Uppgiften bör därför, trots att den kan vara av intresse för att kunna konstatera att det fanns behörighet för en redan vidtagen åtgärd, inte under några förhållan- den få visas i sökresultatet. För den som haft två legitimationer och fått den ena återkallad får alltså endast uppgifter om den gällande legitimationen visas i sökresultatet. Socialstyrelsen bör lämpligen ha en generell upplysning i anslutning till sökresultatet om att uppgifter om eventuella återkallade legitimationer inte visas.

Uppgift om omfattning av förskrivningsrätt får anses vara av sär- skilt känslig karaktär, eftersom den kan avslöja om personen har missbrukat sin förskrivningsrätt.

Utredningen om rätt information i vård och omsorg föreslog att yrkesutövare med begränsningar i förskrivningsrätten eller prövotid

19SOU 2012:42, s. 59.

179

HOSP-registret på internet

SOU 2021:39

inte skulle finnas med i det publika registret.20 Några remissinstanser ifrågasatte om inte även uppgifter om begränsningar i förskrivnings- rätten borde göras tillgängliga för allmänheten.21 Ett argument var att det ansågs kunna skapa förvirring om inte all behörig personal var sökbar, även om de hade prövotid eller begränsad förskrivnings- rätt. Statskontoret ansåg att patientsäkerhetsskäl borde väga tyngre än yrkesutövarens personliga integritet. Socialstyrelsen ansåg att om dessa uppgifter inte skulle finnas med borde det ändå framgå att personen finns i registret, men att Socialstyrelsen ska kontaktas för mer information. Datainspektionen var i sitt remissvar positiv till att de uppgifter allmänheten skulle kunna ta del av i det publika registret endast omfattade de yrkesutövare som har en giltig legitimation, ingen begränsad förskrivningsrätt eller prövotid.

Utredningens utgångspunkt är att alla som har en giltig legiti- mation bör kunna visas i sökresultatet. Uppgiften om omfattning av förskrivningsrätt behövs visserligen för att kunna kontrollera om en person har en viss förskrivningsrätt, men utredningen anser att den uppgiften är av så känslig karaktär att den likväl inte bör få visas i sökresultatet. Sökfunktionen kommer således inte att kunna använ- das för att kontrollera förskrivningsrätten. Det är dock främst de som expedierar läkemedel som har behov av att kontrollera förskriv- ningsrätten och de får redan uppgifterna via E-hälsomyndigheten. Socialstyrelsen bör lämpligen upplysa om att uppgifter om förskriv- ningsrätt inte visas i sökresultatet.

Utredningen gör motsvarande bedömning avseende uppgift om förskrivarkod, dvs. den personliga kod som den som ska skriva ett recept på vissa läkemedel behöver. Uppgiften får anses vara av särskilt känslig karaktär, eftersom den som har ett yrke som normalt är för- knippat med förskrivningsrätt men saknar förskrivarkod normalt har fått förskrivningsrätten indragen, vilket kan ske vid missbruk av förskrivningsrätten. Härtill kommer att förskrivarkoden, tillsammans med den behöriges personnummer, skulle kunna missbrukas i försök att få läkemedel expedierade. Det är främst de som expedierar läke- medel som behöver uppgiften om förskrivarkod. De får i dag uppgif- terna via E- hälsomyndigheten. Utredningen anser sammanfattningsvis

20SOU 2012:42, s. 57 f.

21Se t.ex. remissvar från Sveriges Kommuner och Landsting (numera SKR), Statskontoret, Region Halland, Region Gotland, Östergötlands läns landsting och Praktikertjänst AB.

180

SOU 2021:39

HOSP-registret på internet

att uppgift om förskrivarkod inte bör få visas i sökresultatet. Utred- ningen om rätt information i vård och omsorg kom till samma slutsats.22

7.8.5Prövotid

Bestämmelser om prövotid finns i 8 kap. patientsäkerhetslagen (2010:659). En prövotid på tre år ska beslutas för den som har legitimation att utöva yrke inom hälso- och sjukvården, om den legi- timerade har varit oskicklig vid utövningen av sitt yrke och oskicklig- heten kan befaras få betydelse för patientsäkerheten. Prövotid ska också beslutas om den legitimerade i eller i samband med yrkes- utövningen har gjort sig skyldig till brott som är ägnat att påverka förtroendet för honom eller henne, uppsåtligen eller av oaktsamhet har brutit mot någon föreskrift som är av väsentlig betydelse för patientsäkerheten, eller på grund av andra omständigheter kan befaras vara olämplig att utöva yrket. Prövotid ska även beslutas om det kan befaras att en legitimerad yrkesutövare på grund av sjukdom eller någon liknande omständighet inte kommer att kunna utöva sitt yrke tillfredsställande (8 kap. 1 §). Tanken är att den legitimerade ska använda prövotiden till att förbättra sina förutsättningar att arbeta på ett säkert sätt. En uppgift om beslut om prövotid är således av särskilt känslig karaktär.

Ett beslut om prövotid innebär emellertid ingen inskränkning av behörigheten att utföra de arbetsuppgifter som omfattas av legiti- mationen. Uppgift om beslut om prövotid behövs följaktligen inte för att kunna kontrollera om en person har en viss legitimation och därmed behörighet. Utredningen anser därför att det inte kan komma i fråga att låta ens beslut om löpande prövotid visas i sök- resultatet. Socialstyrelsen bör lämpligen upplysa om att eventuella beslut om prövotid inte visas i sökresultatet. Den som har en gällande legitimation kommer alltså att visas i sökresultatet, utan någon upp- gift om huruvida en prövotid löper. Den som behöver uppgifter om beslut om prövotid får i stället kontakta Socialstyrelsen på annat sätt.

22SOU 2012:42, s. 57.

181

HOSP-registret på internet

SOU 2021:39

7.9Ett nytt ändamål för HOSP-registret

Utredningens förslag: Personuppgifterna i HOSP-registret får behandlas för att ge allmänheten upplysning om hälso- och sjukvårdspersonals behörighet.

Utredningens bedömning: För att Socialstyrelsen ska kunna göra det möjligt för allmänheten att genom en sökfunktion på internet kontrollera en persons legitimation behöver ett nytt ändamål införas för registret.

De ändamål för vilka personuppgifterna i HOSP-registret får behandlas anges uttömmande i 4 och 5 §§ HOSP-förordningen. Utredningen redogör i avsnitt 5.2.3 utförligt för de ändamål för vilka uppgifterna får behandlas. Något ändamål som innebär att person- uppgifterna i HOSP-registret får behandlas för att allmänheten ska kunna kontrollera persons legitimation finns inte.

För att Socialstyrelsen i enlighet med utredningens förslag ska kunna göra det möjligt för allmänheten att genom en sökfunktion på internet kontrollera en viss persons legitimation behöver följakt- ligen ett nytt ändamål införas för registret. Det bör därför uttryck- ligen anges att personuppgifterna i HOSP-registret också får behandlas för att ge allmänheten upplysning om hälso- och sjuk- vårdspersonals behörighet.

7.10Förhållandet till dataskyddslagstiftningen

Utredningens förslag: Socialstyrelsen ska lämna den som är regi- strerad information om vad som gäller även i fråga om annat elek- troniskt utlämnande än direktåtkomst.

Utredningens bedömning: Det är förenligt med dataskyddsför- ordningen att införa bestämmelser i svensk rätt om behandling av personuppgifter i enlighet med utredningens förslag om HOSP- registret på internet.

182

SOU 2021:39

HOSP-registret på internet

7.10.1Den rättsliga grunden

Dataskyddsregleringen utgår från att varje behandling av person- uppgifter måste vila på minst en rättslig grund. I artikel 6.1 i data- skyddsförordningen finns en uttömmande uppräkning av dessa rättsliga grunder. Behandlingen är rättsligt grundad om den t.ex. är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller för att utföra en arbetsuppgift av all- mänt intresse eller som ett led i myndighetsutövning (artikel 6.1 c och e i dataskyddsförordningen). Av skäl 45 till dataskyddsförord- ningen framgår att hälso- och sjukvårdsändamål, såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårdstjänster inbegrips i allmänintresset. I delbetänkandet, avsnitt 4.6, redogör utredningen mer utförligt för vad som kan utgöra rättslig grund enligt dataskydds- förordningen.

Socialstyrelsen är enligt HOSP-förordningen skyldig att föra ett register över hälso- och sjukvårdspersonal (1 §). Enligt utredningens förslag ska en ny bestämmelse om att Socialstyrelsen är skyldig att göra det möjligt för allmänheten att genom en sökfunktion på inter- net kontrollera en viss persons legitimation införas i HOSP-förord- ningen. Behandlingen av personuppgifterna i HOSP-registret, inklu- sive utlämnandet av uppgifter via internet, blir därmed nödvändig för att fullgöra en rättslig förpliktelse som åvilar Socialstyrelsen, som är personuppgiftsansvarig (3 a §). Den rättsliga förpliktelsen är enligt förslaget fastslagen i HOSP-förordningen. Syftet med tillhanda- hållandet av uppgifter på internet – att allmänheten ska kunna kon- trollera en viss persons legitimation – kommer framgå uttryckligen av HOSP-förordningen (jämför artikel 6.3 i dataskyddsförord- ningen). De begränsningar i möjligheten att tillhandahålla person- uppgifter på internet som föreslås är sådana specifika krav som avses i artikel 6.2 i dataskyddsförordningen.

I avsnitt 7.10.2 görs bedömningen att behandling av de redan införda personuppgifterna i HOSP-registret för att ge allmänheten upplysning om hälso- och sjukvårdspersonals behörighet är förenlig med de ändamål för vilka personuppgifterna ursprungligen samlades in. Enligt skäl 50 till dataskyddsförordningen behövs då inte någon ny rättslig grund för den tillkommande behandlingen.

183

HOSP-registret på internet

SOU 2021:39

Såväl tillhandahållandet av uppgifter på internet som de begräns- ningar i fråga om detta som föreslås är enligt utredningens mening förenliga med artikel 6 i dataskyddsförordningen.

7.10.2Ett nytt ändamål

Enligt artikel 5 i dataskyddsförordningen får personuppgifter bara behandlas utifrån vissa grundläggande principer. Dessa principer gäller som ett ramverk vid all behandling av personuppgifter. En närmare redogörelse för dem finns i avsnitt 4.5 i delbetänkandet.

Enligt principen om ändamålsbegränsning (finalitetsprincipen) i artikel 5.1 b i dataskyddsförordningen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och de får inte senare behandlas på ett sätt som är oförenligt med dessa ända- mål. Ändamålsbegränsningen innebär alltså att den personuppgifts- ansvarige måste hålla sig till insamlingsändamålen och ändamål som inte är oförenliga med dessa. I artikel 6.4 i dataskyddsförordningen finns riktlinjer att beakta vid bedömningen av om återanvändning av personuppgifter för ett nytt ändamål är förenlig med insamlings- ändamålen.

Utredningen föreslår att det i HOSP-förordningen anges att uppgifterna i HOSP-registret får behandlas även för att ge allmän- heten upplysning om hälso- och sjukvårdspersonals behörighet (avsnitt 7.9). Det gäller även de personuppgifter som samlats in till HOSP-registret under den tid HOSP-förordningen inte angav något sådant ändamål.

Det föreslagna nya ändamålet bedöms vara förenligt med de ändamål som fanns angivna i HOSP-förordningen när respektive personuppgift samlades in till HOSP-registret. Det primära ända- målet för behandlingen av personuppgifterna i HOSP-registret har alltid varit att föra en aktuell förteckning över legitimerad hälso- och sjukvårdspersonal (4 § HOSP-förordningen). Det finns en nära koppling mellan det ändamålet och att ge allmänheten upplysning om hälso- och sjukvårdspersonals behörighet. Huvudanledningen till att en aktuell förteckning över legitimerad hälso- och sjukvårds- personal förs är förstås att den ska kunna ge upplysning om hälso- och sjukvårdspersonals behörighet, även till var och en som efter- frågar sådana upplysningar. Detta bör de registrerade ha insett. Upp-

184

SOU 2021:39

HOSP-registret på internet

gifterna har alltid varit tillgängliga för allmänheten genom offentlig- hetsprincipen i 2 kap. tryckfrihetsförordningen. De personuppgifter som föreslås bli tillgängliga via internet är inte av särskilt integritets- känslig natur. Några nya negativa konsekvenser för de registrerade bedöms inte uppkomma genom att vissa uppgifter blir tillgängliga via internet.

Härtill kommer att det enligt artikel 23 i dataskyddsförordningen är tillåtet att under vissa förutsättningar genom nationell rätt begränsa de skyldigheter som finns enligt artikel 5. Utredningen föreslår som nämnts att det nya ändamålet och skyldigheten att göra det möjligt för allmänheten att genom en sökfunktion på internet kontrollera en viss persons legitimation ska framgå av HOSP-förordningen. Det är utredningens bedömning att förslagen är förenliga med artiklarna 5 och 23 i dataskyddsförordningen.

Innan redan insamlade personuppgifter ytterligare behandlas för ett annat syfte än det för vilket de samlades in, måste de registrerade enligt artikel 14.4 i dataskyddsförordningen informeras om bl.a. detta andra syfte. Undantag gäller, enligt artikel 14.5 b i dataskydds- förordningen, i den mån tillhandahållandet av sådan information skulle medföra en oproportionell ansträngning. Utredningen anser att det nämnda undantaget är tillämpligt i fråga om det föreslagna nya ändamålet för HOSP-registret som innehåller uppgifter om hundratusentals personer. Härtill kommer att det enligt artikel 23 i dataskyddsförordningen är tillåtet att under vissa förutsättningar genom nationell rätt begränsa de skyldigheter som finns enligt artikel 14 i dataskyddsförordningen.

7.10.3Information till de registrerade

I dataskyddsförordningen finns det bestämmelser om information till den registrerade i samband med att personuppgifter samlas in. Artikel 13 i dataskyddsförordningen gäller information när person- uppgifter samlas in från den registrerade, medan artikel 14 gäller information när personuppgifterna som samlats in inte har erhållits från den registrerade.

Personuppgifterna i HOSP-registret har inte erhållits från de registrerade. Då gäller, enligt artikel 14.5 c i dataskyddsförord- ningen, ett undantag från informationsskyldigheten när utlämnande

185

HOSP-registret på internet

SOU 2021:39

av uppgifter uttryckligen föreskrivs genom nationell rätt som fast- ställer lämpliga åtgärder för att skydda den registrerades berättigade intressen. Utlämnandet av personuppgifterna via internet är enligt förslaget uttryckligt föreskrivet i HOSP-förordningen, som för detta fall också fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen (se avsnitt 7.7 och 7.8). Någon information till de registrerade om att personuppgifterna kan lämnas ut till allmänheten via internet skulle således inte behövas enligt dataskyddsförordningen.

Den som är registrerad i HOSP-registret har emellertid enligt nuvarande reglering, utöver vad som framgår av artiklarna 13 och 14 i dataskyddsförordningen, rätt att av Socialstyrelsen, som är person- uppgiftsansvarig, få information om bl.a. vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande på medium för auto- matiserad behandling (se 8 § HOSP-förordningen). Det förefaller därför lämpligt att den registrerade även får information om vad som gäller i fråga om annat elektroniskt utlämnande än direktåtkomst. Den informationen kan t.ex. lämnas genom upplysning på Social- styrelsens webbplats. Eftersom utredningen föreslår att den regi- strerade ska få information om vad som gäller i fråga om alla former av elektroniskt utlämnande, behöver inte längre utlämnande på medium för automatiserad behandling nämnas särskilt i bestämmelsen.

7.11Ändringar i sekretesslagstiftningen

Utredningens förslag: Genom ändring i offentlighets- och sekre- tessförordningen gäller inte den s.k. folkbokföringssekretessen enligt 22 kap. 1 § första stycket 1 offentlighets- och sekretess- lagen när Socialstyrelsen möjliggör för allmänheten att genom en sökfunktion på internet kontrollera en viss persons legitimation.

Utredningens bedömning: Förslaget om en sökfunktion på inter- net innebär en uppgiftsskyldighet för Socialstyrelsen som bryter eventuell sekretess vid utlämnanden av uppgifter till myndigheter. Eftersom uppgiftsskyldigheten inte bryter eventuell sekretess vid utlämnanden av uppgifter till enskilda, bör dock ett uttryckligt undantag från folkbokföringssekretessen föreskrivas.

186

SOU 2021:39

HOSP-registret på internet

Som redogörs för i avsnitt 5.3 omfattas uppgifter i HOSP-registret, genom föreskrifter i 6 § offentlighets- och sekretessförordningen, av s.k. folkbokföringssekretess enligt 22 kap. 1 § offentlighets- och sekretesslagen. Även om sekretesskyddet är svagt och det finns en presumtion för att uppgifterna är offentliga, innebär den föreslagna sökfunktionen på internet ett utlämnande av uppgifter som i och för sig omfattas av sekretess. Folkbokföringssekretessen hindrar dock bara ett utlämnande om det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs.

Vissa uppgifter kan i all myndighetsverksamhet omfattas av sekre- tess enligt 21 kap. 3 § offentlighets- och sekretesslagen. Enligt den bestämmelsen kan sekretess gälla för uppgift om en enskilds bostads- adress eller annan jämförbar uppgift som kan lämna upplysning om var den enskilde bor stadigvarande eller tillfälligt, den enskildes telefon- nummer, e-postadress eller annan jämförbar uppgift som kan användas för att komma i kontakt med denne samt för motsvarande uppgifter om den enskildes anhöriga. Utredningen gör emellertid bedömningen att de uppgifter i HOSP-registret som utredningen i avsnitt 7.8 före- slår ska lämnas ut till allmänheten genom en sökfunktion på internet, inte omfattas av sekretessen i 21 kap 3 § offentlighets- och sekretess- lagen. Enligt utredningens bedömning hindrar denna bestämmelse därmed inte det föreslagna tillgängliggörandet via internet.

Utredningen gör också bedömningen att det föreslagna utläm- nandet via internet inte kan antas medföra att uppgifterna efter utlämnandet behandlas i strid med dataskyddsförordningen eller dataskyddslagen. Enligt utredningens bedömning hindrar bestäm- melsen om s.k. dataskyddssekretess i 21 kap. 7 § offentlighets- och sekretesslagen alltså inte det föreslagna tillgängliggörandet via inter- net. Utredningen gör bedömningen att de uppgifter i HOSP-registret som föreslås lämnas ut via internet inte omfattas av några andra bestämmelser om sekretess.

Utredningens förslag om en sökfunktion på internet innebär en uppgiftsskyldighet för Socialstyrelsen. En sådan uppgiftsskyldighet innebär att sekretess inte hindrar att en uppgift lämnas till en annan myndighet (10 kap. 28 § OSL). En uppgift som omfattas av sekre- tess får lämnas till en utländsk myndighet eller mellanfolklig organi- sation om uppgiften i motsvarande fall skulle få lämnas ut till en svensk myndighet och det enligt den utlämnande myndighetens prövning står klart att det är förenligt med svenska intressen att

187

HOSP-registret på internet

SOU 2021:39

uppgiften lämnas till den utländska myndigheten eller den mellan- folkliga organisationen (8 kap. 3 § 2 OSL). Någon ytterligare reglering för att bryta folkbokföringssekretessen krävs enligt utredningens bedömning inte när uppgifter lämnas ut via internet till svenska eller utländska myndigheter.

Några befintliga sekretessbrytande bestämmelser som i praktiken kan användas gäller emellertid inte när uppgifter lämnas ut via inter- net till enskilda.

De uppgifter i HOSP-registret som enligt utredningens förslag ska få visas i sökresultatet – dvs. lämnas ut till allmänheten genom en sök- funktion på internet - är namn, typ av legitimation och när den ut- färdades samt omfattningen av legitimationen vid partiellt tillträde, yrke och specialitet. Dessa uppgifter kan enligt utredningens mening inte anses särskilt känsliga. I fråga om de uppgifter som föreslås kunna utlämnas via internet gör utredningen bedömningen att det i prak- tiken inte kan uppkomma någon situation där det av särskild anled- ning kan antas att den enskilde, eller någon närstående till denne, lider men om uppgiften röjs genom att göras öppet tillgängliga via internet. Därför bör det föreskrivas i offentlighets- och sekretessförordningen att folkbokföringssekretessen inte gäller i fråga om utlämnande enligt de föreslagna bestämmelserna om en sökfunktion på internet. Av praktiska skäl bör den föreskriften gälla allt sådant utlämnande, dvs. utlämnande till både myndigheter och enskilda.

188

8Annan elektronisk tillgång till HOSP-registret

8.1Inledning

För att säkerställa och upprätthålla en god patientsäkerhet ska Social- styrelsen föra ett register över legitimerad hälso- och sjukvårds- personal, HOSP-registret. Flera aktörer har behov av att mer eller mindre regelbundet kontrollera behörigheten hos sådan personal. Det är önskvärt att det kan göras på ett enklare sätt än i dag.

I kapitel 7 framgår utredningens förslag som innebär en möjlighet att på internet kontrollera vilken legitimation en viss person har, dock ska det inte gå att kontrollera personens eventuella förskriv- ningsrätt. Utredningen föreslår att Socialstyrelsen ska göra det möjligt för allmänheten att genom en sökfunktion på internet kon- trollera en persons legitimation. Socialstyrelsen bör tillhandahålla både en webbplats med en sökfunktion för enstaka frågor och ett öppet applikationsprogrammeringsgränssnitt, ett s.k. API, som gör det möjligt att automatiserat ställa flera eller upprepade frågor och få svar. Förslaget innebär att behovet av direktåtkomst och annat elektronisk utlämnande som till exempel skräddarsydda fråga-svar- funktioner bör minska avsevärt. Förslaget innebär också att man inte behöver ändra ändamålen för HOSP-registret om tillgång via inter- net är tillräcklig för ett visst nytt ändamål.

I detta kapitel redogör utredningen för sina överväganden och för- slag när det gäller att utöka de vilka för ändamål uppgifter i HOSP- registret får behandlas och vilka fler aktörer som bör ha direktåtkomst till registret. Avslutningsvis redogörs för frågan om möjligheten att använda registret för planering av hälso- och sjukvårdspersonal vid höjd beredskap.

189

Annan elektronisk tillgång till HOSP-registret

SOU 2021:39

8.2Direktåtkomst eller annat elektroniskt utlämnande

Utredningens bedömning: Utlämnande av uppgifter från HOSP- registret bör i första hand ske genom annat elektroniskt utläm- nande än direktåtkomst.

8.2.1Utredningens uppdrag

Utredningen ska analysera och bedöma de rättsliga förutsätt- ningarna för att utöka den elektroniska tillgängligheten till HOSP- registret genom att ge ytterligare aktörer direktåtkomst. Utred- ningen ska även bedöma om det finns alternativ till automatiserat elektroniskt utlämnande än direktåtkomst till HOSP-registret och i så fall även bedöma för- och nackdelarna med ett sådant alternativ.

Inledningsvis konstaterar utredningen att det finns övervägande fördelar med att ge möjlighet till tillgång genom direktåtkomst eller annat elektroniskt utlämnande i de fall det finns ett tydligt behov av informationsöverföring. Direktåtkomst, eller annat elektroniskt ut- lämnande i form av en elektronisk fråga-svar-funktion, ger möjlighet för den som behöver en uppgift att snabbt få tillgång till denna. Det innebär även fördelar från informationssäkerhetssynpunkt, eftersom utlämnande på annat sätt, t.ex. via okrypterad mejl, utöver att det ofta inte uppfyller dataskyddskraven när det gäller säkerhet, allmänt sett innebär en mindre säker överföring av uppgifter då obehöriga lättare kan få tillgång till dem. Uppgifter som lämnas ut via exem- pelvis mejl riskerar också att bli inaktuella, eftersom de inte upp- dateras automatiskt. Direktåtkomst, eller en elektronisk fråga-svar- funktion, har också fördelen att det minskar risken för förvanskning av den information som överförs och för att man missar att överföra relevant information.

8.2.2Direktåtkomst innebär särskilda integritetsrisker

Direktåtkomst är en specialform av elektroniskt uppgiftsutläm- nande till mottagare utanför en myndighet eller annan verksamhet (se vidare i avsnitt 3.2). Mottagaren kan exempelvis vara en annan

190

SOU 2021:39

Annan elektronisk tillgång till HOSP-registret

myndighet, ett privat företag eller en privatperson. Som kort beskrivs i avsnitt 3.3 är direktåtkomst förknippad med särskilda integritets- risker. Vid direktåtkomst anses de uppgifter som omfattas av åt- komsten och finns potentiellt tillgängliga för andra, vara utlämnande i tryckfrihetsförordningens mening redan genom att sådan åtkomst medges. Det innebär att en allmän handling hos en myndighet utgör också en allmän handling hos den myndighet som har tillgång till handlingen genom ett system med direktåtkomst. En begäran om utlämnande av uppgifter i HOSP-registret kan därför göras hos alla de myndigheter som har tillgång till uppgifterna genom direkt- åtkomst. Ju fler myndigheter som har direktåtkomst till uppgifter i HOSP-registret, desto större blir alltså, typiskt sett, allmänhetens möjlighet att få tillgång till dessa uppgifter. Om en myndighet har elektronisk tillgång genom direktåtkomst till uppgifter i en annan myndighets upptagning för automatiserad behandling och dessa uppgifter omfattas av sekretess hos den utlämnande myndigheten, överförs sekretessen till den mottagande myndigheten (11 kap. 4 § OSL). Detta gäller dock inte om det hos den mottagande myndig- heten finns ett uttryckligt undantag från sekretess för uppgifter av det slag som överförts elektroniskt (se 11 kap. 8 § OSL och avsnitt 5.3.3). Allmänhetens möjlighet att få ut uppgifter från de anslutna myndig- heterna är därför i realiteten i de flesta fall inte större endast på grund av begäran kan ställas till fler myndigheter.

Däremot kan omständigheten att en upptagning utgör en allmän handling hos samtliga myndigheter som förvarar den på det sätt som avses i 2 kap. 6 § första stycket tryckfrihetsförordningen innebära att den myndighet som får en framställan om utlämnande av en sådan upptagning, måste ta del av handlingen enbart för att kunna göra en sekretessprövning. Uppgifterna i upptagningen kan på så sätt komma att spridas till den eller de personer hos de mottagande myndigheterna som har att göra en sekretessprövning. Förhållandet kan därför inne- bära en oförutsebar spridning av personuppgifterna utanför Social- styrelsen. Det strider också mot principen om uppgiftsminimering i dataskyddsförordningen som anger att uppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (artikel 5.1 c). Uppgifterna kommer även att behöva behandlas för ytterligare ett ändamål hos myndigheten än det i HOSP-förordningen angivna, dvs. att besvara förfrågningar utläm- nande av allmän handling hos myndigheten. Ju fler myndigheter som

191

Annan elektronisk tillgång till HOSP-registret

SOU 2021:39

får tillgång till uppgifterna i HOSP-registret, desto fler personer kommer dessutom att behöva tillämpa de sekretessbestämmelser som skyddar uppgifterna i HOSP-registret, vilket i sig utgör en risk att sekretessbestämmelserna tillämpas fel.

Vid direktåtkomst har mottagaren möjlighet att själv ta del av alla uppgifter som åtkomsten omfattar. Även om mottagaren bara behöver få uppgifter om en individs egenskaper, kan mottagaren därför göra t.ex. listor över individer med någon viss egenskap, dvs. söka på viss egenskap och inte på själva individen.

8.2.3Alternativ till direktåtkomst

Mot bakgrund av det ovan anförda finns det anledning att vara restriktiv med att ge tillgång genom direktåtkomst till personupp- gifter. Sådan tillgång bör därför endast vara tillåten om det finns starka skäl och saknas alternativ. Alternativet utlämnande på medium för automatiserad behandling, även kallat annat elektroniskt utlämnande, anses vara mindre integritetskänsligt än utlämnande genom direkt- åtkomst. Det finns exempel på verksamheter som använder sig av elektroniskt utlämnande som är snarlikt direktåtkomst men är upp- byggt så att det sker en automatiserad prövning i varje enskilt fall innan uppgifterna lämnas ut, en s.k. fråga-svar-funktion, se redo- görelse av Högsta förvaltningsdomstolens prövning i den s.k. LEFI Online-domen i avsnitt 3.2. Högsta förvaltningsdomstolens tolkning av begreppet direktåtkomst i domen innebär, enligt utredningens mening, att det ur integritetsskyddssynpunkt inte finns någon egent- lig praktisk skillnad mellan direktåtkomst och elektroniskt utläm- nande via en fråga-svar-funktion. I båda fallen kan den utomstående användaren snabbt (”direkt”) och på distans bereda sig tillgång till önskad information om en viss individ. Däremot kan mottagaren med en fråga-svar-funktion inte söka på annat än tillåtna frågekate- gorier, t.ex. bara söka efter en individ och inte efter egenskaper.

Samverkansprogrammet för digital utveckling, eSam, rekommen- derar i sin vägledning för utlämnande i elektronisk form att, när myndigheter ska införa tjänster för att lämna ut uppgifter automa- tiserat, bör nya tjänster inte utformas för direktåtkomst utan för utlämnande på medium för automatiserad behandling. Som skäl till detta anges att vid direktåtkomst tas gränsen mellan de uppgifts-

192

SOU 2021:39

Annan elektronisk tillgång till HOSP-registret

utbytande myndigheterna delvis bort och det uppstår överskotts- information, vilket ökar risken för integritetsintrång och annan sprid- ning av känsliga uppgifter. Man hänvisar även till att det av ingress- punkt 31 i dataskyddsförordningen framgår att varje begäran från en myndighet ska vara skriftlig, motiverad, läggas fram i det enskilda fallet och inte gälla ett helt register eller leda till att register kopplas samman.1

Digitaliseringsrättsutredningen har i sitt betänkande Juridik som stöd för förvaltningens digitalisering (SOU 2018:25) efter en kart- läggning konstaterat att när myndigheterna utvecklar system för informationsöverföring synes målsättningen i regel vara att syste- men ska spegla den tekniska lösningen i socialförsäkringsdatabasen LEFI Online så att det inte blir inte fråga om direktåtkomst för den mottagande myndigheten. Uppgifterna anses i stället utlämnade på medium för automatiserad behandling och myndigheterna slipper den särskilda problematik med överskottsinformation som blir en effekt av direktåtkomst.2

I delbetänkandet Bättre behörighetskontroll Ändringar i för- ordningen (2006:196) om register över hälso- och sjukvårdspersonal (SOU 2012:42) föreslog Utredningen om rätt information i vård och omsorg att vissa aktörer skulle få direktåtkomst till HOSP-registret. Utredningen anförde som skäl för detta att det vid direktåtkomst är möjligt för mottagaren att ta del av uppgifterna utan att den utläm- nande aktören, i detta fall Socialstyrelsen, behöver vidta någon manuell åtgärd. Direktåtkomst skulle därmed ge förutsättningar för att arrangera utlämnanden som sker enkelt, snabbt och utan konti- nuerlig manuell administration, vilket utlämnande på medium för automatiserad behandling inte skulle göra.3 Därefter medgavs vissa myndigheter, nämligen Inspektionen för vård och omsorg, Trans- portstyrelsen och offentliga vårdgivare möjlighet till direktåtkomst till HOSP-registret.

Sedan det delbetänkandet skrevs har emellertid LEFI Online- domen inneburit ett visst klargörande beträffande gränsdragningen mellan de olika utlämnandeformerna direktåtkomst och utlämnande på medium för automatiserad behandling. Det står efter domen klart att det är möjligt att genom elektroniskt utlämnande som är snarlikt

1Elektroniskt informationsutbyte – en vägledning för utlämnande i elektronisk form, eSam, maj 2016, s. 3, och Rättsliga förutsättningar för digitalt i första hand, eSam, mars 2018, s. 38.

2SOU 2018:25 s. 84.

3SOU 2012:42 s 52.

193

Annan elektronisk tillgång till HOSP-registret

SOU 2021:39

direktåtkomst, men uppbyggt så att det sker en automatiserad pröv- ning i varje enskilt fall innan uppgifterna lämnas ut, en fråga-svar- funktion, lämna ut uppgifter utan att det är att anse som direkt- åtkomst. Mot bakgrund av detta anser utredningen att det, trots att uppgifterna i HOSP-registret omfattas av relativt svag sekretess och därmed inte är av den känsligaste arten, finns skäl att överväga om inte tillgång till uppgifter i HOSP-registret i första hand ska ske genom annat elektroniskt utlämnande än direktåtkomst. Utredningen har dessutom i uppdrag att analysera och bedöma om Socialstyrelsen kan ges möjlighet att medge direktåtkomst till andra myndigheter som har behov av uppgifter för ändamål i enlighet med HOSP-förordningen, vilket utredningen gör i avsnitt 8.3. En ordning som tillåter med- givande till såväl direktåtkomst som annat elektroniskt utlämnande skulle i sådant fall ge möjlighet för Socialstyrelsen att anpassa till- gången till uppgifterna i registret utifrån mottagarnas behov.

Utredningen anser därför att det finns anledning att noggrant analysera om samtliga de aktörer som omfattas av utredningsdirek- tiven verkligen har behov av direktåtkomst till HOSP-registret eller om det är tillräckligt att tillgången till uppgifterna sker genom något annat elektroniskt utlämnande, t.ex. via en fråga-svar-funktion. Det måste vidare analyseras om den tillgång via internet som föreslås i kapitel 7 är tillräcklig för någon eller några av aktörerna. I de fall då endast direktåtkomst bedöms kunna tillgodose de behov en aktör har behöver en avvägning göras mellan aktörens behov av direkt- åtkomst och de integritetsrisker som finns med att införa direkt- åtkomst. Även vid tillgång genom annat elektroniskt utlämnande ska givetvis en motsvarande avvägning göras.

8.2.4Olika ändamål kan kräva olika sorters tillgång

Myndigheter har behov av att använda uppgifterna i HOSP-registret för olika ändamål beroende på vilket uppdrag myndigheten har. En myndighet som har till uppdrag att utöva tillsyn över hälso- och sjukvården och dess personal kan ha ett behov av att söka bland samtliga registrerade personer i registret och då kunna se samtliga registrerade uppgifter om varje person. En sådan myndighet, exem- pelvis Inspektionen för vård och omsorg (IVO), behöver kunna söka på både allehanda egenskaper, t.ex. för att välja ut individer för

194

SOU 2021:39

Annan elektronisk tillgång till HOSP-registret

tillsyn, och på en individ exempelvis om ett tillsynsärende gäller denne. Det kan inte uteslutas att det finns andra ändamål än tillsyns- verksamhet som kan ha behov av att fritt söka bland uppgifterna i HOSP-registret.

Åandra sidan finns det andra myndigheter eller privata aktörer som endast har behov av tillgång till uppgifterna i HOSP-registret för att av någon anledning kontrollera behörigheten hos individer. Detta gäller exempelvis vårdgivares behov av att kunna kontrollera identitet och behörighet hos hälso- och sjukvårdspersonal i samband med tjänstetillsättning och under anställning eller uppdrag. För den som överväger att anställa en person finns endast behov av att kon- trollera identitet och behörighet hos denna person och inte av att kunna se uppgifter om all legitimerad hälso- och sjukvårdspersonal. Behovet av information gäller då endast de personer som är aktuella för anställning eller redan är anställda eller anlitade. Detsamma kan även sägas gälla myndighet som har behov av tillgång till uppgifterna

iHOSP-registret för att försäkra sig om att intyg, exempelvis syn- intyg, är utfärdade av behörig yrkesutövare.

Sammanfattningsvis anser utredningen att det är ändamålet för vilket mottagaren behöver använda uppgifterna som är det avgörande för vilken typ av tillgång som behövs, och att det egentligen är väldigt få mottagare som har behov av att fritt söka i HOSP-registret genom direktåtkomst.

8.3Socialstyrelsens möjligheter att medge elektronisk tillgång

8.3.1Inledning

Utredningen har i uppdrag att analysera och bedöma om Socialstyrel- sen kan ges möjlighet att medge direktåtkomst till andra myndigheter som har behov av uppgifter för ändamål i enlighet med HOSP-för- ordningen. Utredningen anser att motsvarande analys och bedöm- ning bör göras i fråga om privata vårdgivares elektroniska tillgång till uppgifter i HOSP-registret.

195

Annan elektronisk tillgång till HOSP-registret

SOU 2021:39

8.3.2Socialstyrelsen får medge myndigheter och vårdgivare elektronisk tillgång

Utredningens förslag: Socialstyrelsen får besluta att medge en myndighet eller offentlig vårdgivare tillgång till uppgifter i HOSP- registret genom direktåtkomst eller annat elektroniskt utläm- nande. Socialstyrelsen får också besluta att medge en privat vård- givare tillgång till uppgifter i registret genom annat elektroniskt utlämnande än direktåtkomst.

Om Socialstyrelsen fattat ett beslut om att ge elektronisk till- gång, är Socialstyrelsen skyldig att ge den tillgång som beslutats.

Avvägning mellan behov och integritetsrisker

Socialstyrelsen föreslog i remissyttrandet över delbetänkandet Bättre behörighetskontroll – Ändringar i förordningen (2006:196) om register över hälso- och sjukvårdspersonal (SOU 2012:42) att det i HOSP- förordningen skulle anges att Socialstyrelsen får medge direktåtkomst för myndigheter som har ett behov av uppgifter i sin verksamhet och vars syfte med användningen av uppgifterna överensstämmer med ändamålen som anges i 4 och 5 §§ i förordningen. Skälet till detta uppgav Socialstyrelsen vara att man identifierat att fler myndigheter än de i betänkandet föreslagna kan behöva direktåtkomst till HOSP- registret.

Det kan enligt utredningens mening finnas flera fördelar med en sådan ordning. Myndighetsbeslut kan ändras enklare och smidigare än föreskrifter i förordning eller lag. En övergång till en ökad digi- talisering är också i linje med Sveriges digitaliseringsstrategi.4 Reger- ingen har som övergripande mål att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter vilket kan antas leda till en ökad digitalisering av statsförvaltningen. Det kan därför förväntas att allteftersom statsförvaltningen digitaliseras kommer fler myndigheter att behöva smidig elektronisk tillgång till uppgifterna i HOSP-för- ordningen. Beslut om elektronisk tillgång för myndigheter till HOSP- registret kan därför komma att behöva fattas relativt ofta. Utredningen

4Se t.ex. regeringens digitaliseringsstrategi, För ett hållbart digitaliserat Sverige – en digitaliserings- strategi, diarienummer: N2017/03643/D.

196

SOU 2021:39

Annan elektronisk tillgång till HOSP-registret

anser därför att en reglering genom myndighetsbeslut är att föredra framför den nuvarande ordningen med reglering i förordning.

Eftersom olika myndigheter har behov av elektronisk tillgång till olika uppgifter för olika ändamål, är det en fördel för integritets- skyddet om besluten kan vara detaljerade. Detaljerade beslut ger då möjlighet att se till att ingen myndighet får elektronisk tillgång till större mängd uppgifter än vad myndigheten har behov av. Detta är i linje med principen om uppgiftsminimering i dataskyddsförord- ningen som anger att uppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (artikel 5.1 c). Ju fler detaljer som behöver fastslås, desto mer lämp- ligt är det med myndighetsbeslut i stället för en förordning. Utred- ningen anser även av denna anledning att myndighetsbeslut är att föredra framför den nuvarande ordningen med reglering i förordning.

Utredningen gör dessutom i avsnitt 8.2 bedömningen att ut- lämnande av uppgifter från HOSP-registret i första hand bör ske genom annat elektroniskt utlämnande än direktåtkomst. Om en möjlighet för Socialstyrelsen att besluta om direktåtkomst eller annat elektroniskt utlämnande införs, skulle detta ge möjlighet för Socialstyrelsen att anpassa den elektroniska tillgången till upp- gifterna i registret utifrån respektive mottagares behov även i detta avseende. Det blir då enklare att se till att en myndighet, även beträffande formen för tillgången, inte får mer omfattande tillgång än vad som är nödvändigt.

Som utredningen redogör för i avsnitt 8.2.2 bör direktåtkomst bara tillåtas om behovet av just direktåtkomst överväger de särskilda integritetsrisker i förhållande till annan elektronisk tillgång som direktåtkomst innebär. Även tillgång genom annat elektroniskt utlämnande än direktåtkomst, som även den ger sammanställnings- möjligheter och möjligheter till enkel spridning av uppgifter, är för- knippad med vissa integritetsrisker.

Enligt utredningens bedömning är de flesta uppgifterna i HOSP- registret inte särskilt integritetskänsliga. Det är som utredningen ser det egentligen bara uppgifterna i registret om återkallelse av legiti- mation, prövotid och begränsning av förskrivningsrätt som kan betecknas som integritetskänsliga eftersom de kan indikera att en person misskött sig eller åtminstone inte fullt ut har klarat sitt yrkes- ansvar. Även uppgiften om folkbokföringsort i vissa fall kan vara

197

Annan elektronisk tillgång till HOSP-registret

SOU 2021:39

integritetskänslig. Det får därför förutsättas att behovet av elek- tronisk tillgång till dessa uppgifter granskas särskilt noga.

Socialstyrelsens möjligheter att besluta om elektronisk tillgång till uppgifter i HOSP-registret skulle begränsas av de uttömmande ändamål för behandlingen som slås fast i HOSP-förordningen. Elek- tronisk tillgång för andra ändamål än de uttryckligen angivna skulle således inte vara tillåten. Därigenom har regeringen lagt fast en tydlig ram inom vilken Socialstyrelsen får besluta.

Att en myndighet beslutar om att medge andra myndigheter till- gång genom direktåtkomst eller annat elektronisk utlämnande till uppgifter i ett register som omfattas av sekretess i stället för att regeringen reglerar detta i en förordning kan innebära en risk för att integritetsaspekterna inte blir tillräckligt belysta. Enligt 7 kap. 2 § regeringsformen ska vid beredningen av regeringsärenden nämligen behövliga upplysningar och yttranden inhämtas från berörda myndig- heter. Detta innebär att vid beredningen i Regeringskansliet av ett ärende om en bestämmelse som tillåter viss direktåtkomst, vilket en reglering genom förordning innebär, ska yttrande från Integritets- skyddsmyndigheten hämtas in. Skyldigheten för regeringen att sam- råda med Integritetsskyddsmyndigheten följer för övrigt också av artikel 36.4 i dataskyddsförordningen. Denna risk går emellertid att motverka genom att i HOSP-förordningen föreskriva att Socialstyrel- sen ska samråda med Integritetsskyddsmyndigheten innan Social- styrelsen fattar beslut. Utredningen förslår därför i avsnitt 8.3.3 att Socialstyrelsen ska samråda med Integritetsskyddsmyndigheten innan Socialstyrelsen beslutar att medge en annan myndighet till- gång genom direktåtkomst eller annat elektroniskt utlämnande till uppgifter i HOSP-registret.

En annan nackdel med att låta en myndighet besluta om andra myndigheters tillgång genom direktåtkomst eller annat elektroniskt utlämnande till myndighetens egna uppgifter är att regeringen inte har inflytande över utformningen och detaljeringsgraden av besluten. Det blir då svårt för regeringen att säkerställa att regleringen blir tydlig och ändamålsenlig. Regeringen får också svårare att ställa krav på mottagarmyndigheternas behörighetsstyrning och åtkomstkontroll. Dessa problem kan lösas genom att i HOSP-förordningen uppställa krav på att direktåtkomst endast får medges om inte annat elektro- niskt utlämnande är tillräckligt och på att tillgången inte får vara mer omfattande än vad den mottagande myndigheten behöver för att

198

SOU 2021:39

Annan elektronisk tillgång till HOSP-registret

utföra sina arbetsuppgifter. Det bör också i HOSP-förordningen tydligt framgå vad Socialstyrelsens beslut ska innehålla och ange för vilka ändamål som uppgifterna i registret får behandlas (lämnas ut) samt vilket ansvar som mottagarna har för behörighetsstyrning och åtkomstkontroll avseende uppgifterna. Utredningen föreslår därför i avsnitt 8.3.4, 8.3.5 och 8.3.7 sådana bestämmelser.

Med offentlig vårdgivare avses enligt patientdatalagen statlig myndighet, region och kommun i fråga om sådan hälso- och sjuk- vård som myndigheten, regionen eller kommunen har ansvar för. I en region eller kommun finns det flera myndigheter (nämnder). Socialstyrelsen bör av praktiska skäl kunna besluta att medge själva regionen eller kommunen, dvs. kommunala vårdgivare, elektronisk tillgång, så att det inte krävs ett beslut för varje hälso- och sjukvårds- myndighet inom regionen eller kommunen. I avsnitt 8.3.7 föreslås att Socialstyrelsen inte ska få medge elektronisk tillgång innan Socialstyrelsen har försäkrat sig om att frågorna om behörighet, åtkomstkontroll och säkerhet är lösta på ett sätt som är tillfreds- ställande ur integritetssynpunkt. I det ligger att Socialstyrelsen ska försäkra sig om att kommunala myndigheter som inte har ansvar för hälso- och sjukvård inte kan bereda sig elektronisk tillgång till upp- gifter i HOSP-registret.

I fråga om behov av elektronisk tillgång till uppgifterna i HOSP- registret för andra än myndigheter och offentliga vårdgivare, som inte kan tillgodoses genom den tillgång via internet som föreslås i kapitel 7, gör utredningen bedömningen att endast privata vård- givare har ett sådant beaktansvärt behov. Med privat vårdgivare avses enligt patientdatalagen annan juridisk person än statlig myndighet, region eller kommun eller enskild näringsidkare som bedriver hälso- och sjukvård. De privata vårdgivarna behöver, liksom de offentliga vårdgivarna, löpande tillgång till uppgifter för att kontrollera hälso- och sjukvårdspersonals identitet och behörighet i samband med tjänstetillsättning och under anställning eller uppdrag. De behöver också, i likhet med offentliga vårdgivare, tillgång till uppgifter om prövotid, förskrivarkod och omfattning av förskrivningsrätt, som inte kommer att vara tillgängliga via internet. Att ge offentliga vård- givare elektronisk tillgång till dessa uppgifter har ansetts falla inom ändamålen för HOSP-registret, och utredningen gör motsvarande bedömning i fråga om de privata vårdgivarnas elektroniska tillgång till sådana uppgifter för att kontrollera behörighet.

199

Annan elektronisk tillgång till HOSP-registret

SOU 2021:39

De privata vårdgivarna har enligt utredningens bedömning dock inte ett beaktansvärt behov av direktåtkomst. Deras behov kan till- godoses genom att de får elektronisk tillgång till uppgifterna genom annat elektroniskt utlämnande än direktåtkomst, så att de på ett automatiserat sätt kan kontrollera identiteten och behörigheten för en viss individ.

