Vidareanvändning av hälsodata för vård och klinisk forskning
Del 1
Betänkande av Utredningen om sekundäranvändning av hälsodata
Stockholm 2023
SOU 2023:76
SOU och Ds finns på regeringen.se under Rättsliga dokument.
Svara på remiss – hur och varför
Statsrådsberedningen, SB PM 2021:1.
Information för dem som ska svara på remiss finns tillgänglig på regeringen.se/remisser.
Layout: Kommittéservice, Regeringskansliet
Omslag: Elanders Sverige AB
Tryck och remisshantering: Elanders Sverige AB, Stockholm 2023
ISBN
ISBN
ISSN
Till statsrådet och chefen för Socialdepartementet Jakob Forssmed
Regeringen tillsatte den 12 maj 2022 en särskild utredare med uppdrag att analysera och lämna förslag på utökade möjligheter för sekundär- användning av hälsodata. I uppdraget har också ingått att redogöra för de konkreta tillämpningssvårigheter när det gäller den befintliga regleringen av hälsodata som eventuellt framkommer under utred- ningens gång.
Som särskild utredare förordnades från och med den 12 maj 2022 juristen Katarina Nyström. Utredningen har antagit namnet Utred- ningen om sekundäranvändning av hälsodata.
Som sakkunniga till utredningen förordnades den 19 september 2022 departementssekreterare Evelina Björkegren, Socialdepartementet, Pontus Holm, Näringsdepartementet, och Katarina Nordqvist, Utbild- ningsdepartementet samt ämnesrådet Magnus Enzell.
Som experter till utredningen förordnades den 19 september 2022 vetenskaplig sekreterare Lena Almqvist, Etikprövningsmyndigheten, forskningssekreteraren Sara Belfrage, Stockholms universitet, data- skyddsexperten Per Bergstrand, Vetenskapsrådet, hälsoinformatikern Daniel Karlsson, Socialstyrelsen, enhetschefen Laurent Saunier, Vinnova och enhetschefen Michel Silvestri,
Utredningens expertgrupp har under utredningsarbetet bidragit med värdefulla och konstruktiva synpunkter och underlag. När be- greppet utredningen används i betänkandet avses den särskilda utre- daren samt sekretariatet. Den särskilda utredaren svarar ensam för innehållet i betänkandet.
Som huvudsekreterare i utredningen anställdes från och med den
13 juni 2022 departementssekreteraren Carl Nilsson. Som sekreterare anställdes från och med den 15 augusti 2022 sjukhusjuristen Anna Hofling Johansson och juristen Laura Eriksson. Den rättsliga experten Ida Frithiof arbetade som sekreterare i utredningen från och med 13 juni 2022 till och med den 30 juni 2023. Regionjuristen Amanda Carlström arbetade som sekreterare i utredningen från och med den 1 mars 2023 till och med den 22 oktober 2023.
Tack till alla aktörer som lagt ner tid och engagemang i utredningen. Tack till Sara Belfrage, Manólis Nymark och Andrea Hemming för era bidrag. Särskilt tack till Linda Larsson för din värdefulla insats. Särskilt tack också till Genomic Medicine Sweden, Karolinska Institutet, Region Stockholm, Västra Götalandsregionen och Göteborgs universitet för den kunskap ni delat med er av till utredningen.
I och med detta betänkande är uppdraget avslutat. Utredningen överlämnar härmed Betänkandet om vidareanvändning av hälsodata för vård och klinisk forskning.
Stockholm i november 2023
Katarina Nyström
/Carl Nilsson
Amanda Carlström
Anna Hofling Johansson
Ida Frithiof
Laura Eriksson
Innehåll
1.1Förslag till lag (0000:00) om viss vidareanvändning
av personuppgifter för klinisk forskning ............................... |
|
1.2 Förslag till lag om ändring i patientdatalagen (2008:355) ...... |
1.3Förslag till lag om ändring i offentlighets-
och sekretesslagen (2009:400)................................................ |
|
|
av patientdata i precisionsmedicinsk databas (0000:00) ....... |
1.5Förslag till förordning om ändring
2.3Tolkning av uppdraget om att skapa förutsättningar för
sekundäranvändning av hälsodata för patientändamål.......... |
2.4Tolkning av uppdraget att lämna förslag som möjliggör
utökad sekundäranvändning av hälsodata ............................. |
||
Forskning ................................................................. |
||
|
|
5 |
Innehåll |
SOU 2023:76 |
2.6Begrepp som påverkar tolkningar och avgränsningar
2.6.4Primär- och sekundäranvändning
i rättsliga sammanhang............................................ |
2.6.5Vidareanvändning i stället
|
för sekundäranvändning ......................................... |
|
Den enskildes inställning...................................... |
||
2.7 Utredningens avgränsning av uppdraget............................. |
||
2.7.3Utredningens förslag avser vidareanvändning av personuppgifter som finns inom hälso-
och sjukvården....................................................... |
2.7.4Avgränsningar avseende vidareanvändning
för vårdändamål ..................................................... |
2.7.5Avgränsningar avseende vidareanvändning
för forskning.......................................................... |
2.7.6Avgränsningar avseende vidareanvändning
för utveckling och innovation .............................. |
2.7.7Avgränsningar avseende undervisning
på akademisk nivå.................................................. |
2.7.8Avgränsningar avseende statliga, regionala
och kommunala myndigheters beslutsfattande... 114
2.8 Aktörer som omfattas av utredningens förslag .................. |
||
6
SOU 2023:76 |
Innehåll |
2.9Utredningens uppdrag i förhållande
7
Innehåll |
SOU 2023:76 |
3.5.5Uppgift om en enskilds hälsotillstånd
3.5.6När övergår personuppgifter till att inte längre
4.2.1Kommissionens meddelande om att skapa
5.3.2Säker vård och hälso- och sjukvårdspersonalens
allmänna skyldigheter ........................................... |
8
SOU 2023:76 |
Innehåll |
|
|
||
|
från ett patientperspektiv...................................................... |
|
Utveckling och säkring av verksamhetens kvalitet ............. |
||
5.6Ansvaret för hälso- och sjukvården och övergripande
5.7.2Lagen om psykiatrisk tvångsvård och lagen
6.4.3Lag om ansvar för god forskningssed
|
||
|
||
|
som avser människor ............................................. |
6.4.5
av humanläkemedel................................................ |
6.4.6
produkter ............................................................... |
9
Innehåll |
SOU 2023:76 |
7.1.2Integritetsskydd som en grundläggande
7.2.4Särskilt om finalitetsprincipen
och dess undantag ................................................. |
7.3Dataskyddsförordningens rättsliga grunder
7.5.8Den enskildes inställning i förhållande
7.6.3Kort om säkerhetsåtgärderna och andra
integritetsstärkande åtgärder ................................ |
10
7.7.5Behandling av känsliga personuppgifter
8.2.3Begränsningar i rätten att ta del av allmänna
8.3.3Sekretess i verksamhet som avser
|
||
Sekretess inom forskning...................................... |
||
8.4Tystnadsplikt för personal inom den enskilda
11
Innehåll |
SOU 2023:76 |
10.6.2Scenario 2 – Utvecklingstakten ökar
|
|
|
|
går om föregångsländerna..................................... |
12
SOU 2023:76Innehåll
13
Innehåll |
SOU 2023:76 |
13.3.5Databas som begrepp för den nya samlingen
av personuppgifter................................................. |
|
13.4 Den övergripande modellen................................................. |
|
|
|
13.4.2Inrättande och förande av precisionsmedicinsk
databas (steg 2)...................................................... |
|
|
|
|
för sökning (steg 3)............................................... |
13.4.4Begäran om kompletterande personuppgifter
|
från patientjournal (steg 4)................................... |
|
13.5 Hur bör en precisionsmedicinsk databas få inrättas? ......... |
||
|
||
|
||
14
SOU 2023:76 |
Innehåll |
13.5.3Precisionsmedicinska databaser bör regleras
13.6.2Kostnader och finansieringsprincipen i relation
13.7 Reglering av vidareanvändning för vårdändamål................. |
13.7.1På vilken normgivningsnivå ska regleringen ske? ... 404
13.7.2Reglerna ska föras in i patientdatalagen
15
Innehåll |
SOU 2023:76 |
14.4 Ett nytt ändamål för personuppgiftsbehandling för vården |
|
|
av en annan patient än den som personuppgifterna avser ..... |
||
|
||
|
|
|
|
||
14.4.4Uppgiftsskyldighet som följer av lag
eller förordning ..................................................... |
14.4.5Tillåten behandling av personuppgifter
14.5.2Personuppgiftsansvar för central behandling
|
||
Personuppgiftsansvar i övrigt............................... |
||
|
||
till precisionsmedicinsk databas .......................................... |
||
14.6.1Alla vårdgivare omfattas av möjligheten till urval och tillgängliggörande till precisionsmedicinsk
|
databas.................................................................... |
|
Urval och tillgängliggörande ................................ |
||
Vilka uppgifter ska omfattas?............................... |
14.6.4Vilken eller vilka precisionsmedicinska
|
||
16
SOU 2023:76Innehåll
14.7 Inrättande och förande av precisionsmedicinsk databas .... 498
14.7.1Behovet av en generell bestämmelse om inrättande och förande av precisionsmedicinsk
|
databas .................................................................... |
|
|
||
|
|
|
|
i varje samverkansregion ....................................... |
14.7.4Tillåten behandling av personuppgifter
i precisionsmedicinsk databas ............................... |
14.7.5Behörighet, befogenhet och kontroll hos myndigheten som för precisionsmedicinsk
databas .................................................................... |
14.7.6Uppgifter i en precisionsmedicinsk databas
kan vara allmänna handlingar ................................ |
14.8 Tillgång till personuppgifter i precisionsmedicinsk databas... 517
14.8.1Behoven av tillgång till personuppgifter
i databasen .............................................................. |
|
|
|
|
utlämnande............................................................. |
14.8.3Till vilken eller vilka precisionsmedicinska
databaser ska tillgång ges?..................................... |
14.8.4Behörighet för tillgång till precisionsmedicinsk
databas .................................................................... |
14.8.5Villkor för behandling av personuppgifter
17
Innehåll |
SOU 2023:76 |
18
SOU 2023:76Innehåll
15.2.1Fristående ändring i offentlighets-
och sekretesslagen ................................................. |
15.2.2Införande av forskning som ändamål
15.3.4Regler om förenklad tillgång
19
Innehåll |
SOU 2023:76 |
16.1.3Den rättsliga grunden vid vidareanvändning
av personuppgifter enligt lagen ............................ |
16.1.4Undantag för behandling av känsliga
16.4.2Endast personuppgifter som behandlas hos
en regional myndighet som bedriver hälso- och sjukvård ska omfattas av den föreslagna lagen .... 660
16.4.3Verksamhet som ska omfattas
16.4.4Personuppgifter som behandlas enligt 2 kap.
4 § första stycket
16.4.5Regional myndighet eller lärosäte
16.4.6 Ändamålet klinisk forskning ................................ |
20
SOU 2023:76Innehåll
16.6.1Personuppgiftsansvar för regional myndighet
16.6.2Personuppgiftsansvar för regionala myndigheter och lärosäten som bedriver
16.7.2Formerna för det elektroniska
tillgängliggörandet................................................. |
16.7.3Den begränsade direktåtkomsten
ska vara tidsbestämd .............................................. |
16.7.4Endast en regional myndighet eller ett lärosäte
21
Innehåll |
SOU 2023:76 |
än den som uppgifterna avser .............................................. |
|
17.1.2Finns det någon tillämplig sekretessbrytande
bestämmelse?......................................................... |
17.1.3Är det lämpligt med en sekretessbrytande
grund? .................................................................... |
17.1.4Utformningen av en sekretessbrytande
|
bestämmelse........................................................... |
|
|
||
i precisionsmedicinsk databas .............................................. |
||
22
av personuppgifter för klinisk forskning............................. |
||
|
||
|
bestämmelse? ......................................................... |
|
17.3.3Är det lämpligt med en sekretessbrytande
grund?..................................................................... |
17.3.4Utformningen av en sekretessbrytande
23
Innehåll |
SOU 2023:76 |
18.2.4Konsekvenser av att enskilda kan motsätta
18.2.5Konsekvenser av att vissa referenser inte kan
|
||
Risken för ändamålsglidning ................................ |
||
Konsekvenser för forskning ................................. |
18.2.9Konsekvenser av användningen
18.3Konsekvenser som följer av förslagen om en ny lag om viss vidareanvändning av personuppgifter
för klinisk forskning............................................................. |
18.3.1Kostnadsberäkningar samt ekonomiska
effektiviteten ......................................................... |
18.3.2Konsekvenser av att nationella kvalitetsregister inte omfattas
|
av utredningens förslag ......................................... |
|
|
||
|
och informationssäkerhet ..................................... |
18.3.5Konsekvenser för aktörer
som bedriver forskning......................................... |
|
18.3.6 Konsekvenser för företag ..................................... |
24
SOU 2023:76 |
|
Innehåll |
|
||
|
mellan kvinnor och män ........................................ |
|
18.3.9Konsekvenser av att integritetshöjande samtycke krävs för tillgängliggörande
18.4.1Konsekvenser för verksamhet som bedriver
|
|
||
|
|
||
|
|
när det gäller samtycken ........................................ |
|
Del 2 |
|
|
|
FRÅGOR FÖR FORTSATT UTREDNING.............................. |
837 |
||
19 |
En nationell datahubb.............................................. |
839 |
|
19.1 |
Inledning................................................................................ |
839 |
|
19.2 |
Utmaningarna på hälsodataområdet .................................... |
841 |
|
|
19.2.1 Hälsodataområdet är ett komplext ekosystem.... |
842 |
|
|
19.2.2 |
Allmänna utgångspunkter..................................... |
843 |
19.3 |
Avgränsningar och begränsningar........................................ |
845 |
|
|
19.3.1 |
Interoperabilitet..................................................... |
846 |
|
19.3.2 |
Kompetensbrist och kompetensväxling............... |
846 |
|
19.3.3 |
Förändrad demografi............................................. |
847 |
|
19.3.4 Kriser och oväntade händelser .............................. |
847 |
|
|
19.3.5 |
Förändrad ansvarsfördelning ................................ |
847 |
19.4 |
Alternativ till en datahubb som utredningen övervägt ....... |
848 |
|
19.5 |
Vad är en datahubb?.............................................................. |
849 |
|
|
19.5.1 |
Hälsodataområdet ................................................. |
850 |
|
19.5.2 |
EU:s och Sveriges hälsodataområde..................... |
850 |
|
19.5.3 |
Nationell datahubb................................................ |
851 |
|
19.5.4 Regionala och lokala datahubbar .......................... |
855 |
|
25
Innehåll |
SOU 2023:76 |
|
19.5.5 Integrera den nationella datahubben |
|
|
|
|
med befintlig digital infrastruktur........................ |
856 |
|
19.5.6 |
Medborgares data .................................................. |
857 |
19.6 |
Ansvar för styrning och samordning |
|
|
|
på hälsodataområdet ............................................................. |
859 |
|
|
19.6.1 Förändrad ansvarsfördelning styrning och |
|
|
|
|
samordning inom hälsodataområdet.................... |
861 |
20 |
En nationell datahubb för ändamålen |
|
|
|
i utredningens direktiv .............................................. |
871 |
|
20.1 |
Inledning ............................................................................... |
871 |
|
20.2 |
Vården av en annan patient än den |
|
|
|
som personuppgifterna avser ............................................... |
871 |
|
20.3 |
Forskningsändamålet ........................................................... |
872 |
|
|
20.3.1 Behov av att kunna dela data inom EU................ |
875 |
|
20.4 |
Ändamålet utveckling- och innovation............................... |
876 |
|
|
20.4.1 Utveckling som kräver datadelning mellan |
|
|
|
|
kommuner och regioner ....................................... |
877 |
|
20.4.2 Utveckling som kräver datadelning mellan |
|
|
|
|
regioner och andra aktörer.................................... |
878 |
20.5 |
Ändamålet myndighetsbeslut .............................................. |
879 |
|
|
20.5.1 |
Tandvårds- och läkemedelsförmånsverket .......... |
880 |
|
20.5.2 |
Försäkringskassan ................................................. |
881 |
|
20.5.3 |
Sammanfattande kommentar................................ |
882 |
20.6 |
Privata aktörers behov.......................................................... |
885 |
|
|
20.6.1 |
Riskdelningsavtal................................................... |
886 |
21 |
Byggstenar för den nationella datahubben .................. |
889 |
|
21.1 |
Byggstenar............................................................................. |
889 |
|
21.1.1En inloggningstjänst för att hjälpa medborgare
|
att få en ökad kontroll över sina hälsodata .......... |
890 |
21.1.2 |
En tjänst för att hantera samtycken..................... |
890 |
21.1.3 |
Säker behandlingsmiljö ......................................... |
893 |
21.1.4Rådgivning om tillgång och delning
av hälsodata............................................................ |
894 |
26
SOU 2023:76Innehåll
|
21.1.5 |
Gemensam menprövning ...................................... |
895 |
|
21.1.6 |
Metadatakatalog..................................................... |
896 |
|
21.1.7 |
Certifiering av datahållare och dataanvändare ..... |
897 |
|
21.1.8 |
Årlig rapport om status på hälsodataområdet ..... |
899 |
|
21.1.9 |
Tjänst för att underlätta antalsberäkningar.......... |
899 |
|
21.1.10 |
Möjlighet att kontakta individer |
|
|
|
i registerstudier ...................................................... |
901 |
|
21.1.11 |
En plattform för innovation ................................. |
902 |
22 |
Frågeställningar för fortsatt utredning ........................ |
905 |
|
22.1 |
Inledning................................................................................ |
905 |
|
22.2 |
Utmaningar kopplade till registerbaserad forskning .......... |
906 |
|
22.2.1Menprövningar och möjligheten att kontakta
|
|
potentiella forskningspersoner ............................. |
906 |
|
22.2.2 |
Handläggningstider ............................................... |
909 |
|
22.2.3 Skapande av egna villkor vid utlämnande |
|
|
|
|
av hälsodata ............................................................ |
910 |
22.3 |
Utökat behov av precisionsmedicinska databaser............... |
911 |
|
|
22.3.1 |
1+ Million Genomes............................................. |
912 |
22.4 |
Begränsningar i rätten att ta del av data från hälso- |
|
|
|
och sjukvården med stöd av offentlighetsprincipen ........... |
917 |
|
22.5 |
Tydliggörande av organisatoriska och tekniska åtgärder.... |
919 |
|
22.6 |
Avsaknad av rättsmedicinska ändamål |
|
|
|
och rättspsykiatriska ändamål .............................................. |
919 |
|
22.7 |
Övriga behov inom hälsodataområdet................................. |
921 |
|
|
22.7.1 Kroppsnära teknik och hälsofrämjande |
|
|
|
|
insatser.................................................................... |
921 |
|
22.7.2 Behovet av syntetiska data .................................... |
922 |
|
|
22.7.3 Nationella data av regionalt intresse .................... |
923 |
|
|
22.7.4 Ökade möjligheter att följa upp reformer |
|
|
|
|
med hjälp av data.................................................... |
924 |
22.7.5Ökad aktualitet och förbättrad
|
dataförsörjning....................................................... |
925 |
22.7.6 |
Lagrings- och beräkningskapacitet....................... |
925 |
22.7.7 |
Datamängder.......................................................... |
927 |
27
Innehåll |
SOU 2023:76 |
|
22.7.8 |
Kompetensförsörjning.......................................... |
934 |
22.8 |
Undervisning på akademisk nivå ......................................... |
935 |
|
22.9 |
Översyn av begrepp.............................................................. |
936 |
|
22.10 |
Föråldrad lagstiftning av vårdgivares behandling |
|
|
|
av personuppgifter inom hälso- och sjukvården................. |
938 |
|
|
22.10.1 |
Utmaningar med en utdaterad lagstiftning ......... |
938 |
|
22.10.2 |
Privata företags behov av ändamål |
|
|
|
i patientdatalagen .................................................. |
939 |
|
22.10.3 |
Teknisk utveckling och nya behov....................... |
940 |
|
22.10.4 |
Antalsberäkningar och behovet att kontakta |
|
|
|
de som räknats fram .............................................. |
941 |
23 |
Särskilt om frågeställningar för fortsatt utredning |
|
|
|
avseende utveckling och innovation ........................... |
943 |
|
23.1 |
Ändamålet utveckling och innovation ................................ |
943 |
|
23.2 |
Utveckling och innovation .................................................. |
943 |
|
|
23.2.1 |
Inledning................................................................ |
943 |
|
23.2.2 |
Juridiska förutsättningar....................................... |
943 |
23.2.3Behov av personuppgifter från
andra vårdgivare..................................................... |
945 |
23.2.4 Begreppet utveckling ............................................ |
947 |
23.2.5Oklarheter kring vad utvecklingsbegreppet
omfattar ................................................................. |
947 |
23.2.6 Begreppet innovation............................................ |
948 |
23.2.7Utveckling och innovation
i kommunal verksamhet........................................ |
949 |
23.2.8 Privata vårdgivare .................................................. |
951 |
23.2.9Vård, klinisk forskning och utveckling inom
|
hälso- och sjukvården sker samtidigt ................... |
952 |
23.2.10 Gränserna mellan klinisk forskning, |
|
|
|
utveckling och innovation .................................... |
953 |
23.2.11 |
Skillnaden mellan utveckling och uppföljning .... |
954 |
23.2.12 |
Beslutsstöd ............................................................ |
954 |
28
SOU 2023:76Innehåll
24 |
Författningskommentar ............................................ |
957 |
24.1 |
Förslaget till lag (0000:00) om viss vidareanvändning |
|
|
av personuppgifter för klinisk forskning ............................. |
957 |
24.2 |
Förslaget till lag om ändring i patientdatalagen |
|
|
(2008:355).............................................................................. |
978 |
24.3 |
Förslaget till lag om ändring i offentlighets- |
|
|
och sekretesslagen (2009:400)............................................ |
1021 |
Bilagor |
|
|
Bilaga 1 Kommittédirektiv 2022:41 ......................................... |
1033 |
|
Bilaga 2 Tilläggsdirektiv till Utredningen |
|
|
|
om sekundäranvändning av hälsodata........................ |
1045 |
Bilaga 3 Samtycken inom vård och klinisk forskning............. |
1047 |
|
Bilaga 4 Promemoria med förslag om ändring |
|
|
|
av |
|
|
hälsodataområdet ........................................................ |
1059 |
29
Förkortningar
Arkivlagen |
Arkivlagen (1990:782) |
Barnkonventionen |
FN:s konvention om barnets |
|
rättigheter |
Biobankslagen |
Biobankslagen (2023:38) |
Biomedicinkonventionen |
Europarådets konvention om |
|
mänskliga rättigheter och bio- |
|
medicin |
CTR |
Europaparlamentets och rådets |
|
förordning (EU) nr 536/2014 |
|
av den 16 april 2014 om kli- |
|
niska prövningar av humanläke- |
|
medel och om upphävande av |
|
direktiv 2001/20/EG |
Datalagen |
Lag (2022:218) om den offent- |
|
liga sektorns tillgängliggörande |
|
av data |
Dataskyddslagen |
Lagen (2018:218) med komplet- |
|
terande bestämmelser till EU:s |
|
dataskyddsförordning |
DIGITAL |
Programmet för ett digitalt |
|
Europa |
EDPB |
European Data Protection |
|
Board eller Europeiska Data- |
|
skyddsstyrelsen |
EPL |
Lagen (2003:460) om etik- |
|
prövning av forskning som |
|
avser människor |
Europakonventionen |
Europeiska konventionen om |
|
skydd för de mänskliga |
31
Förkortningar |
SOU 2023:76 |
|
rättigheterna och de grund- |
|
läggande friheterna |
EU:s dataförvaltningsförordning |
Europaparlamentets och rådets |
eller dataförvaltningsförord- |
förordning (EU) 2022/868 av |
ningen |
den 30 maj 2022 om europeisk |
|
dataförvaltning och om ändring |
|
av förordning (EU) 2018/1724 |
|
(dataförvaltningsakten) |
EU:s dataskyddsförordning eller |
Europaparlamentets och rådets |
dataskyddsförordningen |
förordning (EU) 2016/679 av |
|
den 27 april 2016 om skydd för |
|
fysiska personer med avseende |
|
på behandling av personupp- |
|
gifter och om det fria flödet av |
|
sådana uppgifter och om upp- |
|
hävande av direktiv 95/46/EG |
|
(allmän dataskyddsförordning) |
Findata |
Tillståndsmyndigheten enligt |
|
lagen om sekundäranvändning |
|
av personuppgifter inom social- |
|
och hälsovården (552/2019) |
Finska sekundäranvändnings- |
Lagen om sekundäranvändning |
lagen |
av personuppgifter inom social- |
|
och hälsovården (552/2019) |
Förslaget till EHDS |
Europeiska kommissionens |
|
förslag till Europaparlamentets |
|
och Rådets förordning om ett |
|
europeiskt hälsodataområde, |
|
COM(2022) 197 final av den |
|
3 maj 2022 |
Förslaget till EU:s dataförord- |
Europeiska kommissionens för- |
ning |
slag till Europaparlamentets och |
|
rådets förordning om harmoni- |
|
serade regler för skälig åtkomst |
|
till och användning av data (data- |
|
akten) COM(2022) 68 final av |
|
den 23 februari 2022 |
GCP |
Good Clinical Practice |
32
SOU 2023:76 |
Förkortningar |
GMS |
Genomic Medicine Sweden |
Helsingforsdeklarationen |
Helsingforsdeklarationen om |
|
etiska principer för medicinsk |
|
humanforskning, fastställd av |
|
World Medical Association |
HSF |
Hälso- och sjukvårdsförord- |
|
ningen (2017:80) |
HSL |
Hälso- och sjukvårdslagen |
|
(2017:30) |
Socialstyrelsens föreskrifter |
|
|
och allmänna råd |
|
2016:40) om journalföring och |
|
behandling av personuppgifter |
|
i hälso- och sjukvården |
IVDR |
Europaparlamentets och rådets |
|
förordning (EU) 2017/746 av |
|
den 5 april 2017 om medicin- |
|
tekniska produkter för in vitro- |
|
diagnostik och om upphävande |
|
av direktiv 98/79/EG och kom- |
|
missionens beslut 2010/227/EU |
Kastreringslagen |
Den upphävda lagen (1944:133) |
|
om kastrering |
KL |
Kommunallagen (2017:725) |
KOMET |
Kommittén för teknologisk |
|
innovation och etik |
LPT |
lag (1991:1128) om psykiatrisk |
|
tvångsvård |
LRV |
lag (1991:1129) om rättspsykia- |
|
trisk vård |
MDR |
Europaparlamentets och rådets |
|
förordning (EU) 2017/745 av |
|
den 5 april 2017 om medicin- |
|
tekniska produkter, om ändring |
|
av direktiv 2001/83/EG, förord- |
|
ning (EG) nr 178/2002 och för- |
|
ordning (EG) nr 1223/2009 och |
33
Förkortningar |
SOU 2023:76 |
|
om upphävande av rådets direk- |
|
tiv 90/385/EEG och 93/42/EEG |
NGP |
Nationella |
|
Genomikplattformen |
OECD |
Organisation for Economic |
|
|
OSF |
Offentlighets- och sekretessför- |
|
ordningen (2009:641) |
OSL |
Offentlighets- och sekretess- |
|
lagen (2009:400) |
PDL |
Patientdatalagen (2008:355) |
PL |
Patientlagen (2014:821) |
PSL |
Patientsäkerhetslagen |
|
(2010:659) |
RF |
Regeringsformen |
JO |
Riksdagens ombudsmän |
Rättighetsstadgan |
Europeiska unionens stadga om |
|
de grundläggande rättigheterna |
Smittskyddslagen |
Smittskyddslagen (2004:168) |
SolPul |
Lagen (2001:454) om behand- |
|
ling av personuppgifter inom |
|
socialtjänsten |
SCB |
Statistiska centralbyrån |
SVOD |
Lagen (2022:913) om samman- |
|
hållen vård- och omsorgsdoku- |
|
mentation |
Tandvårdslagen |
Tandvårdslagen (1985:125) |
Utredningen om en långsiktig |
En långsiktig reglering av |
reglering av forsknings- |
forskningsdatabaser, |
databaser |
Dnr U2022/04089 |
TF |
Tryckfrihetsförordningen |
|
(1949:105) |
Vårdanalys |
Myndigheten för vård- och |
|
omsorgsanalys |
34
Sammanfattning
Behovet och viljan att dela eller ta del av hälsodata är stort. Regel- verket som styr hur hälsodata får delas upplevs dock av många som svårnavigerat och komplext, vilket skapar utmaningar och ibland oönskade begränsningar avseende vilka data som får och kan delas. Regelverket ställer också i viss utsträckning upp hinder för datadel- ning till förmån för angelägna ändamål.
I utredningens direktiv framgår det att utredningen ska analysera, bedöma om det behövs författningsändringar och i så fall lämna nöd- vändiga författningsförslag för att möjliggöra sekundäranvändning av hälsodata från hälso- och sjukvården för
–att personuppgifter eller andra data från flera individer ska kunna användas för vård och behandling av andra enskilda individer,
–forskning,
–utvecklings- och innovationsverksamhet,
–undervisning på akademisk nivå samt,
–statliga, regionala och kommunala myndigheters beslutsfattande.
I uppdraget ingår också att redogöra för konkreta tillämpningssvårig- heter när det gäller den befintliga regleringen av hälsodata som even- tuellt framkommer under utredningens gång.
Utredningen redogör i kapitel 2 för utredningens tolkning av direk- tiven samt vilka avgränsningar utredningen gjort.
35
Sammanfattning |
SOU 2023:76 |
Utredningens författningsförslag
Utredningen har haft ett omfattande uppdrag med begränsade tids- ramar. Eftersom det krävs genomgripande utredning för att lämna för- fattningsförslag som ska gå att genomföra, har utredningen varit tvungen att göra betydande avgränsningar. Utredningen lämnar därför författningsförslag avseende två av direktivens uppräknade ändamål. Utredningen har dock utrett samtliga ändamål och försökt att så detal- jerat som möjligt redogöra för en väg framåt, utan att göra en mer djupgående juridisk analys som författningsförslag kräver.
Vidareanvändning för vårdändamål
Av direktiven följer att det finns ett behov att se över regleringen för att personuppgifter eller andra data från flera individer ska kunna användas för vård och behandling av andra enskilda individer. Utred- ningen benämner detta vidareanvändningen av personuppgifter för vård- ändamål.
Utredningen bedömer att det behövs författningsändring för att möjliggöra den typ av vidareanvändning av personuppgifter för vård- ändamål som behövs för att precisionsmedicin ska kunna användas på ett ändamålsenligt sätt i svensk hälso- och sjukvård. Utredningen före- slår därför ändringar i patientdatalagen (2008:355), förkortad PDL, och offentlighets- och sekretesslag (2009:400), förkortad OSL, samt en ny förordning som kompletterar föreslagna bestämmelser i PDL. Ut- redningen föreslår att kapitel 6 i PDL används för reglering av vidare- användning av personuppgifter för vårdändamål. Utredningens förslag innebär att det på regional nivå inom hälso- och sjukvården skapas förutsättningar för vidareanvändning av personuppgifter för vårdända- mål. Utredningen föreslår att det, i beaktande av det kommunala själv- styret, ska vara frivilligt att tillämpa reglerna.
Ett nytt ändamål som avser behandling av personuppgifter för vård av en annan patient än den som uppgifterna avser
Utredningen föreslår att det införs ett nytt ändamål i PDL som avser behandling av personuppgifter för vård av en annan patient än den som personuppgifterna avser. Personuppgifter som behandlas för vården
36
SOU 2023:76 |
Sammanfattning |
av en annan patient än den som uppgifterna avser får inte behandlas för något annat ändamål.
Datadelning för det nya ändamålet ska, med vissa avgränsningar, kunna ske över vårdgivar- och myndighetsgränser. Utredningen förslår därför en ny sekretessbrytande grund med koppling till föreslagna regler i 6 kap. PDL. Utredningens förslag i övrigt har utformats med utgångspunkt i att behandling av personuppgifter för ändamålet ska kunna ske under så likartade villkor som möjligt, oavsett om det sker inom en myndighet eller över myndighetsgränser.
Precisering av ändamålet och integritetsskyddande åtgärder
Det integritetsintrång som utredningen förslag om vidareanvändning för vårdändamål innebär, behöver vägas upp av preciseringar av ända- målet, avgränsningar och skyddsåtgärder. Utredningens förslag innebär att behandling av personuppgifter för ändamålet preciseras i fyra steg:
1.Urval och tillgängliggörande av personuppgifter till precisions- medicinsk databas
2.Inrättande och förande av precisionsmedicinsk databas
3.Tillgång till uppgifter i precisionsmedicinsk databas genom direkt- åtkomst eller annat elektroniskt utlämnande
4.Begäran om kompletterande personuppgifter från patientjournal
Utredningen föreslår att navet för behandling av personuppgifter för vård av en annan patient än den som uppgifterna avser utgörs av en ny, begränsad, uppgiftssamling kallad precisionsmedicinsk databas. En precisionsmedicinsk databas syftar till att skapa underlag för behand- ling av personuppgifter för det nya ändamålet. Det är ett urval av de personuppgifter som behövs för ändamålet som ska tillgängliggöras till en precisionsmedicinsk databas. Utredningens förslag lämnar möj- lighet för samtliga vårdgivare att tillgängliggöra personuppgifter till en precisionsmedicinsk databas (steg 1).
Utredningen föreslår att patienten ska kunna motsätta sig tillgäng- liggörande av personuppgifter till en precisionsmedicinsk databas. Innan uppgifter tillgängliggörs till en precisionsmedicinsk databas ska patienten få information om bland annat vad personuppgiftsbehand- ling i precisionsmedicinsk databas innebär samt möjligheten att mot-
37
Sammanfattning |
SOU 2023:76 |
sätta sig att uppgifter görs tillgängliga. Särskilda regler om information och samtycke föreslås för personer som inte endast tillfälligt saknar förmåga att ta ställning. Vårdnadshavare kan motsätta sig tillgänglig- görande av uppgifter rörande barn. Barn som utifrån ålder och mog- nad kan ta ställning kan själva motsätta sig tillgängliggörande.
Som en ytterligare skyddsåtgärd föreslår utredningen att person- uppgifter i samtliga fyra steg ska vara pseudonymiserade eller skyddade på likvärdigt sätt. Det är endast regionala myndigheter inom hälso- och sjukvården som får inrätta och föra precisionsmedicinska databaser samt vara personuppgiftsansvarig för central behandling av person- uppgifter i en precisionsmedicinsk databas (steg 2). Det är också endast regionala myndigheter inom hälso- och sjukvården som får ha till- gång, genom direktåtkomst eller annat elektroniskt utlämnande, till uppgifter i en sådan databas (steg 3). Hos regionala myndigheter inom hälso- och sjukvården är det endast den som arbetar inom den spe- cialiserade hälso- och sjukvården och som behöver tillgång till en pre- cisionsmedicinsk databas för sitt arbete med att förebygga, utreda eller behandla sjukdomar och skador hos patienter som ska kunna till- delas behörighet till en sådan databas.
Kopplat till förslaget om direktåtkomst eller annat elektroniskt utlämnande (steg 3) föreslår utredningen en regel om absolut sekretess.
Precisionsmedicinsk databas
Det hade enligt utredningens mening funnits fördelar med att ha en nationell precisionsmedicinsk databas eller en federerad lösning som möjliggör jämförelser över hela landet. Utredningen bedömer dock att det inte finns någon sådan infrastruktur på plats i dag och att det för närvarande saknas organisatoriska förutsättningar för att skapa en sådan infrastruktur som samtidigt är försvarbar ur ett rimligt tids- perspektiv för att skapa nytta inom en närtid. Utredningen har därför valt att lämna författningsförslag som skapar förutsättningar för dels, en precisionsmedicinsk databas per samverkansregion, dels att en precisionsmedicinsk databas får föras inom den Nationella Genomik- plattformen, förkortad NGP. Den precisionsmedicinska databasen inom NGP möjliggör datadelning mellan landets sju regionsjukhus (universitetssjukhus), vilket innebär nödvändig täckning för till exem- pel diagnostisering och behandling av sällsynta diagnoser som fångas
38
SOU 2023:76 |
Sammanfattning |
upp av regionsjukhusen (universitetssjukhusen) i dagsläget. NGP som
Den främsta anledningen till utredningens val av lösning är att det är det alternativ som skulle kunna komma på plats fortast och som utredningen bedömt vara proportionerlig ur ett integritetsperspektiv. På längre sikt ser utredningen dock att det bör övervägas och utredas om en nationell precisionsmedicinsk databas genom en federerad lösning som möjliggör jämförelser över hela landet kan införas. Ut- redningen bedömer att aktuella förslag går i linje med en sådan mer långsiktig lösning och att förslagen därmed inte bör innebära stora extra kostnader eller för den delen senarelägga den långsiktiga lös- ningen. Det här är en insats som, enligt utredningens bedömning, behöver anpassas efter förslaget till EHDS, när det är klart hur en slutlig version ser ut för det regelverket. Utredningen bedömer också att det är bättre att bygga infrastrukturen stegvis och att den skapar nytta succesivt, hellre än att bygga hela infrastrukturen i ett svep och sedan se om den fungerar och levererar enligt de behov som finns. Utredningen resonerar kring hur en mer långsiktig lösning skulle kunna se ut (se kapitel
Kompletterande personuppgifter från patientjournal
Utredningen lämnar även förslag om att regionala myndigheter inom hälso- och sjukvården som har tillgång till en precisionsmedicinsk data- bas ska kunna begära och få ta del av kompletterande personuppgifter från patientjournal (steg 4). Kompletterande uppgifter ska även kunna tillgängliggöras internt inom en myndighet.
Syftet är att göra det möjligt att hämta in mer information om specifika patienter när uppgifterna i den precisionsmedicinska data- basen inte är tillräckliga. Detta kan bli aktuellt i situationer där det endast finns enstaka andra patienter med samma eller liknande hälso- tillstånd.
39
Sammanfattning |
SOU 2023:76 |
Vidareanvändning för ändamålet klinisk forskning
Av direktiven framgår att utredningen ska bedöma om det behövs för- fattningsändringar för att möjliggöra vidareanvändning av hälsodata från hälso- och sjukvården för ändamålet forskning. Avseende ända- målet forskning har utredningen gjort en avgränsning till vidare- användning av personuppgifter för klinisk forskning där samtycke till att delta i forskningen inhämtas.
Utredningen konstaterar att det kan vara en betungande uppgift att få tillgång till de uppgifter som behövs för att bedriva klinisk forsk- ning. En specifik situation som utredningen sett över är när forskarna själva rent praktiskt kan logga in i patientjournaler, i egenskap av behandlande vårdpersonal, och då se uppgifter som behövs för forsk- ningen. Enligt dagens lagstiftning krävs då, som huvudregel, att upp- gifterna måste begäras ut. Det innebär att ett utlämnande av uppgif- terna kan ske först efter föregående menprövning. Det här innebär en administrativ börda för både utlämnande myndighet och forskare som kan vara tidskrävande och kan upplevas omständlig. Utredningen gör bedömningen att möjlighet till en förenklad åtkomst skulle kunna underlätta för såväl forskare som utlämnande myndigheter och undan- röja en del av problematiken.
En ny lag om vidareanvändning av personuppgifter för klinisk forskning
Utredningen har bedömt att det behövs författningsändring för att möjliggöra en förenklad åtkomst till personuppgifter från hälso- och sjukvården. I dag finns ingen lag som reglerar personuppgiftsbe- handling inom forskning på samma sätt som motsvarar PDL inom hälso- och sjukvården. Det är enligt utredningens bedömning inte lämpligt att inför regler om förenklad åtkomst för ändamålet klinisk forskning i PDL. Utredningen föreslår därför en ny lag, lagen (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning och ändringar i OSL. Den nya lagen tar sin systematiska utgångspunkt i vidareanvändning för ändamålet klinisk forskning. Utredningen ser möjligheter att utreda vidare en eventuell utvidgning av lagen, dels avseende datamängder på datahållarsidan, dels om förenklade regler i någon form kan införas för klinisk forskning som inte bygger på samtycke till att delta i forskningen.
40
SOU 2023:76 |
Sammanfattning |
Den nya lagens tillämpningsområde avser, på datahållarsidan, regio- nala myndigheter som bedriver hälso- och sjukvård och, på data- användarsidan, regionala myndigheter och lärosäten som bedriver kli- nisk forskning. De personuppgifter som får tillgängliggöras enligt lagen är uppgifter som regionala myndigheter som bedriver hälso- och sjukvård behandlar enligt 2 kap. 4 § första stycket
Begränsad direktåtkomst och villkor för tillgängliggörande och behandling av personuppgifter
Tillgängliggörande enligt lagen föreslås få ske genom en så kallad be- gränsad direktåtkomst eller annat elektronisk utlämnande. Begräns- ningen i direktåtkomsten innebär att de uppgifter som tillgängliggörs ska avse de personer som omfattas av ett aktuellt forskningsprojekt.
I praktiken innebär möjligheten till begränsad direktåtkomst att det finns rättsligt stöd för en region att skapa en modul eller liknande i sina
Som villkor för tillgängliggörande föreslås att uppgifterna ska an- vändas endast vid sådan klinisk forskning som är godkänd enligt tillämpligt etiskt regelverk samt där samtycke inhämtas för att delta i forskningen. Utöver samtycke till att delta i forskningen, ska enligt villkor i den nya lagen, även samtycke som en integritetshöjande åtgärd för den förenklade åtkomsten inhämtas från den registrerade. Den registrerade ska få information om vad den förenklade åtkomsten innebär. Särskilda regler om information och samtycke föreslås för barn och försökspersoner som inte är beslutskompetenta.
Utredningen föreslår att regionala myndigheter eller lärosäten som bedriver klinisk forskning endast ska få tillföra forskningen de person- uppgifter som behövs för den kliniska forskningen.
Kopplat till den nya lagen föreslår utredningen en sekretessbrytande grund och en regel om absolut sekretess i forskningen för uppgifter som inte får tillföras forskningen.
41
Sammanfattning |
SOU 2023:76 |
Övriga ändamål
Utvecklings och innovationsverksamhet
Utredningen har resonerar kring utveckling och innovation och lämnar bedömningar avseende olika behov som identifierats. Utredningen för också resonemang kring hur utredningen uppfattar innebörden av begreppen.
Utredningen har konstaterar att frågorna är komplexa och behöver utredas vidare. Utredningen gör bedömningen att tillräcklig utredning för att kunna lämna författningsförslag för dessa ändamål inte kunnat rymmas inom de tidsramar som utredningen haft att förhålla sig till. Utredningen lämnar därför inte några författningsförslag avseende utveckling- och innovation, vilket förklaras mer utförligt i avsnitt 2.7.
Eftersom utredningen lämnar författningsförslag på en helt ny reglering av ändamålet vård är det en brist att sådan ny verksamhet inte ges rättsliga möjligheter att bedriva utveckling som inte ryms under dagens regler i PDL. Utredningens bedömning är därför att det är angeläget att dessa behov ses över.
Utredningen bedömer även att vissa av de behov som finns av utvecklings- och innovationsverksamhet ställer krav på organisato- riska och infrastrukturella lösningar som i dag inte finns för att det ska gå att använda känsliga personuppgifter för dessa ändamål, utan att intrånget i den personliga integriteten blir för stort i förhållande till nyttan. Se vidare resonemang i avsnitt 20.4 och kapitel 23.