I övrigt gör utredningen, i fråga om de privata vårdgivarnas elektro- niska tillgång, motsvarande bedömningar som redovisas beträffande myndigheters och offentliga vårdgivares elektroniska tillgång.

Sammantagen avvägning

Utredningen anser att det finns klara behov av och fördelar med att låta Socialstyrelsen medge andra myndigheter och vårdgivare elek- tronisk tillgång till personuppgifter i HOSP-registret. Den elektro- niska tillgången för privata vårdgivare bör dock vara begränsad till annat elektroniskt utlämnande än direktåtkomst. Utredningen har också kommit fram att de nackdelar och risker som finns för- knippade med detta går att motverka. Utredningen anser därför att Socialstyrelsen själv, efter samråd med Integritetsskyddsmyndig- heten, bör få besluta om vilka myndigheter och vårdgivare som ska medges elektronisk tillgång till uppgifter i HOSP-registret. Detta gäller under förutsättning att den övriga reglering som utredningen föreslår i form av bestämmelser om integritetsstärkande åtgärder genomförs i HOSP-förordningen.

8.3.3Beslutet ska fattas efter samråd med Integritetsskyddsmyndigheten

Utredningens förslag: Socialstyrelsen ska samråda med Integritets- skyddsmyndigheten innan Socialstyrelsen beslutar att medge en myndighet eller vårdgivare elektronisk tillgång till uppgifter i HOSP-registret.

Eftersom direktåtkomst kan innebära integritetsrisker, är det viktigt att integritetsaspekterna noga belyses innan Socialstyrelsen beslutar att medge en myndighet tillgång genom direktåtkomst till uppgifter

200

SOU 2021:39

Annan elektronisk tillgång till HOSP-registret

i HOSP-registret. Också när det gäller elektronisk tillgång till upp- gifterna i registret om återkallelse av legitimation, prövotid och begränsning av förskrivningsrätt är det särskilt viktigt att integritets- aspekterna lyfts fram och noga vägs mot behoven. Enligt artikel 57.1 c i dataskyddsförordningen ska tillsynsmyndigheten (i Sverige Integri- tetsskyddsmyndigheten), i enlighet med nationell rätt, ge rådgivning åt det nationella parlamentet (i Sverige riksdagen), regeringen och andra institutioner och organ om lagstiftningsåtgärder och admi- nistrativa åtgärder rörande skyddet av fysiska personers rättigheter och friheter när det gäller behandling av personuppgifter. I Sverige sker samrådet genom remissförfarande och genom att Integritets- skyddsmyndigheten ofta medverkar i offentliga utredningar. I register- författningar som ger en myndighet befogenhet att utfärda före- skrifter om behandling av personuppgifter brukar det föreskrivas att myndigheten ska samråda med Integritetsskyddsmyndigheten innan sådana föreskrifter utfärdas.5

Utredningen föreslår att Socialstyrelsen ska samråda med Integri- tetsskyddsmyndigheten innan Socialstyrelsen beslutar att medge en myndighet eller vårdgivare elektronisk tillgång till uppgifter i HOSP- registret. På så sätt kommer Socialstyrelsen att äga själva beslutet om under vilka förutsättningar tillgång genom direktåtkomst eller annat elektronisk utlämnande ska medges samtidigt som Integritetsskydds- myndigheten får tillräcklig insyn i intresseavvägningen mellan behov och integritetsrisker och möjlighet att påverka. Om Integritets- skyddsmyndigheten inte anser att tillräcklig hänsyn tas till integritets- skyddet i ett specifikt fall, kan myndigheten uppmärksamma regeringen på detta. Om regeringen delar Integritetsskyddsmyndig- hetens uppfattning, kan regeringen ingripa, t.ex. genom att i HOSP- förordningen reglera om eller hur den aktuella myndigheten eller vårdgivaren ska ha elektronisk tillgång.

5Sören Öman, Dataskyddsförordningen (GDPR) m.m. – En kommentar, kommentaren till artikel 36, JUNO version:1A.

201

Annan elektronisk tillgång till HOSP-registret

SOU 2021:39

8.3.4Omfattningen av den elektroniska tillgången

Utredningens förslag: Direktåtkomst får medges myndigheter och offentliga vårdgivare endast om inte annat elektroniskt ut- lämnande är tillräckligt. Privata vårdgivare får bara medges till- gång genom annat elektroniskt utlämnande än direktåtkomst.

Den elektroniska tillgången får inte vara mer omfattande än vad myndigheten eller vårdgivaren behöver för att utföra sina arbetsuppgifter.

Som utredningen konstaterar i avsnitt 8.2.4 är det ändamålet för vilket mottagaren behöver använda uppgifterna som är det av- görande för vilken typ av elektronisk tillgång som mottagaren behöver. Det är väldigt få myndigheter och offentliga vårdgivare som behöver kunna söka fritt i HOSP-registret genom direktåtkomst. För flertalet myndigheter och offentliga vårdgivare borde därför tillgång genom annat elektroniskt utlämnande än direktåtkomst vara tillräcklig. Utredningen gör vidare i avsnitt 8.2 bedömningen att utlämnande av uppgifter från HOSP-registret i första hand bör ske genom annat elektroniskt utlämnande än direktåtkomst. Det bör därför anges i HOSP-förordningen att direktåtkomst endast får medges om inte annat elektroniskt utlämnande är tillräckligt.

Som redan nämnts kan de privata vårdgivarnas behov av uppgifter tillgodoses genom annat elektroniskt utlämnande än direktåtkomst, genom att de på ett automatiserat sätt kan kontrollera identiteten och behörigheten hos en viss individ. Privata vårdgivare bör därför inte få medges direktåtkomst utan få tillgång genom annat elek- troniskt utlämnande.

Enligt artikel 5.1 c i dataskyddsförordningen ska personuppgifter som samlas in vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (principen om uppgiftsminimering). Det bör därför anges i HOSP-förordningen att tillgången inte får vara mer omfattande än vad myndigheten eller vårdgivaren behöver för att utföra sina arbetsuppgifter.

202

SOU 2021:39

Annan elektronisk tillgång till HOSP-registret

8.3.5Vad beslutet ska innehålla

Utredningens förslag: Av beslutet om elektronisk tillgång ska framgå för vilka ändamål som tillgången får användas, vilka upp- gifter som tillgången får gälla och vilka legitimerade yrken som tillgången får gälla.

Vilken form av elektronisk tillgång som avses

Socialstyrelsens beslut måste givetvis ange vilken form av elek- tronisk tillgång som respektive myndighet och offentlig vårdgivare får ha till uppgifter i HOSP-registret, dvs. tillgång genom direkt- åtkomst eller genom annat elektroniskt utlämnande. Är det fråga om tillgång genom annat elektroniskt utlämnande, t.ex. en elektronisk fråga-svar-funktion, måste Socialstyrelsen givetvis, i beslutet eller på annat sätt, också ge den mottagande myndigheten eller offentliga vårdgivaren sådana anvisningar att funktionen kan användas. Mot- svarande gäller i fråga om privata vårdgivare, som bara får medges elektronisk tillgång genom annat elektroniskt utlämnande än direkt- åtkomst.

Tillgång genom annat elektroniskt utlämnande än direktåtkomst kan utgöras av en elektronisk fråga-svar-funktion som för använ- daren framstår som identisk med, eller snarlik, direktåtkomst. Men funktionen får inte ge något svar (lämna ut personuppgifter) utan att det föregås av en fråga från mottagaren. Det är mottagaren som har medgetts elektronisk tillgång, inte Socialstyrelsen som i detta sammanhang fått tillåtelse att på eget initiativ sprida (lämna ut) upp- gifter. Det är därmed inte tillåtet för Socialstyrelsen att underrätta mottagaren om att det tillkommit eller ändrats uppgifter om en person i registret som denne tidigare har frågat om. Socialstyrelsen får alltså inte skicka en s.k. push-notis endast innehållande infor- mationen att det tillkommit eller ändrats uppgifter om en person (även om push-notisen inte innehåller information om vad som tillkommit eller ändrats). Vill mottagaren undersöka om det finns nya uppgifter, får denne skicka Socialstyrelsen en ny fråga eller själv använda sin direktåtkomst.

203

Annan elektronisk tillgång till HOSP-registret

SOU 2021:39

För vilka ändamål den elektroniska tillgången får användas

I 4 § HOSP-förordningen framgår att personuppgifterna i registret får behandlas för att föra en aktuell förteckning över legitimerad hälso- och sjukvårdspersonal. Utöver detta får uppgifterna enligt 5 § samma förordning endast behandlas för ett antal däri uppräknade ändamål. Vidare behandling av personuppgifterna får inte ske ens för ändamål som är förenliga med de angivna.

Myndigheter behöver använda uppgifter i HOSP-registret för olika ändamål beroende på vilket uppdrag myndigheten har. Få myndigheter behöver använda uppgifter för samtliga de ändamål som uppgifterna får behandlas för enligt 4 och 5 §§ HOSP-förord- ningen. För att regleringen ska vara förenlig med principen om upp- giftsminimering i dataskyddsförordningen som säger att uppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (artikel 5.1 c), behöver Social- styrelsen därför genom sitt beslut för respektive myndighet ange för vilka ändamål som den elektroniska tillgången får användas.

Vårdgivares behov av tillgång till uppgifter i HOSP-registret lär vara begränsat till att kontrollera hälso- och sjukvårdspersonals identitet och behörighet i samband med tjänstetillsättning och under anställning eller uppdrag.

Enligt artikel 5.1 b i dataskyddsförordningen ska personupp- gifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Den mottagande myndigheten eller vårdgivaren har alltså att för sin egen behandling av personuppgifter ange ett särskilt ändamål för behandlingen av de personuppgifter som samlas in genom den elektroniska tillgången och sedan hålla sig till detta ändamål. Det får förutsättas att den mottagande myndigheten eller vårdgivaren för sin insamling av personuppgifter anger samma ändamål som Social- styrelsen angett i beslutet om den elektroniska tillgången.

Vilka uppgifter som den elektroniska tillgången får gälla

HOSP-registret får endast innehålla vissa uppgifter om de regi- strerade (6 § HOSP-förordningen). Myndigheter har behov av att använda olika uppgifter i HOSP-registret beroende på vilket upp- drag myndigheten har. För att regleringen ska vara förenlig med

204

SOU 2021:39

Annan elektronisk tillgång till HOSP-registret

principen om uppgiftsminimering i dataskyddsförordningen är det nödvändigt att se till att myndigheter eller vårdgivaren inte får elek- tronisk tillgång till uppgifter som myndigheten eller vårdgivaren inte behöver. Socialstyrelsen ska därför i beslutet om att medge elektro- nisk tillgång ange vilka uppgifter om de registrerade som tillgången får gälla, genom hänvisning till aktuella punkter i 6 § HOSP-för- ordningen eller på annat lämpligt sätt.

Vilka legitimerade yrken som den elektroniska tillgången får gälla

I 4 kap. 1 § patientsäkerhetslagen (2010:659) anges vilka legitime- rade yrken och yrkestitlar som finns inom hälso- och sjukvården. Eftersom HOSP-registrets primära ändamål är att föra en aktuell förteckning över legitimerad hälso- och sjukvårdspersonal (4 § HOSP-förordningen), är det uppgifter om personer som har de legi- timerade yrken och yrkestitlar som anges i 4 kap. 1 § patientsäker- hetslagen som förekommer i registret. Myndigheter och vårdgivare har behov av att använda uppgifter i HOSP-registret om olika yrken och yrkestitlar beroende på vilket uppdrag myndigheten eller vård- givaren har. För att regleringen ska vara förenlig med principen om uppgiftsminimering i dataskyddsförordningen är det nödvändigt att se till att myndigheter och vårdgivare bara får tillgång till uppgifter som de behöver. Socialstyrelsen ska därför i beslutet om att medge tillgång genom direktåtkomst eller annat elektroniskt utlämnande ange vilka legitimerade yrken som tillgången får gälla. Det är förstås tillåtet att ange alla legitimerade yrken, när det är nödvändigt.

8.3.6Beslutet får inte överklagas

Utredningens förslag: Socialstyrelsens beslut att medge elek- tronisk tillgång, eller att avslå en begäran om det, får inte över- klagas.

Socialstyrelsen är personuppgiftsansvarig för HOSP-registret (3 § HOSP-förordningen). Socialstyrelsen har därmed ansvaret för att behandlingen av personuppgifter är förenlig med dataskydds- och sekretesslagstiftningen. Det finns enligt utredningens mening därför

205

Annan elektronisk tillgång till HOSP-registret

SOU 2021:39

inte skäl att tillåta att Socialstyrelsens beslut i fråga om elektronisk tillgång ska kunna överklagas. Bestämmelser om att beslut inte får överklagas (överklagandeförbud) kan tas in i förordning. Över- klagandeförbud får dock inte införas när det gäller beslut som inne- fattar en prövning av någon enskilds civila rättigheter eller skyldigheter i den mening som avses i artikel 6.1 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande fri- heterna (Europakonventionen). I sådana fall finns enligt konven- tionen en rätt till domstolsprövning. Socialstyrelsens beslut att medge en myndighet sådan tillgång som det här är fråga om inne- fattar inte någon sådan prövning av någon enskilds civila rättigheter eller skyldigheter. Det bör därför införas ett överklagandeförbud i HOSP-förordningen.

8.3.7Krav på behörighetsstyrning, loggning, åtkomstkontroll och ändamålsbegränsning

Utredningens förslag: Den som har medgetts elektronisk till- gång ska se till att tillgången till personuppgifterna begränsas till vad varje användare behöver för att kunna fullgöra sina arbets- uppgifter, att tillgång till personuppgifterna dokumenteras och kan kontrolleras och att det görs systematiska och återkom- mande kontroller av om någon obehörigen kommer åt sådana uppgifter.

Elektronisk tillgång får inte medges innan Socialstyrelsen har försäkrat sig om att frågorna om behörighet, åtkomstkontroll och säkerhet är lösta på ett sätt som är tillfredsställande ur integritets- synpunkt.

Den som har medgetts sådan tillgång får inte behandla person- uppgifterna för något annat ändamål än det för vilket de lämnats ut. E-hälsomyndigheten får dock behandla uppgifterna i den natio- nella läkemedelslistan i enlighet med ändamålen i 3 kap. 2–5 §§ lagen (2018:1212) om nationell läkemedelslista.

Av HOSP-förordningen framgår att en myndighet som har med- getts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje användare behöver för att kunna fullgöra sina

206

SOU 2021:39

Annan elektronisk tillgång till HOSP-registret

arbetsuppgifter (7 b § första stycket). Det får ses som en påminnelse om vad som följer av dataskyddsförordningen.

Utredningen föreslår i avsnitt 8.3.2 att en myndighet eller vård- givare ska få medges elektronisk tillgång genom annat elektroniskt utlämnande än direktåtkomst till uppgifter i HOSP-registret. Bestäm- melsen om behörighetsstyrning bör därför kompletteras så att den även gäller myndigheter och vårdgivare som medgetts tillgång genom annat elektroniskt utlämnande än direktåtkomst.

Ansvaret för behörighetsstyrning är enligt dataskyddsförord- ningen förknippat med ansvar för att se till att elektronisk åtkomst till personuppgifter dokumenteras (s.k. logglistor) och kan kontrolleras samt att det görs systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter. Även detta ansvar bör det påminnas om genom uttryckliga bestämmelser i HOSP- förordningen. Att detta ansvar sköts innebär att dataintrång med större säkerhet kan konstateras och beivras och det har också en avhållande verkan på personal som, om risken för upptäckt är liten, kan frestas att olovligen ta del av uppgifter.

Det framgår vidare av HOSP-förordningen att direktåtkomst inte får medges innan Socialstyrelsen har försäkrat sig om att behörighets- och säkerhetsfrågorna är lösta på ett sätt som är till- fredsställande ur integritetssynpunkt (7 b § andra stycket). Den bestämmelsen bör förtydligas så att Socialstyrelsen före beslutet om elektronisk tillgång ska ha försäkrat sig om att frågorna om behörig- het, åtkomstkontroll och säkerhet är lösta på ett sätt som är tillfreds- ställande ur integritetssynpunkt.

Som nämnts får det förutsättas att den mottagande myndigheten eller vårdgivaren anger samma ändamål enligt 5 § HOSP-förord- ningen för sin insamling av personuppgifter som Socialstyrelsen angett i beslutet om elektronisk tillgång. Uppgifterna i HOSP- registret får bara behandlas för de ändamål som anges i 4 och 5 §§ HOSP-förordningen. För att detta inte ska kunna kringgås bör det uttryckligen föreskrivas att den som har medgetts elektronisk till- gång till uppgifter i HOSP-registret inte får behandla personupp- gifterna för något annat ändamål än det för vilket de lämnats ut. En sådan bestämmelse i förordning inskränker inte mottagande myndig- heters och offentliga vårdgivares skyldigheter att lämna ut personupp- gifter enligt offentlighetsprincipen i 2 kap. tryckfrihetsförordningen och innebär inte att myndigheten eller den offentliga vårdgivaren

207

Annan elektronisk tillgång till HOSP-registret

SOU 2021:39

saknar befogenhet att göra en sammanställning av personuppgifter tillgänglig i den mening som avses i 2 kap. 7 § tryckfrihetsförord- ningen. Inte heller innebär bestämmelsen någon inskränkning av enskildas möjligheter att använda personuppgifterna i enlighet med övriga bestämmelser i tryckfrihetsförordningen eller bestämmel- serna i yttrandefrihetsgrundlagen.

Uppgifter från HOSP-registret tillförs i dag den nationella läke- medelslistan som E-hälsomyndigheten för och i 3 kap. 2–5 §§ lagen om nationell läkemedelslista finns en reglering av för vilka ändamål som uppgifterna i listan får behandlas. För att det inte ska bli någon normkonflikt bör det därför uttryckligen föreskrivas att E-hälso- myndigheten får behandla uppgifterna i den nationella läkemedels- listan i enlighet med ändamålen i lagen om nationell läkemedelslista.

I regeringsformen finns det en särskild bestämmelse om att före- skrifter ska meddelas av riksdagen genom lag om de avser grunderna för kommunernas organisation och verksamhetsformer och för den kommunala beskattningen samt kommunernas befogenheter i övrigt och deras åligganden (8 kap. 2 § 3). Regeringen får inte heller med- dela föreskrifter som avser den kommunala beskattningen (8 kap. 7 § andra stycket regeringsformen). I förarbetena uttalas att dessa två bestämmelser tillsammans innebär att regeringen med stöd direkt i regeringsformen är behörig att meddela mera detaljbetonade föreskrifter som gäller kommunernas organisation och verksamhets- former. Som exempel på detta ges att regeringen som villkor för åtnjutande av statsbidrag kan föreskriva att verksamhet som kom- mun bedriver med stöd av statsbidraget ska administreras på visst sätt.6 Också föreskrifter om förhållandet mellan enskilda och det allmänna som gäller skyldigheter för enskilda eller i övrigt avser ingrepp i enskildas personliga eller ekonomiska förhållanden ska med- delas av riksdagen genom lag (8 kap. 2 § 2 regeringsformen). Av förarbetena till bestämmelsen framgår att hit räknas endast sådana föreskrifter om förhållandet mellan enskilda och det allmänna som gäller åligganden för enskild eller i övrigt avser ingrepp i enskildas personliga eller ekonomiska förhållanden. Med ingrepp bör förstås sådana åtgärder från normgivarens sida som allmänt anses innebära

6Kungl. Maj:ts proposition med förslag till ny regeringsform och ny riksdagsordning m. m , prop. 1973:90 s. 306.

208

SOU 2021:39

Annan elektronisk tillgång till HOSP-registret

inskränkningar i enskildas dittillsvarande handlingsfrihet, möjlig- heter att förfoga över egendom etc.7

Det finns ingen allmän rättighet för offentliga och privata vård- givare eller kommunala myndigheter att ha elektronisk tillgång till uppgifter hos Socialstyrelsen. Det blir emellertid enligt de föreslagna bestämmelserna frivilligt för dessa aktörer att begära elektronisk till- gång till uppgifter i HOSP-registret. Enligt utredningens förslag måste dock den offentliga eller privata vårdgivare eller kommunala myndighet som frivilligt använder den möjligheten, och av Social- styrelsen medges sådan tillgång, följa de föreskrifter som meddelats av regeringen som villkor för denna tillgång och som gäller bara de uppgifter tillgången avser. Att uppställa sådana villkor för offentliga vårdgivares och kommunala myndigheters elektroniska tillgång till de aktuella uppgifterna kan enligt utredningens mening jämställas med det i förarbetena angivna exemplet att uppställa villkor för hur en förmån som statsbidrag ska administreras. Att uppställa sådana villkor för privata vårdgivare kan inte heller anses vara en inskränk- ning i privata vårdgivares hittillsvarande handlingsfrihet. Föreskrif- terna kan på grund av frivilligheten därför inte sägas avse några åligganden för kommuner eller några skyldigheter för enskilda. Utredningen gör därför bedömningen att det inte krävs reglering i lag utan att reglering i förordning är tillräcklig.

8.3.8Ändringar i sekretesslagstiftningen

Utredningens förslag: Genom ändring i offentlighets- och sekretessförordningen gäller inte den s.k. folkbokföringssekre- tessen enligt 22 kap. 1 § första stycket 1 offentlighets- och sekre- tesslagen (2009:400) när Socialstyrelsen lämnar ut uppgifter enligt ett beslut om elektronisk tillgång till uppgifter i HOSP- registret.

7Prop. 1973:90 s. 210.

209

Annan elektronisk tillgång till HOSP-registret

SOU 2021:39

Sekretessbrytande reglering behövs för folkbokföringssekretessen

Som framgår i avsnitt 5.3 omfattas uppgifter i HOSP-registret, genom föreskrifter i 6 § offentlighets- och sekretessförordningen, av s.k. folkbokföringssekretess enligt 22 kap. 1 § offentlighets- och sekretesslagen. Även om sekretesskyddet är svagt och det finns en presumtion för att uppgifterna är offentliga, innebär elektronisk tillgång genom direktåtkomst eller annat elektroniskt utlämnande, ett utlämnande av uppgifter som i och för sig omfattas av sekretess. Folkbokföringssekretessen hindrar dock ett utlämnande bara om det av särskild anledning kan antas att den enskilde eller någon när- stående till denne lider men om uppgiften röjs.

Utredningen gör i avsnitt 7.11 bedömningen att en sökfunktion på internet innebär en uppgiftsskyldighet för Socialstyrelsen som bryter eventuell sekretess vid utlämnanden av uppgifter till myndig- heter. Utredningen föreslår i samma avsnitt att det även ska före- skrivas i offentlighets- och sekretessförordningen att folkbok- föringssekretessen inte ska gälla i fråga om utlämnande enligt de föreslagna bestämmelserna om en sökfunktion på internet. Denna föreskrift föreslås gälla allt sådant utlämnande, till både myndigheter och enskilda. Detta innebär att de uppgifter om namn, typ av legiti- mation och när den utfärdades samt omfattningen av legitimationen vid partiellt tillträde, yrke samt specialitet utan hinder av sekretess kan lämnas till myndigheter och enskilda. Myndigheter och offent- liga vårdgivare som ska kunna medges tillgång till uppgifter i HOSP- registret genom direktåtkomst eller annat elektroniskt utlämnande kan enligt utredningens mening dock behöva ha tillgång till andra uppgifter än de som enligt utredningens förslag ska vara tillgängliga genom en sökfunktion på internet. Detsamma gäller för privata vård- givares tillgång till uppgifter i HOSP-registret genom annat elektro- niskt utlämnande än direktåtkomst (se avsnitt 8.3.2). Även om utred- ningens förslag om sekretessbrytande bestämmelse i avsnitt 7.11 genomförs gäller folkbokföringssekretess alltjämt för övriga upp- gifter i HOSP-registret och vid andra former av utlämnanden än via sökfunktionen på internet. Några befintliga sekretessbrytande bestämmelser som i praktiken kan användas gäller inte för sådant uppgiftsutlämnande. Det behöver därför införas ytterligare sekre- tessbrytande reglering som bryter folkbokföringssekretessen vid beslutad elektronisk tillgång.

210

SOU 2021:39

Annan elektronisk tillgång till HOSP-registret

Sekretessbrytande reglering behövs inte för annan sekretess

Vissa uppgifter kan i all myndighetsverksamhet omfattas av sekre- tess enligt 21 kap. 3 § offentlighets- och sekretesslagen. Enligt den bestämmelsen kan sekretess gälla för uppgift om en enskilds bostadsadress eller annan jämförbar uppgift som kan lämna upplys- ning om var den enskilde bor stadigvarande eller tillfälligt, den enskildes telefonnummer, e-postadress eller annan jämförbar upp- gift som kan användas för att komma i kontakt med denne samt för motsvarande uppgifter om den enskildes anhöriga. Detta gäller om det av särskild anledning kan antas att den enskilde eller någon närstående till denne kan komma att utsättas för hot eller våld eller lida annat allvarligt men om uppgiften röjs. Även del av en adress- uppgift som kan användas för att ta reda på var den enskilde bor omfattas av bestämmelsen.8 I HOSP-registret finns i förekommande fall uppgift om den registrerades folkbokföringsort.

Eftersom sekretess enligt 21 kap. 3 § offentlighets- och sekretess- lagen gäller i all myndighetsverksamhet hindrar inte denna sekretess den föreslagna möjligheten för Socialstyrelsen att besluta om till- gång för andra myndigheter och offentliga vårdgivare till uppgifter i HOSP-registret genom direktåtkomst och annat elektroniskt utläm- nande. Privata vårdgivare är däremot inte myndigheter och därför om- fattas inte uppgifter hos dessa av sekretess enligt den bestämmelsen. De saknar emellertid enligt utredningens bedömning behov av elek- tronisk tillgång till uppgift om folkbokföringsort och Socialstyrelsen bör därför inte heller medge dem sådan tillgång till denna uppgift. Övriga uppgifter i HOSP-registret omfattas inte av 21 kap. 3 § offent- lighets- och sekretesslagen. Någon bestämmelse som bryter sekre- tessen enligt 21 kap. 3 § offentlighets- och sekretesslagen behövs därför inte.

I Socialstyrelsens personaladministrativa verksamhet råder nor- malt sekretess för uppgifter om personnummer och födelsedatum (39 kap. 3 § OSL och 10 § offentlighets- och sekretessförordningen). Uppgifterna om namn och personnummer i HOSP-registret behand- las dock inte i personaladministrativ verksamhet hos Socialstyrelsen och omfattas därför inte av denna sekretess. Någon bestämmelse som bryter denna sekretess behövs därför inte.

88Prop. 2005/06:161, Sekretessfrågor – Skyddade adresser, s. 98.

211

Annan elektronisk tillgång till HOSP-registret

SOU 2021:39

Utredningen gör bedömningen att den föreslagna möjligheten för myndigheter eller offentliga vårdgivare till elektronisk tillgång genom direktåtkomst eller annan elektroniskt utlämnande inte kan antas medföra att personuppgifterna efter utlämnandet behandlas i strid med dataskyddsförordningen eller dataskyddslagen. Detsamma gäller den föreslagna möjligheten för privata vårdgivare till elektro- nisk tillgång genom annat elektroniskt utlämnande än direkt- åtkomst. Någon bestämmelse som bryter sekretessen enligt 21 kap. 7 § offentlighets- och sekretesslagen behövs därför inte.

Utredningen gör också bedömningen att de uppgifter i HOSP- registret som föreslås kunna lämnas ut elektroniskt till myndigheter och vårdgivare inte omfattas av några andra bestämmelser om sekretess. Ett sekretessgenombrott behöver alltså bara gälla folk- bokföringssekretess.

Sekretessbrytande reglering införs för folkbokföringssekretessen

Utredningen gör i avsnitt 7.11 bedömningen att de uppgifter i HOSP- registret som enligt utredningens förslag ska lämnas ut till allmän- heten genom en sökfunktion på internet inte kan anses särskilt känsliga och att det därför i praktiken inte kan uppkomma någon situation där det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om dessa uppgifter röjs på detta sätt. När det gäller övriga uppgifter i HOSP-registret gör utredningen en annan bedömning. I avsnitt 8.3.2 framgår att utred- ningen anser att uppgifterna i registret om återkallelse av legiti- mation, prövotid och begränsning av förskrivningsrätt samt uppgift om folkbokföringsort kan betecknas som integritetskänsliga.

Att uppgifterna används för det ändamål enligt 5 § HOSP-förord- ningen för vilket de lämnas ut kan, enligt utredningens bedömning, inte ge särskild anledning att anta att den enskilde eller någon när- stående till denne lider men om uppgiften röjs.

Om en myndighet har direktåtkomst till uppgifter hos en annan myndighet och dessa uppgifter omfattas av sekretess hos den ut- lämnande myndigheten, överförs sekretessen till den mottagande myndigheten (11 kap. 4 § OSL). Därför får de uppgifter som utlämnas genom direktåtkomst samma sekretesskydd hos den mot- tagande myndigheten eller offentliga vårdgivaren som hos Social-

212

SOU 2021:39

Annan elektronisk tillgång till HOSP-registret

styrelsen. Detta gäller dock inte om en sekretessbestämmelse till skydd för samma intresse redan är tillämplig på uppgifterna hos den mottagande myndigheten (11 kap. 8 § OSL). Även uttryckliga undantag i offentlighets- och sekretesslagen från den sekretess- bestämmelse som gäller hos den mottagande myndigheten har företräde framför den överförda sekretessen. Detta innebär att det kan vara så att en uppgift som omfattas av sekretess hos Social- styrelsen inte gör det hos en myndighet eller offentlig vårdgivare som har direktåtkomst till uppgiften hos Socialstyrelsen. När det gäller elektronisk tillgång till uppgifter genom annat elektroniskt utlämnande än direktåtkomst finns det inte någon generell regel om överföring av sekretess mellan myndigheter (se avsnitt 5.3.3).

När en uppgift som omfattas av sekretess lämnas till en privat vårdgivare överförs ingen sekretess till den privata vårdgivaren. Vissa uppgifter kan dock vara skyddade av tystnadsplikt hos den privata vårdgivaren. Den bestämmelse om tystnadsplikt som finns i 6 kap. 12–14 §§ patientsäkerhetslagen gäller dock endast personer som tillhör eller har tillhört hälso- och sjukvårdspersonalen hos den privata vårdgivaren. Med hälso- och sjukvårdpersonal avses i patient- säkerhetslagen den som har legitimation för ett yrke inom hälso- och sjukvården, personal som är verksam vid sjukhus och andra vård- inrättningar och som medverkar i hälso- och sjukvård av patienter, den som i annat fall vid hälso- och sjukvård av patienter biträder en legitimerad yrkesutövare samt viss apotekspersonal, personal vid Giftinformationscentralen och personal vid larmcentral och sjuk- vårdsrådgivning (1 kap. 4 §). Enligt utredningens bedömning är inte den personal som i samband med tjänstetillsättning och under anställning eller uppdrag kommer att få del av uppgifter från HOSP- registret att anse som hälso- och sjukvårdspersonal i patientsäker- hetslagens mening. Uppgifterna omfattas därför inte av tystnads- plikt hos den privata vårdgivaren.

Mot bakgrund av det ovan anförda kan man inte utgå från att de utlämnade uppgifterna har samma sekretesskydd hos den mottagande myndigheten eller offentliga vårdgivaren som hos Socialstyrelsen. Inte heller omfattas de utlämnade uppgifterna av tystnadsplikt, eller sekretess, hos en privat vårdgivare. Socialstyrelsen måste dock enligt utredningens mening inför varje beslut om elektronisk tillgång göra en intresseavvägning mellan behov och integritetsrisker och dessutom samråda med Integritetsskyddsmyndigheten (se avsnitt 8.3.3). I denna

213

Annan elektronisk tillgång till HOSP-registret

SOU 2021:39

intresseavvägning ska givetvis frågan om hur känsliga uppgifter den elektroniska tillgången ska avse och vilket skydd uppgifterna kom- mer att få hos mottagaren väga tungt. Utredningen föreslår dess- utom i avsnitt 8.3.5 och 8.3.7 att uttryckliga krav ska uppställas på att den elektroniska tillgången inte får vara mer omfattande än vad mottagaren behöver för att utföra sina arbetsuppgifter och att mot- tagaren inte får behandla (inklusive lämna ut) personuppgifterna för något annat ändamål än det för vilket de lämnats ut. Utredningen gör därför bedömningen att det finns tillräckliga garantier för att det i praktiken inte kommer att uppkomma någon situation där det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs genom den föreslagna möjlig- heten till elektronisk tillgång.

Utredningen anser sammanfattningsvis att det bör föreskrivas i offentlighets- och sekretessförordningen att folkbokföringssekre- tessen inte gäller när Socialstyrelsen lämnar ut uppgifter enligt ett beslut om elektronisk tillgång till uppgifter i HOSP-registret.

8.3.9Information till de registrerade

I dataskyddsförordningen finns det bestämmelser om information till den registrerade i samband med att personuppgifter samlas in. Artikel 13 i dataskyddsförordningen gäller information som ska lämnas när personuppgifter samlas in från den registrerade, medan artikel 14 i dataskyddsförordningen gäller information som ska lämnas när personuppgifterna som samlats in inte har erhållits från den registrerade.

Personuppgifterna i HOSP-registret har inte erhållits från den registrerade. I sådant fall gäller, enligt artikel 14.5 c i dataskydds- förordningen, ett undantag från informationsskyldigheten när ut- lämnande av uppgifter uttryckligen föreskrivs genom nationell rätt som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen. Utlämnandet av personuppgifterna är enligt utredningens förslag uttryckligen föreskrivet i HOSP-förord- ningen, som för detta fall också fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen (se avsnitt 8.3.3, 8.3.4, 8.3.5 och 8.3.7). Någon information till de registrerade om att personuppgifterna kan komma att lämnas ut till myndigheter och

214

SOU 2021:39

Annan elektronisk tillgång till HOSP-registret

vårdgivare enligt Socialstyrelsens beslut skulle således inte behövas enligt dataskyddsförordningen.

Den som är registrerad i HOSP-registret har emellertid i dag, utöver vad som framgår av artikel 13 och 14 i dataskyddsförord- ningen, rätt att av Socialstyrelsen, som är personuppgiftsansvarig, få information om bl.a. vad som gäller i fråga om sökbegrepp, direkt- åtkomst och utlämnande på medium för automatiserad behandling. Utredningen föreslår i avsnitt 7.10 att Socialstyrelsen ska lämna den som är registrerad information om vad som gäller även i fråga om annat elektroniskt utlämnande än direktåtkomst. Den informationen kan t.ex. lämnas genom upplysningar på Socialstyrelsens webbplats.

8.4Utlämnanden i enstaka fall genom annat elektroniskt utlämnande än direktåtkomst

Utredningens förslag: Socialstyrelsen får i enstaka fall lämna ut uppgifter i HOSP-registret genom annat elektroniskt utläm- nande än direktåtkomst utan förhandssamråd med Integritets- skyddsmyndigheten. Möjligheten till regelmässigt utlämnande på medium för automatiserad behandling tas därför bort i HOSP- förordningen.

Det är enligt utredningens mening inte rimligt att varje elektroniskt utlämnande av uppgifter ur HOSP-registret ska kräva ett förhands- samråd med Integritetsskyddsmyndigheten, ett uttryckligt beslut med ett omfattande innehåll och en försäkran om att frågorna om behörighet, åtkomstkontroll och säkerhet är lösta på ett sätt som är tillfredsställande ur integritetssynpunkt. Dessa integritetsstärkande krav bör reserveras för de fall där en automatiserad elektronisk tillgång medges. Liksom i dag bör Socialstyrelsen t.ex. kunna besvara manuellt gjorda förfrågningar om innehållet i registret genom mejl. Däremot bör kraven gälla vid alla medgivanden av direktåtkomst, som alltid är förknippad med automation.

Utredningen föreslår därför att Socialstyrelsen i enstaka fall ska få lämna ut uppgifter i registret, för sådana ändamål som anges i 4 och 5 §§ HOSP-förordningen, genom annat elektroniskt utläm- nande än direktåtkomst utan förhandssamråd med Integritets- skyddsmyndigheten m.m. Exempel på sådana enstaka fall kan vara

215

Annan elektronisk tillgång till HOSP-registret

SOU 2021:39

när företag som tillhandahåller e-receptlösningar kontrollerar för- skrivarkod och behörighet för en förskrivare när förskrivaren ansluter sig till en sådan e-receptlösning samt när bemanningsföretag gör motsvarande kontroll när företaget avser att anlita en person. Sådana fall får anses vara enstaka fall trots att många personer kan tänkas ansluta sig eller anlitas. Elektroniska utlämnanden i andra fall än enstaka fall, dvs. regelbundna eller frekvent förekommande elektro- niska utlämnanden, kommer därmed inte att vara tillåtna för Social- styrelsen annat än om styrelsen iakttar de integritetsstärkande kraven. Bestämmelsen i 7 § HOSP-förordningen om att personuppgifterna i registret får lämnas ut på medium för automatiserad behandling om uppgifterna ska behandlas för de i förordningen tillåtna ändamålen tas därför bort enligt utredningens förslag.

8.5Utökad elektronisk tillgång för vissa aktörer

8.5.1Inledning

I detta avsnitt berörs de skrivelser om önskemål om förändringar i HOSP-förordningen gällande tillgång till uppgifter i HOSP-registret som regeringen mottagit och som överlämnats till utredningen. Beträffande respektive önskemål om sådan tillgång gör utredningen en bedömning av om önskemålet bör tillgodoses och, om så är fallet, om det kan tillgodoses genom den öppna tillgång till vissa uppgifter i HOSP-registret som föreslås i kapitel 7 eller det utlämnande i enstaka fall genom annat elektroniskt utlämnande än direktåtkomst som föreslås i avsnitt 8.4. Är det inte tillräckligt med tillgång via internet, gör utredningen också en bedömning av om önskemålet kan tillgodo- ses inom ramen för de befintliga ändamålen för HOSP-registret eller om ett nytt ändamål bör införas.

Enligt utredningens förslag ska Socialstyrelsen få möjlighet att medge elektronisk tillgång till uppgifter i HOSP-registret (avsnitt 8.3). Gör utredningen bedömningen att önskemålet bör tillgodoses, på annat sätt än genom tillgång via internet eller elektroniskt utläm- nande i enstaka fall, bör alltså Socialstyrelsen, eventuellt efter att ett nytt ändamål införs, använda den föreslagna möjligheten och medge elektronisk tillgång.

Avslutningsvis berörs behoven av elektronisk tillgång till upp- gifterna i HOSP-registret för andra myndigheter än som berörs

216

SOU 2021:39

Annan elektronisk tillgång till HOSP-registret

tidigare i avsnittet, eller som i dag får ha direktåtkomst. De myndig- heter som i dag får ha direktåtkomst berörs i avsnitt 8.6.

8.5.2Försäkringskassan

Utredningens bedömning: Försäkringskassans behov av tillgång till uppgifter i HOSP-registret kan tillgodoses genom den öppna tillgång på internet som föreslås i kapitel 7.

Försäkringskassan administrerar det statliga tandvårdsstödet och betalar ut ersättning till vårdgivare enligt bestämmelserna i lagen (2008:145) om statligt tandvårdsstöd (STL) och förordningen (2008:193) om statligt tandvårdsstöd (STF). För att en vårdgivare ska kunna få ersättning ska vårdgivaren vara ansluten till Försäkrings- kassans elektroniska system för statligt tandvårdsstöd (3 kap. 1 § STL). Ansökan om anslutning till Försäkringskassans elektroniska system för statligt tandvårdsstöd ska göras av vårdgivaren. För att bli ansluten till det elektroniska systemet ska vårdgivaren vara legiti- merad tandläkare eller tandhygienist eller, genom anställning eller på annat sätt, anlita sådan personal, se 18 § förordningen om statligt tandvårdsstöd. I tidigare lagstiftning om statligt tandvårdsstöd, lagen (1962:381) om allmän försäkring, angavs i 2 kap. 3 § tredje stycket att ersättning endast lämnas om tandvården utförts av en legitimerad tandläkare eller legitimerad tandhygienist. Det finns inte i lagen eller förordningen om statligt tandvårdsstöd något uttryck- ligt krav på att tandvården ska ha utförts av en legitimerad tandläkare eller tandhygienist för rätt till ersättning. I förarbetena till de nu- varande bestämmelserna anges dock att det inte finns någon anled- ning att i det nya tandvårdsstödet gå ifrån kravet på legitimation, även om det redan av lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område (nuvarande patientsäkerhetslagen) framgår att endast den som har legitimation för yrket eller särskilt förordnats att utöva det är behörig att utöva yrke som tandläkare eller tandhygienist.9 När en vårdgivare rapporterar uppgifter om utförd tandvård till Försäkringskassans elektroniska system för statligt tand- vårdsstöd ska vårdgivaren lämna ett antal uppgifter, bl.a. uppgifter om

9Se prop. 2007/08:49 Statligt tandvårdsstöd, s. 94 f.

217

Annan elektronisk tillgång till HOSP-registret

SOU 2021:39

den behandlande tandläkarens eller tandhygienistens namn och personnummer (3 kap. 3 § STL och 15 § STF). Försäkringskassan har även möjlighet att avansluta en vårdgivare från det statliga tand- vårdssystemet om denne inte uppfyller de krav som ställs gällande kraven på legitimerad personal (19 § 3 STF). Försäkringskassan har i uppdrag att säkerställa att felaktiga utbetalningar inte görs och att mot- verka bidragsbrott (2 § 3 förordningen [2009:1174] med instruktion för Försäkringskassan). Även i förarbetena till det statliga tand- vårdsstödet anfördes att det grundläggande är att säkerställa att risken för felaktigt utnyttjande minimeras och att de uppgifter som ligger till grund för utbetalningarna kan kontrolleras.10

Försäkringskassan har i en skrivelse till regeringen begärt att myndigheten ska medges direktåtkomst till vissa uppgifter i HOSP- registret.11 Försäkringskassan har i skrivelsen och vid kontakter med utredningen beskrivit myndighetens behov av elektronisk tillgång till uppgifterna i HOSP-registret på följande sätt. Försäkringskassan behöver kontrollera att en vårdgivare har legitimerad personal, dels vid anslutning av en vårdgivare till det elektroniska systemet för statligt tandvårdsstöd, dels vid uppföljning av om kravet på legiti- merad personal är uppfyllt hos en redan ansluten vårdgivare. Försäkringskassan behöver även vid varje utbetalning kontrollera att den person som uppges som behandlare av en utförd tandvårds- åtgärd är legitimerad tandläkare eller tandhygienist. Uppgifterna från HOSP-registret är därför viktiga för att säkerställa att felaktiga utbetalningar inte görs och motverka bidragsbrott. I dag kan för- frågningar till Socialstyrelsen endast göras manuellt via telefon eller mejl genom att Försäkringskassan frågar om en person med visst personnummer har legitimation som tandläkare eller tandhygienist. Det skulle vara alltför administrativt betungande för Försäkrings- kassan att skicka förfrågningar avseende varje ansökan om utbetal- ning av tandvårdsstöd, då det rör sig om cirka 10 miljoner ansök- ningar per år. Förfrågan skickas därför endast vid anslutning av en vårdgivare till det elektroniska systemet för statligt tandvårdsstöd. Om Försäkringskassans elektroniska system på ett automatiserat sätt i HOSP-registret skulle kunna kontrollera om en viss behand- lare har rätt legitimation, skulle det möjliggöra kontroller i samtliga

10Se prop. 2007/08:49 s. 90 och prop. 2016/17:153 Det statliga tandvårdsstödet förbättrad infor- mation, kontroll och uppföljning, s 23 f.

11Försäkringskassan, dnr 014351–2018, den 19 november 2019 och komplettering, den 26 juni 2020.

218

SOU 2021:39

Annan elektronisk tillgång till HOSP-registret

fall. Detta skulle kunna ske genom att Socialstyrelsen tillhandahåller ett öppet API, som gör det möjligt att automatiserat ställa frågor och få svar från HOSP-registret eller genom annat elektroniskt utläm- nande, t.ex. genom en skräddarsydd fråga-svar-lösning. Försäkrings- kassan har egentligen inte behov av just direktåtkomst till uppgifterna i HOSP-registret. Endast en sökmöjlighet på vanlig webbsida med en sökruta skulle emellertid inte vara tillräckligt för att möta behoven, eftersom även det skulle innebära att manuell hantering krävs i varje fall. Försäkringskassan har ett stort behov av att kunna utföra dessa kontroller för att motverka felaktiga utbetalningar. Det finns indika- tioner på att det kan vara så många som 2 000 av de cirka 14 000 regi- strerade i det elektroniska systemet för statligt tandvårdsstöd som inte har legitimation.

Utredningens bedömning

Försäkringskassan har behov av att kontrollera om en vårdgivare som begär att få anslutas till Försäkringskassans elektroniska system för statligt tandvårdsstöd är legitimerad tandläkare eller tandhygienist eller, genom anställning eller på annat sätt, anlitar sådan personal. När det gäller utbetalning av tandvårdsstöd finns det visserligen inte i lagen eller förordningen om statligt tandvårdsstöd något uttryck- ligt krav på att tandvården ska ha utförts av en legitimerad tandläkare eller tandhygienist för rätt till ersättning. Mot bakgrund av vad som framgår i förarbetena till lagen om tandvårdsstöd anser dock utred- ningen att Försäkringskassan får anses ha ett berättigat behov av att kontrollera även i fall utförande tandläkare respektive tandhygienist är legitimerad. Försäkringskassan har därför behov av tillgång till uppgifter i HOSP-registret. Försäkringskassan har emellertid endast behov av att veta om en person med ett visst person- eller samord- ningsnummer har legitimation som tandläkare eller tandhygienist. Detta är en sådan uppgift som utredningen i avsnitt 7.6 och 7.8 före- slår att Socialstyrelsen ska tillhandahålla genom ett öppet API, som gör det möjligt att automatiserat ställa flera eller upprepade frågor och få svar. Försäkringskassan har förklarat att en sådan lösning skulle motsvara myndighetens behov. Utredningen gör därför bedömningen att Försäkringskassans behov kan tillgodoses genom den öppna till- gång till vissa uppgifter i HOSP-registret som föreslås i kapitel 7.

219

Annan elektronisk tillgång till HOSP-registret

SOU 2021:39

8.5.3Läkemedelsverket

Utredningens bedömning: Socialstyrelsen bör använda den i avsnitt 8.3 föreslagna möjligheten för att medge Läkemedels- verket elektronisk tillgång till uppgifter i HOSP-registret.