Undervisning på akademisk nivå
Utredningen bedömer att de behov som framkommit, som avser undervisning på akademiska nivå, har en nära koppling till primär- användningen av hälsodata. Undervisning som inte kan genomföras utan att behandling av personuppgifter uppstår inom hälso- och sjuk- vården innebär ofta en nära koppling till patienterna och vården som behöver utföras. Utredningen bedömer att dessa frågor behöver ut- redas gemensamt och inte avgränsat till sekundäranvändning. Utred- ningen lämnar därför inga författningsförslag för undervisning på akademisk nivå. Utredningens bedömning är att det behöver utredas varför olika regioner löser behoven på olika sätt och vad som krävs
42
SOU 2023:76 |
Sammanfattning |
för att lösa de behov som finns som är nära kopplade till primär- användningen.
Statliga, regionala och kommunala myndigheters beslutsfattande
Utredningens har valt att inte lämna några författningsförslag avseende statliga, regionala och kommunala myndigheters beslutsfattande. Ut- redningens uppfattning är att dessa ändamål kan omfatta en ansenlig mängd olika behov. Utredningen har därför avgränsat den utredning som gjorts till vissa av de behov som omfattas.
Utredningens bedömning är att en del behov kopplat till regionala myndigheters beslutsfattande som uppstår i samband med vård bör kunna omhändertas av det författningsförslag avseende vårdändamålet som utredningen lämnar. Det är även möjligt att vissa behov kan om- händertas inom ändamålet utveckling som utredningen skriver om i avsnitt 2.7.6. Utredningen bedömer vidare att det saknas organisa- toriska och infrastrukturella lösningar som skulle göra att nyttan stod i proportion till det intrång i den personliga integriteten som ett sådant förslag skulle innebära. Utredningen resonerar kring detta och lämnar bedömningar i avsnitt 20.5.
Konkreta tillämpningssvårigheter
Utredningen har haft i uppdrag att redogöra för olika tillämpnings- svårigheter som identifierats under arbetets gång. Utredningen redogör därför för vilka utmaningar och behov som behöver ses över och vad det är för tillämpningssvårigheter som behöver utredas vidare för att kunna komma till rätta med problemen. Tre kapitel rör behov som ut- redningen bedömer helt eller delvis kan lösas med hjälp av en nationell datahubb (kapitel
43
Sammanfattning |
SOU 2023:76 |
Konsekvenser av förslagen
De främsta positiva konsekvenserna av utredningens författnings- förslag avseende vårdändamålet är ökad patientnytta till följd av bättre möjlighet till införande av ett precisionsmedicinskt arbetssätt i hälso- och sjukvården och ett mer jämlikt införande. Den främsta positiva nyttan som följer av utredningens författningsförslag avseende klinisk forskning avser minskad administration och därmed kostnadsbespar- ingar kopplat till utlämnande för klinisk forskning.
De främsta negativa effekterna består av ett ökat intrång i den per- sonliga integriteten för vissa patienter, vilket utredningen lämnat förlag för att balansera i form av integritetshöjande åtgärder. Förslagen inne- bär också viss kostnadsökning för regionerna avseende precisions- medicinska databaser. Utredningens bedömning är dock att regionerna redan i dag spenderar mycket pengar på precisionsmedicin och att mycket medel läggs ner på lösningar som ska fungera med nuvarande regelverk. Enligt utredningens bedömning är dessa lösningar inte lika kostnadseffektiva som de lösningar som utredningens förslag möjliggör. Förslagen innebär i sig inga negativa konsekvenser för privata företag, men bidrar inte till några nya möjligheter att använda hälsodata. Utifrån att regeringen har en ambition om att Sverige ska vara en ledande life
44
1 Författningsförslag
1.1Förslag till lag (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning
Härigenom föreskrivs följande.
1 kap. Inledande bestämmelser
Uttryck i lagen
1 § I denna lag används följande uttryck med nedan angiven be- tydelse.
Uttryck |
Betydelse |
EU:s dataskyddsförordning |
Europaparlamentets och rådets |
|
förordning (EU) 2016/679 av |
|
den 27 april 2016 om skydd för |
|
fysiska personer med avseende |
|
på behandling av personupp- |
|
gifter och om det fria flödet av |
|
sådana uppgifter och om upp- |
|
hävande av direktiv 95/46/EG |
|
(allmän dataskyddsförordning). |
Förordning (EU) nr 536/2014 |
Europaparlamentets och rådets |
|
förordning (EU) nr 536/2014 av |
|
den 16 april 2014 om kliniska |
|
prövningar av humanläkemedel |
|
och om upphävande av direktiv |
|
2001/20/EG. |
|
45 |
Författningsförslag |
SOU 2023:76 |
Förordning (EU) 2017/745 |
Europaparlamentets |
och |
rådets |
||
|
förordning |
(EU) 2017/745 av |
|||
|
den 5 april 2017 om medicintek- |
||||
|
niska produkter, om ändring av |
||||
|
direktiv 2001/83/EG, förordning |
||||
|
(EG) nr 178/2002 och förord- |
||||
|
ning (EG) nr 1223/2009 och om |
||||
|
upphävande |
av rådets direktiv |
|||
|
90/385/EEG och 93/42/EEG. |
||||
Förordning (EU) 2017/746 |
Europaparlamentets |
och |
rådets |
||
|
förordning |
(EU) 2017/746 av |
|||
|
den 5 april 2017 om medicintek- |
||||
|
niska produkter för in vitrodia- |
||||
|
gnostik och om upphävande av |
||||
|
direktiv 98/79/EG och kommis- |
||||
|
sionens beslut 2010/227/EU. |
||||
Hälso- och sjukvård |
Verksamhet som avses i hälso- |
||||
|
och |
sjukvårdslagen |
(2017:30), |
||
|
lagen (1991:1128) om psykiatrisk |
||||
|
tvångsvård, |
lagen |
(1991:1129) |
||
|
om rättspsykiatrisk vård, smitt- |
||||
|
skyddslagen |
(2004:168), |
lagen |
||
|
(1972:119) |
om fastställande av |
|||
|
könstillhörighet i vissa fall, lagen |
||||
|
(2006:351) om genetisk integri- |
||||
|
tet m.m., lagen (2018:744) om för- |
||||
|
säkringsmedicinska |
utredningar, |
|||
|
lagen (2019:1297) om koordiner- |
||||
|
ingsinsatser för sjukskrivna pati- |
||||
|
enter samt den upphävda lagen |
||||
|
(1944:133) om kastrering. |
|
|||
Lärosäte |
Ett |
statligt |
universitet eller en |
||
|
statlig högskola som har rätt att |
||||
|
utfärda examen på |
forskarnivå, |
|||
|
eller en enskild utbildningsan- |
||||
|
ordnare som har tillstånd att ut- |
||||
|
färda examen på forskarnivå en- |
||||
ligt lagen (1993:792) om tillstånd att utfärda vissa examina och som
46
SOU 2023:76 |
Författningsförslag |
enligt 2 kap. 4 § offentlighets- och sekretesslagen (2009:400) är ett organ som jämställs med myndig- het i sin forskningsverksamhet.
Regional myndighetMyndighet i en region. Aktie- bolag, handelsbolag, ekonomiska föreningar och stiftelser där en region utövar ett rättsligt be- stämmande inflytande enligt 2 kap. 3 § offentlighets- och sekretess- lagen (2009:400) ska vid tillämp- ningen av denna lag jämställas med en myndighet.
Tillämpningsområde
2 § Bestämmelserna i denna lag får tillämpas när personuppgifter som behandlas enligt 2 kap. 4 § första stycket
Ändamål
3 § Personuppgifter som anges i 2 § får, under de förutsättningar som anges i denna lag, vidareanvändas om det behövs för ändamålet klinisk forskning.
Förhållandet till annan dataskyddsreglering
4 § Denna lag kompletterar EU:s dataskyddsförordning.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds- förordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag.
47
Författningsförslag |
SOU 2023:76 |
Personuppgiftsansvar
5 § En regional myndighet som bedriver hälso- och sjukvård och som tillgängliggör personuppgifter enligt denna lag är personupp- giftsansvarig för den behandling av personuppgifter som myndig- heten utför enligt lagen.
6 § En regional myndighet eller ett lärosäte som bedriver klinisk forskning och som ges tillgång till personuppgifter enligt denna lag är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten eller lärosätet utför enligt lagen.
Behandling av känsliga personuppgifter
7 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsför- ordning (känsliga personuppgifter) får behandlas med stöd av arti- kel 9.2 j i förordningen.
2 kap. Tillgängliggörande av personuppgifter
Tillgång genom begränsad direktåtkomst eller annat elektroniskt utlämnande
1 § En regional myndighet eller ett lärosäte som bedriver klinisk forskning får, under de förutsättningar som anges i detta kapitel, ges tillgång, genom begränsad direktåtkomst eller annat elektroniskt ut- lämnande, till personuppgifter som behandlas av en regional myn- dighet som bedriver hälso- och sjukvård.
2 § När personuppgifter görs tillgängliga genom begränsad direkt- åtkomst, ska åtkomsten vara tidsbestämd. När den bestämda tids- perioden har löpt ut, ska den begränsade direktåtkomsten upphöra.
Den regionala myndigheten inom hälso- och sjukvården som till- gängliggör personuppgifterna kan, efter begäran, förlänga den tids- period som har bestämts enligt första stycket.
Den totala tidsperioden enligt första och andra styckena får inte överskrida sex månader.
48
SOU 2023:76 |
Författningsförslag |
3 § Tillgång enligt 1 § får endast avse uppgiftsmängder som kan antas ha betydelse för forskningen.
Villkor för tillgängliggörande
4 § Tillgängliggörande av personuppgifter enligt 1 § får endast ske om 1. uppgifterna ska användas i
a)forskning som har godkänts av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning enligt lagen (2003:460) om etikprövning av forskning som avser människor,
b)en klinisk läkemedelsprövning som har beviljats eller anses ha beviljats tillstånd i enlighet med förordning (EU) nr 536/2014,
c)en klinisk prövning som får påbörjas eller genomföras i en- lighet med bestämmelser i förordning (EU) 2017/745 eller enligt lagen (2021:600) med kompletterande bestämmelser till EU:s förord- ningar om medicintekniska produkter eller föreskrifter meddelade i anslutning till den lagen, eller
d)en prestandastudie som får påbörjas eller genomföras i enlig- het med bestämmelser i förordning (EU) 2017/746, och
2. den registrerade har samtyckt till att delta i forskningen. Villkoret enligt första stycket 2 om samtycke till att delta i forsk-
ningen är också uppfyllt om vårdnadshavare samtycker till forskning på barn enligt 18 § andra stycket lagen (2003:460) om etikprövning av forskning som avser människor. Detsamma gäller om lagligen ut- sedd ställföreträdare samtyckt till forskning på barn eller försöks- personer som inte är beslutskompetenta enligt artiklarna 32 och 31 i Förordning (EU) nr 536/2014, artiklarna 65 och 64 i Förordning (EU) 2017/745 eller artiklarna 61 och 60 i Förordning (EU) 2017/746.
5 § Tillgängliggörande av personuppgifter enligt 1 § får endast ske om den registrerade, utöver samtycke enligt 4 § första stycket 2, har samtyckt till tillgängliggörande genom begränsad direktåtkomst eller annat elektroniskt utlämnande.
Innan samtycke lämnas ska den registrerade, utöver vad som fram- går av artiklarna 13 och 14 i EU:s dataskyddsförordning, informeras om
1.vad begränsad direktåtkomst eller annat elektroniskt utlämnade enligt lagen innebär, och
2.rätten att återkalla ett samtycke till att uppgifter görs tillgängliga.
49
Författningsförslag |
SOU 2023:76 |
6 § Om vårdnadshavare eller lagligen utsedd ställföreträdare har läm- nat samtycke till forskning enligt vad som anges i 4 § andra stycket, får tillgängliggörande enligt 1 § endast ske om vårdnadshavare eller lag- ligen utsedd ställföreträdare samtyckt till tillgängliggörande genom begränsad direktåtkomst eller annat elektroniskt utlämnande.
Innan samtycke lämnas ska vårdnadshavare eller lagligen utsedd ställföreträdare få information enligt 5 § andra stycket.
7 § Om den registrerade återkallar samtycke som har lämnats en- ligt 5 § ska tillgängliggörandet upphöra så snart som möjligt.
Om vårdnadshavare eller lagligen utsedd ställföreträdare återkallar samtycke som har lämnats enligt 6 § ska tillgängliggörandet upphöra så snart som möjligt.
3 kap. Behandling av personuppgifter som gjorts tillgängliga
Tilldelning av behörighet för elektronisk åtkomst
1 § En regional myndighet eller ett lärosäte som bedriver klinisk forskning ska bestämma villkor för tilldelning av behörighet inom den egna organisationen för åtkomst till de personuppgifter som gjorts tillgängliga enligt 2 kap. 1 §. Sådan behörighet ska begränsas till vad som behövs för att den behörige ska kunna fullgöra sina arbetsuppgifter inom forskningen.
Villkor för att uppgifternas ska få tillföras forskningen
2 § En regional myndighet eller ett lärosäte som getts tillgång till personuppgifter enligt 2 kap. 1 § får endast tillföra forskningen de uppgifter som behövs för sådan forskning som anges i 2 kap. 4 § första stycket 1.
4 kap. Bevarande och gallring
1 § När en handling är tillgänglig enligt denna lag för en regional myndighet som bedriver hälso- och sjukvård och en regional myn- dighet eller ett lärosäte som bedriver klinisk forskning gäller skyl-
50
SOU 2023:76 |
Författningsförslag |
digheten att bevara handlingen endast för den regionala myndighet inom hälso- och sjukvården som har tillgängliggjort handlingen.
Denna lag träder i kraft den 1 januari 2025.
51
Författningsförslag |
SOU 2023:76 |
1.2Förslag till lag om ändring i patientdatalagen (2008:355)
Härigenom föreskrivs i fråga om patientdatalagen (2008:355)
dels att 1 kap. 4 §, 2 kap. 2, 4 och 6 §§, 4 kap. 1 och 2 §§, 5 kap. 4 § och 8 kap. 5, 6 och 7 §§ ska ha följande lydelse,
dels att det ska införas ett nytt kapitel, 6 kap., av följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
1 kap.
4 §1
Denna lag innehåller bestämmelser som kompletterar EU:s data- skyddsförordning, vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställ- ning enligt särskilda kriterier.
Vid behandling av personuppgifter som avses i första stycket gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslut- ning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Ilagen (2022:913) om sammanhållen vård- och omsorgsdoku- mentation finns ytterligare bestämmelser om vårdgivares behandling av personuppgifter inom hälso- och sjukvården.
I lag (0000:000) om viss vidare- användning av personuppgifter för klinisk forskning finns bestämmel- ser om tillgängliggörande genom begränsad direktåtkomst eller annat elektroniskt utlämnande av person- uppgifter från hälso- och sjukvården.
1Senaste lydelse 2022:915.
52
SOU 2023:76 |
Författningsförslag |
2kap. 2 §2
Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig den. Det gäller dock inte i de fall som anges i 4 kap. 4 § och 7 kap. 2 § eller om något annat framgår av annan lag eller förordning.
4 §3
Personuppgifter får behandlas inom hälso- och sjukvården om det behövs för
1.att fullgöra de skyldigheter som anges i 3 kap. och upprätta annan dokumentation som behövs i och för vården av patienter,
2.administration som rör patienter och som syftar till att ge vård
ienskilda fall eller som annars föranleds av vård i enskilda fall,
3.att upprätta annan dokumentation som följer av lag, förordning eller annan författning,
4.att systematiskt och fortlöpande utveckla och säkra kvaliteten
iverksamheten,
5.administration, planering, uppföljning, utvärdering och tillsyn av verksamheten,
6.att framställa statistik om hälso- och sjukvården, eller
7.antalsberäkning inför klinisk forskning.
I 6 kap. 5 § finns särskilda be- stämmelser om behandling av per- sonuppgifter för vården av en annan patient än den som uppgifterna av- ser.
I 7 kap. 4 och 5 §§ finns särskilda bestämmelser om ändamålen med behandling av personuppgifter i nationella och regionala kvalitets- register.
2Senaste lydelse 2022:915.
3Senaste lydelse 2023:167.
53
FörfattningsförslagSOU 2023:76
6 §4
En vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. I en region och en kommun är varje myndighet som bedriver hälso- och sjukvård personuppgifts- ansvarig för den behandling av personuppgifter som myndigheten utför.
Personuppgiftsansvaret enligt första stycket omfattar även sådan behandling av personuppgifter som vårdgivaren, eller den myndighet i en region eller en kommun som är personuppgiftsansvarig, utför när vårdgivaren eller myndigheten genom direktåtkomst i ett enskilt fall bereder sig tillgång till personuppgifter om en patient hos en annan vårdgivare eller annan myndighet i samma region eller kommun.
I 7 kap. och i 4 kap. 1 § lagen |
I 6 och 7 kap. samt i 4 kap. 1 § |
(2022:913) om sammanhållen |
lagen (2022:913) om samman- |
vård- och omsorgsdokumenta- |
hållen vård- och omsorgsdoku- |
tion finns särskilda bestämmelser |
mentation finns särskilda bestäm- |
om personuppgiftsansvar. |
melser om personuppgiftsansvar. |
4 kap.
1 §
Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.
I 6 kap. finns särskilda bestäm- melser om inre sekretess vid be- handling av personuppgifter för vården av en annan patient än den som uppgifterna avser.
2 §5
En vårdgivare ska bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat. Sådan behörighet ska begränsas till vad som be- hövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården.
4Senaste lydelse 2022:915.
5Senaste lydelse 2022:915.
54
SOU 2023:76 |
Författningsförslag |
I 6 kap. 17 § finns ytterligare bestämmelser som gäller vid till- delning av behörighet till en pre- cisionsmedicinsk databas.
Personuppgifter som behandlas i en utredning enligt lagen (2018:744) om försäkringsmedicinska utredningar för ändamål som anges i 2 kap. 4 § första stycket 1 och 2 får inte göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vård- enhet eller inom en annan vårdprocess hos samma vårdgivare. I den lagen finns särskilda bestämmelser om elektronisk åtkomst vid sådana utredningar.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tilldelning av behörighet enligt första stycket.
5kap. 4 §6
Utlämnande genom direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning.
Om en region eller en kommun bedriver hälso- och sjukvård genom flera myndigheter, får en sådan myndighet ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet i samma region eller kommun.
Ytterligare bestämmelser om direktåtkomst och annat elektro- niskt utlämnande finns i 5 §, 7 kap.
9 § och i lagen (2022:913) om sammanhållen vård- och omsorgs- dokumentation.
6Senaste lydelse 2023:167.
Författningsförslag |
SOU 2023:76 |
6 kap. Vidareanvändning av patientdata för vårdändamål
Inledande bestämmelse
1 § Med precisionsmedicinsk databas avses en samling av person- uppgifter som inrättas särskilt för ändamålet vården av en annan patient än den som uppgifterna avser.
En precisionsmedicinsk databas syftar till att skapa underlag för vården av en annan patient än den som uppgifterna avser.
Den enskildes inställning till personuppgiftsbehandling i precisionsmedicinsk databas
2 § Personuppgifter får inte göras tillgängliga till en precisionsmedi- cinsk databas, om den enskilde motsätter sig det.
Om den enskilde motsätter sig tillgängliggörandet sedan det påbörjats, ska uppgifterna utplånas ur den precisionsmedicinska data- basen så snart som möjligt.
3 § En vårdgivare får tillgängliggöra uppgifter om en enskild som inte endast tillfälligt saknar förmåga att ta ställning till behandling i en precisionsmedicinsk databas, om
1.den enskildes inställning till sådan behandling av personupp- gifter så långt som möjligt har klarlagts, och
2.det inte finns anledning att anta att den enskilde skulle ha mot- satt sig behandlingen av personuppgifterna.
Information
4 § Innan personuppgifter görs tillgängliga till en precisionsmedicinsk databas ska den som är personuppgiftsansvarig informera den en- skilde om
1.vad personuppgiftsbehandling i precisionsmedicinsk databas innebär,
2.vad behandling av kompletterande personuppgifter från patient- journal innebär och
3.möjligheten att motsätta sig att uppgifter görs tillgängliga till en precisionsmedicinsk databas.
56
SOU 2023:76 |
Författningsförslag |
Ändamål och inre sekretess
5 § I stället för vad som anges i 2 kap. 4 och 5 §§ gäller att person- uppgifter, under de förutsättningar som anges i detta kapitel, får be- handlas inom hälso- och sjukvården om det behövs för vården av en annan patient än den som uppgifterna avser.
Första stycket gäller inte för sådan hälso- och sjukvård som reg- leras i
1.tandvårdslagen (1985:125), eller
2.lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar.
I stället för vad som anges i 4 kap. 1 § gäller bestämmelser om inre sekretess i detta kapitel vid behandling av personuppgifter för det ända- mål som anges i första stycket.
6 § Personuppgifter som behandlas för ändamålet vården av en annan patient än den som uppgifterna avser får inte behandlas för några andra ändamål.
Personuppgifter som behandlas för ändamål som anges i första stycket får dock behandlas för fullgörande av någon annan uppgifts- skyldighet som följer av lag eller förordning än den som anges i 6 kap. 5 § offentlighets- och sekretesslagen (2009:400).
Personuppgiftsansvar
7 § Endast en regional myndighet inom hälso- och sjukvården får vara personuppgiftsansvarig för central behandling av personuppgif- ter i en precisionsmedicinsk databas.
I 2 kap. 6 § finns allmänna bestämmelser om personuppgiftsansvar.
Personuppgifter som får behandlas
8 § Endast sådana personuppgifter som behandlas enligt 2 kap. 4 § första stycket 1 och 2 och behövs för ändamål som anges i 5 § första stycket får behandlas med stöd av detta kapitel.
9 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsför- ordning (känsliga personuppgifter) får behandlas med stöd av arti-
57
Författningsförslag |
SOU 2023:76 |
kel 9.2 h i förordningen under förutsättning att kravet på tystnads- plikt i artikel 9.3 i förordningen är uppfyllt.
Inrättande och förande av en precisionsmedicinsk databas
10 § Endast en regional myndighet inom hälso- och sjukvården får inrätta och föra en precisionsmedicinsk databas.
11 § Regional myndighet inom hälso- och sjukvården som för pre- cisionsmedicinsk databas får endast behandla de personuppgifter som behövs för syftet med databasen.
12 § Den som arbetar hos en regional myndighet inom hälso- och sjukvården som för en precisionsmedicinsk databas får ta del av per- sonuppgifter i databasen endast om han eller hon behöver uppgif- terna för sitt arbete med databasen.
I 4 kap. 2 och 3 §§ finns allmänna bestämmelser om tilldelning av behörighet för elektronisk åtkomst och kontroll av elektronisk åtkomst.
Urval och tillgängliggörande av personuppgifter till en precisionsmedicinsk databas
13 § En vårdgivare får behandla personuppgifter för urval och till- gängliggörande till en regional myndighet inom hälso- och sjukvår- den som för en precisionsmedicinsk databas.
Urval och tillgängliggörande får endast ske av personuppgifter som behövs för att skapa underlag för det ändamål som anges i 5 § första stycket.
14 § Tillgängliggörande enligt 13 § får endast avse personuppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt.
15 § Den som arbetar hos en vårdgivare får ta del av dokumente- rade uppgifter om en patient om han eller hon behöver det för sitt arbete med urval och tillgängliggörande av uppgifter till en precisions- medicinsk databas.
I 4 kap. 2 och 3 §§ finns allmänna bestämmelser om tilldelning av behörighet för elektronisk åtkomst och kontroll av elektronisk åtkomst.
58
SOU 2023:76 |
Författningsförslag |
Tillgång tillpersonuppgifter i precisionsmedicinsk databas
Tillgång genom direktåtkomst eller annat elektroniskt utlämnade
16 § En regional myndighet inom hälso- och sjukvården får ges till- gång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter som behandlas i en precisionsmedicinsk databas.
Tilldelning av behörighet för elektronisk åtkomst
17 § När en regional myndighet inom hälso- och sjukvården ska be- stämma villkor för tilldelning av behörighet för elektronisk åtkomst enligt 4 kap. 2 § får behörighet till en precisionsmedicinsk databas endast tilldelas den som arbetar i den specialiserade vården och be- höver åtkomsten för sitt arbete med att förebygga, utreda eller behandla sjukdomar och skador hos patienter.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrif- ter om tilldelning av behörighet enligt första stycket för åtkomst till uppgifter som förs helt eller delvis automatiserat.
Villkor för behandling av personuppgifter
18 § En regional myndighet inom hälso- och sjukvården får behandla personuppgifter som en annan myndighet som för precisionsmedi- cinsk databas har gjort tillgängliga om
1.någon som arbetar hos myndigheten och enligt 17 § har behörig- het till precisionsmedicinsk databas deltar i vården av en patient, och
2.uppgifterna kan ha betydelse för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten.
Inre sekretess
19 § Den som arbetar hos en regional myndighet inom hälso- och sjukvården som för en precisionsmedicinsk databas och har behörig- het till sådan databas, får ta del av personuppgifter i databasen om han eller hon
59
Författningsförslag |
SOU 2023:76 |
1.deltar i vården av en patient, och
2.uppgifterna kan ha betydelse för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten.
Kompletterande personuppgifter från patientjournal
Begäran om kompletterande personuppgifter
20 § En regional myndighet inom hälso- och sjukvården som har tillgång till en precisionsmedicinsk databas får, hos en vårdgivare som enligt 13 § har tillgängliggjort personuppgifter till den databasen, be- gära de kompletterande personuppgifter från den patientjournal som kan antas ha betydelse för vården av en annan patient än den som upp- gifterna avser.
En begäran om kompletterande personuppgifter från patientjournal får också göras inom den myndighet som tillgängliggjort uppgifter till en precisionsmedicinsk databas om uppgifterna kan antas ha betydelse för vården av en annan patient än den som uppgifterna avser.
Tillgängliggörande av kompletterande personuppgifter
21 § En vårdgivare får tillgängliggöra de personuppgifter som om- fattas av en begäran om kompletterande personuppgifter enligt 20 §.
Tillgängliggörande av kompletterande personuppgifter får endast ske till en regional myndighet inom hälso- och sjukvården som har tillgång till den precisionsmedicinska databasen som vårdgivaren till- gängliggjort uppgifter till.
22 § En regional myndighet inom hälso- och sjukvården får, utöver den behandling av personuppgifter som sker genom tillgång till en precisionsmedicinsk databas, endast behandla de kompletterande per- sonuppgifter om en patient som behövs för vården av en annan patient än de som uppgifterna avser.
23 § Tillgängliggörande enligt 21 § får endast avse personuppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt.
60
SOU 2023:76 |
Författningsförslag |
Inre sekretess
24 § Den som arbetar hos en vårdgivare får ta del av dokumen- terade uppgifter om en patient om han eller hon behöver det för sitt arbete med begäran enligt 20 § om kompletterande personuppgifter från patientjournal.
I 4 kap. 2 och 3 §§ finns allmänna bestämmelser om tilldelning av behörighet för elektronisk åtkomst och kontroll av elektronisk åtkomst.
25 § Den som enligt 17 § har behörighet till en precisionsmedi- cinsk databas får ta del av kompletterande personuppgifter om patienter om han eller hon
1.deltar i vården av en patient, och
2.uppgifterna kan antas ha betydelse för att inom hälso- och sjuk- vården förebygga, utreda eller behandla sjukdomar och skador hos patienten.
Bevarande och gallring
26 § När en handling i en precisionsmedicinsk databas är tillgäng- lig för flera regionala myndigheter gäller skyldigheten att bevara den endast för den myndighet som för databasen.
27 § Personuppgifter i en precisionsmedicinsk databas får inte be- handlas under längre tid än vad som behövs för ändamålen med data- basen.
28 § Personuppgifter i en precisionsmedicinsk databas som enligt 2 § andra stycket ska utplånas till följd av att patienten motsatt sig tillgängliggörande sedan uppgifterna tillgängliggjorts får också gallras.
Ytterligare föreskrifter om precisionsmedicinska databaser
29 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen med- dela föreskrifter om precisionsmedicinska databaser.
61
Författningsförslag |
SOU 2023:76 |
8 kap.
5 §
En vårdgivare ska på begäran av en patient lämna information om den direktåtkomst och elektroniska åtkomst till uppgifter om patien- ten som förekommit.
Första stycket gäller inte den direktåtkomst eller elektroniska åt- komst som förekommit hos en re- gional myndighet inom hälso- och sjukvården i anledning av att myn- digheten för en precisionsmedicinsk databas, har tillgång till en sådan databas eller behandlar komplette- rande personuppgifter från patient- journal enligt 6 kap. denna lag.
Regeringen eller den myndighet som regeringen bestämmer får meddela närmare föreskrifter om information enligt första stycket.
6 §7
Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskydds- förordning ska den som är personuppgiftsansvarig enligt denna lag lämna information till den registrerade om
1.den uppgiftsskyldighet som kan följa av lag eller förordning,
2.de sekretess- och säkerhetsbestämmelser som gäller för upp- gifterna och behandlingen,
3.rätten enligt 4 kap. 4 § att i vissa fall begära att uppgifter spärras,
4.rätten enligt 5 § att få information om den åtkomst som före- kommit,
5.rätten enligt artikel 82 i EU:s dataskyddsförordning och 7 kap. 1 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning till skadestånd vid behandling av personupp- gifter i strid med denna lag, och
6.vad som gäller i fråga om sökbegrepp, direktåtkomst, utläm- nande av uppgifter på medium för automatiserad behandling och annat elektroniskt utlämnande.
I 7 kap. 3 § och i 2 kap. 2 § |
I 6 kap. 4 §, 7 kap. 3 § och i |
lagen (2022:913) om samman- |
2 kap. 2 § lagen (2022:913) om |
hållen vård- och omsorgsdoku- |
sammanhållen vård- och omsorgs- |
7Senaste lydelse 2022:915.
62
SOU 2023:76Författningsförslag
mentation finns ytterligare be- |
dokumentation finns ytterligare |
stämmelser om vilken informa- |
bestämmelser om vilken informa- |
tion som ska lämnas i vissa fall. |
tion som ska lämnas i vissa fall. |
7 §8
I denna lag finns föreskrifter om andra rättigheter för den en- skilde i 3 kap. 8 § och 4 kap. 4 § samt 7 kap. 2 och 3 §§. Sådana föreskrifter finns även i 2 kap.
3 § första stycket lagen (2022:913) om sammanhållen vård- och om- sorgsdokumentation.
Denna lag träder i kraft den 1 januari 2025.
8Senaste lydelse 2022:915.
63
Författningsförslag |
SOU 2023:76 |
1.3Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)
dels att 10 kap. 19, 21, 23 och 24 §§, 24 kap. 9 § och 25 kap. 7, 10 och 11 §§ ska ha följande lydelse,
dels att det ska införas två nya paragrafer, 24 kap. 7 b § och 25 kap. 2 a §, och närmast före 24 kap. 7 b § och 25 kap. 2 a § nya rubriker av följande lydelse.
Nuvarande lydelse |
Föreslagen lydelse |
10kap.
19 §1
Sekretessen enligt 25 kap. 1 §, |
|
Sekretessen enligt 25 kap. 1 §, |
||
2 § andra stycket och |
2 |
§ andra |
stycket, |
2 a § andra |
26 kap. 1 §, 1 a § andra stycket, |
stycket och |
och 26 kap. |
||
3, 4 och 6 §§ hindrar inte att en |
1 |
§, 1 a § andra stycket, 3, 4 och |
||
uppgift lämnas till Polismyndig- |
6 |
§§ hindrar inte att en uppgift |
||
heten eller någon annan myn- |
lämnas till Polismyndigheten eller |
|||
dighet som ska ingripa mot brott, |
någon annan myndighet som ska |
|||
om uppgiften behövs för att för- |
ingripa mot brott, om uppgiften |
|||
hindra ett förestående eller avbryta |
behövs för att förhindra ett före- |
|||
ett pågående brott som avses i |
stående eller avbryta ett pågående |
|||
|
brott som avses i |
|
||
1.4 eller 4 a § lagen (1951:649) om straff för vissa trafikbrott,
2.13 kap. 2 eller 3 § luftfartslagen (2010:500),
3.30 § lagen (1990:1157) om säkerhet vid tunnelbana och spårväg,
4.20 kap. 4 eller 5 § sjölagen (1994:1009),
5.7 kap. 2, 3 eller 4 § järnvägssäkerhetslagen (2022:367), eller
6.8 kap. 2, 3 eller 4 § lagen (2022:368) om nationella järnvägssystem.
21 §2 |
|
|
|
Sekretessen enligt 25 kap. 1 §, |
Sekretessen enligt 25 kap. 1 |
§, |
|
2 § andra stycket och |
2 § andra stycket, |
2 a § andra |
|
26 kap. 1 §, 1 a § andra stycket, |
stycket och |
26 kap. 1 |
§, |
1Senaste lydelse 2022:916.
2Senaste lydelse 2022:216.
64
SOU 2023:76Författningsförslag
3, 4 och 6 §§ samt 33 kap. 2 och |
1 a § andra stycket, 3, 4 och 6 §§ |
4 a §§ hindrar inte att en uppgift |
samt 33 kap. 2 och 4 a §§ hindrar |
lämnas till en åklagarmyndighet |
inte att en uppgift lämnas till en |
eller Polismyndigheten, om upp- |
åklagarmyndighet eller Polismyn- |
giften angår misstanke om brott |
digheten, om uppgiften angår |
som riktats mot någon som inte |
misstanke om brott som riktats |
har fyllt arton år och det är fråga |
mot någon som inte har fyllt arton |
om brott som avses i |
år och det är fråga om brott som |
|
avses i |
1.3, 4 eller 6 kap. brottsbalken, eller
2.lagen (1982:316) med förbud mot könsstympning av kvinnor.
|
|
|
|
|
23 §3 |
|
|
|
Om inte annat följer av 19– |
Om inte annat följer av 19– |
|||||||
22 §§ får en uppgift som angår |
22 §§ får en uppgift som angår |
|||||||
misstanke om ett begånget brott |
misstanke om ett begånget brott |
|||||||
och som är sekretessbelagd enligt |
och som är sekretessbelagd en- |
|||||||
24 kap. 2 a eller 8 §, 25 kap. 1 §, 2 § |
ligt 24 kap. 2 a eller 8 §, 25 kap. |
|||||||
andra stycket eller |
1 §, 2 § andra stycket, 2 a § andra |
|||||||
1 §, 1 a § andra stycket eller |
stycket eller |
|||||||
29 kap. |
1 §, |
31 kap. 1 § |
första |
1 a § andra stycket eller |
||||
stycket, |
2 eller 12 §, |
33 kap. |
2 |
29 kap. 1 §, |
31 kap. |
1 § första |
||
eller 4 a §, 36 kap. 3 § eller 40 kap. |
stycket, 2 eller 12 §, |
33 kap. 2 |
||||||
2 eller |
5 § |
lämnas |
till |
en |
eller 4 a §, 36 kap. 3 § eller 40 kap. |
|||
åklagarmyndighet, Polismyndig- |
2 eller 5 § lämnas till en åklagar- |
|||||||
heten, |
Säkerhetspolisen |
eller |
myndighet, |
Polismyndigheten, |
||||
någon annan myndighet som har |
Säkerhetspolisen eller någon annan |
|||||||
till uppgift att ingripa mot brottet |
myndighet som har till uppgift att |
|||||||
endast om misstanken angår |
|
ingripa mot brottet endast om |
||||||
|
|
|
|
|
|
misstanken angår |
|
|
1.brott för vilket det inte är föreskrivet lindrigare straff än fäng- else i ett år,
2.försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år, eller
3.försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år, om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168).
3Senaste lydelse 2022:216.
65
Författningsförslag |
SOU 2023:76 |
24 §4
Sekretess som följer av andra sekretessbestämmelser än dem som anges i
24 kap.
Vidareanvändning enligt lag (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning
7 b §
Sekretess gäller hos en myn- dighet för uppgift om en enskilds personliga förhållanden som gjorts tillgänglig av en myndighet i en region som bedriver verksamhet som avses i 25 kap. 1 § enligt lag (0000:00) om viss vidarean- vändning av personuppgifter för klinisk forskning, om inte förut- sättningarna enligt 3 kap. 2 § samma lag för att myndigheten ska få till-
4Senaste lydelse 2022:216.
66
SOU 2023:76Författningsförslag
föra forskningen uppgiften är upp- fyllda.
För uppgift i en allmän hand- ling gäller sekretessen i högst sjut- tio år.
9 §5
Den tystnadsplikt som följer av 2 a och 8 §§ och den tystnadsplikt som följer av ett förbehåll som har gjorts med stöd av 7 § andra meningen inskränker rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsför- ordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.
Den tystnadsplikt som följer |
Den tystnadsplikt som följer |
av 2 § inskränker rätten att med- |
av 2 och 7 b §§ inskränker rätten |
dela och offentliggöra uppgifter, |
att meddela och offentliggöra upp- |
när det är fråga om uppgift om |
gifter, när det är fråga om uppgift |
annat än verkställighet av beslut |
om annat än verkställighet av be- |
om vård utan samtycke. |
slut om vård utan samtycke. |
25 kap.
Precisionsmedicinsk databas
2 a §
Sekretess gäller hos en myndig- het som bedriver verksamhet som avses i 1 § i en region för uppgift om en enskilds personliga förhål- landen som gjorts tillgänglig av en annan sådan myndighet som för precisionsmedicinsk databas enligt 6 kap. patientdatalagen (2008:355), om inte förutsättningarna enligt 6 kap. 18 § samma lag för att myn- digheten ska få behandla uppgiften är uppfyllda.
Om de förutsättningar som anges i första stycket är uppfyllda eller myndigheten har behandlat
5Senaste lydelse 2018:1919.
67
FörfattningsförslagSOU 2023:76
|
uppgiften enligt 6 kap. 18 § tidi- |
|
gare, gäller sekretess, om det inte |
|
står klart att uppgiften kan röjas |
|
utan att den enskilde eller någon |
|
närstående till denne lider men. |
|
Sekretessen gäller inte om annat |
|
följer av 7, 8, 10 § eller 26 kap. 6 §. |
|
För uppgift i en allmän hand- |
|
ling gäller sekretessen i högst sjuttio |
|
år. |
7 § |
|
Sekretess gäller i verksamhet |
Sekretess gäller i verksamhet |
som anges i 1 §, 2 § andra stycket |
som anges i 1 §, 2 § andra stycket, |
och |
2 a § andra stycket och |
eller utsaga av en enskild om |
uppgift i anmälan eller utsaga av |
någons hälsotillstånd eller andra |
en enskild om någons hälsotill- |
personliga förhållanden, i förhål- |
stånd eller andra personliga för- |
lande till den som anmälan eller |
hållanden, i förhållande till den |
utsagan avser, endast om det kan |
som anmälan eller utsagan avser, |
antas att fara uppkommer för att |
endast om det kan antas att fara |
den som har lämnat uppgiften |
uppkommer för att den som har |
eller någon närstående till denne |
lämnat uppgiften eller någon när- |
utsätts för våld eller lider annat |
stående till denne utsätts för våld |
allvarligt men om uppgiften röjs. |
eller lider annat allvarligt men om |
|
uppgiften röjs. |
För uppgift i en allmän handling gäller sekretessen i högst femtio år.
10 §6
Sekretessen enligt 1 §, 2 § andra |
Sekretessen enligt 1 §, 2 § andra |
stycket, |
stycket, 2 a § andra stycket, |
gäller inte |
och 8 a och 8 b §§ gäller inte |
1.beslut i ärende enligt lagstiftningen om psykiatrisk tvångsvård eller rättspsykiatrisk vård, om beslutet avser frihetsberövande åtgärd,
2.beslut enligt smittskyddslagen (2004:168), om beslutet avser frihetsberövande åtgärd,
3.beslut i ärende om klagomål mot hälso- och sjukvården eller dess personal,
6Senaste lydelse 2010:679.
68
SOU 2023:76 |
Författningsförslag |
4.beslut i fråga om omhändertagande eller återlämnande av patient- journal, eller
5.beslut i ärende enligt 4 kap. 10 § eller 8 kap. patientsäkerhets- lagen.
11 §7
Sekretessen enligt 1 § hindrar inte att uppgift lämnas
1.från en myndighet som bedriver verksamhet som avses i 1 § i en kommun till en annan sådan myndighet i samma kommun,
2.från en myndighet som bedriver verksamhet som avses i 1 § i en region till en annan sådan myndighet i samma region,
3.till en myndighet som bedriver verksamhet som avses i 1 §, 26 kap. 1 §, en enskild vårdgivare eller omsorgsgivare enligt det som föreskrivs i lagen (2022:913) om sammanhållen vård- och omsorgs- dokumentation,
4.från en myndighet som be- driver verksamhet som avses i 1 §
ien region till en myndighet enligt det som föreskrivs i lag (0000:00) om viss vidareanvändning av per- sonuppgifter för klinisk forskning,
5.från en myndighet som be- driver verksamhet som avses i 1 §
ien region till en annan sådan myndighet i en annan region en- ligt det som föreskrivs i 6 kap. patientdatalagen (2008:355),
4. till ett nationellt eller regio- |
6. till ett nationellt eller regio- |
nalt kvalitetsregister enligt patient- |
nalt kvalitetsregister enligt patient- |
datalagen (2008:355), |
datalagen, |
5. från en myndighet som |
7. från en myndighet som |
bedriver verksamhet som avses i |
bedriver verksamhet som avses i |
1 § inom en kommun eller en |
1 § inom en kommun eller en |
region till annan sådan myndig- |
region till annan sådan myndig- |
het för forskning eller framställ- |
het för forskning eller framställ- |
ning av statistik eller för admini- |
ning av statistik eller för admini- |
stration på verksamhetsområdet, |
stration på verksamhetsområdet, |
om det inte kan antas att den |
om det inte kan antas att den |
7Senaste lydelse 2022:916.
69
FörfattningsförslagSOU 2023:76
enskilde eller någon närstående |
enskilde eller någon närstående |
till den enskilde lider men om |
till den enskilde lider men om |
uppgiften röjs, eller |
uppgiften röjs, eller |
6. till en enskild enligt vad |
8. till en enskild enligt vad |
som föreskrivs i |
som föreskrivs i |
–lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brottmål,
–lagen (1991:1129) om rättspsykiatrisk vård,
–lagen (1995:831) om transplantation m.m.,
–smittskyddslagen (2004:168),
–6 och 7 kap. lagen (2006:351) om genetisk integritet m.m.,
–lagen (2006:496) om blodsäkerhet,
–lagen (2008:286) om kvalitets- och säkerhetsnormer vid han- tering av mänskliga vävnader och celler,
–lagen (2012:263) om kvalitets- och säkerhetsnormer vid hanter- ing av mänskliga organ eller förordning som har meddelats med stöd av den lagen, eller
–2 kap. lagen (2017:612) om samverkan vid utskrivning från sluten hälso- och sjukvård.
Denna lag träder i kraft den 1 januari 2025.
70
SOU 2023:76 |
Författningsförslag |
1.4Förslag till förordning om vidareanvändning av patientdata i precisionsmedicinsk databas (0000:00)
Härigenom föreskrivs följande.
Inledande bestämmelser
1 § I denna förordning finns föreskrifter som ansluter till 6 kap. patientdatalagen (2008:355).
De ord och benämningar som används i förordningen har samma betydelse som i den nämnda lagen.
2 § Denna förordning är meddelad med stöd av 8 kap. 7 § reger- ingsformen.
Precisionsmedicinsk databas
3 § En precisionsmedicinsk databas ska tillgängliggöra personupp- gifter för vården av en annan patient än den som uppgifterna avser.
Personuppgifterna i en precisionsmedicinsk databas får behand- las för de ändamål som anges i 6 kap. 5 § patientdatalagen (2008:355).
Samverkansregionala precisionsmedicinska databaser
4 § Endast en sådan regional myndighet inom hälso- och sjuk- vården som omfattas av en av de sex samverkansregioner för hälso- och sjukvård som anges i 3 kap. 1 § hälso- och sjukvårdsförordningen (2017:80) får inrätta och föra en precisionsmedicinsk databas enligt 6 kap. 10 § patientdatalagen (2008:355).
En samverkansregional precisionsmedicinsk databas får finnas i var och en av
1.samverkansregion Stockholm,
2.samverkansregion Linköping,
3.samverkansregion Lund/Malmö,
4.samverkansregion Göteborg,
5.samverkansregion Uppsala/Örebro eller
6.samverkansregion Umeå.
71
Författningsförslag |
SOU 2023:76 |
Precisionsmedicinsk databas inom den Nationella Genomikplattformen
5 § Hos en regional myndighet inom hälso- och sjukvården som ingår i Genomic Medicine Sweden får en precisionsmedicinsk data- bas inrättas och föras enligt 6 kap. 10 § patientdatalagen (2008:355) inom den Nationella Genomikplattformen.
Personuppgiftsansvar
6 § Endast den regionala myndighet som enligt 4 § inrättar och för precisionsmedicinsk databas får vara personuppgiftsansvarig för cen- tral behandling av personuppgifter i en precisionsmedicinsk databas enligt 6 kap. 7 § patientdatalagen.
7 § Den regionala myndighet som inrättar och för precisionsmedi- cinsk databas inom den Nationella Genomikplattformen enligt 5 § är personuppgiftsansvarig för central behandling av personuppgifter i databasen enligt 6 kap. 7 § patientdatalagen.
Urval och tillgängliggörande av personuppgifter till en precisionsmedicinsk databas
Samverkansregionala precisionsmedicinska databaser
8 § Vårdgivare som omfattas av en samverkansregion får endast till- gängliggöra personuppgifter till den precisionsmedicinska databas som finns i vårdgivarens samverkansregion.
9 § Vårdgivare som inte omfattas av en samverkansregion, men som bedriver hälso- och sjukvård med en region som huvudman, får tillgängliggöra personuppgifter till den samverkansregionala databas som huvudmannen omfattas av.
72
SOU 2023:76 |
Författningsförslag |
Precisionsmedicinsk databas inom den Nationella Genomikplattform
10 § Vårdgivare som ingår i Genomic Medicine Sweden får till- gängliggöra personuppgifter till den precisionsmedicinska databasen inom den Nationella Genomikplattformen.
Tillgång till personuppgifter precisionsmedicinsk databas
11 § Endast regionala myndigheter inom den samverkansregion där en samverkansregional precisionsmedicinsk databas förs får ges tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter som behandlas i en samverkansregional precisions- medicinsk databas.
12 § Endast de regionala myndigheter som ingår i Genomic Medicine Sweden får ges tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter som behandlas i den precisionsmedi- cinska databasen inom den Nationella Genomikplattformen.
Uppgiftslämnande
13 § Bestämmelser om sekretess inom allmän hälso- och sjukvårds- verksamhet finns i 25 kap. offentlighets- och sekretesslagen (2009:400).
Bestämmelser om tystnadsplikt inom enskild hälso- och sjukvårds- verksamhet finns i 6 kap. 12, 13 och 16 §§ patientsäkerhetslagen (2010:659).
Denna förordning träder i kraft den 1 januari 2025.
73
Författningsförslag |
SOU 2023:76 |
1.5Förslag till förordning om ändring
i patientdataförordningen (2008:360)
Härigenom föreskrivs i fråga om patientdataförordningen (2008:360) att 2 § ska ha följande lydelse.
Nuvarande lydelseFöreslagen lydelse
2 §1
Socialstyrelsen får, efter att ha gett Integritetsskyddsmyndigheten tillfälle att yttra sig, meddela föreskrifter om verkställigheten av
1. tilldelning av behörighet för |
1. tilldelning av behörighet för |
||
åtkomst till uppgifter som förs |
åtkomst till uppgifter som förs |
||
helt eller |
delvis |
automatiserat |
helt eller delvis automatiserat |
enligt 4 kap. 2 § patientdatalagen |
enligt 4 kap. 2 § och 6 kap. 17 § |
||
(2008:355) samt sådan tilldel- |
patientdatalagen (2008:355) samt |
||
ning av behörighet vid samman- |
sådan tilldelning av behörighet |
||
hållen vård- och omsorgsdoku- |
vid sammanhållen vård- och om- |
||
mentation enligt 4 kap. 3 § lagen |
sorgsdokumentation enligt 4 kap. |
||
(2022:913) |
om |
sammanhållen |
3 § lagen (2022:913) om samman- |
vård och omsorgsdokumentation, |
hållen vård och omsorgsdoku- |
||
|
|
|
mentation, |
2.dokumentation och kontroll av elektronisk åtkomst enligt 4 kap. 3 § patientdatalagen samt dokumentation och kontroll av åtkomst vid sammanhållen vård- och omsorgsdokumentation enligt 4 kap. 4 § lagen om sammanhållen vård- och omsorgsdokumentation,
3.de krav på säkerhetsåtgärder som ska gälla vid sådan direkt- åtkomst eller annat elektroniskt utlämnande som avses i 5 kap. 5 § patientdatalagen och i 4 kap. 2 § lagen om sammanhållen vård- och omsorgsdokumentation, och
4.den information som ska ges till patienten enligt 8 kap. 5 § patientdatalagen.
Denna förordning träder i kraft 1 januari 2025.
1Senaste lydelse 2022:924.
74
2Utredningens uppdrag och arbete
2.1Inledning
I detta kapitel beskrivs utredningens uppdrag och bakgrund till upp- draget, utredningens tolkning och avgränsningar av uppdraget, vissa begrepp som används i betänkandet samt hur utredningen har be- drivit sitt arbete.
2.2Övergripande om uppdraget
I direktiven anges att utredaren ska:
–Analysera vilka möjligheter som, utifrån befintlig lagstiftning kring offentlighet och sekretess, tystnadsplikt samt dataskydd, finns för att personuppgifter eller andra data från flera individer ska kunna användas för vård och behandling av andra enskilda individer samt för att sådana uppgifter ska kunna delas mellan olika aktörer som bedriver vård eller forskning och innovation eller bådadera. Ana- lysen ska även innefatta en analys av den enskildes behov av skydd för den personliga integriteten.
–Bedöma om det behövs författningsändringar för att möjliggöra att personuppgifter eller andra data från flera individer ska kunna användas för vård och behandling av andra enskilda individer samt för att sådana uppgifter ska kunna delas mellan olika aktörer som bedriver vård eller forskning och innovation eller bådadera, samt i så fall lämna nödvändiga författningsförslag.
75
Utredningens uppdrag och arbete |
SOU 2023:76 |
–Om det är nödvändigt med författningsändringar, särskilt redo- göra för hur författningsförslagen förhåller sig till regleringar om offentlighet och sekretess, tystnadsplikt, dataskydd och till den en- skildes behov av skydd för den personliga integriteten.
–Analysera vilka möjligheter som, utifrån befintlig lagstiftning kring offentlighet och sekretess, tystnadsplikt samt dataskydd, finns för att möjliggöra sekundäranvändning av hälsodata från hälso- och sjukvården för ändamålen forskning, utvecklings- och innovations- verksamhet, undervisning på akademisk nivå samt statliga och regio- nala och kommunala myndigheters beslutsfattande. Analysen ska även innefatta en analys av den enskildes behov av skydd för den personliga integriteten.
–Bedöma om det behövs författningsändringar för att möjliggöra sekundäranvändning av hälsodata från hälso- och sjukvården för ändamålen forskning, utvecklings- och innovationsverksamhet, undervisning på akademisk nivå samt statliga och regionala och kommunala myndigheters beslutsfattande, samt i så fall lämna nöd- vändiga författningsförslag.
–Om det är nödvändigt med författningsändringar, särskilt redogöra för hur författningsförslagen förhåller sig till regleringar om offent- lighet och sekretess, tystnadsplikt och dataskydd, och till den en- skildes behov av skydd för den personliga integriteten.
–Redogöra för de konkreta tillämpningssvårigheter när det gäller den befintliga regleringen av hälsodata som eventuellt framkom- mer under utredningens gång.
I uppdraget ingår inte att lämna förslag till bestämmelser som bryter statistiksekretessen eller förslag som riskerar att leda till att individ- data lagras i egna databaser hos privata aktörer där vidareutnyttjandet inte kan kontrolleras. Det framgår även av direktiven att regeringen gör bedömningen att det inte är inom ramen för regleringen om natio- nella och regionala kvalitetsregister i 7 kap. patientdatalagen (2008:355), förkortad PDL, eller inom ramen för regler om registerbaserad forsk- ning, som de behov som beskrivs i direktiven kan tillgodoses.
Bakgrunden till uppdraget framgår av direktivet. Direktivet hän- visar bland annat till regeringens nationella life
76
SOU 2023:76 |
Utredningens uppdrag och arbete |
resurs för Sverige (I2021/02739) där det framgår att dataområdet är under stor förändring samt vilka möjligheter nya data kan ge upphov till.
Direktivet hänvisar också till behovet av ändrad lagstiftning rör- ande sekundäranvändning av hälsodata för vård av annan än den en- skilde, vilket är en förutsättning för nationell implementering av viss precisionsmedicin i Sverige.
Därtill lyfts att regeringen fått en rad synpunkter från olika sam- hällsaktörer om att regleringen av hälsodata är utdaterad och svår- tillämpad. Riksdagen har i ett tillkännagivande till regeringen anfört att en översyn av patientdatalagen och annan relevant lagstiftning bör göras.1 Det är enligt riksdagen angeläget att lagstiftningen på om- rådet är anpassad till de krav som dagens teknik ställer, samtidigt som skyddet för den personliga integriteten värnas. Utredningens direktiv är indelade i tre delar, utredningen redogör för tolkningen av var och ett av dem under avsnitt 2.3, 2.4 och 2.5.
2.3Tolkning av uppdraget om att skapa förutsättningar för sekundäranvändning av hälsodata för patientändamål
Den första delen av utredningens direktiv avser enligt rubriken sekun- däranvändning av hälsodata för patientändamål. I denna del av utred- ningens direktiv är förutsättningarna för implementeringen av preci- sionsmedicin inom hälso- och sjukvården en central del. Kopplat till precisionsmedicin lyfts i direktiven frågan om utbyte av personupp- gifter mellan olika aktörer för vård och behandling av andra enskilda individer. I denna del lyfts även delning av personuppgifter mellan olika aktörer som bedriver vård eller forskning och innovation eller båda- dera.
Utredningen uppfattar att uppdraget i denna del först och främst avser vidareanvändning av personuppgifter för vårdändamål. Patienten i sig kan inte vara ett ändamål för personuppgiftsbehandlingen, utan det är enligt utredningens tolkning av uppdraget vården av patienten som är ändamålet för personuppgiftsbehandlingen. Däremot uppfattar utredningen att begreppet ”patientändamål” ger uttryck för att de nyttor av vidareanvändning som avses i denna del är av patientnära karaktär. Exakt var gränsen för detta går är inte möjligt att fastställa
1Bet. hälso- och sjukvårdsfrågor 2018/19:SoU8 punkt 58, rskr. 2018/19:233.
77
Utredningens uppdrag och arbete |
SOU 2023:76 |
och utredningen ser inte heller att det är av avgörande betydelse för utredningens uppdrag.
Utredningen tolkar vidare uppdraget i denna del som att rättsläget behöver analyseras med avseende på förutsättningarna att för vård- ändamål behandla personuppgifter som avser en patient för vården av en annan patient. Det ingår även att utreda förutsättningarna för sådan behandling av personuppgifter mellan aktörer som bedriver hälso- och sjukvård. Utifrån att ändamålet är vård, uppfattar utredningen att de aktörer som kan avses är sjukvårdshuvudmän och vårdgivare. Utred- ningen uppfattar att det övergripande syftet med analysen och even- tuella författningsförslag avseende vidareanvändning av personupp- gifter för vårdändamål är att kartlägga de juridiska förutsättningarna för, samt vid behov lämna de författningsförslag som krävs, för att precisionsmedicin ska kunna implementeras inom svensk hälso- och sjukvård. För en beskrivning av precisionsmedicin, se avsnitt 11.4.1.
I utredningens författningsförslag formuleras ändamålet som be- handling av personuppgifter för vården av en annan patient än den som personuppgifterna avser, se vidare avsnitt 14.4.1.
Utöver vårdändamålet, avser uppdraget i första delen av direk- tiven även ändamålen innovation och forskning. Utredningen har i denna del uppfattat att uppdraget avser situationer där vård, inno- vation och forskning sker parallellt med varandra. Personuppgifter samlas in och används primärt för vårdändamålet. Det finns även stora behov att kunna använda uppgifterna för utveckling, innova- tion och forskning. I dessa situationer kan det vara svårt att bedöma vilket det primära- respektive sekundära ändamålet är. Många gånger har det inte heller en praktisk betydelse för den registrerade.
2.4Tolkning av uppdraget att lämna förslag som möjliggör utökad sekundäranvändning av hälsodata
Direktiven i den andra delen tar avstamp i att det generellt finns stor potential i de mängder hälsodata som finns lagrade inom hälso- och sjukvården och som kontinuerligt samlas in. I direktiven lyfts att det finns ett växande behov av användning av hälsodata för att kunna möta alltmer komplexa samhällsutmaningar och att en mer dynamisk datadelning skulle kunna möjliggöra mer effektiv och medborgar-
78
SOU 2023:76 |
Utredningens uppdrag och arbete |
centrerad service och vård. Dessutom skulle det kunna öka förmågan att möta samhällsutmaningar och kriser med hjälp av datadrivna ana- lyser och fördjupade kunskapsunderlag som kan ge bättre helhets- bilder i realtid. Det anges vidare att det i dag inte bedöms finnas till- räckliga rättsliga, organisatoriska eller tekniska förutsättningar när det gäller sekundäranvändning av hälsodata för att dessa data ska kunna komma till nytta för ändamål som forskning, utvecklings- och inno- vationsverksamhet, undervisning samt statliga och regionala myndig- heters beslutsfattande. Utifrån detta ska utredningen analysera möjlig- heterna till sekundäranvändning av hälsodata från hälso- och sjukvården för de angivna ändamålen och bedöma om det behövs författnings- ändringar för att möjliggöra sådan sekundäranvändning.
Utredningen uppfattar att uppdraget redan i nu nämnda delar är mycket omfattande. Det kan tänkas omfatta förbättringar för hälso- och sjukvården, men också andra samhällsfunktioner. Det kan tänkas omfatta både aktörer inom hälso- och sjukvården (offentliga såväl som privata), som statliga, regionala och kommunala myndigheter och privata företag som kan ha nytta av att använda hälsodata från hälso- och sjukvården. Det rör sig om aktörer med olika uppdrag och verk- samheter, som omfattas av olika regelverk.
För det fall utredningen lämnar författningsförslag, ska utredningen enligt direktiven särskilt redogöra för hur författningsförslagen för- håller sig till regleringar om offentlighet och sekretess, tystnadsplikt och dataskydd, och till den enskildes behov av skydd för den per- sonliga integriteten. Utredningen konstaterar att detta i sig innebär omfattande analyser. Ju fler typer av aktörer som omfattas av för- slagen, desto fler perspektiv och juridiska aspekter aktualiseras kopplat till dessa analyser.
Utredning noterar att ändamålen forskning och innovation åter- finns såväl i denna del av utredningens direktiv som i första delen, avseende uppdraget beträffande sekundäranvändning av hälsodata för patientändamål, se ovan avsnitt 2.3. I direktiven kommenteras inte hur dessa eventuellt överlappar varandra. Utredningen uppfattar att det delvis kan finnas en överlappning avseende uppdragen rörande ända- målen forskning och innovation. Forskning och innovation inom eller med nära koppling till hälso- och sjukvården, där nyttorna realiseras nära patienten, skulle kunna tänkas omfattas av båda delarna i upp- dragen. I direktiven framgår en bedömning att det i dag inte finns till- räckliga rättsliga, organisatoriska eller tekniska förutsättningar när det
79
Utredningens uppdrag och arbete |
SOU 2023:76 |
gäller sekundäranvändning av hälsodata för att dessa data ska kunna komma till nytta för ändamål som forskning, utvecklings- och innova- tionsverksamhet, undervisning samt statliga och regionala myndig- heters beslutsfattande. Utredningens tolkning av de utpekade ända- målen i direktivens andra del redogörs för, var för sig, nedan.
2.4.1Forskning
Av direktiven framgår ingen begränsning av vilken typ av forskning som omfattas. Det framgår dock att det är forskning som kräver tillgång till hälsodata. Utredningens bedömning är att det finns olika typer av forskning när det kommer till hälsodata. Det innebär att en mängd olika juridiska aspekter kan aktualiseras. I kapitel 6 beskriver utredningen viktiga begrepp och regelverk inom sådan forskning som utredningen tolkar är av vikt för utredningens arbete. En av utgångs- punkterna för utredningens uppdrag beskrivs i direktiven vara life
Även om tolkningen av vilken forskning som ska omfattas be- gränsas till att primärt avse forskning som stärker hälso- och sjuk-
2
80
SOU 2023:76 |
Utredningens uppdrag och arbete |
vården, innebär sådan forskning att det finns behov som kräver flera olika juridiska perspektiv att ta hänsyn till.
2.4.2Utveckling och innovation
Iutredningens direktiv definieras utvecklings- och innovationsverk- samhet som utvecklingen och implementeringen av nya eller förbätt- rade produkter, processer eller tjänster genom användning av tekniska uppgifter, affärsinformation och annan befintlig kunskap tillsammans med sekundäranvändning av
Utredningens bedömning är att det finns olika typer av utveckling när det kommer till hälsodata. Det finns utveckling inom vården som är direkt kopplad till vården av patienterna och omfattas av sådan utveckling som anges i 2 kap. 4 § 4 PDL. Sedan finns utveckling som indirekt påverkar vården. Detta kan röra exempelvis utveckling av fastighetsskötsel eller annat, så som underhåll av ramper. Ett utveck- lingsarbete på detta område skulle exempelvis kunna vara att ersätta en ramp med en hiss. Utredningen bedömer att denna typ av utveck- ling inte är den typ av utveckling som avses i utredningens direktiv. Däremot är det en övergående skala från denna typ av utveckling till den utveckling som är nära kopplad till patienten. Slutligen finns utveckling som indirekt kan påverka vården men som kan ha en annan typ av koppling till vården. Exempelvis har ett läkemedels- eller medi- cinteknikföretag närmre koppling till hälso- och sjukvården än en biltillverkare som tillverkar krockkuddar. Det går att argumentera för att båda utvecklar produkter som kopplar till hälsa, men utredningen bedömer att utveckling av produkter som ska användas i sjukvården för vård av patienter har en närmare koppling till vården än exem- pelvis krockkuddar och säkerhetsbälten. Utredningens arbete har i första hand utgått ifrån behovet i vårdens kärnverksamhet och i andra hand utgått ifrån behovet för life science sektorn och vårdens kringverksamhet. Utveckling för övriga sektorer har utredningen tagit hänsyn till i sista hand eftersom deras behov bedömts vara minst i förhållande till de andra.
Vad gäller begreppet innovation så är det inget begrepp som finns definierat i den svenska lagstiftningen. I den finska lagen för sekun- däranvändning finns innovation som ett eget ändamål. Utredningen
81
Utredningens uppdrag och arbete |
SOU 2023:76 |
har varit i kontakt med Findata3 angående hur innovation används i praktiken och hur det skiljer sig mellan forskning och utveckling. Deras bedömning var att innovationsbegreppet är svårt att använda och att datauttag många gånger görs som forskning i stället eftersom det ofta ger tillgång till mer hälsodata och därför också möjliggör för fler typer av analyser.4 Utredningen har därför tolkat att själva be- greppet innovation kan ses som utveckling eller utveckling med mer verkshöjd.
2.4.3Utbildning på akademisk nivå
Av direktiven framgår ingen tydlig avgränsning av vilken typ av ut- bildning på akademisk nivå som omfattas. Det framgår dock att det är sådan utbildning på akademisk nivå som i förlängningen förväntas stärka hälso- och sjukvården. Det finns olika typer av akademisk under- visning som i förlängningen kan förväntas stärka hälso- och sjuk- vården. Utredningens tolkning av behoven är att det främst rör bli- vande vårdpersonal som läkarstudenters tillgång till hälsodata när de gör praktik eller när de skriver sin examensuppsats. Utredningen tolkar även direktiven som att andra yrkeskategorier kan ha liknande behov under förutsättning att de behöver så kallad vårdförlagd utbildning under sin akademiska utbildning. Utredningen konstaterar att be- greppen primär- och sekundäranvändning skapar vissa utmaningar i sammanhanget.
Avseende till exempel läkarstudenters examensuppsatser skrivs dessa, som utredningen förstått det, många gånger under primärända- målet utveckling, ur vårdgivarens perspektiv. Samtidigt är det primära ändamålet utbildning för studenten och lärosätet. Utredningens upp- fattning att det oftast handlar om två parallella primära ändamål snarare än ett primärt och ett sekundärt.
När det kommer till läkarstudenters praktik eller så kallad vård- förlagd utbildning så skapar uppdelningen mellan primär- och sekun- däranvändning också problem. Den primära anledningen till att stu- denten gör praktik är utbildning sett ur studentens och lärosätets per- spektiv. Ur vårdgivarens eller patientens perspektiv är det primära syftet vård.
3Findata är en finsk tillståndsmyndigheten som utfärdar tillstånd för sekundäranvädning av hälsodata.
4Möte med THL
82
SOU 2023:76 |
Utredningens uppdrag och arbete |
Utredningen har konstaterat att utbildning på akademisk nivå är ett ändamål som återfinns i den finska lagstiftningen om sekundär- användning. Utredningens tolkning är att den finska lagstiftningen fungerat som förebild vid framtagandet av direktiven och att det är en av anledningarna till att utredningen haft i uppdrag att utröna vilka behoven av hälsodata som finns inom utbildning på akademisk nivå. Utredningen konstaterar sammanfattningsvis att det är komplext att tolka behoven ur enbart ett sekundäranvändningsperspektiv.
2.4.4Myndigheters beslutsfattande
Av direktiven framgår ingen begränsning av vilken typ av myndig- heters beslutsfattande som omfattas, mer än att kommunala, regionala och statliga myndigheter listas. Det framgår däremot att det är sådant beslutsfattande som kräver tillgång till hälsodata. Det här innebär att uppdraget kan omfatta oerhört många typer av beslut och sannolikt lika många juridiska aspekter och perspektiv. Utredningens bedöm- ning av ändamålet statliga, regionala och kommunala myndigheters beslutsfattande är att regeringen önskat driva på utvecklingen där hälso- data används i större utsträckning för att fatta välgrundade beslut. Utredningens tolkning vad gäller kommunala och regionala myndig- heter är att de sannolikt bör begränsas till att omfattas av sådana myn- digheter som bedriver vård. Utredningens bedömning är att det finns en tydlig skillnad mellan behoven av hälsodata för kommunala eller regionala myndigheter i form av vårdgivare jämfört med till exempel statliga myndigheter. Gemensamt är dock att alla kan behöva hälso- data för att fatta vissa av sina beslut. Kommunala och kanske fram- för allt regionala vårdgivare har behov av hälsodata för att fatta beslut på macro- meso- och micronivå. Med macronivå avser utredningen exem- pelvis vårdbehov som en regionledning kan behöva fatta beslut kring.
Med mesonivå avser utredningen exempelvis vårdplanering för en- skilda sjukhus. Med micronivå avser utredningen enskilda kliniker eller enskilda personers användning av hälsodata i enskilda patient- möten.
I korthet har utredningen bedömt att statliga myndigheter fram- för allt har registerförfattning att använda som grund för besluts- fattande när det rör hälsodata som utgörs av personuppgifter som behövs för beslutsfattandet. För kommunala och regionala vårdgivare
83
Utredningens uppdrag och arbete |
SOU 2023:76 |
som kräver tillgång till hälsodata som utgörs av personuppgifter för sina beslutsfattande tillämpas PDL. Utredningens egen uppfattning om hur behoven bör tillgodoses omhändertas i avsnitt 2.7.8.
Utredningens bedömning är att vissa aspekter omhändertas inom utredningens författningsförslag som avser vårdändamålet. Vid person- uppgiftsbehandling som avser vård av annan än den personuppgifterna avser, utgör de nya möjligheterna som följer av utredningens författ- ningsförslag, en form av beslutsstöd. Beslutsfattande som behöver fattas som direkt rör vård av patienter bör, till viss del, enligt utredningens uppfattning omhändertas inom utvecklingsändamålet. Den bedöm- ningen gör utredningen utifrån att slutsatser som kan dras vid utveck- ling av vården bör kunna ligga till grund för nya beslut i framtiden.
Övriga behov handlar, enligt utredningens bedömning, sannolikt ofta om tillgång till hälsodata på aggregerad nivå som efterfrågas när det gäller olika myndigheters beslutsfattande. Utredningen tolkar där- för direktiven som att det ges uttryck för att det främst saknas orga- nisatoriska och tekniska möjligheter för att kunna använda hälsodata för dessa myndigheters beslutsfattande.
2.4.5Frågan om inrättande av en nationell datahubb
Bedömning: Enligt direktiven ska utredningen säkerställa att de förslag som lämnas är förenliga med målsättningen att inom ramen för en befintlig myndighet inrätta en teknisk och organisatorisk funktion för säker och effektiv delning av hälsodata. Utredningen har tolkat uppdraget som att det inte omfattar att lämna förslag på inrättande av en nationell datahubb vid en myndighet eftersom det skulle kräva omfattande och genomgripande författningsför- slag som inte skulle ge utrymme åt utredning av de ändamål som uttryckligen anges i direktiven. Utredningen resonerar däremot så långt det är möjligt utan att lämna författningsförslag i kapi- tel
I utredningen direktiv anges att uppdraget omfattar att säkerställa att de förslag som lämnas är förenliga med målsättningen att inom ramen för en befintlig myndighet inrätta en teknisk och organisatorisk
84
SOU 2023:76 |
Utredningens uppdrag och arbete |
funktion för säker och effektiv delning av hälsodata, i likhet med Findata i Finland eller andra liknande strukturer i andra länder. Utred- ningen noterar också att det finns stora likheter mellan de ändamål som omfattas av utredningens uppdrag avseende utökade möjligheter till sekundäranvändning av hälsodata och de ändamål som omfattas av den finska sekundäranvändningslagen. Vidare anges i direktiven att för att förbättrade rättsliga möjligheter till sekundäranvändning av hälsodata ska kunna få verkligt genomslag behöver dessa förbättringar framöver kunna kompletteras med bättre tekniska, kompetensmässiga och organisatoriska funktioner för den faktiska datadelningen. Dessa faktorer är också förutsättningar för att Sverige ska kunna vara en del av det europeiska hälsodataområdet. En möjlighet är att en befintlig myndighet görs ansvarig för att möjliggöra datadelning i likhet med Findata i Finland. Utredningen har utifrån detta haft anledning att ta ställning till hur långt utredningens förslag ska gå.
Utredningen uppfattar att uppdraget omfattar att kartlägga och analysera strukturer för datadelning i andra länder. Utredningen har tolkat detta som strukturer som följer av delen av förslagen till Europeiska kommissionens förslag till Europaparlamentets och Rådets förordning om ett europeiskt hälsodataområde, COM(2022) 197 final av den 3 maj 2022, förkortat förslaget till EHDS, som avser sekun- däranvändning. Utredningen redogör för detta i kapitel 10. Utred- ningen uppfattar även uppdraget att se över just juridiska utmaningar med dagens lagstiftning. Utredningen har dock inte tolkat uppdraget som att det omfattar att lämnar förslag på inrättande av en nationell datahubb vid en statlig myndighet. Denna bedömning gör utred- ningen bland annat för att det inte uttryckligen står i direktivet. Att inrätta en nationell datahubb är ett mycket omfattande arbete och om regeringen hade velat att utredningen gjorde det så utgår utredningen från att det tydligt framgått av direktiven och att tydliga tekniska specifikationer skulle angetts. Utredningens uppfattning är även att utredningstiden skulle varit anpassad efter ett sådant uppdrag om det skulle ingått i uppdraget. Det hade inte varit möjligt för utredningen att både utreda rättsliga förutsättningar för de uttryckliga ändamålen som anges i direktiven parallellt med en så stor fråga som etableringen av en nationell datahubb med de angivna tidsramarna. Utredningen tolkar skrivelsen om att förslagen ska vara förenliga med målsättningen som att regeringen har en sådan målsättning men att regeringen har för ambition att först uttryckligen peka ut lämplig statlig myndighet
85
Utredningens uppdrag och arbete |
SOU 2023:76 |
och att regeringen kommer återkomma i denna fråga. Utredningen bedömer vidare att det är rimligt att regeringen medvetet avvaktat med att uttryckligen skriva ut ett uppdrag om att reglera upp en natio- nell datahubb eftersom stora delar av en sådan datahubb sannolikt kommer påverkas av förslaget till EHDS. Av den anledningen bedömer utredningen att det är lämpligt att etableringen av en nationell data- hubb utreds när regeringen vet mer om hur den slutliga förordningen kommer att se ut. Frågor som tekniska möjligheter, infrastruktur, it och informationssäkerhet behöver ses över med ett samlat grepp för att se vad som är möjligt att genomföra. Detta är frågor som utred- ningen inte haft möjlighet eller kompetens att se över. För att arbetet med att etablera en nationell datahubb ska bli så effektivt som möjligt behöver regeringen först peka ut lämplig statlig myndighet för att sedan utreda vilka rättsliga förutsättningar just den myndigheten skulle ha för uppdraget.
Utredningen har därför valt att fokusera på att skapa ett så bra underlag som möjligt för regeringen i dess arbete att ta fram en natio- nell datahubb, se kapitel
2.5Tolkning av uppdraget att redogöra för tillämpningssvårigheter gällande befintlig reglering
Enligt utredningens direktiv har utredningen i uppdrag att redogöra för eventuella tillämpningssvårigheter när det gäller befintlig reglering av hälsodata. Syftet med detta anges i direktivet vara att konkretisera vilka problem som finns och på så sätt underlätta regeringens fort- satta arbete på hälsodataområdet. Utredningen tolkar denna del av uppdraget som att regeringen konstaterar att behoven är många på hälsodataområdet och att utredningen inte kan förväntas lämna förslag på alla behov och problem som identifieras under utredningens gång. Utredningen avser därför redogöra för vilka utmaningar och behov som behöver ses över och vad det är för tillämpningssvårigheter som behöver utredas vidare för att kunna komma till rätta med problemen. Utredningen har valt att dela upp denna del i två delar för att på ett pedagogiskt sätt kunna hjälpa regeringen på bästa sätt med de resurser och den kompetens som utredningen haft tillgänglig. Den första delen rör behov som utredningen bedömer helt eller delvis kan lösas med
86
SOU 2023:76 |
Utredningens uppdrag och arbete |
hjälp av en nationell datahubb (kapitel
2.6Begrepp som påverkar tolkningar och avgränsningar av uppdraget
2.6.1Definition av hälso- och sjukvården
Hälso- och sjukvården i utredningens direktiv
Hälso- och sjukvården är central i utredningens direktiv. Uppdraget att skapa förutsättningar för sekundäranvändning av hälsodata för patientändamål/vårdändamål har huvudfokus på hälso- och sjukvården, se vidare avsnitt 2.3. Uppdraget avseende utökade möjligheter till sekundäranvändning av hälsodata för forskning, utvecklings- och inno- vationsverksamhet, undervisning på akademisk nivå samt statliga och regionala och kommunala myndigheters beslutsfattande avser hälso- data ”från hälso- och sjukvården”.
Direktiven ger också uttryck för att det först och främst är i hälso- och sjukvården som nyttan av sekundäranvändningen ska realiseras. I direktiven talas om hälsodata som nationell resurs för framtidens hälso- och sjukvård och att sekundäranvändning för angivna ändamål förväntas stärka hälso- och sjukvården. I den inledande sammanfatt- ningens av uppdraget anges att syftet med uppdraget är att utveckla möjligheterna till sekundäranvändning av hälsodata för att direkt eller indirekt stärka hälso- och sjukvården.
Utredningen noterar att det i direktiven saknas en definition av hälso- och sjukvården. Det anges inte heller vad som närmare avses med hälsodata ”från” hälso- och sjukvården. I det följande redogörs för hur utredningen definierar hälso- och sjukvården samt hur utred- ningen tolkar formuleringen ”från hälso- och sjukvården”.
87
Utredningens uppdrag och arbete |
SOU 2023:76 |
Hälso- och sjukvård i lagstiftningen
Hälso- och sjukvård definieras i olika lagar. Definitionerna skiljer sig något åt.
Enligt hälso- och sjukvårdslagen (2017:30), förkortad HSL, avses med begreppet hälso- och sjukvård åtgärder för att medicinskt före- bygga, utreda och behandla sjukdomar och skador, sjuktransporter, och omhändertagande av avlidna (2 kap. 1 § HSL).
Tillämpningsområdet för patientdatalagen (2008:355), förkortad, PDL är vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I lagen finns också bestämmelser om skyldighet att föra patientjournal. Förutom verksamhet enligt hälso- och sjukvårdslagen omfattar PDL även verksamheter i ett antal andra uppräknande lagar. Dessa är tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskydds- lagen (2004:168), lagen (1972:119) om fastställande av könstillhörig- het i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter, lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar samt den upphävda lagen (1944:133) om kastrering (1 kap. 3 § PDL).
I lag (2022:913) om sammanhållen vård- och omsorgsdokumenta- tion, förkortad SVOD, definieras hälso- och sjukvård Verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2019:1297) om koordineringsin- satser för sjukskrivna patienter samt den upphävda lagen (1944:133) om kastrering (1 kap. 1 § SVOD).
Enligt biobankslag (2023:38) avses med hälso- och sjukvård verk- samhet som omfattas av hälso- och sjukvårdslagen (2017:30) eller tandvårdslagen (1985:125).
Utredningens definition av hälso- och sjukvård
Utredningen konstaterar att det finns legaldefinitioner av hälso- och sjukvård. Utredningen anser att det är lämpligast att ansluta sig till en sådan befintlig definition av hälso- och sjukvård. Mot bakgrund
88
SOU 2023:76 |
Utredningens uppdrag och arbete |
av att utredningens författningsförslag avser vidareanvändning av per- sonuppgifter från hälso- och sjukvården utgår utredningen från tillämp- ningsområdet för PDL och därmed från definitionen av hälso- och sjukvård i den lagen. Vilka verksamheter som omfattas av utred- ningens förslag framgår av avsnitt 2.8. Det är vårdgivares behandling av personuppgifter enligt PDL som är utredningens utgångspunkt.
När det i utredningens direktiv anges ”vården”, tolkar utredningen det som att det är svensk hälso- och sjukvård som avses.
Socialtjänsten omfattas inte av hälso- och sjukvården, se vidare nedan avsnitt 2.7, Utredningens avgränsning av uppdraget.
Hälsodata ”från” hälso- och sjukvården omfattar enligt utred- ningens tolkning hälsodata som finns lagrad inom hälso- och sjuk- vården. Formulerat utifrån PDL:s tillämpningsområde får förstås per- sonuppgifter som behandlas av vårdgivare inom hälso- och sjukvården (se 1 kap. 1 PDL). Utifrån tryckfrihetsförordningens (1949:105), förkortad TF, terminologi avser det hälsodata i handlingar som för- varas hos en myndighet som bedriver hälso- och sjukvård (se 2 kap. 3, 4 och
Hälsodata från hälso- och sjukvården skulle också kunna tänkas avse hälsodata som producerats inom hälso- och sjukvården men som även finns hos andra aktörer. Till exempel rapporterar vård- givare in data till statliga myndigheter, såsom Socialstyrelsen och Läke- medelsverket.
2.6.2Begreppet hälsodata
Utredningens uppdrag avser enligt direktiven uteslutande sekundär- användning av hälsodata. I direktiven definieras hälsodata med an- knytning till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän dataskydds- förordning), förkortad EU:s dataskyddsförordning. Med hälsodata avses enligt direktiven en dokumenterad personuppgift som rör en persons fysiska eller psykiska hälsotillstånd i bred bemärkelse och som utgör käns- liga personuppgifter enligt EU:s dataskyddsförordning.
Utredningen noterar att begreppet hälsodata används allt oftare i olika sammanhang, vilket bland annat framgår av utredningsdirek-
89
Utredningens uppdrag och arbete |
SOU 2023:76 |
tiven. Begreppet används av olika aktörer och dess innebörd varierar. Utredning konstaterar att begreppet inte har någon rättslig defini- tion och att det inte heller i andra sammanhang har en entydig de- finition. I avsnitt 19.2 berörs också hälsodataområdets komplexitet.
Utredningen använder begreppet ”data” i meningen dokumen- terad information (se avsnitt 3.2). Data är typiskt sett information i digitalt format, men kan också avse information som dokumenterats på annat sätt.
Infallsvinklar på begreppet hälsodata
En möjlig infallsvinkel på begreppet hälsodata är att knyta an till vad som utgör känsliga personuppgifter enligt EU:s dataskyddsförordning. Begreppet skulle då i vart fall omfatta uppgifter om hälsa enligt arti- kel 9.1. Om begreppet ska omfatta ”fysiska eller psykiska hälsotill- stånd i bred bemärkelse”, såsom anges i direktiven, skulle det sanno- likt också behöva omfatta genetiska uppgifter enligt samma bestämmelse i dataskyddsförordningen. En liknande typ av definition som ankny- ter till uppgifterna som sådana kopplat till en individ, är den som Kommittén för teknologisk innovation och etik, KOMET, har valt i sin rapport om samtycke inom vård och inom medicinsk forskning. I rapporten definieras hälsodata som ”en dokumenterad uppgift som rör en persons fysiska eller psykiska hälsotillstånd”.5
En sådan definition skulle dock utesluta data som inte är person- uppgifter enligt EU:s dataskyddsförordning. Den synliggör inte heller andra juridiska perspektiv som kan finnas, till exempel sekretess.
Ett annat sätt att närma sig begreppet hälsodata är att försöka beskriva vad det är för typ av information. Hälsodata kan då kort och gott beskrivas som data kopplade till människors hälsa (se prop. 2022/21:60, s. 81). Ett liknande, men mer konkret sätt att för- hålla sig till hälsodata, är att ange vilken typ av uppgifter som menas med tillhörande exempel. Detta sätt används också huvudsakligen i Socialstyrelsens rapport Kartläggning av datamängder av nationellt intresse på hälsodataområdet – delrapport.6 I rapporten beskrivs typer av hälsodata enligt följande:
5Komet beskriver 2019:07. Samtycke inom vård och medicinsk forskning, s. 3.
6Kartläggning av datamängder av nationellt intresse på hälsodataområdet – delrapport, Natio- nellt tillgängliga hälsodata för en datadriven hälso- och sjukvård, forskning och innovation
90
SOU 2023:76 |
Utredningens uppdrag och arbete |
•Vårddata; exempelvis diagnoser, vårdåtgärder, läkemedelsanvänd- ning, laboratoriesvar, bildanalys, enkäter, skattningsskalor, med mera inom vård och omsorg, tandvård eller socialtjänstens områden.
•Livsstilsdata; kost, fysisk aktivitet, alkohol, narkotika, dopning, tobak och spel, livskvalitet, med mera.
•Biologiska data; ålder, fenotyp, mikrobiomarkörer, vävnader, bio- metrisk information, genomik med mera.
•Socioekonomiska data; socialförsäkringsdata, yrke, utbildning, in- komst, demografiska data (bostadsområde, folkbokföringsadress, födelseland) med mera.
•Organisatoriska; sjukvårdssystem (organisatoriska, geografiska, ekonomiska data om verksamheter och personal till exempel yrke och utbildningsnivå, arbetsställe, med mera), produktregister.
•Miljödata; luft, vatten, boendemiljö, utemiljöer för barn med mera.
•Aggregerad information; beteenderelaterade mönster som resmöns- ter, sökmönster (till exempel rådgivning, 1177, 112) med mera.
Ovan nämnda data kan många fall utgöra personuppgifter och även känsliga personuppgifter enligt EU:s dataskyddsförordning, men de måste inte alltid måste vara det. Hälsodata enligt detta synsätt är alltså bredare än den möjliga definitionen enligt utredningens direktiv som har anknytning till EU:s dataskyddsförordning.
Ett principiellt annat sätt att förhålla sig till begreppet hälsodata är att koppla begreppet till data i en viss verksamhet eller aktör, det vill säga var informationen finns. Hälsodata skulle då kunna definieras uti- från aktörer som bedriver verksamhet där det samlas in och registreras typer av hälsodata, till exempel vårddata och biologiska data. Sådana aktörer kan vara vård- och omsorgsgivare. Hälsodata kan utifrån detta beskrivas som data inom hälso- och sjukvården eller socialtjänsten.
Det går också att kombinera en beskrivning av informationen med var den finns, till exempel biologiska data, vårddata och livs- stilsdata som genereras inom hälso- och sjukvården och omsorgen.7 I Socialstyrelsens rapport ovan beskrivs vårddata i sig som informa- tion inom vård och omsorg, tandvård eller socialtjänstens områden.
7Se för ett sådant angreppssätt,
91
Utredningens uppdrag och arbete |
SOU 2023:76 |
En definition med koppling till hälsodata som innehåller både typ av information som avses samt var den finns, i kombination med en koppling till EU:s dataskyddsförordning, finns förslaget till EHDS. I förslaget till EHDS definieras personliga
Utredningens beskrivning av hälsodata
Utredningen använder begreppet hälsodata med innebörden dokumen- terad information som avser vårddata, biologiska data, eller livsstilsdata.
Motivering till utredningens beskrivning är att utredningen anser att en beskrivning av hälsodata inte bör grundas i något regelverk. Det regelverk som i och för sig skulle ligga närmast till hands, utifrån att det har störst generell tillämplighet, är EU:s dataskyddsförordning. Om en definition av hälsodata ska göras utifrån ett regelverk, bör det enligt utredningens mening knyta an till EU:s dataskyddsförordning och utformas i linje med den definition som finns i utredningens direktiv. Hälsodata behöver dock inte alltid vara personuppgifter enligt dataskyddsregelverket. Det kan också vara så att ett så kallat dataset innehåller både information som är personuppgifter och som inte är det, eller inte längre är det. I ett dataset finns ofta en mängd variabler, där vissa utgörs av personuppgifter, andra inte. Några variabler kan utgöra personuppgifter först när de kombineras. Samtidigt finns andra regelverk som också kan vara tillämpligt på hälsodata, såsom sekre- tessregler. Utredningen ser därför ett behov av att frikoppla beskriv- ningen av hälsodata från olika potentiellt tillämpliga regelverk. Dessa kan i stället appliceras på den beskrivning som utredningen föreslår.
Förklaring till beskrivningen
Utredningen ser ett behov av en generell beskrivning av hälsodata som är praktiskt användbar för att belysa vilken typ av information som omfattas av begreppet. Utgångspunkten bör därför vara en be-
92
SOU 2023:76 |
Utredningens uppdrag och arbete |
skrivning som anger vissa typer av information. Beskrivningen bör vara användbar och begriplig för både praktiker och jurister.
En omfattande eller allmänt hållen beskrivning av informations- typer har fördelen att den inte skapar gränsdragningsproblem. En sådan beskrivning tenderar dock att bli intetsägande och inte tillföra något av värde. Begreppet bör därför enligt utrednings uppfattning avgränsas på något sätt. Utredningens ambition har varit att ringa in det centrala och hitta kärnan i den information som bör anses vara hälsodata. Utredningen har därför övervägt olika sätt att avgränsa inne- börden av begreppet hälsodata. Utredningen noterar en principiell skillnad mellan data om hälsa som härrör från individen och data som avser utifrån kommande faktorer som kan påverka människors hälsa. Exempel på data som härrör från individen är diagnos, biologisk ålder och personens arvsmassa, medan luftföroreningar eller socioekonomi inte härrör direkt från individen. Data som avser faktorer som kommer utifrån bör enligt utrednings mening inte ingå i en beskrivning av hälsodata, eftersom dessa snarare är faktorer som samvarierar med en persons hälsa eller på annat sätt indirekt säger något om en per- sons hälsa. Exempelvis går det att göra antaganden om att personer som utsatts för en viss typ av luftföroreningar på gruppnivå kommer ha sämre hälsa, men den hälsodata som direkt kopplar till individen är information om ett hälsotillstånd, som kan eller inte kan uppstått till följd av luftföroreningarna.