ILäkemedelsverkets föreskrifter (HSLF-FS 2017:74) om begräns- ningar av förordnande och utlämnande av vissa läkemedel finns krav på specialistbehörighet hos förskrivaren vid förordnande av vissa godkända läkemedel för att apotek ska få lämna ut läkemedlet. Förskrivare som saknar aktuell behörighet att förordna (dvs. för- skriva) dessa läkemedel kan enligt föreskrifterna ansöka om dispens hos Läkemedelsverket (6 §). En dispens är ett tillstånd knutet till en viss förskrivare och en arbetsplatskod. Om det finns särskilda skäl, kan Läkemedelsverket på ansökan av läkaren och efter prövning i det enskilda fallet medge dispens. I regel beviljas dispens för ett år i taget.12 Vid utlämnande av läkemedlet ska apoteket kontrollera att förskrivaren var behörig att förordna läkemedlet; giltig dispens ska finnas vid tidpunkten då recept utfärdas. Läkemedelsverket skickar information om beviljade dispenser elektroniskt till E-hälsomyndig- heten. Apoteken kan hos E-hälsomyndigheten ta del av informa- tionen via Registret för individuella förskrivarbehörigheter (RIF). Apotek har i och med detta möjlighet att kontrollera dispenser direkt i sina it-stöd.

Läkemedelsverket har i en skrivelse till regeringen begärt att myndigheten ska medges direktåtkomst till vissa uppgifter i HOSP- registret.13 Läkemedelsverket har i skrivelsen och vid kontakter med utredningen beskrivit myndighetens behov av elektronisk tillgång till uppgifterna i HOSP-registret på följande sätt. Läkemedelsverket behöver i ärenden om dispens kontrollera en sökande läkares yrke, specialitet, datum för utfärdande av legitimation respektive bevis om specialistkompetens, datum när ett tidsbegränsat behörighetsbevis upphör att gälla, beslut om prövotid och datum för återkallelse av legitimation samt förskrivarkod och omfattning av förskrivnings- rätt. För att få dessa uppgifter skickar Läkemedelsverket mejl till Socialstyrelsen. Detta innebär mycket manuellt arbete och fördröjer

12Vägledning till Läkemedelsverkets föreskrifter (HSLF-FS 2017:74) om begränsningar av för- ordnande och utlämnande av vissa läkemedel, version 2, augusti 2020, s. 4, dnr: 3.2.1-2020-053656.

13Läkemedelsverket, dnr: 3.1-2017-037465, den 12 maj 2017.

220

SOU 2021:39

Annan elektronisk tillgång till HOSP-registret

handläggningen av dispensärendet, ibland med flera veckor. Läke- medelsverket gör 400–500 förfrågningar per år. Detta antal kan dock komma att öka, eftersom fler begränsningar förväntas tillkomma i föreskriften HSLF-FS 2017:74. Det finns dock egentligen inte behov av just direktåtkomst till uppgifterna i HOSP-registret. Det vore tillräckligt om Socialstyrelsen tillhandahöll ett öppet API, eller genom annat elektroniskt utlämnande, tex genom en skräddarsydd fråga-svar-lösning, gjorde det möjligt för Läkemedelsverket att automatiserat ställa frågor till, och få svar från, HOSP-registret. En sökmöjlighet på en vanlig webbsida med en sökruta skulle innebära en viss förbättring av situationen, men eftersom en sådan lösning ändå skulle innebära ett behov av manuell hantering hos Läke- medelsverket skulle detta inte helt möta myndighetens behov. Läke- medelsverket har tidigare haft i regeringsuppdrag att analysera och lämna förslag till hur uppgifter om dispenser att förskriva läkemedel som meddelats av Läkemedelsverket och vissa delegeringar kan auto- matiseras och digitaliseras så att ansökningsförfarandet och infor- mationsöverförandet från Läkemedelsverket till E-hälsomyndig- heten kan integreras i en lösning framtagen för att presentera aktuell informationen för apoteken.14 Läkemedelsverket förväntar sig att få en fortsättning på detta uppdrag, dvs. att även analysera och lämna förslag på hur Läkemedelsverket ska kunna automatisera och digita- lisera resten av dispensprocessen hos Läkemedelsverket. Elektronisk tillgång till uppgifter i HOSP-registret är en förutsättning för att en sådan digitalisering ska vara möjlig. Det skulle även underlätta myndighetens fortsatta digitaliseringsarbete i stort. Läkemedels- verket har även varit involverat i det uppdrag som E-hälsomyndig- heten har att automatisera och digitalisera kontrollen av individuella förskrivarbehörigheter.15

Utredningens bedömning

Läkemedelsverket har behov av att i ärenden om dispens kontrollera en sökande läkares yrke, specialitet, datum för utfärdande av legiti- mation respektive bevis om specialistkompetens, datum när ett tids- begränsat behörighetsbevis upphör att gälla, beslut om prövotid och

14S2017/01865/FS.

15Se Socialdepartementet, dnr S2016/03790/FS.

221

Annan elektronisk tillgång till HOSP-registret

SOU 2021:39

datum för återkallelse av legitimation samt förskrivarkod och om- fattning av förskrivningsrätt. Läkemedelsverket har därför behov av tillgång till uppgifter i HOSP-registret. Vissa av dessa uppgifter är sådana uppgifter som enligt utredningens förslag i avsnitt 7.6 och 7.8 inte ska tillhandahållas av Socialstyrelsen genom det öppna API som föreslås . Dessa uppgifter kan, som utredningen gör gällande i avsnitt

7.8.4och 7.8.5, ses som uppgifter av mer privat natur och därmed i viss mån av känslig karaktär. Utredningen gör dock bedömningen att dessa uppgifter i regel inte kan anses vara av särskilt känslig art och att ett utlämnande till Läkemedelsverket för ett visst begränsat ändamål är motiverat. Enligt utredningens bedömning har Läkemedelsverket ett befogat behov av att medges tillgång till uppgifter i HOSP-registret genom i vart fall annat elektroniskt utlämnande än direktåtkomst. I enlighet med utredningens förslag i avsnitt 8.3.2, får Socialstyrel- sen medge en myndighet elektronisk tillgång till uppgifter i registret utefter den sökandes behov. Frågan om den elektroniska tillgången bör ges genom direktåtkomst eller annat elektronisk utlämnande lämnar utredningen till Socialstyrelsen att bedöma, också det i enlig- het med utredningens förslag i avsnitt 8.3.2. Det finns inte något ändamål i HOSP-förordningen som innebär att personuppgifterna i HOSP-registret får behandlas för att Läkemedelsverket i dispens- ärenden ska kunna kontrollera hälso- och sjukvårdspersonals identitet och behörighet. Utredningen gör därför bedömningen att önske- målet inte kan tillgodoses inom ramen för de befintliga ändamålen för HOSP-registret utan att ett nytt ändamål bör införas, se vidare om detta i avsnitt 8.7.4.

8.5.4Universitets- och högskolerådet

Utredningens bedömning: Universitets- och högskolerådets behov av tillgång till uppgifter i HOSP-registret kan tillgodoses genom den öppna tillgång på internet som föreslås i kapitel 7.

För att en person ska få antas till ett utbildningsprogram som leder till barnmorskeexamen eller specialistsjuksköterskeexamen krävs att personen har legitimation som sjuksköterska som utfärdats av Social- styrelsen (se 7 kap. 29 § och bilaga 2 till högskoleförordningen [1993:1009]). I 7 kap. 2 § högskoleförordningen anges att för att en

222

SOU 2021:39

Annan elektronisk tillgång till HOSP-registret

sökande ska bli antagen krävs det att sökanden har grundläggande behörighet och dessutom den särskilda behörighet som kan vara föreskriven. Ett lärosäte får som sådan särskild behörighet för till- träde till en viss utbildning, meddela föreskrifter om krav på andra villkor än kunskaper från en eller flera kurser i gymnasieskolan eller motsvarande kunskaper om de betingas av utbildningen eller är av betydelse för det yrkesområde som utbildningen förbereder för (7 kap. 8 och 11 §§ högskoleförordningen). Vissa lärosäten har därför som krav för särskild behörighet för att en person ska få antas till psykoterapeututbildning att personen har legitimation som psykolog.

Frågor om antagning till utbildning vid ett lärosäte avgörs av lärosätet (7 kap. 4 § högskoleförordningen). Universitets- och hög- skolerådet har dock till uppgift att på uppdrag av statliga universitet och högskolor eller av enskilda utbildningsanordnare som har till- stånd att utfärda examina, biträda vid antagning av studenter och ansvara för ett samordnat antagningsförfarande (2 § förordningen [2012:811] med instruktion för Universitets- och högskolerådet). Universitets- och högskolerådet får också föra ett antagningsregister och där ange uppgifterna individuellt för varje student (4 kap. 1 § för- ordningen [1993:1153] om redovisning av studier m.m. vid universitet och högskolor). Registret får föras med hjälp av automatiserad behand- ling. Ändamålet med registret är att vara till hjälp för högskolor vid antagning av studenter, men uppgifterna i registret får också användas för de andra ändamål som särskilt angivits i förordningen.

Universitets- och högskolerådet har genom en hemställan till regeringen begärt att myndigheten ska ges direktåtkomst till vissa uppgifter i HOSP-registret för ändamålet kontroll av sökande till vidareutbildningar där legitimation ingår som ett krav för behörig- het.16 Utredningen har genom senare kontakter med Universitets- och högskolerådet fått behovet av elektronisk tillgång till uppgifter

iHOSP-registret beskrivet på följande sätt. Universitets- och hög- skolerådet tar emot ansökningar till psykoterapeut-, barnmorske- och specialistsjuksköterskeutbildningar vid högskolor och universitet. Myndigheten behöver då stämma av mot uppgifterna i HOSP- registret att en sökande med visst personnummer har legitimation som sjuksköterska eller psykolog. Universitets- och högskolerådet ställer därför en fråga till Socialstyrelsen som behöver svar på med ja eller nej. Universitets- och högskolerådet har alltså behov av att få

16Universitets och högskolerådet, dnr 1.1.1-01636-2019, den 24 oktober 2019.

223

Annan elektronisk tillgång till HOSP-registret

SOU 2021:39

elektronisk tillgång till uppgifterna om en sökande med visst person- eller samordningsnummer har legitimation eller inte och vilken legiti- mation den sökande har. Inhämtningen av dessa uppgifter sker för närvarande genom att en förfrågan via mejl skickas till Socialstyrelsen, vilket är resurskrävande och medför längre handläggningstider. Universitets- och högskolerådet gjorde inför höstterminen 2020 och vårterminen 2021 förfrågningar beträffande totalt cirka 16 600 sökan- den. Universitets- och högskolerådet har dock egentligen inte behov av just direktåtkomst till uppgifterna i HOSP-registret. Det vore tillräckligt att Socialstyrelsen tillhandahåller ett öppet API, eller genom annat elektroniskt utlämnande, t.ex. genom en fråga-svar- lösning, gör det möjligt att automatiserat ställa frågor till, och få svar från, HOSP-registret. En sökmöjlighet på en webbplats med en sök- ruta skulle innebära en marginell förbättring av situationen, men eftersom en sådan lösning innebär ett behov av manuell hantering hos Universitets- och högskolerådet, skulle detta inte möta myndig- hetens behov.

Utredningens bedömning

Universitets- och högskolerådet har ett berättigat behov av att kon- trollera om att en sökande med visst person- eller samordningsnum- mer har legitimation som sjuksköterska eller psykolog. Myndigheten behöver av den anledningen tillgång till uppgifter i HOSP-registret. Universitets- och högskolerådet har emellertid endast behov av sådana uppgifter som utredningen i avsnitt 7.6 och 7.8 föreslår att Socialstyrelsen ska tillhandahålla genom ett öppet API. Univer- sitets- och högskolerådet har förklarat att en sådan lösning, som gör det möjligt att automatiserat ställa flera eller upprepade frågor och få svar skulle tillgodose myndighetens behov. Utredningen gör där- för bedömningen att Universitets- och högskolerådets behov kan tillgodoses genom den öppna tillgång till vissa uppgifter i HOSP- registret som föreslås i kapitel 7.

224

SOU 2021:39

Annan elektronisk tillgång till HOSP-registret

8.5.5Universitet och högskolor

Utredningens bedömning: Universitets och högskolors behov av tillgång till uppgifter i HOSP-registret kan tillgodoses genom den öppna tillgång på internet som föreslås i kapitel 7.

För att en student ska få en barnmorske- eller specialistsjuksköterske- examen ställs krav på att studenten har fullgjort kursfordringar om visst antal högskolepoäng samt att studenten har legitimation som sjuksköterska (se 6 kap. 4 och 5 §§ samt bilaga 2 till högskoleförord- ningen [1993:1009]). Examen utfärdas av den statliga högskola eller universitet eller den enskilda utbildningsanordnare som fått tillstånd till detta i enlighet med högskolelagen, högskoleförordningen och lagen (1993:792) om tillstånd att utfärda vissa examina. Som nämnts i avsnitt 8.5.4 avgör lärosätet även frågor om antagning till utbild- ning vid lärosätet.

Enligt förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor ska varje högskola och universitet dokumentera uppgifter om studenter och föra ett studieregister. Uppgifter som ska dokumenteras om varje student är t.ex. uppgifter om behörighet, urvalsgrund, antagning, studieresultat, betyg och examen. För att dokumentera dessa uppgifter använder sig läro- sätena av ett gemensamt system, Ladok.

Sveriges universitets- och högskoleförbund (SUHF) har i en skrivelse17 till regeringen begärt att de universitet eller högskolor som behöver uppgifter om yrkeslegitimation från HOSP-registret för att bedöma behörighet vid viss antagning och för att utfärda viss examen18 ska få direktåtkomst till vissa uppgifter i HOSP-registret. SUHF har genom skrivelsen och kontakter med utredningen beskrivit lärosätenas behov av elektronisk tillgång till uppgifterna i HOSP- registret på följande sätt. För att ett lärosäte ska kunna fatta beslut om antagning till barnmorske- eller specialistsjuksköterskeutbildning och

17Sveriges universitets- och högskoleförbund, dnr 0036–19, den 24 oktober 2019.

18Blekinge tekniska högskola, Ersta Sköndal, Bräcke högskola, Göteborgs universitet, Hög- skolan Dalarna, Högskolan i Borås, Högskolan i Gävle, Högskolan i Halmstad, Högskolan i Skövde, Högskolan Kristianstad, Högskolan Väst, Karlstads universitet, Karolinska institutet, Linköpings universitet, Linnéuniversitetet, Luleå tekniska universitet, Lunds universitet, Malmö universitet, Mittuniversitetet, Mälardalens högskola, Röda Korsets Högskola, Sophiahemmet Högskola, Stiftelsen Högskolan i Jönköping, Umeå universitet, Uppsala universitet och Örebro universitet. Med reservation för att uppgifterna om berörda lärosäten kan ändras beroende på lokala beslut om utbildningsutbudet.

225

Annan elektronisk tillgång till HOSP-registret

SOU 2021:39

utfärda barnmorske- eller specialistsjuksköterskeexamen beträffande en person behöver lärosätet ställa en fråga till Socialstyrelsen om den aktuella personen har legitimation som sjuksköterska. Detta sker genom att lärosätet skickar mejl till Socialstyrelsen med frågan om en viss person har efterfrågad legitimation. Socialstyrelsen besvarar sedan frågan via mejl med ja eller nej. Socialstyrelsen har tidvis haft lång handläggningstid för att besvara frågor, i vissa fall har det tagit upp till två månader att få svar. Eftersom beslut om antagning eller utfärdande av examen inte kan ske innan svar kommit från Social- styrelsen, har detta i flera fall försenat handläggningen. Den för- senade handläggningen har inneburit att färdigutbildad vårdpersonal inte kunnat komma ut i arbete hos vårdgivarna som barnmorska eller specialistsjuksköterska i väntan på beslut. Det är därför viktigt att Socialstyrelsen kan svara skyndsamt på lärosätenas frågor om de uppgifter om yrkeslegitimationer som finns i HOSP-registret. Läro- sätena skickar förfrågningar beträffande cirka 2 700 studenter per år.19 Lärosätena har dock inte behov av just direktåtkomst till uppgifterna i HOSP-registret. Det vore tillräckligt att Socialstyrelsen genom ett öppet API, eller genom annat elektroniskt utlämnande, t.ex. genom en skräddarsydd fråga-svar-lösning, gör det möjligt för lärosätena att genom Ladok-systemet automatiserat ställa frågor till, och få svar från, HOSP-registret. En sökmöjlighet på en vanlig webbplats med en sökruta skulle innebära en viss förbättring av situationen, men efter- som en sådan ändå skulle innebära ett behov av manuell hantering hos lärosätena, skulle detta inte helt möta lärosätenas behov.

Utredningens bedömning

Vissa universitet och högskolor har behov av att kontrollera om sökanden och studenter har legitimation som sjuksköterska. Dessa universitet och högskolor har av den anledningen behov av tillgång till uppgifter i HOSP-registret. Behovet gäller dock endast frågan om en person med ett visst person- eller samordningsnummer har legitimation som sjuksköterska. Detta är en sådan uppgift som utredningen i avsnitt 7.6 och 7.8 föreslår att Socialstyrelsen ska till- handahålla genom ett öppet API. SUHF har förklarat att en sådan

19Under åren 2017–2019 har i genomsnitt 356 barnmorskeexamina respektive 2 343 specialist- sjuksköterskeexamina utfärdats av högskolor och universitet i Sverige enligt uppgift från Universitetskanslersämbetets Statistikdatabas Högskolan i Siffror.

226

SOU 2021:39

Annan elektronisk tillgång till HOSP-registret

lösning, som gör det möjligt att automatiserat ställa flera eller upp- repade frågor och få svar, skulle tillgodose lärosätenas behov. Utred- ningen gör därför bedömningen att universitetens och högskolornas behov kan tillgodoses genom den öppna tillgång till vissa uppgifter i HOSP-registret som föreslås i kapitel 7.

8.5.6Andra myndigheter än de som i dag får ha direktåtkomst

Utredningens bedömning: Behovet av elektronisk tillgång hos övriga myndigheter kan tillförsäkras genom den föreslagna öppna tillgången via internet, den föreslagna möjligheten till utläm- nanden i enstaka fall genom annat elektroniskt utlämnande än direktåtkomst eller den föreslagna möjligheten för Socialstyrelsen att medge myndigheter elektronisk tillgång genom direktåtkomst eller annat elektroniskt utlämnande. Behovet kan tillgodoses inom ramen för befintliga och föreslagna ändamål.

Utredningen har inte gjort någon rundfrågning hos andra statliga eller kommunala myndigheter om behovet av elektronisk tillgång till uppgifter i HOSP-registret. Utredningen bedömer att behovet av sådan tillgång hos andra myndigheter än de som berörs i detta avsnitt eller som i dag får ha direktåtkomst (se avsnitt 8.6) kommer att kunna tillgodoses inom ramen för befintliga och föreslagna ändamål. Tillgång till uppgifterna kan försäkras genom den föreslagna öppna tillgången via internet (se kapitel 7), den föreslagna möjligheten till utlämnanden i enstaka fall genom annat elektroniskt utlämnande än direktåtkomst (avsnitt 8.4) eller den föreslagna möjligheten för Socialstyrelsen att medge myndigheter elektronisk tillgång genom direktåtkomst eller annat elektroniskt utlämnande (se avsnitt 8.3).

Utöver de myndigheter som berörs specifikt ovan har också E- hälsomyndigheten fortsatt behov av tillgång till uppgifter i HOSP- registret. Genom den föreslagna möjligheten för Socialstyrelsen att medge andra myndigheter tillgång genom direktåtkomst eller annat elektroniskt utlämnande till uppgifter i HOSP-registret kan Social- styrelsen medge E-hälsomyndigheten den elektroniska tillgång till uppgifterna som E-hälsomyndigheten i dag har. Utredningen förut- sätter att så sker.

227

Annan elektronisk tillgång till HOSP-registret

SOU 2021:39

8.6De myndigheter som i dag får ha direktåtkomst

Utredningens förslag: Bestämmelserna som ger Inspektionen för vård och omsorg (IVO), Transportstyrelsen och offentliga vårdgivare möjlighet att ha direktåtkomst till uppgifter i HOSP- registret tas bort.

Utredningens bedömning: Socialstyrelsen bör, i de fall den öppna tillgång på internet som föreslås i kapitel 7 inte är tillräcklig, besluta att medge dessa myndigheter elektronisk tillgång till uppgifter i samma utsträckning som enligt nuvarande reglering. Socialstyrelsen ska då överväga om tillgången behöver avse direkt- åtkomst eller om det räcker med annat elektroniskt utlämnande.

I dag får IVO, Transportstyrelsen och offentliga vårdgivare ha direktåtkomst till vissa uppgifter i HOSP-registret (7 c–e §§ HOSP- förordningen). Som utredningen redogör för i avsnitt 8.3.2 finns det flera fördelar med att frågor om direktåtkomst och annat elektro- niskt utlämnande regleras genom detaljerade myndighetsbeslut,

istället för i HOSP-förordningen. En bestämmelse i HOSP-förord- ningen som möjliggör för Socialstyrelsen att medge myndigheter elektronisk tillgång (se avsnitt 8.3) skapar förutsättningar för en mer enhetlig reglering i HOSP-förordningen om myndigheters elektro- niska tillgång till uppgifter i HOSP-registret. Det framstår som ologiskt, och onödigt tyngande, att i förordningen då behålla bestäm- melser om vissa myndigheters direktåtkomst. Utredningen föreslår därför att bestämmelserna i HOSP-förordningen om dessa myndig- heters direktåtkomst tas bort, liksom de uppgiftsskyldigheter som har direkt koppling till direktåtkomsten. Det får förutsättas att Socialstyrelsen, om det inte är tillräckligt med den öppna tillgång på internet som föreslås i kapitel 7, beslutar att medge myndigheterna och offentliga vårdgivare elektronisk tillgång till samma uppgifter som

idag för samma ändamål och att Integritetsskyddsmyndigheten inte har några invändningar mot det. Därvid bör i samråd med myndig- heterna övervägas om den elektroniska tillgången behöver avse direkt- åtkomst eller om det är tillräckligt med annat elektroniskt utlämnande.

228

SOU 2021:39

Annan elektronisk tillgång till HOSP-registret

8.7Nya ändamål för HOSP-registret

Utredningens förslag: Personuppgifter i HOSP-registret får behandlas även för att

a)framställa statistik om hälso- och sjukvård enligt lagen (2001:99) om den officiella statistiken,

b)lämna uppgifter som behövs för E-hälsomyndighetens kon- troll av hälso- och sjukvårdspersonals identitet och behörighet i enlighet med författning eller regeringsuppdrag, och

c)kontrollera hälso- och sjukvårdspersonals identitet och behörig- het vid handläggning av ärenden om dispens från begräns- ningar av förordnande och utlämnande av läkemedel.

Utredningens bedömning: Det är förenligt med dataskydds- förordningen att införa bestämmelser i svensk rätt om behandling av personuppgifter i enlighet med utredningens förslag.

8.7.1Inledning

De ändamål för vilka personuppgifterna i HOSP-registret får behandlas anges i 4 och 5 §§ HOSP-förordningen. Regleringen är uttömmande. Utredningen redogör i avsnitt 5.2.3 utförligt för de ändamål för vilka uppgifterna får behandlas. I de fall det finns behov av att behandla uppgifterna i HOSP-registret för andra ändamål måste därför nya ändamål införas i förordningen.

Utredningen föreslår i avsnitt 7.9 att ett nytt ändamål ska införas

iHOSP-förordningen som möjliggör att uppgifterna i HOSP- registret behandlas även för att ge allmänheten upplysning om hälso- och sjukvårdspersonals behörighet. I detta avsnitt finns utred- ningens överväganden när det gäller övriga förslag där behov av ett nytt ändamål finns.

Enligt artikel 5.1 i dataskyddsförordningen får personuppgifter bara behandlas utifrån vissa grundläggande principer. En närmare redogörelse för dem finns i avsnitt 4.5 i delbetänkandet. Enligt principen om ändamålsbegränsning (finalitetsprincipen) i artikel 5.1 b

idataskyddsförordningen ska personuppgifter samlas in för sär- skilda, uttryckligt angivna och berättigade ändamål och de får inte

229

Annan elektronisk tillgång till HOSP-registret

SOU 2021:39

senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ändamålsbegränsningen innebär alltså att den personuppgifts- ansvarige måste hålla sig till insamlingsändamålen och ändamål som inte är oförenliga med dessa. Denna bedömning bör göras i för- hållande till alla förslag om nya ändamål, även om det enligt artikel 23 i dataskyddsförordningen är tillåtet att under vissa förut- sättningar genom nationell rätt begränsa det som gäller enligt artikel 5.1 i dataskyddsförordningen.

Innan redan insamlade personuppgifter ytterligare behandlas för ett annat syfte än det för vilket de insamlades, måste de registrerade enligt artikel 14.4 i dataskyddsförordningen informeras om bl.a. detta andra syfte. Undantag gäller, enligt artikel 14.5 b i dataskydds- förordningen, i den mån tillhandahållandet av sådan information skulle medföra en oproportionell ansträngning. Härtill kommer att det enligt artikel 23 i dataskyddsförordningen är tillåtet att under vissa förutsättningar genom nationell rätt begränsa de skyldigheter som finns enligt artikel 14 i dataskyddsförordningen.

8.7.2Socialstyrelsens behandling för statistikändamål

Ett nytt ändamål

Socialstyrelsen är enligt lagen (2001:99) respektive förordningen (2001:100) om den officiella statistiken ansvarig för den officiella statistiken inom hälso- och sjukvård. Av bilagan till förordningen om den officiella statistiken framgår det att det är statistik om hälsa och sjukdomar, hälso- och sjukvård och dödsorsaker som omfattas av Socialstyrelsens uppdrag som statistikmyndighet. Detta innefattar enligt utredningen även viss statistik om legitimerad hälso- och sjuk- vårdspersonal, då det är sådan personal som utför själva hälso- och sjukvården. Genom förordningen (2015:284) med instruktion för Socialstyrelsen har myndigheten i uppdrag att följa, analysera och rapportera om bl.a. hälsa och hälso- och sjukvård genom statistik- framställning. Socialstyrelsen ska dessutom på uppdrag av regeringen årligen ta fram underlag och redovisa bedömningar av tillgång och efterfrågan på barnmorskor, läkare och sjuksköterskor samt tand- läkare och tandhygienister. Redovisningen presenteras genom rapporten Nationella planeringsstödet.20 Rapporten beskriver bl.a.

20Socialstyrelsens årliga rapport om tillgång och efterfrågan på personal i hälso- och sjukvården.

230

SOU 2021:39

Annan elektronisk tillgång till HOSP-registret

tillgången på legitimerad hälso- och sjukvårdspersonal nationellt och regionalt. Den visar också hur många som är på väg ut på arbetsmark- naden genom att redovisa antalet nya legitimationer som utfärdats.

Statistiken efterfrågas av andra statliga myndigheter, regioner, kommuner, journalister, allmänheten och intresseorganisationer men också internt av Socialstyrelsen för analys och planering. Den behövs framför allt för frågor som rör kompetensförsörjning, såsom fråge- ställningar kring planering av bemanning, utbildning och specia- lisering av hälso- och sjukvårdspersonal.

Något ändamål som innebär att personuppgifterna i HOSP- registret får behandlas för att framställa statistik finns inte. För att Socialstyrelsen ska kunna fullgöra sitt uppdrag som statistikansvarig myndighet och sitt uppdrag att följa, analysera och rapportera om bl.a. hälso- och sjukvård genom statistikframställning behöver där- för enligt utredningens mening ett nytt ändamål införas. Det bör uttryckligen anges att personuppgifterna i HOSP-registret också får behandlas för att framställa statistik om hälso- och sjukvård enligt lagen om den officiella statistiken.

Det huvudsakliga och ursprungliga ändamålet för behandlingen av personuppgifterna i HOSP-registret är att föra en aktuell för- teckning över legitimerad hälso- och sjukvårdspersonal (4 § HOSP- förordningen). Steget från det ändamålet till att framställa statistik om tillgången på legitimerad hälso- och sjukvårdspersonal är inte särskilt långt, då frågor som hör samman med kompetensförsörjning får sägas ha ett nära samband med en sådan förteckning. Detta bör också de registrerade ha insett. Det ska här sägas att samlade upp- gifter om hälso- och sjukvårdspersonals behörighet enbart finns tillgängliga i HOSP-registret.

Enligt artikel 5.1 i dataskyddsförordningen gäller, utöver det som framgår av inledningen ovan, som huvudregel att ytterligare behand- ling av personuppgifter som sker för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller, som i detta fall, statistiska ändamål i enlighet med artikel 89.1 i data- skyddsförordningen, inte anses vara oförenlig med de ursprungliga ändamålen. Behandlingen måste dock omfattas av lämpliga skydds- åtgärder i enlighet med dataskyddsförordningen för den registrerades rättigheter och friheter. Det gör den enligt utredningens bedömning.

Det föreslagna nya ändamålet bedöms alltså vara förenligt med de ändamål som fanns angivna i HOSP-förordningen när respektive

231

Annan elektronisk tillgång till HOSP-registret

SOU 2021:39

personuppgift samlades in till HOSP-registret. Dessutom avser det nya ändamålet ett statistiskt ändamål som inte berörs av finalitets- principen.

I inledningen (avsnitt 8.7.1) redogör utredningen för vad som gäller i fråga om information till de registrerade enligt artikel 14.4. och 14.5 i dataskyddsförordningen. Utredningen gör bedömningen att det skulle medföra en oproportionell ansträngning att informera de registrerade i detta fall, då HOSP-registret innehåller uppgifter om hundratusentals personer och dessa uppgifter inte har samlats in från de registrerade.

Den rättsliga grunden

Dataskyddsregleringen utgår från att varje behandling av person- uppgifter måste vila på en rättslig grund. I dataskyddsförordningen räknas dessa rättsliga grunder uttömmande upp i artikel 6.1. Be- handlingen är rättsligt grundad om den t.ex. är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgifts- ansvarige eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 c och e i dataskydds- förordningen). Av skäl 45 till dataskyddsförordningen framgår att hälso- och sjukvårdsändamål, såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårdstjänster, inbegrips i allmänintresset. I delbetänkandet, avsnitt 4.6, redogör utredningen mer utförligt för vad som kan utgöra rättslig grund enligt dataskyddsförordningen.

Socialstyrelsen har genom sin instruktion, samt genom lagen och förordningen om den officiella statistiken, i uppdrag att framställa statistik om hälso- och sjukvård. Detta innefattar även viss statistik om legitimerad hälso- och sjukvårdspersonal och tillgången till sådan personal. Behandling av personuppgifterna i HOSP-registret för statistikframställning bedöms därmed i första hand nödvändig för att fullgöra en rättslig förpliktelse som åvilar Socialstyrelsen, som också är personuppgiftsansvarig (3 a §).

Den rättsliga förpliktelsen är reglerad i lagen respektive förord- ningen om den officiella statistiken samt i förordningen med instruk- tion för Socialstyrelsen. Den föreslagna behandlingen är enligt utredningen förenlig med artikel 6 i dataskyddsförordningen.

232

SOU 2021:39

Annan elektronisk tillgång till HOSP-registret

Avvägning mellan behov och integritetsrisker

Att uppgifterna i HOSP-registret också får användas för statistik- ändamål innebär ett intrång i de registrerades personliga integritet eftersom det ökar tillgängligheten till uppgifterna inom Social- styrelsen. Socialstyrelsens behov av att behandla personuppgifter för statistikändamål behöver därför vägas mot de integritetsrisker som är förknippade med behandlingen.

Enligt utredningens bedömning är integritetsriskerna med att Socialstyrelsen får behandla uppgifterna i HOSP-registret för statistik- framställning relativt små. De integritetsrisker som finns kan enligt utredningen på ett godtagbart sätt motverkas, eller minskas kraftigt, genom integritetsstärkande utformning av regleringen. Utredningen föreslår en sådan utformning. För att minska risken för att ett nytt ändamål för statistik ska leda till en alltför vid möjlighet att använda uppgifterna i registret för statistikändamål föreslår utredningen, i enlighet med Socialstyrelsens framställan, en begränsning av ända- målet. Genom att begränsa ändamålet till framställande av statistik om hälso- och sjukvård enligt lagen om officiell statistik tillåts bara sådan behandling som är nödvändig för Socialstyrelsens verksamhet.

Det ska i detta sammanhang också nämnas att de hälsodata- och socialtjänstregister som förs av Socialstyrelsen omfattas av statistik- sekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen, då dessa behandlas inom den särskilda statistikverksamheten vid myndigheten. Som framgår i avsnitt 5.3.1 omfattas uppgifterna i HOSP-registret inte i dag av denna sekretess utan av folkbokföringssekretessen enligt 6 § offentlighets- och sekretessförordningen. Sekretesskyddet är där- med svagt och det finns en presumtion för att uppgifterna är offentliga.

Genom utredningens förslag kommer de uppgifter från HOSP- registret som används för statistikändamål att i praktiken omfattas av statistiksekretess enligt 24 kap. 8 § offentlighets- och sekretess- lagen. Enligt den bestämmelsen, gäller sekretess i sådan särskild verksamhet hos en myndighet som avser framställning av statistik21 för uppgift som avser en enskilds personliga eller ekonomiska för- hållanden och som kan hänföras till den enskilde. Enligt huvudregeln är sekretessen absolut, dvs. inte försedd med något skaderekvisit.

21Med särskild verksamhet som avser framställning av statistik menas en allmänt utredande verksamhet, utan anknytning till särskilda ärenden, som organisatoriskt är avgränsad från annan verksamhet hos myndigheten, jfr prop. 1979/80:2 med förslag till sekretesslag m. m, del A, s. 263 och prop. 2013/14:162 Ändringar av statistiksekretessen, s. 9.

233

Annan elektronisk tillgång till HOSP-registret

SOU 2021:39

Att sekretessen är absolut har bl.a. att göra med att integritets- intresset är påtagligt i statistikverksamhet. Det finns dock fyra undantag från huvudregeln om absolut sekretess då det i stället ska tillämpas sekretess med ett omvänt skaderekvisit. Uppgifterna kan då komma att lämnas ut i enlighet med de undantagsbestämmelser som framgår av 24 kap 8 § offentlighets- och sekretesslagen, exem- pelvis för forskningsändamål22. Uppgifter får i dessa fall lämnas ut om det står klart att det kan ske utan att den enskilde eller någon närstående till denne lider skada eller men. Sammantaget innebär förslaget att uppgifterna vid statistikframställning kommer att om- fattas av ett starkare sekretesskydd vilket stärker integritetsskyddet.

Det är utredningens sammanfattande slutsats att behoven av och fördelarna med att uppgifterna i HOSP-registret får behandlas för statistikändamål enligt lagen om den officiella statistiken överväger integritetsriskerna.

8.7.3E-hälsomyndighetens behandling för ytterligare ändamål

Inledning

I HOSP-förordningen regleras tre särskilda ändamål som berör E-hälsomyndighetens verksamhet enligt följande

att lämna uppgifter till den nationella läkemedelslistan enligt lagen om nationell läkemedelslista (5 § 2),

att i samband med E-hälsomyndighetens behandling av personupp- gifter enligt lagen om nationell läkemedelslista lämna uppgifter till den myndigheten för kontroll av identitet och behörighet i fråga om förskrivare, legitimerade sjuksköterskor utan behörighet att förskriva läkemedel, apotekare, receptarier och dietister (5 § 4), och

att lämna uppgifter till E-hälsomyndigheten för kontroll av för- skrivares identitet och behörighet vid expediering på öppenvårds- apotek av läkemedel och andra varor som förskrivits (5 § 5).

22Med forskningsändamål menas någonting annat än att uppgifterna behövs för uppföljning, utvärdering och kvalitetssäkring, jfr RÅ 2004 ref. 9. Forskning förutsätter alltså att det finns ett vetenskapligt syfte.

234

SOU 2021:39

Annan elektronisk tillgång till HOSP-registret

E-hälsomyndigheten har i en skrivelse till regeringen begärt att dessa ändamål ska ersättas av ändamålet att lämna uppgifter till E-hälso- myndigheten för kvalitetssäkring, behörighets- och åtkomstkontroll, komplettering av uppgifter samt statistikändamål.23 E-hälsomyndig- heten har som skäl för detta anfört att när myndigheten får nya upp- drag ökar behovet av tillgång till uppgifter i HOSP-registret för dessa ändamål. En fortsatt detaljreglering av ändamålen i HOSP- förordningen riskerar enligt E-hälsomyndigheten att medföra pro- blem i de fall sådana behov uppstår som avser uppgifter, ändamål eller yrkeskategorier som inte räknas upp i ändamålen. Det vore enligt E-hälsomyndigheten mer ändamålsenligt med en mer flexibel lösning, som i stället avgränsas till ovan nämnda ändamål, eftersom det skulle möjliggöra utlämnande av sådana uppgifter som myndig- heten har behov av, oavsett vilket register eller vilka yrkeskategorier som vid var tid är aktuella.

HOSP-förordningens ändamålsreglering behöver spegla det behov som E-hälsomyndigheten har av tillgång till uppgifter från HOSP-registret. Utredningen kommer därför i följande avsnitt att redogöra för myndighetens behov av sådana uppgifter.

E-hälsomyndighetens behov av uppgifter i HOSP-registret

E-hälsomyndighetens uppdrag framgår av förordningen (2013:1031) med instruktion för E-hälsomyndigheten. E-hälsomyndigheten ska enligt instruktionen ansvara för register och it-funktioner som öppenvårdsapotek och vårdgivare behöver ha tillgång till för en patientsäker och kostnadseffektiv läkemedelshantering. Myndig- heten ska vidare samordna regeringens satsningar på e-hälsa samt övergripande följa utvecklingen på e-hälsoområdet (1 §). Myndig- heten ska även särskilt ansvara för det register som anges i lagen om nationell läkemedelslista (2 § 1) och tillhandahålla ett system för förmedling av ansökningar om tillstånd till försäljning av läkemedel enligt 4 kap. 10 § läkemedelslagen (2015:315) (2 § 12), kvalitets- säkra, förvalta, framställa och tillhandahålla nationell läkemedels- statistik samt tillhandahålla ett system för analys av läkemedels- statistik (2 § 5 och 6). E-hälsomyndigheten ska även utveckla och tillhandahålla digitala tjänster för att redovisa uppgifter i myndig-

23E-hälsomyndigheten, dnr. 2019/05878, den 9 december 2019.

235

Annan elektronisk tillgång till HOSP-registret

SOU 2021:39

hetens register i syfte att underlätta för den enskilde utifrån myndig- hetens verksamhetsområde (3 §).

När ett receptförskrivet läkemedel lämnas ut från ett öppenvårds- apotek till en patient är det alltid en farmaceut som ansvarar för utlämnandet av det förskrivna läkemedlet.24 Ett förordnande får expedieras från öppenvårdsapotek endast om det utfärdats av en i Sverige behörig förskrivare (8 kap. 8 § Läkemedelsverkets föreskrifter [HSLF-FS 2019:32] om förordnande och utlämnande av läkemedel och teknisk sprit). Eftersom E-hälsomyndigheten ansvarar för register och it-funktioner som öppenvårdsapotek och vårdgivare behöver ha tillgång till för en patientsäker och kostnadseffektiv läkemedels- hantering, behöver myndigheten ha tillgång till uppgifter i HOSP- registret. Uppgifterna behövs dels för att tillhandahålla dem till expedierande personal på öppenvårdsapotek så att de kan kontrollera att förskrivaren är behörig, dels för att E-hälsomyndigheten ska kunna kontrollera att den person som ansvarar för utlämnandet är legitimerad farmaceut (dvs. apotekare eller receptarie).

Enligt 6 kap. 2 § lagen om nationell läkemedelslista ska E-hälso- myndigheten lämna ut vissa uppgifter till hälso- och sjukvårds- personal som har behörighet att förskriva läkemedel eller andra varor, sjuksköterska utan sådan behörighet, till dietist och till farmaceut i hälso- och sjukvården. E-hälsomyndigheten behöver därför ha till- gång till uppgifter i HOSP-registret om förskrivares, sjuksköterskors, dietisters och farmaceuters (dvs. apotekares och receptariers) identitet och behörighet för att kunna kontrollera behörigheten innan upp- gifter lämnas ut till dem.

Lagen om nationell läkemedelslista innehåller även bestämmelser om att hälso- och sjukvårdspersonal som har behörighet att förskriva läkemedel i vissa fall ska begära hos E-hälsomyndigheten att få vissa uppgifter spärrade för direktåtkomst i den nationella läkemedelslistan och i vissa fall begära att en sådan spärr hävs (4 kap. 4 och 6 §§). Lagen innehåller även bestämmelser om direktåtkomst för hälso- och sjuk- vårdspersonal som har viss behörighet (5 kap. 3–5 §§). E-hälso- myndigheten behöver även på grund av dessa bestämmelser tillgång till uppgifter i HOSP-registret för att kunna kontrollera att den som begär en sådan spärr, upphävande av spärr eller direktåtkomst till uppgifter är behörig att göra detta.

24Prop. 2017/18:223 s. 28.

236

SOU 2021:39

Annan elektronisk tillgång till HOSP-registret

E-hälsomyndigheten är enligt lagen (2016:526) om behandling av personuppgifter i ärenden om licens för läkemedel personuppgifts- ansvarig för myndighetens personuppgiftsbehandling i ärenden om ansökan om licens och får behandla personuppgifter enligt den lagen om det är nödvändigt för att E-hälsomyndigheten ska kunna ta emot och bevara uppgifter samt sammanföra handlingar i ärenden om ansökan om licens (7 och 8 §§). E-hälsomyndigheten ska enligt den nämnda lagen lämna ut uppgifter i ärenden om ansökan om licens till den som är behörig att förordna läkemedel och som i sin verksamhet har behov av sådana uppgifter (15 §). Det finns i lagen även särskilda bestämmelser om gallring av personuppgifter som lämnats till E- hälsomyndigheten av någon som är behörig att förordna läkemedel (19 §). E-hälsomyndigheten behöver därför ha tillgång till uppgifter i HOSP-registret för kontroll av förskrivares och farmaceuters behörighet dels vid skapande av motivering och ansökan, dels vid åtkomst till uppgifter i ärenden om licens.

E-hälsomyndigheten har vid kontakter med utredningen gett följande konkreta situationer som exempel på att myndigheten har behov av att kunna behandla uppgifterna i HOSP-registret för kvali- tetssäkring, validering och komplettering av uppgifter. Sådant behov kan finnas för att i samband med expedition av recept komplettera systemets händelselogg med farmaceutens HOSP-id, även kallat legitimationskod,25 om denna inte anges i anropet till tjänsten. Behov av kompletterande uppgifter om den person som har åtkomst finns även för att i samband med åtkomst till den nationella läkemedels- listan få nödvändiga uppgifter för att kunna genomföra en effektiv loggning och kontroll av åtkomsten. Sådant behov finns även rörande Läkemedelsverkets inrapportering av dispenser från begränsningar av förordnande och utlämnande av vissa läkemedel (se avsnitt 8.5.3). Läkemedelsverket rapporterar in beviljade dispenser till Ehälso- myndighetens register RIF (Register över individuella förskrivar- behörigheter) så att myndigheten kan tillgängliggöra dem för apoteken. E-hälsomyndigheten behöver då kunna kontrollera att angiven förskrivarkod finns i HOSP-registret och vilken behörig- het innehavaren av förskrivarkoden har. Även i den kommande möjligheten till e-recept över landsgränser finns det behov av att få uppgifter från HOSP-registret. Vid apotekens inloggning i tjänsten via en webbapplikation anges inte farmaceutens namn utan i stället

25HOSP-id behandlas i HOSP-registret med stöd av 6 § 11 i HOSP-förordningen.

237

Annan elektronisk tillgång till HOSP-registret

SOU 2021:39

någon annan form av ID (tex. HOSP-id/legitimationskod eller personnummer). E-hälsomyndigheten behöver kunna skicka far- maceutens namn till den utländska kontaktpunkten och har därför behov av att kunna få ut uppgift om vilket namn som är knutet till en viss HOSP-id/legitimationskod.

E-hälsomyndigheten har även anfört att myndigheten har ett behov av att använda uppgifter från HOSP-registret vid behandling som inte är reglerad i författning, utan som följer av t.ex. regerings- uppdrag.26 Det finns enligt myndigheten även ett behov av att behandla uppgifter i HOSP-registret för uppdrag som initialt ges till myndigheten genom regleringsbrev men som senare ska författ- ningsregleras, som exempelvis e-recept över landsgränser.

E-hälsomyndigheten har utöver detta uttryckt behov av att få behandla uppgifter från HOSP-registret för statistikframställning och tillhandahållande av statistik enligt 2 § 5 och 6 förordningen med instruktion för E-hälsomyndigheten. Myndighetens behov av uppgif- ter från HOSP-registret för statistik berörs nedan i ett särskilt avsnitt.

Ett nytt ändamål för kontroll av hälso- och sjukvårdspersonals identitet och behörighet i enlighet med författning eller regeringsuppdrag

Utredningen anser att E-hälsomyndigheten har ett berättigat behov av elektronisk tillgång till uppgifter i HOSP-registret i samtliga de fall som beskrivs i avsnittet ovan, behovet av uppgifter för statistik berörs som nämnts i ett särskilt avsnitt. De ändamål som i dag finns

iHOSP-förordningen täcker inte in dessa behov utan det finns anledning att ersätta de nuvarande ändamålen avseende E-hälso- myndigheten med ett nytt ändamål.

Det primära ändamålet med HOSP-registret är att föra en aktuell förteckning över legitimerad hälso- och sjukvårdspersonal (se 4 §). Utredningen konstaterar att gemensamt för de fall då E-hälso- myndigheten behöver elektronisk tillgång till uppgifter i HOSP- registret är att myndigheten då har ett behov av att kontrollera hälso- och sjukvårdspersonals identitet och behörighet mot den aktuella förteckning över legitimerad hälso- och sjukvårdspersonal som finns

iHOSP-registret. Myndigheten behöver göra detta för att kunna utföra arbetsuppgifter till följd av åligganden för myndigheten som

26Exempelvis RIF Uppdrag att automatisera och digitalisera kontrollen av individuella förskrivar- behörigheter, S2016/03790/FS.

238

SOU 2021:39

Annan elektronisk tillgång till HOSP-registret

finns reglerade i författning eller genom regeringsuppdrag. Syftet med kontrollen kan i vissa fall beskrivas som ett behov av att kvali- tetssäkra, validera eller komplettera uppgifter som E-hälsomyndig- heten får in genom sina system, men kvalitetssäkringen, valideringen eller kompletteringen har alltid att göra med kontroll av behörighet. Kontrollen av behörigheten sker då i enlighet med författning eller regeringsuppdrag, där det på olika sätt framgår att någon i ett visst sammanhang ska ha en viss behörighet. När det gäller E-hälso- myndighetens behov av uppgifter i HOSP-registret med anledning av den kommande möjligheten till e-recept över landsgränser förut- sätter utredningen att även denna behandling av personuppgifter kommer att regleras genom författning eller regeringsuppdrag.

Flera av ändamålen i HOSP-förordningen avser kontroll av hälso- och sjukvårdspersonals identitet och behörighet (se 5 § 4–7 HOSP-förordningen). Det kan enligt utredningens mening ifråga- sättas om ordet identitet bör finnas med i ändamålsbeskrivningarna. Med begreppet kontroll av identitet avses vanligen att kontrollera att en person har den identitet personen utger sig för att ha, dvs. att kontrollera att en person har det namn och personnummer som personen utger sig för att ha. I 6 § 1 HOSP-förordningen anges att registret får innehålla uppgift om namn, personnummer, samord- ningsnummer eller andra liknande identitetsbeteckningar och kön. Avsikten med innebörden av begreppet kontroll av identitet i HOSP-registret bör därför enligt utredningens mening snarare vara att kontrollera en persons identitetsbeteckning än att kontrollera personens identitet. I 6 § 10 HOSP-förordningen anges att registret får innehålla uppgift om förskrivarkod. Ett behov av att kontrollera uppgifter om hälso- och sjukvårdspersonals identitet mot uppgifter i HOSP-registret kan exempelvis finnas vid expediering av ett recept när man endast har en förskrivarkod och behöver kontrollera vilket namn och personnummer eller annan identitetsbeteckning som hör samman med denna förskrivarkod. Ett mer rättvisande sätt att beskriva ändamålen i HOSP-förordningen skulle enligt utredningens mening vara att endast ange att det är hälso- och sjukvårdspersonals behörighet som kontrolleras. Ordet identitet har emellertid angetts i förordningen sedan dess tillkomst. Kontroll av identitetsbeteck- ningen får även anses rymmas inom det vidare begreppet ”kontroll av behörighet”. Begreppet används dessutom i 6 § 7 HOSP-förord- ningen, som anger att personuppgifterna i registret får behandlas för

239

Annan elektronisk tillgång till HOSP-registret

SOU 2021:39

att kontrollera hälso- och sjukvårdspersonals identitet och behörig- het att utfärda intyg. Detta ändamål möjliggör Socialstyrelsens behandling av uppgifter i HOSP-registret för utlämnande genom direktåtkomst till Transportstyrelsen (7 e §), vilket inte omfattas av utredningens uppdrag att se över. Vid en samlad bedömning anser utredningen att det inte finns tillräckliga skäl att föreslå en ändring som innebär att ordet identitet tas bort från ändamålsbestäm- melserna i HOSP-registret.

Utredningen anser att ändamålet att lämna uppgifter som behövs för E-hälsomyndighetens kontroll av hälso- och sjukvårdspersonals identitet och behörighet i enlighet med författning eller regeringsuppdrag täcker in samtliga de behov som E-hälsomyndigheten har. Det ändamålet bör därför ersätta de nuvarande ändamålen avseende E-hälsomyndig- heten. Därmed förenklas regleringen samtidigt som den kommer att omfatta även nya behov som E-hälsomyndigheten kan få av att kon- trollera hälso- och sjukvårdspersonals identitet och behörighet.

Det föreslagna nya ändamålet bedöms vara förenligt med de ända- mål som fanns angivna i HOSP-förordningen när respektive person- uppgift samlades in till HOSP-registret. Det primära ändamålet för behandlingen av personuppgifterna i HOSP-registret är sedan registrets tillkomst att föra en aktuell förteckning över legitimerad hälso- och sjukvårdspersonal (4 § HOSP-förordningen) och ända- mål avseende E-hälsomyndighetens kontroll av hälso- och sjuk- vårdspersonals identitet och behörighet finns i dag angivna. Det finns en nära koppling mellan dessa ändamål och att kontrollera hälso- och sjukvårdspersonals identitet och behörighet i enlighet med författning eller regeringsuppdrag. Detta bör också de regi- strerade ha insett. Det ska här sägas att samlade uppgifter om hälso- och sjukvårdspersonals behörighet enbart finns tillgängliga i HOSP- registret. Det föreslagna nya ändamålet bedöms vara förenligt med de ändamål som fanns angivna i HOSP-förordningen när respektive personuppgift samlades in till HOSP-registret.

Det är inga ytterligare kategorier av personuppgifter som föreslås bli tillgängliga för E-hälsomyndigheten. Den ytterligare behandling som föreslås tillåtas innebär att E-hälsomyndigheten, som redan i dag får uppgifter från HOSP-registret, kommer att få samma slags uppgifter för ett något vidare men ändå begränsat och mycket speci- fikt ändamål. Några nya negativa konsekvenser för de registrerade bedöms därför inte uppkomma med anledning av utredningens

240

SOU 2021:39

Annan elektronisk tillgång till HOSP-registret

förslag. Härtill kommer att det enligt artikel 23 i dataskyddsförord- ningen är tillåtet att under vissa förutsättningar genom nationell rätt begränsa de skyldigheter som finns enligt artikel 5. Det är utred- ningens bedömning att förslaget är förenligt med artikel 5 och 23 i dataskyddsförordningen.

I inledningen (avsnitt 8.7.1) redogör utredningen för vad som gäller i fråga om information till de registrerade enligt artikel 14.4. och 14.5 i dataskyddsförordningen. Utredningen gör bedömningen att det skulle medföra en oproportionell ansträngning att informera de registrerade i detta fall då HOSP-registret innehåller uppgifter om hundratusentals personer och dessa uppgifter inte har erhållits från de registrerade.

Den rättsliga grunden

Som redogörs för ovan, när det gäller Socialstyrelsen, utgår data- skyddsregleringen från att varje behandling av personuppgifter måste vila på en rättslig grund. I dataskyddsförordningen räknas dessa rätts- liga grunder uttömmande upp i artikel 6.1. Behandlingen är rättsligt grundad om den t.ex. är nödvändig för att fullgöra en rättslig för- pliktelse som åvilar den personuppgiftsansvarige eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighets- utövning (artikel 6.1 c och e i dataskyddsförordningen). Av skäl 45 till dataskyddsförordningen framgår att hälso- och sjukvårdsändamål, såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjuk- vårdstjänster inbegrips i allmänintresset. I delbetänkandet, avsnitt 4.6, redogör utredningen mer utförligt för vad som kan utgöra rättslig grund enligt dataskyddsförordningen.

Ovan görs bedömningen att ytterligare behandling av de redan befintliga personuppgifterna i HOSP-registret för E-hälsomyndig- hetens kontroll av hälso- och sjukvårdspersonals identitet och behörig- het i enlighet med författning eller regeringsuppdrag är förenlig med de ändamål för vilka personuppgifterna samlades in. Enligt skäl 50 till dataskyddsförordningen behövs då inte någon ny rättslig grund för den tillkommande behandlingen.

Enligt utredningens förslag ska en ny bestämmelse om att Social- styrelsen får medge elektronisk tillgång till uppgifter införas i HOSP- förordningen. Som framgår i avsnitt 8.5.7 förutsätter utredningen att

241

Annan elektronisk tillgång till HOSP-registret

SOU 2021:39

Socialstyrelsen genom ett sådant beslut medger E-hälsomyndigheten den elektroniska tillgång till uppgifterna som E-hälsomyndigheten i dag har. Om beslut om sådant medgivande fattats, har Socialstyrel- sen enligt utredningens förslag också en skyldighet att ge den tillgång som beslutats. Denna uppgiftsskyldighet innebär en rättslig för- pliktelse. Behandlingen av personuppgifterna i HOSP-registret, inklu- sive utlämnandet av uppgifter som möjliggör för E-hälsomyndigheten att få de uppgifter som behövs för E-hälsomyndighetens kontroll av hälso- och sjukvårdspersonals identitet och behörighet i enlighet med författning eller regeringsuppdrag, är därmed nödvändig för att fullgöra en rättslig förpliktelse som åvilar Socialstyrelsen, som är personuppgiftsansvarig (3 a §). Dessa rättsliga förpliktelser är fast- slagna i HOSP-förordningen. Syftet med tillhandahållandet av upp- gifter – att lämna uppgifter som behövs för E-hälsomyndighetens kontroll av hälso- och sjukvårdspersonals identitet och behörighet i enlighet med författning eller regeringsuppdrag – framgår enligt utredningens förslag uttryckligen av HOSP-förordningen (jämför artikel 6.3 i dataskyddsförordningen). Begränsningen till detta syfte är ett sådant specifikt krav som avses i artikel 6.2 i dataskyddsför- ordningen.

Ovan görs bedömningen att den ytterligare behandling av de redan befintliga personuppgifterna i HOSP-registret som behövs för E-hälsomyndighetens kontroll av hälso- och sjukvårdspersonals identitet och behörighet i enlighet med författning eller regerings- uppdrag är förenlig med de ändamål för vilka personuppgifterna samlades in. Enligt skäl 50 till dataskyddsförordningen behövs då inte någon ny rättslig grund för den tillkommande behandlingen.

Avvägning mellan behov och integritetsrisker

Att uppgifterna i HOSP-registret även får behandlas för att lämna uppgifter som behövs för E-hälsomyndighetens kontroll av hälso- och sjukvårdspersonals identitet och behörighet i enlighet med för- fattning eller regeringsuppdrag innebär ett ökat intrång i de regi- strerades personliga integritet, eftersom uppgifter får behandlas i nytt syfte. E-hälsomyndighetens behov av den aktuella behand- lingen av personuppgifter behöver därför vägas mot de integritets- risker som är förknippade med behandlingen.

242

SOU 2021:39

Annan elektronisk tillgång till HOSP-registret

Enligt utredningens bedömning är integritetsriskerna med att Socialstyrelsen även får behandla uppgifterna i HOSP-registret för dessa ändamål relativt små. Genom att begränsa ändamålet till ut- lämnande av uppgifter som behövs för E-hälsomyndighetens kon- troll av hälso- och sjukvårdspersonals identitet och behörighet i enlighet med författning eller regeringsuppdrag tillåts bara sådan behandling som är nödvändig för specifika arbetsuppgifter.

Sammanfattningsvis bedömer utredningen att behoven av och fördelarna med att uppgifterna i HOSP-registret får behandlas för utlämnande som möjliggör E-hälsomyndighetens kontroll av hälso- och sjukvårdspersonals identitet och behörighet i enlighet med för- fattning eller regeringsuppdrag, överväger integritetsriskerna.

Ett nytt ändamål för statistik?

Svensk läkemedelsstatistik hanteras av E-hälsomyndigheten men till viss del också av Socialstyrelsen27. Som framgår ovan ska E-hälso- myndigheten enligt sin instruktion framställa och tillhandahålla natio- nell läkemedelsstatistik. Begreppet nationell läkemedelsstatistik är dock brett och saknar en legal definition. Den statistik som E-hälso- myndigheten framställer avser bl.a. försäljningsuppgifter för läke- medelsgrupp uppdelade per yrkesgrupp, försäljningsuppgifter för läkemedelsgrupp, exklusive det som förskrivits av veterinärer, indi- katorer som beräknas utifrån antal förskrivare och läkemedelskost- nader, vilket får anses utgöra nationell läkemedelsstatistik. Utöver att framställa läkemedelsstatistik ansvarar E-hälsomyndigheten bl.a. också för att samla in och tillhandahålla uppgifter om läkemedels- försäljning från apoteksaktörer, detaljhandel och partihandel som sker på svensk marknad.

Läkemedelsstatistiken efterfrågas av aktörer som Sveriges Kom- muner och Regioner, regioner, forskare, läkemedelsföretag, statistik- företag och andra (jämför dir. 2021:12). Den är av betydelse för sam- hället då den kan ge en ökad förståelse för exempelvis samhällets samlade läkemedelskostnader. I Sverige finansieras läkemedel som används i huvudsak med skattemedel. Dessutom är statistiken av bety-

27Socialstyrelsen publicerar rapporten Statistik om läkemedel, den innehåller statistik om läke- medel på recept samt vissa uppgifter om receptfria läkemedel och läkemedel till den slutna vården. Rapporten ingår i Sveriges officiella statistik och publiceras årligen i april.

243

Annan elektronisk tillgång till HOSP-registret

SOU 2021:39

delse för ett flertal processer inom läkemedelsområdet som syftar till en mer patientsäker och kostnadseffektiv läkemedelsanvändning.

Statistiken om läkemedel grundar sig ofta på flera källor. Upp- gifter om receptförskrivna läkemedel hämtas från läkemedels- registret28, där det finns uppgifter om förskrivarens yrke, specialitet och arbetsplatskod, och uppgifter om utbildningsnivå, som kan hämtas från Statistiska centralbyrån. Uppgifter om rekvisition till öppen och sluten vård samt köp av receptfria läkemedel finns hos E- hälsomyndigheten. Den som säljer läkemedel i Sverige är skyldig att regelbundet rapportera in försäljningsuppgifter till myndigheten. Den 1 maj 2021 började lagen om nationell läkemedelslista29 att gälla. I listan finns bl.a. uppgifter om förskrivarens namn, yrke, specialitet, arbetsplats, arbetsplatskod och förskrivarkod. E-hälsomyndigheten får använda uppgifterna i listan för bl.a. statistik (3 kap. 5 § lagen om nationell läkemedelslista). I avsnitt 8.3.7 föreslås att E-hälsomyndig- heten ska få behandla uppgifterna i den nationella läkemedelslistan i enlighet med ändamålen i 3 kap. 2–5 §§ lagen om nationell läke- medelslista, trots den ändamålsbegränsning som annars ska gälla vid elektronisk tillgång till HOSP-registret.

Utredningens bedömning är att E-hälsomyndigheten inte behöver uppgifter från HOSP-registret för att tillhandahålla eller framställa statistik. Myndigheten har framfört att i de fall uppgifterna finns tillgängliga i andra register vid myndigheten så har uppgifterna ursprungligen hämtats från HOSP-registret varför det finns behov av att lägga till ett ändamål om statistik. Utredningen har dock inte kunnat identifiera behov av uppgifter utanför nationella läkemedels- listan, användande av dem ska enligt utredningens redovisning ovan vara möjligt utifrån förslaget i avsnitt 8.3.7. Myndigheten har vidare framfört att de uppgifter som myndigheten redan har eller inhämtar från annat håll för statistik kontrolleras mot uppgifter i HOSP- registret. I det fallet bör dock det föreslagna ändamålet om E-hälso- myndighetens kontroll av hälso- och sjukvårdspersonals identitet och behörighet i enlighet med författning eller regeringsuppdrag kunna användas.

28Läkemedelsregistret regleras i förordningen (2005:363) om läkemedelsregister hos Social- styrelsen samt i lagen (1996:1156) om receptregister. Alla uppgifter i läkemedelsregistret kom- mer från E-hälsomyndigheten.

29Nationella läkemedelslistan ersatte den 1 maj 2021 receptregistret och läkemedelsförteck- ningen. All information från dessa två register fördes över till den nationella läkemedelslistan.

244

SOU 2021:39

Annan elektronisk tillgång till HOSP-registret

8.7.4Läkemedelsverkets kontroll av hälso- och sjukvårdspersonals identitet och behörighet i dispensärenden

Ett nytt ändamål

Utredningen gör i avsnitt 8.5.3 bedömningen att det behöver införas ett nytt ändamål i HOSP-förordningen som innebär att person- uppgifterna i HOSP-registret får behandlas för att Läkemedels- verket ska kunna kontrollera hälso- och sjukvårdspersonals identitet och behörighet vid handläggning av ärenden om dispens från begränsningar av förordnande och utlämnande av vissa läkemedel. Det bör uttryckligen anges att personuppgifterna i HOSP-registret även får behandlas för att kontrollera hälso- och sjukvårdspersonals identitet och behörighet vid handläggning av ärenden om dispens från begränsningar av förordnande och utlämnande av läkemedel. Det bör gälla även de personuppgifter som redan samlats in till HOSP- registret.

Det huvudsakliga och ursprungliga ändamålet för behandlingen av personuppgifterna i HOSP-registret är att föra en aktuell för- teckning över legitimerad hälso- och sjukvårdspersonal (4 § HOSP- förordningen). Syftet med att kunna föra en sådan förteckning får anses vara att säkerställa att en god och säker vård kan tillhanda- hållas. Det finns en nära koppling mellan dessa ändamål och att kontrollera hälso- och sjukvårdspersonals identitet och behörighet vid handläggning av ärenden om dispens där en viss behörighet hos sökanden är en förutsättning för att en dispens ska kunna utfärdas. Detta bör också de registrerade ha insett. Det ska här sägas att samlade uppgifter om hälso- och sjukvårdspersonals behörighet enbart finns tillgängliga i HOSP-registret. Det föreslagna nya ända- målet bedöms vara förenligt med de ändamål som fanns angivna i HOSP-förordningen när respektive personuppgift samlades in till HOSP-registret.

Härtill kommer att det enligt artikel 23 i dataskyddsförordningen är tillåtet att under vissa förutsättningar genom nationell rätt begränsa de skyldigheter som finns enligt artikel 5. Det är utredningens bedömning att förslaget är förenligt med artikel 5 och 23 i data- skyddsförordningen.

Det ytterligare tillgängliggörandet av personuppgifter som före- slås genom det nya ändamålet innebär i praktiken att Läkemedels-

245

Annan elektronisk tillgång till HOSP-registret

SOU 2021:39

verket kan få tillgång till uppgift om läkares yrke, specialitet, datum för utfärdande av legitimation respektive bevis om specialistkom- petens, datum när ett tidsbegränsat behörighetsbevis upphör att gälla, beslut om prövotid, datum för återkallelse av legitimation, för- skrivarkod och omfattning av förskrivningsrätt. Vissa av dessa upp- gifter kan i viss mån anses vara av känslig natur, men inte av särskilt integritetskänslig natur (avsnitt 8.5.3). Den ytterligare behandling som föreslås tillåtas innebär att Läkemedelsverket kommer att få behandla uppgifter för ett begränsat och mycket specifikt ändamål. Några negativa konsekvenser för de registrerade bedöms därför inte uppkomma med anledning av utredningens förslag.

I inledningen (avsnitt 8.7.1) redogör utredningen för vad som gäller i fråga om information till de registrerade enligt artikel 14.4. och 14.5 i dataskyddsförordningen. Utredningen gör bedömningen att det skulle medföra en oproportionell ansträngning att informera de registrerade i detta fall då HOSP-registret innehåller uppgifter om hundratusentals personer som inte har erhållits från de registrerade.

Den rättsliga grunden

Dataskyddsregleringen utgår från att varje behandling av person- uppgifter måste vila på en rättslig grund. I dataskyddsförordningen räknas dessa rättsliga grunder uttömmande upp i artikel 6.1. Behand- lingen är rättsligt grundad om den t.ex. är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 c och e i dataskyddsförordningen). Av skäl 45 till dataskyddsförordningen framgår att hälso- och sjuk- vårdsändamål, såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårdstjänster inbegrips i allmänintresset. I delbetän- kandet, avsnitt 4.6, redogör utredningen mer utförligt för vad som kan utgöra rättslig grund enligt dataskyddsförordningen.

Enligt utredningens förslag ska en ny bestämmelse om att Social- styrelsen får medge elektronisk tillgång till uppgifter införas i HOSP-förordningen. Utredningen gör i avsnitt 8.5.3 bedömningen att Socialstyrelsen bör använda den föreslagna möjligheten för att medge Läkemedelsverket elektronisk tillgång till uppgifter i HOSP- registret. När beslut om sådant medgivande fattats, har Socialstyrelsen

246

SOU 2021:39

Annan elektronisk tillgång till HOSP-registret

enligt utredningens förslag också en skyldighet att ge den tillgång som beslutats. Denna uppgiftsskyldighet innebär en rättslig förplik- telse. Behandlingen av personuppgifterna i HOSP-registret, inklusive utlämnandet av uppgifter till Läkemedelsverket för att kontrollera hälso- och sjukvårdspersonals identitet och behörighet vid hand- läggning av ärenden om dispens från begränsningar av förordnande och utlämnande av läkemedel, är därmed nödvändig för att fullgöra en rättslig förpliktelse som åvilar Socialstyrelsen, som är personupp- giftsansvarig (3 a §). Den rättsliga förpliktelsen är fastslagen i HOSP-förordningen. Syftet med tillhandahållandet av uppgifter – att kontrollera hälso- och sjukvårdspersonals identitet och behörig- het vid handläggning av ärenden om dispens från begränsningar av förordnande och utlämnande av läkemedel – framgår uttryckligen av HOSP-förordningen (jämför artikel 6.3 i dataskyddsförordningen). Begränsningen till handläggningen av dispensärenden är ett sådant specifikt krav som avses i artikel 6.2 i dataskyddsförordningen.

Ovan görs bedömningen att ytterligare behandling av de redan befintliga personuppgifterna i HOSP-registret för att Läkemedels- verket ska få tillgång till uppgifter i dispensärenden är förenlig med de ändamål för vilka personuppgifterna samlades in. Enligt skäl 50 till dataskyddsförordningen behövs då inte någon ny rättslig grund för den tillkommande behandlingen.

Avvägning mellan behov och integritetsrisker

Att uppgifterna i HOSP-registret även får användas för att kon- trollera hälso- och sjukvårdspersonals identitet och behörighet vid handläggning av ärenden om dispens från begränsningar av förord- nande och utlämnande av läkemedel innebär ett ökat intrång i de registrerades personliga integritet, eftersom behandling av person- uppgifterna får ske i ett nytt syfte. Behovet av detta behöver därför vägas mot de integritetsrisker som är förknippade med behandlingen.

Enligt utredningens bedömning är integritetsriskerna med att uppgifterna i HOSP-registret får behandlas även för detta ändamål relativt små. Genom att begränsa ändamålet till utlämnande för att kontrollera hälso- och sjukvårdspersonals identitet och behörighet vid handläggning av ärenden om dispens från begränsningar av för- ordnande och utlämnande av läkemedel tillåts bara sådan behandling

247

Annan elektronisk tillgång till HOSP-registret

SOU 2021:39

som är nödvändig för en mycket specifik arbetsuppgift. Det är dess- utom enbart Läkemedelsverket som handlägger ärenden om dispens från begränsningar av förordnande och utlämnande av vissa läkemedel.

Det är utredningens sammanfattande slutsats att behoven av och fördelarna med att uppgifterna i HOSP-registret får behandlas för utlämnande för att kontrollera hälso- och sjukvårdspersonals identitet och behörighet vid handläggning av ärenden om dispens från begräns- ningar av förordnande och utlämnande av läkemedel överväger inte- gritetsriskerna.

8.8Ändamål om planering för bemanning av krigsorganisationer

8.8.1Inledning

Regioner och kommuner har i egenskap av offentliga vårdgivare elektronisk tillgång till vissa uppgifter i HOSP-registret. Enligt 7 a § HOSP-förordningen får en offentlig vårdgivare ha direktåtkomst till uppgifter som avses i 6 § 1, 3 och 5–10 HOSP-förordningen. Upp- gifterna får lämnas ut för något av de ändamål som anges i 5 § HOSP- förordningen. Utredningen föreslår i avsnitt 8.3.2 att denna möjlighet ska ersättas med en möjlighet för Socialstyrelsen att besluta att medge myndigheter och offentliga vårdgivare elektronisk tillgång till upp- gifter i HOSP-registret.

Utredningen har i uppdrag att analysera de rättsliga förutsätt- ningarna för hälso- och sjukvårdshuvudmännen, dvs. regionerna och kommunerna, att få direktåtkomst till uppgifter i registret även i syfte att skapa förutsättningar för att bemanna deras krigsorgani- sationer. För detta är, vid sidan av uppgifter om de registrerade som regioner och kommuner redan får ha direktåtkomst till, uppgiften om folkbokföringsort i 6 § 2 HOSP-förordningen relevant.

8.8.2Bakgrund

Före år 1994 omfattades bl.a. hälso- och sjukvårdspersonal av den numera upphävda lagen (1981:292) om tjänsteplikt för hälso- och sjukvårdspersonal samt veterinärpersonal m.m. Lagen innebar att ett antal personalkategorier som i fred var, eller hade varit, verksamma

248

SOU 2021:39

Annan elektronisk tillgång till HOSP-registret

inom bl.a. hälso- och sjukvården hade tjänsteplikt när landet var i krig. Lagen upphävdes i samband med att den nuvarande lagen (1994:1809) om totalförsvarsplikt infördes. Regeringen gjorde bedömningen att de berörda personalkategorierna, i likhet med andra arbetstagare, till och med 70 års ålder skulle omfattas av totalförsvarsplikten.30

Socialstyrelsen fick år 1988 i uppdrag av regeringen att inrätta ett särskilt register över hälso- och sjukvårdspersonal, INTEGER.31 Det var ett personalförsörjningsregister för krig och innehöll relevanta uppgifter om olika yrkeskategorier inom hälso- och sjukvården. Upp- draget upphävdes genom beslut år 2009.32 Regeringen anförde dock i beslutet att det regelverk om uppgiftsskyldighet i lagen om total- försvarsplikt som registret vilade på skulle kvarstå för en eventuell framtida återuppbyggnad.

Trots att regionerna och kommunerna har ansvar för att bedriva sjukvård och planera sin verksamhet under höjd beredskap saknar de i dag möjlighet att skapa en överblick över vilken hälso- och sjuk- vårdspersonal som finns i regionen eller kommunen. Den pågående Utredningen om hälso- och sjukvårdens beredskap (S 2018:09) gör i sitt delbetänkande Personalförsörjning i kris och krig (SOU 2020:23) bedömningen att det bör övervägas om det finns behov av att åter- uppta arbetet med ett centralt register över hälso- och sjukvårds- personal för personalförsörjning i krig.33 Ett sådant register skulle enligt den utredningen syfta till att skapa förutsättningar för hälso- och sjukvårdshuvudmännen att få tillgång till hälso- och sjukvårds- personal som inte är anställd hos regionen eller kommunen. Dagens säkerhetspolitiska situation och den återupptagna planeringen av totalförsvaret innebär enligt Utredningen om hälso- och sjukvårdens beredskap att det finns behov av att kunna använda tillgänglig perso- nal på ett för samhället effektivt sätt. Det är särskilt viktigt att för- beredelserna för krig medför att all hälso- och sjukvårdspersonal som finns att tillgå kan användas i händelse av krig och att utbildad hälso- och sjukvårdspersonal krigsplaceras där de gör bäst nytta i totalförsvaret.34

30Prop. 1994/95:6, Totalförsvarsplikt.

31Uppdrag åt Socialstyrelsen att genomföra ett register för hälso- och sjukvårdspersonal i krig (S 5421/87).

32Upphävande av beslut om att föra register över hälso- och sjukvårdspersonal i krig (S 2009/4363/FS).

33SOU 2020:23, s. 136.

34SOU 2020:23, s. 139–141.

249

Annan elektronisk tillgång till HOSP-registret

SOU 2021:39

8.8.3Regioners och kommuners ansvar för krigsorganisationer

Regionernas och kommunernas beredskapsförberedelser regleras i 3 kap. 1 § lagen (2006:544) om kommuners och regioners åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap. Av bestämmelsen framgår att regioner och kommuner ska vidta de förberedelser som behövs för verksamheten under höjd beredskap. Även 7 § lagen (1992:1403) om totalförsvar och höjd beredskap är av betydelse, där framgår att regioner och kommuner vid höjd bered- skap ska vidta de särskilda åtgärder i fråga om planering och inrikt- ning av verksamheten, tjänstgöring och ledighet för personal samt användning av tillgängliga resurser som är nödvändiga för att de under de rådande förhållandena ska kunna fullgöra sina uppgifter inom totalförsvaret. Ansvaret för beredskapsförberedelser utvecklas vidare i 4 § förordningen (2006:637) om kommuners och regioners åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap. Av förordningen framgår att varje region och kommun ska ha de planer som behövs för verksamheten under höjd bered- skap. Planerna ska innehålla uppgifter om den verksamhet som är avsedd att bedrivas under höjd beredskap. Av planerna ska också framgå krigsorganisationen, den personal som ska tjänstgöra i denna och vad som i övrigt behövs för att regionen eller kommunen ska kunna höja sin beredskap och bedriva verksamheten under höjd beredskap. Höjd beredskap är antingen skärpt beredskap eller högsta beredskap. Är Sverige i krigsfara eller råder det sådana utomordent- liga förhållanden som är föranledda av att det är krig utanför Sveriges gränser eller av att Sverige har varit i krig eller krigsfara, får reger- ingen besluta om skärpt eller högsta beredskap. Vid höjd beredskap kan andra lagar användas vid sidan av dem som gäller i fredstid.

Det närmare arbetet i regionerna och kommunerna med kris- beredskap och civilt försvar utgår i huvudsak från de överenskom- melser som staten genom Myndigheten för samhällsskydd och beredskap och Sveriges Kommuner och Regioner har träffat.35

35Se Överenskommelse om landstingens (regionernas) arbete med krisberedskap och civilt försvar (2018–2020,) Dnr SKL 18/02653, MSB 2018–05682, Överenskommelse om kommunernas arbete med civilt försvar (2018–2020), Dnr SKL 18/01807, MSB 2018–05681 och Överenskommelse om kommunernas krisberedskap (2019–2022), Dnr MSB 2018–09779, SKL 18/03101. Överens- kommelsen har förlängts och gäller till och med den 31 december 2021, enligt uppgift på SKR:s webbplats 2021-02-09.

250

SOU 2021:39

Annan elektronisk tillgång till HOSP-registret

8.8.4Allmän tjänsteplikt och möjlighet till krigsplacering

Den svenska totalförsvarsplikten regleras i lagen (1994:1809) om totalförsvarsplikt och innebär att alla som är mellan 16 och 70 år och bor i Sverige, kan bli inkallade vid höjd beredskap för att efter förmåga hjälpa till på olika sätt. Det finns tre typer av totalförsvars- plikt; värnplikt, civilplikt och allmän tjänsteplikt. För regioners och kommuners del är det den allmänna tjänsteplikten och civilplikten som är relevanta.

Först när höjd beredskap beslutats av regeringen finns möjlighet att även besluta om allmän tjänsteplikt. Regeringen eller den myndig- het som regeringen bestämmer (f.n. Arbetsförmedlingen) beslutar hos vilka arbetsgivare eller uppdragsgivare som allmän tjänsteplikt ska fullgöras samt vilka arbetstagare och uppdragstagare som ska omfattas av allmän tjänsteplikt. Allmän tjänsteplikt fullgörs genom att den förpliktade kvarstår i sin anställning eller fullföljer ett upp- drag, tjänstgör enligt avtal om frivillig tjänstgöring inom totalför- svaret, eller utför arbete som anvisats honom eller henne. Det kan t.ex. innebära att en person får i uppdrag att ersätta någon som kallats in till det militära eller civila försvaret. Att vara ”krigs- placerad” med allmän tjänsteplikt innebär att en person är ianspråk- tagen för att tjänstgöra under höjd beredskap. En sådan tjänstgöring är inte någon krigsplacering i egentlig mening utan regioners och kommuners ianspråktaganden (”krigsplacering”) av anställda för sin krigsorganisation görs med stöd i förordningen om kommuners och regioners åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap. Detta bygger på personens ordinarie anställning hos regionen eller kommunen och att regeringen föreskriver om all- män tjänsteplikt. Arbetsskyldigheten med allmän tjänsteplikt utgår från respektive medarbetares anställningsavtal eller avtal om frivillig tjänstgöring. Den allmänna tjänsteplikten syftar alltså till att i första hand säkerställa att ordinarie personal finns kvar på sina arbetsplatser vid höjd beredskap, oavsett om det är en privat eller offentlig aktör men även att kunna förstärka med personal som är med i frivilliga försvarsorganisationer. Beslut om krigsplacering i egentlig mening fattas av Totalförsvarets rekryteringsmyndighet efter framställan från t.ex. en statlig myndighet, en region eller en kommun och omfattar endast den som är värnpliktig eller civilpliktig.

251

Annan elektronisk tillgång till HOSP-registret

SOU 2021:39

Civilplikten syftar till att förstärka vissa verksamheter i höjd beredskap genom att tillföra personer från andra verksamheter, i huvudsak personer som kan placeras efter att de genomfört en kortare grundutbildning. Civilplikt ska fullgöras i de verksamheter inom totalförsvaret som regeringen föreskriver. Regeringen har i förordning bl.a. angett att civilplikt får fullgöras både i civil och militär hälso- och sjukvård.36 Civilplikten är dock för närvarande vilande och ingen uttagning och utbildning av civilpliktiga sker.37

En betydande del av verksamheterna inom hälso- och sjukvården i både regioner och kommuner bedrivs av privata vårdgivare. Regionernas och kommunernas krigsorganisationer skulle därför i många fall tänkas ha behov av att kunna innefatta personal som har sin anställning någon annanstans, t.ex. hos privata vårdgivare. Man skulle kunna tänka sig att exempelvis personal vid privata sjukhus som normalt bedriver planerad vård kan användas som förstärknings- resurser i regionernas krigsorganisationer. Enligt lagen (1982:1004) om skyldighet för näringsidkare, arbetsmarknadsorganisationer m.fl. att delta i totalförsvarsplaneringen är näringsidkare skyldiga att delta i totalförsvarsplaneringen genom att lämna uppgifter eller med- verka på annat sätt (1 §). De myndigheter som har rätt att begära upplysningar eller begära medverkan av privata aktörer enligt lagen är, av intresse för hälso- och sjukvårdens del, bl.a. Socialstyrelsen, länsstyrelserna och Försvarsmakten. Regioner och kommuner har av flera skäl inte denna möjlighet.

Utredningen om hälso- och sjukvårdens beredskap gör i sitt del- betänkande Personalförsörjning i kris och krig bedömningen att regel- verken kring personalförsörjning för det civila försvaret behöver ses över.38 Det är en bedömning som den utredningen delar med Myndigheten för samhällsskydd och beredskap.39 Det behöver enligt dem bl.a. tydliggöras på vilka sätt regioner och kommuner kan involvera privata aktörer i sina krigsorganisationer samt hur regioner och kommuner kan förstärka sina organisationer med personal från privata arbetsgivare, frivilliga försvarsorganisationer, utbildad perso-

361 kap. 6 § lagen om totalförsvarsplikt och 2 kap. 1 § förordningen (1995:238) om totalförsvars- plikt samt bilagan till samma förordning.

37Utredningen om civilt försvar (Ju 2018:05) har i sitt betänkande Struktur för ökad motstånds- kraft (SOU 2021:25), flera förslag som bl.a. rör det nationella ansvaret för civilt försvar och krisberedskap och planering av det civila försvaret.

38SOU 2020:23, s. 132–135.

39Jfr rapport från Myndigheten för samhällsskydd och beredskap, 2020, Så skapar vi mot- ståndskraft – Skrivelse med underlag inför försvarsbeslutsperioden 2021–2025.

252

SOU 2021:39

Annan elektronisk tillgång till HOSP-registret

nal som inte har anställning och de som är under utbildning. Utred- ningen, som i och för sig haft begränsade möjligheter att göra en egen mer fördjupad analys, ställer sig bakom den bedömning som Utredningen om hälso- och sjukvårdens beredskap gör.

Utredningen kan konstatera att enligt gällande regelverk är grunden för personalförsörjning av regioners och kommuners krigs- organisationer den allmänna tjänsteplikten och anställningsavtal i den egna verksamheten. Det framgår också att det är möjligt att avtala med personer som är med i frivilliga försvarsorganisationer som då också omfattas av allmän tjänsteplikt. Det saknas dock bestämmelser som möjliggör för regioner och kommuner att vid höjd beredskap och i krig även kunna använda andra resurser, dvs. personal utanför den egna organisationen.

8.8.5Utredningens bedömning

Utredningens bedömning: Det är inte motiverat att i nuläget införa ett ändamål i HOSP-förordningen om regionernas och kommunernas planering för att bemanna deras krigsorgani- sationer med hälso- och sjukvårdspersonal. Först när regioner och kommuner har rättsliga förutsättningar för att bemanna sina krigsorganisationer med inte redan anställd personal blir detta motiverat.

Möjlighet till god vård i händelse av krig kräver planering för hur verksamheten då ska organiseras och personalförsörjas. Ansvariga regioner och kommuner har därför behov av information om vilken legitimerad hälso- och sjukvårdspersonal som finns att tillgå inom regionen eller kommunen för att kunna skapa nödvändiga krigs- organisationer. Många som arbetar i vården arbetspendlar. I händelse av krig försvåras ofta t.ex. civila resor. Tillgänglig personal i när- området blir därför viktig. Viss personal kan i höjd beredskap och krig ha arbetsuppgifter inom Försvarsmakten och vara krigsplacerade där. Andra kan via olika frivilliga försvarsorganisationer och genom avtal vara ianspråktagna i olika för totalförsvaret viktiga verksamheter.

Genom HOSP-registret skulle regioner och kommuner kunna få viss uppgift om vilken legitimerad, eller tidigare legitimerad, hälso- och sjukvårdspersonal som finns folkbokförd i regionen

253

Annan elektronisk tillgång till HOSP-registret

SOU 2021:39

eller kommunen om de även gavs elektronisk tillgång till uppgift om folkbokföringsort40 under förutsättning att de skulle få behandla uppgifterna i HOSP-registret även för att planera bemanning av hälso- och sjukvårdspersonal vid höjd beredskap. Det skulle enligt utredningen skapa bättre förutsättningar för att bemanna deras krigsorganisationer.

I dag kan regioner och kommuner i praktiken endast bemanna sina krigsorganisationer med den egna personalen samt sådana personer som är med i frivilliga försvarsorganisationer och som regionen eller kommunen träffat ett skriftligt avtal om tjänstgöring. När sådana avtal ingås, dvs. i samband med tjänstetillsättning, får regionen eller kommunen enligt nuvarande reglering kontrollera identitet och behörighet genom direktåtkomst till HOSP-registret. Regioner och kommuner får även utan elektronisk tillgång till uppgiften om folkbokföringsort i HOSP-registret antas redan ha tillräcklig information om var den egna personalen bor. Vilken legiti- merad personal i närområdet som är med i frivilliga försvarsorgani- sationer och inte redan har avtalat om tjänstgöring kan regioner och kommuner enklast få reda på genom kontakt med dessa organi- sationer. Utredningen kan därför inte se att regioner och kommuner i dagsläget har något egentligt behov av elektronisk tillgång till HOSP-registret för att planera bemanningen av sina krigsorgani- sationer, utöver den elektroniska kontroll av identitet och behörig- het som redan är möjlig i samband med tjänstetillsättning och under anställning eller uppdrag. Således lämnar utredningen inte något förslag till ett nytt ändamål om planering för bemanning av krigs- organisationer.

Om det blir möjligt för regioner och kommuner att bemanna sina krigsorganisationer med inte redan anställd personal, kommer det dock enligt utredningens bedömning att finnas ett visst behov av att uppgifterna i HOSP-registret får behandlas för regionernas och kommunernas planering av sina krigsorganisationers bemanning med hälso- och sjukvårdpersonal. Utredningen redogör därför i nästa avsnitt för hur en möjlig reglering av detta skulle kunna se ut.

Utredningen vill här kortfattat lyfta fram att motsvarande behov av uppgifter från HOSP-registret för att möjliggöra planering av

40I jämförelse med uppgifterna i det tidigare registret INTEGER skulle dock en sådan lösning innebära en begränsad nytta då endast folkbokföringsort och inte uppgift om folkbokföring i sin helhet finns med.

254

SOU 2021:39

Annan elektronisk tillgång till HOSP-registret

personalförsörjning kan finnas även vid andra allvarliga hot eller samhällskriser, dvs. vid extraordinära händelser i fredstid41. Ett sådant behov har påtalats för utredningen av representanter från bl.a. Inera AB, Socialstyrelsen och den pågående utredningen om hälso- och sjukvårdens beredskap (S 2018:09). Den alltjämt rådande covid- 19-pandemin kan ses som ett exempel på när tillgången på hälso- och sjukvårdspersonal är av stort samhällsintresse. Av lagen om kom- muners och regioners åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap följer bl.a. att regioner och kommuner för varje ny mandatperiod även ska fastställa en plan för hur de ska hantera extraordinära händelser (2 kap. 1 § 2). Med extraordinär händelse avses enligt lagens definition sådan händelse som avviker från det normala, innebär en allvarlig störning eller överhängande risk för en allvarlig störning i viktiga samhällsfunktioner och kräver skyndsamma insatser av en kommun eller en region (1 kap. 4 §). Regioner och kommuner har alltså ett likartat ansvar när det gäller extraordinära händelser som de har vid höjd beredskap. Dock saknas bestämmelser motsvarande allmän tjänsteplikt eller krigsplacering vid kris.42 Frågan ryms emellertid inte inom utredningens uppdrag utan det bör övervägas om den bör ses över i särskild ordning.

Om det övervägs en möjlighet till elektronisk tillgång till upp- gifterna i HOSP-registret för planering av regioners och kommuners bemanning med hälso- och sjukvårdspersonal vid extraordinära händelser eller höjd beredskap, bör särskilt övervägas hur det kan påverka möjligheterna till rekrytering av legitimerad hälso- och sjuk- vårdspersonal för privata och offentliga vårdgivare samt bemannings- företag inom hälso- och sjukvård.

41Begreppet extraordinära händelser i fredstid används i lagen om kommuners och regioners åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap. Utredningen om civilt försvar (Ju 2018:05), föreslår dock i sitt betänkande Struktur för ökad motståndskraft (SOU 2021:25), att en ny lag, lagen om kommuners och regioners beredskap, ska ersätta den nuvarande lagen om kommuners och regioners åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap. I det betänkandet redovisas att begreppsanvändningen när det gäller begrepp kopplat till krissituationer i flera fall är inkonsekvent i den svenska lagstift- ningen, s. 461–466. Utredningen anser att det finns flera fördelar med att begreppsanvänd- ningen är densamma vid en eventuell möjlighet att lämna ut uppgifter från HOSP-registret för planering av personalförsörjning vid allvarliga hot eller samhällskriser.

42I stället gäller krislägesavtalet. Krislägesavtalet aktiveras av arbetsgivarparterna SKR och Sobona och reglerar villkor och ersättningar för arbetstagare som arbetar vid krisläge. Avtalet gäller från och med den 1 juli 2019 och tillsvidare.

255

Annan elektronisk tillgång till HOSP-registret

SOU 2021:39

8.8.6En möjlig reglering

Utredningens bedömning: Det finns i och för sig rättsliga förut- sättningar för att lägga till ett nytt ändamål i HOSP-förordningen om att personuppgifterna i HOSP-registret får behandlas för att lämna uppgifter som möjliggör regionernas och kommunernas planering för att bemanna deras krigsorganisationer med hälso- och sjukvårdspersonal.

Om det blir möjligt för regioner och kommuner att bemanna sina krigsorganisationer med personal anställd utanför den egna organi- sationen, bedömer utredningen att det finns ett befogat behov hos hälso- och sjukvårdshuvudmännen, dvs. regioner och kommuner, av att få elektronisk tillgång till uppgifter HOSP-registret, inklusive uppgifter om folkbokföringsort. Uppgift om folkbokföringsort kan ge viss information om vilket landområde en person bor inom och kan, som utredningen gör gällande i avsnitt 7.8.3, ses som en uppgift av mer privat karaktär. Uppgiften är också en av få uppgifter i HOSP- registret som i ett enskilt fall skulle kunna omfattas av s.k. folk- bokföringssekretess enligt 22 kap. 1 § offentlighets- och sekretess- lagen och 6 § offentlighets- och sekretessförordningen, t.ex. om en registrerad är förföljd eller utsatt för hot. Uppgiften kan även omfattas av sekretess enligt 21 kap. 3 § offentlighets- och sekretess- lagen till skydd för förföljda personer. Sekretesskyddet är dock, som redovisas i avsnitt 5.3.1, svagt. Sekretess enligt 21 kap. 3 § offentlig- hets- och sekretesslagen gäller dessutom i all myndighetsverksamhet och gäller därför även efter ett utlämnande till en region eller kom- mun. Utredningen bedömer att uppgift om folkbokföringsort som huvudregel inte kan anses vara av särskilt känslig art och att ett utlämnande till regioner och kommuner för ett visst begränsat ända- mål skulle vara motiverat.

Socialstyrelsen kan enligt det förslag som lämnas i avsnitt 8.3 medge berörda myndigheter inom regioner och kommuner tillgång genom direktåtkomst eller annat elektroniskt utlämnande till upp- gifterna i HOSP-registret så länge det sker inom ramen för de fast- ställda ändamålen för behandlingen av personuppgifterna i registret.

Något ändamål som innebär att personuppgifterna i HOSP- registret får behandlas för att regioner och kommuner ska kunna planera personalförsörjning av hälso- och sjukvårdspersonal vid höjd

256

SOU 2021:39

Annan elektronisk tillgång till HOSP-registret

beredskap finns dock inte i HOSP-förordningen. För att skapa förutsättningar för regioner och kommuner att planera bemanning av hälso- och sjukvårdspersonal i regionen eller kommunen vid höjd beredskap behöver därför ett nytt ändamål införas. Ett sådant ända- mål bedöms vara förenligt med de ändamål som fanns angivna i HOSP-förordningen när respektive personuppgift samlades in till HOSP-registret. Det primära ändamålet för behandlingen av person- uppgifterna i HOSP-registret är sedan registrets tillkomst att föra en aktuell förteckning över legitimerad hälso- och sjukvårdspersonal (4 § HOSP-förordningen). Det finns en nära koppling mellan det ändamålet och att skapa förutsättningar för att planera och säker- ställa personalförsörjning av hälso- och sjukvårdspersonal med rätt legitimation vid höjd beredskap. Det huvudsakliga och ursprungliga syftet är att säkerställa att en god och säker vård kan tillhandahållas. Det intresset finns i fredstid såväl som i krigstid. Detta bör också de registrerade ha insett. Den ytterligare behandling som då skulle tillåtas skulle innebära att regioner och kommuner, som redan i dag får behandla uppgifter från HOSP-registret, skulle få behandla upp- gifter för ännu ett begränsat och mycket specifikt ändamål. Några negativa konsekvenser för de registrerade bedöms därför inte upp- komma med anledning av ett sådant ändamål.