Utredningen konstaterar även att det finns en skiljelinje mellan information som i sig avser en individs hälsa och information om faktorer som är bestämmande för en individs hälsa, så kallade be- stämningsfaktorer för hälsa (se artikel 2.2 a) i förslaget till EHDS). Bestämningsfaktorer för hälsa är exempelvis yrke, utbildning och sjukvårdssystem. Dessa faktorer kan påverka individens hälsa och ha betydelse för folkhälsan i stort. En beskrivning som omfattar även bestämningsfaktorer för hälsa riskerar dock att bli så vid att i princip vilka faktorer som helst ingår. Utredningen anser att en sådan be- skrivning inte skulle bli särskilt praktiskt användbar. Avseende be- tydelsen av vårddata, biologiska data och livsstilsdata ansluter sig ut- redningen till den betydelse som anges i Socialstyrelsens rapport Kartläggning av datamängder av nationellt intresse på hälsodataområdet
93
Utredningens uppdrag och arbete |
SOU 2023:76 |
–delrapport.8 Vårddata avser enligt utredningens tolkning av del- rapporten all data om en individ inom områdena hälso- och sjukvård, omsorg, tandvård och socialtjänst. Det här innebär att utredningens uppfattning är att vissa uppgifter, som enligt Socialstyrelsens del- rapport, kategoriseras som biologiska data eller livsstilsdata även utgör vårddata. Därutöver anser utredningen att även andra uppgifter, som yrke, bör omfattas av begreppet hälsodata när de finns inom om- rådena hälso- och vård och omsorg, tandvård eller socialtjänst. När vissa uppgifter som exemplet yrke inte finns inom dessa områden utgör de därför inte hälsodata, enligt utredningens uppfattning.
Utredningen ser ett behov av att definitionen ska belysa vilken typ av information som omfattas av begreppet. Utredningen anser att information om hälsa som härrör från individen är en rimlig av- gränsning för att begreppet ska bli praktiskt användbart. På utred- ningens beskrivning av hälsodata kan olika aspekter läggas, exempelvis tillägg eller precisering av aktörer eller typ av verksamhet. Även olika rättsliga aspekter kan adderas till beskrivningen. Exempelvis kan man tala om hälsodata hos vårdgivare eller hälsodata som sekretessbe- lagda uppgifter eller uppgifter som omfattas av tystnadsplikt. På samma principiella sätt kan även utredningens författningsförslag beskrivas. Utrednings författningsförslag avser, på datahållarsidan, hälsodata i form av personuppgifter som finns inom hälso- och sjukvården, se avsnitt 2.7.
2.6.3Begreppet patientdata
Enligt 1 kap. 1 § PDL ska PDL tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. Begreppet patient- data definieras inte och förekommer inte alls i själva lagen. Utred- ningen konstaterar att det saknas en rättslig definition av patientdata. Däremot kan det konstateras att PDL reglerar vårdgivares person- uppgifter inom hälso- och sjukvården och att lagen i tillämpliga delar även uppgifter om avlidna personer. Det vore därför rimligt att anta att begreppet patientdata avser personuppgifter, men att begreppet omfattar mer än personuppgifter enligt dataskyddsförordningen som inte är tillämplig på avlidna. Vad som avses med inom hälso- och sjuk-
8Kartläggning av datamängder av nationellt intresse på hälsodataområdet – delrapport, Natio- nellt tillgängliga hälsodata för en datadriven hälso- och sjukvård, forskning och innovation
94
SOU 2023:76 |
Utredningens uppdrag och arbete |
vården kan sannolikt kopplas till de bestämmelser lagen anger om vårdgivares skyldighet att föra patientjournal. I PDL finns regler om journalföring som i stora delar fördes över oförändrade från 1985 års patientjournallag.9
En grundläggande bestämmelse föreskriver att det vid vård av pati- enter finns en skyldighet att föra patientjournal (se 3 kap. 1 § första stycket PDL). Syftet med att föra patientjournal är i första hand att bidra till en god och säker vård av patienten (3 kap. 2 § första stycket PDL). Av 3 kap. 2 § andra stycket PDL framgår att patientjournalen även är en informationskälla för patienten, uppföljning och utveck- ling av verksamheten, tillsyn och rättsliga krav, uppgiftsskyldighet en- ligt lag samt forskning.
I förarbetena till PDL anförs att patientjournalen i första hand är ett arbetsinstrument för hälso- och sjukvårdspersonalen. Vidare anförs att journalens grundläggande syfte är att tillgodose patientens intresse av en god och säker vård. Journalen kommer emellertid även fortsatt att ha betydelse inte bara för patienten själv utan även som till exempel underlag vid verksamhetsuppföljning, kontroll och tillsyn eller i rätts- liga sammanhang samt som källmaterial vid forskning och kvalitets- säkring. För att detta ska tydliggöras i den föreslagna ramlagstiftningen ansåg regeringen att en bestämmelse om syftet med journalföringen skulle införas (prop. 2007/08:126, s.
Skyldigheten att föra patientjournal är kopplat till hälso- och sjuk- vårdspersonalens medicinska yrkesansvar (se prop. 2007/08:126, s. 81). Utgångspunkten är att den som enligt 4 kap. patientsäkerhetslagen (2010:659) har legitimation eller särskilt förordnande för att utöva ett visst yrke har skyldighet att föra patientjournal (3 kap. 3 § 1 PDL). Därutöver finns skyldighet att föra patientjournal för vissa andra yrkeskategorier, utan att dessa innehar legitimation för yrket (se 3 kap. 3 §
Det finns även regler om vad en patientjournal ska innehålla. Övergripande gäller att en patientjournal endast får innehålla de upp- gifter som behövs för ändamålet vårddokumentation, det vill säga
9Prop. 2007/08:126, s. 46 och 90.
10Se till exempel SOSFS 2011:9 och
95
Utredningens uppdrag och arbete |
SOU 2023:76 |
uppgifter som behövs i och för vården av patienten eller som behövs för administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall (3 kap. 5 § PDL och 2 kap. 4 § första stycket 1 och 2 PDL). Patient- journalen ska vidare innehålla de uppgifter som behövs för en god och säker vård av patienten (3 kap 6 § första stycket PDL).
Uppgifter som tillförs en patientjournal bör därför vara att anse som patientdata. Enligt utredningens bedömning är det dock olyckligt att en författning har ett namn som inte definieras. Trots detta kommer utredningen att använda begreppet i delar av författningsförslagen. Det beror på att utredningen av lagtekniska skäl behöver ta hänsyn till befintliga namn på författningar. Om en författning sakligt hör samman med en annan författning, kommer sambandet mellan de båda författningarna nämligen att framgå av
2.6.4Primär- och sekundäranvändning i rättsliga sammanhang
Med sekundäranvändning av personuppgifter avses enligt utredningens direktiv behandling av personuppgifter för något annat ändamål än det primära ändamålet med personuppgiftsbehandlingen. Direktiven definierar alltså sekundäranvändning i förhållande till primäranvänd- ning. Direktivens definition av sekundäranvändning bygger på att det kan klarläggas vad som menas primär användning eller det primära ändamålet med behandling av personuppgifter. Primär- respektive sekundär användning definieras inte i EU:s dataskyddsförordning. Be- greppet har dock nära koppling till bestämmelsen om ändamålsbegräns- ning i artikel 5.1 b i EU:s dataskyddsförordning.
Europeiska dataskyddsstyrelsen, förkortad EDPB, har utfärdat Riktlinjer 03/2020 om behandling av uppgifter om hälsa för veten- skapliga forskningsändamål i samband med
11Se Ds 2014:1, s. 17.
96
SOU 2023:76 |
Utredningens uppdrag och arbete |
riktlinjer används begreppen primär och sekundär användning i sam- band med behandling om av personuppgifter för vetenskapliga forsk- ningsändamål (se punkten 11). Med primär användning avses enligt riktlinjerna ”forskning utifrån personuppgifter (om hälsa) som består i användning av uppgifter som samlats in direkt för vetenskapliga studier”. Med sekundär användning avses "forskning utifrån person- uppgifter (om hälsa) som består i ytterligare behandling av uppgifter som ursprungligen samlades in för ett annat ändamål”. EDPB kopplar alltså primär användning till det ursprungliga insamlingsändamålet, annan sekundär användning är ytterligare behandling av personupp- gifter för ett annat ändamål.
Ett liknande sätt att göra skillnad på primär och sekundär använd- ning av hälsodata är den som finns i den finska lagen om sekundär- användning av personuppgifter inom social- och hälsovården (552/2019, ursprungligen i kraft
I 2 kap. 4 PDL görs inte skillnad på ändamål som avser ”primär- användning” eller ”sekundäranvändning” eftersom återanvändningen är så nära kopplad till kärnverksamheten. I propositionen till PDL uttalas att eftersom patientdatalagen får ett väsentligen mera vid- sträckt tillämpningsområde i förhållande till vårdregisterlagen är det olämpligt att som i dag dela in ändamålen i primära och sekundära ändamål. Både primära och sekundära ändamål handlar om person- uppgiftsbehandlingar som, mer eller mindre integrerat, normalt äger rum i varje vårdgivares egen verksamhet (prop. 2007/08:126, s. 56). Behandling av personuppgifter för exempelvis utveckling och upp- följning av vårdgivarens verksamhet avser i stor utsträckning åter- användning av uppgifter som samlats in i för vården av patienter och skulle därför kunna ses som sekundäranvändning. När det gäller regis- terförfattningar för statliga myndigheter görs skillnad på primära ända- mål som myndigheten får samla in personuppgifter för inom myndig- hetens egen verksamhet, och sekundära som myndigheten får lämna
97
Utredningens uppdrag och arbete |
SOU 2023:76 |
ut uppgifter för till externa mottagare, se SOU Dataskydd inom Social- departementet, s. 151).
I förslaget till EHDS finns definitioner kopplade till primär och sekundär användning av hälsodata. Med primär användning av
Definitionerna i förslaget till EHDS tar, till skillnad från ovan nämnda definitioner, inte utgångspunkt i vad som är ändamålet för insamlingen, utan bestämmer vad som är primär och sekundär an- vändning frikopplat från ursprunglig insamling och vidareanvändning. Ursprunglig insamling och registrering för forskning klassas då alltid som sekundär användning. Utredning uppfattar att detta är ett nytt sätt att förhålla sig till primär och sekundär användning som inte ligger i linje med den innebörd som begreppen för närvarande typiskt sett brukar ha.
Praktiska aspekter på primär- och sekundäranvändning
Utredningens erfarenhet är att det är svårt att i praktiken göra skillnad på primär och sekundär användning av hälsodata. En sekundäranvänd- ning kan uppfattas ske för ett primärt ändamål i en verksamhet. Till exempel kan en uppgift samlas in till forskning, men sedan användas för vården av samma individ. Hos vårdgivaren är vård ett primärt ända- mål, men om utgångspunkten för kategoriseringen är ursprungligt ett annat insamlingsändamål, kan vård ses som ett sekundärt ändamål.
Frågan är hur långt tillbaka i kedjan av användande av en person- uppgift man behöver gå för att avgöra om det är primär eller sekundär användning. Om sekundäranvändning ska definieras utifrån ursprung- ligt insamlingsändamål behöver personuppgiftens hela ”livscykel” kunna följas, också mellan olika personuppgiftsansvariga, vilket kan vara en praktisk omöjlighet.
Hälsodata kan också samlas in för flera ändamål samtidigt. Under ett forskningsprojekt kan hälsodata samlas in som kan vara av vikt
98
SOU 2023:76 |
Utredningens uppdrag och arbete |
för vården av patienten. Det innebär att uppgifter dom samlats in för det primära ändamålet forskning och återanvänds för det primära ändamålet vård.
Ett annat exempel är när en patient vårdas och hälsodata som sam- lats in inte varit tillräcklig. I den stunden kan verksamheten dra lärdom om vilka uppgifter som bör samlas in vid liknande situationer i fram- tiden. Det är då oklart om denna oundvikliga verksamhetshetutveckling som skedde av själva insamlandet bör ses som primäranvändning eller vidareanvändning.
Termen ”sekundär” leder ordalydelsemässigt in på den andra gången som en personuppgift används, medan personuppgifter i dag kan an- vänds för flera ändamål i samma verksamhet innan de senare lämnas ut för ytterligare användningar. Begreppet är därmed inte heller rep- resentativt rent språkligt för det som sker i praktiken. Utöver dessa perspektiv har utredningen även fått till sig att vissa aktörer tolkat begreppet sekundäranvändning som att det utgörs av något sekundärt, som något mindre viktigt än det primära ändamålet. Av flera anled- ningar anser därför utredningen att sekundäranvändning inte är ett optimalt begrepp att använda i sammanhanget.
2.6.5Vidareanvändning i stället för sekundäranvändning
Utredningen har valt begreppet vidareanvändning i stället för sekun- däranvändning. Utredningen är medveten om att detta inte löser alla de svårigheter som är förknippade med uppdelningen primär- och sekundär användning. Utredningen anser dock att det är ett begrepp som bättre belyser vad som rent praktiskt sker. Utredningen före- griper på detta sätt inte heller den eventuella definitionen av sekun- däranvändning som kan komma i och med förslaget till EHDS. I ut- formningen av begreppet har utredningen hämtat inspiration från begreppet vidareutnyttjande som finns i Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om dataförvalt- ning (dataförvaltningsakten) COM(2020) 767 final av den 25 novem- ber 2020, förkortad dataförvaltningsförordningen, och lag (2022:818) om den offentliga sektorns tillgängliggörande av data. Utredningens begrepp vidareanvändning har inte samma juridiska innebörd som vidareutnyttjande enligt dessa regelverk. Däremot anser utredningen
99
Utredningens uppdrag och arbete |
SOU 2023:76 |
att ledet ”vidare” är ett bra ord för att belysa nytt händer i förhål- lande till något tidigare eller annat.
I den engelska versionen av DFF används termen
Utredningen har även övervägt begreppet vidarebehandling. Ledet ”behandling” skulle knyta mer direkt an mot EU:s dataskyddsförord- ning och behandling av personuppgifter. Liksom avseende beskriv- ningen av begreppet hälsodata, anser utredningen att det är lämpligt att de begrepp som används tar höjd för att datadelning som sker kan omfatta dataset som även innehåller hälsodata som inte är per- sonuppgifter. Användning ger då uttryck för detta bredare perspektiv som inte är direkt kopplat till åtgärder som avser personuppgifter. Utredningen bedömer också att ordet användning är mer begripligt från praktisk synvinkel, än vad behandling är. Användning omfattar dock även ”behandling” enligt dataskyddsförordningen. Det är enligt utredningens bedömning svårt att ge ett begrepp en definition som ger uttryck för dels vad som praktiskt sker, dels för de rättsliga kon- sekvenser som är relevanta i det aktuella fallet. De försök som gjorts att definiera sekundäranvändning illustrerar detta. Liksom med beskriv- ningen av begreppet hälsodata, ser utredningen ett behov av ett be- grepp som är begripligt från praktiskt perspektiv, samtidigt som det är användbart juridiskt. Utredningen uppfattar att begreppet vidare- användning överlag har mottagits positivt när utredningen har använt det i olika sammanhang under utredningstiden.
I stället för att försöka legaldefiniera begreppet vidareanvändning, beskriver utredningen vad det närmare avser i olika situationer.
Vidareanvändning hos en och samma aktör omfattar att insamlade hälsodata används för ett annat ändamål än vad de ursprungligen sam- lades in för. Vidareanvändning kan ske i flera led, till exempel först vård och sedan utveckling och uppföljning hos en vårdgivare. Vad som är samma eller ett nytt ändamål är inte alltid givet. Avser vidare- användningen personuppgifter behöver frågan om en vidareanvändning ryms inom det ursprungliga insamlingsändamålet, analyseras utifrån dataskyddslagstiftningen. Inom ramen för uppdraget att analysera förutsättningarna för sekundäranvändning för patientändamål/vård- ändamål, se avsnitt 2.3, har utredningen haft att bedöma vad som inom ett övergripande vårdändamål är att anse som en vidareanvändning av personuppgifter som kräver ny rättslig grund, se avsnitt 14.3.
100
SOU 2023:76 |
Utredningens uppdrag och arbete |
Vidareanvändning omfattar också att hälsodata som samlats in av en aktör delas med en annan aktör som sedan använder informa- tionen. Detta kan till exempel avse en vårdgivare som lämnar ut hälso- data till en myndighet eller privat aktör som bedriver forskning. Ut- redningens bedömning är däremot att det är primäranvändning när samma vårdgivare använder hälsodata för samma ändamål flera gånger, som exempelvis när en läkare läser på om en patients provsvar inför ett nytt besök.
Utredningens uppfattning är att hälsodata kan primäranvändas hos en vårdgivare och samtidigt kan samma hälsodata vidareanvändas hos en annan. Om vårdgivare A tar en röntgenbild av en patient och sedan skickar röntgenbilden till vårdgivare B så är röntgenbilden paral- lell primäranvändning hos båda vårdgivarna. Däremot är det rimligt att anse att vårdgivare B:s behandling av röntgenbilden utgör en vidare- användning ur vårdgivare A:s perspektiv.
Sammanfattningsvis gör utredningen bedömningen att det finns inget optimalt begrepp för när hälsodata används flera gånger, paral- lellt eller i olika led. Vidareanvändning är dock det begrepp som bäst motsvarar utredningens uppfattning om vad det är som sker när hälso- data används flera gånger.
2.6.6Den enskildes inställning
Utredningen konstaterar att det finns flera sätt som används i prak- tiken som avser ge uttryck för den enskildes inställning. Att samtycka till något kan enkelt förklaras med att en person godkänner något. Ett annat sätt att uttrycka den enskildes inställning kan vara en möjlighet att kunna motsätta sig något. Eftersom det finns olika typer av samtycken har utredningen valt att redogöra mer djupgående för olika typer av samtycken i en egen bilaga (se Bilaga 3 Samtycken inom vård och klinisk forskning).
Utredningen listar därför endast kort i detta avsnitt vilka olika be- grepp som används i utredningen och som ger uttryck för den en- skildes inställning.
Utredningen använder formuleringen ”samtycke till vård” när sam- tycke enligt 4 kap. 2 § PL avses. En patient kan, om inte annat följer av lag, lämna sitt samtycke skriftligen, muntligen eller genom att på annat sätt visa att hen samtycker till en viss åtgärd.
101
Utredningens uppdrag och arbete |
SOU 2023:76 |
Utredningen använder formuleringen ”samtycke avseende prover” när utredningen syftar på samtycke enligt biobankslagen (2023:38).
Utredningen använder formuleringen ”samtycke som rättslig grund för behandling av personuppgifter” när samtycke enligt artikel 6.1 a i dataskyddsförordningen avses.
Utredningen använder formuleringen ”samtycke som rättslig grund för behandling av personuppgifter enligt bestämmelse i PDL”, när sam- tycke enligt 2 kap. 3 § PDL. Bestämmelsen anger att behandling av personuppgifter som inte är tillåten enligt PDL ändå får ske, om den enskilde lämnat ett uttryckligt samtycke till behandlingen. Det gäller dock inte i de fall som anges i 6 kap. 5 § eller om något annat framgår av annan lag eller förordning.
Utredningen använder formuleringen ”samtycke som integritets- höjande åtgärd vid behandling av personuppgifter” när samtycke används som en åtgärds som avser höja integriteten. Samtycke som integri- tetshöjande åtgärd är ett annat sorts samtycke än de samtycken som förekommer som rättslig grund för behandling av personuppgifter och som undantag för att den personuppgiftsansvarige ska få behandla känsliga personuppgifter. Ett integritetshöjande samtycke kan betrak- tas som ett slags extra skyddsåtgärd för den enskildes personliga integ- ritet och för att säkerställa individens frivillighet inför en viss person- uppgiftsbehandling.
Utredningen använder formuleringen ”samtycke till att bryta sekre- tessen” när samtycke enligt 10 kap. 1 § OSL avses och innebär att den person som sekretessen avser att skydda kan, med vissa undantag, helt eller delvis häva sekretessen.
Utredningen använder formuleringen ”samtycke till deltagande i klinisk forskning” när vi syftar på samtycke enligt etikprövningslagen, Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel upphävande av direktiv 2001/20/EG, förkortad CTR, Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicin- tekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upp- hävande av rådets direktiv 90/385/EEG och 93/42/EEG, förkortad MDR eller Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitrodia- gnostik och om upphävande av direktiv 98/79/EG och kommissio- nens beslut 2010/227/EU, förkortad IVDR.
102
SOU 2023:76 |
Utredningens uppdrag och arbete |
Begreppet
2.6.7Datahållare och dataanvändare
Utredningen använder begreppet datahållare för den aktör som innehar den data som ska vidareanvändas. Utredning använder begreppet dataanvändare för den aktör som ska använda data. Datahållare och dataanvändare används i allmänspråklig mening i betänkandet och har inte i sig någon juridisk betydelse. Kopplat till begreppet data- delning representerar datahållaren
I utrednings författningsförslag anges datahållaren och dataanvän- daren med andra begrepp, se avsnitt 2.6.7. Datahållare är exempelvis vårdgivare och regional myndighet som bedriver hälso- och sjukvård, medan dataanvändare exempelvis utgörs av regionala myndigheter inom hälso- och sjukvården och lärosäten.
Ett begrepp som förekommer i praktiken kopplat till datahan- tering är ”ägarskap”. Utredningen uppfattar att ägarskap till data ofta synes vara ett uttryck för placering av ansvar för data inom en orga- nisation. Rättigheter och skyldigheter kopplat till data uttrycks enligt utredningens mening inte lämpligen genom ett ägarbegrepp. I stället finns olika typer av rättigheter och skyldigheter kopplade till data beroende på regelverk.
I dataförvaltningsförordningen, förekommer begreppen datainne- havare och dataanvändare (se artikel 2 (8) och (9)). Utredningen an- vänder medvetet inte begreppen datahållare och datainnehavare i den juridiska innebörd som begreppen datainnehavare och dataanvändare har enligt dataförvaltningsförordningen. Utredningen konstaterar dock att definitionerna av datainnehavare och dataanvändare i data- förvaltningsförordningen är breda och att det därför skulle kunna vara så att en datahållare eller dataanvändare enligt utredningens an- vändning av dessa uttryck också skulle kunna vara en datainnehavare eller dataanvändare enligt dataförvaltningsförordningen.
103
Utredningens uppdrag och arbete |
SOU 2023:76 |
2.7Utredningens avgränsning av uppdraget
Bedömning: Utredningen lämnar författningsförslag avseende vidareanvändning för ändamålen vård och forskning. Utredningens förslag för vård avser vidareanvändning för vården av en annan patient än den som personuppgifterna. Utredningens förslag för forskning avser begränsad direktåtkomst till personuppgifter för ändamålet klinisk forskning och har som syfte att förenkla till- gången till personuppgifter.
Utredningen lämnar inte författningsförslag avseende ända- målet undervisning på akademisk nivå, ändamålet utveckling och innovation eller ändamålet statliga, regionala och kommunala myn- digheters beslutsfattande. För dessa ändamål lämnar utredningen bedömningar som behöver utredas vidare.
Av beskrivningarna i avsnitten ovan avseende utredningens uppdrag enligt direktiven framgår att det är mycket omfattande. Givet de tids- ramar som utredningen har fått, finns behov av att göra avgränsningar. Nedan redogörs först för de avgränsningar som följer direkt av direk- tiven, sedan för de som utredningen själv har gjort.
2.7.1Avgränsningar som följer av direktiven
Uttryckliga avgränsningar
Det står uttryckligen i direktiven att det inte ingår i uppdraget att lämna förslag till bestämmelser som bryter statistiksekretessen eller förslag som riskerar att leda till att individdata lagras i egna databaser hos privata aktörer där vidareutnyttjandet inte kan kontrolleras. Ut- redningens förslag avser inget av detta.
Det framgår även av direktiven att regeringen gör bedömningen att det inte är inom ramen för regleringen om nationella och regionala kvalitetsregister i 7 kap. patientdatalagen (2008:355), förkortad PDL, som de behov som beskrivs i direktiven kan tillgodoses. Utredningen lämnar inte förslag som går ut på att behoven av vidareanvändning av hälsodata tillgodoses genom användning av nationella eller regio- nala kvalitetsregister. Däremot är denna reglering en faktisk realitet som utredningen behöver förhålla sig till, bland annat i integritets-
104
SOU 2023:76 |
Utredningens uppdrag och arbete |
analysen. Den kan även tjäna till lagteknisk ledning för delar av utred- ningens författningsförslag.
Utredningen bedömer inte heller att statliga myndigheters register- samlingar omfattas av uppdraget. Denna bedömning grundar sig på att de personuppgifter som krävs för vård också återfinns i vården och sällan i statliga register så som hälsodataregistren. Vad gäller delen om vidareanvändning så står det uttryckligen i direktiven att det avser hälsodata från hälso- och sjukvården.
Utredningen bedömer också att socialtjänsten inte omfattas av uppdraget eftersom direktiven avgränsas till att gälla hälsodata från hälso- och sjukvården.
2.7.2Avgränsningar som utredningen har gjort
Inledning
Som framgår av avsnitt
Utredningen tolkar direktiven som att regeringen har varit tydlig med vikten av en väl genomarbetad och utförlig integritetsanalys (dir 2022:41 s. 6 och 10). Utredningens har noterat att flera tidigare ut- redningar på hälsodataområdet inte lett till proposition (exempelvis SOU 2010:81, SOU 2014:23 och SOU 2015:32). Utredningens be- dömning är att en av orsakerna till att dessa utredningar inte kunnat tas vidare kan vara att de har haft en bristande integritetsanalys. Dessa utredningar har på samma sätt som utredningen haft omfattande och svåra uppdrag.
Utredningen har därför begränsat författningsförslagen till att endast omfatta två av de uttryckliga ändamålen som anges i direk- tiven. Författningsförslagen som utredningen lämnar avser ändamålen
105
Utredningens uppdrag och arbete |
SOU 2023:76 |
vård och forskning. Dessa utökade möjligheter har dock krävt en djupgående analys av juridiskt komplexa regleringar. Anledningen till det, utifrån direktiven sett, smala angreppssättet har varit att försöka få till en väl genomarbetad utredning med tillhörande fördjupad inte- gritetsanalys utan att försöka greppa efter för mycket. Utifrån ett integritetsperspektiv, eller utifrån patienters och vårdgivares per- spektiv, är vårdändamålet inte något smalt område utan ett avancerat ändamål som innebär genomgripande förändringar av befintlig lag- stiftning. För att möjliggöra vidareanvändning för vården av annan patient än den personuppgifterna avser, krävs ingripande och långt- gående bestämmelser. Författningsförslagen som avser vårdändamålet av därför vittgående och av omfattande karaktär. Det är dessutom helt nytt i svensk lagstiftning att föreslå regler som möjliggör det utredningen nu föreslår för vårdändamålet, det har inte funnits någon liknande förlaga att ta efter eller hämta inspiration ifrån. Att föreslå nya bestämmelser för detta ändamål som avser känsliga personuppgifter har därför varit både en komplicerad och tidskrävande övning. Anled- ningen till att utredningen valt att fokusera på just dessa två ändamål beror på att utredningen uppfattat direktiven som att det finns en stark önskan om att så snart som möjligt kunna få till rättsliga möjlig- heter för att implementera precisionsmedicin i Sverige. Utredningen har därför valt att huvudsakligen fokusera på att förslagen ska gå att genomföra. Utredningens förhoppning är att författningsförslagen som läggs fram kan vara ett litet men genomtänkt steg i rätt riktning och att kommande utredningar kan bygga vidare på utredningens analyser och förslag. Flera olika möjligheter för de olika ändamålen har övervägts under utredningens gång och många har avgränsats bort för att de varit för omfattande i sin komplexitet att försöka lösa under de angivna tidsramarna. Utredningens bedömning är att ytter- ligare utredningar behövs för att se över i vilken mån och på vilka sätt utredningens förslag går att utöka.
Som utredningen ser det hade alternativet varit att lämna fler för- fattningsförslag utan lika genomarbetade analyser. Risken hade då varit att frågorna skulle behöva utredas om.
För att kompensera det faktum att utredningen inte lämnar för- fattningsförslag för samtliga ändamål har utredningen försökt att se detaljerat som möjligt försöka beskriva vad utmaningarna på hälso- dataområdet är och hur de ska kunna lösas praktiskt och vilka frågor som behöver utredas vidare. Utredningens ambition har varit att för-
106
SOU 2023:76 |
Utredningens uppdrag och arbete |
söka maximera den nyttan som utredningen har kunnat bidra med, sett till kompetens och resurser i sekretariatet. De sistnämnda bedöm- ningarna kräver inte samma fördjupade juridiska insatser som det gör att lämna författningsförslag.
Slutligen har utredningen bedömt att flera av de ändamål som anges i direktiven kräver en nationell datahubb för att utredningen skulle kunna lämna genomförbara författningsförslag.
2.7.3Utredningens förslag avser vidareanvändning av personuppgifter som finns inom hälso- och sjukvården
Bedömning: Utredningens författningsförslag ska avse reglering av vidareanvändning av personuppgifter som finns inom hälso- och sjukvården.
I utredningens direktiv framgår det att utredningen ska se över ut- ökade möjligheter till sekundäranvändning av hälsodata. Det anges också i direktiven att utredningen ska analysera, bedöma om det behövs författningsändringar och i så fall lämna nödvändiga författ- ningsförslag för att personuppgifter eller andra data från flera indi- vider ska kunna användas för vård och behandling av andra enskilda individer. Utifrån hur utredningens uppdrag anges finner utredningen det, av juridiska skäl, mest ändamålsenligt att och frångå begreppet hälsodata eller ”andra data” och avgränsa författningsförslagen till att endast omfatta personuppgifter.
Utredningen beskriver i avsnitt 2.6.2 dess förhållningssätt till be- greppet hälsodata. Det är när hälsodata utgörs av personuppgifter som behovet av författningsreglering uppstår. De behoven som utredningen avser lösa, handlar om att reglera hälsodata som utgörs av person- uppgifter. Så fort hälsodata utgörs av personuppgifter blir EU:s data- skyddsförordning tillämplig. När den rättsliga grunden i artikel 6.1 utgörs av uppgift av allmänt intresse (6.1 e) behövs uppgiften av allmänt intresse fastställas i nationell reglering (prop. 2017/18:105 s. 49). Data- skyddsförordningen fungerar som en yttre ram för personuppgifts- behandling. Syftet med kompletterande lag till dataskyddsförordningen är att precisera tillåtna ändamål och reglera förutsättningarna för aktuell personuppgiftsbehandling (jämför artikel 6.3 andra stycket dataskyddsförordningen. Utredningens målsättning är därför att skapa
107
Utredningens uppdrag och arbete |
SOU 2023:76 |
sådan kompletterande lagstiftning som krävs, genom de förslag som utredningen lämnar.
När det gäller behandling som avser särskilda kategorier av per- sonuppgifter (känsliga personuppgifter) anges ytterligare villkor i arti- kel 9 i dataskyddsförordningen. Personuppgifterna som omfattas av utredningens förslag regleras som känsliga personuppgifter eftersom de utgörs av uppgifter om hälsa. De har dessutom samlats in inom hälso- och sjukvården. Personuppgifterna som omfattas av utred- ningens författningsförslag omfattas därför också typiskt sett av sek- retess enligt offentlighets och sekretesslagen (2009:400), förkortad OSL, exempelvis enligt 25 kap. 1 § OSL, vilket också medför behov av författningsändringsförslag.
Utredningen är medveten om att begreppet personuppgifter även omfattar uppgifter på papper. Den aspekten har utredningen beaktat men bedömt att det inte har någon påverkan på utredningens förslag.
Vid tillämpningen av en reglering som avser personuppgifter upp- kommer frågan om en viss datamängd, databas eller annan uppgifts- samling innehåller personuppgifter eller inte.
Uppgifter som inte utgörs av personuppgifter, omfattas inte av EU:s dataskyddsförordning och inte heller av utredningens förslag. Utredningen konstaterar dock att den juridiska uppdelningen mellan hälsodata som är personuppgifter och hälsodata som inte är det, i praktiken kan vara mycket svår att göra. Frågor uppkommer såsom om en aggregering av en viss datamängd har gjorts på ett sådant sätt att alla uppgifter i den verkligen är att anse som anonym data. Det kan också vara så att en datamängd innehåller både personuppgifter och uppgifter som inte utgörs av personuppgifter. I praktiken upp- kommer då fråga hur man ska hantera sådana datamängder.
Utredningen har ingen ambition eller möjlighet att lösa dessa fråge- ställningar på ett generellt plan. Däremot konstaterar utredningen att förslagen som utredningen lämnar tillåter datadelning av personupp- gifter på fler sätt och i fler situationer. Det i sin tur leder till att aktö- rerna i något färre situationer behöver framställa dataset som inte innehåller personuppgifter.
Reglerna som utredningen föreslår behöver kunna tillämpas på dataset som innehåller både personuppgifter och data som inte är personuppgifter. Den juridiska utgångspunkten som utredningen har att förhålla sig till måste dock vara personuppgifter för att skapa de
108
SOU 2023:76 |
Utredningens uppdrag och arbete |
rättsliga förutsättningar som krävs för ändamålen utredningen lämnar förslag på.
Ovan har konstaterats att hälso- och sjukvården är central i utred- ningens direktiv. Kopplat till uppdraget om utökade möjligheter till sekundäranvändning av hälsodata anges det uttryckligen att det är hälsodata ”från” hälso- och sjukvården som avses. Utredningen har ovan presenterat sin tolkning av formuleringarna i dessa avseenden. Utifrån att formuleringarna också skulle kunna tolkas på andra sätt, redogör utredning nedan för verksamheter och hälsodatamängder som inte omfattas av utredningens uppdrag.
2.7.4Avgränsningar avseende vidareanvändning för vårdändamål
Bedömning: Utredningen lämnar författningsförslag som avser behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser. Författningsförslagen avgränsas till att endast ge regionala myndigheter inom hälso- och sjukvården rätt att använda de utökade möjligheterna som författningsförslagen leder till.
Enligt utredningens direktiv har utredningen i uppdrag att skapa för- utsättningar för sekundäranvändning av hälsodata för patientändamål. I avsnitt 2.7.3 redogör utredningen för att uppdraget avgränsas till vidareanvändning av personuppgifter för detta ändamål. Vidare redo- gör utredningen i avsnitt 2.3 att det i utredningen benämns vårdända- mål. Utredningen anser att ett tydligt sätt att ge uttryck för ändamålet är att beskriva det som behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser.
De behov som utredningen fått till sig avseende vidareanvändning för vårdändamål (behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser) har nästan uteslutande kommit från regional hälso- och sjukvård. Det är en av anledningarna till att utredningen valt att avgränsa författningsförslagen till att endast regionala myndigheter inom hälso- och sjukvården ges rätt att använda de utökade möjligheterna som författningsförslagen leder till, i vården av patienter. Sannolikt skulle även till exempel privata vårdgivare kunna ha nytta av samma utökade möjligheter för ända-
109
Utredningens uppdrag och arbete |
SOU 2023:76 |
målet vård av annan. Utredningen bedömer dock att det inte varit möjligt att utöka möjligheterna till att även omfatta privata vård- givare i förhållande till utredningens tidsramar eftersom en sådan ansats skulle kräva ytterligare juridiska analyser av andra regelverk och även leda till ett behov av en ännu mer komplex integritets- analys. I utredningens direktiv anges att det är av stor vikt att skyddet för den personliga integriteten respekteras och att informationssäker- heten säkras. Avvägningar måste därför göras mellan den nytta som datadriven hälso- och sjukvård kan skapa och de risker som det kan medföra för enskildas personliga integritet och vilka möjligheter som finns att hantera sådana risker. Utredningen konstaterar att en rimlig ansats är att begränsa vilka aktörer som får använda sig av de nya möjligheterna författningsförslaget avseende vårdändamålet medför till regionala myndigheter inom hälso- och sjukvården. En sådan av- gränsning är nödvändig för att utredningen fullt ut kunna se över effekterna och riskerna för den personliga integriteten.
2.7.5Avgränsningar avseende vidareanvändning för forskning
Bedömning: Utredningen lämnar författningsförslag avseende vidareanvändning för ändamålet forskning och avser enklare till- gång till personuppgifter som finns hos regionala myndigheter som bedriver hälso- och sjukvård. Författningsförslagen avgrän- sas till klinisk forskning där samtycke till att delta i forskningen inhämtas.
Enligt utredningens direktiv har utredningen i uppdrag att skapa förutsättningar för sekundäranvändning av hälsodata för ändamålet forskning. I avsnitt 2.7.3 redogör utredningen för att uppdraget av- gränsas till vidareanvändning av personuppgifter. Den vanligaste pro- blematiken, som utredningen fått till sig, och som genererar en stor administrativ börda, handlar om otympliga tillvägagångssätt för att få tillgång till data som behövs för forskningen. Det handlar både om olika utfall av menprövningar som resulterar i varierade möjligheter till tillgång till data och om åtkomst av uppgifter som forskare redan rent praktiskt kan ha åtkomst till för ett annat ändamål. I kapitel 15 finns ett förklarande stycke om forskare som är anställda inom hälso- och sjukvården och som måste begära ut uppgifter som forskarna rent
110
SOU 2023:76 |
Utredningens uppdrag och arbete |
praktiskt kan ha åtkomst till i egenskap av till exempel behandlande läkare för ändamålet vård.
Utredningens författningsförslag innebär en förenkling av åt- komsten till data som behövs för att forskningen ska kunna genom- föras. Utredningens förslag är endast tillämplig på personuppgifter från regional hälso- och sjukvård. Denna avgränsning har gjorts uti- från samma resonemang som för ändamålet vård av annan patient än den personuppgifterna avser. Ett utökande av fler eller andra källor än regional hälso- och sjukvård skulle kräva en ytterligare, fördjupad integritetsanalys som inte är genomförbar med anledning av utred- ningens angivna tidsramar.
Utredningen har valt att begränsa forskningen som ska omfattas till klinisk forskning. Författningsförslaget gäller endast sådan klinisk forskning som baseras på samtycke till att delta i forskningen. Ett sådant samtycke som inhämtas för att delta i den kliniska forskningen ska då kompletteras med ytterligare ett samtycke som inhämtas sam- tidigt. Det ytterligare samtycket utgör en integritetshöjande åtgärd och avser samtycke till den begränsade åtkomsten. Utredningens be- dömning är att det är svårt att leva upp till dataskyddsförordningens regler om integritetshöjande åtgärder för att förenkla åtkomsten av personuppgifter för annan forskning. Observationsstudier där sam- tycke inte inhämtas avgränsas därför bort från utredningens förslag om enklare åtkomst. Utredningen konstaterar att regeringens uttalande i direktiven pekar på att det bör vara en rimlig avgränsning eftersom det ”finns regleringar som avser registerbaserad forskning. Regeringen bedömer dock att det inte är inom ramen för sådana regleringar som de behov som beskrivs i dessa direktiv kan tillgodoses”12. Av den anledningen kommer utredningen inte lägga fram några författnings- förslag som avser registerbaserad forskning. Däremot har utredningen fått till sig ett uttalat problem avseende registerbaserad forskning, som bland annat handlar om att vid vissa fall kunna ta kontakt med de registrerade vars uppgifter behandlas vid registerforskning, se vidare kapitel 22. Utredningens bedömning är därför att det uppenbarligen finns ett behov hos forskare om att till exempel kunna få tillgång till mer uppgifter än ett register tillhandahåller. Det kan handla om forsk- ning som inleds som registerforskning men vid intressanta fynd skulle kunna utvecklas till klinisk forskning där forskaren behöver kontakta forskningspersoner och inhämta samtycke. Utredningen resonerar där-
12Dir. 2022:41 s. 4.
111
Utredningens uppdrag och arbete |
SOU 2023:76 |
för kring behovet av detta och möjligheter att tillmötesgå behovet genom en statlig, nationell datahubb med en funktion där invånarna kan samtycka till att bli kontaktade för olika syften, se vidare kapitel
Utredningens uppfattning är även att det finns en problematik kring menprövningar som resulterar i olika bedömningar. Utredningens bedömning är att det är angeläget att ta vidare frågan om gemensam menprövning så forskare ska kunna få en förutsägbarhet genom en- hetliga och konsekventa bedömningar. Utredningens anser dock att det inte är möjligt att lämna förslag på en sådan hantering utan att ha tillgång till en statlig, nationell datahubb (se vidare kapitel
2.7.6Avgränsningar avseende vidareanvändning för utveckling och innovation
Bedömning: Utredningen lämnar inte författningsförslag avseende ändamålen utveckling och innovation. Ändamålen utveckling och innovation bör omhändertas av nya utredningar.
Utredningen hade inledningsvis en ambition att lämna författnings- förslag även avseende utveckling och innovation. Dock var arbetet för tidskrävande för att hinna med en sådan grundlig analys som ut- redningen anser behövs för författningsförslag. Utredningen har därför vikt ett eget kapitel åt utveckling för att ge så bra möjligheter som möjligt för en ny utredningen att ta vid och fortsätta arbeta med ana- lysen. De analyser som utredningen hann genomföra återfinns i kapi- tel 23. Utredningen anser att det är angeläget att en ny utredning till- sätts snarast för att omhänderta ändamålen utveckling och innovation. Det är en stor brist att det ena författningsförslaget ger nya möjlig- heter för vårdändamålet samtidigt som sådan regionöverskridande verksamhet inte har något rättsligt stöd för utveckling av verksam- heten. För aktörerna som får använda de nya möjligheterna som för- fattningsförslagen ger, i vården av patienter, kan utvecklingsändamålet i PDL sannolikt utökas till att även omfatta regionalöverskridande utveckling.
Det finns dock behov av utveckling som inte endast omfattar regionala myndigheter inom hälso- och sjukvården. Utredningen har fått till sig behov av utveckling för regionala myndigheter inom hälso-
112
SOU 2023:76 |
Utredningens uppdrag och arbete |
sjukvården som bedriver nära samarbete med kommunal verksamhet. Kommuner bedriver verksamhet enligt både PDL (vård) och lag (2001:454) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPuL (socialtjänst). Mot bakgrund av detta bör ett sam- lat grepp tas för sådan utveckling i en egen utredning. Som angetts i avgränsningar som framgår av direktiven är utredningens uppfattning att direktiven är avgränsade till att inte omfatta socialtjänstens område.
Utöver offentliga aktörer finns även behov av utveckling och inno- vation som olika privata aktörer har. Utredningens bedömning är att många situationer där ändamålet för personuppgiftsbehandlingen är utveckling eller innovation kräver en nationell datahubb och en säker behandlingsmiljö för att nyttan ska stå i proportion till integritets- intrånget. Utredningen har därför avgränsat bort dessa behov för att de i stället ses över vid etablering av en nationell datahubb, se vidare kapitel
2.7.7Avgränsningar avseende undervisning på akademisk nivå
Bedömning: Utredningen lämnar inte författningsförslag avseende ändamålet undervisning på akademisk nivå. Ändamålen undervis- ning på akademisk nivå bör omhändertas av nya utredningar.