257

9 Konsekvenser av förslagen

9.1Inledning

I utredningens uppdrag ingår att analysera konsekvenserna av utred- ningens förslag i enlighet med 14–15 a §§ kommittéförordningen (1998:1474). Det innebär att om förslagen i betänkandet påverkar kostnaderna eller intäkterna för staten, kommuner, regioner, företag eller andra enskilda, ska en beräkning av dessa konsekvenser redovisas. Även samhällsekonomiska konsekvenser i övrigt ska redovisas. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna, ska utredningen föreslå hur dessa ska finansieras. Vidare ska even- tuella konsekvenser för den kommunala självstyrelsen, för brottslig- heten och det brottsförebyggande arbetet, samt för sysselsättning och offentlig service i olika delar av landet redovisas. Detsamma gäller små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företag, för jämställdheten mellan kvinnor och män eller för möjligheten att nå de integrationspolitiska målen.

Eftersom betänkandet innehåller författningsförslag, ska för- slagens kostnadsmässiga och andra konsekvenser också redovisas i enlighet med 6 och 7 §§ förordningen (2007:1244) om konsekvens- utredning vid regelgivning.

I detta kapitel redovisar utredningen sin bedömning av konse- kvenserna av de förslag som lämnas. Ett av förslagen innebär en möjlighet att ge ombud elektronisk tillgång till patientuppgifter. De förslag som rör registret över hälso- och sjukvårdspersonal (HOSP- registret) innebär dels en möjlighet att på internet enkelt kunna kontrollera om en viss person har en viss legitimation, dels att Social- styrelsen får medge direktåtkomst eller annan elektronisk tillgång till registret samt att uppgifterna i registret får behandlas för fler ändamål.

259

Konsekvenser av förslagen

SOU 2021:39

När det gäller förslaget om ombuds elektroniska tillgång till patientuppgifter ska utredningen enligt utredningsdirektiven1 särskilt redovisa förslagens konsekvenser för den personliga integriteten. Eventuella inskränkningar i integritetsskyddet ska följas av analyser samt proportionerliga och tydliga avvägningar där alternativa metoder ska övervägas eller där förslag på särskilda integritetsstärkande åtgär- der lämnas. När det gäller förslagen som gäller tillgång till person- uppgifter i HOSP-registret ska utredningen enligt tilläggsdirektiven2 göra en avvägning mellan behov och integritetsskydd.

Utredningens arbete har genomsyrats av överväganden rörande de registrerades personliga integritet. Konsekvenserna för den person- liga integriteten, förslag på integritetsstärkande åtgärder samt utred- ningens samlade integritetsavvägningar har redovisats i samband med respektive förslag. Någon ytterligare konsekvensbeskrivning avseende skyddet för den personliga integriteten görs därför inte i detta kapitel. Utredningen hänvisar i stället till de konsekvens- analyser som har gjorts i samband med varje förslag och hänvisning till respektive avsnitt följer nedan.

9.2Förslagen om ombuds elektroniska tillgång till patientuppgifter och sammanhållen vård- och omsorgsdokumentation

Utredningens bedömning: Förslagen om ombuds elektroniska tillgång till patientuppgifter och sammanhållen vård- och omsorgs- dokumentation är utformade som möjligheter som är frivilliga att använda. Det är således upp till varje vård- och omsorgsgivare att välja om regelverket ska tillämpas eller inte. Förslagen förväntas därför inte i sig medföra några ekonomiska konsekvenser.

Inte heller i övrigt bedöms förslagen medföra några sådana konsekvenser som ska beskrivas enligt kommittéförordningen.

Förslagen om ombuds elektroniska tillgång till patientuppgifter och sammanhållen vård- och omsorgsdokumentation är utformade som möjligheter som är frivilliga att använda. De som berörs av förslagen

1Dir. 2019:37.

2Dir. 2020:112.

260

SOU 2021:39

Konsekvenser av förslagen

är, förutom patienter och omsorgsmottagare samt deras ombud, främst regioner, kommuner och företag som verkar inom vård och omsorg.

De som inte vill använda möjligheten att ge ombud elektronisk tillgång, behöver inte göra det. Förslaget kommer därför inte i sig att föra med sig några obligatoriska kostnader för regioner, kommuner eller företag. Det är upp till varje region, kommun och företag att inför en eventuell användning av regelverket göra en avvägning mellan å ena sidan kostnader och andra konsekvenser och å andra sidan vad som står att vinna. Det får antas att möjligheten används bara om det bedöms som förmånligt.

Om regioner och kommuner väljer att använda sig av möjligheten att ge ombud elektronisk tillgång till patientuppgifter respektive sam- manhållen vård- och omsorgsdokumentation, kan detta föra med sig vissa krav på it-struktur och informationssäkerhet för sådana vård- och omsorgsföretag som upphandlas eller på andra sätt sluter avtal med det offentliga. Detta kan tänkas medföra vissa kostnader för företagen, och därmed för regionerna och kommunerna, när det gäller it och digitala tjänster. Den föreslagna regleringen ställer dock inga precisa krav på vilka it-system som ska användas. Varje region eller kommun kan således välja att utforma sitt eget it-system.

Utredningens förslag innebär dock att det elektroniska utläm- nandet till ett ombud får ske med samma teknik som för elektroniskt utlämnande till patienten eller omsorgsmottagaren. När det gäller hälso- och sjukvården torde det därför i många fall redan finnas tekniska lösningar som är möjliga att anknyta till. Inom social- tjänsten finns inget regelverk som reglerar utlämnande genom direktåtkomst till omsorgsmottagare. Redan i dag ställer emellertid regioner och kommuner i regel höga krav på it-infrastruktur och dataskydd i sina upphandlingar. Förslaget som utredningen lämnar följer de principer om dataskydd och it-säkerhet som följer av data- skyddsförordningen eller nationell rätt och som regionerna, kom- munerna och företagen redan är skyldiga att tillämpa. Utredningen bedömer därför att förslagen om ombuds elektroniska tillgång till patientuppgifter och sammanhållen vård- och omsorgsdokumentation inte i sig kommer att medföra några ökade kostnader för företagen.

Eftersom förslagen om ombuds elektroniska tillgång till patient- uppgifter och sammanhållen vård- och omsorgsdokumentation innebär möjligheter som varje vård- eller omsorgsgivare kan välja att

261

Konsekvenser av förslagen

SOU 2021:39

använda eller inte, är det vidare utredningens bedömning att förslagen inte får några negativa konsekvenser för den kommunala själv- styrelsen. Den kommunala självstyrelsen har beaktats fullt ut vid ut- formningen av förslagen. Författningsförslagen är könsneutralt utformade och förväntas inte få några konsekvenser för jämställd- heten mellan kvinnor och män. Inte heller brottligheten, det brotts- förebyggande arbetet, sysselsättningen eller möjligheten att nå de integrationspolitiska målen bedöms påverkas av förslagen.

Konsekvenserna för den personliga integriteten berörs i av- snitt 6.2.1–6.2.7.

262

SOU 2021:39

Konsekvenser av förslagen

9.3Förslagen gällande HOSP-registret

Utredningens bedömning: Socialstyrelsen kan inom ramen för myndighetens befintliga anslag klara de initiala kostnaderna som uppstår vid genomförandet av förslaget om en sökfunktion på internet för att kontrollera legitimationer och förslaget om att Socialstyrelsen får medge myndigheter och privata vårdgivare elektronisk tillgång till HOSP-registret. De löpande kostnaderna för att administrera utlämnandet av uppgifter enligt förslagen för- väntas bli lägre än kostnaderna i dag. Förslagen kommer även för övriga berörda aktörer att leda till ökad effektivitet och säkerhet vid behandling av uppgifter från registret och därmed också minskade kostnader.

Genomförandet av förslaget om att ta bort de bestämmelser som i dag ger vissa myndigheter möjlighet att ha direktåtkomst bedöms inte att få några beaktansvärda konsekvenser för de berörda myndigheterna eller för de registrerade. Det förväntas inte heller medföra några kostnadsökningar, utöver vissa initiala kostnader.

Genomförandet av förslaget om att ersätta den generella möjlig- heten att lämna ut uppgifter på medium för automatiserad behand- ling med tillgång via internet samt möjlighet för Socialstyrelsen att göra sådant utlämnande i enstaka fall och besluta om sådant utläm- nande i andra fall förväntas inte medföra några ökade kostnader, utöver vissa initiala kostnader som följer av vissa teknikanpass- ningar och förändrat beslutsfattande.

Förslagen om nya ändamål för HOSP-registret förväntas inte i sig medföra några negativa ekonomiska konsekvenser eller några negativa konsekvenser för de registrerade.

I övrigt bedöms förslagen inte medföra några sådana konse- kvenser som ska beskrivas enligt kommittéförordningen.

9.3.1Förslaget om en sökfunktion på internet för att kontrollera legitimationer

Utredningen föreslår en skyldighet för Socialstyrelsen att på internet tillgängliggöra vissa uppgifter i HOSP-registret. Möjligheten till kon- troll av någons legitimation ska finnas dels genom en sökfunktion på

263

Konsekvenser av förslagen

SOU 2021:39

en vanlig webbsida, dels genom ett öppet applikationsprogram- meringsgränssnitt, ett s.k. API.

Det övergripande syftet med att öka tillgången till uppgifterna i registret är att underlätta kontrollen av hälso- och sjukvårdspersona- lens behörighet. Syftet är alltså att förbättra patientsäkerheten. En säkrare vård innebär minskade kostnader för samhället och ökad trygghet för patienterna. Utöver detta bedöms Socialstyrelsens hantering av förfrågningar om uppgifter i HOSP-registret bli enklare och snabbare. Förslaget kommer enligt utredningen alltså att för- bättra effektiviteten och servicen mot allmänheten samt underlätta informationsutbytet mellan de nordiska länderna och övriga EES- länder. Begreppet allmänheten ska här ses i en vid betydelse och inne- fattar utöver var och en även företag och organisationer. Även gent- emot vissa myndigheter och andra aktörer förväntas effektiviteten och servicen förbättras, se utredningens bedömning i avsnitt 8.5.2,

8.5.4och 8.5.5 i de fall behovet av tillgång till uppgifter i HOSP- registret hos Försäkringskassan, Universitets- och högskolerådet samt vissa universitet och högskolor bedöms kunna tillgodoses genom den öppna tillgången på internet. Hanteringen av person- uppgifterna i HOSP-registret bedöms därtill bli säkrare såväl ur ett patientperspektiv som ett integritetsperspektiv. Om det är möjligt att på internet kontrollera om en person har en viss legitimation, förväntas behovet av direktåtkomst till HOSP-registret minska.

För de registrerade bedömer utredningen att förslaget inte kom- mer att innebära några negativa konsekvenser. Konsekvenserna för den personliga integriteten berörs i avsnitt 7.4 och 7.5.

För Socialstyrelsen kommer förslaget inledningsvis att innebära vissa kostnader som är förknippade med att utforma tekniska lös- ningar för att utveckla webbsidans sökfunktion och det API som föreslås. Socialstyrelsen måste kunna tillgängliggöra uppgifterna på ett säkert sätt med mycket hög tillförlitlighet. Utredningen bedömer dock att en möjlighet att på internet kunna kontrollera legitima- tioner redan på kort sikt kommer att minska administrationskost- naderna för Socialstyrelsen jämfört med i dag. Dagens manuella hantering av förfrågningar och beställningar av uppgifter ur HOSP- registret sysselsätter, enligt uppgift från myndigheten, fem anställda. Utredningens förslag bör alltså leda till kortare handläggningstider, bättre resursfördelning och minskade kostnader hos myndigheten.

264

SOU 2021:39

Konsekvenser av förslagen

Utredningen gör sammantaget bedömningen att Socialstyrelsen inom ramen för befintligt anslag kan klara de initiala kostnaderna och att de löpande kostnaderna för att administrera utlämnandet av uppgifter kommer att bli lägre än i dag.

9.3.2Förslaget om att Socialstyrelsen får medge myndigheter och vårdgivare elektronisk tillgång

Utredningen föreslår att Socialstyrelsen ska få besluta att medge en myndighet eller offentlig vårdgivare tillgång till uppgifter i HOSP- registret genom direktåtkomst eller annat elektroniskt utlämnande. Direktåtkomst ska endast få medges om inte annat elektroniskt ut- lämnande är tillräckligt. Socialstyrelsen ska också få besluta att med- ge en privat vårdgivare tillgång till uppgifter i registret genom annat elektroniskt utlämnande än direktåtkomst. Förslaget syftar i huvud- sak till att minimera användningen av direktåtkomst till personupp- gifter till de få fall när det verkligen är nödvändigt, för att begränsa de integritetsrisker som sådan tillgång innebär, samtidigt som det skapar en flexibilitet i regleringen.

Möjligheten att medge elektronisk tillgång till uppgifter i HOSP- registret ökar patientsäkerheten även på så sätt att risken för för- vanskning av den information som överförs minskar liksom risken för att man missar att överföra relevant information. Utöver detta bedöms Socialstyrelsens hantering av förfrågningar om uppgifter i HOSP-registret bli enklare och snabbare. Förslaget kommer enligt utredningen därmed att förbättra effektiviteten och servicen mot andra myndigheter och vårdgivare. Hanteringen av personupp- gifterna i HOSP-registret skulle därtill bli säkrare ur ett integritets- perspektiv, eftersom utlämnande på annat sätt, t.ex. via okrypterad mejl, utöver att det ofta inte uppfyller dataskyddskraven när det gäller säkerhet, allmänt sett innebär en mindre säker överföring av uppgifter då obehöriga lättare kan få tillgång till dem.

Att Socialstyrelsen enligt förslaget får besluta om att medge elek- tronisk tillgång till uppgifter i HOSP-registret innebär också att när det uppstår ett berättigat behov av sådan tillgång, kan en anpassad tillgång medges nästan omedelbart. Det är en reglering som, i för- hållande till om medgivandet i stället skulle regleras i förordning, blir mer flexibel och den som har ett berättigat behov av tillgång till uppgifterna kan få det utan onödig fördröjning. Detta är viktigt

265

Konsekvenser av förslagen

SOU 2021:39

eftersom nya behov kan uppstå genom den allt ökande digita- liseringen av statsförvaltningen.

Socialstyrelsen ska fatta beslut efter samråd med Integritets- skyddsmyndigheten som därför berörs av förslaget. Integritets- skyddsmyndigheten kommer att behöva avsätta resurser för dessa samråd vilket innebär en viss kostnad. Utredningen gör bedöm- ningen att de flesta myndigheters och vårdgivares behov av uppgifter

iHOSP-registret kommer att kunna tillgodoses genom sökfunk- tionen på internet och att det endast är ett fåtal aktörer som kommer att behöva sådan elektronisk tillgång som kräver ett beslut av Socialstyrelsen. Utredningen bedömer därför att Integritetsskydds- myndighetens kostnader för samråd kommer att bli marginella och att de ryms inom myndighetens givna anslag.

För de registrerade bedömer utredningen att förslaget inte kom- mer att innebära några negativa konsekvenser. Tvärtom får förslaget positiva följder eftersom det medför att informationsöverföringen som i dag till stor del sker genom att uppgifter mejlas, vilket inte innebär säker överföring av personuppgifter, förväntas att minska och ersättas av säkrare metoder. Konsekvenserna för den personliga integriteten berörs närmare i avsnitt 8.3.2.

För Socialstyrelsen kommer förslaget inledningsvis att innebära vissa kostnader som är förknippade med att utforma tekniska lös- ningar för att kunna ge åtkomst till uppgifter i HOSP-registret genom annat elektroniskt utlämnande än direktåtkomst, exempelvis genom en fråga-svar-funktion som förhoppningsvis kan bygga vidare på det API som måste skapas för tillgängliggörandet på inter- net. Socialstyrelsen måste säkerställa att uppgifter kan tillgängliggöras på ett säkert sätt. Beslutsfattandet kommer också att medföra vissa kostnader. Utredningen gör dock bedömningen att en möjlighet för myndigheter och vårdgivare att medges elektronisk tillgång till uppgifter i HOSP-registret, i likhet med förslaget om en sökfunktion på internet för att kontrollera legitimationer, på sikt kommer att minska Socialstyrelsens administrationskostnader jämfört med

idag. Även detta förslag bör alltså leda till kortare handläggnings- tider, bättre resursfördelning och minskade kostnader hos myndig- heten. Utredningen gör bedömningen att den initiala kostnaden för tekniken och fattandet av beslut som motsvarar den elektroniska till- gång som finns i dag ryms inom ramen för Socialstyrelsens befintliga anslag och att de löpande kostnaderna inte blir högre än i dag.

266

SOU 2021:39

Konsekvenser av förslagen

Utredningens förslag ställer krav på behörighetsstyrning, logg- ning och åtkomstkontroll samt ändamålsbegränsning för den som medgetts elektronisk tillgång. Eftersom det enligt de föreslagna bestämmelserna är frivilligt för offentliga vårdgivare och kommunala myndigheter att begära elektronisk tillgång till uppgifter i HOSP- registret, är det vidare utredningens bedömning att förslagen inte får några negativa konsekvenser för den kommunala självstyrelsen. Den kommunala självstyrelsen har beaktats fullt ut vid utformningen av förslagen.

Utredningen gör bedömningen att förslagen kommer att leda till ökad effektivitet och säkerhet vid behandling av uppgifter från regi- stret och därmed också minskade kostnader för berörda aktörer.

9.3.3Förslaget om att ta bort bestämmelser som ger vissa myndigheter möjlighet att ha direktåtkomst i dag

Utredningen föreslår att bestämmelserna som ger IVO, Transport- styrelsen och offentliga vårdgivare möjlighet att ha direktåtkomst till uppgifter i HOSP-registret tas bort. Eftersom Socialstyrelsen förväntas besluta att medge dessa myndigheter elektronisk tillgång till uppgifter i samma utsträckning som enligt nuvarande reglering, när den tillgång som föreslås till vissa uppgifter på internet inte bedöms tillräcklig, bedöms förslaget inte få några beaktansvärda konse- kvenser för de berörda myndigheterna eller för de registrerade. Det förväntas inte heller medföra några kostnadsökningar, förutom för det initiala beslutsfattandet som berörs i avsnitt 9.3.2.

9.3.4Förslaget om att ta bort möjligheten till regelmässigt utlämnande på medium för automatiserad behandling

Utredningen föreslår att Socialstyrelsens möjlighet till regelmässigt utlämnande på medium för automatiserad behandling tas bort. Socialstyrelsen ska dock i enstaka fall få lämna ut uppgifter i HOSP- registret genom annat elektroniskt utlämnande än direktåtkomst utan föregående samråd med Integritetsskyddsmyndigheten. Detta innebär att Socialstyrelsen på samma sätt som i dag t.ex. kommer att kunna besvara enstaka manuellt gjorda förfrågningar om innehållet i

267

Konsekvenser av förslagen

SOU 2021:39

registret genom mejl utan att först samråda med Integritetsskydds- myndigheten och fatta ett formellt beslut.

Förslaget kan medföra konsekvenser för de myndigheter och andra aktörer som Socialstyrelsen i dag regelmässigt lämnar ut upp- gifter ur HOSP-registret till på medium för automatiserad behand- ling. För myndigheter och vårdgivare kommer eventuella negativa konsekvenser att begränsas av utredningens förslag i avsnitt 7.6 som ger möjlighet att genom en sökfunktion på internet kon- trollera behörighet. För myndigheter och vårdgivare föreslås dess- utom i avsnitt 8.3.2, i de fall detta inte är tillräckligt, en möjlighet för Socialstyrelsen att medge dem elektronisk tillgång till uppgifter i HOSP-registret.

Förslaget främjar flexibilitet och förväntas tillsammans med övriga förslag bidra till en effektivare hantering. Det förväntas inte medföra några kostnader, förutom för det initiala beslutsfattande som berörs i avsnitt 9.3.2.

9.3.5Förslagen om nya ändamål för HOSP-registret

Utredningen lämnar flera förslag som innebär att uppgifterna i HOSP-registret får behandlas för nya ändamål. Gemensamt för för- slagen är att de är nödvändiga för att vissa svenska myndigheter ska kunna fullgöra sina uppdrag. De som berörs av förslagen är, förutom de registrerade, Socialstyrelsen, Läkemedelsverket och E-hälsomyn- digheten. Förslagen förväntas inte i sig medföra några negativa eko- nomiska konsekvenser.

Inte heller för de registrerade bedömer utredningen att förslagen kommer att innebära några negativa konsekvenser. Konsekvenserna för den personliga integriteten berörs i avsnitt 7.4, 7.5 och 8.7.

9.3.6Andra konsekvenser

Utredningen gör i avsnitt 9.3.1 bedömningen att förslaget om att Socialstyrelsen får medge myndigheter och vårdgivare elektronisk tillgång inte får några konsekvenser för den kommunala självstyrel- sen. Det bedöms inte heller övriga förslag gällande HOSP-registret får några konsekvenser för den kommunala självstyrelsen.

268

SOU 2021:39

Konsekvenser av förslagen

Förslagen bedöms inte få några konsekvenser när det gäller syssel- sättningen, jämställdheten mellan kvinnor och män eller möjligheten att nå de integrationspolitiska målen. Förslagen förväntas bidra till en effektivare offentlig service i hela landet, samt i ett längre perspektiv ha vissa positiva effekter för brottsligheten och det brottsföre- byggande arbetet, särskilt i förhållande till bidragsbrottsligheten.

269

10Ikraftträdande och övergångsbestämmelser

Utredningens förslag: Lagändringarna om ombuds elektroniska tillgång till patientuppgifter och sammanhållen vård- och omsorgs- dokumentation träder i kraft den 1 juli 2022.

Författningsändringarna i förordningen (2006:196) om register över hälso- och sjukvårdspersonal och offentlighets- och sekretess- förordningen (2009:641) träder i kraft den 1 januari 2023.

Utredningens bedömning: Det behövs inga övergångsbestäm- melser.

10.1Förslagen om ombuds elektroniska tillgång till patientuppgifter och sammanhållen vård- och omsorgsdokumentation

Det är frivilligt för vård- och omsorgsgivare att, i enlighet med patientens eller omsorgsmottagarens medgivande, ge någon utanför hälso- och sjukvården respektive socialtjänsten som denne känner personligen elektronisk tillgång till patientuppgifter respektive sammanhållen vård- och omsorgsdokumentation. Vård- och omsorgs- givare kan således välja om de vill tillämpa regelverket efter att bestämmelserna har trätt i kraft. Förslagen förenas inte med några obligatoriska krav. Utredningen föreslår att det elektroniska utläm- nandet till en annan fysisk person får göras med samma teknik som får användas för sådant utlämnande som ger patienten eller omsorgs-

271

Ikraftträdande och övergångsbestämmelser

SOU 2021:39

mottagaren tillgång till sina egna uppgifter.1 En möjlighet till elek- tronisk tillgång för patienten finns i dag enligt patientdatalagen. När det gäller hälso- och sjukvården bör det därför i många fall redan finnas tekniska lösningar på plats som är möjliga att anknyta till.

I delbetänkandet föreslog utredningen att lagändringarna, dvs. lagen (0000:000) om sammanhållen vård- och omsorgsdokumen- tation och kvalitetsuppföljning samt följdändringar i annan lagstift- ning ska träda i kraft den 1 juli 2022. Utredningen ansåg att det var angeläget att lagändringarna kan träda i kraft relativt snart, bl.a. för att skapa incitament för regioner, kommuner och företag att börja tillämpa dem.2 Motsvarande argument gäller enligt utredningen även för nu aktuella förslag. Det gäller bara en mindre lagändring som anknyter till befintlig lagstiftning och har ett nära samband med utredningens tidigare lämnade förslag. Av de skälen framstår det lämpligt om nu aktuella förslag kan träda i kraft samtidigt som utred- ningens tidigare lämnade förslag.

Utredningen föreslår därför att bestämmelserna om ombuds elek- troniska tillgång till patientuppgifter och sammanhållen vård- och omsorgsdokumentation samt de följdändringar som föreslås, träder i kraft den 1 juli 2022.

Det blir frivilligt att från och med ikraftträdandet tillämpa bestäm- melserna. Det bedöms inte behövas några särskilda övergångsbestäm- melser i denna del.

10.2Förslagen om elektronisk tillgång till HOSP- registret

De förslag som lämnas i fråga om tillgång till HOSP-registret på internet syftar till att öka den elektroniska tillgången till uppgifterna

iregistret för att underlätta kontrollen av hälso- och sjukvårds- personalens behörighet. Det övergripande syftet är alltså att öka patientsäkerheten. Utöver detta förväntas ett genomförande av för- slagen medföra att Socialstyrelsens hantering av förfrågningar om uppgifter i HOSP-registret bli enklare och snabbare, vilket har efter-

1Jfr utredningens förslag till ändring i 5 kap. 5 § patientdatalagen (2008:355) respektive 2 kap.

13§ lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsupp- följning (SOU 2021:4). Det föreslås att utlämnande får ske genom direktåtkomst eller annat elektroniskt utlämnande.

2Se SOU 2021:4 s. 727.

272

SOU 2021:39

Ikraftträdande och övergångsbestämmelser

frågats. Utredningen anser därför att det är angeläget att författnings- ändringarna kan träda i kraft så fort som möjligt.

De förslag som lämnas i fråga om annan elektronisk tillgång till HOSP-registret har direkt påverkan på berörda myndigheters elek- troniska tillgång till uppgifter i HOSP-registret. Den elektroniska tillgången är nödvändig och viktig. Syftet med förslagen är inte att hindra eller försämra den elektroniska tillgång som vissa myndig- heter i dag har till uppgifterna, utan att förbättra tillgången så att motsvarande tillgång kan ges på ett säkrare sätt. Det är därför viktigt att det finns tillräckligt med tid före ikraftträdandet för att säker- ställa att den elektroniska tillgången till uppgifterna i registret är kontinuerlig och att det inte uppstår ett glapp i tillgången till upp- gifter till följd av ändringarna. Då förslagen kräver viss administ- ration kring beslutsfattandet och att vissa tekniska lösningar finns på plats vid ikraftträdandet gör utredningen, efter samråd med Social- styrelsen, bedömningen att ett ikraftträdande är möjligt först om cirka ett och ett halvt år. Enligt utredningen finns det inget som hindrar att det förberedande arbetet såväl med de tekniska lösningarna som samråd med Integritetsmyndigheten påbörjas så fort regeringen utfärdat författningsändringarna. Inget hindrar heller att Socialstyrel- sen efter utfärdandet av förordningsändringarna beslutar om den elek- troniska tillgång som får finnas från och med ikraftträdandet. Författ- ningsändringarna föreslås träda i kraft den 1 januari 2023.

Inte heller i denna del behövs det några övergångsbestämmelser för de bestämmelser som utredningen föreslår. De nya bestäm- melserna bör kunna tillämpas omedelbart vid ikraftträdandet på de uppgifter som redan finns i registret liksom på nya uppgifter som därefter tillförs registret.

Inte heller i övrigt krävs det någon övergångsreglering.

273

11 Författningskommentar

11.1Förslaget till lag om ändring i patientdatalagen (2008:355)

5 kap.

Direktåtkomst eller annat elektroniskt utlämnande1

4 § Utlämnande genom direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning.

Om en region eller en kommun bedriver hälso- och sjukvård genom flera myndigheter, får en sådan myndighet ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet i samma region eller kommun.

Ytterligare bestämmelser om direktåtkomst och annat elektro- niskt utlämnande finns i 5 och 5 a §§ samt i 2 kap. och 4 kap. 11 § lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.

Paragrafen reglerar när direktåtkomst är tillåtet inom hälso- och sjukvården. Övervägandena finns i avsnitt 6.4.

Paragrafens tredje stycke upplyser om att det finns ytterligare bestämmelser om direktåtkomst och annat elektroniskt utlämnande bl.a. i 5 a §.

5 a § Om den enskilde medger det får en vårdgivare ge en annan fysisk person som den enskilde uppger sig känna personligen tillgång genom direktåtkomst eller annat elektroniskt utlämnande till sådana

1I lydelse enligt förslag i delbetänkandet Informationsöverföring inom vård och omsorg, SOU 2021:4. Kommentaren avser de ytterligare ändringar som utredningen föreslår i sitt del- betänkande i förhållande till det ändringsförslag som lämnats i delbetänkandet.

275

Författningskommentar

SOU 2021:39

uppgifter som avses i 5 § första stycket. Sådan tillgång ska på den en- skildes begäran kunna begränsas till uppgifter registrerade efter ett visst datum eller vid en viss vårdenhet.

Om någon inom hälso- och sjukvårdspersonalen får anledning att misstänka att den enskildes medgivande enligt första stycket inte ger uttryck för den enskildes fria vilja eller att den enskilde varaktigt inte längre är i stånd att lämna ett medgivande enligt första stycket, är denne skyldig att genast anmäla detta till den vårdgivare som gett tillgången. Motsvarande gäller om misstanken avser att den enskilde inte känner den som fått tillgång personligen.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid sådan direktåtkomst eller annat elektroniskt utlämnande som avses i första stycket.

Paragrafen är ny. Den reglerar vårdgivares möjlighet att, i enlighet med patientens medgivande, ge någon utanför hälso- och sjukvården elektronisk tillgång till patientuppgifter om patienten. Övervägan- dena finns i avsnitt 6.4.

Det är frivilligt för vårdgivaren att ge den elektroniska tillgång som avses i paragrafen. Eftersom det rör sig om en frivillig bestäm- melse, finns det aldrig någon skyldighet för vårdgivaren att göra patientuppgifter elektroniskt tillgängliga för en annan fysisk person, även om patienten begärt detta.

Första stycket

Ombudet får som mest ha elektronisk tillgång till samma uppgifter som patienten

Vårdgivare får medge elektronisk tillgång till sådana uppgifter om patienten som får lämnas ut till honom eller henne och som behandlas för ändamålet vårddokumentation. Vårdgivaren får också under samma förutsättningar medge elektronisk tillgång till sådan doku- mentation som avses i 4 kap. 3 § första stycket första meningen, dvs. uppgifter om den åtkomst till uppgifter som förekommit om patien- ten(logglistor) (5 § och 4 kap. 3 § första stycket första meningen). Den som patienten genom sitt medgivande har utsett (ombudet) får således ha elektronisk tillgång till de uppgifter om patienten som

276

SOU 2021:39

Författningskommentar

patienten själv får ha sådan tillgång till. Detta är de uppgifter som ombudet maximalt får ges elektronisk tillgång till. Det finns inget som hindrar att vårdgivaren väljer att ge ombudet elektronisk till- gång till färre uppgifter.

Patienten kan begränsa sitt medgivande när det gäller vilka upp- gifter som får omfattas av ombudets elektroniska tillgång. Vilka upp- gifter som denne får ha elektronisk tillgång till är således beroende av hur patientens medgivande är utformat, se nedan under rubriken Begränsning till uppgifter registrerade efter ett visst datum eller vid en viss vårdenhet.

Den som patienten genom sitt medgivande har utsett får inte ges elektronisk tillgång till sådana uppgifter som omfattas av sekretess i förhållande till patienten själv. Om det i undantagsfall förekommer sådana uppgifter, kan patienten framställa en begäran om att få ta del av allmänna handlingar och samtidigt lämna sitt medgivande till att sådana uppgifter lämnas ut till den patienten utsett.

Ombudet ska vara en fysisk person som patienten uppger sig känna personligen

Den som ges elektronisk tillgång, ska vara en person som patienten uppger att den känner personligen. Med ”känna personligen” avses någon sorts relation i patientens privata sfär. Det kan t.ex. handla om en familjemedlem, en bekant, en granne eller någon annan person som patienten anser sig känna personligen. Det ställs inte några när- mare krav på vad det innebär att känna någon personligen. Det är ytterst patienten som får avgöra om den vill uppge att den känner någon personligen.

Det är bara en fysisk person som patienten uppger sig känna personligen som får ges elektronisk tillgång. Juridiska personer får således inte ges någon elektronisk tillgång enligt paragrafen.

Legala ställföreträdare i form av gode män eller förvaltare kan ha möjlighet att ta del av huvudmannens patientuppgifter redan i egen- skap av legal ställföreträdare. Det finns dock inget hinder mot att en person, som anser att den känner sin gode man eller förvaltare person- ligen, medger att denne får elektronisk tillgång trots att personen yrkesmässigt är t.ex. god man.

Det finns inget hinder mot att en patient medger flera personer samtidigt elektronisk tillgång. Man kan t.ex. tänka sig att en äldre

277

Författningskommentar

SOU 2021:39

person med flera vuxna barn vill ge samtliga barn elektronisk till- gång. Vårdgivare har dock ingen skyldighet att ge sådan tillgång. Under förutsättning att gällande krav på saklighet och opartiskhet iakttas kan vårdgivare ta fram rutiner för hur tilldelning av elek- tronisk tillgång ska gå till och kan exempelvis välja att införa rutiner för hur många personer som samtidigt får medges elektronisk till- gång till en och samma patients uppgifter.

Vårdgivaren behöver inte göra någon kontroll eller lämna ett god- kännande i det enskilda fallet för att en annan fysisk person ska kunna ges elektronisk tillgång till patientuppgifterna. Det som krävs är att patienten uppger sig känna denne personligen. Det ställs inga formkrav för hur patienten ska göra detta. I praktiken torde det kunna ske exempelvis genom en kryssruta i webb-gränssnittet där patienten kan kryssa i att den känner den andra fysiska person personligen.

Vårdgivaren bör kontrollera att inte en och samma person har elektronisk tillgång till för många patienters uppgifter. I sådana fall bör vårdgivaren undersöka detta och överväga om personens elek- troniska tillgång bör avslutas.

Patientens medgivande

Förutsättningen för att ge en annan fysisk person elektronisk till- gång till patientuppgifter är att patienten vill detta. Patientens vilja ska manifesteras genom att patienten lämnar sitt medgivande. Med medgivande menas den sorts medgivande (samtycke) som en enskild kan lämna enligt 12 kap. 2 § offentlighets- och sekretesslagen (2009:400). Medgivandet medför att patienten häver den sekretess som annars råder för patientuppgifterna, till förmån för den person som patienten utsett. Det brukar även kallas att lämna sitt samtycke. Här används dock begreppet medgivande, för att inte förväxla det med begreppet samtycke som används i dataskyddsförordningen som rättslig grund för att behandla personuppgifter.

Det finns inte några formkrav för hur en patient får lämna sitt medgivande. Det viktiga är att den utlämnande vårdgivaren är säker på att det verkligen rör sig om patientens medgivande. Det finns tek- niska möjligheter att säkerställa att det är patientens medgivande genom stark autentisering. Exempelvis kan man tänka sig att patien- ten loggar in med sitt mobila bank-id och kryssar i en ruta att den

278

SOU 2021:39

Författningskommentar

lämnar sitt medgivande, samt i förekommande fall, kryssar i om med- givandet begränsas till uppgifter registrerade efter ett visst datum eller vid en viss vårdenhet. Detta kan även tänkas ske genom att visa upp en av patienten undertecknad skriftlig handling.

Patienten kan när som helst ta tillbaka sitt medgivande. Det ankommer på vårdgivaren att säkerställa att patienten på ett enkelt och säkert sätt kan återkalla medgivandet. Exempelvis bör det kunna ske genom att personen loggar in genom att legitimera sig med bank-id eller motsvarande och meddelar att medgivandet återkallas genom att kryssa i (eller ur) en ruta. Då ska den elektroniska tillgången till patientuppgifter omedelbart avslutas. Vårdgivaren bör även se till att en patient kan kontakta vårdgivaren på andra sätt för att meddela att denne inte längre vill att någon ska ha elektronisk tillgång. Det är lämp- ligt att vårdgivare ser till att det finns möjlighet att lämna sitt med- givande, och att återkalla medgivandet, utan att detta i sig kräver att patienten själv använder bank-id eller motsvarande tekniska lösningar.

Avgörande för att kunna lämna ett medgivande är att man förstår vad saken handlar om och vad man gör. Medgivandet ska vara aktuellt, relevant och specifikt. Många patienter, som på grund av hög ålder eller funktionsnedsättningar har svårt att ta till sig viss information, lär ändå ha förmågan att ge uttryck för att de vill att en viss annan person ska få elektronisk tillgång till patientuppgifterna. Personer med allvarligt nedsatt beslutsförmåga kan normalt inte lämna ett giltigt medgivande till elektronisk tillgång. I de fallen kan bestäm- melsen inte tillämpas.

Den omständigheten att patientens beslutsförmåga, efter med- givandet, blir varaktigt nedsatt medför inte i sig att den elektroniska tillgången behöver avslutas. Däremot bör vårdgivaren i den situa- tionen bedöma om det fortfarande är patientens aktuella och fria vilja att personen har elektronisk tillgång. Om det finns anledning att misstänka att patienten varaktigt inte längre är i stånd att lämna ett medgivande, ska hälso- och sjukvårdspersonalen anmäla detta till vårdgivaren. Vårdgivaren bör då försöka undersöka hur patienten ställer sig till den elektroniska tillgången. Om det inte framkommer något som tyder på att patienten skulle vilja återkalla medgivandet, finns det ingen anledning att avsluta den elektroniska tillgången. Om däremot patienten i sitt nuvarande tillstånd visar ett avståndstagande eller direkt motvilja mot den som getts elektronisk tillgång, kan det vara ett tecken på att inställningen till den elektroniska tillgången

279

Författningskommentar

SOU 2021:39

ändrats. Då kan det finnas anledning att avsluta den elektroniska tillgången. Se även nedan under rubriken Skyldighet att anmäla vid misstanke om att förutsättningarna inte är uppfyllda. Om patienten senare ändrar sin inställning till den som haft elektronisk tillgång och åter visar förtroende för denne, kan det finnas anledning att åter ge personen elektronisk tillgång med stöd av det tidigare lämnade med- givandet, förutsatt att det inte har återkallats.

Ett barn som förstår vad saken gäller, och som har rätt att självt disponera sina sekretesskyddade patientuppgifter, har möjlighet att lämna sitt medgivande. Ett barn kan alltså medge att någon, som barnet anser sig känna personligen, får elektronisk tillgång till barnets patientuppgifter. Allt större hänsyn ska tas till barnets önskemål utifrån barnets stigande ålder och mognad på motsvarande sätt som i övrigt inom hälso- och sjukvården. Det måste dock beaktas att barnet självt måste kunna disponera sekretessen enligt offentlighets- och sekretesslagen respektive tystnadsplikten enligt patientsäker- hetslagen, för att kunna lämna ett medgivande enligt bestämmelsen.

Den elektroniska tillgången får ges genom direktåtkomst eller annat elektroniskt utlämnande

Elektronisk tillgång för den som patienten utsett får ges genom direktåtkomst eller annat elektroniskt utlämnande. Vårdgivare kan alltså använda samma tekniska lösning för ombuds tillgång till upp- gifter om patienten som för patientens egen tillgång till uppgifter om sig själv enligt 5 kap. 5 § patientdatalagen.2

För innebörden av ”annat elektroniskt utlämnande”, se kapitel 3 i detta betänkande. Se även delbetänkandet Informationsöverföring inom vård och omsorg (SOU 2021:4), kommentaren till 2 kap. 2 § lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning och avsnitt 16.3.2.

2I den lydelse som utredningen föreslagit i sitt delbetänkande Informationsöverföring inom vård och omsorg, som innebär att 5 kap. 5 § patientdatalagen omfattar direktåtkomst eller annat elektroniskt utlämnande.

280

SOU 2021:39

Författningskommentar

Begränsning till uppgifter registrerade efter ett visst datum eller vid en viss vårdenhet

Av bestämmelsens första stycke andra meningen framgår att patienten ska kunna begränsa sitt medgivande till uppgifter registrerade efter ett visst datum eller vid en viss vårdenhet. Den som vill att anhöriga bara ska kunna följa det aktuella vårdförloppet, t.ex. hur det går med en större operation, kan begränsa medgivandet till uppgifter registre- rade efter intagningen på sjukhuset och vid den aktuella kliniken. Patienten kan också förhindra elektronisk tillgång till uppgifter regi- strerade inom t.ex. psykiatrin eller förlossningsvården. Begräns- ningarna i tiden och till en vårdenhet ska kunna göras för varje utsedd person för sig. Har man flera olika personer som ombud kan dessa således ges elektronisk tillgång till olika patientuppgifter.

Det är vårdgivaren som bestämmer vilka vårdenheter denne har. Ledning kring vad som avses med vårdenhet kan hämtas från Social- styrelsens termbank. Där beskrivs vårdenhet som organisatorisk enhet som tillhandahåller hälso- och sjukvård.

Bestämmelsen hindrar inte att vårdgivaren respekterar andra typer av begränsade medgivanden än vad som föreskrivs i bestäm- melsen. Det står vårdgivaren fritt att, om den så önskar och har tekniska möjligheter, exempelvis ta hänsyn till om patienten vill undanta vissa typer av känsliga uppgifter, t.ex. sådana som rör psykisk ohälsa eller missbruk, eller patientuppgifter som registrerats under andra typer av tidsintervaller. Någon skyldighet finns dock inte att respektera andra typer av begränsningar, än de som bestämmelsen föreskriver. Innehåller medgivandet sådana andra begränsningar som vårdgivaren inte vill eller kan respektera, måste den elektroniska till- gången avslutas.

Andra stycket

Skyldighet att anmäla vid misstanke om att förutsättningarna inte är uppfyllda

Hälso- och sjukvårdspersonal är skyldig att till vårdgivaren genast anmäla misstankar om att patientens medgivande inte ger uttryck för dennes fria vilja. Så kan t.ex. vara fallet om vårdpersonal får indika- tioner på att en anhörig uppträder hotfullt mot patienten, eller vice

281

Författningskommentar

SOU 2021:39

versa, eller försöker få insyn i patientens förhållande på ett otill- börligt sätt. Med ”genast” avses att en anmälan ska göras så snart det är möjligt, närhelst en misstanke uppstår. Något särskild tidsgräns finns inte föreskriven. Hälso- och sjukvårdspersonal som exempelvis vid ett vårdmöte får anledning till sådan misstanke, ska så snart det är möjligt anmäla detta så att det kommer till vårdgivarens känne- dom. Därmed får vårdgivaren möjlighet att utreda om misstanken är befogad och överväga om den elektroniska tillgången ska avslutas.

På motsvarande sätt är hälso- och sjukvårdspersonal skyldig att till vårdgivaren genast anmäla om det uppstår misstankar om att patienten inte känner den som getts elektronisk tillgång personligen. Sådana indikationer kan exempelvis vara om hälso- och sjukvårds- personal får kännedom om att patienten gett någon inom hälso- och sjukvårdspersonalen, en enskild näringsidkare eller en forskare elek- tronisk tillgång till sina patientuppgifter. En sådan anmälan gör det möjligt för vårdgivaren att utreda om patientens uppgift om att denne känner den fysiska personen är riktig och överväga om den elektroniska tillgången ska avslutas. Även genom kontroller av vilka fysiska personer som getts elektronisk tillgång till patienters upp- gifter kan vårdgivaren få indikationer på att patienterna inte känner den som getts elektronisk tillgång personligen. Om en fysisk person getts elektronisk tillgång till många patienters uppgifter, kan det tyda på att det finns kommersiella eller andra intressen som ligger bakom den elektroniska tillgången, vilket bör föranleda att den elek- troniska tillgången avslutas.

Det kan även inträffa att den som lämnat ett medgivande senare blir varaktigt oförmögen att ta tillbaka medgivandet. För att vård- givaren ska uppmärksamma att så har blivit fallet och kunna överväga om den elektroniska tillgången bör fortsätta är hälso- och sjukvårds- personalen skyldig att anmäla misstankar om att patienten varaktigt inte längre kan lämna ett medgivande, dvs. har blivit varaktigt beslutsoförmögen. Det kan t.ex. handla om en äldre patient vars till- stånd ändrats och som nu uttrycker att den inte längre vill att barnen ska ha elektronisk tillgång till patientuppgifterna. Det kan även vara fråga om en patient som blivit dement och inte längre känner igen sina släktingar, och ger uttryck för att den inte vill ha med dessa att göra. Om sådan information kommer till hälso- och sjukvårdsperso- nalens kännedom, kan omständigheterna vara sådana att en anmälan bör göras.

282

SOU 2021:39

Författningskommentar

Tredje stycket

Föreskrifter om säkerhetsåtgärder

I tredje stycket finns en upplysning om att regeringen, eller den myndighet som regeringen bestämmer, kan meddela föreskrifter om vilka krav på säkerhetsåtgärder som ska gälla vid tillgång genom direktåtkomst eller annat elektroniskt utlämnande. Åtkomst genom direktåtkomst eller annat elektroniskt utlämnande förutsätter att det finns tillräckligt säkra tekniska lösningar för att säkerställa identi- fieringen av den som lämnar medgivandet och den som får tillgång till uppgifterna. Det måste också finnas tekniska lösningar att spärra uppgifter som inte får lämnas ut till ombudet på grund av att sekre- tess gäller i förhållande till patienten.

11.2Ändring i förslaget till lag (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning3

2 kap.

13 § En vård- eller omsorgsgivare får medge en patient eller omsorgs- mottagare tillgång genom direktåtkomst eller annat elektroniskt utlämnande till sådana uppgifter om patienten eller omsorgsmot- tagaren själv som får lämnas ut till honom eller henne och som en annan vård- eller omsorgsgivare får ha tillgång till enligt 3 §. Patien- ten eller omsorgsmottagaren får också medges tillgång genom direktåtkomst eller annat elektroniskt utlämnande till sådan doku- mentation som avses i 15 § första stycket.

Paragrafen föreslogs i delbetänkandet (SOU 2021:4) och över- vägandena finns i avsnitt 16.13 i delbetänkandet. Ändringen innebär, i förhållande till det förslag som lämnades i delbetänkandet, att andra och tredje styckena tagits bort. Bestämmelserna i nuvarande andra och tredje styckena har i sak oförändrade tagits in i 13 b §. I fråga om innebörden av bestämmelsen i övrigt hänvisas till författnings- kommentaren till 2 kap. 13 § första stycket i delbetänkandet.

3Kommentarerna avser ändringar i förhållande till den lydelse som föreslagits i SOU 2021:4.

283

Författningskommentar

SOU 2021:39

13 a § Om patienten eller omsorgsmottagaren medger det får en vård- eller omsorgsgivare ge en annan fysisk person som patienten eller omsorgs- mottagaren uppger sig känna personligen tillgång genom direktåtkomst eller annat elektroniskt utlämnande till sådana uppgifter som avses i 13 §. Sådan tillgång ska på patientens eller omsorgsmottagarens begäran kunna begränsas till uppgifter registrerade efter ett visst datum eller vid en viss organisatorisk enhet.

Om någon inom hälso- och sjukvårdspersonalen eller som utför arbetsuppgifter inom socialtjänsten får anledning att misstänka att patientens eller omsorgsmottagarens medgivande enligt första stycket inte ger uttryck för patientens eller omsorgsmottagarens fria vilja eller att patienten eller omsorgsmottagaren varaktigt inte längre är i stånd att lämna ett medgivande enligt första stycket, är denne skyldig att genast anmäla detta till den vård- eller omsorgsgivare som gett tillgången. Motsvarande gäller om misstanken avser att patienten eller omsorgs- mottagaren inte känner den som fått tillgång personligen.