Enligt utredningens direktiv har utredningen i uppdrag att skapa för- utsättningar för utökade möjligheter till sekundäranvändning av hälso- data för ändamålet undervisning på akademisk nivå. Utredningen har fått till sig att de olika universiteten löser tillgång till hälsodata på olika sätt och att det finns en avsaknad av enhetlighet inom landet. Utredningens bedömning är att dessa behov behöver ses över och utredas. Däremot konstaterar utredningen att begreppen primär- och sekundäranvändning skapar utmaningar i sammanhanget. Den primära anledningen till att en student gör verksamhetsförlagd utbildning (VFU) är utbildning. Samtidigt konstaterar utredningen att det finns fler perspektiv att ta hänsyn till i sammanhanget. Ur studentens och lärosätets perspektiv är undervisning på akademisk nivå det primära syftet. Ur vårdgivarens eller patientens perspektiv är det primära syftet däremot vård. Utredningen anser att det inte är lämpligt att utred- ningen ser över dessa behov utan att hänsyn samtidigt tas till primäran-
113
Utredningens uppdrag och arbete |
SOU 2023:76 |
vändningen. Utredningens bedömning är att det finns anledning till ytterligare utredning för att se över behoven, men att en sådan utred- ning behöver ta ett samlat grepp för att lösa dessa frågor på bästa sätt.
2.7.8Avgränsningar avseende statliga, regionala och kommunala myndigheters beslutsfattande
Bedömning: Utredningen lämnar inte författningsförslag avseende ändamålet statliga, regionala och kommunala myndigheters be- slutsfattande. Ändamålen statliga, regionala och kommunala myn- digheters beslutsfattande bör omhändertas av nya utredningar.
Som utredningen anger i 2.4.4 finns ett behov av tillgång till hälsodata för statliga, regionala och kommunala myndigheters beslutsfattande. Utredningens uppfattning av behoven som uppstår i samband med vård bör kunna omhändertas antingen av det författningsförslag avse- ende vårdändamålet som utredningen lämnar eller, efter fortsatt utred- ning, inom ändamålet utveckling som utredningen skriver om i 2.7.6.
Utredningen bedömer vidare att det saknas organisatoriska och infrastrukturella lösningar som skulle göra att nyttan stod i proportion till det intrång i den personliga integriteten som ett sådant förslag skulle innebära. Utredningen resonerar kring detta och lämnar bedöm- ningar i avsnitt 20.5.
2.8Aktörer som omfattas av utredningens förslag
Bedömning: De aktörer som omfattas av utredningens författ- ningsförslag bör begränsas.
Utredningens förslag är avgränsade så att endast vissa aktörer kommer omfattas av dem. För att ge en bild av hur förslagen är tänkt att fungera i praktiken behöver en kort beskrivning förklara vilka aktörer som omfattas av förslagen. Förtydliganden och djupare resonemang om varför dessa avgränsningar gjorts kommer finnas i andra delar i betänkandet.
Generellt kan anges att förslagen avser vidareanvändning av per- sonuppgifter från hälso- och sjukvården, se avsnitt 2.7.3. Verksamheten
114
SOU 2023:76 |
Utredningens uppdrag och arbete |
på datahållarsidan är alltså hälso- och sjukvård. Utredningen tar ut- gångspunkt i definitionen av hälso- och sjukvård som finns i patient- datalagen (2008:355), förkortad PDL, se avsnitt 2.6.1. På dataanvän- darsidan finns verksamhet i form av hälso- och sjukvård och klinisk forskning, se avsnitt 2.7.4 och 2.7.5.
En fråga som utredningen har haft att överväga kopplat till för- fattningsförslagen har varit vilka aktörer inom hälso- och sjukvård och klinisk forskning som ska omfattas på datahållar- respektive data- användarsidan. Som redogörs för i avsnitt 2.7.2 är behoven stora, samtidigt som utredningen har begränsade tidsramar att förhålla sig till. Utredningen har därför sett det nödvändigt att begränsa antalet aktörer, framför allt på dataanvändarsidan. Utredningen har fokuserat på de aktörer där utredningen uppfattar att de största och mest akuta behoven finns.
En ytterligare aspekt på avgränsningarna av aktörer på dataanvändar- sidan som utredningen haft att ta hänsyn till är att ju fler aktörer som omfattas, desto mer omfattande och komplexa blir frågorna om inte- gritets- och sekretesskydd. För att kunna lämna väl genomarbetade förslag, har utredningen därför behövt göra avgränsningar av antalet och typen av aktörer som omfattas. Exempelvis omfattas endast aktörer på dataanvändarsidan som omfattas av befintliga regler om sekretess eller lagstadgad tystnadsplikt.
Aktörer vars behov har identifierats av utredningen, men som inte omhändertas i utredningens författningsförslag omfattas av andra delar av betänkandet, se kapitel
2.8.1Vidareanvändning för vårdändamål
Med avseende på vidareanvändning för vårdändamål, föreslår utred- ningen ett nytt ändamål för behandling av personuppgifter. Ändamålet avser behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser, se avsnitt 14.4. Kopplat till det nya ändamålet föreslår utredningen en modell för vidareanvändningen som bygger på behandling av personuppgifter i fyra huvudsakliga steg, se avsnitt 13.4. De aktörer som, i olika delar, omfattas av ut- redningens förslag om vidareanvändning av personuppgifter för vård- ändamål är vårdgivare och regional myndighet inom hälso- och sjuk- vården. Vårdgivare har samma definition som i PDL (1 kap. 3 §). Med
115
Utredningens uppdrag och arbete |
SOU 2023:76 |
regional myndighet inom hälso- och sjukvården menas en myndig- het i en region som tillhandahåller hälso- och sjukvård, se vidare av- snitt 14.7.2.
Enligt utredningens förslag är det vårdgivare som är datahållare vid vidareanvändning för vårdändamål. Det är personuppgifter som har samlats in och som lagras hos vårdgivare som ska kunna bli föremål för vidareanvändning för det nya ändamålet. Vårdgivare ska i steg 1 och 4 i modellen kunna tillgängliggöra personuppgifter för vidareanvändning för vårdändamål.
Dataanvändare är regionala myndigheter inom hälso- och sjukvården. Regionala myndigheter inom hälso- och sjukvården ska kunna inrätta och föra en databas med personuppgifter för vidareanvändning. Utred- ningen kallar en sådan databas för precisionsmedicinsk databas (steg 2, se avsnitt 14.2.). Det är även regionala myndigheter inom hälso- och sjukvården som ska kunna ha tillgång till personuppgifter i en pre- cisionsmedicinsk databas och personal hos sådana myndigheter som arbetar inom den specialiserade vården som ska kunna söka i den (steg 3, se avsnitt 14.8).
Närmare motivering till avgränsningarna avseende aktörer kopplat till vidareanvändning för vårdändamål finns i avsnitt 14.6.1, 17.7.2 och 14.8.1.
2.8.2Vidareanvändning för klinisk forskning
För ändamålet klinisk forskning föreslår utredningen regler som inne- bär enklare tillgång till personuppgifter, se kapitel 16. Utredningen föreslår att vidareanvändning av personuppgifter som finns inom hälso- och sjukvården ska kunna ske genom en så kallad begränsad direkt- åtkomst eller annat elektroniskt utlämnande.
Datahållare vid vidareanvändning av personuppgifter för klinisk forskning enligt utredningens förslag är regionala myndigheter som bedriver hälso- och sjukvård. Dataanvändare vid vidareanvändning av personuppgifter för klinisk forskning är regionala myndigheter och lärosäten som bedriver klinisk forskning. Definitioner av aktörerna finns i avsnitt 16.3.
Närmare motivering till avgränsningar finns i avsnitt 16.4.2 och 16.7.4.
116
SOU 2023:76 |
Utredningens uppdrag och arbete |
2.9Utredningens uppdrag i förhållande till andra utredningar
Det finns flertalet pågående utredningar som utredningen samverkat med eftersom deras uppdrag har en anknytning till utredningens uppdrag.
Utredningen har haft löpande kontakt med Utredningen om
Andra utredningar som utredningen haft mer sporadisk kontakt med men som bidragit med värdefull kunskap och vars arbete utred- ningen förhållit sig till är:
•Genomförande av EU:s dataförvaltningsförordning (Ds 2023:24),
•Utredningen om en effektiv organisation för statlig forsknings- finansiering (U 2022:06),
•Utredningen om hälsodataregister (S 2023:02),
•Utredningen om interoperabilitet vid datadelning (I 2022:03).
2.10Utredningens arbete
Utredningsarbetet inleddes i augusti 2022 och har utgått ifrån utred- ningsdirektiven (dir. 2022:41). Utredningen skickade in en prome- moria till Regeringskansliet den 8 februari 2023 med förslag om ändring av
117
Utredningens uppdrag och arbete |
SOU 2023:76 |
området). Regeringen beslutade 29 juni 2023 om tilläggsdirektiv till utredningen (dir. 2023:97). Tilläggsdirektivet innebär en förlängning av utredningens uppdrag med två månader.
Utredningarbetet har bedrivits på sedvanligt sätt med regelbundna sammanträden och andra kontakter med experter och sakkunniga. Under arbetet med slutbetänkandet har utredningen haft fem expert- gruppsmöten varav ett slutjusteringsmöte.
Utredningen har i enlighet med vad som föreskrivs i direktiven haft samråd med andra utredningar med närliggande uppdrag. Samråden har i huvudsak genomförts via digitala möten.
Utöver detta har utredningen genomfört vanliga och digitala möten med företrädare för
2.11Betänkandets disposition
Slutbetänkandet är indelat i tre avdelningar. Den första avdelningen innehåller allmän bakgrund om vad data och datadelning är, pågående initiativ inom EU på hälsodataområdet samt gällande rätt (kapitel
Den andra avdelningen innehåller utredningens internationella ut- blick, problemanalys, utgångspunkter samt utredningen överväganden och förslag (kapitel
Den tredje avdelningen innehåller bedömningar avseende frågor för fortsatt utredning (kapitel
Därefter avslutas utredningen med författningskommentar följt av utredningens bilagor. Bilaga 1 är utredningens direktiv. Bilaga 2 är utredningens tilläggsdirektiv. Bilaga 3 beskriver samtycken inom vård och klinisk forskning. Bilaga 4 innehåller en promemoria som utred- ningen skickade till regeringen med förslag om ändring av
118
BAKGRUND
119
3 Vad är data och datadelning?
3.1Inledning
Utredningen har bland annat i uppdrag att lämna förslag för att möj- liggöra en utökad vidareanvändning av hälsodata. För att reglera an- vändning av data i olika sammanhang krävs dock en djupare förståelse för vad data är och vad som avses med vidareanvändning, och fram- för allt hur dessa frågor påverkas av de juridiska ramar som finns på hälsodataområdet.
Utredningen har i sitt arbete uppfattat det som att det finns en diskrepans i förståelse mellan de som arbetar med teknik respektive juridik. Diskrepansen kan bland annat medföra att de olika profes- sioner som arbetar med frågorna missförstår varandra eller att regler och andra rättsliga förutsättningar blir svåra att tillämpa i praktiken. Det kan även resultera i att juridiska problem kan få otillfreds- ställande tekniska lösningar då de juridiska frågorna saknar förankring hos de praktiker som ska lösa dem.
I ett försök att överbrygga denna diskrepans har utredningen därför valt att beskriva begreppet data ur olika perspektiv, samt försökt tydliggöra kopplingen mellan olika juridiska och tekniska begrepp.
Data har flera egenskaper. Data kan delas utan att förbrukas och många personer kan använda samma resurs samtidigt. Värdet av resur- sen kan dessutom öka ju mer av den du har. Data kan även dupliceras. Detta är bara några av de egenskaper som gör att data är en resurs som är olik många andra. Så även om data ibland beskrivs som den nya oljan finns flera tydliga skillnader mellan data och olja, vilket också ställer andra krav på lagstiftningen kring data som gemensam resurs.1
Av de datamängder som finns är hälsodata en av de mer integri- tetskänsliga datamängderna. Det har debatterats om hälsodata bör ses
1
121
Vad är data och datadelning? |
SOU 2023:76 |
som det nya blodet eller den nya oljan. Hälsodata är en värdefull resurs, inte minst för vården, men också en resurs som behöver regleras annorlunda då det inte är en resurs som alla andra.2
Datadelning av den omfattande skala som
När det i utredningens direktiv talas om en datadriven hälso- och sjukvård, eller ett datadrivet samhälle, avses enligt utredningen när data används för att underlätta och skapa mervärde för olika användare baserat på kunskap. Data som används kan vara av låg kvalitet eller felaktig, vilket skulle kunna skapa situationer där data inte skapar mer- värde. Utredningen menar dock att det är själva ansatsen som sådan att använda data för att skapa mervärde som är kärnan i de datadrivna pro- cesserna och gör inget anspråk på att datadrivet i samtliga fall leder till ett bättre utfall eller genererar utfall som kan ses som objektiva san- ningar. Utredningen menar i stället att en datadriven process är ytter- ligare ett verktyg bland flera och som likt andra verktyg har sina styr- kor och svagheter.
3.2Vad är data?
Begreppet data kan många gånger användas synonymt med informa- tion, då data är just information. I allmänspråklig mening avser data ”uppgifter, fakta särskilt när de är digitalt behandlade”.4
Försök till att definiera begreppet data görs ofta i olika rättsliga källor. Det saknas dock en generellt giltig juridisk definition av be- greppet data.
Integritetsskyddsmyndigheten definierar data som uppgifter eller information om något, oftast i samband med mätningar eller rappor- tering, exempelvis personuppgifter.5
2Perakslis, E., & Coravos, A. 2019. Is
3Meddelande från kommissionen till europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén, ”Mot en blomstrande datadriven ekonomi”, COM
(2014) 442.
4https://svenska.se/tre/?sok=data&pz=1 (Hämtat
5https://www.imy.se/ordlista/ (Hämtat
122
SOU 2023:76 |
Vad är data och datadelning? |
I artikel 2.1. i Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten), för- kortad EU:s dataförvaltningsförordning, definieras begreppet data som
Varje digital återgivning av handlingar, fakta eller information och varje sammanställning av sådana handlingar, sådana fakta eller sådan informa- tion, däribland i form av ljudinspelningar, bildinspelningar eller audio- visuella inspelningar.
I lagen (2022:818) om offentliga sektorns tillgängliggörande av data de- finieras data som ”information i digitalt format oberoende av medium” (1 kap. 4 §).
Som framgår ovan är begreppet data förhållandevis brett och all- mänt hållet, men i korthet kan sägas att det är information som är eller kan användas för att generera kunskap. Denna information kan utgöras av personuppgifter, men behöver inte utgöras av det. Utred- ningen använder begreppet ”data” i meningen att informationen som avses på något sätt är dokumenterad. Utredningens bedömning är att data typiskt sett är information i digitalt format, men att data även kan avse information som dokumenterats på annat sätt.
3.2.1Olika typer av data
Insamlade data kan klassificeras, sorteras och struktureras på olika sätt. Det kan till exempel göras utifrån vad data handlar om, vad data har för form eller hur data är reglerad. Samma begrepp kan även ha olika innebörd inom olika fält.
Ett sätt att klassificera data är att skilja mellan kvalitativa data och kvantitativa data. Ett exempel på kvalitativa data är fritext i en patient- journal, medan ett blodtryck är ett exempel på kvantitativa data.
Data kan också sorteras in i skalor så som
6Stanley S. S., 1946, On the Theory of Scales of Measurement.
7Strukturerade data | IDG:s ordlista (Hämtat
123
Vad är data och datadelning? |
SOU 2023:76 |
liga exempel på ostrukturerade data är fritext i en journal. Anled- ningen till att text sägs vara ostrukturerad data är för att en dator inte med lätthet kan tolka eller behandla innehållet. Det behöver inte alltid vara uppenbart för någon om datan är strukturerad eller ostruk- turerad. Data kan se ostrukturerad ut, men med hjälp av rätt program- vara kan det visa sig att datan är strukturerad och att det därmed kan röra sig om till exempel direkt identifierbara personuppgifter.
Vad för typ av data det rör sig om kan påverka bedömningen av om det rör sig om en direkt eller indirekt identifierbar personuppgift, eller om det i en viss situation rör sig om en personuppgift över huvud taget. Ett annat sätt att beskriva det är att om data utgörs av en eller flera
3.2.2Ostrukturerade data
Exemplifieringen i denna del är inte avsedd att vara uttömmande, syf- tet är snarare att skapa en förståelse för vilka de stora typerna av ostruk- turerade datamängder som är vanligt förekommande inom vården.
Text
Ett av de vanligaste exemplen på textdata inom hälso- och sjukvården är journalanteckningar som är skrivna som fritext. Ur ett dataanvän- darperspektiv är textdata svårt att använda eftersom innehållet och strukturen på texten inte är standardiserade och det finns därmed en stor variation av information i texten. Ytterligare en svår aspekt med textdata är att det kan vara väldigt svårt och tidskrävande att pseudo- nymisera eller anonymisera textdata. Textdata kan i vissa fall även innehålla information om andra personer än den registrerade, vilket gör det än svårare att hantera.
Text kan även bifogas andra datatyper exempelvis som metadata, det vill säga data om data. Ett sådant exempel kan vara data som be- skriver vilken upplösning en bild har, men det kan också vara infor- mation om vilken person en viss röntgenbild tillhör. Det kan också röra sig om anteckningar som gjorts på eller till en bild. Men det kan
124
SOU 2023:76 |
Vad är data och datadelning? |
även röra sig om text som bara är sparat i ett bildformat, så som en skärmdump av en hemsida.
Bild
Bilder är en vanligt förekommande datamängd inom vården exempelvis finns röntgenbilder, bilder inom patologin, men även visuella repre- sentationer av data så som enklare diagram till mer avancerade visua- liseringar av genomikdata.
Eftersom bilder är ostrukturerad data kan det vara svårt att identi- fiera enskilda personer från bilder utan att få ytterligare information rörande bilden om inte till exempel ett ansikte gör att en person enkelt kan identifieras.
Ljud
Hälsodata i form av ljud kan vara biomarkörer så som en ljudupp- tagning av en persons hosta, men det kan också vara dikterad patient- information, inspelade telefonsamtal eller andra ljudfiler eller ljudspår till video. Ljuddata är därmed inte helt olikt bilddata och det kan vara svårt att direkt identifiera en person enbart utifrån bara ett ljud. Där- emot kan en persons röst göra det lätt att identifiera personen i fråga.
Video
Exempel på video kan vara video som genererats vid en koloskopi eller en ultraljudsundersökning, det kan även röra sig om videosamtal, videoövervakning eller en simulering av en biologisk process. Video kan exempelvis användas i undervisningssyfte eller som del i ett video- samtal mellan en patient och en vårdgivare.
Avslutande kommentar
Text kan ibland framstå som strukturerad utan att för den sakens skull vara det. De flesta som läser är medvetna om att ett understruket ord kan betyda att ordet är extra viktigt. Beroende på avsändare och rubrik på ett dokument kan läsare generellt också ofta förstå vad det är för
125
Vad är data och datadelning? |
SOU 2023:76 |
information som finns i dokumentet. För en dator är det dock svårt att med lätthet utläsa dessa nyanser och skillnader, denna typ av data är ofta ostrukturerad. 8
Ostrukturerade data har dessutom av sin natur en inneboende osäkerhet kopplat till sig gällande om det utgörs av en personuppgift eller inte. Det är ofta en bedömningsfråga som dessutom beror på vilken ytterligare information som betraktaren har med sig eller kan tillskansa sig. Det visar tydligt på hur svårt det är att på ett ändamåls- enligt sätt ta fram en övergripande datareglering som tillåter en inte- gritetssäker datadelning. Det är även förklarligt att det finns ett behov av ökad precision i regleringen.
3.2.3Strukturerade och standardiserade data
Strukturerade data är data som är ordnade på ett systematiskt sätt. Det har som tidigare nämnts inte att göra med om den av människor upplevs som strukturerad, utan om den är strukturerad på ett sätt som underlättar sökningar av data.9 Strukturerad data underlättar ofta för datadelning dels genom att det är enklare rent tekniskt, men det kan också underlätta vid utlämnande eftersom det många gånger är lättare att bedöma om strukturerade data är en personuppgift eller inte. Exempelvis är det svårt att ur ett textdokument få reda på exakt hur många namn som återfinns i texten, medan det i en strukturerad datamängd är enkelt att få fram den informationen.
Ett annat, liknande begrepp är standardiserade data. En standard kan ses som överenskomna gemensamma regler för beskrivning, utformning och framställning av en produkt eller tjänst.10 Standar- diserade data är alltså data som följer en viss överenskommen standard och används oftast för att minska onödiga variationer och oklarheter som kommer av att exempelvis olika begrepp kan tolkas på olika sätt. Vid delning av data kan standardiserad data hjälpa aktörerna som delar data att få en bättre förståelse för vad det är för data de delar och vad datan betyder. Standardiserade data har många gånger inte någon direkt påverkan på huruvida data utgörs av personuppgifter
8Feldman, R., & Sanger, J. 200). The text mining handbook: advanced approaches in analyzing unstructured data. Cambridge University Press.
9
10
126
SOU 2023:76 |
Vad är data och datadelning? |
eller inte utan nyttan uppstår ofta snarare i att datan blir mer jäm- förbar och lättare kan delas mellan olika system.
3.2.4Aggregerade data
När enskilda rader i ett dataset samlas ihop brukar de benämnas som aggregerad data. Det finns flera olika fördelar med att aggregera data. En viktig aspekt kan vara att uppgifter som slås samman kan gå från att innehålla personuppgifter till att bli aggregerad data, som då inte längre utgörs av personuppgifter.
I vissa fall hjälper det inte att aggregera data för att det inte ska anses utgöra personuppgifter. När det finns många variabler som kan användas för att identifiera en person eller när antalet personer i en viss grupp är så pass få kan det innebära att det går att bakvägsiden- tifiera enskilda personer, trots att data är aggregerad. Aggregerade data har därmed utmaningar i att det kan vara svårt att bedöma huruvida en mängd data innehåller personuppgifter eller inte. För väldigt stora dataset kan det vara praktiskt omöjligt att veta eller ta reda på om datamängden innehåller personuppgifter eller inte.
3.2.5Övriga datatyper
Utöver de datatyper som tagits upp ovan finns även andra datatyper som är svåra att kategorisera då de ofta är en sammanblandning av flera olika datatyper samtidigt eller att de på annat sätt har en annorlunda karaktär. Ett sådant exempel kan vara att datatyperna inte lagras utan bara existerar under vissa förhållanden eller korta perioder. Även här kommer utredningen bara kortfattat beskriva ett antal sådana typer som utredningen bedömt särskilt viktiga för hälsodataområdet.
Förstärkt- och virtuell verklighet
Förstärkt verklighet är en teknik som kombinerar människans sinnes- intryck med datorgenererade intryck i realtid. Den vanliga yttervärlden som vi uppfattar med ögon, öron och andra sinnesorgan kompletteras med virtuella inslag. Det förutsätter speciella interaktiva glasögon eller liknande utrustning. En metod kan vara att man tittar på en historisk
127
Vad är data och datadelning? |
SOU 2023:76 |
turistattraktion genom bildskärmen på en smart mobil med kamera. På bildskärmen visas då motivet med datorgenererade tillägg, till exempel en rekonstruktion av hur arkeologer tror att en ruin såg ut innan den blev ruin. Det liknar virtuell verklighet, fast blandat med vanliga sinnesintryck.11
Virtuell verklighet är en teknik som visar en illusion av en verklig och interaktiv omgivning, skapad med datorteknik. Rörliga bilder, ljud gör att användaren tycker sig vara i en tredimensionell värld som går att röra sig i och också påverka.12
Det finns redan i dag en mängd olika medicintekniska produkter som använder sig av förstärkt eller virtuell verklighet.13 Allt eftersom denna teknik utvecklas och blir en mer integrerad del av vården så är utredningens bedömning att behovet av relevant och uppdaterad reg- lering kommer att öka. Exempelvis finns behov av att samla in data från användningen av dessa produkter för att utvärdera såväl säkerhet som effektivitet. För att dessa produkter ska fungera krävs ofta tränade algoritmer som i sin tur kräver stora datamängder för att tränas. På så sätt är denna teknik dataintensiv eftersom den både har ett behov av historiska data och samtidigt kan använda, sammanföra och gene- rera stora mängder data i realtid.
Beräkningsdata
När en beräkning görs genereras många gånger olika värden. Utred- ningen har inte kunnat hitta ett bra begrepp för att beskriva denna typ av data och har därför valt att kalla det beräkningsdata. Ett exempel är parametrar, så som vikter i maskin- och djupinlärning. Utanför en ekvation, modell eller beräkning saknar dessa värden många gånger praktisk betydelse utan blir då bara värden. Ur ett integritetsperspektiv är problemet med denna typ av data snarlik problemen som finns med anonymisering av data. Det är svårt att veta om det går eller inte att identifiera en individ ur datan eller vilka andra data eller hjälp- medel som hade krävts för att kunna identifiera en person. För exem- plet djupinlärning kan det röra sig om fler värden än vad en människa rimligen någonsin skulle kunna ta del av. Exempelvis använder Googles
11
12
13
128
SOU 2023:76 |
Vad är data och datadelning? |
djupinlärningsmodell AlphaStar 139 miljoner parametrar14, OpenAI:s
Maskin- såväl som djupinlärning blir ett allt vanligare verktyg, så även inom hälsodataområdet. Det är också ett fält där utvecklingen går väldigt snabbt framåt, vilket kan göra det svårt att bedöma hur dessa modeller får kombineras med hälsodata.
3.2.6Kvalitativ metod och data
Inom samhällsvetenskaperna används både kvalitativ och kvantitativ metod. Med kvalitativ metod avses ett samlingsbegrepp för olika arbetssätt som förenas av att forskaren själv befinner sig i den sociala verklighet som analyseras, att datainsamling och analys sker sam- tidigt och i växelverkan, samt att forskaren söker fånga såväl män- niskors handlingar som dessa handlingars innebörd.16 Kvalitativ metod fokuseras mer på textanalyser och fallstudier och kvalitativa data är därmed oftast formaterat som text.17 Inom hälso- och sjukvården är fritext i journal en typ av kvalitativ data.
På senare år har det blivit vanligare att maskininlärningsmodeller används för att omvandla kvalitativa data till kvantitativa data.18 Var gränsen går för kvantitativa respektive kvalitativa data är inte helt tydlig och förändras i takt med teknikens utveckling, även om meto- derna fortsatt skiljer sig åt.
3.2.7Kvantitativ metod och data
Kvantitativ metod är ett samlingsbegrepp inom samhällsvetenskaperna för de arbetssätt där forskaren systematiskt samlar in empiriska och kvantifierbara data, sammanfattar dessa i statistisk form samt från
14Wang, Xiangjun, et al. (2021, July). SCC: An efficient deep reinforcement learning agent mastering the game of StarCraft II. In International conference on machine learning (pp.
15Floridi, L., & Chiriatti, M. 2020.
16
(Hämtat
17Esiasson, P., Gilljam, M., Oscarsson, H., Towns, A., & Wängnerud, L. 2017. Metodpraktikan: Konsten att studera samhälle, individ och marknad. 5. uppl. Stockholm: Norstedts Juridik, (s. 211).
18Khurana, D., Koli, A., Khatter, K., & Singh, S. 2023. Natural language processing: State of the art, current trends and challenges. Multimedia tools and applications, 82(3),
129
Vad är data och datadelning? |
SOU 2023:76 |
dessa bearbetade data analyserar utfallet med utgångspunkt i testbara hypoteser.19 Denna metod är också väldigt vanlig utanför forskningen och används ofta i det som kallas datadriven hälso- och sjukvård, eller det som oftast avses med begreppet dataanalys. Vanligt är då också att analytiker använder så kallad real world data, vilket är all data som inte är data från en randomiserad kontrollerad studie.20
3.2.8Real world data
Det finns ingen vedertagen definition eller svensk översättning av real world data (RWD). Statens beredning för medicinsk och social utvär- dering (SBU) har förklarat begreppet som:
Ofta syftar det [real world data] på uppgifter om individers behandling och hälsa som finns i register och journaler, men också på hälso- och livsstilsinformation i smarttelefoner och bärbara sensorer. Det gemen- samma är att uppgifterna inte primärt har samlats in i vetenskapligt syfte men ändå används av forskare.21
I praktiken innebär det i stort sett samtliga data som samlats in utanför vetenskapliga studier.
Utredningen har noterat att begreppet ibland förväxlas med be- greppet realtidsdata, vilket beskrivs i avsnitt 3.2.9.
3.2.9Realtidsdata
Det finns ingen definition av realtidsdata, det som däremot ofta avses är data som uppdateras och visas upp i realtid. I praktiken brukar begreppet användas i relation till beslutsstöd eller uppföljning även om realtidsdata förekommer även inom andra områden. Exempel på realtidsdata är om ett sjukhus kan monitorera antalet väntande på akuten i realtid. Ett annat exempel är medicintekniska produkter som visar värden i realtid så som EKG. Begreppet har blivit vanligare inom beslutsstöd på senare år för att verksamheter snabbare ska kunna agera på insamlade data. Utredningens bedömning är att vissa aktörer även
19
20
21
130
SOU 2023:76 |
Vad är data och datadelning? |
använder begreppet för att beskriva data som uppdateras ofta om än inte i realtid. Här verkar det vara upp till det specifika fallet om data kan anses uppdateras i realtid eller inte. I vissa fall kan en timmes eftersläpning anses vara nära nog realtid, medan det inte kan anses vara det i andra. Utredningen har noterat att begreppet i vissa fall felaktigt används för att beskriva real world data, se avsnitt 3.2.7.
3.2.10Metadata
Metadata är data om data eller information om data. Det kan exem- pelvis vara en lista över vilka variabler som finns i en databas och information om de olika variablerna i databasen.
Metadata är ofta centralt för att aktörer ska kunna hitta och an- vända sig av relevant data. Ett exempel på användning av metadata är Vetenskapsrådets metadataverktyg Register Utiliser Tool (RUT). Verktyget underlättar registerbaserad forskning genom att tillåta sök- ning i och analys av metadata. På så sätt kan forskare utvärdera vilka register och variabler som de kan behöva i sin forskning.
Ett vanligt exempel på metadata är information om hur kategori- variabler är kodade. Exempelvis kan värdet 0 innebära kvinnligt kön och värdet 1 manligt kön. Det kan även finnas metadata som talar om att en viss insamlingsmetod ändrades ett specifikt år.
Eftersom metadata beskriver annan data så kan det underlätta för exempelvis dataanvändaren att bedöma vilka variabler som skulle gå att få ta del av och vilka data som kan behöva aggregeras. Ett sådant exempel är att metadata kan beskriva huruvida en variabel för ålder är kodat som exakt ålder eller om ålder är kodat i ålderskategorier. Metadata kan även användas som ett verktyg för uppgiftsminimering, utan rätt kunskap om datan som dataanvändaren vill få tillgång till kan det hända att användaren vill ta del av fler variabler än nödvändigt eftersom det kan vara svårt att på förhand veta om variablerna inne- håller den information som dataanvändaren behöver för att göra den aktuella analysen. Dataanvändaren kanske på förhand bedömer att en variabel är av intresse, men av metadatan framgår att variabeln inte innehöll den data som användaren först trodde eller att kvaliteten gör att datan inte kan användas för det ändamål som användaren först tänkt. Därmed skulle ett utlämnande av den variabeln utgöra ett onödigt integritetsintrång.
131
Vad är data och datadelning? |
SOU 2023:76 |
Socialstyrelsen skriver i sin rapport Kartläggning av datamängder av nationellt intresse på hälsodataområdet – slutrapport22 att ett av syftena med att tillgängliggöra metadata är att skapa bättre förståelse för vilka data som finns tillgängliga, var de är lokaliserade, vilken kvalitet de har och för att få en förståelse för på vilket sätt data går att använda och till vad.
3.3Behandling, lagring, och strukturering av data
Behandling av data kan ske på en mängd olika sätt. Den tekniska utvecklingen innebär att data kan behandlas på alltmer komplicerade sätt och denna utveckling går framåt i snabb takt. I förslaget till Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om harmoniserade regler för skälig åtkomst till och använd- ning av data COM(2022) 68 final av den 23 februari 2022, förkortad förslaget till Förordning om harmoniserade regler för skälig åtkomst till och användning av data (även kallad dataakten) definieras behand- ling i artikel 2.11 som:
…åtgärd eller kombination av åtgärder som utförs på data eller dataset i elektroniskt format, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbet- ning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
Behandling av data är alltså ett mer omfattande begrepp än dataskydds- förordningen behandling av personuppgifter, som endast avser be- handling av sådan data som utgörs av personuppgifter.
Att behandla data kan även innebära att data samlas in, lagras och struktureras på olika sätt. Nedan följer en kort beskrivning av några olika sätt att lagra och strukturera data. En datainsamling kan be- skrivas som en datamängd vilket kan ses som en informationsmängd. Begreppet datamängd kan betyda olika saker beroende på sammanhang. Begreppet brukar generellt avse en ordnad samling data (datapunkter) om en bestämd företeelse.23 En datamängd kan därför vara både data inom exempelvis ett område men kan också en specifik mängd av
22Kartläggning av datamängder av nationellt intresse på hälsodataområdet – slutrapport
23
132
SOU 2023:76 |
Vad är data och datadelning? |
data, på samma sätt som det går att ha en mängd med information. Samma data kan också tillhöra flera olika datamängdsbegrepp sam- tidigt, precis som en informationsmängd kan röra information om exempelvis krisberedskap och samtidigt vara en informationsmängd från en statlig myndighet. Mängden är alltså en förklaring av vad datan beskriver eller används för.
I figur 3.1 nedan visas en bild av ett dataset och utredningen kommer utifrån den bilden beskriva data från ett enskilt värde till en större samling av mer komplexa datamängder.
Figur 3.1 |
|
En bild över ett typiskt dataset |
|
|
||
|
|
|
|
Dataset |
|
|
|
Nyckel/Identifierare |
|
Variabel |
|
||
|
|
|
|
|
|
|
|
|
Personnr. |
Förnamn |
Efternamn |
Diagnoskod |
Kön |
Rad |
|
Anna |
Andersson |
A15 |
Kvinna |
|
|
|
Bertil |
Bengtsson |
C18 |
Man |
|
|
|
Carl |
Carlsson |
E10 |
Man |
|
|
|
Carl |
Carlsson |
D44 |
Man |
|
Datapunkt
Källa: Utredningens illustration.
3.3.1Datapunkt
En datapunkt är den minsta odelbara delen i en datamängd. Vad som är odelbart beror på sammanhanget.24 I figur 3.1 är exempelvis könet på en person en datapunkt. Det finns exempelvis ingen anledning att dela datapunkten kvinna till två separata datapunkter. För diagnoskod kan det däremot finnas anledning att dela datapunkten, exempelvis står bokstaven i början av diagnoskoden för en viss grupp av diagnoser. Så vad som räknas som odelbar beror därför på sammanhanget.
24
133
Vad är data och datadelning? |
SOU 2023:76 |
3.3.2Variabel
En variabel är inom matematiken en storhet som tänks variera.25 En variabel skrivs ofta ut som bokstaven x och kan beskrivas som en bokstav som kan stå i ett uttryck och som vi kan byta ut mot olika värden. I en tabell med data brukar varje kolumn representera en variabel. I figur 3.1. ovan är exempelvis kön en variabel. Det är alltså ett värde som varierar beroende på vem observationen avser.26
3.3.3Nyckel
Vissa variabler kan fungera som nycklar, även kallat identifierare. I databaser är nyckeln ett värde (namn, tal, nummer) som kan an- vändas för att entydigt identifiera en rad (post) i en relationsdatabas eller i en annan fil. En vanlig förekommande nyckel är person- nummer27, vilket också är den nyckel som använts som exempel i figur 3.1. I figuren ser vi dock att två rader har samma nyckel, många gånger är det inte lämpligt att välja en nyckel som inte är unik för den enskilda raden,28 det finns dock situationer där det viktiga är att nyckeln kan användas för att identifiera enskilda individer snarare än enskilda rader.
3.3.4Rad, post eller observation
I en tabell med data finns även rader, dessa kallas också poster eller observationer.29,30 En rad är i många fall unik, men det förekommer situationer där det kan finnas identiska rader, exempelvis om vissa variabler har tagits bort av integritetsskäl. Det kan innebära att en eller flera rader blir identiska, men det kan även finnas andra situa- tioner där identiska rader kan förekomma.
25https://www.ne.se/uppslagsverk/encyklopedi/l%C3%A5ng/variabel (Hämtat
26Organisation for Economic
27
28
29
30
134
SOU 2023:76 |
Vad är data och datadelning? |
3.3.5Dataset
Ett dataset är en samling av datapunkter ordnade i rader och kolumner och som tillsammans utgör ett dataset. Ett dataset är alltså en sam- ling data som behandlas tillsammans för ett bestämt ändamål av ett datorprogram.31
3.3.6Databas
En databas är data som är samlade, ordnade, sökbara och skilda från specifika program (applikationer). En fördel med en databas jämfört med exempelvis ett dataset som är sparat som en fil är att en databas är enklare att underhålla och det gör också att flera program kan an- vända samma data.32 En databas kan vara ett register i dataskydds- förordningens mening, men behöver inte vara det. (Se ytterligare om databaser avsnitt 13.3.4)
3.3.7Register
Ett register är typiskt sett en lista med uppgifter, inte sällan person- uppgifter. Några exempel på register är nationella kvalitetsregister och Socialstyrelsens hälsodataregister. Ursprungligen fördes register på papper och bestod då rader och kolumner med uppgifter. I och med att datorn uppfanns så blev alltmer register digitaliserade, men register hade oftast samma form som de hade när de var på papper. På senare tid har det dock utvecklats en rad olika lösningar som gjort att det finns andra sätt att lagra data, men också andra sätt att sammanställa data än att samla allt i register.
Även om det finns vissa fördelar med register så som att det är ett enkelt sett att lagra och visualisera data så finns det också en rad ut- maningar med register. Exempelvis kan det vara kostsamt att uppdatera och hålla register och uppgifter samlas oftast in för att senare kunna delas. Det har tidigare, framför allt när register var i pappersformat, funnits behov av att föra olika register med samma uppgifter i dem, vilket skapar mycket administration både gällande registrering av upp- gifterna, och för att säkerställa att uppgifterna är korrekta i samtliga
31
32
135
Vad är data och datadelning? |
SOU 2023:76 |
register. På senare år har det blivit alltmer vanligt med lösningar där data lagras mer lokalt och att relevanta data tillgängliggörs efter behov. Ett sådant exempel är om en patient skulle byta adress, då kan detta göras i en databas där andra system hämtar informationen, i stället för att informationen behöver ändras i samtliga system.
Register kan alltså vara flera olika saker, från en processor i en dator till en innehållsförteckning i en bok. Ett register kan vara en förteckning över data som hålls strukturerat och därmed sökbart. Vanligen är därmed även ett register en databas. I EU:s dataskydds- förordning definieras register i artikel 4.6 som en ”strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden”. Enligt den svenska modellen för författningsreglering av register är viss registerföring särskilt reglerad i så kallade registerförfattningar, se nästföljande avsnitt.
Varje myndighet ska enligt 4 kap. 2 § offentlighets- och sekretess- lagen (2009:400), förkortad OSL, tillhandahålla information om de register och databaser som myndigheten har. Syftet är att underlätta för allmänheten att ta del av allmänna handlingar från de databaser och register som myndigheten ansvarar för. Innehåller databasen eller registret personuppgifter ansvarar den som är personuppgiftsansvarig för personuppgiftsbehandlingen i dessa, det vill säga vanligen aktuell myndighet. Varje personuppgiftsansvarig och, i tillämpliga fall, dennes företrädare ska enligt artikel 30 i EU:s dataskyddsförordning föra ett register över behandling som utförts under dess ansvar. Personupp- giftsansvarig myndighet ansvarar därmed för att ha en särskild register- förteckning över de personuppgiftsbehandlingar som utförts under dess ansvar.
Ytterst är det EU:s dataskyddsförordning och dataskyddslagen som reglerar personuppgiftsbehandling i svensk rätt, men denna reg- lering kompletteras ofta med myndighetsspecifika registerförfatt- ningar. Dessa, ofta sektorsspecifika registerförfattningar, kompletterar därmed EU:s dataskyddsförordning och kan innehålla avvikelser som ansetts nödvändiga eller lämpliga på det aktuella området i förhållande till det generella dataskyddet.
I svensk lagstiftning finns inom den offentliga sektorn en lång tradition av registerförfattningar. Vanligen innehåller ett sådant register personuppgifter och registerförfattningen reglerar hur behandlingen av dessa ska vara. Registerförfattningarna kompletterar dataskyddsför-
136
SOU 2023:76 |
Vad är data och datadelning? |
ordningen men reglerar mer specifikt viss typ av behandling av per- sonuppgifter, både sådana som gäller för flera organisationer inom en sektor och sådana som enbart gäller för en viss myndighet. I vissa sammanhang skiljs på så kallade renodlade registerförfattningar, in- formationshanteringsförfattningar och annan reglering med inslag av dataskyddsbestämmelser.
I en registerförfattning anges ofta de ändamål för vilka person- uppgifterna i fråga får behandlas. Detta är tillåtet förutsatt att register- författningen uppfyller vissa grundläggande krav i dataskyddsförord- ningen. Registerförfattningarna har företräde framför lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, förkortad dataskyddslagen, men måste fortfarande överensstämma med dataskyddsförordningen. Detta eftersom dataskyddslagen enligt 1 kap. 6 § är subsidiär till annan lag eller en förordning som inne- håller någon bestämmelse som avviker från dataskyddslagen.
Registerförfattningar kan vara tillämpliga övergripande för en viss typ av personuppgifter inom ett visst område. Hälso- och sjukvårdens område är föremål för ett stort antal registerförfattningar. Dessa registerförfattningar utgörs av lagar som reglerar vissa specifika verk- samheters personuppgiftsbehandling, såsom till exempel hälso- och sjukvård i form av PDL, och som gäller som komplement till data- skyddsförordningen.
3.3.8Datalager
Datalager, även kallat informationslager är en databas som är anpassad för snabb läsning, men som inte behöver klara ändringar och stryk- ningar, eftersom den bara används för analys av sådant som redan har hänt. Datalager bygger på att färska data regelbundet överförs från det vanliga
33
137
Vad är data och datadelning? |
SOU 2023:76 |
3.3.9Stordata
Storadata, även kallat big data är ett begrepp som blev vanligt runt 2010 och är en benämning på mycket stora datamängder som kräver speciella metoder för analys. Det syftar oftast på ostrukturerade data, alltså sådana data som inte kan ordnas i tabeller eller kalkylark. Ett kriterium är att datamängderna är så stora att de i praktiken inte kan behandlas med traditionella program för analys och datautvinning. Områden där stordata är vanliga är analys av stora textmängder exem- pelvis från stora sociala medier, hälsodata, analys och kategorisering av fotografier och andra bilder, meteorologi, klimatanalys och data från handel.34
3.3.10Datasjö
Datasjö är ett begrepp som brukar användas för att beskriva en lag- ring av stor mängd data som sparas i oförändrad form i ett gemensamt förråd, det vill säga utan någon form av normalisering eller annan anpassning.35 Det kan exempelvis innebära lagring av både struktu- rerade data så som register och ostrukturerade data så som bilder. På det sättet skiljer sig datasjöar från de mer traditionella och mer struk- turerade datalagren. Ett datalager kan ses som ett välstrukturerat förråd där allt står uppmärkt och ordnat i lådor och i rader. En datasjö kan ses som ett förråd där föremålen är inkastade, vissa saker i lådor, andra inte, vissa i rader, andra inte.36
En datasjö är alltså ett sätt att lagra och använda data, vilket inne- bär att en datasjö kan ägas och innehålla data om endast en enda person. Så även om namnet sjö antyder att det skulle kunna röra sig om gemensamt tillgängliga data är ordet snarare en beskrivning av att flera olika typer av kärl med data har slagits samman, även kallat poolats, för att tillsammans bilda en sjö där data från de olika kärlen blandas och tillgängliggörs för de som ägaren av datasjön har gett behörighet till. Det kan finnas situationer där olika aktörer vill sammanföra sina data i en gemensam sjö, det har dock inget med begreppet att göra, snarare att aktörerna väljer det formatet för att dela och använda data. På samma sätt som ett förråd kan vara ens
34
35
36
138
SOU 2023:76 |
Vad är data och datadelning? |
privata förråd eller ens gemensamma förråd så är förråd i allmänhet inte gemensamma, utan snarare ett praktiskt sätt att lagra saker och förrådet kan användas på olika sätt beroende på behov.
3.3.11Poolade data
Det finns ingen svensk definition av vad en datapool är utan be- greppet är en anglicism. Begreppet kommer från engelskans data pool och ordet pool används då i bemärkelsen:
A number of people or a quantity of a particular thing, such as money, collected together for shared use by several people or organizations.37
Det betyder alltså att en eller flera personer eller aktörer valt att samla data tillsammans för att datan ska kunna användas av en eller flera aktörer. Verbet för detta är att poola och när data poolats så är den poolade datan en datapool.
Utredningen har noterat att begreppet datasjö ofta används fel- aktigt för att beskriva poolade data. Begreppen är både praktiskt och juridiskt väldigt olika. Att jämföra en datasjö med poolade data är ungefär som att jämföra en pool med en sjö. Det kan finnas likheter, men i praktiken är de väldigt olika. Utredningen tror att en av an- ledningarna till att begreppen blandas ihop är för att det rent intuitivt låter som att en datasjö är något större och offentligt, medan en pool är mer begränsad och privat. I praktiken är det däremot ofta tvärt om. En datasjö är ett sätt att lagra olika datatyper på ett visst sätt (se av- snitt 3.3.10) medan poolade data bara är data som lagts samman. En annan sak som gör begreppet mer svårhanterligt är att det går att poola datasjöar, vilket då blir poolade data.
Poolade data innebär juridiska utmaningar. Som konstaterats ovan i avsnitt 3.4 innebär datadelning oftast att olika juridiska regelverk aktualiseras beroende på omständigheterna och förutsättningarna i det aktuella fallet. Att samla data för olika ändamål innebär ofta att olika lagrum görs gällande. Dessutom kan det finnas olika rättsliga grunder och olika rättsliga aktörer har olika regelverk att förhålla sig till. Det här innebär att för att kunna poola data behöver en juridisk analys göras för att se så samtliga inblandade aktörer har förståelse för hur regelverket behöver efterlevas.
37https://dictionary.cambridge.org/dictionary/english/pool (Hämtat
139
Vad är data och datadelning? |
SOU 2023:76 |
3.3.12FAIR
FAIR är en akronym som står för Findable, Accessible, Interoperable och Reusable, det vill säga sökbar, tillgänglig, interoperabel och åter- användningsbar.
För att data ska vara sökbar används ofta metadata, se avsnitt 3.2.10. För att data ska vara tillgänglig krävs dels att datan kan tillgäng- liggöras, alternativt att dataägaren har en vilja att tillgängliggöra datan, dels att datan får tillgängliggöras. Exempelvis får inte vissa data till-
gängliggöras av sekretesskäl.
För att data ska vara interoperabel krävs teknisk och semantisk interoperabilitet, exempelvis att datum registreras i samma format.
En förutsättning för att data ska vara återanvändningsbar är att data beskrivs med tillräckliga metadata, att metadata kan läsas av både människor och datorer och att det finns tydliga upplysningar om exempelvis vetenskapligt syfte, i vilket sammanhang data sam- lades in och vilken utrustning och programvara som användes. Även villkor för hur data får användas måste anges tydligt.39
3.4Vad är datadelning?
Flera av de listade sätten ovan om hur data kan behandlas genom att samlas in, lagras och struktureras kan innebära att data delas. Vad datadelning faktiskt innebär och omfattar kan betyda flera olika saker både i praktiken och rent juridiskt. I detta avsnitt kommer utred- ningen översiktligt beskriva några centrala begrepp för att tydliggöra vad utredningen avser när utredningen skriver om datadelning.
38
39
140
SOU 2023:76 |
Vad är data och datadelning? |
3.4.1Tillgängliggörande av data
Datadelning kan övergripande beskrivas som att en person eller en organisation gör sina data tillgängliga för andra.40 Inom denna över- gripande beskrivning kan datadelning betyda olika saker. En allmän betydelse är att en datamängd görs tillgänglig för andra användare, antingen i en begränsad grupp eller mer generellt till allmänheten eller många mottagare. Dataledning kan också bestå i utbyte av data, genom att två eller flera organisationer kommer överens om att ha gemensam tillgång till varandras data. Av dessa beskrivningar följer att datadelning både kan vara envägs eller tvåvägs tillgängliggörande av data. Datadelning är även ett begrepp som finns definierat i arti- kel 2.10 i dataförvaltningsförordningen och beskrivs som
…en registrerads eller datainnehavares tillhandahållande av data till en dataanvändare för gemensam eller individuell användning av dessa delade data, baserat på frivilliga avtal, unionsrätt eller nationell rätt, direkt eller via en förmedlare, till exempel inom ramen för öppna eller kommersiella licenser mot en avgift eller kostnadsfritt.
Det innebär att det finns många olika förutsättningar att ta hänsyn till och datadelning blir snarare som en form av paraplybegrepp som i sin tur kan delas upp enligt olika juridiska förutsättningar.
I hälso- och sjukvården behandlas dagligen enorma mängder data som består av personuppgifter. En stor andel av uppgifterna utgörs av känsliga personuppgifter. Det finns flera bestämmelser inom hälso- och sjukvården som innebär att uppgifter delas.
Förutom dataförvaltningsförordningen som nämns ovan, förekom- mer begreppet datadelning inte i lagstiftning som rör informations- hantering, såsom dataskyddsförordningen, tryckfrihetsförordningen (1949:105), förkortad TF, offentlighets- och sekretesslagen (2009:400), förkortad OSL, eller svenska registerförfattningar. I dessa författningar används andra begrepp för åtgärder som omfattas av begreppet data- delning. För att förstå vilka rättsliga aspekter en specifik datadelning aktualiserar, måste man därför analysera vad datadelningen innebär i förhållande till de rättsliga begrepp som finns i relevant lagstiftning.
40
141
Vad är data och datadelning? |
SOU 2023:76 |
3.4.2Juridiska begrepp som kopplar till datadelning
Utlämnande
Den organisation som gör sin data tillgänglig, kan i lagens mening göra ett utlämnande av information. Begreppet utlämnande förekom- mer i TF och syftar på när en myndighet lämnar ut så kallade all- männa handlingar eller uppgifter ur allmänna handlingar (se 2 kap.
Utlämnande kan också ske genom att den som begär ut handlingen får del av en avskrift eller kopia av handlingen. Detta kan gå till så att handlingen kopieras och skickas per brev. Detta förekommer fort- farande hos myndigheter vad gäller sekretessbelagd information.
Utlämnande på medium för automatiserad behandling
Utlämnande på medium för automatiserad behandling är ett begrepp som förekommer i PDL och innebär utlämnande på medium för auto- matiserad behandling
Direktåtkomst
Utlämnande kan också ske genom så kallad direktåtkomst. Det finns ingen rättslig definition av direktåtkomst. Begreppet har använts i många utredningar och finns i lagstiftning utan att vara definierat i någon lag. Direktåtkomst innebär en form av elektroniskt utlämnande.
142
SOU 2023:76 |
Vad är data och datadelning? |
Utlämnandet sker då till en extern mottagare där den som är ansvarig för informationen inte längre har någon kontroll över vilka uppgifter som mottagaren tar del av. Den som tar emot uppgifterna kan inte heller påverka innehållet i det system eller register som uppgifterna lämnas ut från. Direktåtkomst till personuppgifter som behandlas en- ligt PDL får endast ske i den utsträckning som lag eller förordning anger det. Ett exempel på en lagstadgad form av direktåtkomst finns i 5 kap. 4 § 2 PDL. Ifall en region eller en kommun bedriver hälso- och sjukvård genom flera myndigheter, får en sådan myndighet ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet i samma region eller kommun. I 5 kap. 5 § patient- datalagen anges att en vårdgivare får medge en patient tillgång, genom direktåtkomst, till sådana uppgifter om sig själv som behandlas för vård- dokumentation. Exempel på sådan direktåtkomst är vårdens
Data som omfattas av direktåtkomsten blir allmänna handlingar hos mottagande myndighet. Direktåtkomsten begränsas av den be- hörighet som har givits användaren.
Annat elektroniskt utlämnande
I senare lagstiftningsarbete används formuleringen direktåtkomst eller annat elektroniskt utlämnande.
Med begreppet annat elektroniskt utlämnande avses sådan elektro- nisk överföring av uppgifter som inte sker genom direktåtkomst, till exempel
143
Vad är data och datadelning? |
SOU 2023:76 |
Regeringen delar utredningens bedömning att det inte är lämpligt att utforma regleringen på ett sådant sätt att den låser fast det elektroniska utlämnandet i system med sammanhållen vård- och omsorgsdokumen- tation till just direktåtkomst. Det kan finnas system som uppfyller be- hovet av informationsöverföring men med högre integritetsskydd än vid
Elektronisk åtkomst
Elektronisk åtkomst innebär, enligt utredningens mening, inte en form av datadelning men tas ändå upp här för att förtydliga begreppen i sammanhanget. Begreppet avser inte en form för utlämnande. Med elektronisk åtkomst avses åtkomst eller tillgång till uppgifter som behandlas elektroniskt inom den egna organisationen. Elektronisk åtkomst är alltså formen för hälso- och sjukvårdspersonalens interna åtkomst till personuppgifter inom vårdgivaren vilket sker på elek- tronisk väg, såsom inloggning i ett journalsystem. Vårdgivaren har ansvar för att göra en individuell prövning av sin personals behov. Denna behovsprövning avser även hälso- och sjukvårdspersonalens tillgång till uppgifter genom sammanhållen journalföring.
3.5Data som utgör personuppgifter
Det finns flera juridiska begrepp som beskriver typer av data eller hälsodata. I detta avsnitt beskrivs några av de som utredningen be- dömer är mest centrala.
3.5.1Personuppgifter
Ett centralt begrepp i sammanhanget är som nämnts ovan person- uppgifter. I artikel 4.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), förkortad dataskyddsförordningen, definieras personuppgifter som varje upplysning som avser en identifierad eller identifierbar fysisk person. I 2 kap. 7 § tryckfrihetsförordningen defi-
144
SOU 2023:76 |
Vad är data och datadelning? |
nieras personuppgift som all slags information som direkt eller in- direkt kan hänföras till en fysisk person. Exempel på personuppgifter är namn, personnummer, bostadsadress och
3.5.2Känsliga personuppgifter
I dataskyddsförordningen finns bestämmelser om särskilda katego- rier av personuppgifter. Med detta begrepp avses bland annat gene- tiska uppgifter, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning (se artikel 9.1 i dataskyddsförord- ningen). I svensk lagstiftning kallas dessa personuppgifter för känsliga personuppgifter (se 3 kap. 1 § lagen [2018:218] med kompletterande bestämmelser till EU:s dataskyddsförordning och 2 kap. 7 a § patient- datalagen [2008:355]).
3.5.3Uppgifter om hälsa
Med begreppet uppgifter om hälsa avses personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälso- status (artikel 4.15 dataskyddsförordningen). Ett exempel på en uppgift om hälsa är en uppgift om blodtryck. I skäl 35 i dataskyddsförord- ningen anges att personuppgifter om hälsa bör innefatta alla de upp- gifter som hänför sig till en registrerad persons hälsotillstånd som ger information om den registrerades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd.
3.5.4Genetiska uppgifter
Med genetiska uppgifter avses alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga (artikel 4.13). Ett exempel på en genetisk uppgift är en uppgift om arvsanlag.
145
Vad är data och datadelning? |
SOU 2023:76 |
3.5.5Uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden
I 25 kap. 1 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, används begreppet uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden för att definiera sekretessbestämmel- sens föremål, se vidare om hälso- och sjukvårdssekretess i avsnitt 8.3.3. Begreppet hälsotillstånd är en typ av personligt förhållande som reger- ingen ansåg borde framhållas särskilt (prop. 1979/80:2, Del A s. 168). Begreppet hälsotillstånd definieras dock inte i förarbetena till bestäm- melsen. Däremot finns skrivningar om begreppet andra personliga för- hållanden, vilket också inkluderar begreppet hälsotillstånd. Där anges att vad som menas med personliga förhållanden måste bestämmas utifrån vanligt språkbruk. Vidare anförs att det är vitt skilda för- hållanden som omfattas, såsom adress, ekonomiska förhållanden men även yttringar av ett psykiskt sjukdomstillstånd. (prop. 1979/80:2 Del A, s. 84 och 168).
3.5.6När övergår personuppgifter till att inte längre vara personuppgifter?
Enligt dataskyddsförordningen är personuppgifter all slags informa- tion som direkt eller indirekt kan knytas till en person som är i livet. Ibland kan det vara svårt att avgöra var gränsen går för när data ut- görs av personuppgifter eller när det inte längre anses utgöra person- uppgifter. Ibland kan olika uppgifter tillsammans leda till att en viss person kan identifieras. Uppgifter som inte direkt kan identifiera en person klassas som personuppgifter om de är pseudonymiserade. Pseudonymisering är en säkerhetsåtgärd som innebär att personupp- gifterna ersätts med något annat, som en kod eller ett löpnummer och då krävs kompletterande uppgifter för att det ska vara möjligt att hänföra uppgiften till en specifik person. Pseudonymiserade uppgifter är alltså fortfarande personuppgifter, även om risken för att identifiera en person minskar. Av skäl 26 i dataskyddsförordningen framgår att förordningen är tillämplig på personuppgifter som har pseudonymi- serats och som skulle kunna tillskrivas en fysisk person genom att kompletterande uppgifter används. Dataskyddsförordningen är därför tillämplig även på pseudonymiserade personuppgifter.
146
SOU 2023:76 |
Vad är data och datadelning? |
Anonymisering innebär däremot att personuppgifter anonymise- rats på ett sådant sätt att den registrerade inte längre är identifierbar (skäl 26 i dataskyddsförordningen). Dataskyddsförordningen är inte tillämplig på sådan anonym information, men själva anonymiseringen utgör en behandling av personuppgifter som omfattas av dataskydds- förordningen.41
Ien relativt ny dom från
isambandet röjande av sekretess. Det är metoder för att se till att inte uppgifter om enskilda personer eller företag ska gå att utläsa ur redovisad statistik eller statistiska material.
Med röjande menas att en utomstående får ny kunskap om en egen- skap hos en enskild (en person eller ett företag). Ett röjande kan till exempel ske genom att en uppgift om någon enskild framgår från en tabell eller genom att uppgiften tas fram av någon som ”lägger pussel” med statistiska material och information från annat håll.
41Se skäl 26 i Dataskyddsförordningen och jämför s. 7 i yttrande 05/2014 om avidentifierings- metoder antaget den 10 april 2014 av Artikel
42Mål
147
Vad är data och datadelning? |
SOU 2023:76 |
Figur 3.2 Schematisk översikt över hur en röjandekontroll kan se ut
Bedömning av
röjanderisk
Krävs Nej skydd?
Bedömning av
skaderisk
Ja
Skyddande av data
Bedömning av |
Godtagbar |
Ja |
|
kvalitet |
kvalitet? |
|
|
|
Nej |
|
|
|
|
|
|
|
”Åtgärd krävs” |
”Överlämna” |
|
Källa:
I offentlighets- och sekretessammanhang förekommer begreppet avidentifierade uppgifter. För att hinder ska finnas mot att lämna ut uppgifter som är sekretessreglerade till skydd för enskilds personliga eller ekonomiska förhållanden, krävs det en enskild person riskerar att lida skada eller men. Av förarbetena till den tidigare sekretess- lagen framgår att det krävs att uppgifterna är hänförliga till en viss individ för att en enskild person ska lida skada eller men. Vidare anges att det innebär att man i allmänhet bör kunna lämna ut så kallade avidentifierade uppgifter utan att risk för skada eller men upp- kommer (prop. 1979/80:2 Del A s. 84).
148
SOU 2023:76 |
Vad är data och datadelning? |
3.6Skyddsåtgärder
Om data består av personuppgifter och dataskyddsförordningen är tillämplig, finns en rad olika tekniker och metoder för att skydda de registrerades personliga integritet i samband med databearbetning och analys. Utredningen har valt att begränsa sig till att enbart skriva om ett par skyddsåtgärder som utredningen bedömer är relevanta för betänkandet. För en mer utförlig beskrivning av olika skyddsåtgärder så finns en bra sammanställning i forskningsdatautredningens del- betänkande (SOU 2017:50, kapitel 12).
Utredningen kommer i denna del beskriva tre generaliserings- metoder i mer detalj eftersom utredningen bedömer att det är främst dessa som kan komma att vara aktuella för de som ska tillämpa ut- redningens förslag. Utöver detta kommer andra skyddsåtgärder be- skrivas mer översiktligt eftersom de i olika sammanhang kommer att tas upp i betänkandet. Syftet med detta är dels att visa på kom- plexiteten när det kommer till att skydda data och anonymisera data, dels visa på andra metoder som inte enbart handlar om pseudonymi- sering. Vissa skyddsåtgärder är också lämpliga när det inte bedöms finnas någon större risk för att de som har tillgång till data aktivt kommer försöka avidentifiera den, vilket i vissa situationer kan vara fallet. En friare datadelning ställer därmed också större krav på olika typer av skyddsåtgärder och balansen mellan detaljeringsgrad och skyddsåtgärd kan vara svår. Det är inte heller så enkelt att avgöra vilken metod som är bäst lämpad i olika sammanhang. Vid data- delning som innefattar behandling av personuppgifter, behöver det alltid göras en avvägning mellan nyttan och intrånget i den personliga integriteten. Dessutom behöver det göras en bedömning om vilken typ av skyddsåtgärd som är mest lämplig för den enskilda situationen.
3.6.1Generalisering av data
Generalisering av data är ett samlingsbegrepp som avser flera typer av skyddsåtgärder.
Med generalisering menas i allmänhet att undvika identifiering genom kvasiidentifierare43 genom att integritetskänsliga eller särskil-
43Uppgift som indirekt eller i kombination med andra uppgifter kan identifiera en person, exem- pelvis postnummer, ålder och kön.
149
Vad är data och datadelning? |
SOU 2023:76 |
jande uppgifter aggregeras. I stället för att datasetet talar om exakt ålder på en registrerad så anges åldersspann (exempelvis
För diagnos och behandling av personer med hjälp av precisions- medicin kan det exempelvis vara viktigt att veta exakt vilken mutation en person har och om personen är ett barn eller inte. Barnets exakta ålder är därmed sällan, om någonsin, avgörande och därför inte nöd- vändig i datasetet. För biomarkörer kan det röra sig om att infor- mationen som är viktig att känna till är om ett värde var kraftigt förhöjt, något förhöjt eller normalt. Skillnaden mellan variabler som beskriver en biomarkör jämfört med variabeln ålder är att behovet av detaljerings- grad kan skilja sig åt beroende på situation och biomarkör. Det kan därför till skillnad från ålder vara svårt att säga att biomarkörsvaria- bler alltid ska vara generaliserade på ett visst sätt.
Ett exempel är om värdena för ålder och vikt skulle aggregeras till grupper, exempelvis i steg om tio. Så i stället för 47 år så skulle det stå
Rent praktiskt är
Det kan vara värt att notera att
150
SOU 2023:76 |
Vad är data och datadelning? |
användas av den som aktivt vill identifiera någon. Om det på förhand finns kännedom om att en specifik person ingår i ett dataset och det även finns kännedom om exakt ålder och adress som personen bor på kan det gå att identifiera enskilda personer. Det kan i sin tur leda till en ”snöbollseffekt” där det går att identifiera fler personer genom uteslutningsmetoden. I praktiken påminner det lite om att lösa ett sudoku, efter en viss punkt så blir det bara lättare och lättare tills du kan identifiera alla, trots att du från början inte hade tillräckligt med information för att identifiera mer än en eller ett fåtal individer. För att ytterligare skydda data kan då
151
Vad är data och datadelning? |
SOU 2023:76 |
Figur 3.3 |
Exempel på ett dataset med pseudonymiserade data |
|||
|
|
|
|
|
|
Ickekänsliga uppgifter |
Känsliga uppgifter |
||
Id |
Postnummer |
Ålder |
Födelseland |
Diagnos |
1 |
13053 |
28 |
Ryssland |
Hjärtsjukdom |
2 |
13068 |
29 |
USA |
Hjärtsjukdom |
3 |
13068 |
21 |
Japan |
Infektionssjukdom |
4 |
13053 |
23 |
USA |
Infektionssjukdom |
5 |
14853 |
50 |
Indien |
Cancer |
6 |
14853 |
55 |
Ryssland |
Hjärtsjukdom |
7 |
14850 |
47 |
USA |
Infektionssjukdom |
8 |
14850 |
49 |
USA |
Infektionssjukdom |
9 |
13053 |
31 |
USA |
Cancer |
10 |
13053 |
37 |
Indien |
Cancer |
11 |
13068 |
36 |
Japan |
Cancer |
12 |
13068 |
35 |
USA |
Cancer |
Källa: Machanavajjhala, A., Kifer, D., Gehrke, J., & Venkitasubramaniam, M. (2007). l
Därefter har
Figur 3.4 Exempel på ett dataset med pseudonymiserade data som anonymiserats med hjälp av
|
|
Ickekänsliga uppgifter |
Känsliga uppgifter |
||
|
Id |
Postnummer |
Ålder |
Födelseland |
Diagnos |
|
1 |
130** |
< 30 |
* |
Hjärtsjukdom |
|
2 |
130** |
< 30 |
* |
Hjärtsjukdom |
|
3 |
130** |
< 30 |
* |
Infektionssjukdom |
|
4 |
130** |
< 30 |
* |
Infektionssjukdom |
|
5 |
1485* |
≥40 |
* |
Cancer |
|
6 |
1485* |
≥40 |
* |
Hjärtsjukdom |
|
7 |
1485* |
≥40 |
* |
Infektionssjukdom |
|
|
|
|
|
|
|
9 |
130** |
3* |
* |
Cancer |
Dessa observationer ingår i |
10 |
130** |
3* |
* |
Cancer |
samma ekvivalensklass |
11 |
130** |
3* |
* |
Cancer |
|
12 |
130** |
3* |
* |
Cancer |
Källa: Utredningens illustration.
152
SOU 2023:76 |
Vad är data och datadelning? |
Vi kan nu se att i kolumnen ”Id” har
Det finns två typer av attacker som kan utföras för att identifiera enskilda personer utifrån datasetet ovan. Det ena sättet ärattacker som följer av att data blivit för homogen, vilket är fallet i 3.4. Det andra sättet är att med hjälp av bakgrundsinformation och kunskap inom ett visst område, exempelvis medicinsk kunskap.
För attacker som avser data där generaliseringen skapat för homo- gena grupper finns följande exempel. Antag att det finns två grannar, Lotta och August som bor i ett område med ett postnummer som börjar på 130. Lotta ser att August blir körd till sjukhus. Vi antar vidare att Lotta har tillgång till det generaliserade datasetet (figur 3.4). Lotta vet alltså att August, som blev körd till sjukhus är 30 år gammal och vet också vilket postnummer hon ska leta efter för att kunna identifiera August. Lotta kan då identifiera att August åkte till sjukhuset på grund av att han hade fått cancer eftersom samtliga i den tredje gruppen har fått vård för cancer. Därmed har den uppgiften som är känslig, i detta fall diagnosen, kunnat identifieras på grund av att
För attacker som avser bakgrundsinformation kan det vara så att någon känner till en person som ingår i den första gruppen i figur 3.4. och vet att den personen på grund av etniskt ursprung har mycket låg risk för hjärtsjukdomar. Då kan det gå att lista ut att personen med största sannolikhet har en infektionssjukdom.
44Li, N., Li, T., & Venkatasubramanian, S. (2006, April).
153
Vad är data och datadelning? |
SOU 2023:76 |
Detta är bara några få exempel som visar på hur svårt det är att anonymisera data och att det ofta kan röra sig om känsliga person- uppgifter när det kommer till delning av hälsodata. Det här leder till att det blir fråga om att väga nyttan mot riskerna och att det alltid måste finnas situationsanpassade skyddsåtgärder. Detta gör att om- rådet är svårt att reglera eftersom typ av skyddsåtgärd kan variera kraftigt från fall till fall trots att det kan samma data som delas i olika situationer. Vilken typ av åtgärd som är lämplig kommer bero på vilka data som ska delas, hur den ser ut, vem som ska ta del av den och för vilka ändamål.
3.6.2Säkra behandlingsmiljöer
Det saknas en entydig definition av vad en säker behandlingsmiljö är. I förslaget till EHDS finns det beskrivet i artikel 50 och avser då en miljö där data kan behandlas och där risken för obehörig läsning, kopiering, ändring eller borttagning av data minimerats. Datatill- gången har också begränsats till de data som dataanvändaren fått tillstånd att få tillgång till. Ett av de primära användningsområdena för säkra behandlingsmiljöer är att skapa en miljö där personupp- gifter kan behandlas på ett mer integritetssäkert sätt och även att minimera risken för okontrollerat vidareutnyttjande.
I Sverige finns inga statliga säkra behandlingsmiljöer som liknar den säkra behandlingsmiljö som Findata erbjuder och dit aktörer kan vända sig för att behandla hälsodata. SCB har en mer generell platt- form för tillgängliggörande av mikrodata, MONA (Microdata Online Access). I MONA kan användare göra bearbetningar via internet utan att mikrodata lämnar SCB. Med mikrodata menas uppgifter som avser enskilda objekt, till exempel personer eller företag. Hälsodata på micronivå är i stort sett alltid känsliga personuppgifter.
154
SOU 2023:76 |
Vad är data och datadelning? |
mikrodata, programvaror och egen lagringsyta har användare i MONA tillgång till metadata om de flesta av SCB:s mikrodataregister.
Säkra behandlingsmiljöer och så kallade datahubbar, även kallat datadelningstjänster är centrala i förslaget till EHDS och utred- ningen skriver i kapitel 10 mer om det pågående arbete som de olika medlemsländer gör för att förbereda sig inför EHDS.
3.6.3Syntetiska data
Syntetiska data är artificiella data som genereras från originaldata genom att använda en modell som är tränad för att reproducera egen- skaperna och strukturen hos originaldatan. Det innebär att synte- tiska data och originaldata bör ge mycket liknande resultat när de genomgår samma statistiska analys. Den grad i vilken syntetiska data är en korrekt proxy45 för originaldata är ett mått på användbarheten av metoden och modellen.46 Det gör att syntetiska data möjliggör användning av detaljerade data över stora populationer utan att de utgör personuppgifter, eftersom populationen som representeras i datan är en population som till sin struktur liknar den faktiska popu- lationen, men innehåller inga individer som finns på riktigt. Exem- pelvis så har Storbritanniens National health service (NHS) Digital tagit fram ett syntetiskt dataset baserat på deras cancerregister.47
Det finns flera olika sätt att ta fram syntetiska data och precis som för anonymisering kan det vara svårt att bedöma om syntetiska data innehåller personuppgifter. Exempelvis kan slumpen göra att det genereras en person som inte finns på riktigt, men som teoretiskt sätt kan ha samma karakteristika som en person i verkligheten. Ut- redningens bedömning är att detta inte är en personuppgift på samma sätt som att någon skulle kunna gissa utifrån givna sannolikheter att en person har ett visst namn, ålder, diagnos och jobbar på en viss arbetsplats. Med givna sannolikheter går det att göra ganska träffsäkra gissningar. Sådana gissningar gör dock inte att det blir en personupp- gift eftersom personen är en teoretisk person. Om antagandet görs
45Proxy (av engelska proxy som betyder ”ombud”, ”fullmakt”, ”ställföreträdande” eller ”indirekt”) betyder i vetenskapliga sammanhang att man vill mäta eller uppskatta något som inte kan mätas direkt, där man då i stället mäter något annat som har en känd relation till det man egentligen ville undersöka. (Proxy – Wikipedia
46
47https://www.cancerdata.nhs.uk/simulacrum
155
Vad är data och datadelning? |
SOU 2023:76 |
att det skulle kunna ses som en personuppgift skulle också exem- pelvis fiktiva exempel i utbildningsmaterial som baseras på helt på- hittade människor kunna vara personuppgifter om det senare visar sig att det finns eller har funnits en person som stämmer in på den karak- teristikan. Att så är fallet går att härleda genom matematisk logik.
Ett exempel på detta är att ett syntetiskt dataset många gånger tas fram ifrån ett register. I det syntetiska datasetet som tagits fram ska det inte finnas några observationer som är samma som de i det ur- sprungliga datasetet. Det kan därmed antas att det inte finns några personuppgifter i det syntetiska datasetet. Om ett antal personer tillkommer till registret varje dag kommer registret till slut innehålla oändligt många observationer. Om det finns oändligt med obser- vationer så innebär det att alla kombinationer kommer att finnas med i det ursprungliga registret. Det syntetiska datasetet kommer, allt eftersom tiden går mot oändligheten, att innehålla data som överensstämmer med oändligt många personer i det ursprungliga regi- stret. Om det syntetiska datasetet inte kontrolleras mot det register som det skapades utifrån varje gång en ny observation läggs till regi- stret, kommer det inte heller gå att observera när datasetet skulle antas innehålla personuppgifter.
Utredningen anser att antagandena ovan är rimliga eftersom det annars skulle betyda att det syntetiska datasetet innehåller person- uppgifter på personer som ännu inte fötts. Därav kan antas att inne- hållet i det syntetiska datasetet inte är att betrakta som personuppgifter.
Ett pragmatiskt, förhållandevis snabbt och billigt exempel på ett sätt att se om det går att identifiera en person ur ett populationsregister är att be personen eller personerna som ingår i underlaget och gjort det syntetiska datasetet att hitta sig själva. De har oftast det tekniska kunnandet, tillgänglig teknik och dessutom oftast mer kunskap om sig själv än vad andra har. Kan de inte hitta sig själva är det sannolikt så att det syntetiska datasetet inte innehåller personuppgifter.
3.6.4Federerade analyser
Federering avser att samordna eller sammanföra, exempelvis är fede- rerade databaser flera databaser som hanteras som en enhet.48 Fede- rerade analyser är metoder som gör det möjligt att åstadkomma ana-
48
156
SOU 2023:76 |
Vad är data och datadelning? |
lyser baserat på flera olika datakällor utan att behöva flytta känsliga personuppgifter utanför källsystemen och de skyddsmekanismer som omger dessa. Exponeringen av data kan därför reduceras.49,50
49Läkemedelsverket
50Federerade analyser –
157
4Initiativ inom EU
på hälsodataområdet
4.1Inledning
Utredningen bedömer att det är relevant att beskriva den
Eftersom EHDS och relaterade akter, så som dataakten fortfarande är under förhandling och kan komma att ändras under förhandlings- processen har utredningen valt att begränsa sig till att inte analysera kommissionens olika förslag mer djupgående. Utredningen förhåller sig i stället till akternas inriktning och vad de syftar till att åstadkomma för att utredningens förslag ändå ska gå i linje med vad Europeiska kommissionen vill uppnå med rättsakterna (se även kapitel 9 där EU:s dataförvaltningsförordning redogörs för ytterligare). Utredningens bedömning är också att utredningens förslag varken överlappar eller krockar med förslaget till EHDS.
159
Initiativ inom EU på hälsodataområdet |
SOU 2023:76 |
4.2En europeisk dataekonomi
4.2.1Kommissionens meddelande om att skapa en europeisk dataekonomi
Arbetet inom Europeiska unionen med att skapa en europeisk dataeko- nomi har pågått under många år. Europaparlamentets och rådets för- ordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska per- soner med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), förkortad EU:s dataskyddsförordning, trädde i kraft 2018. Det var runt denna tidpunkt som arbetet med om- ställningen till en dataekonomi började ta form inom EU. Tidigare re- glering hade endast berört enskilda sektorer så som direktiv 2015/2366 om betaltjänster eller data som inte är personuppgifter.1 Så även om dataekonomin diskuterats inom EU tidigare än 20182,3 var EU:s data- skyddsförordning den första mer övergripande regleringen som rörde personuppgiftsbehandling i syfte att skapa en stabil ram för digitalt förtroende (COM(2020) 66 final s. 4)4, vilket angetts som en förutsätt- ning för att skapa en datadriven ekonomi (COM(2017) 9 final s. 3). Därefter har även förordningar såsom EU:s dataförvaltningsförordning och förslagen till dataförordningen och EHDS kommit, vilka alla kom- mer ha en stor inverkan på medlemsstaternas reglering av data.
Utredningen har valt att beskriva
1Europaparlamentets och rådets förordning (EU) 2018/1807 av den 14 november 2018 om en ram för det fria flödet av andra data än personuppgifter i Europeiska unionen (Text av bety- delse för EES.).
2Meddelande från kommissionen till europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén, ”Skydd av den personliga integriteten i en upp- kopplad värld En europeisk ram för personuppgiftsskydd för tjugohundratalet”, COM(2012) 9.
3Meddelande från kommissionen till europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén, ”Mot en blomstrande datadriven ekonomi”, COM(2014) 442.
4Meddelande från kommissionen till europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén,
5Meddelande från kommissionen till europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén, ”Att skapa en europeisk dataekonomi”, COM(2017)
9final av den 10 januari 2017.
160
SOU 2023:76 |
Initiativ inom EU på hälsodataområdet |
innovation och möjligheten att förutse framtida händelser. Kommis- sionen framhäver att det inom olika områden finns stor potential i denna globala trend, så som inom hälsa, miljö, livsmedelssäkerhet, klimat- och resurseffektivitet, energi, intelligenta transportsystem och smarta städer (COM(2017) 9 final, s. 2).
Kommissionen beskriver dataekonomin6 som en ekonomi som kännetecknas av ett ekosystem bestående av olika typer av mark- nadsaktörer, såsom tillverkare, forskare och leverantörer av infra- struktur, som samarbetar för att säkerställa att data är tillgängliga och användbara. Dataekonomin gör det möjligt för marknadsaktörerna att dra nytta av data genom att skapa en mängd olika tillämpningar som har potential att förbättra produkter, tjänster och processer (COM(2017) 9 final, s. 2).
Vidare konstaterar kommissionen att den datadrivna omvandlingen och ny teknik leder till att det ständigt genereras ökande mängder data av maskiner och nya processer. Även uppkopplingen till internet i sig själv förändrar uppgifternas tillgänglighet, eftersom det i allt högre utsträckning delas data digitalt och datan blir därmed inte lika bunden av fysiska och geografiska barriärer.
4.2.2EU:s dataskyddsförordning
Även då EU:s dataskyddsförordning har ett annat syfte än att skapa en mer datadriven ekonomi, kan förordningen enligt Kommissionen ses som ett av de första stegen mot en mer datadriven ekonomi när den trädde i kraft i maj 2018. I meddelandet från Europiska kommis- sionen om att skapa en europeisk dataekonomi angavs att en enda hel- täckande uppsättning regler för hela Europa skulle garantera en kon- sekvent tolkning av de nya reglerna (COM(2017) 9 final, s. 2). I de inledande beaktandesatserna till förordningen finns liknande resone- mang och vikten av att reglerna inte ska utgöra ett hinder för flöden av personuppgifter inom EU återfinns. Det framhålls även att ett tydligt och likvärdigt skydd för de enskildas personuppgifter utgör en förutsättning för att den inre marknaden ska fungera väl.7
6Dataekonomin mäter de totala effekterna av datamarknaden, det vill säga marknaden för data- tjänster där data utbyts som produkter eller tjänster som härrör från rådata, på ekonomin i sin helhet. Den omfattar den generering, insamling, lagring, bearbetning, distribution, analys, utveck- ling, leverans och det utnyttjande av data som möjliggjorts genom digital teknik (European Data Market study, SMART 2013/0063, IDC, 2016).
7Se EU:s dataskyddsförordning skäl 10 och 13.
161
Initiativ inom EU på hälsodataområdet |
SOU 2023:76 |
4.2.3EU:s datastrategi och dataområde
I EU:s datastrategi8 skriver kommissionen att deras vision bygger på europeiska värden om grundläggande rättigheter och på övertygelsen om att människan är och bör förbli i centrum (COM(2020) 66 final s. 4). Kommissionen anger att målet är att skapa ett gemensamt euro- peiskt dataområde – en genuin inre marknad för data. För att åstad- komma det föreslår kommissionen att EU bör kombinera ändamåls- enlig lagstiftning med styrning för att säkerställa tillgången till data, med investeringar i standarder, verktyg och infrastrukturer samt kom- petens att hantera data (COM(2020) 66 final s. 5).
Vidare beskrivs att det europeiska dataområdets funktion kommer att vara beroende av EU:s förmåga att investera i nästa generations teknik och infrastruktur samt i digitala färdigheter som datakom- petens. Infrastrukturen är tänkt att stödja skapandet av europeiska datapooler som möjliggör stordataanalys och maskininlärning på ett sätt som stämmer överens med dataskydds- och konkurrenslagstift- ningen och gör det möjligt för datadrivna ekosystem att växa fram (COM(2020) 66 final s. 5).
4.2.4Den digitala kompassen
I mars 2021 presenterade kommissionen sitt meddelande Digital kom- pass 2030: den europeiska vägen in i det digitala decenniet.9 I med- delandet föreslår kommissionen att en digital kompass ska införas för att omsätta EU:s digitala ambitioner för 2030 i konkreta mål och säkerställa att dessa mål uppnås. Kompassen består av fyra huvud- punkter (COM(2021) 118 final s. 4):
–Kompetens.
–Säker och hållbar digital infrastruktur.
–Digital omställning av näringslivet.
–Digitalisering av offentlig service.
8Meddelande från kommissionen till europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén, En
9Meddelande från kommissionen till europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén, Digital kompassen 2030: den europeiska vägen in i det digi- tala decenniet, COM(2021) 118 final av den 9 mars 2021.
162
SOU 2023:76 |
Initiativ inom EU på hälsodataområdet |
Därutöver förtydligas att omställningen bygger på att säkerställa full respekt för EU:s grundläggande rättigheter (COM(2021) 118 final s. 14):
–Yttrandefriheten, inklusive tillgången till mångsidig, tillförlitlig och öppen information.
–Friheten att starta och bedriva affärsverksamhet på nätet.
–Skyddet av personuppgifter och integritet samt rätten att bli bort- glömd.
–Skyddet av enskildas intellektuella verk i det digitala rummet.
Till dessa tillkommer en uppsättning digitala principer som är tänka att möjliggöra att informera användare och vägleda beslutsfattare och digitala operatörer (COM(2021) 118 final s. 14):
–Allmän tillgång till internettjänster.
–En säker och tillförlitlig miljö på nätet.
–Allmän digital utbildning och allmänna digitala färdigheter så att människor kan delta aktivt i samhället och i demokratiska processer.
–Tillgång till digitala system och apparater som tar hänsyn till miljön.
–Digital offentlig service och information för alla med människan i centrum.
–Etiska principer för algoritmer där människan står i centrum.
–Skydd och egenmakt för barn på internet.
–Tillgång till digital hälso- och sjukvård.
Utöver huvudpunkterna, de grundläggande rättigheterna och de digi- tala principerna finns en rad mål. Tre exempel på mål är:
–75 procent av de europeiska företagen har anammat molntjänster, stordata och artificiell intelligens (COM(2021) 118 final s. 11).
–100 procent av
–80 procent av medborgarna använder en digital
163
Initiativ inom EU på hälsodataområdet |
SOU 2023:76 |
Målen ska uppfyllas genom en kombination av investeringar och ny lagstiftning (COM(2020) 66 final, s. 5). Det finns en rad olika fonder som medlemsländerna kan ansöka om medel från. Det är framför allt Programmet för ett digitalt Europa (DIGITAL) som används för att bygga upp infrastrukturen för de olika dataområdena.10
Även om medlemsstaterna kan ansöka om medel från EU så kom- mer omställningen till en datadriven ekonomi sannolikt innebära om- fattande investeringskostnader för samtliga medlemsländer.
4.2.5Förslaget till
I Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om harmoniserade regler för artificiell intelligens (rättsakt om artificiell intelligens) och om ändring av vissa unionslagstiftning- sakter COM(2021) 206 final av den 21 april 2021, förkortad förslaget till
–Säkerställa att
–Säkerställa rättssäkerhet för att underlätta investeringar och inno- vation för AI.
–Förbättra styrningen och säkra en effektiv kontroll av uppfyllandet av befintlig lagstiftning om de grundläggande rättigheterna och säkerhetskrav som är tillämpliga på
–Främja utvecklingen av en inre marknad för lagliga, säkra och till- förlitliga
I artikel 5.1 i förordningen föreslås att vissa typer av
10Europaparlamentets och rådets förordning (EU) 2021/694 av den 29 april 2021 om inrättande av programmet för ett digitalt Europa och om upphävande av beslut (EU) 2015/2240.
11Även kallad
164
SOU 2023:76 |
Initiativ inom EU på hälsodataområdet |
hetsrelaterade egenskaper, med en social poängsättning som leder till skadlig eller ogynnsam behandling av vissa fysiska personer eller hela grupper av fysiska personer i sociala sammanhang som saknar kopp- ling till de sammanhang i vilka berörda data ursprungligen genererades eller samlades in (se artikel 5.1 c).
Därtill föreslås klassificeringsregler för
4.2.6EU:s dataförvaltningsförordning
I EU:s dataförvaltningsförordning finns reglering för att främja att data från offentliga myndigheter och vissa andra organ eller samman- slutningar görs tillgänglig för vidareutnyttjande (se vidare kapitel 9 för närmare redogörelse av vilka som träffas av reglerna). Det fram- går också att främja tillgången till dessa data för vetenskaplig forskning enligt principen så öppen som möjligt, så begränsad som nödvändigt. (se skäl 16). Andra centrala skäl för förordningen är att det behövs åtgärder för att öka förtroendet för datadelning (se skäl 5).
I artikel 1 framgår att förordningen fastställer följande:
–Villkoren för vidareutnyttjande inom unionen av vissa kategorier av data som innehas av offentliga myndigheter,
–En ram för anmälan av och tillsyn över tillhandahållandet av data- förmedlingstjänster,
–En ram för frivillig registrering av enheter som samlar in och be- handlar data som tillhandahålls för altruistiska ändamål,
–En ram för inrättandet av en europeisk datainnovationsstyrelse.
Förordningen innehåller i artikel 2 en rad definitioner som har relevans när det talas om datadelning, så som data (se vidare avsnitt 3.2), vidare- utnyttjande (se vidare avsnitt 9.2), datadelning (se vidare avsnitt 3.4) med mera vilka utredningen har att förhålla sig till.
165
Initiativ inom EU på hälsodataområdet |
SOU 2023:76 |
Som framgår av kapitel 9 skapar inte dataförvaltningsförordningen några nya möjligheter till datadelning eller vidareutnyttjande utan reglerar snarare hur ett sådant tillgängliggörande får se ut i de fall sådana data kan tillgängliggöras för vidareutnyttjande enligt befintliga regler och att dataförvaltningsförordningen är tillämplig på den aktu- ella situationen. Likaså påverkar inte dataförvaltningsförordningen nationella bestämmelser om sekretess. Det innebär att bestämmelser i offentlighets- och sekretesslagen (2009:400), förkortad OSL, ska tillämpas som vanligt även om datahållaren är en sådan aktör som kan omfattas av reglerna i dataförvaltningsförordningen.
På grund av det ovanstående gör utredningens den preliminära bed- ömningen att ingen av de situationer där utredningen lämnar författ- ningsförslag är oförenliga med dataförvaltningsförordningen eller de kompletterande bestämmelser som föreslagits i Ds 2023:24 Genom- förande av EU:s dataförvaltningsförordning. Enligt utredningen reg- lerar dataförvaltningsförordningen respektive utredningens förslag olika saker.