Paragrafen är ny. Den reglerar vård- och omsorgsgivares möjlighet att, i enlighet med patientens eller omsorgsmottagarens medgivande, ge någon utanför hälso- och sjukvården och socialtjänsten elektro- nisk tillgång till sammanhållen vård- och omsorgsdokumentation om patienten eller omsorgsmottagaren, som den aktuella vård- eller omsorgsgivaren registrerat. Övervägandena finns i avsnitt 6.5 med hänvisningar till 6.4.

Bestämmelsen har motsvarande innebörd och utformning som bestämmelsen om ombuds elektroniska tillgång i 5 kap. 5 a § patient- datalagen. Här är det dock i stället uppgifter som ingår i sammanhållen vård- och omsorgsdokumentation och beskrivs i 13 § som omfattas.

Eftersom bestämmelsen har motsvarande utformning som 5 kap. 5 a § patientdatalagen hänvisas till den utförliga författningskom- mentaren ovan till 5 kap. 5 a § patientdatalagen för hur bestäm- melsen ska tillämpas med följande tillägg. Sammanhållen vård- och omsorgsdokumentation är ett system som ger verksamheter inom socialtjänsten som avser äldre eller personer med funktionsnedsätt- ningar och hälso- och sjukvården tillgång till varandras vård- och omsorgsdokumentation genom direktåtkomst eller annat elektro- niskt utlämnande. För den närmare innebörden av sammanhållen vård-och omsorgsdokumentation hänvisas till kapitel 16 i delbetän- kandet Informationsöverföring inom vård och omsorg (SOU 2021:4).

284

SOU 2021:39

Författningskommentar

Där förklaras ingående vad som avses med omsorgsmottagare, omsorgsgivare, vilka uppgifter som får ingå i sammanhållen vård- och omsorgsdokumentation och vilka insatser som omfattas.

Det är socialtjänstens uppgifter om äldre och personer med funk- tionsnedsättningar som får vissa insatser, som får ingå i samman- hållen vård- och omsorgsdokumentation. Den fysiska person som patientens eller omsorgsmottagarens medgivande avser, får således ges elektronisk tillgång till den sammanhållna vård- och omsorgs- dokumentationen, oavsett om uppgifterna härrör från hälso- och sjukvårdens eller från socialtjänstens dokumentation.

Avsikten med bestämmelsen är att den ska ge vård- och omsorgs- givare möjlighet att ge någon utanför hälso- och sjukvården och socialtjänsten elektronisk tillgång till uppgifter i dokumentation som just den aktuella vård- eller omsorgsgivaren registrerat och som finns tillgänglig för andra vård- och omsorgsgivare i systemet för sammanhållen vård- och omsorgsdokumentation. Sådan elektronisk tillgång kan inkludera tillgång till dokumentation som en vård- eller omsorgsgivare tagit del av hos en annan vård- och omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation och sedan själv registrerat i sin egen vård- eller omsorgsdokumentation i systemet.

Till skillnad från bestämmelsen i 5 kap. 5 a § patientdatalagen, där uttrycket ”enskild” anges, används här ”patienten eller omsorgsmot- tagaren”. Detta anknyter till de uttryck som används i bestämmel- serna om sammanhållen vård- och omsorgsdokumentation. Det krävs inte att personen har en aktuell patientrelation eller en på- gående omsorgsinsats för att kunna lämna sitt medgivande till att en annan fysisk person som denne känner personligen får elektronisk tillgång till uppgifterna.

Till skillnad från bestämmelsen i 5 kap. 5 a § patientdatalagen, där begreppet ”vårdenhet” anges, används här ”organisatorisk enhet”. Det är vårdgivaren respektive omsorgsgivaren som själv avgör vilka organi- satoriska enheter den har och gränserna mellan dem.

13 b § I 5 kap. 5 och 5 a §§ patientdatalagen (2008:355) finns det ytterligare bestämmelser om elektronisk tillgång för patienten och andra till uppgifter hos vårdgivare om patienten själv.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om de krav på

285

Författningskommentar

SOU 2021:39

säkerhetsåtgärder som ska gälla vid sådan direktåtkomst eller annat elektroniskt utlämnande som avses i 13 och 13 a §§.

Paragrafen är ny. Paragrafen motsvarar i huvudsak förslaget till 2 kap. 13 § andra och tredje styckena i delbetänkandet (SOU 2021:4). Innehållet har dock kompletterats med en erinran i första stycket om att det i patientdatalagen finns ytterligare bestämmelser om ombuds elektroniska tillgång till uppgifter hos vårdgivare om patienten själv som gäller oavsett om vårdgivaren deltar i sammanhållen vård- och omsorgsdokumentation eller inte. I fråga om innebörden av andra stycket hänvisas till författningskommentaren till 2 kap. 13 § andra stycket i delbetänkandet.

286

Bilaga 1

Kommittédirektiv 2019:37

Översyn av vissa frågor som rör personuppgiftshantering i socialtjänst- och hälso- och sjukvårdsverksamhet

Beslut vid regeringssammanträde den 27 juni 2019

Sammanfattning

En särskild utredare ska utreda och lämna förslag som rör person- uppgiftshantering inom och mellan socialtjänst och hälso- och sjukvård.

Utredaren ska bl.a. se över möjligheterna

att införa direktåtkomst inom och mellan vissa verksamheter i socialtjänst och hälso- och sjukvård,

till en utvidgad informationsöverföring för kvalitetsutveckling mellan bl.a. vårdgivare i hälso- och sjukvård och kommunala nämnder,

att införa sekretessbrytande bestämmelser för viss personupp- giftshantering i socialtjänst och hälso- och sjukvård, och

att ge ombud åtkomst till patientjournal.

Uppdraget ska slutredovisas senast den 31 maj 2021. Ett delbetän- kande som rör samtliga utredningsfrågor utom ombuds åtkomst till patientjournal och uppkomna frågeställningar för fortsatt utredning ska dock lämnas senast den 17 januari 2021.

287

Bilaga 1

SOU 2021:39

Bakgrund

Strukturförändringar inom socialtjänsten och hälso- och sjukvården

Socialtjänsten och hälso- och sjukvården har under de senaste decen- nierna genomgått strukturförändringar av olika slag. Två tydliga sådana är ökningen av andelen olika aktörer som är verksamma inom sektorerna, och den demografiska förändringen med en ökande andel äldre i befolkningen.

Fler olika utförare av verksamheterna än tidigare

Kommuner och landsting har ansvar för verksamheterna inom social- tjänsten respektive hälso- och sjukvården. Med socialtjänst avses i dessa direktiv främst sådan verksamhet som regleras genom bestäm- melser i socialtjänstlagen (2001:453), förkortad SoL, lagen (1990:52) med särskilda bestämmelser om vård av unga, lagen (1988:870) om vård av missbrukare i vissa fall och lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS, samt personlig assistans som utförs med assistansersättning som regleras i 51 kap. socialförsäkringsbalken (2010:110). Socialtjänsten omfattar flera mål- grupper, varav endast vissa är aktuella i det här direktivet. Med hälso- och sjukvård menas i dessa direktiv sådan verksamhet som definieras i 2 kap. 1 § hälso- och sjukvårdslagen (2017:30).

Kommuner och landsting ska organisera verksamheten när det gäller att driva socialtjänsten eller hälso- och sjukvården i egen regi eller att använda sig av privata utförare. Utvecklingen inom lands- tingen de senaste årtiondena visar att andelen verksamhet som utförs privat har ökat från 10 procent 2006 till 16 procent 2016 (räknat till kostnaderna för verksamheten). Det är dock stora regionala skill- nader mellan landstingen. Drygt en fjärdedel av verksamheten i Stockholms läns landsting (SLL) köps in från privata vårdgivare jämfört med Jämtlands läns landsting där drygt 3 procent köps in externt. Skillnaden mellan landstingen när det gäller hur stor andel av verksamheten som lagts på privat vårdgivare återspeglar till viss del i vilken utsträckning som landstinget använder valfrihetssystem enligt lagen (2008:962) om valfrihetssystem (LOV). Utöver utveck- lingen med fler privata vårdgivare hos landstingen så ökade antalet

288

SOU 2021:39

Bilaga 1

digitala vårdgivare som erbjuder vårdtjänster via t.ex. videolänk, chatt, text- eller bildmeddelanden.

Även socialtjänsten utförs av fler olika aktörer än enbart kom- munala myndigheter, bl.a. med stöd av lagen om valfrihetssystem. Ser man till insatser riktade till t.ex. äldre personer som beviljades hemtjänst under 2018 så tog 17 procent av dem emot insatser från en enskild verksamhet. För personer som är yngre än 65 år var ande- len större, nästan 25 procent valde att få sina insatser utförda via enskild verksamhet. Andelen särskilda boenden som drevs via enskild verksamhet var 20 procent. Vad gäller t.ex. daglig verksamhet för per- soner med funktionsnedsättning så drevs nästan 10 procent som enskild verksamhet.

Utöver strukturförändringarna med ett ökat antal olika utförare får kommunernas möjlighet att välja hur man organiserar sina nämnder betydelse för hur verksamheten ser ut. Fullmäktige beslu- tar vilka nämnder som ska finnas inom kommunen och att varje nämnd ska ansvara för ett visst område. Eftersom kommunerna, med några få undantag, själva bestämmer vilka nämnder de vill ha inom kommunen ser organisationen olika ut i olika kommuner. Många kommuner har t.ex. fler än en kommunal nämnd för varje verk- samhetsområde. Införandet av den fria kommunala nämndorganisa- tionen genom 1991 års kommunallag innebar att en del kommuner kom att dela upp socialtjänsten på flera sektorer som organisatoriskt hör till olika nämnder. Det finns exempelvis en geografisk upp- delning på kommundelsnämnder, men det kan också finnas en upp- delning på olika kompetensområden eller utifrån ett beställar- och utförarperspektiv.

En förändrad demografisk situation med en ökande andel äldre

En annan förändring som redan har och kommer att få ännu större påverkan framöver inom såväl socialtjänst som hälso- och sjukvård är den demografiska utvecklingen med en ökande andel äldre i befolkningen. Andelen personer som är 80 år och äldre väntas öka kraftigt de närmaste åren. Denna grupp utgör i dag cirka fem pro- cent av befolkningen men beräknas utgöra cirka nio procent av befolkningen år 2050. Äldre personer har ofta kroniska sjukdomar. Myndigheten för vård- och omsorgsanalys konstaterar i rapporten

289

Bilaga 1

SOU 2021:39

VIP i vården (Rapport 2014:2) att 85 procent av personer över 65 år har minst en kronisk sjukdom.

Äldre personer som beviljats biståndsbedömda insatser med stöd av SoL har ofta omfattande behov av stöd och hjälp med både omsorg och hälso- och sjukvård. Drygt 70 procent av de som är 65 år och äldre och som tar emot vård från den kommunalt finansierade hälso- och sjukvården i ordinärt boende har också beviljats social- tjänstinsatser. En person kan också ta emot socialtjänstinsatser från flera olika utförare, t.ex. hemtjänst och dagverksamhet.

Socialstyrelsen har kartlagt hur den kommunala hälso- och sjuk- vården är organiserad (Kommunalt finansierad hälso- och sjukvård

förstudie, art nr. 2019-2-17). Kartläggningen visar att patienter inom denna typ av vård ofta är sköra och har komplexa hälsoproblem och svåra funktionsnedsättningar samt möter många olika vård- givare och verksamheter. Socialstyrelsen konstaterar i kartlägg- ningen att kontinuiteten i vården och omsorgen är mycket viktig för personers upplevelse av trygghet. De många kontakterna mellan olika vårdgivare eller utförare när en person går över från en verk- samhet till en annan ställer krav på en väl fungerande samverkan för att inte innebära risker i form av t.ex. missförstånd eller avsaknad av information om nästa behandlingssteg. Frågor som rör samordning för gruppen äldre personer har också lyfts i slutbetänkandet Läs mig! Nationell kvalitetsplan för vård och omsorg för äldre personer (SOU 2017:21) från Utredningen om nationell kvalitetsplan för äldreomsorgen och slutbetänkandet Effektiv vård (SOU 2016:2) från utredningen En nationell samordnare för effektivare resurs- utnyttjande inom hälso- och sjukvården.

Digitaliseringsutvecklingen under senare år

Sverige har internationellt sett en hög digitaliseringsgrad. EU gör sedan 2014 årliga mätningar av medlemsstaternas utveckling inom digitaliseringsområdet som publiceras i ett s.k. DESI-index (the Digital Economy and Society Index) som bygger på undersökningar inom fem olika områden, bl.a. tillgången till fast bredband, med- borgarnas digitala kommunikationer samt e-förvaltning och e-hälsa. Sverige har alltid placerat sig bland de tre länder som ligger högst på listan och låg 2018 på andra plats efter Danmark.

290

SOU 2021:39

Bilaga 1

Digitaliseringen erbjuder stora möjligheter för socialtjänsten och hälso- och sjukvården. Modern informations- och kommunikations- teknologi kan underlätta för den enskilde att vara delaktig i sin egen vård och omsorg, stödja kontakten mellan den enskilde och verk- samheterna samt tillhandahålla effektivare stödsystem för med- arbetarna i verksamheterna.

Socialtjänsten har i likhet med andra områden påverkats av digi- taliseringen. Socialstyrelsen följer sedan 2013 användningen av väl- färdsteknik i kommunerna, och myndigheten konstaterar i kart- läggningen för 2019 att allt fler kommuner inför olika typer av väl- färdstekniklösningar (E-hälsa och välfärdsteknik i kommunerna 2019, art nr. 2019-5-10). Andelen kommuner som har e-tjänster för att ansöka om bistånd ökar. Inom äldreomsorgen har 27 procent av kommunerna sådana e-tjänster för bistånd och inom funktions- hindersområdet var andelen 23 procent. Drygt 90 procent av alla trygg- hetslarm är digitala och uppkopplade framförallt via de mobila näten. Socialstyrelsen konstaterar vidare att många kommuner brister i att säkerställa ett fullgott skydd för enskildas känsliga personuppgifter.

Hälso- och sjukvårdsområdet har också integrerat digitala stöd i den dagliga verksamheten. De årliga undersökningar som lands- tingen gör av användningen av it i vården visar bl.a. att all journal- föring inom slutenvården, primärvården och psykiatrin är digital sedan början på 2010-talet (eHälsa i landstingen – augusti 2013).

Digitaliseringen påverkar inte bara verksamheterna utan även patienter och brukare. Sveriges Kommuner och Landstings studier i fråga om invånarnas inställning till digital service i välfärden visar att tre fjärdedelar av invånarna är positivt inställda till att kommuner och landsting kommunicerar digitalt och erbjuder digital service (Invånarnas inställning till digital service i välfärden 2018). Myndig- heten för vård- och omsorgsanalys har studerat befolkningens inställ- ning till nyttjande och skydd av digitala uppgifter om vård och hälsa för olika ändamål (För säkerhets skull. Befolkningens inställning till nytta och risker med digitala hälsouppgifter, rapport 2017:10). Under- sökningen visar på ett högt förtroende för vårdens hantering och skydd av patientinformation. Majoriteten önskade att uppgifterna skulle användas men med ett tillfredsställande integritetsskydd. I undersökningen framkom vidare att man önskade få information om vilka uppgifterna är, hur de används och av vem. De flesta ville att uppgifterna skulle användas för olika ändamål, men många ville

291

Bilaga 1

SOU 2021:39

tillåta detta först efter det att man fått information om användningen samt erbjudits möjlighet att tacka nej eller efter det att man lämnat sitt medgivande.

Reglering av dataskydds- och sekretessfrågor

Internationell nivå – FN, Europarådet och EU

Förenta nationerna (FN) antog 1948 den allmänna förklaringen om de mänskliga rättigheterna. Förklaringen är inte formellt bindande för medlemsstaterna, men ses som ett uttryck för sedvanerättsliga regler. Skyddet för den personliga integriteten behandlas i artikel 12, som anger att ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. I artikel 29 anges att en person endast får underkastas sådana inskränkningar som har fastställts i lag och enbart i syfte att trygga tillbörlig hänsyn till och respekt för andras rättigheter och friheter.

Den europeiska konventionen om skydd för de mänskliga rättig- heterna och de grundläggande friheterna, förkortad Europakon- ventionen, innehåller bestämmelser till skydd för den enskildes rätt till respekt för privat- och familjelivet (art. 8.1). Ytterligare en central konvention är Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter, förkortad dataskydds- konventionen. I denna finns bestämmelser om automatisk databehand- ling av personuppgifter. I anslutning till Europakonventionen antog Europarådets ministerkommitté rekommendationer som gäller be- handling av personuppgifter inom vissa områden. Rekommendatio- nerna är inte direkt bindande. En av rekommendationerna, Recom- mendation No. R (97) 5 of the Committee of Ministers to Member States on the protection of medical data, antogs 1997 i syfte att förtydliga vad som gäller för personuppgifter om hälsa (hälso- uppgifter) enligt artikel 6 i dataskyddskonventionen. Rekommenda- tionen är tillämplig på insamling och automatiserad behandling av hälsouppgifter. Rekommendationen uppdaterades i mars 2019.

Av Europeiska unionens stadga om de grundläggande rättig- heterna, förkortad EU-stadgan, följer att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer och att var och en har rätt till skydd av de personuppgifter som rör

292

SOU 2021:39

Bilaga 1

honom eller henne och att dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund samt att var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem (artiklarna 7 och 8 i EU- stadgan.)

Den 27 april 2016 antogs Europaparlamentets och rådets förord- ning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning), nedan kallad dataskyddsförordningen. Förord- ningen började tillämpas den 25 maj 2018. Personuppgiftslagen (1998:204) upphävdes och ersattes av lagen (2018:218) med kom- pletterande bestämmelser till EU:s dataskyddsförordning, nedan benämnd dataskyddslagen, i samband med att dataskyddsförordningen började tillämpas. Flera anpassningar i olika registerförfattningar gjordes för att tydliggöra att dessa innehåller ytterligare komplet- terande bestämmelser till dataskyddsförordningen och dataskydds- lagen samt för att i övrigt anpassa den nationella lagstiftningen till dataskyddsförordningen.

Reglering som syftar till att säkerställa ett likvärdigt skydd av de grundläggande fri- och rättigheterna, i synnerhet rätten till integri- tet, när det gäller behandling av personuppgifter inom sektorn för elektronisk kommunikation finns även i Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommuni- kation).

Nationell reglering när det gäller hantering av uppgifter om hälsa eller personliga förhållanden

Frågan om myndigheters behandling av personuppgifter på auto- matiserad väg innefattar avvägningar mellan skyddet för den per- sonliga integriteten och andra viktiga samhällsintressen. I regerings- formen, förkortad RF, anges bl.a. att det allmänna ska värna om den enskildes privatliv och familjeliv (1 kap. 2 § fjärde stycket). Var och en är gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär

293

Bilaga 1

SOU 2021:39

övervakning eller kartläggning av den enskildes personliga förhållan- den (2 kap. 6 §). Denna fri- och rättighet kan under vissa förut- sättningar begränsas genom lag (2 kap. 20 och 21 §§).

I offentlighets- och sekretesslagen (2009:400), förkortad OSL, regleras sekretess i det allmännas verksamhet. Sekretess innebär ett förbud att röja en uppgift, vare sig det sker muntligen, genom ut- lämnande av en allmän handling eller på något annat sätt (3 kap. 1 § OSL). Sekretess innebär således en begränsning av både rätten att ta del av allmänna handlingar och yttrandefriheten.

Sekretess gäller inom hälso- och sjukvården för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (25 kap. 1 § OSL). Det finns dock bestämmelser som bryter denna sekretess. Till exempel hindrar inte sekretessen att uppgifter lämnas mellan olika hälso- och sjuk- vårdsmyndigheter inom en kommun eller ett landsting och mellan allmänna och enskilda vårdgivare enligt det som föreskrivs om sammanhållen journalföring i patientdatalagen (25 kap. 11 § 3 OSL). Om den enskilde på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en uppgift lämnas ut, hindrar sekretessen inte heller att en uppgift om honom eller henne som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller inom socialtjäns- ten eller till en enskild vårdgivare eller en enskild verksamhet inom socialtjänstens område (25 kap. 13 § OSL).

När det gäller skyddet för uppgifter som förekommer inom hälso- och sjukvård som bedrivs av enskilda näringsidkare får den som tillhör eller har tillhört sådan verksamhet inte obehörigen röja vad han eller hon i denna verksamhet har fått veta om en enskilds hälso- tillstånd eller andra personliga förhållanden (6 kap. 12 § patient- säkerhetslagen [2010:659]). Motsvarande tystnadsplikt gäller i enskilt bedriven verksamhet enligt SoL, för uppgift om enskildas personliga förhållanden (15 kap. 1 §).

Sekretess gäller inom socialtjänsten för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (26 kap. 1 § OSL). Det finns dock bestämmelser som bryter sekre- tessen. Till exempel hindrar sekretessen inte att uppgift om en

294

SOU 2021:39

Bilaga 1

enskild eller någon närstående till denne lämnas från en myndighet inom socialtjänsten till en annan sådan myndighet eller till en myndighet inom hälso- och sjukvården, om det behövs för att ge den enskilde nödvändig vård, behandling eller annat stöd och denne inte har fyllt arton år, fortgående missbrukar alkohol, narkotika eller flyktiga lösningsmedel eller vårdas med stöd av lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård. Detsamma gäller uppgift om en gravid person eller någon närstående till denne, om uppgiften behöver lämnas för en nödvändig insats till skydd för det väntade barnet (26 kap. 9 § OSL).

Dataskydd i socialtjänst och hälso- och sjukvård

Behandlingen av personuppgifter inom socialtjänsten och hälso- och sjukvården regleras också av särskilda s.k. registerlagar, främst patientdatalagen (2008:355) och lagen (2001:454) om behandling av personuppgifter inom socialtjänsten. Utöver dessa lagar så inne- håller också SoL, särskilda regler om bl.a. behandling av person- uppgifter och gallring inom socialtjänstens verksamheter. Lagarna kompletteras av förordningar samt i vissa fall myndighetsföreskrif- ter. Det finns vidare annan lagstiftning där personuppgiftsbehand- ling för hälsouppgifter regleras, bl.a. lagen (2002:297) om biobanker

ihälso- och sjukvården m.m., lagen (2018:1212) om nationell läke- medelslista samt lagen (2017:612) om samverkan vid utskrivning från sluten hälso- och sjukvård.

Tidigare översyner och utredningar

Övergången till en i huvudsak digital hantering av personuppgifter inom såväl socialtjänsten som hälso- och sjukvården har pågått under lång tid. Det har också mot denna bakgrund gjorts översyner av regleringen av personuppgiftsbehandling. Några exempel är Socialdatautredningen vars slutbetänkande Behandling av person- uppgifter inom socialtjänsten (SOU 1999:109) låg till grund för lagen om behandling av personuppgifter inom socialtjänsten som trädde i kraft 2001, Patientdatautredningen vars slutbetänkande Patientdatalag (SOU 2006:82) låg till grund för patientdatalagen som trädde i kraft 2008, Socialtjänstdatautredningen vars slut-

295

Bilaga 1

SOU 2021:39

betänkande Socialtjänsten – Integritet-Effektivitet (SOU 2009:32) lämnades i mars 2009 men inte föranledde några lagstiftnings- åtgärder och utredningen Rätt information i vård och omsorg. Den sistnämnda utredningens delbetänkandet Rätt information – Kvalitet och patientsäkerhet för vuxna med nedsatt beslutsförmåga (SOU 2013:45) föranledde ändringar i bl.a. patientdatalagen. Det handlade bl.a. om att en vårdgivare under vissa omständigheter får göra uppgifter om en patient som inte endast tillfälligt saknar för- måga att ta ställning tillgängliga för de vårdgivare som är anslutna till systemet med sammanhållen journalföring respektive en vårdgivare får ta del av uppgift om vilken vårdgivare som har gjort uppgifter tillgängliga. Utredningens slutbetänkande – Rätt information på rätt plats i rätt tid (SOU 2014:23) – låg till grund för bl.a. ändringar i lagen (1996:1156) om receptregister.

Utöver dessa kommittéer finns exempel på utredningar som har gjorts internt inom Regeringskansliet kring frågor som rör person- uppgiftsreglering inom hälso- och sjukvården, t.ex. departements- promemoriorna Nationell läkemedelslista (Ds 2016:44) och Ny lag om koordineringsinsatser inom hälso- och sjukvård (Ds 2018:5).

En översyn av vissa frågor som gäller personuppgiftshantering inom socialtjänst- och hälso- och sjukvårdsverksamhet

Sedan den övergripande regleringen av personuppgiftshanteringen inom socialtjänsten och hälso- och sjukvårdsområdet tillkom så har verksamheterna utvecklats på olika sätt. Det har tillkommit flera nya regleringar som påverkar hur personuppgifter får hanteras inom socialtjänsten och hälso- och sjukvården. Exempel som har nämnts är dataskyddsförordningen och dataskyddslagen. I samband med att dataskyddsförordningen skulle börja tillämpas gjorde regeringen en översyn av regleringen inom Socialdepartementets område, för att anpassa nationell rätt till dataskyddsförordningen. Detta ledde till ändringar i ett stort antal lagar. Propositionen Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning (prop. 2017/18:171) avgränsades till att han- tera de anpassningar i författningar inom Socialdepartementets verksamhetsområde som vid det tillfället bedömdes behövas med anledning av dataskyddsförordningen (prop. 2017/18:171 s. 58). Ett annat exempel är lagen om nationell läkemedelslista som kommer att

296

SOU 2021:39

Bilaga 1

ersätta lagen om receptregister och lagen (2005:258) om läkemedels- förteckning i juni 2020. Här kan vidare nämnas OSL som trädde i kraft 2009, som reglerar stora delar av sekretessen i socialtjänst och hälso- och sjukvård, och patientsäkerhetslagen, som reglerar sekre- tess i enskild verksamhet och som trädde i kraft 2010.

Datainspektionen har sedan patientdatalagen infördes genomfört flera långsiktiga tillsynssatsningar. Myndigheten påbörjade 2012 en första bred tillsyn av alla landsting och fem privata vårdgivare. Områden som analyserades var bl.a. möjligheter att spärra uppgifter. Datainspektionen har vidare genomfört kontroller av den kom- munala hälso- och sjukvården. Exempelvis genomförde myndig- heten sammanlagt 18 tillsynsinsatser som fokuserade på behörig- hetsstyrning och loggkontroller i kommuner under 2013. Utöver tematiska och långsiktiga tillsynsinsatser görs enskilda insatser initierade efter t.ex. klagomål från enskilda eller via uppgifter i medierna. Många av de tillsynsinsatser som gjorts under åren har tydliggjort gränserna för hur personuppgifter får hanteras i social- tjänsten och hälso- och sjukvården. I myndighetens tillsynsplan för 2019 och 2020 ligger även hälso- och sjukvården med som ett särskilt utpekat område för insatser under 2019.

Det finns vidare exempel på domstolsärenden där personupp- giftshantering inom hälso- och sjukvården har belysts. Landstinget i Uppsala gav tidigare patienter möjlighet att digitalt ”dela” sin journal med någon annan, ett s.k. ombud. Vid tillsyn av tjänsten förelade Datainspektionen landstinget att upphöra med att ge ombud direkt- åtkomst med motiveringen att sådan åtkomst enligt lag uttryckligen endast kan ges till den enskilde själv, dvs. inte till dennes ombud. Föreläggandet överklagades och målet avgjordes slutligt i Högsta förvaltningsdomstolen där domstolen konstaterade att Datainspek- tionen haft fog för att förelägga landstinget att upphöra med att ge ombud direktåtkomst till landstingets personuppgifter om enskilda (HFD 2017 ref. 67).

Riksdagen har vidare i ett tillkännagivande anfört att regeringen bör överväga om det finns anledning att göra en översyn av patient- datalagen och annan relevant lagstiftning. Det är enligt riksdagen angeläget att lagstiftningen på området är anpassad till de krav som dagens teknik ställer, samtidigt som den personliga integriteten beaktas (bet. 2018/19:SoU 8 punkt 58, rskr. 2018/19:233).

297

Bilaga 1

SOU 2021:39

Regeringen kan konstatera att den lagstiftning som styr person- uppgiftshantering inom och mellan socialtjänsten och hälso- och sjukvården fungerat väl i övergången från att hanterat personupp- gifter på papper till ett i huvudsak digitalt arbetssätt. Regleringen ger ett avvägt skydd mellan intresset av att behandla personuppgifter och intresset av att skydda enskilda personers integritet. Dock bedöms det finnas behov av en översyn av vissa frågor på området. Bedömningen bygger på det som har anförts inledningsvis om för- ändringen på senare år i det sätt som socialtjänsten och hälso- och sjukvården organiserar sig på, den ökade användningen av digitala stöd för personuppgiftshantering samt klargöranden kring lagstift- ningen utifrån bl.a. vad Datainspektionen uttryckt i sina tillsyns- insatser.

Utredningsuppdraget

Utgångspunkten för samtliga uppdrag är att de rör frågor kring per- sonuppgiftshantering i socialtjänst och hälso- och sjukvård. I dessa fall handlar det i princip uteslutande om uppgifter som rör män- niskors hälsa och livssituation vilket är information av integritets- känslig karaktär. Utredaren ska därför i samband med att förslag lämnas särskilt redogöra för hur hänsyn tagits till behovet av informa- tionssäkerhet, rättssäkerhet samt skydd för den personliga integri- teten. Frågorna som ska utredas behöver primärt analyseras utifrån dataskyddsförordningen men även utifrån befintlig reglering, bl.a. ska EU-stadgan, Europakonventionen, 2 kap. 6 § RF och dataskydds- lagen beaktas. Eventuella inskränkningar i integritetsskyddet ska följas av analyser samt proportionerliga och tydliga avvägningar där alternativa metoder och mindre integritetskränkande alternativ ska övervägas eller där förslag på särskilda integritetsskyddande åtgärder lämnas.

För samtliga uppdrag gäller att utredaren ska lämna författnings- förslag där så anses nödvändigt.

298

SOU 2021:39

Bilaga 1

Möjlighet till direktåtkomst mellan vissa verksamheter

Ett sätt att lämna ut personuppgifter i elektronisk form är genom s.k. direktåtkomst. Begreppet direktåtkomst är inte definierat i lag. Med direktåtkomst menas vanligen att någon har direkt tillgång till någon annans databas eller register och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i databasen eller registret. Begreppet brukar också anses innefatta att den som är ansvarig för databasen eller registret inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av. Vid direktåtkomst anses de uppgifter som omfattas av åtkomsten utläm- nade i och med att åtkomsten medges.

I princip anses allt elektroniskt utlämnande som inte görs genom direktåtkomst göras genom utlämnande på medium för automati- serad behandling. Som exempel kan nämnas att personuppgifter lämnas via upptagningar mellan myndigheter, e-post eller USB- minne. Begreppet anses omfatta överlämnande av elektroniskt lagrade uppgifter via alla slags medium för lagring och överföring (Över- skottsinformation vid direktåtkomst, SOU 2012:90 s. 198).

Det normala i dag är emellertid att ett informationsutbyte mellan myndigheter sker elektroniskt mellan it-system genom en fråga- svar-funktion. Högsta förvaltningsdomstolen har i den s.k. Lefi- onlinedomen (HFD 2015 ref. 61) ansett att gränsdragningen mellan vad som är direktåtkomst och annat utlämnande på medium för automatiserad behandling beror på om den aktuella uppgiften kan anses förvarad hos den mottagande myndigheten enligt 2 kap. 3 § andra stycket tryckfrihetsförordningen. Avgörande är således om uppgiften är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. Högsta förvalt- ningsdomstolens dom kan tolkas så att den tekniska utformningen av en myndighets system för utlämnande av uppgifter kan bli av- görande för om utlämnandet ska anses som direktåtkomst eller som annat utlämnande på medium för automatiserad behandling I domen fann Högsta förvaltningsdomstolen att mottagande myndighets åtkomst till uppgifter hos den utlämnande myndigheten genom ett system som utformats med en fråga-svar-funktionalitet inte ut- gjorde direktåtkomst.

299

Bilaga 1

SOU 2021:39

Direktåtkomst är enligt förarbetena till patientdatalagen (prop. 2007/08:126 s. 244) en form av elektroniskt utlämnande till en extern mottagare. Direktåtkomst sker när den som är ansvarig för informationen inte har kontroll över vilka uppgifter som en mottagare vid ett visst givet tillfälle tar del av. Inom hälso- och sjukvården finns i dag vissa möjligheter till direktåtkomst. Sammanhållen journalföring innebär att vårdgivare under vissa förutsättningar kan få direkt- åtkomst till varandras elektroniska journalhandlingar och andra personuppgifter som behandlas för ändamål som rör vårddokumen- tation (6 kap. patientdatalagen) Detta gäller såväl mellan offentliga vårdgivare som mellan offentliga och enskilda vårdgivare. Vård- givaren får under vissa förutsättningar ge en patient direktåtkomst till hela eller delar av patientens patientjournal (5 kap. 5 § samma lag). För socialtjänsten saknas en reglering liknande den som finns för sammanhållen journalföring inom hälso- och sjukvården som tillåter att olika utförare har direktåtkomst till varandras dokumen- tation. Det råder sekretess mellan socialtjänst och hälso- och sjuk- vård och därför är det heller inte tillåtet med direktåtkomst mellan dessa verksamheter. Frågan om direktåtkomst mellan socialtjänst och hälso- och sjukvård har också belysts av Datainspektionen i ett tillsynsärende från 2011 om TioHundranämnden i Norrtälje där vissa personuppgifter tillgängliggjordes direkt mellan nämnden och en utförare (Datainspektionen, dnr 876-2010). Datainspektionen ansåg i det ärendet att det krävs författningsändringar både i regel- verken som gäller för hälso- och sjukvården och socialtjänsten för att det ska vara tillåtet att tillämpa sammanhållen journalföring mellan hälso- och sjukvården och socialtjänsten.

Som beskrivits tidigare finns i dag flera olika vårdgivare och ut- förare i socialtjänsten och hälso- och sjukvården. En patient kan under en enskild vårdprocess möta många olika offentliga och pri- vata vårdgivare. Patienter med kroniska eller långvariga sjukdoms- tillstånd kan också behöva hjälp av flera olika vårdgivare parallellt. Särskilt stort är detta behov för äldre och multisjuka personer. Behovet av att kunna utbyta information mellan vårdgivare eller ut- förare i syfte att ge en god och säker vård och omsorg, med bibe- hållen integritet och säkerhet, har således ökat under senare år. Utredaren ska därför se över möjligheterna att införa direktåtkomst, i likhet med den möjlighet som i dag ges genom sammanhållen

300

SOU 2021:39

Bilaga 1

journalföring genom en s.k. sammanhållen vård- och omsorgsdoku- mentation mellan

verksamheter som avser äldre personer, t.ex. hemtjänst eller dag- verksamhet för personer med demenssjukdom, och personer med funktionsnedsättning som har insatser enligt SoL, t.ex. boende- stöd och insatser enligt LSS, och

verksamheter som nämns ovan och hälso- och sjukvård.

Utgångspunkten för uppdraget ska vara den personuppgiftsbehand- ling som sker inom den individinriktade vård- och omsorgsverk- samheten.

Om så är relevant ska utredaren se över möjligheterna att använda elektroniskt utlämnande som alternativ till direktåtkomst.

Frågeställningen berör såväl landstingens och kommunernas verksamheter inom nämnda områden som enskild vårdgivare inom hälso- och sjukvården eller enskild verksamhet inom socialtjänstens områden. Utredningsuppdraget innefattar även att lämna förslag till nödvändiga ändringar i lagstiftningen om sekretess och tystnads- plikt.

Uppdraget omfattar inte att utreda särskilda frågor som rör per- soner med nedsatt beslutsförmåga. Behövs särskild reglering om sådana personer på det område som omfattas av utredningsuppdraget bör den föreslagna regleringen utformas i enlighet med befintlig reglering, t.ex. 2 kap. 2 a § patientdatalagen och 25 kap. 13 § OSL.

Som framgår av första punktsatsen ovan görs en avgränsning av frågeställningen till att handla om verksamheter inom socialtjänsten som rör äldre personer och personer med funktionsnedsättningar. Hanteringen av personuppgifter inom socialtjänsten spänner över många verksamhetsområden där känsliga personuppgifter registre- ras. Detta är särskilt tydligt när det gäller områden där det finns lagstiftning om tvång, t.ex. vård till vuxna personer med missbruks- problem eller verksamheter riktade till barn och unga. Sådana verk- samheter är olämpliga att hantera i ett system med direktåtkomst eftersom personen i de fall en utredning leder till en insats med tvång inte själv kan välja om informationen ska exponeras för andra delar av socialtjänsten eller hälso- och sjukvården. De två verksamheter som har valts bedöms vara dels så betydande räknat såväl till antal personer som får insatser som till antal aktörer som utför dem att ett

301

Bilaga 1

SOU 2021:39

utökat informationsutbyte är av stort värde för många patienter eller brukare, dels verksamheter utan tvång vilket gör att personen kan göra avvägda val om ifall man vill vara med i en sammanhållen vård- och omsorgsdokumentation eller inte.

Utvecklings- och kvalitetssäkringsarbete inom och mellan hälso- och sjukvård och socialtjänst

I förarbetena till patientdatalagen diskuteras behovet av att kunna följa upp hur verksamheterna utvecklas. Det finns olika faktorer som kan behöva följas, t.ex. mätning av uppnådda behandlingsresultat och patienttillfredsställelse eller mätning av insatta resurser i form av kostnader för respektive insats eller annan uppföljning avseende kostnadseffektivitet, produktivitet m.m. Vidare framgår att upp- följning inte är något självändamål, dess syfte är att generera kun- skap som i sin tur används för att på olika sätt förbättra eller förändra verksamheten i fråga (prop. 2007/08:126 s. 174). Att kvaliteten i verksamheten systematiskt och fortlöpande ska utvecklas och säkras inom socialtjänsten framgår bl.a. av 3 kap. 3 § SoL och 6 § LSS. Uppföljningen kan ske på olika nivåer i verksamheterna: kliniken, vårdinrättningen, nämnden, landstinget, kommunen, sjukvårdsregio- nen eller nationen.

Av förarbetena till patientdatalagen framgår även att det förutom regelverket för regionala och nationella kvalitetsregister inte finns några särskilda bestämmelser som syftar till att möjliggöra verk- samhetsuppföljning över vårdgivargränser (prop. 2007/08:126 s. 175). Frågan om gemensamma verksamhetsuppföljningar för socialtjänst och hälso- och sjukvård har aktualiserats i ett tillsynsärende som rör Stockholms läns landsting och Österåkers kommun (Datainspek- tionen, dnr 643-2015). Ärendet handlar om att kommun och lands- ting har samkört och analyserat vissa personuppgifter inom ramen för ett projekt som rör ersättningsmodeller för vård och omsorg av äldre. I ärendet hänvisar Datainspektionen till förarbetena till patient- datalagen där det står följande: ”När det gäller frågan om att förbättra landstingens och kommunernas möjligheter att göra gemensamma uppföljningar av sådana insatser som involverar både hälso- och sjuk- vård och socialtjänst så utreds detta för närvarande av Socialtjänst- datautredningen (S 2007:92)”. Som framgått under rubriken Tidigare

302

SOU 2021:39

Bilaga 1

översyner och utredningar ledde inte Socialtjänstdatautredningens betänkande till lagstiftningsåtgärder.

För socialtjänstens del följer det av OSL att sekretess gäller mellan myndigheter inom socialtjänsten. Kommunerna har frihet att organisera sina nämnder som de själva önskar efter lokala behov och förutsättningar. Varje nämnd i en sådan organisation är att anse som en egen myndighet i OSL:s mening och då gäller sekretess som huvudregel i förhållande till andra myndigheter och andra enskilda än brukaren.

Möjligheterna att följa upp verksamheter som har patienter eller brukare som behandlas av flera olika vårdgivare eller utförare varierar därför beroende på hur verksamheterna är organiserade inom en kommun eller ett landsting. I ett landsting med olika vårdgivare saknas i dag möjlighet till en mer sammanhållen verksamhetsupp- följning på samma sätt som i ett landsting med få vårdgivare. Via kvalitetsregistren, som förs för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet och möjliggöra jämförelse inom hälso- och sjukvården på nationell eller regional nivå, kan viss upp- följning göras av hälso- och sjukvårdens kvalitet. Dessa register har varit värdefulla för vårdens utveckling och regleringen av dem bör kvarstå. Registren är dock oftast avgränsade till enskilda medicinska specialiteter eller sjukdomsgrupper och har byggts upp under lång tid samt avser som minst en hel region. En huvudman i form av ett landsting kan dock ha behov av mer mångfacetterad eller varierad information för kvalitetssäkringsarbete i den egna huvudmannens verksamhet, bedriven i egen regi eller av anlitade utförare, än vad som får finnas i ett kvalitetsregister. Detta behov kan dessutom variera över tid. Det kan t.ex. handla om analyser på en aggregerad eller övergripande nivå för vissa åldersgrupper eller geografiskt av- gränsade delar av ett landsting. Beslut om sådan behandling av personuppgifter för kvalitetsutveckling, som bör avse hela eller åt- minstone väsentliga delar av huvudmannens hälso- och sjukvårds- verksamhet, bedriven i egen regi eller av anlitade utförare, bör vara förbehållna det högsta politiska organet hos huvudmannen. Person- uppgifter som på detta sätt behandlas för kvalitetsutveckling bör inte få spridas utanför landstinget.

Liknande situation gäller kommuner med olika nämndorganisa- tioner. Då många äldre personer eller personer med funktionsned- sättning i dagsläget får insatser från olika utförare finns ett behov av

303

Bilaga 1

SOU 2021:39

att skapa mer jämlika förutsättningar för kvalitetsutveckling av verk- samheterna oberoende av organisationsform hos kommunen. Liksom för landstingen bör beslut om sådan behandling av personuppgifter för kvalitetsutveckling vara förbehållna det högsta politiska organet och besluten bör avse hela eller åtminstone väsentliga delar av kom- munens verksamhet med omsorg om äldre personer och personer med funktionsnedsättning. Personuppgifter bör inte få spridas utan- för kommunen.

Utredaren ska därför se över möjligheterna till en utvidgad infor- mationsöverföring för kvalitetsutveckling mellan:

vårdgivare i hälso- och sjukvård,

vårdgivare i hälso- och sjukvård och kommunal nämnd eller utfö- rare av kommunens arbetsuppgifter inom socialtjänst för äldre personer och personer med funktionsnedsättning, och

kommunala nämnder eller utförare av kommunens arbetsupp- gifter inom socialtjänsten för äldre personer och personer med funktionsnedsättning.

Möjligheter till kvalitetsuppföljning för enskilda vårdgivare inom hälso- och sjukvården eller enskild verksamhet i förhållande till andra myndigheter och andra enskilda än brukaren inom socialtjänstens område ska ingå i analysen.

Utredningsuppdraget innefattar även att lämna förslag till nöd- vändiga författningsändringar, t.ex. kopplat till behandling av per- sonuppgifter, sekretess och tystnadsplikt.

Sekretessbestämmelser för viss personuppgiftshantering i socialtjänst och hälso- och sjukvård

Som framgår under rubriken Nationell reglering när det gäller han- tering av uppgifter om hälsa eller personliga förhållanden ovan så skiljer sig dagens reglering av sekretess mellan myndigheter åt mellan hälso- och sjukvård och socialtjänst. Inom hälso- och sjuk- vården hindrar inte sekretessen enligt OSL att uppgift lämnas till en enskild vårdgivare med begränsningen att det ska göras i enlighet med vad som föreskrivs om sammanhållen journalföring i patient- datalagen. Ordningen med sammanhållen journalföring gör dock att

304

SOU 2021:39

Bilaga 1

gränserna för den inre sekretessen är större i ett landsting med få enskilda vårdgivare än i ett landsting med fler enskilda vårdgivare. I vissa fall krävs då bl.a. inte ett aktivt samtycke för att utbyta patientinformation. Denna skillnad när det gäller förutsättningarna för att utbyta information i relation till vårdens organisering har lyfts av Riksrevisionen i rapporten Rätt information vid rätt tillfälle inom vård och omsorg (RiR 2011:19, avsnitt 3.1.2). För socialtjänstens del finns ingen motsvarande reglering i OSL.

Skillnaden mellan sekretessregleringarna och behovet av en mer likvärdig hantering av personuppgifter har lyfts i olika sammanhang, bl.a. av utredningen Socialtjänstdatautredningen och utredningen Rätt information i vård och omsorg.

Utredaren ska mot denna bakgrund:

se över möjligheterna att införa sekretessbrytande bestämmelser för socialtjänsten i likhet med bestämmelserna om hälso- och sjukvårdssekretess som framgår av 25 kap. 11 § OSL,

analysera behovet av ändring i sekretesslagstiftningen utifrån utredningsfrågan om en sammanhållen vård- och omsorgsdoku- mentation, se rubriken Möjlighet till direktåtkomst mellan vissa verksamheter ovan, samt

undersöka om det är möjligt eller lämpligt att, med bibehållen integritet och säkerhet, tillåta ytterligare uppgiftslämnande mellan myndigheter inom hälso- och sjukvård och enskilda vårdgivare och i sådana fall föreslå nödvändiga författningsändringar.

Om utredaren lämnar författningsförslag bör dessa avgränsas till att röra den individinriktade vård- och omsorgsverksamheten.

Möjlighet att ge ombud åtkomst till patientjournal

Patientjournalen är i grunden ett arbetsinstrument och utgör ett stöd för vård och behandling av patienterna. Personal som inte har träffat patienten tidigare ska kunna använda patientjournalen för att bedöma vilka åtgärder som kan behöva vidtas för att kunna ge patienten en god och säker vård. Patientjournalen är också en infor- mationskälla för patienten. Denne ska kunna få insyn, kunskap och ökad delaktighet i sin hälsa och vård. En patient har i dag möjlighet

305

Bilaga 1

SOU 2021:39

till direktåtkomst till sådana uppgifter om sig själv som vårdgivaren får lämna ut (5 kap. 5 § patientdatalagen).

Den nationella tekniska lösningen för att ge patienter åtkomst till sin information tillhandahålls via Inera AB:s tjänst Journalen. Inera är ett bolag, som ägs av SKL Företag, kommuner och landsting och som har till uppgift att koordinera och utveckla gemensamma digi- tala lösningar för kommuner och landsting. Invånarna når tjänsten via 1177 Vårdguidens e-tjänster och i dagsläget är alla landsting anslutna, men det finns skillnader i hur många verksamheter inom respektive landsting som tillhandahåller tjänsten till sina patienter. Tjänsten har över två miljoner användare. I vissa landsting kunde patienter tidigare välja att dela sin journal med ett ombud. Patienten angav i sådant fall ombudets personnummer och valde om ombudet skulle ges tillgång till hela journalen eller delar av den. Efter en rätts- process stängdes tjänsten ner. En mer utförlig beskrivning av ärendet har getts under rubriken En översyn av vissa frågor som gäller per- sonuppgiftshantering inom socialtjänst- och hälso- och sjukvårds- verksamhet ovan.

Från och med 2020 kommer det att finnas möjlighet att ge ett ombud direktåtkomst till uppgifter i den nationella läkemedelslistan (5 kap. 6 § lagen om nationell läkemedelslista).

Många patienter har behov av att kunna utse en person som kan hjälpa dem med det praktiska kring deras vårdprocesser. Behovet kan komma sig av att patienten på grund av hög ålder eller fysiska hinder behöver hjälp med att hålla ordning på sina besök, diagnoser eller läkemedel. Utredaren ska därför se över möjligheterna att:

ge ett ombud åtkomst till patientjournalen.

Uppkomna frågeställningar för fortsatt utredning

I dessa direktiv hanteras ett antal avgränsade frågor som rör person- uppgiftshanteringen inom och mellan socialtjänst och hälso- och sjukvård. Den digitala utvecklingen rör sig dock snabbt framåt och nya lösningar från andra sektorer kan införas i socialtjänsten och hälso- och sjukvården och skapa nya sätt att leverera eller effekti- visera tjänster jämfört med i dag. Framsteg görs i dag också på många områden i hälso- och sjukvården, bl.a. inom life sciencesektorn. Utvecklingen inom detta område bygger till stor del på tillgång till

306

SOU 2021:39

Bilaga 1

data som rätt använd, och med respekt för den personliga integri- teten, bidrar till att utveckla framtidens vård och omsorg. Utöver den tekniska utvecklingen finns en parallell utveckling inom det rättsliga området. Domstolsbeslut på EU-nivå eller inom Sverige, tillsynsinsatser m.m. påverkar rättstillämpningen och därmed ramarna för hur personuppgifter får hanteras. Denna växelverkan mellan den tekniska utvecklingen och rättstillämpningen kommer sannolikt att fortsätta och det är mot den bakgrunden önskvärt att regeringen uppmärksammas på eventuella andra frågeställningar som har upp- kommit under uppdragets genomförande och som kan behöva utredas vidare. Detta gäller även där så är lämpligt frågeställningar avseende användning av patientdata inom life science-området. Utredaren ska därför:

sammanställa och översiktligt beskriva eventuella ytterligare fråge- ställningar som utredningen under arbetet med utredningsupp- draget uppmärksammat och som utredaren bedömer kräver vidare analys ur ett dataskydds- eller sekretessperspektiv.

Konsekvensbeskrivningar

Utredaren ska göra nödvändiga kostnadsberäkningar och andra konsekvensbeskrivningar i enlighet med kommittéförordningen (1998:1474). Som framgått under rubriken Utredningsuppdraget ska utredaren i samband med att förslag läggs särskilt redogöra för hur hänsyn tagits till behovet av informationssäkerhet, rättssäkerhet samt skydd för den personliga integriteten. Konsekvensanalysen avseende jämställdhet ska om så är påkallat omfatta konsekvenser för personer som är utsatta för våld eller hot om våld, t.ex. heders- relaterat våld eller förtryck. Om förslagen påverkar den kommunala självstyrelsen, ska de konsekvenser och de särskilda avvägningar som föranlett förslagen särskilt redovisas (se 14 kap. 3 § RF).

Kontakter och redovisning av uppdraget

Utredaren ska samråda med berörda organisationer. Särskilt rele- vanta aktörer är företrädare för kommuner, landsting, Sveriges Kommuner och Landsting, privata eller enskilda verksamheter samt

307

Bilaga 1

SOU 2021:39

patient- och personalorganisationer. Samråd ska ske med berörda myndigheter, t.ex. Datainspektionen, Socialstyrelsen, E-hälsomyn- digheten och Myndigheten för samhällsskydd och beredskap. Utre- daren ska vidare samråda med andra pågående utredningar som är rele- vanta, bl.a. Utredningen Sammanhållen kunskapsstyrning (S 2018:12), Utredningen om välfärdsteknik i äldreomsorgen (S 2018:11), Fram- tidens socialtjänst (S 2017:03) och Samordnad utveckling för god och nära vård (S 2017:01). Uppdraget ska slutredovisas senast den 31 maj 2021. Ett delbetänkande som rör samtliga utredningsfrågor utom om- buds åtkomst till patientjournal och uppkommande frågeställningar för fortsatt utredning ska dock lämnas senast den 17 januari 2021.

(Socialdepartementet)

308

Bilaga 2

Kommittédirektiv 2020:112

Tilläggsdirektiv till Utredningen om sammanhållen information inom vård och omsorg (S 2019:01)

Beslut vid regeringssammanträde den 29 oktober 2020

Ändring i uppdraget

Regeringen beslutade den 27 juni 2019 kommittédirektiv om en översyn av vissa frågor som rör personuppgiftshantering i social- tjänst- och hälso- och sjukvårdsverksamhet (dir. 2019:37). Den sär- skilda utredaren får nu i uppdrag att även se över behovet av att göra ändringar i förordningen (2006:196) om register över hälso- och sjukvårdspersonal (HOSP-förordningen) samt, vid behov, föreslå nödvändiga ändringar av förordningen.

Utredaren ska bl.a.

analysera de rättsliga förutsättningarna för att tillgängliggöra vissa personuppgifter i HOSP-registret genom direktåtkomst för Försäkringskassan, Läkemedelsverket, Universitets- och hög- skolerådet, privata vårdgivare och relevanta universitet och hög- skolor,

bedöma de rättsliga förutsättningarna för att ge Socialstyrelsen och E-hälsomyndigheten möjlighet att behandla uppgifter i HOSP-registret för statistikändamål,

analysera de rättsliga förutsättningarna för att tillgängliggöra vissa uppgifter ur HOSP-registret för allmänheten, t.ex. via inter- net, och

lämna nödvändiga författningsförslag.

309

Bilaga 2

SOU 2021:39

Utredningstiden ligger fast. Uppdraget ska alltså redovisas senast den 31 maj 2021.

Behovet av regleringsändringar för registret över hälso- och sjukvårdspersonal

För att garantera kunskapsnivån bland yrkesutövare inom hälso- och sjukvården och tandvården finns en särskild reglering av behörighet för att få utöva vissa yrken, se patientsäkerhetslagen (2010:659) och patientsäkerhetsförordningen (2010:1369). Det viktigaste kompetens- beviset inom hälso- och sjukvården är legitimation, vilket är en personlig behörighet och ett uttryck för att den legitimerade står under samhällets tillsyn och har godkänts för verksamhet inom det yrkesområde som legitimationen avser. I dag finns 22 yrkesgrupper inom hälso- och sjukvården och tandvården som kan erhålla legi- timation.

Socialstyrelsen ansvarar för registret över legitimerad hälso- och sjukvårdspersonal i Sverige (HOSP-registret). Behandlingen av upp- gifterna i registret regleras i förordningen (2006:196) om register över hälso- och sjukvårdspersonal (HOSP-förordningen). Det pri- mära ändamålet med registret är att föra en aktuell förteckning över legitimerad hälso- och sjukvårdspersonal. Registret används för legiti- mationskontroll, framställning av statistik, prognoser och tillsyns- ändamål. Uppgifterna i registret används främst för upplysning till apotek, arbetsgivare och allmänhet om sjukvårdspersonalens identitet och behörighet. Dessutom utgör registeruppgifterna underlag för statistik och prognoser över tillgången på hälso- och sjukvårds- personal.

I registret finns uppgifter om namn, personnummer, folkbok- föringsort, yrke, eventuell specialistutbildning och datum då legiti- mation eller specialistkompetens utfärdades samt eventuell förskrivar- kod och omfattning av förskrivningsrätt. Registret innehåller även uppgifter om de fall där en prövotid pågår, om en legitimation är återkallad eller en förskrivningsrätt är begränsad eller indragen. För registrering av uppgifter krävs inget samtycke från de registrerade. Registret innehåller uppgifter om närmare 480 000 yrkesutövare.

Enligt 22 kap. 1 § offentlighets- och sekretesslagen (2009:400), OSL, gäller sekretess för uppgift om en enskilds personliga för- hållanden, om det av särskild anledning kan antas att den enskilde

310

SOU 2021:39

Bilaga 2

eller någon närstående till denne lider men om uppgiften röjs. En förutsättning för att sekretess ska gälla enligt denna bestämmelse är bl.a. att uppgiften förekommer i verksamhet som avser folkbok- föringen eller annan liknande registrering av befolkningen. I den ut- sträckning regeringen meddelar föreskrifter om det, gäller sekretess även om uppgiften förekommer i annan verksamhet som avser regi- strering av en betydande del av befolkningen. Huvudregeln är således att uppgifterna i de register som omfattas av bestämmelsen ska vara offentliga. Endast om det av särskild anledning kan antas att ett utlämnande skulle leda till skada eller men kan uppgifter hemlig- hållas.

Regeringen har i 6 § offentlighets- och sekretessförordningen (2009:641) meddelat sådana föreskrifter om sekretess i annan verk- samhet som avser registrering av en betydande del av befolkningen. Av föreskrifterna framgår att sekretess gäller bl.a. för uppgift om enskilds personliga förhållanden i HOSP-registret, om det av sär- skild anledning kan antas att den enskilde eller någon närstående lider men om uppgiften röjs. Huvudregeln är alltså att uppgifterna i HOSP-registret är offentliga. Endast om det finns särskild anled- ning att anta att ett utlämnande skulle leda till skada eller men omfattas uppgifterna av sekretess.

Tidigare utredning och ändringar i HOSP-förordningen

Utredningen om rätt information i vård och omsorg hade som del- uppdrag att analysera förutsättningarna för att på internet eller genom elektronisk direktåtkomst öka tillgängligheten till vissa personupp- gifter i HOSP-registret. I delbetänkandet Bättre behörighetskontroll

Ändringar i förordningen (2006:196) om register över hälso- och sjukvårdspersonal (SOU 2012:42) föreslog utredningen bl.a. att Socialstyrelsen skulle få erbjuda allmänheten direktåtkomst till ett begränsat antal uppgifter i registret genom t.ex. internetpublicering. Utredningen föreslog även direktåtkomst för vårdgivare, för Apotekens Service AB och för Transportstyrelsen.

I remissvaren framkom att det kan finnas fler aktörer med behov av direktåtkomst. Socialstyrelsen föreslog i sitt remissvar att myn- digheten skulle ges möjlighet att medge direktåtkomst till andra myndigheter som har behov av uppgifter i sin verksamhet och vars

311

Bilaga 2

SOU 2021:39

syfte med användningen av uppgifterna överensstämmer med regis- trets ändamål enligt HOSP-förordningen.

Några av utredningens förslag ledde till ändringar i HOSP-förord- ningen, vilket bl.a. innebar att Inspektionen för vård och omsorg (IVO), Transportstyrelsen samt offentliga vårdgivare medgavs direkt- åtkomst till vissa uppgifter i HOSP-registret.

Fler aktörer kan behöva direktåtkomst till registret

IVO, Transportstyrelsen och offentliga vårdgivare får ha direkt- åtkomst till uppgifterna i registret, enligt HOSP-förordningen. Övriga aktörer som vill få ut uppgifter ur registret måste kontakta Socialstyrelsen med begäran om att få uppgifterna utlämnade.

Socialstyrelsen svarar varje år på ca 100 000 e-postförfrågningar om uppgifter ur registret. Därutöver får myndigheten årligen ca 750 större beställningar av utdrag ur registret och ca 8 000 telefonsamtal med förfrågningar. I myndighetens årsrapport för 2019 skriver Socialstyrelsen att antalet förfrågningar om uppgifter i registret har ökat de senaste åren, vilket bl.a. beror på att bemanningsföretag gör fler periodiska kontroller än tidigare och att fler förfrågningar görs av enskilda. Dessutom tillkom hälso- och sjukvårdskuratorer i registret den 1 juli 2019 i och med att legitimation för yrkestiteln infördes.

Enligt årsrapporten har Socialstyrelsen som mål att svara inom

72 timmar vid förfrågningar och beställningar ur registret. Under 2019 varierade dock svarstiden mellan 5 och 20 arbetsdagar. Socialstyrelsens kostnad för att besvara frågor samt förvalta och utveckla HOSP- registret uppgick 2019 till 8,3 miljoner kronor, vilket var en ökning jäm- fört med 2018 (7,1 miljoner kronor) och 2017 (5,7 miljoner kronor).

Flera aktörer har gjort hemställningar om HOSP-registret

Regeringen har mottagit flera hemställningar om förändringar i HOSP-förordningen och de flesta gäller möjlighet till direktåtkomst för fler aktörer.

Försäkringskassan föreslår i sin hemställan från den 19 november 2019 att myndigheten medges direktåtkomst till vissa uppgifter i HOSP-registret. Syftet skulle vara att få till stånd en mer rättssäker

312

SOU 2021:39

Bilaga 2

och effektiv handläggning av ärenden där vårdgivare ska anslutas till det elektroniska systemet för statligt tandvårdsstöd. I dag kon- trollerar myndigheten endast vissa uppgifter i sådana ärenden på grund av den manuella hantering som krävs vid förfrågan om upp- gifter från HOSP-registret (S2019/04921).

Läkemedelsverket framför i sin hemställan från den 12 maj 2017 att direktåtkomst till vissa uppgifter i HOSP-registret är nödvändigt för myndighetens arbete med att automatisera och digitalisera upp- gifter om dispenser att förskriva vissa läkemedel samt för en säkrare och bättre dispenshantering i allmänhet (S2017/02938).

Sveriges universitets- och högskoleförbund föreslår i sin hem- ställan från den 24 oktober 2019 att direktåtkomst till HOSP- registret medges de universitet och högskolor som behöver uppgifter om yrkeslegitimation för att utfärda en viss examen eller bedöma behörighet för antagning till utbildning (S2019/04419).

Universitets- och högskolerådet biträder Sveriges lärosäten vid antagningar till vissa utbildningar där legitimation är ett behörig- hetskrav och begär i sin hemställan från den 24 oktober 2019 direkt- åtkomst till HOSP-registret för att underlätta övergången till en teknisk hantering av dessa arbetsuppgifter (S2019/04420).

Socialstyrelsen begär i sin hemställan från den 21 december 2015 att privata vårdgivare medges direktåtkomst till HOSP-registret då vårdgivare utgör en av de största beställargrupperna av uppgifter ur registret (S2015/08346). I skrivelsen upprepar Socialstyrelsen även sin tidigare begäran från 2010 om att kunna tillhandahålla vissa upp- gifter i HOSP-registret på internet för att underlätta informations- utbytet mellan de nordiska länderna och övriga EES-länder.

Behov av ändringar av registrets ändamål

Socialstyrelsen är enligt lagen (2001:99) om den officiella statistiken och förordningen (2001:100) om den officiella statistiken ansvarig för den officiella statistiken inom hälso- och sjukvård, vilket inne- fattar relevant statistik om hälso- och sjukvårdspersonal. För att säkerställa att myndigheten kan framställa statistik som kan ligga till grund för analyser, uppföljningar, forskning m.m. begär Social- styrelsen i sin hemställan från den 26 november 2019 att ändamåls-

313

Bilaga 2

SOU 2021:39

regleringen i HOSP-förordningen utökas så att uppgifterna i regis- tret får behandlas för att framställa statistik (S2019/05057).

E-hälsomyndigheten (EHM) har ett legitimationsregister som innehåller vissa uppgifter om svensk hälso- och sjukvårdspersonal och som hämtas främst från HOSP-registret på Socialstyrelsen. Socialstyrelsen får enligt 5 § HOSP-förordningen lämna ut uppg- ifter till EHM för vissa särskilt uppräknade ändamål, men i takt med att EHM har fått nya uppdrag har behoven förändrats. EHM föreslår därför i sin hemställan från den 9 december 2019 att ändamåls- beskrivningen i HOSP-förordningen ändras, så att Socialstyrelsen får lämna uppgifter till EHM för kvalitetssäkring, behörighets- och åtkomstkontroller, komplettering av uppgifter och statistikändamål (S2019/05158).

Den 26 juni 2020 lämnade Försäkringskassan in en komplettering till sin tidigare hemställan. Myndigheten skriver att om myndigheten får direktåtkomst skulle det kunna vara lämpligt att införa ett nytt ändamål i HOSP-förordningens 5 § relaterat till utlämnandet av uppgifter till Försäkringskassan via direktåtkomst.

Den pågående utredningen om hälso- och sjukvårdens beredskap (S 2018:09) gör i sitt delbetänkande (SOU 2020:23) bedömningen att det bör övervägas om det finns behov av att återuppta arbetet med ett centralt register över hälso- och sjukvårdspersonal för personal- försörjning i krig. Ett sådant register skulle enligt utredningen syfta till att skapa förutsättningar för hälso- och sjukvårdshuvudmännen att få tillgång till hälso- och sjukvårdspersonal som inte är anställda i kommunen eller regionen.

Uppdraget att se över HOSP-registret

Analysera förutsättningar för ändringar av HOSP-förordningens bestämmelser om direktåtkomst och ändamål

Av de hemställningar som har lämnats till regeringen framgår att fler aktörer anser sig behöva få direktåtkomst till vissa uppgifter i HOSP-registret. Utöver de skrivelser som skickats in kan det finnas ytterligare aktörer med behov av direktåtkomst. Det har även fram- kommit att det under de senaste åren skett en ökning av förfråg- ningarna om uppgifter ur registret samt att Socialstyrelsens kostnader för att besvara frågor och förvalta registret ökat. Det finns således

314

SOU 2021:39

Bilaga 2

också behov av att se över regleringen av direktåtkomst till uppgifter i registret för att effektivisera och minska Socialstyrelsens admi- nistration av och kostnader för hanteringen av förfrågningar. Det finns även behov av att se över om tillgång till uppgifterna kan hante- ras genom andra, mindre integritetskänsliga former för elektroniskt utlämnande. Därutöver behöver ändamålen för HOSP-registret utvidgas för att underlätta för olika aktörer att fullfölja sina uppdrag.

Det finns ett intresse relaterat till bl.a. tillsyn och patientsäkerhet, att låta uppgifter i HOSP-registret vara tillgängliga för allmänheten och vissa myndigheter och andra aktörer. Samtidigt måste det säker- ställas att skyddet av den personliga integriteten upprätthålls. Vidare behöver tillämpliga regleringar beaktas, såsom OSL och Europa- parlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Utredaren ska därför

analysera de rättsliga förutsättningarna för att tillgängliggöra vissa personuppgifter i HOSP-registret genom direktåtkomst för Försäkringskassan, Läkemedelsverket, Universitets- och hög- skolerådet, privata vårdgivare och relevanta universitet och hög- skolor,

bedöma och föreslå vilka ytterligare statliga myndigheter och andra verksamheter som har behov av och bör ges sådan direkt- åtkomst,

bedöma om det bör ställas några särskilda krav för direktåtkomst för eventuella ytterligare aktörer och om det kräver ändringar i ändamålsbestämmelserna,

analysera de rättsliga förutsättningarna för hälso- och sjukvårds- huvudmännen att få direktåtkomst till vissa uppgifter i registret i syfte att skapa förutsättningar för att bemanna kommunernas och regionernas krigsorganisationer,

efter en avvägning mellan behov och integritetsskydd föreslå vilka personuppgifter som ska få behandlas av de aktörer som har före- slagits,

315

Bilaga 2

SOU 2021:39

analysera och bedöma om Socialstyrelsen kan ges möjlighet att medge direktåtkomst till andra myndigheter som har behov av uppgifter för ändamål i enlighet med HOSP-förordningen,

i frågor som rör direktåtkomst bedöma om det finns andra alter- nativ till automatiserat elektroniskt utlämnande än direktåtkomst och i så fall även bedöma för- och nackdelar med sådant alternativ,

analysera behovet av att ändra i tillämpliga bestämmelser om sekretess och sekretessgenombrott utifrån utredningsfrågorna om direktåtkomst,

bedöma de rättsliga förutsättningarna för att ge Socialstyrelsen och E-hälsomyndigheten möjlighet att behandla uppgifter i HOSP-registret för statistikändamål,

bedöma de rättsliga förutsättningarna för att ändra HOSP-regist- rets ändamål när det gäller att lämna uppgifter ur registret till E- hälsomyndigheten för kvalitetssäkring, behörighets- och åtkomst- kontroll samt komplettering av uppgifter, − i övrigt föreslå

ändringar som utredaren anser ha direkt beröring med uppdraget, och

lämna nödvändiga författningsförslag.

Analysera förutsättningar för att ge allmänheten tillgång till vissa uppgifter ur registret

Socialstyrelsen har i sina hemställningar framfört önskemål om att göra vissa uppgifter i HOSP-registret tillgängliga för allmänheten. Enligt Socialstyrelsens hemställan från 2015 var de största beställar- grupperna vårdgivare, rekryteringsföretag, apotek, patienter och journalister. Dessutom har införandet av dataskyddsförordningen inneburit fler förfrågningar från enskilda under de senaste åren.

Utredaren ska därför

analysera de rättsliga förutsättningarna för att tillgängliggöra vissa uppgifter ur HOSP-registret för allmänheten, t.ex. via internet,

bedöma vilka uppgifter som är relevanta att tillgängliggöra för allmänheten, och

lämna nödvändiga författningsförslag.

316

SOU 2021:39

Bilaga 2

Kontakter och redovisning av uppdraget

Utredaren ska samråda med utredningen om hälso- och sjukvårdens beredskap (S 2018:09).

Utredningstiden ligger fast. Uppdraget ska alltså redovisas senast den 31 maj 2021.

(Socialdepartementet)

317

Bilaga 3

Förordning (2006:196) om register över hälso- och sjukvårdspersonal

t.o.m. SFS 2021:69 SFS nr: 2006:196

________________________________________

Inledning

1 § För de ändamål som anges i 4 och 5 §§ skall Socialstyrelsen med hjälp av automatiserad behandling föra ett register över hälso- och sjukvårdspersonal.

2 § Denna förordning innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behand- ling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförord- ning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna förordning gäller lagen (2018:218) med kompletterande bestämmelser till EU:s data- skyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna förordning. Förordning (2018:464).

3 § En registrerad har inte rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt denna förordning.

319

Bilaga 3

SOU 2021:39

Personuppgiftsansvarig

3 a § Socialstyrelsen är personuppgiftsansvarig för registret. Förord- ning (2013:639).

Registrets ändamål

4 § Personuppgifterna i registret får behandlas för att föra en aktuell förteckning över legitimerad hälso- och sjukvårdspersonal.

5 § Personuppgifterna i registret får, utöver det som anges i 4 §, behandlas endast för att

1.utöva tillsyn över hälso- och sjukvården och dess personal,

2.lämna uppgifter till den nationella läkemedelslistan enligt lagen (2018:1212) om nationell läkemedelslista,

3.lämna uppgifter till myndigheter och enskilda i enlighet med det som föreskrivs i annan författning eller avtal,

4.i samband med E-hälsomyndighetens behandling av person- uppgifter enligt lagen om nationell läkemedelslista lämna upp- gifter till den myndigheten för kontroll av identitet och behörig- het i fråga om förskrivare, legitimerade sjuksköterskor utan behörighet att förskriva läkemedel, apotekare, receptarier och dietister.

5.lämna uppgifter till E-hälsomyndigheten för kontroll av för- skrivares identitet och behörighet vid expediering på öppenvårds- apotek av läkemedel och andra varor som förskrivits,

6.kontrollera hälso- och sjukvårdspersonals identitet och behörig- het i samband med tjänstetillsättning och under anställning eller uppdrag, och

7.kontrollera hälso- och sjukvårdspersonals identitet och behörig- het att utfärda intyg. Förordning (2021:69).

320

SOU 2021:39

Bilaga 3

Registrets innehåll

6 § Registret får innehålla endast följande uppgifter:

1.namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar och kön,

2.folkbokföringsort,

3.yrke,

4.grundyrke, läroanstalt, utbildningsland och datum för utfärdande av examen,

5.specialitet,

6.datum för utfärdande av legitimation respektive bevis om specia- listkompetens,

7.datum när ett tidsbegränsat behörighetsbevis enligt 6 upphör att gälla,

8.beslut om partiellt tillträde,

9.beslut om prövotid och återkallelse av legitimation,

10.förskrivarkod och omfattning av förskrivningsrätt, och

11.sådana tekniska och administrativa uppgifter som är nödvändiga för att registerändamålen ska kunna tillgodoses. Förordning (2016:163).

Utlämnande

7 § Personuppgifterna i registret får lämnas ut på medium för auto- matiserad behandling om uppgifterna skall behandlas för de ändamål som anges i 4 och 5 §§.

Direktåtkomst

7 a § Inspektionen för vård och omsorg får ha direktåtkomst till uppgifterna i registret.

321

Bilaga 3

SOU 2021:39

En offentlig vårdgivare får ha direktåtkomst till uppgifter som avses i 6 § 1, 3 och 5-10.

Transportstyrelsen får ha direktåtkomst till uppgifter som avses i 6 § 1, 3, 5 och 7-9. Förordning (2016:163).

7 b § En myndighet som har medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje användare behöver för att kunna fullgöra sina arbetsuppgifter.

Direktåtkomst får inte medges innan Socialstyrelsen har försäkrat sig om att behörighets- och säkerhetsfrågorna är lösta på ett sätt som är tillfredsställande ur integritetssynpunkt. Förordning (2013:639).

Utlämnande av uppgifter till myndigheter

7 c § Socialstyrelsen ska på begäran av Inspektionen för vård och omsorg lämna ut uppgifter för det ändamål som anges i 5 § 1.

Inspektionen för vård och omsorg har rätt att ta del av uppgifterna i registret vid direktåtkomst enligt 7 a § första stycket. Förordning (2013:639).

7 d § En offentlig vårdgivare har rätt att ta del av uppgifterna i registret vid direktåtkomst enligt 7 a § andra stycket. Förordning (2013:639).

7 e § Transportstyrelsen har rätt att ta del av uppgifterna i registret vid direktåtkomst enligt 7 a § tredje stycket.

Förordning (2013:639).

Information

8 § Utöver vad som framgår av artiklarna 13 och 14 i EU:s data- skyddsförordning ska den som är personuppgiftsansvarig enligt denna förordning lämna information till den registrerade om

322

SOU 2021:39

Bilaga 3

1.de sekretess- och säkerhetsbestämmelser som gäller för registret,

2.rätten enligt artikel 82 i EU:s dataskyddsförordning och 7 kap. 1 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning till skadestånd vid behandling av person- uppgifter i strid med denna förordning,

3.vad som gäller i fråga om sökbegrepp, direktåtkomst och utläm- nande på medium för automatiserad behandling, och

4.huruvida registreringen är frivillig eller inte. Förordning (2018:464).

9 § Har upphävts genom förordning (2018:464).

323

Bilaga 4

Frågeställningar för fortsatt utredning ur ett dataskydds- eller sekretessperspektiv

Inledning

Utredningen har i uppdrag att utreda ett antal avgränsade frågor som rör personuppgiftshanteringen inom och mellan socialtjänst och hälso- och sjukvård. Samtidigt, uttalade regeringen i direktiven, pågår en växelverkan mellan den tekniska utvecklingen och rättstillämp- ningen. Den digitala utvecklingen går snabbt och nya lösningar från andra sektorer kan införas för att leverera och effektivisera tjänster inom hälso- och sjukvård och socialtjänst. Framsteg görs även inom hälso- och sjukvården, bl.a. den s.k. life science-sektorn. Utveck- lingen inom life science bygger till stor del på tillgång till uppgifter som, rätt använda och med respekt för den personliga integriteten, bidrar till framtidens vård och omsorg. Parallellt pågår en utveckling inom det rättsliga området. Domstolsbeslut på EU-nivå eller inom Sverige, tillsynsinsatser m.m. påverkar rättstillämpningen och ramarna för hur personuppgifter får hanteras.

Mot denna bakgrund anges i direktiven att det är önskvärt att utredningen uppmärksammar regeringen på eventuella andra fråge- ställningar som har uppkommit under utredningens genomförande och som kan behöva utredas vidare. Det gäller även, när så är lämp- ligt, frågeställningar om användning av patientdata inom life science- området. Utredningen ska därför sammanställa och översiktligt beskriva ytterligare frågeställningar som utredningen har uppmärk- sammat under sitt arbete och som utredningen bedömer kräver vidare analys ur ett dataskydds- eller sekretessperspektiv.

Utredningen har identifierat och valt att föra upp följande fråge- ställningar:

325

Bilaga 4

SOU 2021:39

A. Tillgång till information vid verksamhetsövergångar och andra strukturförändringar

B. Låt sammanhållen vård- och omsorgsdokumentation omfatta ytterligare grupper inom socialtjänsten

C. Tillåt att uppgiftssamlingar för kvalitetsuppföljning även får användas för forskning och inför en sekretessbrytande bestäm- melse för forskningsändamål

D. En översyn av lagen och förordningen om behandling av person- uppgifter inom socialtjänsten

E.Gör det lättare att lämna ut barns uppgifter till vårdnadshavare

F.En legitimationskod för den som är legitimerad

G.Ta bort direktåtkomst i patientdatalagen och inom sammanhållen vård- och omsorgsdokumentation

H.Juridiska frågor som uppstår i samband med nya tekniska lös- ningar inom hälso- och sjukvården

A)Tillgång till information vid verksamhetsövergångar och andra strukturförändringar

Utredningsuppslag: Låt en kopia av dokumentation av indivi- duell hälso- och sjukvård och socialtjänstens personakter följa med verksamheten vid verksamhetsövergångar.

Ge Inspektionen för vård och omsorg möjlighet att besluta att patientjournaler respektive socialtjänstens personakter som om- händertas ska förvaras hos en hälso- och sjukvårdsmyndighet respektive en kommunal myndighet som utför socialtjänst. Ge samtidigt Inspektionen för vård och omsorg möjlighet att besluta att en hälso- och sjukvårdsmyndighet respektive en kommunal myndighet som utför socialtjänst ska fortsätta att tillgängliggöra dokumentation som en nedlagd enhet tillgängliggjort i ett system för sammanhållen vård- och omsorgsdokumentation.

326

SOU 2021:39

Bilaga 4

Som utredningen konstaterar i kapitel 11 i delbetänkandet har det skett stora strukturförändringar inom socialtjänsten och hälso- och sjukvården under de senaste årtiondena vilket på olika sätt påverkar förutsättningarna att bedriva hälso- och sjukvård och socialtjänst. Bland annat finns det i dag fler utförare som är verksamma inom dessa områden än tidigare och framför allt finns det fler privata ut- förare. Med ett ökat antal privata utförare ökar också antalet verk- samhetsövergångar som exempelvis att en utförare ersätts av en annan utförare efter upphandling och övertar en verksamhet, t.ex. en vårdcentral. En annan form av verksamhetsövergång är att ett för- värv sker av en verksamhet som innebär att ett nytt företag övertar verksamheten, en s.k. inkråmsöverlåtelse. Även situationen att en patient eller omsorgsmottagare som har fått vård respektive insatser från socialtjänsten hos en offentlig vårdgivare eller en socialtjänst- myndighet i stället ska få denna vård eller insats av en privat vård- givare eller ett privat omsorgsföretag som myndigheten har anlitat, innebär en verksamhetsövergång i den mening som avses här. En annan form av strukturförändring är när en verksamhet läggs ned. Verksamhetsövergångar kan motiveras såväl av kostnads- och effek- tivitetsskäl som av politiska önskemål. De överväganden som ligger bakom en regions eller kommuns val av organisationsform har dock inte något med sekretessfrågan att göra utan beror på andra orsaker.

Utredningen föreslår i avsnitt 20.3 i delbetänkandet en sekretess- brytande bestämmelse som innebär att hälso- och sjukvårdssekre- tessen inte hindrar att uppgifter lämnas från en hälso- och sjukvårds- myndighet till ett privat hälso- och sjukvårdsföretag (”enskild” i lagtexten). Utredningen gjorde härvid bedömningen att detta även skulle möjliggöra utlämnande av uppgifter från ett privat hälso- och sjukvårdsföretag till ett annat eller till hälso- och sjukvårdsmyndig- heter, eftersom den sekretessbrytande bestämmelsen bör innebära att det inte är ett obehörigt röjande att göra ett sådant utlämnande, se avsnitt 20.3.7 i delbetänkandet. I delbetänkandet, avsnitt 20.3.4, beskrivs utförligt vilket behov det finns av att lämna uppgifter från en hälso- och sjukvårdsmyndighet till privata hälso- och sjukvårds- företag. Även inom socialtjänsten ökar privatiseringen och därmed antalet utförare som utför omsorg. Det finns enligt utredningens mening ett motsvarande behov av uppgiftslämnande från en social- tjänstmyndighet till ett privat omsorgsföretag inom socialtjänstens verksamhet. När utredningens förslag genomförs kommer regleringen

327

Bilaga 4

SOU 2021:39

för hälso- och sjukvård och socialtjänst att se olika ut. Det kan ifrågasättas om detta är en befogad skillnad med tanke på att det finns stora likheter mellan den verksamhet som bedrivs av hälso- och sjukvård och socialtjänst, åtminstone såvitt avser insatser för äldre och personer med funktionsnedsättningar. Det finns därför enligt utredningens mening anledning att utreda om det är möjligt och lämpligt att, med bibehållen integritet och säkerhet, tillåta uppgifts- lämnande på motsvarande sätt, exempelvis vid verksamhetsöver- gångar. Utredningen gjorde i samband med förslaget om den sekre- tessbrytande bestämmelsen för hälso- och sjukvården bedömningen att det inte ingick i utredningens uppdrag att överväga bestämmelser som tillåter ytterligare uppgiftslämnande från privata hälso- och sjukvårdsföretag till hälso- och sjukvårdsmyndigheter eller mellan privata hälso- och sjukvårdsföretag, se avsnitt 20.3.1. Samtidigt angavs att utredningen skulle kunna återkomma till sådana fråge- ställningar vid redovisningen i slutbetänkandet av uppdraget att lyfta fram uppkomna frågeställningar för fortsatt utredning.

Dagens lagstiftning är inte anpassad till den rådande situationen med allt fler verksamma aktörer och ständigt pågående struktur- förändringar inom hälso- och sjukvård och socialtjänst. Dessutom har teknisk utveckling och ekonomiska skäl lett till en allt högre grad av digitalisering av dokumentationen inom hälso- och sjukvård och socialtjänst. I princip all dokumentation inom dessa områden kom- mer inom kort att ske digitalt och inte i pappersform. Eftersom elektronisk dokumentation enkelt kan delas på ett helt annat sätt än fysisk dokumentation, bör det enligt utredningens mening utredas om de fördelar som digitaliseringen ger kan utnyttjas i än högre grad för en mer kostnadseffektiv och säker vård och omsorg. Den sekre- tessbestämmelse som utredningen föreslår i avsnitt 20.3 i delbetän- kandet och den motsvarande reglering för socialtjänsten som ovan förordas är ett steg på vägen mot detta. Ett sätt som skulle verka ännu mer för att minska onödig administration och spara kostnader, vore dock att överväga en reglering i offentlighets- och sekretess- lagstiftningen respektive i patientdatalagen, patientsäkerhetslagen och SoLPUL som innebär att en (elektronisk) kopia av dokumen- tationen ska följa med den verksamhet där den upprättats. Detta skulle enligt utredningens bedömning även gynna patientsäkerheten och öka möjligheten att arbeta individbaserat över organisations- gränser. Det skulle kunna ske genom att föreskriva att den som

328

SOU 2021:39

Bilaga 4

bedrivit en viss verksamhet får en uppgiftsskyldighet gentemot den som tar över verksamheten. En sådan uppgiftsskyldighet bör gälla oavsett om verksamheten som tas över bedrivs i privat eller offentlig regi och oavsett om den som tar över är ett företag eller en myndig- het. Myndigheters skyldighet att arkivera allmänna handlingar bör dock inte förändras, dvs. den s.k. proveniensprincipen (att en organi- sations mottagna och upprättade handlingar bildar arkiv hos den organisationen) som tillämpas bör lämnas kvar oförändrad.

En annan tanke, som på intet sätt är ny, är förstås att föra en enda elektronisk journal för varje individ som olika vård- och omsorgs- givare ska anteckna i. En utredning av en sådan idé är emellertid en omfattande arbetsuppgift som förmodligen skulle ta ganska lång tid. Utredningen väljer därför att i första hand förorda en mer begränsad utredning av tanken om att dokumentationen följer verksamheten.

En särskild frågeställning som uppstår i samband med struktur- förändringar inom hälso- och sjukvård är hur den fortsatta tillgången till uppgifterna i patientjournalerna ska säkerställas. Detta gäller särskilt när privata verksamheter läggs ner och när en ny privat aktör upphandlas. Det handlar om vem som ska förvara patientjourna- lerna, vem som ska vara personuppgiftsansvarig och hur behovet av smidig tillgång till patientuppgifterna ska kunna tillgodoses.

Inom hälso- och sjukvården ansvarar hälso- och sjukvårdsmyndig- heter och privata vårdgivare för all behandling av personuppgifter. En journalhandling ska bevaras i minst tio år efter den sista uppgiften fördes in. Vårdgivaren ska säkerställa att uppgifter i patientjournalen förvaras så att de är läsbara tills de gallras. Detta gäller för både offentliga och privata vårdgivare. Om en privat vårdgivares uppdrag upphör, ska den privata vårdgivaren som utgångspunkt fortsatt för- vara patientjournalerna, och hantera frågor om utlämnande av patientuppgifter, under minst tio år. Det säger sig självt att detta kan bli bekymmersamt när det handlar om en vårdgivare vars verksamhet upphört. Det kan t.ex. röra sig om att verksamheten har lagts ned eller gått i konkurs.

I9 kap. patientdatalagen finns bestämmelser om omhänder- tagande av patientjournaler när enskild verksamhet har upphört. Om det på sannolika skäl kan antas att patientjournaler inom enskild (privat) hälso- och sjukvård inte kommer att handhas enligt patient- datalagen eller enligt föreskrifter som har meddelats i anslutning till lagen, får Inspektionen för vård och omsorg (IVO) besluta att

329

Bilaga 4

SOU 2021:39

patientjournalerna ska tas om hand. IVO får också besluta om om- händertagande av patientjournaler inom enskild (privat) hälso- och sjukvård, om den som ansvarar för hanteringen av journalerna ansöker om det, och det finns ett påtagligt behov av att journalerna tas om hand. Patientjournaler som omhändertas enligt beslut av IVO ska förvaras avskilda hos arkivmyndigheten.1 IVO ska ange hos vilken arkivmyndighet journalerna ska förvaras.

Ett problem med att patientjournaler förvaras i ett region- eller kommunarkiv är att patientjournalerna inte finns tillgängliga för hälso- och sjukvården på ett smidigt sätt. Arkivmyndigheten är en egen myndighet i sekretessrättslig mening. Sekretessgränser råder mellan arkivmyndigheten och hälso- och sjukvårdsmyndigheterna i en region eller kommun. Hälso- och sjukvårdsverksamhet som behöver få del av gamla journaluppgifter, exempelvis för att de över- tagit en patient som tidigare gått hos en privat verksamhet som upphört, får då höra av sig till arkivet med en begäran om att få ut patientjournalerna. Arkivmyndigheten har att hantera hälso- och sjukvårdens begäran om att ta del av patientuppgifter som en begäran om att få ut allmänna handlingar. Detta är inte särskilt smidigt och kan leda till oönskade fördröjningar med att få tillgång till viktiga uppgifter ur patientjournalen som behövs för att ge patienten hälso- och sjukvård. För patienter som tidigare fått vård hos en privat vårdgivare men där patientjournalen nu förvaras hos arkivmyndig- heten kan det finnas nackdelar och, i värsta fall, patientsäkerhets- risker med att patientjournalerna inte finns direkt tillgängliga för hälso- och sjukvårdsmyndigheter. Detta kan t.ex. gälla patienter med kroniska eller sällsynta sjukdomar. Patientuppgifterna skulle förmod- ligen kunna göra större nytta i den operativa hälso- och sjukvården. Även det förslag som utredningen lämnat om kvalitetsuppföljning förutsätter att relevant information som finns kring ett visst vård- förlopp eller en sjukdom finns enkelt tillgänglig och förvarad hos hälso- och sjukvårdsmyndigheter och privata vårdgivare. Det kan bli bekymmer om delar av informationen förvaras hos ett region- eller kommunarkiv.

Arkivens verksamhet är vidare inte anpassad för den typ av journal- hantering som är huvudregel i dag, när sjukvården snabbt behöver få

1Av arkivlagen (1990:782) följer att det i varje kommun och region ska finnas en särskild arkivmyndighet. Kommunstyrelsen är arkivmyndighet i kommunen och regionstyrelsen i regionen, om inte kommunfullmäktige eller regionfullmäktige har utsett någon annan nämnd eller styrelse till arkivmyndighet (7 och 8 §§ arkivlagen).

330

SOU 2021:39

Bilaga 4

elektronisk tillgång till en patientjournal i vården av en patient. Den mesta dokumentationen inom hälso- och sjukvården är redan i dag digital och finns tillgänglig via upphandlade journalsystem, ofta även enligt sammanhållen journalföring. Det är inte givet att arkivmyndig- heten har tillgång till samma it-infrastruktur som vårdgivaren använt sig av. Eftersom arkivmyndigheten normalt inte är en hälso- och sjukvårdsmyndighet, kan den information som förvaras där inte heller ingå i sammanhållen journalföring (eller sammanhållen vård- och omsorgsdokumentation).

I tider av digitalisering, effektivisering, artificiell intelligens (AI) och digitala beslutsstöd framstår det som mindre lämpligt att region- och kommunarkiv ansvarar för omhändertagna patientjournaler. Att patientuppgifterna inte finns tillgängliga på ett smidigt sätt för hälso- och sjukvården kan innebära risker ur patientsäkerhetsperspektiv och ur dataskyddsperspektiv (jfr de risker vid verksamhetsövergångar som utredningen beskrivit i delbetänkandet, avsnitt 20.3). Det framstår som mer ändamålsenligt att ett beslut om omhändertagande av patientjournaler i stället medför att en hälso- och sjukvårdsmyndig- het inom regionen eller kommunen tar hand om journalerna. Det hänger också bättre samman med utredningsuppslaget ovan, om att patientjournalen ska följa verksamheten vid organisationsförändringar. Patientuppgifterna skulle förmodligen kunna göra bättre nytta om de finns enklare tillgängliga för hälso- och sjukvården.

Utredningen anser således att det finns skäl att se över ordningen med att omhändertagna patientjournaler förvaras i region- eller kommunarkiv. Det bör övervägas om IVO i samband med beslut om omhändertagande av patientjournal i stället ska utse en hälso- och sjukvårdsmyndighet som ansvarig för att förvara handlingen. Därtill kan det finnas skäl att låta IVO besluta att en hälso- och sjukvårds- myndighet ska (fortsätta att) göra patientuppgifterna tillgängliga i ett system för sammanhållen vård- och omsorgsdokumentation, om uppgifterna redan finns i systemet. Då finns det bättre förut- sättningar för att säkerställa patientsäkerheten och kontinuiteten i vårdens övergångar.

När det gäller omsorgsdokumentation inom privat socialtjänst finns en motsvarighet till omhändertagande av patientjournaler i socialtjänstlagen som anger att IVO ska besluta att en personakt i enskild verksamhet under vissa förutsättningar ska tas om hand om verksamheten upphör. Det gäller om det på sannolika skäl kan antas

331

Bilaga 4

SOU 2021:39

att personakten inte kommer att handhas enligt föreskrifterna i socialtjänstlagen eller enligt föreskrifter som meddelats med stöd av socialtjänstlagen, eller om den som ansvarar för personakten ansöker om det och det finns ett påtagligt behov av att akten tas om hand. Personakter som har tagits om hand ska förvaras avskilda hos arkiv- myndigheten i den kommun där akterna omhändertagits (7 kap. 5 § SoL och 23 f § LSS). Utredningen anser att det, av motsvarande skäl som när det gäller patientjournaler, finns anledning att överväga att omsorgsdokumentation i socialtjänstens personakter som tas om hand efter beslut av IVO i stället ska förvaras hos en kommunal myndighet som utför socialtjänst. Utredningen har i delbetänkandet lämnat förslag om sammanhållen vård- och omsorgsdokumentation, vilka innebär att delar av socialtjänstens dokumentation får göras elektroniskt tillgänglig i ett system för sammanhållen vård- och omsorgsdokumentation. Det bör också övervägas om IVO ska kunna besluta att en kommunal myndighet som utför socialtjänst ska (fort- sätta att) göra omsorgsdokumentationen tillgänglig i ett system för sammanhållen vård- och omsorgsdokumentation, som redan finns i systemet.

B)Låt sammanhållen vård- och omsorgsdokumentation omfatta insatser för ytterligare grupper inom socialtjänsten

Utredningsuppslag: Utred om det är möjligt och lämpligt att låta sammanhållen vård- och omsorgsdokumentation omfatta även insatser för andra grupper av betydande storlek inom social- tjänsten som tydligt kan definieras.

Utredningens uppdrag har varit att se över möjligheterna att införa direktåtkomst, i likhet med den möjlighet som i dag ges genom sammanhållen journalföring, genom en s.k. sammanhållen vård- och omsorgsdokumentation mellan å ena sidan verksamheter som avser äldre personer, t.ex. hemtjänst, och personer med funktionsned- sättningar som har insatser enligt socialtjänstlagen t.ex. boendestöd och insatser enligt LSS. Utredningen kom i delbetänkandet fram till att det finns ett stort behov av att genom sammanhållen vård- och omsorgsdokumentation enkelt och säkert kunna utbyta information om insatser för äldre och personer med funktionsnedsättningar

332

SOU 2021:39

Bilaga 4

mellan dessa verksamheter. Efter en avvägning mellan behov och integritetsrisker bedömde utredningen att det fanns skäl att införa en sådan möjlighet. I utredningens kontakter med företrädare för hälso- och sjukvård och socialtjänst har det påtalats att det finns ett stort behov av sådant informationsutbyte även för andra grupper som får individinriktade insatser från socialtjänsten.