4.2.7Förslaget till dataförordningen
I förslaget till dataförordningen föreslås harmoniserade regler för rätt- vis åtkomst till och användning av data (COM(2022) 68 final s. 1) Syftet är att säkerställa en rättvis fördelning av datauppgifternas värde bland aktörerna i dataekonomin och att främja åtkomsten till och användningen av data (COM(2022) 68 final s. 16), vilket regleras i artikel 13. Förslagets specifika mål är att (COM(2022) 68 final s. 13):
–Underlätta konsumenternas och företagens åtkomst till och an- vändning av data, och samtidigt bevara incitamenten att investera i skapandet av värde genom data.
–Se till att de offentliga myndigheterna och unionens institutioner, byråer och organ kan använda data som innehas av företag i särskilda situationer där behovet av data är stort.
–Underlätta byten mellan olika tjänster för molnteknik och edge computing.
–Införa skyddsåtgärder mot olaglig överföring av data utan före- gående meddelande av molntjänstleverantören.
166
SOU 2023:76 |
Initiativ inom EU på hälsodataområdet |
–Utarbeta interoperabilitetsstandarder för data som ska återanvändas mellan olika sektorer i ett försök att undanröja hinder för data- utbytet mellan gemensamma domänspecifika europeiska dataom- råden, i enlighet med kraven på interoperabilitet inom sektorn, och mellan andra data som inte omfattas av ett särskilt gemensamt euro- peiskt dataområde.
Även denna förordning innehåller förslag på definitioner som har bäring på datadelning, såsom data, datainnehavare och datamottagare (se artikel 2).
4.2.8Förslaget till EHDS
Reglering för inrättandet av det första domänspecifika gemensamma europeiska dataområdet, hälsodataområdet, återfinns i förslaget till EHDS. Förordningen håller fortfarande på att förhandlas, men i kort- het kan sägas att EHDS bland annat syftar till att öka interoperabiliteten på hälsodataområdet, öka möjligheterna för sekundäranvändning av hälsodata samt öka fysiska personers kontroll över sina egna hälsodata.
Utredningen har bedömt att förslaget till EHDS syftar till att skapa ett juridiskt ramverk för att underlätta datadelning på hälsodataområdet inom EU. Förslaget syftar även till att i delar inrätta och i andra delar stimulera till utvecklingen av en
167
5 Hälso- och sjukvård
5.1Inledning
Utredningen har på datahållarsidan avgränsat uppdraget till vidare- användning av hälsodata som finns inom hälso- och sjukvården, se avsnitt 2.7.3. Hälso- och sjukvården finns också på dataanvändarsidan, bland annat vid vidareanvändning av hälsodata för vårdändamål, se avsnitt 2.7.4 och kopplat till utvecklingsändamålet, se kapitel 23. I ljuset av detta är regelverk som gäller för hälso- och sjukvård samt för dess organisation av betydelse för förståelsen av utredningens förslag och betänkandet i övrigt.
Regeringsformen, förkortad RF, tar i en av sina portalparagrafer upp det allmännas ansvar att verka för goda förutsättningar för hälsa (1 kap. 2 § andra stycket RF). Den rättsliga regleringen av hälso- och sjukvården finns i ett stort antal lagar och andra författningar. Även internationell och
Utredningen använder definitionen av hälso- och sjukvård som finns i patientdatalagen (2008:355), förkortad PDL, se avsnitt 2.6.1.
169
Hälso- och sjukvård |
SOU 2023:76 |
Definitionen i PDL omfattar även tandvården. Utifrån att utredningens författningsförslag inte omfattar tandvården, berörs inte tandvårds- lagen (1985:125) i detta kapitel.
5.2Hälsa och tillgång till sjukvård som mänsklig rättighet
Att ha tillgång till hälso- och sjukvård är en grundläggande förut- sättning för att människor ska kunna tillförsäkras en godtagbar levnads- standard. I FN:s allmänna förklaring om de mänskliga rättigheterna från 1948 illustreras detta genom bestämmelsen att var och en har rätt till en levnadsstandard tillräcklig för den egna och familjens hälsa och välbefinnande, inklusive mat, kläder, bostad, hälsovård och nöd- vändiga sociala tjänster (artikel 25.1). Förklaringen är inte formellt bindande, men ses som ett uttryck för sedvanerättsliga regler.
I artikel 12.1 i 1966 års
I artikel 24 i FN:s konvention om barnets rättigheter, förkortad Barnkonventionen, erkänns barnets rätt till bästa möjliga hälsa och tillgång till hälso- och sjukvård och rehabilitering. Vidare anges att konventionsstaterna ska sträva efter att säkerställa att inget barn be- rövas sin rätt att ha tillgång till sådan hälso- och sjukvård. Sverige har ratificerat Barnkonventionen och den är dessutom svensk lag sedan den 1 januari 2020, se lag (2018:1197) om Förenta nationernas konven- tion om barnets rättigheter.
Även Europeiska unionens stadga om de grundläggande rättig- heterna, förkortad rättighetsstadgan, erkänner rätten till hälsoskydd.
1SÖ 1971:41. Sverige gjorde vid ratificeringen förbehåll mot artikel 7 d.
170
SOU 2023:76 |
Hälso- och sjukvård |
I artikel 35 anges att var och en har rätt till tillgång till förebyggande hälsovård och till medicinsk vård på de villkor som fastställs i natio- nell lagstiftning och praxis. Av samma bestämmelser framgår att en hög nivå av skydd för människors hälsa ska säkerställas vid utformning och genomförande av all unionspolitik och alla unionsåtgärder.
Rätten till skydd för den enskildes hälsa återfinns också i 1961 års europeiska sociala stadga. I artikel 11 anges att parterna åtar sig att vidta de åtgärder som är nödvändiga, bland annat för att så långt som möjligt undanröja orsakerna till ohälsa samt att så långt som möjligt förebygga uppkomsten av exempelvis sjukdomar och olycksfall.
5.3Mål och principer för hälso- och sjukvården
Hälso- och sjukvårdslagen (2017:30), förkortad HSL, är en målinriktad ramlagstiftning för hälso- och sjukvården i Sverige (prop. 2016/17:43 s. 78 och 80). Den innehåller bland annat bestämmelser om hur hälso- och sjukvårdsverksamhet ska bedrivas, oavsett vem det är som be- driver vården (se 1 kap. 1 § HSL).
I 3 kap. 1 § HSL anges att målet med hälso- och sjukvården är en god hälsa och en vård på lika villkor för hela befolkningen. Hälso- och sjukvårdens hälsouppdrag lyfts även särskilt i 3 kap. 2 § HSL, där det framgår att hälso- och sjukvården ska arbeta för att förebygga ohälsa.
Av 3 kap 1 § andra stycket HSL framgår två grundläggande princi- per för hur hälso- och sjukvård ska ges. Vården ska ges med respekt för alla människors lika värde och för den enskilda människans vär- dighet (människovärdesprincipen). Den som har det största behovet av hälso- och sjukvård ska ges företräde till vården
Människovärdesprincipen,
171
Hälso- och sjukvård |
SOU 2023:76 |
så kallade etiska plattformen för prioriteringar (prop. 1996/97:60 s.
5.3.1God vård
I 5 kap. 1 § HSL anges att hälso- och sjukvårdsverksamhet ska bedrivas så att kraven på en god vård uppfylls. Det innebär enligt bestäm- melsen att vården särskilt ska
1.vara av god kvalitet och en god hygienisk standard,
2.tillgodose patientens behov av trygghet, kontinuitet och säkerhet,
3.bygga på respekt för patientens självbestämmande och integritet,
4.främja goda kontakter mellan patienten och hälso- och sjukvårds- personalen, och
5.vara lätt tillgänglig.
Bestämmelsen om god vård infördes i lagstiftningen i och med 1982 års hälso- och sjukvårdslag och flyttades över till 2017 års HSL i en något omstrukturerad form (se prop. 2016/17:43 s. 95). Den inne- håller centrala aspekter på vad en god vård avser, men är inte uttöm- mande. Enligt regeringen bör det stå klart för berörda aktörer att kraven på god vård är komplexa och att de även beskrivs bland annat på andra ställen i HSL samt i andra författningar och kunskapsstöd (prop. 2016/17:43 s. 95).
Det framkommer ingen ytterligare ledning i förarbetena till 2017- års HSL kring vad en god vård konkret avser. För att hitta sådan led- ning måste vägledning sökas i förarbetena till 1982 års hälso- och sjukvårdslag, där det bland annat uttalas att ett grundläggande krav som måste ställas på hälso- och sjukvården är att den är av god kvalitet. Kravet innebär bland annat att hälso- och sjukvården ska ha den medi- cinskt tekniska kvalitet som behövs och även tillgodose kraven på en god omvårdnad samt vara anpassad till den enskilde patientens sär- skilda förhållanden. Det måste förutsättas att vården tillgodoser män- niskornas behov av trygghet och säkerhet i medicinskt hänseende (prop. 1981/82:97 s. 56). Vidare tas aspekter på god materiell kvalitet upp, såsom kvaliteten på såväl teknisk utrustning – från tänger, för-
2Se Riksdagens protokoll 1996/97:90 och Socialutskottets betänkande 1996/97:SoU14.
172
SOU 2023:76 |
Hälso- och sjukvård |
bandsmateriel och läkemedel till den mest komplicerade tekniska ut- rustningen (se prop. 1981/82:96 s. 116). Innan en ny diagnos- eller behandlingsmetod som kan ha betydelse för människovärde och integ- ritet börjar tillämpas, ska vårdgivaren se till att metoden har bedömts från individ- och samhällsetiska aspekter (5 kap. 3 § HSL). Den gene- rella bestämmelsen om god vård kompletteras av 5 kap. 2 § HSL, av vilken det följer att där det bedrivs hälso- och sjukvårdsverksamhet ska det finnas den personal, de lokaler och den utrustning som krävs för att en god vård ska kunna ges. Vid bestämmelsens införande anförde regeringen att kraven på vårdgivarens personal, lokaler och utrustning är av avgörande betydelse för vårdens kvalitet och patientsäkerhet (prop. 1995/96:176 s. 53). Kvaliteten i verksamheten ska systematiskt och fortlöpande utvecklas och säkras (5 kap. 4 § HSL).
Begreppet god vård är även inarbetat i sjukvårdens ledningssystem för kvalitet. Det regleras i dag i Socialstyrelsens föreskrifter och all- männa råd (SOSFS 2011:9) om ledningssystem för systematiskt kvali- tetsarbete och ligger till grund för Socialstyrelsens arbete med bland annat nationella indikatorer för god vård (se prop. 2019/20:164 s. 37, samt nedan avseende systematiskt kvalitetsarbete inom hälso- och sjukvården avsnitt 5.5). Bland bestämmelserna i HSL om hur verksam- heten ska bedrivas, återfinns också principen om barnets bästa. Det anges att när vård ges till barn ska barnets bästa särskilt beaktas (5 kap. 6 § HSL). Hälso- och sjukvården ska också särskilt beakta barns behov av information, råd och stöd om barnets förälder eller någon annan vuxen som barnet varaktigt bor tillsammans med har en psykisk stör- ning eller en psykisk funktionsnedsättning, har en allvarlig fysisk sjuk- dom eller skada, har ett missbruk av alkohol, annat beroendefram- kallande medel eller spel om pengar, eller utsätter eller har utsatt barnet eller en närstående till barnet för våld eller andra övergrepp (5 kap. 7 § första stycket HSL). Detsamma gäller enligt bestämmelsens andra stycke om barnets förälder eller någon annan vuxen som barnet var- aktigt bor tillsammans med oväntat avlider.
När hälso- och sjukvård ges till personer som har stora och var- aktiga funktionsnedsättningar ska det särskilt övervägas om vården kan ges på ett sätt som bidrar till att den enskilde får möjlighet att delta i samhällslivet och kan leva som andra (5 kap. 9 § HSL).
173
Hälso- och sjukvård |
SOU 2023:76 |
5.3.2Säker vård och hälso- och sjukvårdspersonalens allmänna skyldigheter
Att eftersträva en hög patientsäkerhet är ytterligare en central del inom hälso- och sjukvården. I patientsäkerhetslagen (2010:659), förkortad PSL, finns ett antal skyldigheter för vårdgivare och vårdpersonal i syfte att främja en hög patientsäkerhet inom hälso- och sjukvården (se 1 kap. 1 § första stycket PSL). I lagen finns bland annat bestäm- melser om vårdgivarens skyldighet att bedriva ett systematiskt patient- säkerhetsarbete (se 3 kap. PSL), skyldigheter för hälso- och sjuk- vårdspersonal3 med flera (se 6 kap. PSL) samt Inspektionen för vård och omsorgs tillsyn över hälso- och sjukvården och dess personal (se
7kap. PSL). Vidare finns Socialstyrelsens föreskrifter och allmänna råd
I 6 kap. 1 § PSL anges att hälso- och sjukvårdspersonal ska utföra sitt arbete i överensstämmelse med vetenskap och beprövad erfaren- het. En patient ska ges sakkunnig och omsorgsfull hälso- och sjuk- vård som uppfyller dessa krav. Vården ska så långt som möjligt utfor- mas och genomföras i samråd med patienten. Patienten ska även visas omtanke och respekt (6 kap. 1 § PSL).
5.4Hälso- och sjukvårdens skyldigheter från ett patientperspektiv
Hälso- och sjukvårdens skyldigheter, utifrån ett patientperspektiv, har ytterligare utvecklas och samlats i patientlagen (2014:821), förkortad PL. Lagen har till övergripande syfte att stärka och tydliggöra patientens ställning samt att främja patientens integritet, självbestämmande och delaktighet inom hälso- och sjukvården (1 kap. 1 § första stycket PL).
I PL framhålls att patientens självbestämmande och integritet ska respekteras (4 kap. 1 § PL). Vidare framgår av 4 kap. 2 § första stycket PL att hälso- och sjukvård inte får ges utan patientens samtycke, om inte annat följer av PL eller någon annan lag. I exempelvis akuta situa- tioner får vård ges utan samtycke (se 4 kap. 4 § PL). Patienten kan, om inte annat följer av lag, lämna sitt samtycke skriftligen, muntligen eller genom att på annat sätt visa att han eller hon samtycker till den
3Se definition av hälso- och sjukvårdspersonal i 1 kap. 4 § PSL.
174
SOU 2023:76 |
Hälso- och sjukvård |
aktuella åtgärden (4 kap. 2 § andra stycket PL). Enligt 4 kap. 2 § tredje stycket PL kan patienten när som helst ta tillbaka sitt samtycke. Om patienten avstår från viss vård eller behandling, ska patienten få infor- mation om vilka konsekvenser detta kan medföra.
Innan samtycke inhämtas ska patienten få information enligt 3 kap. PL (4 kap. 2 § första stycket PL). Patienten ska till exempel få in- formation om sitt hälsotillstånd, de metoder som finns för under- sökning, vård och behandling, det förväntade vård- och behandlings- förloppet och väsentliga risker för komplikationer och biverkningar (3 kap. 1 § PL). Enligt 3 kap. 2 § PL ska patienten även få information om bland annat möjligheten att välja behandlingsalternativ samt vård- givare och utförare av offentligt finansierad hälso- och sjukvård. Patien- ten ska också får information om möjligheten att få en ny medicinsk bedömning.
Hälso- och sjukvården ska så långt som möjligt utformas och genomföras i samråd med patienten (5 kap. 1 § PL). Detta är ett ut- tryck för att patienten ska göras delaktig i sin vård.
När det finns flera behandlingsalternativ som står i överensstäm- melse med vetenskap och beprövad erfarenhet ska patienten få möj- lighet att välja det alternativ som hen föredrar. Patienten ska få den valda behandlingen, om det med hänsyn till den aktuella sjukdomen eller skadan och till kostnaderna för behandlingen framstår som be- fogat (7 kap. 1 § första stycket PL).
Patienter som omfattas av regionens ansvar för hälso- och sjukvård har rätt att välja utförare av offentligt finansierad öppen vård inom eller utom denna region (9 kap. 1 § första stycket PL). Nedan redogörs för ansvaret för hälso- och sjukvård samt olika utförare, se avsnitt 5.6.
5.5Utveckling och säkring av verksamhetens kvalitet
För att kunna uppnå målen för hälso- och sjukvården och kunna ge en god och säker vård behöver vårdgivarna bland annat bedriva utveck- ling och säkring av verksamhetens kvalitet (jämför prop. 2016/17:43 s. 93).4 Detta kommer till uttryck i 5 kap. 4 § HSL där det anges att kvaliteten i verksamheten systematiskt och fortlöpande ska utvecklas och säkras. Utveckling och säkring av kvaliteten inom hälso- och sjuk-
4Andra förutsättningar för att uppnå målen med hälso- och sjukvården är bland annat en god ledning, planering och samverkan (se prop. 2016/17:43 s. 93).
175
Hälso- och sjukvård |
SOU 2023:76 |
vården bedrivs på olika nivåer och på olika sätt. Grundläggande för att uppfylla kraven i 5 kap. 4 § HSL är att vårdgivaren har ett led- ningssystem för systematiskt kvalitetsarbete.
Det lagstadgade kravet på systematisk och fortlöpande utveckling och säkring av verksamhetens kvalitet infördes i mitten av
Som komplement till av den generella regeln i 5 kap. 4 § HSL finns Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete.6 Av 1 kap. 1 § SOSFS 2011:9 framgår att de ska tillämpas i arbetet med att syste- matiskt och fortlöpande utveckla och säkra kvaliteten i sådan verk- samhet som omfattas av bland annat 5 kap. 4 § HSL. Den gäller också för vårdgivares systematiska patientsäkerhetsarbete enligt 3 kap. PSL (1 kap. 2 § SOSFS 2011:9).
Med kvalitet förstås enligt föreskrifterna att en verksamhet upp- fyller de krav och mål som gäller för verksamheten enligt lagar och andra föreskrifter om till exempel hälso- och sjukvård och beslut som har meddelats med stöd av sådana föreskrifter (2 kap. 1 § SOSFS 2011:9). Begreppet kvalitet i aktuellt sammanhang kopplar alltså till de grundläggande regler och krav som, såvitt avser vårdgivare, finns på hälso- och sjukvården, till exempel kravet på god vård, att arbeta utifrån vetenskap och beprövad erfarenhet samt att bedriva ett syste- matiskt patientsäkerhetsarbete.
För att kunna bedriva utveckling och säkring av verksamhetens kvalitet behöver vårdgivaren ha tillgång till hälsodata som typiskt sett utgörs av personuppgifter. Användningsområdet kan exempelvis handla om att följa upp omhändertagandet av patienter med en viss diagnos eller en viss vårdprocess, vilket kräver tillgång till hälsodata om patien-
5Egenkontroll här i meningen att vårdgivaren kontrollerar sig själv, till skillnad från kontroll av vårdgivaren som utförs av en fristående aktör. Jämför egenkontroll i SOSFS 2011:9 som har en snävare betydelse.
6Jämför prop. 1995/96:176 s. 53, som tar upp att bestämmelsen avser att vårdgivare ska ha system som synliggör förekomsten av risktillbud eller s.k. avvikande händelser. Detta är i dag väl ut- vecklat hos vårdgivare genom s.k. avvikelsehanteringssystem, vilka vid tiden för reglernas in- förande fortfarande var under uppbyggnad.
176
SOU 2023:76 |
Hälso- och sjukvård |
ter med diagnosen eller i vårdprocessen. Vårdgivares personuppgifts- behandling i detta syfte regleras som uttryckligt ändamål i 2 kap. 4 § första stycket 4 PDL. Regionala och nationella kvalitetsregister är ett exempel på informationsmängder som omfattar stora volymer patient- uppgifter och som har till syfte att utveckla kvaliteten inom hälso- och sjukvården (jämför 7 kap. 4 § PDL). Se vidare om dataskydds- reglerna i PDL i avsnitt 7.5.
5.6Ansvaret för hälso- och sjukvården och övergripande om dess organisation
Ansvaret för hälso- och sjukvården i Sverige är delat mellan staten, regionerna och kommunerna. Nedan följer en övergripande beskriv- ning av denna ansvarsfördelning och centrala förhållanden kring hälso- och sjukvårdens organisation.7
5.6.1Staten
Staten ansvarar för den övergripande hälso- och sjukvårdspolitiken. Statens styrning kan delas in i tre delar, lagstiftningen, budgeten i form av statsbidrag och myndighetsstyrningen. Dessa kan sedan delas in i ytterligare delar, exempelvis kan myndigheternas styrning vara både tvingande, genom föreskrifter, eller frivillig genom bland annat tillhandahållande av metodstöd.8 Staten har även det primära ansvaret för att bedriva och finansiera forskning och utbildning inom hälso- och sjukvårdsområdet (se vidare kapitel 6). Staten beslutar också om den nationella högspecialiserade vården (se 2 kap. 1 § hälso- och sjuk- vårdsförordningen [2017:80]).
Det finns flera statliga myndigheter med särskild inriktning mot hälso- och sjukvårdsområdet, såsom
7För en mer utförlig redogörelse, se bland annat SOU 2020:36 och SOU 2021:80, kapitel 6.
8Riksrevisionen, 2017, Staten och SKL (RIR 2017:3).
177
Hälso- och sjukvård |
SOU 2023:76 |
5.6.2Regionerna och kommunerna
Ansvaret för att erbjuda hälso- och sjukvård i Sverige ligger på landets 20 regioner och 290 kommuner. I Gotlands län ansvarar Gotlands kommun för de uppgifter som regioner ansvarar för i övriga län. Den grundläggande regleringen av ansvaret för att erbjuda hälso- och sjuk- vård finns i HSL.
Regionerna ansvarar för att erbjuda en god hälso- och sjukvård åt den som är bosatt inom regionen och åt den som har skyddad folk- bokföring och stadigvarande vistas inom regionen (8 kap. 1 § HSL). Regionen har ansvar för vård även i vissa andra situationer, exem- pelvis för de patienter som enligt 9 kap. 1 § PL väljer utförare av offent- ligfinansierad öppenvård utanför sin hemregion (8 kap. 3 § HSL).
Kommunen ansvarar för att erbjuda hälso- och sjukvård i:
•Permanent särskilt boende, korttidsboende och dagverksamhet som är reglerade i socialtjänstlagen (2001:453) (se 12 kap. 1 § HSL).
•Bostad med särskild service
•Det egna hemmet, kallat ordinärt boende, i form av hemsjukvård om regionen och den aktuella kommunen kommit överens om att kommunen ska ta över ansvaret för sådan hälso- och sjukvård (se 14 kap. 1 § HSL). Sådan överenskommelse har nåtts med samtliga regioner utom Region Stockholm.
Mottagare av kommunal hälso- och sjukvård finns i praktiken i stor utsträckning bland äldre personer och bland personer med funktions- nedsättning.
9I prop. 1992/93:159 s. 182, anges att insatserna bostad med särskild service för barn och ung- domar, bostad med särskild service för vuxna samt daglig verksamhet också är sådana bostäder respektive sådan verksamhet som avses i 21 och 10 §§ socialtjänstlagen (numera 5 kap. 7 § och
3kap. 6 § socialtjänstlagen 2001:453). Kommunerna har därför ett hälso- och sjukvårdsansvar (exklusive läkarinsatser) enligt hälso- och sjukvårdslagen för personer som bor i bostad med sär- skild service respektive vistas i dagverksamhet.
178
SOU 2023:76 |
Hälso- och sjukvård |
Begreppen huvudman och vårdgivare
I HSL definieras huvudman och vårdgivare. Vid införandet av HSL uttalade regeringen att det mot bakgrund av den alltmer differen- tierade strukturen på hälso- och sjukvårdsområdet, även inom regioners och kommuners hälso- och sjukvårdsorganisationer, är viktigt att tydliggöra huvudmannens och vårdgivarens åtskilda roller (prop. 2016/ 2017:43 s. 88).
Den region eller kommun som enligt lagen ansvarar för att hälso- och sjukvård erbjuds kallas huvudman (2 kap. 2 § HSL). Ansvaret som huvudman omfattar att finansiera, organisera och planera vården. I och med att huvudmannaskapet för hälso- och sjukvård i Sverige ligger hos regionerna och kommunerna karakteriseras hälso- och sjukvårdssystemet av en stark decentralisering. Den decentraliserade karaktären av hälso- och sjukvården har ytterligare förstärkts av fram- växten av ett stort antal privata vårdgivare på regional och lokal nivå, se vidare avsnitt 5.6.3.
Regioner och kommuner har enligt 14 kap. 2 § RF kommunal själv- styrelse, vilket bland annat innebär att de får ta ut skatt för att sköta sina uppgifter och att beslutanderätten utövas av valda församlingar (se 14 kap 1 och 4 §§ RF). Inom en region eller kommun råder där- med stor frihet att organisera hälso- och sjukvården utifrån de egna förutsättningarna och behoven. Detta innebär bland annat att hälso- och sjukvården kan bedrivas genom en eller flera nämnder som regionen och kommunen bestämmer (se 3 kap. 4 § kommunallagen [2017:725], förkortad KL, jämför med 7 kap. 1 § och 11 kap. 1 § HSL). Inom en kommun eller region kan det vidare finnas flera nämnder eller styrelser som ansvarar för hälso- och sjukvård, vilka är egna myn- digheter.
Huvudmannen kan välja att bedriva vården i egen regi, vilket också är det vanligaste i Sverige totalt sett (SOU 2021:80 s. 200). Driften kan också utföras av någon annan, se avsnitt 5.6.3.
För att ange den som bedriver hälso- och sjukvårdsverksamhet används i HSL begreppet vårdgivare. En vårdgivare kan vara en stat- lig myndighet, region, kommun, annan juridisk person eller enskild näringsidkare (2 kap. 3 § HSL). Sjukvårdshuvudmännen kan alltså själva vara vårdgivare. De kan dock även överlåta driften av hälso- och sjukvård till privata aktörer, som då i lagens mening är vårdgivare
179
Hälso- och sjukvård |
SOU 2023:76 |
för den vård som har överlåtits. Inom en regions eller kommuns geo- grafiska område kan det finnas flera vårdgivare (2 kap. 2 § HSL).
5.6.3Privata aktörer som vårdgivare
Regioner och kommuner kan sluta avtal med någon annan om att ut- föra de uppgifter som regionen eller kommunen ansvarar för (10 kap.
1§ KL). Sådan överlåtelse sker med bibehållet huvudmannaskap, vil- ket på hälso- och sjukvårdens område uttryckligen framgår av 15 kap.
1§ HSL.
De flesta privata vårdgivare som finns har avtal med regioner eller kommuner och får offentlig finansiering. Uppdragen från regionerna kan lämnas över med stöd av lagen (2008:962) om valfrihetssystem, lagen (2016:1145) om offentlig upphandling, eller så kan det vara fråga om verksamhet som privatpraktiserande läkare eller fysioterapeuter utför enligt lagen (1993:1651) om läkarvårdsersättning respektive lagen (1993:1652) om ersättning för fysioterapi. Utöver privata aktörer med offentlig finansiering finns också den helt privata hälso- och sjukvården, det vill säga privata vårdgivare som bedriver vård utan en region eller kommun som huvudman. Finansiering av sådan vård kan ske genom privat sjukvårdsförsäkring eller enskilds egen betalning. Privata aktörer som bedriver hälso- och sjukvård är egna juridiska personer eller en- skilda näringsidkare, organisatoriskt skilda från regionenen eller kom- munen som huvudman eller vårdgivare. Privata aktörer som bedriver hälso- och sjukvård är alltså egna vårdgivare enligt definitionen i HSL (se 2 kap. 3 § HSL).
5.7Speciallagstiftning på hälso- och sjukvårdsområdet
Viss verksamhet inom hälso- och sjukvården omfattas av speciallag- stiftning. Nedan berörs kortfattat vissa av dessa lagar i den utsträckning dessa är relevanta för utredningens uppdrag och författningsförslag.
180
SOU 2023:76 |
Hälso- och sjukvård |
5.7.1Biobankslagen
Biobankslagen (2023:38) trädde i kraft den 1 juli 2023. Dessförinnan gällde lag (2002:297) om biobanker inom hälso- och sjukvården med mera.
I biobankslagen finns bestämmelser om hur humanbiologiskt mate- rial, med respekt för den enskilda människans integritet, för vissa ända- mål, får samlas in till och bevaras i en biobank och användas (1 kap. 1 § biobankslagen). Humanbiologiskt material från en levande eller avliden människa eller foster kallas i lagen för prov (se 1 kap. 2 § bio- bankslagen).
Biobankslagen ska tillämpas på identifierbara prover som samlas in och bevaras i en biobank eller används för 1. vård, behandling eller andra medicinska ändamål i en vårdgivares verksamhet, 2. forskning,
3.produktframställning, eller 4. utbildning, kvalitetssäkring eller ut- vecklingsarbete inom ramen för något av de ändamål som anges i
Biobankslagen är alltså tillämplig på prover, inte på hälsodata eller personuppgifter. Samtidigt som insamling med mera av prover enligt biobankslagen föranleder behandling av personuppgifter, finns det alltså inga särskilda regler om vilka personuppgifter som får eller ska samlas in och bevaras tillsammans med ett prov (se prop. 2021/22:257 s. 220). Biobankslagen kompletterar EU:s dataskyddsförordning och vid behandling av personuppgifter enligt biobankslagen gäller i stället, som utgångspunkt, bestämmelser i andra lagar om behandling av per- sonuppgifter samt lagen (2018:218) med kompletterande bestämmel- ser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen (1 kap. 7 § biobankslagen).
I biobankslagen finns dock vissa bestämmelser som direkt rör be- handling av personuppgifter. Sådana bestämmelser finns om det så kallade
10Övriga bestämmelser som specifikt avser personuppgifter är 5 kap. 11 § och 8 kap. 3 § bio- bankslagen.
181
Hälso- och sjukvård |
SOU 2023:76 |
provgivaren, ska personuppgifterna tillgängliggöras på ett sådant sätt att de inte av någon obehörig kan kopplas samman med provet. Av 1 kap. 7 § andra stycket biobankslagen följer att de bestämmelser om personuppgiftsbehandling som finns i biobankslagen har företräde framför bestämmelser om behandling av personuppgifter i andra lagar, samt lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen (se även prop. 2021/22:257 s. 257).
I biobankslagen finns regler om samtycke och information (4 kap.). Huvudregeln är att provgivaren ska samtycka till att ett prov samlas in och bevaras i biobank (4 kap. 1 § biobankslagen). Innan ett sam- tycke lämnas ska provgivaren ha fått viss, i lagen angiven, information (se 4 kap. 2 § biobankslagen). Det finns vissa undantag från kravet på samtycke när det gäller prover för provgivarens vård eller behandling (4 kap. 7 § biobankslagen). Bland annat krävs inte samtycke om prov- givaren har informerats och samtyckt till vård eller behandling enligt PL och fått viss angiven information i enlighet med 4 kap. 7 § bio- bankslagen.
I 4 kap. 3 § första stycket biobankslagen påminns det om att det i lagen (2003:460) om etikprövning av forskning som avser människor (nedan EPL), finns bestämmelser om information och samtycke som ska tillämpas. Om det i annan lag finns särskilda bestämmelser om information och samtycke ska de bestämmelserna tillämpas. Detta gäller dock inte i fråga om prover som enligt 4 kap. 5 eller 9 § samlas in, bevaras eller används (4 kap. 3 § andra stycket biobankslagen).
I lagen finns även regler om tillgängliggörande av prover och upp- gifter (kap. 5). Bland detta kan noteras att ett prov som tillgängliggörs ska vara kodat, om inte detta hindrar att ändamålet med tillgänglig- görandet uppfylls (5 kap. 3 §). Ett prov får skickas för forskning endast om provet ska ingå i 1) forskning som har godkänts av Etikprövnings- myndigheten eller Överklagandenämnden för etikprövning enligt EPL,
2)en klinisk läkemedelsprövning som har beviljats eller anses ha be- viljats tillstånd i enlighet med förordning (EU) nr 536/2014, 3) en kli- nisk prövning som får påbörjas eller genomföras i enlighet med bestäm- melser i förordning (EU) 2017/745 eller enligt lagen (2021:600) med kompletterande bestämmelser till EU:s förordningar om medicintek- niska produkter eller föreskrifter meddelade i anslutning till den lagen, eller 4) en prestandastudie som får påbörjas eller genomföras
182
SOU 2023:76 |
Hälso- och sjukvård |
i enlighet med bestämmelser i förordning (EU) 2017/746 (5 kap. 10 § biobankslagen).
5.7.2Lagen om psykiatrisk tvångsvård och lagen om rättspsykiatrisk vård
I 1 § lag (1991:1128) om psykiatrisk tvångsvård, förkortad LPT, stadgas att föreskrifterna i HSL och PL gäller all psykiatrisk vård och att kom- pletterande föreskrifter om psykiatrisk vård som är förenad med fri- hetsberövande och annat tvång (tvångsvård) ges i LPT. Föreskrifter om psykiatrisk tvångsvård finns också i lag (1991:1129) om rättspsykia- trisk vård, förkortad LRV (1 § andra stycket LPT).
Av 3 § LPT följer att tvångsvård får ges endast om patienten lider av en allvarlig psykisk störning och på grund av sitt psykiska tillstånd och sina personliga förhållanden i övrigt
1.har ett oundgängligt behov av psykiatrisk vård, som inte kan till- godoses på annat sätt än genom att patienten är intagen på en sjukvårdsinrättning för kvalificerad psykiatrisk dygnetruntvård (sluten psykiatrisk tvångsvård) eller
2.behöver iaktta särskilda villkor för att kunna ges nödvändig psy- kiatrisk vård (öppen psykiatrisk tvångsvård).
En förutsättning för vård enligt LPT är att patienten motsätter sig sådan vård som sägs i första stycket, eller det till följd av patientens psykiska tillstånd finns grundad anledning att anta att vården inte kan ges med hans eller hennes samtycke.
I
LRV gäller enligt 1 § den som
1.efter beslut av domstol ska ges rättspsykiatrisk vård,
2.är anhållen, häktad eller intagen på en enhet för rättspsykiatrisk undersökning,
183
Hälso- och sjukvård |
SOU 2023:76 |
3.är intagen i eller ska förpassas till kriminalvårdsanstalt,
4.eller är intagen i eller ska förpassas till ett särskilt ungdomshem till följd av en dom på sluten ungdomsvård enligt 32 kap. 5 § brotts- balken.
I 2 § LRV erinras om att bestämmelserna i HSL om skyldighet för en region att erbjuda hälso- och sjukvård även gäller rättspsykiatrisk vård. Rättspsykiatrisk vård ges efter beslut av domstol om överläm- nande till sådan vård enligt vad som framgår av 31 kap. 3 § brotts- balken. Sådan vård ges enligt 3 § LRV som sluten rättspsykiatrisk vård eller, efter sådan vård, som öppen rättspsykiatrisk vård. Vård som ges när patienten är intagen på en sjukvårdsinrättning benämns sluten rättspsykiatrisk vård. Annan vård enligt lagen benämns öppen rätts- psykiatrisk vård.
Enligt 6 § LRV ges rättspsykiatrisk vård på en sjukvårdsinrättning som drivs av en region. Den som ges öppen rättspsykiatrisk vård får vistas utanför en sådan sjukvårdsinrättning. Vidare framgår av 6 § LRV att vid rättspsykiatrisk vård gäller 15
Av 8 § LRV framgår att vid sluten rättspsykiatrisk vård enligt LRV gäller, om inte annat anges i 8 a §, i tillämpliga delar bestämmelserna i
5.7.3Smittskyddslagen
Smittskyddslagens (2004:168) syfte är att skydda befolkningen mot smittsamma sjukdomar. Lagen innehåller bestämmelser om smitt- skyddsåtgärder som riktar sig till människor. Smittskyddslagen ger uttryck för synen att enskilda måste vara beredda att acceptera vissa integritetsintrång när det krävs för att skydda andra människor från smitta. Smittskyddslagen innehåller bland annat skyldigheter för en-
184
SOU 2023:76 |
Hälso- och sjukvård |
skilda och förutsättningar för ingripande med tvång i vissa undan- tagsfall.
Smittskyddslagen kan sägas ha mer av ett samhällsperspektiv, till skillnad från det patientperspektiv som annars är utgångspunkten inom hälso- och sjukvårdsverksamhet och som kommer till uttryck i HSL och PL, se avsnitt 5.3 och 5.4. Smittskydd är inte hälso- och sjukvård enligt HSL (jämför 2 kap. 1 § HSL).
Smittskyddslagen omfattar smittsamma sjukdomar som kan över- föras till eller mellan människor och som kan innebära ett inte ringa hot mot människors hälsa (1 kap.
Under vissa förutsättningar kan även tvångsåtgärder vidtas mot människor som är smittade eller misstänkt smittade av en allmän- farlig sjukdom, såsom tvångsundersökning (3 kap. 2 §) och isolering (5 kap. 1 och 3 §§). Förvaltningsrätten beslutar om tvångsundersök- ning och isolering enligt 5 kap. 1 § efter ansökan av smittskyddsläkaren. Smittskyddsläkaren beslutar om tillfällig isolering enligt 5 kap. 3 § men beslutet förfaller om det inte senast inom fyra dagar underställs för- valtningsrätten. Den som bär på eller misstänks bära på en allmänfarlig sjukdom ska också av behandlande läkare ges individuellt utformade förhållningsregler i syfte att hindra smittspridning. Förhållningsreg- lerna får bland annat avse inskränkningar som gäller arbete, förbud mot att donera blod och organ och skyldighet att informera till exempel vårdgivare eller sexualpartners om smittbärarskap (4 kap. 2 §).
Utöver reglerna om allmänfarliga sjukdomar finns regler om sam- hällsfarliga sjukdomar då extraordinära smittskyddsåtgärder får tilläm- pas. Med samhällsfarliga sjukdomar avses allmänfarliga sjukdomar som
185
Hälso- och sjukvård |
SOU 2023:76 |
kan få en spridning i samhället som innebär en allvarlig störning eller överhängande risk för en allvarlig störning i viktiga samhällsfunktioner och som kräver extraordinära smittskyddsåtgärder (1 kap. 3 § tredje stycket). De extraordinära smittskyddsåtgärderna avser hälsokontroll vid platsen för inresa (3 kap. 8 §), karantän (3 kap. 9 §), avspärrning (3 kap. 10 §) och förbud mot att resa ut ur landet (3 kap. 12 §).
5.7.4Lagen om genetisk integritet
Lagen (2006:351) om genetisk integritet har till syfte att värna den enskilda människans integritet.
I förarbetena lyfts den genetiska informationens speciella karaktär fram. Särarten motiverar att genetisk information i vissa avseenden behandlas på ett annat sätt än medicinsk information i allmänhet. En grundläggande princip måste vara att informationen är den enskildes privatsak, och det måste finnas tungt vägande skäl för att någon ska få använda eller bereda sig tillgång till en genetisk information som rör någon annan. För människors tillit till hälso- och sjukvården och medicinsk forskning är det enligt regeringens mening viktigt att gene- tiska undersökningar och genetisk information inom dessa områden ges ett tillfredsställande lagligt skydd (prop. 2005/06:64 s. 49). Gene- tisk information omfattas dock av samma hälso- och sjukvårdssekretess enligt 25 kap. 1 § OSL och samma regler om behandling av person- uppgifter som annan information inom hälso- och sjukvården (se prop. 2005/06:64 s.
Lagen om genetisk integritet innehåller bestämmelser om använd- ning av viss bioteknik som har utvecklats för medicinska ändamål samt om vissa rättsliga verkningar av sådan användning (1 kap. 1 §). Lagen skapades i syfte att utgöra en samlad lag för genetisk undersökning och information inom hälso- och sjukvården och medicinsk forskning samt genterapi, fosterdiagnostik och preimplantatorisk genetisk diagnostik och användning av genetisk information på försäkringsområdet. Den samlar också regler från ett antal andra lagar (prop. 2005/06:64 s. 65).
Med genetisk undersökning avses en undersökning inom hälso- och sjukvården eller medicinsk forskning som syftar till att ge upplysning om en människas arvsmassa genom molekylärgenetisk, mikrobiolo- gisk, immunologisk, biokemisk, cytogenetisk eller därmed jämförlig analysmetod eller genom inhämtande av upplysningar om hans eller
186
SOU 2023:76 |
Hälso- och sjukvård |
hennes biologiska släktingar (1 kap. 5 §). Med genetisk information menas information om resultatet av en genetisk undersökning, dock inte till den del informationen endast innefattar upplysning om den undersöktes aktuella hälsotillstånd (1 kap. 5 §).
Lagen om genetisk integritet innehåller ett antal förbud och villkor avseende utförandet av genetiska undersökningar och användandet av genetisk information samt genterapi (2 kap.). Ingen får utan stöd i lag ställa som villkor för ett avtal att den andra parten genomgår en genetisk undersökning eller lämnar genetisk information om sig själv (2 kap. 1 § första stycket). Vidare gäller att ingen utan stöd i lag, i samband med avtal, får efterforska eller använda genetisk information om den andre (2 kap. 1 § andra stycket). Lagen reglerar också ett för- bud mot att olovligen bereda sig tillgång till genetisk information om någon annan (2 kap. 1 § andra stycket). Förbuden motiveras av att det är viktigt att genetiska undersökningar kan göras i hälso- och sjuk- vårdssammanhang utan att de berörda behöver hysa oro för att resul- taten missbrukas (prop. 2005/06:64 s. 50).
För försäkringsbolag gäller undantag från förbudet att efterforska och använda genetisk information vid riskbedömda personförsäkringar på mycket höga belopp (2 kap. 2 §).
Forskning med syfte att utveckla metoder för att åstadkomma gene- tiska effekter som kan gå i arv är tillåten (prop. 2005/06:64 s. 1). Där- emot är försök i forsknings- eller behandlingssyfte samt behandlings- metoder som medför genetiska förändringar som kan gå i arv hos en människa förbjudna (2 kap.
Vidare finns regler om tillstånd för genetisk undersökning vid all- männa hälsoundersökningar (3 kap.). Genom Socialstyrelsens före- skrifter
En allmän hälsoundersökning beskrivs i förarbetena som en samlad undersökning av en större eller mindre grupp av människor eller en viss kategori av människor. Den berör samtidigt en grupp människor som inte behöver ha något annat gemensamt än att de till exempel är av samma ålder, bor i samma område eller dylikt. Syftet med en allmän hälsoundersökning behöver inte heller vara att ge enskilda besked om en diagnos, utan kan vara till exempel att skapa ett underlag för hälso- och sjukvårdens planering. Vid en allmän hälsoundersökning kom-
187
Hälso- och sjukvård |
SOU 2023:76 |
mer initiativet från den allmänna eller privata hälso- och sjukvården (prop. 2005/06:64 s. 67). När det gäller genetiska undersökningar i övrigt, till exempel sådana som utförs i diagnostiserande syfte efter att en enskild har sökt hälso- och sjukvård, gäller endast HSL:s allmänna bestämmelser (jämför prop. 2005/06:64 s. 68).
I lagen om genetisk integritet finns även grundläggande bestäm- melser med villkor med mera för fosterdiagnostik, genetisk foster- diagnostik och preimplantatorisk genetisk diagnostik (kapitel 4). Vidare finns regler om bland annat samtycke och tidsgränser vid åtgärder i forsknings- eller behandlingssyfte med ägg från människa (kapitel 5). Lagen innehåller också regler om villkor med mera för insemination (kapitel 6) och befruktning utanför kroppen (kapitel 7).
188
6 Forskning
6.1Inledning
I detta kapitel beskrivs ansvar för forskning och regelverk rörande forskning. Kapitlet inleds med en redogörselse för begrepp inom medi- cinsk forskning.
Urvalet av de regelverk och förhållanden som beskrivs i kapitlet har gjorts utifrån vad utredningen har bedömt är relevant för utred- ningens uppdrag i förhållande till de avgränsningar som redogörs för i avsnitt 2.7. I ljuset av detta är de centrala regelverken som beskrivs nedan de som aktualiseras när klinisk forskning utförs av en myn- dighet i en region (regional myndighet) eller ett lärosäte, se defini- tioner kopplade till utredningens författningsförslag i avsnitt 16.3.