Som utredningen beskrivet i avsnitt 8.7 i delbetänkandet finns det regelverk som innebär krav på samverkan mellan hälso- och sjukvård och socialtjänst dels på allmän samverkan, dels på mer specifikt reglerad samverkan i form av samordnade individuella vårdplaner (SIP) och samordnad vårdplan vid utskrivning från sluten hälso- och sjukvård. Bestämmelserna om SIP omfattar alla personer som behöver en individuell plan för att få sina behov tillgodosedda och missbruksvård och äldreomsorg är exempel på verksamheter inom socialtjänsten där bestämmelserna om SIP ofta får betydelse. Skyldig- heten att upprätta en individuell plan är inte avgränsad till vissa ålders- grupper utan gäller insatser till både vuxna och barn.

Så som tillämpningsområdet för sammanhållen vård- och omsorgs- dokumentation är avgränsat omfattar det dokumentation av insatser för barn och ungdomar med funktionsnedsättningar. Det har dock påtalats för utredningen att det även finns ett stort behov av mot- svarande informationsutbyte om insatser för andra barn och ung- domar. Som exempel har getts att barn och ungdomar kan ha behov av råd och stöd från socialtjänst och samtalsbehandling från barn- och ungdomspsykiatrin samtidigt. Även när det gäller grupperna personer med missbruksproblematik och psykisk sjukdom har mot- svarande behov påtalats. Dessa grupper får ofta insatser i form av hjälp och stöd av sammanhållna team bestående av personal från både hälso- och sjukvård och socialtjänst.

Utredningen delar den uppfattning som framförts att det finns ett behov av att utbyta information även avseende insatser för andra grupper inom socialtjänstens verksamhet. Bestämmelserna om sam- manhållen vård- och omsorgsdokumentation har lagtekniskt ut- formats på ett sådant sätt att det ska vara relativt enkelt att, efter en avvägning mellan behov och integritetsrisker, kunna låta dokumen- tation avseende insatser för andra grupper som tydligt kan definieras ingå i sammanhållen vård- och omsorgsdokumentation. Inom vissa socialtjänstområden finns det dock lagstiftning om tvång, t.ex. om vård till vuxna personer med missbruksproblem eller inom verksam-

333

Bilaga 4

SOU 2021:39

heter riktade till barn och unga. Dokumentation om insatser som ges med tvång är olämpliga att hantera i sammanhållen vård- och omsorgsdokumentation, eftersom det systemet, liksom de insatser som dokumenteras i det, bygger på frivillighet. Dokumentation av insatser som ges med tvång bör dock med utredningens förslagna reglering kunna uteslutas från sammanhållen vård- och omsorgs- dokumentation. Utredningen anser därför att det bör utredas om det är möjligt och lämpligt att låta sammanhållen vård- och omsorgs- dokumentation omfatta även insatser för andra grupper inom social- tjänsten som är av betydande storlek och som tydligt kan definieras.

C)Tillåt att uppgiftssamlingar för kvalitetsuppföljning även får användas för forskning och inför en sekretessbrytande bestämmelse för forskningsändamål

Utredningsuppslag: Inför forskning som ett tillåtet sekundärt ändamål för uppgifter som samlats in för kvalitetsuppföljning enligt lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.

Inför en generell sekretessbrytande bestämmelse som gäller utlämnande till annan myndighet för sådan forskning som har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen).

Överväg att förena bestämmelsen med integritetsstärkande åtgärder, exempelvis en rätt för den enskilde att motsätta sig att hans eller hennes personuppgifter lämnas ut för forskningsända- mål.

I delbetänkandet lämnar utredningen förslag till bestämmelser som gör det möjlighet för regioner och kommuner att behandla person- uppgifter för kvalitetsuppföljning (se kapitel 17 i delbetänkandet). Personuppgifter som behandlas för kvalitetsuppföljning föreslogs även få behandlas för den ansvariga regionens eller kommunens framställning av statistik och för att fullgöra vissa uppgiftsskyldig- heter. Däremot får, enligt förslaget, personuppgifter som behandlas för kvalitetsuppföljning inte behandlas för några andra ändamål än

334

SOU 2021:39

Bilaga 4

de som anges i lagen om sammanhållen vård- och omsorgsdoku- mentation och kvalitetsuppföljning.

Utredningen övervägde att, i likhet med vad som gäller för kvali- tetsregister, införa forskning som ett sekundärt ändamål. Mot bak- grund av skrivningar i utredningsdirektiven bedömde utredningen dock att utlämnande av personuppgifter för forskningsändamål inte bör tillåtas.2 Utredningen har dock fått synpunkter från olika håll om att det vore önskvärt att även tillåta forskning som ett sekundärt ändamål när det gäller uppgifter som samlats in för kvalitetsupp- följning. De uppgiftssamlingar bestående av hälsodata respektive socialtjänstdata som kommer att samlas in för kvalitetsuppföljning kommer sannolikt att i flera fall vara intresse för forskare. Förutom universitet och högskolor bedrivs forskning inom hälso- och sjuk- vård av regionerna själva. Kommunerna ska enligt förslag av Utred- ningen om framtidens socialtjänst bedriva en mer kunskaps- och evidensbaserad verksamhet.3 Sannolikt kommer också åtminstone större kommuner att vilja bedriva forskning med de uppgifter som samlats in för kvalitetsuppföljning enligt den föreslagna lagen. Utredningen anser att det kan finnas skäl att utreda om sådana upp- gifter som samlats in för kvalitetsuppföljning även ska få behandlas för forskningsändamål. Behovet av och vinsterna med att införa forskning som ett tillåtet ändamål bör vägas mot de integritetsrisker det innebär att uppgifterna får en vidare spridning. Det bör över- vägas om den enskilde bör ha rätt att särskilt motsätta sig behandling för forskningsändamål.

Utredningen har även uppmärksammat att det inte finns någon generell sekretessbrytande bestämmelse som medför att uppgifter får lämnas ut för att behandlas för forskningsändamål. Uppgifter får lämnas ut från en myndighet som bedriver hälso- och sjukvårds- verksamhet inom en kommun eller en region till annan sådan myndighet för forskning, om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs (25 kap. 11 § 5 OSL). När sekretesskyddade uppgifter lämnas från en myndighet till en annan för forskningsändamål överförs sekre- tessen till den mottagande myndigheten (11 kap. 3 § OSL). En sekretessprövning måste dock göras i varje enskilt fall, eftersom det inte innebär att sekretessen helt bryts. När det gäller utlämnande av

2Se Informationsöverföring inom vård och omsorg (SOU 2021:4) s. 541.

3SOU 2020:47 s. 49 f.

335

Bilaga 4

SOU 2021:39

uppgifter från hälso- och sjukvården till forskning, som inte är knuten till en hälso- och sjukvårdsmyndighet, finns ingen särskild sekretessbrytande bestämmelse. Här får en sekretessprövning göras, typiskt sett utifrån 25 kap. 1 § offentlighets- och sekretesslagen enligt vilken presumtionen är att sekretess gäller. Det krävs då att det står klart att uppgifterna kan röjas utan att den enskilde eller någon närstående till denne lider men, för att de ska kunna lämnas ut.

För socialtjänstens del finns ingen motsvarande sekretess- brytande bestämmelse för utlämnande till andra socialtjänstmyndig- heter. Dock finns en bestämmelse i socialtjänstlagen som medför en uppgiftsskyldighet för socialnämnden att på begäran lämna ut personuppgifter till statliga myndigheter, när detta begärs för forsk- ningsändamål och det kan ske utan risk för att den enskilde eller någon närstående lider men (12 kap. 6 § SoL).

Personuppgifter om patienter är i princip alltid känsliga person- uppgifter i dataskyddsförordningens mening. Även uppgifter om omsorgsmottagare kan i många fall vara känsliga personuppgifter. Etikprövningslagen är tillämplig på forskning som innefattar behandling av känsliga personuppgifter. Ett beslut om ett s.k. etik- godkännande är en förutsättning för att sådan forskningen ska få genomföras och att behandling av personuppgifter ska få ske (6 § etikprövningslagen). Forskning får godkännas bara om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde. Forskning får inte godkännas, om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forskningspersoners hälsa, säkerhet och personliga integritet (9 och 10 §§ etikprövningslagen). Att forskaren har ett etikgodkännande, innebär dock inte att det finns stöd för att bryta den sekretess som i regel råder för upp- gifterna hos en myndighet som forskaren vänder sig till. En sekre- tessprövning måste alltid göras i det enskilda fallet av om uppgifterna kan lämnas ut till forskaren. Ibland kan ett sådant utlämnande förenas med ett sekretessförbehåll. Sekretessprövning och utformande av eventuella förbehåll kan dock innebära en hel del administration och svåra bedömningar. Det kan noteras att dataskyddsförordningen särskilt hänvisar till att EU enligt artikel 179.1 i EUF-fördraget har som mål att åstadkomma ett europeiskt forskningsområde. Vidare anges att, för att tillgodose de särskilda kraven i samband med behandling av personuppgifter för vetenskapliga forskningsändamål

336

SOU 2021:39

Bilaga 4

bör särskilda villkor gälla, särskilt vad avser offentliggörande eller annat utlämnande av personuppgifter inom ramen för vetenskapliga forskningsändamål (skäl 159 till dataskyddsförordningen).

Utredningen anser att det kan finnas skäl att överväga om det bör införas en generell sekretessbrytande bestämmelse som gäller utläm- nande till annan myndighet för sådan forskning som har godkänts enligt etikprövningslagen. Även om rättspraxis på området synes vara generös4, skulle en sekretessbrytande bestämmelse vara till nytta för utlämnande myndigheter och bidra till att klargöra rätts- läget samt avlasta kammarrätterna. En sådan sekretessbrytande bestämmelse skulle inte vara begränsad till uppgifter som omfattas av hälso- och sjukvårdssekretess eller socialtjänstsekretess, utan vara tillämplig på uppgifter i all myndighetsverksamhet. Bara utläm- nanden till andra myndigheter för sådan forskning som har godkänts enligt etikprövningslagen skulle omfattas. I de fallen har en prövning redan gjorts av bl.a. riskerna för den enskildes personliga integritet och en avvägning gjorts av dessa i förhållande till vinsterna med forskningen.

För att den enskildes integritet ska respekteras, bör en sådan sekretessbrytande bestämmelse sannolikt förenas med integritets- stärkande åtgärder, t.ex. krav på pseudonymisering. En ytterligare tänkbar åtgärd skulle kunna vara att införa en rätt för den enskilde att motsätta sig att hans eller hennes personuppgifter lämnas ut för forskningsändamål. En sådan lösning bör dock vägas mot hur pass tekniskt komplicerat och administrativt betungande det skulle vara för utlämnande myndighet med en sådan rätt för enskilda. En annan tänkbar lösning är att uppgifterna efter ett utlämnande skulle vara föremål för absolut sekretess hos den myndighet som tar emot upp- gifterna.

Utredningsuppslagen i detta avsnitt kan ha särskild betydelse för life science-området.

4Se t.ex. RÅ 1988 ref. 103 och Kammarrätten i Jönköpings dom den 3 april 2017 i mål nr 94–17.

337

Bilaga 4

SOU 2021:39

D)En översyn av lagen och förordningen om behandling av personuppgifter inom socialtjänsten

Utredningsuppslag: Gör en översyn av lagen och förordningen om behandling av personuppgifter inom socialtjänsten (SoLPUL och SoLPUF) med sikte på att införa särskilda skyddsregler för de delar av socialtjänstens verksamhet där behovet av integritets- skydd är särskilt uttalat. Överväg om bestämmelserna om upp- giftssammanställningar och sökbegränsningar bör justeras för att underlätta utvecklingen av beslutsstödsystem.

Ändra SoLPUF så att privata omsorgsgivare, i likhet med vad som gäller för kommunala myndigheter, får rättsligt stöd för att behandla personuppgifter för uppföljning, utvärdering och kvali- tetssäkring.

Flera andra statliga utredningar har på senare tid pekat på behov av och föreslagit ändringar i lagen och förordningen om behandling av personuppgifter inom socialtjänsten.

Utredningen konstaterar i delbetänkandet, avsnitt 16.14.2 och 16.15.2, att det i SoLPUL saknas uttryckliga krav på att anpassa yrkesutövarens behörigheter för elektronisk åtkomst till person- uppgifter efter de behov av uppgifter som yrkesutövaren har för att kunna utföra sitt arbete. Det saknas även uttryckliga bestämmelser om loggning och kontroll av att ingen otillåten åtkomst till uppgifter om enskilda har förekommit. Utredningen gjorde bedömningen att skyddsregler med sådana uttryckliga krav är nödvändiga för att kunna släppa in socialtjänstens dokumentation om insatser för äldre och personer med funktionsnedsättningar i ett system med samman- hållen vård- och omsorgsdokumentation. Bakgrunden till detta är att utredningen gjort bedömningen att det gällande dokumentation av personuppgifter inom socialtjänstens insatser för äldre och personer med funktionsnedsättningar finns ett särskilt uttalat behov av integ- ritetsskydd, vilket utredningen har konstaterat på flera ställen i delbetänkandet. Det finns dock anledning att överväga om inte mot- svarande behov av sådan reglering finns även hos verksamheter inom socialtjänsten som ger insatser till äldre och personer med funk- tionsnedsättningar oavsett om dokumentationen av insatserna ska ingå i sammanhållen vård- och omsorgsdokumentation eller inte.

338

SOU 2021:39

Bilaga 4

Utredningen anser att motsvarande behov kan finnas även inom andra delar av socialtjänstens verksamhet. Socialtjänstens verksam- het är mångfacetterad och spänner över ett stort område. Vissa upp- gifter om den enskilde inom socialtjänsten uppfattas som mer integritetskänsliga än andra. Som företrädare för socialtjänsten på- pekat för utredningen under arbetet med delbetänkandet kan i vissa fall enbart uppgiften att man har kontakt med socialtjänsten, t.ex. att man förekommer i ett ärende om ekonomiskt bistånd eller på grund av missbruk eller som förälder i ett ärende som gäller orosanmälan för ett barn, uppfattas som ett stort socialt stigma vilket medför att många uppfattar det som riskabelt att sådana uppgifter sprids om den enskilde inom socialtjänsten (se avsnitt 20.2.8 i delbetänkandet). Detta kan i sin tur avhålla enskilda från att söka det stöd som de faktiskt har behov av från socialtjänsten.

Ett sätt att möta behovet av integritetsskyddande regler inom socialtjänsten skulle kunna vara att överväga särskilda skyddsregler inom de delar av verksamheten där det går att identifiera att behovet av integritetsskydd är särskilt uttalat. Det finns därför anledning att analysera i vilka delar av socialtjänstens verksamhet behovet av integritetsskydd är särskilt uttalat.

Utredningen har även uppmärksammats på att det kan finnas ett behov av att utreda hur bestämmelserna om sammanställningar av personuppgifter och sökbegränsningar i SoLPUL påverkar möjlig- heten att utveckla beslutsstöd för handläggning av ärenden och att använda artificiell intelligens (AI).

I delbetänkandet, avsnitt 15.5.5, noterade utredningen att den föreslagna lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning kan komma att få vissa konsekvenser i förhållande till SoLPUF. En kommunal nämnd får behandla person- uppgifter för tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamheten (12 § 10 SoLPUF). I privat social- tjänstverksamhet får personuppgifter, förutom för dokumentation som avser vård, behandling eller omsorg av enskilda, bara behandlas för administrationen av verksamheten. Privata omsorgsgivare har således inte något motsvarande rättsligt stöd för att behandla personuppgifter för uppföljning, utvärdering och kvalitetssäkring. Därmed har de inte rättsliga förutsättningar för att följa upp och utvärdera den egna verk- samhetens kvalitet eller att jämföra sig med andra verksamheter.

339

Bilaga 4

SOU 2021:39

Att insatser inom socialtjänsten ska vara av god kvalitet följer av socialtjänstlagen. Kvaliteten i verksamheten ska systematiskt och fortlöpande utvecklas och säkras (3 kap. 3 § SoL). Kravet på god kvalitet gäller både privat och offentlig verksamhet inom social- tjänsten.5 Det kan också noteras att det följer av Socialstyrelsens föreskrifter och allmänna råd om ledningssystem för systematiskt kvalitetsarbete (SOSFS 2011:9) att den som bedriver socialtjänst eller verksamhet enligt LSS är skyldig att utföra ett systematiskt för- bättringsarbete, bl.a. genom s.k. egenkontroll. Egenkontroll defi- nieras i föreskrifterna som systematisk uppföljning och utvärdering av den egna verksamheten samt kontroll av att den bedrivs enligt de processer och rutiner som ingår i verksamhetens ledningssystem. Föreskrifterna är tillämpliga på såväl offentliga som privata utförare av socialtjänst. Privata omsorgsgivare har således en skyldighet enligt lag att systematiskt följa upp verksamheten. Vidare kan sägas att privata utförare har en indirekt skyldighet enligt Socialstyrelsens före- skrifter att genomföra något som i många fall lär kräva behandling av personuppgifter för just uppföljning, utvärdering och kvalitets- säkring. Därtill har utredningen nu lämnat ett förslag som innebär att även privata omsorgsgivare ska få medverka i kvalitetsuppföljning.

Som utredningen noterade i delbetänkandet, ingår det inte i utredningens uppdrag att föreslå ändringar i SoLPUF. Utredningen vill dock återigen uppmärksamma regeringen på att det kan finnas anledning att se över bestämmelserna i SoLPUF. Utredningen anser att det finns skäl att genomföra en ändring i SoLPUF så att privata omsorgsgivare – i likhet med vad som gäller för kommunala nämnder

får rättsligt stöd för att behandla personuppgifter för uppföljning, utvärdering och kvalitetssäkring.

5Prop. 1996/97:124 s. 51.

340

SOU 2021:39

Bilaga 4

E)Gör det lättare att lämna ut barns uppgifter till vårdnadshavare

Utredningsuppslag: Inför en sekretessbrytande bestämmelse som innebär att vårdnadshavare utan hinder av hälso- och sjuk- vårdssekretess får ta del av sina barns uppgifter till dess barnet fyller 18 år. Förena detta med en rätt för barnet att motsätta sig att vårdnadshavare tar del av dess uppgifter, samt en skyldighet för vårdgivare att informera barnet om rätten att motsätta sig (s.k. opt-out).

Utredningen beskriver såväl i delbetänkandet som i detta slutbetän- kande de särskilda problem och hänsynstaganden som behöver göras när det gäller sekretess för barns uppgifter i hälso- och sjukvården i förhållande till vårdnadshavare (se avsnitt 16.5.5 och 17.5.3 i delbetänkandet respektive avsnitt 4.10.1 och 6.4.5 med under- rubriken Barn och deras vårdnadshavare). I svensk rätt finns ingen generell åldersgräns för när ett barn har rätt att självt disponera sina uppgifter. När det gäller hur barnets åsikter ska beaktas har det i svensk rättspraxis skapats vissa utgångspunkter, t.ex. att en 12-årings vilja i regel ska ges avgörande betydelse. Situationen får dock bedömas från fall till fall utifrån barnets ålder och mognad. Utred- ningen, som inte haft i uppdrag att särskilt utreda frågor om sekre- tess när det gäller barn och deras vårdnadshavares, har i sina förslag anslutit sig till de principer som gäller generellt inom hälso- och sjukvården.

Utredningen har dock erfarit att det många gånger kan uppstå svåra gränsdragningsproblem och praktiska bekymmer med att vårdnadshavaren inte får tillgång till barnets uppgifter. Det står också klart att det många gånger kan vara vanskligt att bedöma när ett barn har uppnått sådan ålder och mognad att det självt ska få disponera över sina uppgifter. Problemet gör sig särskilt gällande för barn i yngre tonåren. Det har även ställts på sin spets i den digitala lösning för direktåtkomst till barns patientuppgifter som tillhanda- hålls via Journalen. Där låter sig en sekretessprövning svårligen göras inför varje enskilt utlämnande. Lösningen har varit att vårdgivarna tillsammans med personuppgiftsbiträdet Inera beslutat att auto- matiskt stänga av vårdnadshavares åtkomst till sina barns uppgifter

341

Bilaga 4

SOU 2021:39

från och med att barnet fyller 13 år. Motsvarande bedömning har gjorts av E-hälsomyndigheten som beslutat att i den digitala tjänsten Läkemedelskollen ta bort vårdnadshavares direktåtkomst till ton- åringars receptuppgifter. Här liksom i Journalen ges vårdnadshavare elektronisk tillgång till barnets uppgifter endast till det att barnet fyllt 13 år. Efter en anmälan uttalade JO att det inte fanns skäl att rikta kritik mot detta förfarande. JO delade bedömningen att uppgifter som omfattas av sekretess till skydd för en underårig som uppnått en viss ålder och mognad bör lämnas ut till vårdnadshavare först efter en prövning i varje enskilt fall.6

När det gäller digitala lösningar för direktåtkomst har man således utifrån gällande rätt landat i att de barn som är så pass mogna att de har egen bestämmanderätt över sina uppgifter redan vid 13 års ålder, får styra samtliga vårdnadshavares direktåtkomst till sina barns patientuppgifter. Detta kan leda till problem då exempelvis föräldrar till barn med allergier inte längre ges elektronisk tillgång till upp- gifter om sina barns mediciner från att barnet fyllt 13 år. Det före- faller finnas osäkerhet hos vårdgivare och personal kring hur sekre- tessbestämmelserna ska tillämpas. Av rädsla att göra fel och i värsta fall begå brott mot tystnadsplikten kan det då hända att man inte lämnar ut uppgifter till vårdnadshavare, trots att barnet inte är till- räckligt moget för att bestämma själv.

Det kan antas att de allra flesta barn inte har något emot att deras vårdnadshavare tar del av de allra flesta myndighetsuppgifter om dem. Bara ett fåtal barn lär vilja att vårdnadshavarna inte får ta del av några myndighetsuppgifter om dem alls. En större andel barn kan förmodas ha något emot att vårdnadshavarna tar del av bara vissa av myndighetsuppgifterna om dem. Den nu tillämpade regeln om barnets individuella mognad synes alltså inte motsvara det som de allra flesta barn vill eller åtminstone inte har något emot. Det är betänkligt ur ett barnrättsperspektiv. Att i varje enskilt fall av ut- lämnande av barns uppgifter till vårdnadshavare behöva bedöma barnets mognad är vidare otympligt, särskilt vid den typ av elek- tronisk tillgång genom direktåtkomst eller annat elektroniskt utläm- nande som blivit allt vanligare. Det finns därför anledning att överväga en reglering som är bättre anpassad till det barn normalt vill eller åtminstone inte har något emot.

6Se JO beslut 2021-02-03, dnr 3331–2019.

342

SOU 2021:39

Bilaga 4

En möjlighet skulle kunna vara att införa en generell sekretess- brytande regel som innebär att vårdnadshavare som utgångspunkt får ta del av sina barns uppgifter till dess att barnet fyller 18 år utan hinder av hälso- och sjukvårdssekretess. För att skydda barns intresse av självbestämmande och integritet bör en sådan bestäm- melse förenas med en rätt för barn att motsätta sig att vårdnads- havarna får del av barnets uppgifter. Bara när ett barn vill motsätta sig behöver man bedöma barnets mognad. Barnet behöver förstås informeras om att det har en sådan rätt för att det ska kunna utöva den. Man kan överväga om vårdgivare bör vara skyldiga att vid varje vårdtillfälle informera underåriga som fyllt 13 år om rätten att motsätta sig, om det inte är omöjligt eller av särskilda skäl onödigt. Därmed får det barnet i praktiken möjlighet att motsätta sig att vårdnadshavarna får tillgång till alla eller bara vissa barnets patient- uppgifter.

Det bör övervägas om bestämmelsen bör förenas med en skydds- bestämmelse, som innebär att särskilt känsliga uppgifter (exempelvis om preventivmedelsrådgivning) inte får lämnas ut till vårdnads- havarna när man kan misstänka att barnet skulle lida men av detta. Det kan även finnas skäl att överväga om en motsvarande sekretess- brytande regel bör införas inom socialtjänsten gällande uppgifter om insatser för barn med funktionsnedsättningar.

F) En legitimationskod för den som är legitimerad

Utredningsuppslag: Inför en unik legitimationskod för hälso- och sjukvårdspersonal som registreras i Socialstyrelsens register över legitimerad hälso- och sjukvårdspersonal och är sökbar på internet.

Den legitimerade bör vara skyldig att ange sin legitimations- kod på intyg och recept samt vid journalskrivning.

Det finns ett klart behov av att vissa uppgifter i Socialstyrelsens register över legitimerad hälso- och sjukvårdspersonal (HOSP- registret) på ett enkelt och säkert sätt är tillgängliga på internet för patienter och andra. Legitimationen kan ses som en garanti för att en yrkesutövare har en viss kunskapsnivå och sådana personliga egen- skaper att denne är förtjänt av allmänhetens och myndigheternas

343

Bilaga 4

SOU 2021:39

förtroende när det gäller yrkesutövningen. Mot bakgrund av syftet med legitimering av hälso- och sjukvårdspersonal framstår det som motiverat att göra information om de registrerades behörighet mer tillgänglig för bl.a. patienter än vad som är fallet i dag och enligt utredningens förslag. Det följer också den strävan mot ökad patient- delaktighet som önskas inom vården och kan förväntas bidra till en förbättrad patientsäkerhet. Därtill kan det ses som ännu en nöd- vändig anpassning till dagens mer globala arbetsmarknad och inter- nationalisering, framför allt i förhållande till våra grannländer. Att den som ska sälja eller köpa en fastighet enkelt på internet kan kontrollera att ens mäklare är vederbörligen registrerad, medan den som ska opereras inte enkelt på internet kan kontrollera att kirurgen är behörig förefaller också något inkonsekvent.

Det är rimligt att en aktiv och delaktig patient har möjlighet att snabbt och enkelt själv förvissa sig om att han eller hon kommer att vårdas av en yrkesutövare med rätt kompetens. Bättre möjlighet för patienten att själv kontrollera hälso- och sjukvårdspersonalens legi- timationer och eventuella begränsningar i dessa ligger också i linje med den alltmer prioriterade frågan om brukar- och patientmed- verkan. Det kan också finnas ett berättigat intresse bland t.ex. när- stående eller anhöriga att kunna göra samma kontroll. Därtill förde flera remissinstanser till Utredningen om rätt information i vård och omsorgs delbetänkande SOU 2012:42 fram att det vore en fördel med ett svenskt system mer liknande övriga nordiska länders och att patienter i Sverige borde ha samma möjligheter att själva ta del av upp- gifter om yrkesutövares behörighet inom hälso- och sjukvården.7

En enklare tillgänglighet till uppgifter i HOSP-registret för var och en skulle också göra att Socialstyrelsens arbete med att svara på frågor om innehållet i registret bli mindre omfattande och billigare. Mot detta ska ställas vikten av att skyddet för den personliga integ- riteten upprätthålls.

Det finns olika sätt att identifiera en individ i HOSP-registret. Förutom person- och samordningsnummer är även det s.k. HOSP- id:et och förskrivarkoden unika identitetsuppgifter i registret som entydigt kan identifiera en individ. Dessa identitetsuppgifter är emellertid i regel inte kända eller enkelt tillgängliga för patienten. Detta är en brist som begränsar möjligheterna att på ett såväl patient-

7Se t.ex. Sveriges Kommuner och Landstings (numera Sveriges Kommuner och Regioner) och Region Skånes remissvar på betänkandet SOU 2012:42.

344

SOU 2021:39

Bilaga 4

säkert som integritetssäkert sätt kontrollera en yrkesutövares legi- timation. Utredningen föreslår att person- och samordningsnum- mer ska få användas som sökbegrepp i Socialstyrelsens sökfunktion på internet. Utredningens skäl för att bara tillåta dessa nummer som sökbegrepp framgår i avsnitt 7.7 i slutbetänkandet. Den begräns- ningen innebär dock att den föreslagna sökfunktionen i praktiken får mindre betydelse för patienter och den breda allmänheten. Dessa kan bara undantagsvis antas känna till hälso- och sjukvårdperso- nalens person- eller samordningsnummer.8

För att möjliggöra en säker identifiering på ett integritetssäkert sätt behöver det därför övervägas om en ny uppgift som entydigt identifierar den legitimerade individen bör införas, en s.k. legiti- mationskod som är unik för individen och som registreras i HOSP- registret. En sådan kod skulle till skillnad från exempelvis ett person- nummer endast vara kopplat till individens yrkesmässiga sfär och därför inte vara lika känslig att lämna ut med hänsyn till riskerna för intrång i den personliga integriteten. Vitsen med att införa den unika legitimationskoden är att den ska vara offentlig och sökbar i Social- styrelsens sökfunktion på internet. Var och en som känner till en persons legitimationskod skulle således enkelt kunna söka fram personens namn och uppgifter om dennes legitimation för att kon- trollera att personen är behörig. För att såväl patienter som den breda allmänheten naturligt ska få del av legitimationskoden bör det därför även övervägas om legitimerad hälso- och sjukvårdspersonal bör vara skyldig att ange sin legitimationskod på intyg och recept samt vid journalskrivning. Genom en sådan ordning skapas förut- sättningar för var och en att enkelt kontrollera den hälso- och sjuk- vårdspersonal som man kommer i kontakt med.

8Därtill råder normalt sekretess för uppgifter om personnummer och födelsedatum inom personaladministrativ verksamhet i den offentliga hälso- och sjukvården.

345

Bilaga 4

SOU 2021:39

G)Ta bort direktåtkomst i patientdatalagen och inom sammanhållen vård- och omsorgsdokumentation

Utredningsuppslag: Överväg att ta bort möjligheten till direkt- åtkomst i patientdatalagen och inom sammanhållen vård- och omsorgsdokumentation så att endast tillgång genom annat elek- troniskt utlämnande är tillåten.

Bestämmelserna om sammanhållen journalföring i patientdatalagen ger vårdgivare tillgång till andra vårdgivares dokumentation genom direktåtkomst. Utredningen har delbetänkandet, avsnitt 16.3, före- slagit att vård- och omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation ska kunna få tillgång till andra vård- och omsorgsgivares dokumentation genom både direktåtkomst och annat elektroniskt utlämnande. Ett skäl till att även annat elektro- niskt utlämnande uttryckligen angavs var att utredningen ansåg att det kan finnas situationer då det är mer lämpligt och proportionerligt att använda en annan form av elektroniskt utlämnande än direkt- åtkomst och att det vore olyckligt om det i sådana fall uppstår tveksamhet om det är möjligt att lämna ut uppgifter genom annat elektroniskt utlämnande än direktåtkomst.

Som framgår av utredningens genomgång i delbetänkandet, avsnitt 12.3.3 och 12.3.4, finns det risker med direktåtkomst ur både ett sekretessperspektiv och ett dataskyddsperspektiv. Risker och problem med direktåtkomst har även lyfts fram av andra under de senaste åren. Bland annat rekommenderar Samverkansprogrammet för digital utveckling, eSam, i sin vägledning för utlämnande i elek- tronisk form att när myndigheter ska införa tjänster för att lämna ut uppgifter automatiserat, att nya tjänster inte ska utformas för direkt- åtkomst. Som skäl till detta anges att gränsen mellan de uppgifts- utbytande myndigheterna delvis tas bort och att det uppstår över- skottsinformation, vilket ökar risken för integritetsintrång och annan spridning av känsliga uppgifter. Man hänvisar även till att det av ingresspunkt 31 i dataskyddsförordningen framgår att varje begäran från en myndighet ska vara skriftlig, motiverad, läggas fram i det enskilda fallet och inte gälla ett helt register eller leda till att register kopplas samman. Digitaliseringsrättsutredningen har i sitt betänkande Juridik som stöd för förvaltningens digitalisering (SOU 2018:25) efter

346

SOU 2021:39

Bilaga 4

en kartläggning konstaterat att när de kartlagda myndigheterna ut- vecklar system för informationsöverföring synes målsättningen i regel vara att systemen ska spegla den tekniska lösningen i social- försäkringsdatabasen LEFI Online så att det inte blir fråga om direktåtkomst för den mottagande myndigheten, eftersom myndig- heterna då slipper den särskilda problematik med överskottsinfor- mation som blir en effekt av direktåtkomst (se avsnitt 12.3.6 i delbetänkandet).

Mot denna bakgrund ifrågasatte utredningen i delbetänkandet om det är nödvändigt med tillgång genom direktåtkomst inom sam- manhållen vård- och omsorgsdokumentation. Utredningen gjorde dock bedömningen att det skulle vara enklast och mest ändamåls- enligt att, utöver tillgång genom annat elektroniskt utlämnande, även tillåta direktåtkomst mellan verksamheterna. Samtidigt angavs dock att utredningen i slutbetänkandet skulle kunna återkomma till frågan om det finns anledning att utreda om möjligheten till direkt- åtkomst i patientdatalagen bör ersättas med annat elektroniskt utlämnande vid redovisningen av uppdraget att lyfta fram uppkomna frågeställningar för fortsatt utredning.

Som utredningen konstaterar i avsnitt 8.2.3 i detta slutbetän- kande har LEFI Online-domen inneburit ett visst klargörande beträffande gränsdragningen mellan de olika utlämnandeformerna direktåtkomst och utlämnande på medium för automatiserad behandling. Det står efter domen klart att det är möjligt att lämna ut uppgifter utan att det är att anse som direktåtkomst om det sker genom elektroniskt utlämnande som är snarlikt direktåtkomst men uppbyggt så att det sker en automatiserad prövning i varje enskilt fall innan uppgifterna lämnas ut, en s.k. fråga-svar-funktion.

I sammanhållen vård- och omsorgsdokumentation kommer, på samma sätt som vid sammanhållen journalföring, en ospärrad upp- gift i systemet att anses som en förvarad och inkommen allmän handling hos varje ansluten annan offentlig vård- och omsorgsgivare när systemet bygger på direktåtkomst. Detta gäller dock förmod- ligen inte vid annat elektroniskt utlämnande, t.ex. vid utlämnande genom en s.k. fråga-svar-funktion (se vidare avsnitt 12.3.2 i del- betänkandet). Eftersom detta förhållande medför en del problem, t.ex. vid utformning av datasystem, finns det enligt utredningens mening anledning att se över om det är nödvändigt att tillåta direkt- åtkomst eller om det skulle vara tillräckligt att tillgången inom sam-

347

Bilaga 4

SOU 2021:39

manhållen journalföring och sammanhållen vård- och omsorgs- dokumentation, sker genom något annat elektroniskt utlämnande, t.ex. via en fråga-svar-funktion. Att ta bort möjligheten till direkt- åtkomst skulle även kunna innebära en möjlighet till förenkling av regleringen av sammanhållen vård- och omsorgsdokumentation, eftersom kraven på integritetshöjande skyddsåtgärder i regleringen då kanske skulle kunna minska. Även möjlighet till annan direkt- åtkomst i patientdatalagen, än den som ges inom sammanhållen journalföring, bör av detta skäl ses över. Översynen bör innefatta en kartläggning av i vilken utsträckning direktåtkomst förekommer.

H)Juridiska frågor som uppstår i samband med nya tekniska lösningar inom hälso- och sjukvården

Utredningsuppslag: Utred de juridiska frågor som aktualiseras när hälso- och sjukvården blir alltmer digitaliserad och i ökad utsträckning sker på distans i patientens hem. Det handlar bl.a. om ansvaret för allmänna handlingar och journalföring, sekretess och tystnadsplikt, personuppgiftsansvar, automatiserat besluts- fattande och hantering av känsliga personuppgifter i moln- tjänster. Överväg om detta är tillräckligt ändamålsenligt reglerat i patientdatalagen och övrig hälso- och sjukvårdslagstiftning.

I dagens hälso- och sjukvård används alltmer digital teknik som möjliggör att patienter får delar av hälso- och sjukvård i sitt hem. Det har inte minst aktualiserats under covid-19-pandemin, bl.a. i form av självtester för covid-19 som patienten utför och återrappor- terar till hälso- och sjukvården. Det finns även en allmän utveckling mot att hälso- och sjukvården sker alltmer på distans, i patientens hem med hjälp av nya medicintekniska produkter och digital teknik. Det kan t.ex. ske genom monitorering i hemmet där patienten själv utför mätningar av exempelvis blodtryck och blodsocker. Det kan även handla om andra biologiska mätdata, t.ex. insulinmätningar som görs löpande i en dosa som patienten bär med sig. Resultaten registreras av patienten, via en app eller liknande i dennes telefon, varpå resultaten överförs till hälso- och sjukvården. Det är alltså i någon mån patenten själv som utför hälso- och sjukvårdsinsatsen och registrerar resultatet. Det torde dock knappast vara patienten

348

SOU 2021:39

Bilaga 4

själv som är journalföringspliktig eller ansvarig för att skydda person- uppgifterna.

Teknikens utveckling och den ökade användningen av monito- rering i hemmet väcker flera juridiska frågor kring hälso- och sjuk- vårdens ansvar när det gäller allmänna handlingar, sekretess och dataskydd när den faktiska hälso- och sjukvården i allt högre grad sker i hemmet och automatiserat. Vem är journalföringspliktig för uppgifter som patienten själv registrerar? När blir uppgifterna journal- föringspliktiga? Bör de uppgifter som patienten själv registrerar automatiskt föras in i journalen utan granskning av hälso- och sjuk- vårdspersonal? I vilket skede uppstår en hos hälso- och sjukvården upprättad alternativt inkommen allmän handling? Hur ska hälso- och sjukvårdsmyndigheten eller den privata vårdgivaren kunna utöva sitt personuppgiftsansvar när det är patienten som utför och rap- porterar in uppgifterna? Hur kan hälso- och sjukvårdsmyndigheten eller den privata vårdgivaren säkerställa sekretess och dataskydd för uppgifterna, när det initialt är patienten och/eller tillverkaren av de medicintekniska produkterna som har kontroll över dessa? Före- kommer det automatiserade beslut i den mening som avses i artikel 22 i dataskyddsförordningen när en apparat automatiskt ger patienten medicin baserat på uppmätta värden hos patienten och behövs det i så fall lagstöd för detta beslutsfattande?

En annan fråga som väcks när tekniken blir allt mer avancerad är vilket ansvar som ska vila på den som tillhandahåller tekniken. Det kan exempelvis röra sig om appar för monitorering eller avancerade medicintekniska produkter som används av patienten i hemmet.

En ytterligare fråga som blir allt mer aktuell i takt med ökad digitalisering och monitorering inom hälso- och sjukvården är användningen av s.k. molntjänster som tillhandahålls av person- uppgiftsbiträden, ofta med bas i tredje land, samt vad som krävs för att kunna behandla känsliga personuppgifter i sådana fall. Problemen är välkända och har bl.a. berörts i IT-driftsutredningens delbetän- kande Säker och kostnadseffektiv it-drift – rättsliga förutsättningar för utkontraktering (SOU 2021:1). Den utredningen har lämnat vissa förslag, bl.a. om en sekretessbrytande bestämmelse som tar sikte på fall då uppgifter lämnas ut till företag eller en annan enskild (tjänste- leverantör) som har i uppdrag att utföra endast teknisk bearbetning eller teknisk lagring av de uppgifter som lämnas ut. Det kvarstår dock fortfarande många frågetecken. Exempelvis råder det stor

349

Bilaga 4

SOU 2021:39

osäkerhet inom hälso- och sjukvården kring hur känsliga person- uppgifter kan skyddas på ett fullgott sätt i digitala lösningar, sam- tidigt som den digitala utvecklingen gör att det många gånger inte finns rimliga alternativ till att använda sig av just internationella leverantörer av molntjänster när hälso- och sjukvården köper in nya digitala lösningar.

Det kan sammantaget finnas anledning att se över om den allt mer digitaliserade hälso- och sjukvården, som delvis kan skötas av patienten själv eller helt automatiserat, ibland med hjälp av digitala molntjänstlösningar som tillhandahålls av it-leverantörer, är tillräck- ligt och ändamålsenligt reglerad i patientdatalagen och övriga hälso- och sjukvårdslagstiftningen.

350

Statens offentliga utredningar 2021

Kronologisk förteckning

1.Säker och kostnadseffektiv it-drift

rättsliga förutsättningar för utkontraktering. I.

2.Krav på kunskaper i svenska och samhällskunskap för svenskt medborgarskap. Ju.

3.Skolbibliotek för bildning och utbildning. U.

4.Informationsöverföring inom vård och omsorg. S.

5.Ett förbättrat system för arbetskrafts- invandring. Ju.

6.God och nära vård. Rätt stöd till psykisk hälsa. S.

7.Förstärkt skydd för väljarna vid röst- mottagningen. Ju.

8.När behovet får styra

ett tandvårdssystem för en mer jäm­ lik tandhälsa. Vol. 1 & Vol. 2, bilagor + Sammanfattning (häfte). S.

9.Vem kan man lita på? Enkel och ändamålsenlig användning av betrodda tjänster i den offentliga förvaltningen. I.

10.Radiologiska skador – skadestånd, säkerheter, skadereglering. M.

11.Bättre möjligheter för elever att nå kunskapskraven – aktivt stöd- och elevhälsoarbete samt stärkt utbildning för elever med intellektuell funktions- nedsättning. U.

12.Andra chans för krisande företag

En ny lag om företagsrekonstruktion. Ju.

13.En teknikneutral grundlags­ bestämmelse för regeringsbeslut. Ju.

14.Boende på (o)lika villkor

merkostnader i bostad med särskild service för vuxna enligt LSS. S.

15.Föreningsfrihet och terrorist­ organisationer. Ju.

16.En väl fungerande ordning för val och beslutsfattande i kommuner och regioner. Fi.

17.Ett moderniserat konsumentskydd. Fi.

18.Bolags rörlighet över gränserna. Volym 1 & 2. Ju.

19.En stärkt försörjningsberedskap för hälso- och sjukvården. Del 1 och 2. S.

20.Ecris-TCN – ett mer effektivt utbyte av brottmålsdomar mot tredjelands- medborgare. Ju.

21.En klimatanpassad miljöbalk för samtiden och framtiden. M.

22.Hårdare regler för nya nikotin- produkter. S.

23.Stärkt planering för en hållbar utveckling. Fi.

24.Äga avfall

en del av den cirkulära ekonomin. M.

25.Struktur för ökad motståndskraft. Ju.

26.Använd det som fungerar. M.

27.Ett förbud mot rasistiska organisationer. Ju.

28.Immunitet för utställningsföremål. Ku.

29.Ökade möjligheter att förhindra illegal handel via post. I.

30.Kampen om tiden

mer tid till lärande. U.

31.Kontroller på väg. I.

32.Papper, poddar och ...

Pliktmateriallagstiftning för ett tryggat källmaterial. U.

33.En tioårig grundskola. Införandet av en ny årskurs 1 i grundskolan, grundsärskolan, specialskolan och sameskolan. U.

34.Börja med barnen! En sammanhållen god och nära vård för barn och unga. S.

35.En stärkt rättsprocess och en ökad lagföring. Ju.

36.Gode män och förvaltare – en över- syn. Ju.

37.Stärkt rätt till personlig assistans. Ökad rättssäkerhet för barn, fler grundläggande behov och tryggare sjukvårdande insatser. S.

38.En ny lag om ordningsvakter m.m. Ju.

39.Ombuds tillgång till vård- och omsorgsuppgifter och förenklad behörighetskontroll inom vården. S.

Statens offentliga utredningar 2021

Systematisk förteckning

Finansdepartementet

En väl fungerande ordning för val och ­beslutsfattande i kommuner och regioner. [16]

Ett moderniserat konsumentskydd. [17]

Stärkt planering för en hållbar utveckling. [23]

Infrastrukturdepartementet

Säker och kostnadseffektiv it-drift rättsliga förutsättningar för utkontraktering. [1]

Vem kan man lita på? Enkel och ändamåls­ enlig användning av betrodda tjänster i den offentliga förvaltningen. [9]

Ökade möjligheter att förhindra illegal handel via post. [29]

Kontroller på väg. [31]

Justitiedepartementet

Krav på kunskaper i svenska och samhällskunskap för svenskt medborgarskap. [2]

Ett förbättrat system för arbetskrafts­ invandring. [5]

Förstärkt skydd för väljarna vid röst- mottagningen. [7]

Andra chans för krisande företag

En ny lag om företagsrekonstruktion. [12]

En teknikneutral grundlagsbestämmelse­ för regeringsbeslut. [13]

Föreningsfrihet och terroristorganisationer. [15]

Bolags rörlighet över gränserna. Volym 1 & 2. [18]

Ecris-TCN – ett mer effektivt utbyte av brottmålsdomar mot tredjelandsmed- borgare. [20]

Struktur för ökad motståndskraft. [25]

Ett förbud mot rasistiska organisationer. [27]

En stärkt rättsprocess och en ökad lag­ föring. [35]

Gode män och förvaltare – en översyn. [36]

En ny lag om ordningsvakter m.m. [38]

Kulturdepartementet

Immunitet för utställningsföremål. [28]

Miljödepartementet

Radiologiska skador – skadestånd, säkerheter, skadereglering. [10]

En klimatanpassad miljöbalk för samtiden och framtiden. [21]

Äga avfall

en del av den cirkulära ekonomin. [24] Använd det som fungerar. [26]

Socialdepartementet

Informationsöverföring inom vård och omsorg. [4]

God och nära vård. Rätt stöd till psykisk hälsa. [6]

När behovet får styra

ett tandvårdssystem för en mer jäm­ lik tandhälsa. Vol. 1 & Vol. 2, bilagor + Sammanfattning (häfte). [8]

Boende på (o)lika villkor – merkostnader i bostad med särskild service för vuxna enligt LSS. [14]

En stärkt försörjningsberedskap för hälso- och sjukvården. Del 1 och 2. [19]

Hårdare regler för nya nikotinprodukter. [22]

Börja med barnen! En sammanhållen god och nära vård för barn och unga. [34]

Stärkt rätt till personlig assistans. Ökad rättssäkerhet för barn, fler grundläggande behov och tryggare sjukvårdande insatser. [37]

Ombuds tillgång till vård- och omsorgsuppgifter och förenklad behörighetskontroll inom vården. [39]

Utbildningsdepartementet

Skolbibliotek för bildning och utbildning. [3]

Bättre möjligheter för elever att nå kunskapskraven – aktivt stöd- och elevhälsoarbete samt stärkt utbildning för elever med intellektuell funktions- nedsättning. [11]

Kampen om tiden

– mer tid till lärande. [30]

Papper, poddar och ...

Pliktmateriallagstiftning för ett tryggat källmaterial. [32]

En tioårig grundskola. Införandet av en ny årskurs 1 i grundskolan, grundsärskolan, specialskolan och

sameskolan. [33]

10333 Stockholm Växel 08-405 10 00 www.regeringen.se

ISBN 978-91-525-0107-8 ISSN 0375-250X

Bildbearbetning: Agneta S Öberg

Bild: liuzishan

Omslag: Elanders Sverige AB