Den rättsliga regleringen av klinisk forskning finns i flera lagar och andra författningar. Även internationell och
189
Forskning |
SOU 2023:76 |
6.2Begrepp inom medicinsk forskning
Den medicinska forskningen ger kunskap om hur kroppen fungerar samt hur sjukdomar förebyggs, uppkommer och behandlas. Enligt Vetenskapsrådets definition syftar medicinsk forskning till att öka grundläggande kunskaper om hur celler och vävnader fungerar och interagerar, samt till att bidra till att förbättra och utveckla läkemedel, vård- och behandlingsmetoder och medicintekniska produkter.1 Inom medicinsk forskning görs ofta skillnad mellan preklinisk och klinisk forskning.
Preklinisk forskning förutsätter inte vårdens strukturer. Veten- skapsrådet beskriver att preklinisk forskning är grundläggande experi- mentell forskning på molekylär, cellulär och integrativ nivå rörande de livsprocesser som bestämmer kroppens funktion – normalt och vid sjukdom. Vid preklinisk forskning vill forskaren till exempel se hur celler, vävnader, och organ fungerar och interagerar.2 Ett exempel på preklinisk forskning är djurstudier.
Begreppet klinisk forskning har ingen författningsreglerad defini- tion, men i flera förarbeten konstateras att den kliniska forskningen förutsätter vårdens strukturer och resurser och utgår från de behov som finns i hälso- och sjukvården och förväntas leda till patient- och samhällsnytta (se SOU 2017:104 s. 188 och 339 samt SOU 2008:7 s. 57 och SOU 2009:43 s.
Den kliniska forskningen kan delas in i ytterligare flera olika kate- gorier beroende på vilket syfte som forskningen har. Den kliniska forskningen inkluderar kliniska studier som är studier som genom-
1Vetenskapsrådet,
2Vetenskapsrådet,
190
SOU 2023:76 |
Forskning |
förs på människor. Exempel på kliniska studier är interventions- studier och observationsstudier. En interventionsstudie är en studie där deltagaren utsätts för någon form av intervention. Interventionen kan exempelvis vara ett läkemedel, en medicinteknisk produkt eller en viss behandlingsmetod. När interventionen är ett läkemedel eller en medicinteknisk produkt kallas sådan klinisk studie även klinisk prövning som alltså är ett snävare begrepp än klinisk studie. En obser- vationsstudie är en studie där deltagaren observeras, men utan att forsk- aren påverkar förloppet. Det kan exempelvis handla om epidemio- logiska undersökningar. Ytterligare en kategori av kliniska studier är så kallade registerbaserade kliniska studier. I sådana studier kan enligt Vetenskapsrådets definition mikrodata från exempelvis nationella och regionala kvalitetsregister eller statliga myndigheters register användas för att genomföra epidemiologiska studier eller för att planera, stödja eller följa upp interventionsstudier. Även registerbaserade randomi- serade kliniska studier
I figur 6.2 visas hur de centrala begreppen förhåller sig till varandra. Beroende på vilken typ av klinisk forskning som genomförs gäller olika regler, vilket utvecklas i avsnitt 6.4.
Figur 6.1 Begreppstruktur
Källa: Vetenskapsrådet,
3Vetenskapsrådet,
191
Forskning |
SOU 2023:76 |
6.2.1Forskningsbegrepp i lagstiftningen
Forskning återkommer som begrepp i olika former i lagstiftning. Det är för utredningen relevant att titta på hur forskning används i olika lagar och särskilt de lagar som har relevans inom den kliniska forsk- ningen.
I 2 § lagen (2003:460) om etikprövning av forskning som avser människor, förkortad etikprövningslagen, finns en definition av be- greppet forskning i förhållande till den lagen. Där anges att med forsk- ning avses vetenskapligt experimentellt eller teoretiskt arbete eller vetenskapliga studier genom observation, om arbetet eller studierna görs för att hämta in ny kunskap, och utvecklingsarbete på veten- skaplig grund, dock inte sådant arbete eller sådana studier som utförs endast inom ramen för högskoleutbildning på grundnivå eller på avan- cerad nivå.
I 7 kap. 5 § 2 PDL anges ändamålet forskning inom hälso- och sjuk- vården som ett av ändamålen för vilken personuppgifter i kvalitetsregis- ter får behandlas. Av förarbetena framgår att det med detta begrepp avses forskning inom hälso- och sjukvårdsområdet. Begreppet omfattar både klinisk forskning och preklinisk forskning, men begreppet är bredare än så. Att det talas om hälso- och sjukvårdsområdet innebär att forskningen kan avse även sådana frågor som inte uteslutande tar sikte på medicinsk forskning. Till hälso- och sjukvårdsområdet hör också exempelvis hälsoekonomiska frågor (se prop. 2007/08:126 s. 259). Begreppet ska inte förstås så att forskningen måste bedrivas fysiskt inom hälso- och sjukvården. Forskningen kan således utföras inte bara av sjukvårdshuvudmännen utan också av till exempel universitet och företag.
Antalsberäkning är ett vanligt begrepp inför klinisk forskning. Sådan beräkning innebär att på förfrågan, inför planerad klinisk forsk- ning, beräkna hur många personer som uppfyller vissa i förväg upp- ställda kriterier och som därmed kan komma att ingå i forskningen. Antalsberäkning har länge utförts inom hälso- och sjukvården men det har varit ifrågasatt huruvida det funnits rättsligt stöd för sådan personuppgiftsbehandling. Genom en nyligen gjord lagändring i PDL, har ett rättsligt stöd för den personuppgiftsbehandling som är nödvän- dig vid antalsberäkning införts (se 2 kap. 4 § första stycket 7 PDL4). Vidare har en definition införts i PDL av begreppet ”antalsberäkning
4SFS 2023:167.
192
SOU 2023:76 |
Forskning |
inför klinisk forskning” (1 kap. 3 § PDL). I förarbetena anges i för- hållande till att det ska vara fråga om antalsberäkning inför klinisk forskning, att detta innebär att det ska vara fråga om forskning som förutsätter vårdens strukturer och resurser. Sådan forskning kan ha som mål att lösa ett hälsoproblem eller identifiera faktorer som leder till förbättrad hälsa. Den utgår från de behov som finns i hälso- och sjukvården och förväntas leda till patient- och samhällsnytta. Klinisk forskning kan utföras av forskare, anställda inom hälso- och sjuk- vården, universitet och högskola, eller företag (prop. 2022/23:31 s. 56).
I 18 kap. 2 § hälso- och sjukvårdslagen (2017:30), förkortad HSL, anges att regioner och kommuner ska medverka vid finansiering, planering och genomförande av dels kliniskt forskningsarbete på hälso- och sjukvårdens område, dels folkhälsovetenskapligt forskningsarbete (se vidare prop. 1996/97:5 s. 181 och 185).
I 24 kap. 8 § OSL stadgas att sekretess gäller i sådan särskild verk- samhet hos myndighet som avser framställning av statistik för upp- gift som avser enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. I tredje stycket anges att uppgift som behövs för forsknings- eller statistikändamål och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhåll- ande är direkt hänförlig till den enskilde får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Vad som avses med forsk- ning i detta sammanhang har inte preciserats i lagtexten. I förarbetena till motsvarande bestämmelse i den tidigare gällande sekretesslagen (1980:100) sägs om detta undantag endast att det kan finnas behov av att genombryta sekretessen i vissa särskilda fall, såsom för forsk- ning om yrkessjukdomar (prop. 1979/80:2, Del A s. 264).
Begreppet forskning förekommer även i lag (2016:1145) om offent- lig upphandling men begreppet är inte närmare definierat. Det är upp till rättstillämpningen att i varje enskilt fall pröva vad som utgör forsk- ning i lagens bemärkelse.
I EU:s dataskyddsförordning definieras inte begreppet forskning. I förordningen används beteckningen ”vetenskapliga och historiska forskningsändamål”. Till ledning för tolkningen av detta begrepp an- ges det i skäl 159 i förordningen att begreppet vetenskapliga forsknings- ändamål bör ges en vid tolkning och omfatta till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning. Även studier som utförs av ett allmänt
193
Forskning |
SOU 2023:76 |
intresse inom folkhälsoområdet bör omfattas av begreppet. Enligt för- ordningens skäl 160 omfattar historiska forskningsändamål historiska och genealogiska ändamål. Regeringen har gjort bedömningen att forskning enligt etikprövningslagen omfattas av dataskyddsförord- ningens begrepp forskningsändamål (se prop. 2018/19:165 s. 19).
I 4 kap. 3 § lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning anges att personuppgifter som behandlas enbart för forskningsändamål får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. För begreppet forsk- ningsändamål hänvisas i förarbetena till dataskyddsförordningen (se prop. 2017/18:298 s. 29).
I artikel 2.2 i Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av human- läkemedel och om upphävande av direktiv 2001/20/EG, förkortad CTR5, definieras klinisk prövning i förhållande till den
I artikel 2.44 Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om änd- ring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och för- ordning (EG) nr 1223/2009 och om upphävande av rådets direk- tiv 90/385/EEG och 93/42/EEG, förkortad MDR6, definieras klinisk prövning i förhållande till den
5Efter engelskans Clinical Trial Regulation.
6Efter engelskans Medical Devices Regulation.
7Efter engelskans In Vitro Diagnostic Regulation.
194
SOU 2023:76 |
Forskning |
kliniska prestanda. På
6.3Ansvaret för forskning
Inom det offentliga sker forskning av staten, regioner och kommuner. Forskning sker också i stor utsträckning hos privata aktörer. Nedan följer en övergripande beskrivning av ansvarsfördelning och centrala förhållanden kring forskningens organisation.
6.3.1Statens ansvar
Staten ansvarar för att bedriva och finansiera forskning. Uppgiften att bedriva forskning för staten sker genom statliga universitet och hög- skolor men också genom andra statliga myndigheter. Staten har även det primära ansvaret för forskning och utbildning på vårdområdet genom de statliga universiteten.8
För universitet och högskolor med staten som huvudman finns det bestämmelser i högskolelagen (1992:1434) som reglerar sådan verk- samhet. I 1 kap. 2 § högskolelagen anges forskning som en av hög- skolornas uppgifter. I 1 kap. 3 a § samma lag ställs det krav på att vetenskapens trovärdighet och god forskningssed värnas i verksam- heten. Andra statliga myndigheter, utöver universitet och högskolor, kan ägna sig åt forskning beroende på vilket uppdrag och vilka upp- gifter som har ålagts respektive myndighet i gällande rätt. Flera myn- digheter har en förordningsreglerad uppgift som omfattar forskning. Uppgiften att forska kan även regleras på annat sätt, till exempel direkt i lag eller genom särskilda regeringsbeslut.9
Utöver att bedriva forskning ansvarar staten också för att finan- siera forskning. Exempel på myndigheter som har till uppdrag att bidra med finansiering av forskning är Forskningsrådet för arbetsliv, hälsa och välfärd (Forte), Vetenskapsrådet och Verket för innovations- system (Vinnova).
8Se även SOU 2021:80, s. 193.
9Se även SOU 2018:36 s. 244.
195
Forskning |
SOU 2023:76 |
6.3.2Regionernas och kommunernas ansvar
Regioner och kommuner ska enligt 18 kap. 2 § HSL medverka vid finansiering, planering och genomförande av dels kliniskt forsknings- arbete på hälso- och sjukvårdens område, dels folkhälsovetenskapligt forskningsarbete. Regioner och kommuner ska i dessa frågor, i den omfattning som behövs, samverka med varandra och med berörda universitet och högskolor. Bestämmelsen infördes för att klargöra att landstingen (i dag regionerna) har en rätt och ett ansvar att bedriva denna typ av forskning. Samtidigt poängterades att huvudansvaret för forskningen fortsatt åvilar staten, främst genom universitet och högskolor (prop. 1996/97:5 s. 184).
När det gäller kommuner och regioner kan forskningsuppgiften också vara fastställd genom beslut om verksamheten i kommunen eller regionen som fattats av fullmäktige i enlighet med bestämmel- serna i kommunallagen.10
Regionerna finansierar den kliniska forskningen dels via
10Se även SOU 2018:36, s. 245.
11Avtal om Läkarutbildning och Forskning, som reglerar statens ersättning till regionerna för vissa kostnader i samband med utbildning och medicinsk forskning.
196
SOU 2023:76 |
Forskning |
ningen enligt vad som föreskrivs i avtalet. Närmare reglering sker genom regionala avtal mellan respektive region och universitet.12 Reger- ingskansliet har för närvarande tillsatt en särskild utredare att ta fram ett underlag inför en omförhandling av
6.3.3Övriga aktörer
Forskning bedrivs även av andra aktörer än staten, regioner och kom- muner såsom av privaträttsliga organisationer i form av exempelvis bolag, stiftelser och föreningar. Privata aktörer bedriver till exempel många läkemedelsprövningar och kliniska prövningar av medicintek- niska produkter.
När det gäller universitet och högskolor finns utöver de statliga universiteten och högskolorna även ett antal enskilda utbildnings- anordnare, det vill säga högskolor som drivs av andra aktörer än staten, till exempel av stiftelser eller föreningar. Regeringen har gett dessa utbildningsanordnare rätt att utfärda högskoleexamina enligt den svenska examensordningen. Exempel på enskilda utbildningsanord- nare är Stiftelsen Chalmers tekniska högskola, Handelshögskolan i Stockholm och Högskolan i Jönköping. Verksamheten för enskilda utbildningsanordnare regleras i lagen (1993:792) om tillstånd att ut- färda vissa examina. Utbildningen ska vila på vetenskaplig eller konst- närlig grund och på beprövad erfarenhet samt bedrivas så att den i övrigt uppfyller krav som ställs på utbildning i första kapitlet högskole- lagen. För varje examen som tillståndet avser ska utbildningen uppfylla de särskilda krav som gäller för denna examen enligt examensordningen i bilaga 2 till högskoleförordningen. Övriga delar av högskolelagen och högskoleförordningen gäller inte för enskilda utbildningsanordnare. (SOU 2017:104 s. 136). Sådana enskilda utbildningsanordnare bedriver även forskning i stor utsträckning, både i egen regi och i samverkan med andra aktörer.
12Se även SOU 2017:104 s. 244.
197
Forskning |
SOU 2023:76 |
6.4Regler vid klinisk forskning
6.4.1Inledning
Flera olika regler kan bli tillämpliga beroende på vad den kliniska forsk- ningen innefattar. Nedan görs en övergripande beskrivning av de för utredningen mest centrala reglerna.
6.4.2Internationellt
Helsingforsdeklarationen
Internationella forskningsetiska riktlinjer för medicinsk forskning på människor finns i Helsingforsdeklarationen om etiska principer för medicinsk humanforskning, fastställd av World Medical Asso- ciation, förkortad Helsingforsdeklarationen. Helsingforsdeklarationen innehåller grundläggande etiska principer som ska gälla vid medicinsk forskning som omfattar människor. Reglerna gäller också forskning som innefattar mänskligt material som är kopplat till viss person eller personuppgifter. Helsingforsdeklarationen är inte juridiskt bindande men har haft stor inverkan på lagstiftningen.
Europarådets konvention om mänskliga rättigheter och biomedicin
Europarådets konvention om de mänskliga rättigheterna och biomedi- cin, här kallad biomedicinkonventionen, har betydelse på forsknings- området. Sverige har inte ratificerat konventionen, vilket innebär att den inte är bindande för Sverige, men den har ändå påverkat utform- ningen av den svenska lagstiftningen. Biomedicinkonventionens syfte är att skydda människor, integritet och andra fri- och rättigheter vid tillämpningen av biologi och medicin. Konventionen omfattar dels åt- gärder inom hälso- och sjukvårdsområdet, dels forskning på människor.
Biomedicinkonventionen kompletteras av Europarådets rekom- mendation (CM/Rec[2016]6) om forskning på biologiskt material av mänskligt ursprung som beslutades i maj 2016. Rekommendationen innehåller principer för hur vävnadsprover får samlas in och bevaras för forskningsändamål och hur humanbiologiskt material som samlats in eller bevarats för något annat ändamål får användas i forskning. Här
198
SOU 2023:76 |
Forskning |
finns bland annat rekommendationer om sekretess, informerat sam- tycke, strukturerad förvaring av vävnadsprover och forskningsper- soners rätt att informeras om forskningsresultat som kan vara rele- vanta för deras hälsa.
Good Clinical Practice (GCP)
Good Clinical Practice (GCP), på svenska god klinisk sed, är en internationell etisk och vetenskaplig kvalitetsstandard för utformning, genomförande, registrering och rapportering av prövningar som in- volverar deltagande av försökspersoner. Efterlevnad av denna standard ger allmänheten garantier för att försökspersonernas rättigheter, säker- het och välbefinnande skyddas, i enlighet med de principer som har sitt ursprung i Helsingforsdeklarationen, och att data från kliniska prövningar är trovärdiga. Syftet med
6.4.3Lag om ansvar för god forskningssed och prövning av oredlighet i forskning
Lag (2019:504) om ansvar för god forskningssed och prövning av oredlighet i forskning innehåller bestämmelser om forskares och forsk- ningshuvudmäns ansvar för att forskning utförs i enlighet med god forskningssed och bestämmelser om förfarandet vid prövning av frågor om oredlighet i forskning.
Forskningshuvudman är enligt lagens definition en statlig myndig- het eller en fysisk eller juridisk person i vars verksamhet forskning utförs, se 2 §. I samma paragraf definieras oredlighet i forskning som en allvarlig avvikelse från god forskningssed i form av fabricering,
13https://ichgcp.net/.
199
Forskning |
SOU 2023:76 |
förfalskning eller plagiering som begås med uppsåt eller av grov oakt- samhet vid planering, genomförande eller rapportering av forskning.
Det finns inte någon definition av begreppet god forskningssed i författning. I förarbetena till lagen sägs att vad som utgör god forsk- ningssed ofta är fastställt i kodexar och policydokument och kan variera mellan olika forskningsområden samt att det kan finnas lagkrav som måste följas. Begreppet kan sägas innefatta de samlade etiska kraven på hur forskning bör bedrivas (se prop. 2018/19:58 s. 99).
I 3 § framgår vilka utförares forskning som lagen tillämpas på. Uppräkningen i paragrafen omfattar bland annat universitet och hög- skolor som har staten som huvudman och omfattas av högskole- lagen, andra statliga myndigheter samt kommuner och regioner.
I 4 § framgår forskarens ansvar att följa god forskningssed. I 5 § finns bestämmelse om forskningshuvudmannens ansvar för att forsk- ningen utförs enligt god forskningssed.
I 7 § anges att en särskild nämnd ska pröva frågor om oredlighet i forskning och hur sådana ärenden inleds. Nämndens beslut i ärenden om oredlighet i forskning ska redovisas i ett beslut enligt 9 §. Sådana beslut kan överklagas enligt 21 §. Om nämnden har fattat ett beslut om att det har förekommit oredlighet i forskning, eller det framgår av ett beslut av nämnden att det har förekommit en allvarlig avvikelse från god forskningssed i form av fabricering, förfalskning eller plagier- ing utan att uppsåt eller grov oaktsamhet har kunnat konstateras, ska forskningshuvudmannen inom sex månader efter att beslutet har vunnit laga kraft rapportera till nämnden vilka åtgärder huvudmannen har vid- tagit eller avser att vidta med anledning av beslutet enligt 13 §. Forsk- ningshuvudmannen ska också snarast efter att beslutet har fattats underrätta intressenter, se 14 §.
Bestämmelser om behandling av personuppgifter enligt lagen finns i
6.4.4Lag om etikprövning av forskning som avser människor
Tillämpningsområde och centrala begrepp
Vid forskning inom hälso- och sjukvårdsområdet blir lagen (2003:460) om etikprövning av forskning som avser människor, förkortad EPL, ofta tillämplig. Lagen innehåller bestämmelser om etikprövning av forskning som avser människor och biologiskt material från män-
200
SOU 2023:76 |
Forskning |
niskor. Den innehåller också bestämmelser om samtycke till sådan forskning. Syftet med lagen är att skydda den enskilda människan och respekten för människovärdet vid forskning (1 § EPL). Lagen tillämpas på forskning som ska utföras i Sverige (5 § EPL).
I 2 § EPL finns definitioner av ett antal centrala begrepp. Med forsk- ning avses vetenskapligt experimentellt eller teoretiskt arbete eller vetenskapliga studier genom observation, om arbetet eller studierna görs för att hämta in ny kunskap, och utvecklingsarbete på veten- skaplig grund, dock inte sådant arbete eller sådana studier som utförs endast inom ramen för högskoleutbildning på grundnivå eller på avan- cerad nivå. Forskningshuvudman är en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs. Med forsk- ningsperson menas en levande människa som forskningen avser.
Enligt 4 § ska EPL tillämpas på forskning som:
–innebär ett fysiskt ingrepp på en forskningsperson,
–utförs enligt en metod som syftar till att påverka forsknings- personen fysiskt eller psykiskt eller som innebär en uppenbar risk att skada forskningspersonen fysiskt eller psykiskt,
–avser studier på biologiskt material som har tagits från en levande människa och kan härledas till denna människa,
–innebär ett fysiskt ingrepp på en avliden människa, eller
–avser studier på biologiskt material som har tagits för medicinskt ändamål från en avliden människa och kan härledas till denna människa.
EPL ska också tillämpas på forskning som innefattar behandling av personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter), eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (3 § EPL).
EPL tillämpas inte på kliniska prövningar eller prestandastudier som omfattas av CTR, MDR eller IVDR. Detta framgår av 4 a och 4 b §§ EPL. Bestämmelser om etisk granskning finns i stället i lagen (2018:1091) med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel och i lagen (2021:603) med kompletterande bestämmelser om etisk gransk- ning till EU:s förordningar om medicintekniska produkter.
201
Forskning |
SOU 2023:76 |
Etikprövning och godkännande
Enligt 6 § EPL får forskning som omfattas av EPL utföras bara om den har godkänts vid en etikprövning. Ett godkännande får förenas med villkor. Ett godkännande ska avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning. Forsk- ningen får innefatta behandling av sådana personuppgifter som avses i 3 § bara om behandlingen har godkänts vid etikprövningen.
I
Information och samtycke
Vid forskning på levande människor eller biologiskt material från levande människor (jämför 4 §
Forskningspersonen ska informeras om den övergripande planen för forskningen, syftet med forskningen, metoder som kommer att användas, de följder och risker som forskningen kan medföra, vem som är forskningshuvudman, att deltagande i forskningen är frivilligt, och forskningspersonens rätt att när som helst avbryta sin medverkan (16 § EPL).
Som huvudregel får forskning bara utföras om forskningspersonen har samtyckt till den forskning som avser henne eller honom, enligt 17 § EPL. Ett samtycke gäller bara om forskningspersonen dess- förinnan har fått information om forskningen enligt 16 §. Samtycket ska vara frivilligt, uttryckligt och preciserat till viss forskning. Sam- tycket ska dokumenteras. Enligt 19 § EPL kan ett samtycke när som helst tas tillbaka med omedelbar verkan. De data som har hämtats in
202
SOU 2023:76 |
Forskning |
dessförinnan får dock användas i forskningen. Det ska framhållas att samtycke till att delta i forskning inte är samma sak som samtycke som rättslig grund för behandling av personuppgifter (se vidare bilaga 3 till betänkandet, Samtycken inom vård och forskning).
Det finns särskilda regler avseende information och samtycke för forskningspersoner under 18 år (se 18 § EPL) samt för forskning där samtycke på grund av sjukdom, psykisk störning, försvagat hälso- tillstånd eller något annat liknande förhållande hos forskningspersonen hindrar att hans eller hennes mening inhämtas (se
Forskning utan samtycke
Det bör noteras att bestämmelserna i
Ansökan och beslut
Enligt 23 § EPL ska ansökan om etikprövning av forskning göras av forskningshuvudmannen. När flera forskningshuvudmän medverkar i ett och samma forskningsprojekt ska de gemensamt uppdra åt en av dem att ansöka om etikprövning av projektet för allas räkning och att informera de övriga om Etikprövningsmyndighetens beslut.
Det är Etikprövningsmyndigheten som prövar ansökningar om etikprövning av forskning (24 § EPL).
Beslut från Etikprövningsmyndigheten i ärendet om etikprövning kan, om det gått huvudmannen emot, överklagas till Överklagande- nämnden för etikprövning (36 § EPL).
14Forskning som (1) innebär ett fysiskt ingrepp på en forskningsperson, (2) utförs enligt en metod som syftar till att påverka forskningspersonen fysiskt eller psykiskt eller som innebär en uppenbar risk att skada forskningspersonen fysiskt eller psykiskt, eller (3) avser studier på bio- logiskt material som har tagits från en levande människa och kan härledas till denna människa.
203
Forskning |
SOU 2023:76 |
6.4.5
Tillämpningsområde
CTR trädde i kraft 16 juni 2014, och började tillämpas den 31 januari 2022. Svensk lag har anpassats till förordningen genom förslag i pro- positionen Anpassningar av svensk rätt till
Syftet med CTR är att förenkla förfarandet för beviljande av till- stånd för kliniska läkemedelsprövningar inom EU, speciellt i fråga om prövningar som ska ske i flera medlemsstater.
Enligt artikel 1 i CTR tillämpas den på alla kliniska prövningar som genomförs inom unionen. I artikel 2.2.2 i CTR finns en defini- tion av begreppet klinisk prövning. CTR tillämpas inte på
Etisk granskning och tillstånd
Av CTR framgår att kliniska prövningar ska genomgå vetenskaplig och etisk granskning samt godkännas i enlighet med förordningen (artikel 4).
Ansökan om tillstånd att utföra en klinisk prövning ska lämnas in av en sponsor till avsedda berörda medlemsstater via en webb- portal
Enligt 2 och 3 §§ i lagen (2018:1091) med kompletterande bestäm- melser om etisk granskning till EU:s förordning om kliniska pröv-
204
SOU 2023:76 |
Forskning |
ningar av humanläkemedel ska Etikprövningsmyndigheten genomföra etisk granskning i enlighet med vad som stadgas i
Att Läkemedelsverket prövar frågor om tillstånd att genomföra en klinisk läkemedelsprövning framgår av 7 kap. 7 § läkemedelslagen (2015:315). Tillstånd får inte meddelas om Etikprövningsmyndigheten vid den etiska granskningen har avgett ett negativt yttrande. Om Etik- prövningsmyndigheten efter sin granskning har avgett ett yttrande med villkor för prövningens genomförande ska villkoren beaktas vid tillståndsgivningen.
Beslut som Läkemedelsverket meddelat om tillstånd till klinisk läke- medelsprövning får överklagas till allmän förvaltningsdomstol.
Skydd för försökspersoner och informerat samtycke
I kapitel V i CTR finns bestämmelser om skydd för försökspersoner och informerat samtycke. I artikel 28 finns allmänna bestämmelser om villkor för när en klinisk läkemedelsprövning får genomföras. Ett krav är att försökspersonen, eller dennes lagligen utsedda ställföreträ- dare, ska ha informerats och lämnat informerat samtycke till deltagan- det i den kliniska läkemedelsprövningen i enlighet med artikel 29.
Enligt artikel 29 ska försökspersonen, eller dennes lagligen utsedda ställföreträdare, få information som gör det möjligt att förstå den kliniska prövningens karaktär, mål, nytta, konsekvenser, risker och olägenheter, samt information om rätten att vägra delta i prövningen och rätten att när som helst avbryta deltagandet i prövningen. Infor- mation ska också ges om omständigheterna kring genomförandet av den kliniska prövningen, inbegripet hur länge försökspersonen för- väntas delta i den, och information om möjliga behandlingsalternativ
205
Forskning |
SOU 2023:76 |
och eventuell uppföljning om försökspersonens deltagande i den kli- niska prövningen avbryts. Den information som ges ska vara uttöm- mande, kortfattad, tydlig, relevant och begriplig för en lekman. Infor- mationen ska tillhandahållas under en intervju med en medlem av prövningsgruppen men informationen ska även ges skriftligt. Det informerade samtycket ska vara skriftligt och undertecknas av försöks- personen. Om försökspersonen är oförmögen att skriva får samtycke ges och registreras på annat lämpligt sätt i närvaro av minst ett obero- ende vittne.
Försökspersonen, eller dennes lagligen utsedda ställföreträdare, får när som helst avsluta sitt deltagande i prövningen genom att återkalla sitt informerade samtycke enligt artikel 28.3. De data som erhållits innan samtycket återkallades får användas i prövningen.
För svenska förhållanden framgår vem den lagligen utsedda ställ- företrädaren är i 7 kap. 3 § läkemedelslagen (2015:315). Förutom de allmänna förutsättningarna i artikel 28 för att utföra kliniska läke- medelsprövningar, uppställer CTR ytterligare villkor som måste vara uppfyllda för att kliniska läkemedelsprövningar ska få utföras på icke beslutskompetenta vuxna och underåriga (se artikel 31 och 32).
I artikel 35 i CTR anges när klinisk läkemedelsprövning kan ut- föras på person i nödsituation. Enligt artikeln får informerat samtycke till att delta i en klinisk läkemedelsprövning inhämtas och information om den kliniska prövningen ges efter beslutet att inkludera försöks- personen i den kliniska prövningen, förutsatt att en rad omständig- heter föreligger.
Övrigt
Från 31 januari 2023 ska inga nya ansökningar om klinisk läkemedels- prövning enligt
206
SOU 2023:76 |
Forskning |
6.4.6
Tillämpningsområde
Kliniska prövningar av medicintekniska produkter och prestanda- studier av medicintekniska produkter för in
Medicinteknisk produkt definieras i artikel 2.1 i MDR och medicin- teknisk produkt för in
Bestämmelserna om klinisk prövning regleras i huvudsak i kapi- tel VI i MDR. I IVDR finns bestämmelser om prestandastudier i huvudsak i kapitel VI.
Etisk granskning och tillstånd
Enligt artikel 62.3 i MDR och artikel 58.3 i IVDR ska vissa kliniska prövningar och vissa prestandastudier vara föremål för vetenskaplig och etisk granskning.
En sponsor för en klinisk prövning eller en prestandastudie ska lämna en ansökan samt den dokumentation som krävs till den eller de medlemsstater där prövningen eller prestandastudien ska genom- föras (den s.k. berörda medlemsstaten). Ansökan ska lämnas in via ett elektroniskt system (som avses i artikel 73 i MDR och artikel 69 i IVDR).
I lagen (2021:603) med kompletterande bestämmelser om etisk granskning till EU:s förordningar om medicintekniska produkter framgår att Läkemedelsverket ska fatta beslut om tillstånd medan Etik- prövningsmyndigheten ska utföra den etiska granskningen. Resultatet av denna granskning ska redovisas till Läkemedelsverket inför myndig- hetens beslut i tillståndsfrågan. Den relevanta regleringen återfinns i
207
Forskning |
SOU 2023:76 |
4 § denna lag, 24 a § EPL samt i 2 kap. 4 § lag (2021:600) med kom- pletterande bestämmelser till EU:s förordningar om medicintekniska produkter. Därutöver ska Etikprövningsmyndigheten i vissa fall med- dela ett eget beslut gällande en ansökan om att få genomföra en klinisk prövning av medicintekniska produkter eller en prestandastudie av medicintekniska produkter för in
Etikprövningsmyndighetens beslut enligt 4 § lag (2021:603) med kompletterande bestämmelser om etisk granskning till EU:s förord- ningar om medicintekniska produkter kan inte överklagas (se 7 §). Etikprövningsmyndighetens beslut enligt 5 § får däremot överklagas till Överklagandenämnden för etikprövning. Beslut av Överklagande- nämnden för etikprövning får inte överklagas.
Skydd för försökspersoner och informerat samtycke
De allmänna kraven på kliniska prövningar regleras i artikel 62 i MDR och de allmänna kraven på prestandastudier i artikel 57 i IVDR.
Ett samtycke till en klinisk prövning eller en prestandastudie ska vara informerat och skriftligt (artikel 63 i MDR och artikel 59 i IVDR).
Av artikel 62.5 i MDR och artikel 58.6 i IVDR framgår att försök- spersonen, eller om försökspersonen inte kan ge ett informerat sam- tycke, hans eller hennes lagligen utsedda ställföreträdare, när som helst får avsluta deltagandet i en klinisk prövning eller prestandastudie genom att återkalla sitt informerade samtycke.
208
SOU 2023:76 |
Forskning |
I 2 kap. lagen (2021:600) med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter finns komplette- rande bestämmelser till MDR som bland annat berör informerat sam- tycke för försökspersoner vars mening inte kan inhämtas och infor- merat samtycke för försökspersoner som är underåriga.
209
7 Dataskydd
7.1Generella regler om behandling av personuppgifter
7.1.1Inledning
Utredningens författningsförslag och stora delar av betänkandet i övrigt avser hälsodata i form av personuppgifter, se avsnitt 2.7.3. Enligt utredningens direktiv ingår det i utredningens uppdrag att analysera bland annat lagstiftning rörande dataskydd. I detta kapitel görs en genomgång av dataskyddsregleringen med särskilt fokus på sådana bestämmelser som kan ha relevans för utredningens förslag.
I kapitel 3, redogör utredningen för att data är information, och att informationen kan se ut på olika sätt. Som också anges där, kan data bestå av personuppgifter men behöver inte göra det. Personupp- gifter utgör sådan information som skyddas av bestämmelser om per- sonlig integritet och regler till skydd för enskildas privatliv. Enskild har inte endast en fysisk integritet utan även en digital integritet.
Digital integritet är bland annat rätten till skydd för personupp- gifter och i andra digitala sammanhang. Ett särdrag när det gäller den digitala integriteten är att den inte lyder under geografiska gränser på samma sätt som andra delar av en persons integritet. Det regelverk som finns till skydd för personuppgifterna är således del av ett internatio- nellt system och de verktyg som används för uttolkandet av reglerna är därför inte enbart vad som följer av inhemska förarbeten och praxis.
Till de källor som är vanligast förekommande på dataskyddsområdet som inte är del av de nationella rättskällorna, kan avgöranden från
Europeiska dataskyddsstyrelsen, förkortad EDPB, är inte en dom- stol och deras uttalanden och vägledningar är formellt sett inte en rätts-
211
Dataskydd |
SOU 2023:76 |
källa. Då EDPB utgör ett oberoende organ som bland annat består av alla EU:s medlemsstaters dataskyddsmyndigheter (se bland annat skäl 139 och artiklarna
7.1.2Integritetsskydd som en grundläggande mänsklig rättighet
Förenta nationerna (FN)
I FN:s allmänna förklaring om de mänskliga rättigheterna från år 1948 finns bestämmelser om skydd för privatlivet och den personliga integ- riteten. Enligt artikel 12 får ingen utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Var och en har rätt till lagens skydd mot sådana ingripanden och angrepp. Enligt artikel 29.2 får en person som utövar sina rättigheter och friheter endast underkastas sådana inskränkningar som har fastställts i lag. Inskränkningarna får ske i syfte att trygga tillbörlig hänsyn till och respekt för andras rättig- heter och friheter samt för att tillgodose ett demokratiskt samhälles berättigade krav på moral, allmän ordning och allmän välfärd. Den all- männa förklaringen inte formellt bindande, men ett uttryck för sed- vanerätt.
Inom FN har det också utarbetats en internationell konvention om medborgerliga och politiska rättigheter. Sverige anslöt sig till kon- ventionen 1971. I artikel 17 upprepas vad som anges i artikel 12 i den allmänna förklaringen.
FN:s generalförsamling antog 1990 riktlinjer om datoriserade regis- ter med personuppgifter. I riktlinjerna finns tio grundläggande prin- ciper som medlemsstaterna ska ta hänsyn till vid lagstiftning avseende datoriserade register med personuppgifter.
212
SOU 2023:76 |
Dataskydd |
Dataskyddskonventionen
Europarådets ministerkommitté antog 1980 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av personupp- gifter (dataskyddskonventionen). Konventionen trädde i kraft år 1985. Dataskyddskonventionen är den enda rättsligt bindande multilaterala avtalet som specifikt avser personuppgiftsskydd. Samtliga
Enligt dataskyddskonventionen krävs att parterna vidtar nödvän- diga åtgärder i sin nationella lagstiftning för att säkerställa respekt för alla enskildas mänskliga rättigheter när det gäller behandling av personuppgifter (artikel 4). Av artikel 5 framgår att personuppgifts- behandling ska vila på laglig grund och att ett antal grundläggande principer ska följas, bland annat att personuppgifter ska inhämtas och behandlas på ett korrekt och lagligt sätt och för särskilt angivna ända- mål. Personuppgifter får, enligt samma bestämmelse, som huvudregel sedan inte användas på ett sätt som är oförenligt med dessa ändamål. Det finns även regler om till exempel särskilda kategorier av person- uppgifter1, säkerhetsåtgärder och överföring av uppgifter över lands- gränser (artiklarna 6, 7 och 14).
Konventionen har varit en viktig inspirationskälla vid utformningen av dataskyddslagstiftning inom EU. Dataskyddskonventionen upp- daterades år 20182, bland annat i syfte att anpassas till den tekniska utvecklingen och dataskyddsförordningens ikraftträdande.
Europarätt
Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, förkortad Europakonventionen, inne- håller också bestämmelser om skydd för privatlivet och den personliga integriteten. Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens (artikel 8.1). Offentlig myndighet får inte ingripa i denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till den nationella säkerheten, den allmänna säkerheten eller landets ekonomiska välstånd,
1Såsom genetiska data, biometriska data, uppgifter som avslöjar etniskt ursprung, politiska åsikter, religiös tro eller annan övertygelse, hälsa och sexualliv.
2Protokollet om ändring av konvention 108, antagen av Europarådets ministerkommitté den
18maj 2018.
213
Dataskydd |
SOU 2023:76 |
till förebyggande av oordning eller brott, till skydd för hälsa eller moral eller till skydd för andra personers fri- och rättigheter (artikel 8.2). Europakonventionen är svensk lag.3 Ingen lag eller föreskrift får med- delas i strid med Sveriges åtaganden enligt Europakonventionen (2 kap. 19 § regeringsformen).
I anslutning till Europakonventionen har Europarådets minister- kommitté antagit rekommendationer för behandling av personuppgifter på vissa områden. Av relevans för denna utredning är Recommendation No. R (97) 5 of the Committee of Ministers to Member States on the Protection of Medical Data4, som antogs i syfte att förtydliga vad som gäller för den särskilda kategorin av personuppgifter som rör hälsa (hälsouppgifter), se artikel 6 i Konventionen om skydd för en- skilda vid automatisk databehandling av personuppgifter Rekommen- dationen No. R (97) 5 är tillämplig på insamling och automatiserad behandling av hälsouppgifter.
Även Europeiska unionens stadga om de grundläggande rättig- heterna, förkortad rättighetsstadgan, innehåller bestämmelser om skydd för den personliga integriteten. Rättighetsstadgan är bindande för EU:s medlemsstater.
Av artikel 3 framgår att var och en har rätt till fysisk och mental integ- ritet. Inom medicin och biologi ska i synnerhet följande respekteras:
a)Den berörda personens fria och informerade samtycke, på de villkor som föreskrivs i lag.
b)Förbud mot rashygieniska metoder, i synnerhet sådana som syftar till urval av människor.
c)Förbud mot att låta människokroppen och dess delar i sig utgöra en källa till ekonomisk vinning.
d)Förbud mot reproduktiv kloning av människor.
Var och en har också rätt till respekt för sitt privat- och familjeliv (arti- kel 7).
Vidare anges i artikel 8 rättighetsstadgan att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Dessa upp-
3Lag (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättig- heterna och de grundläggande friheterna.
4Council of Europe, Recommendation No. R (97) 5 of the Committee of Ministers to Member States on the Protection of Medical Data, antaget 13 februari 1997 av Europarådets minister- kommitté.
214
SOU 2023:76 |
Dataskydd |
gifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Det anges också att var och en har rätt att få tillgång till insam- lade uppgifter som rör honom eller henne och att få rättelse av dem.
I artikel 52.1 rättighetsstadgan anges att varje begränsning i ut- övandet av de rättigheter och friheter som erkänns i denna stadga ska vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter och friheter. Begränsningar får, med beaktande av propor- tionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.
Svensk rätt
Enligt 2 kap. 6 § andra stycket regeringsformen (förkortad RF), är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållan- den. Bestämmelsen infördes år 2010 och innebar ett utvidgat grund- lagsskydd för enskildas personliga förhållanden.
I förarbetena till bestämmelsen anförs att respekten för individens självbestämmande är grundläggande i en demokrati. Samt att det genom att stärka skyddet för den personliga integriteten på grundlagsnivå, utan att skyddsintresset i första hand ska värderas utifrån intresset av att skydda den fria åsiktsbildningen, betonas vikten av respekt för indi- videns rätt att själv förfoga över och ta ställning till det allmännas till- gång till information som rör hans eller hennes privata förhållanden på ett tydligare sätt än vad som tidigare har skett (prop. 2009/10:80 s. 176).
Grundlagsskyddet omfattar endast betydande integritetsintrång och i förarbetena betonas att grundlagsbestämmelsen bara omfattar vissa kvalificerade intrång i den personliga integriteten. Vid bedömningen av hur ingripande intrånget i den personliga integriteten kan anses vara i samband med insamling, lagring och bearbetning eller utläm- nande av uppgifter om enskildas personliga förhållanden är det naturligt att stor vikt läggs vid uppgifternas karaktär. Ju känsligare uppgifterna är, desto mer ingripande måste det allmännas hantering av uppgifterna normalt anses vara. Även hantering av ett litet fåtal uppgifter kan med
215
Dataskydd |
SOU 2023:76 |
andra ord innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär (prop. 2009/10:80 s. 183).
I förarbetena anges vidare att mängden uppgifter givetvis också kan vara en viktig faktor i sammanhanget. Det anges också att kon- stitutionsutskottet i flera lagstiftningsärenden som rört myndigheters behandling av personuppgifter framhållit att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag och att regeringen vid åt- skilliga tillfällen har instämt i denna bedömning (prop. 2009/10 s. 183).
Av förarbetena framgår också att uppgifternas karaktär och om- fattning endast utgör två faktorer som ska beaktas vid bedömningen av vad som kan anses utgöra ett betydande intrång. Exempel på andra omständigheter som bör vägas in är ändamålet med behandlingen av uppgifterna och omfattningen av utlämnandet av uppgifter till andra som sker utan omedelbart stöd av offentlighetsprincipen. Vidare anges att frågan om vad som utgör ett betydande integritetsintrång måste bedömas utifrån de samhällsvärderingar som råder vid varje givet till- fälle. Dessa kan påverkas av en rad omständigheter, inte minst av den fortsatta tekniska utvecklingen men även av andra förhållanden i vår omvärld. (prop. 2009/10 s. 184 och s. 185).
När det gäller frågan om samtycke anförs i förarbetena att det ut- vidgade integritetsskyddet bör ta sikte på sådana åtgärder som den enskilde själv inte kan få kännedom om eller påverka genom ett krav på frivilligt godkännande. Om åtgärden däremot förutsätter den en- skildes godkännande, kan det intrång som åtgärden innebär normalt inte anses vara av så allvarlig beskaffenhet att den bör omfattas av ett stärkt grundlagsskydd. Detta gäller oberoende av vilka slags uppgifter åtgärden eller behandlingen avser (prop. 2009/10 s.
Vid bedömningen av om en åtgärd ska anses innebära övervakning eller kartläggning är det, enligt förarbetena, inte åtgärdens huvudsakliga syfte utan vilken effekt åtgärden har, som är avgörande. Exempelvis kan en åtgärd från det allmännas sida som vidtas primärt i syfte att ge myndigheterna underlag för beslutsfattande i enskilda ärenden i många fall anses innebära kartläggning av enskildas förhållanden, även om kartläggning inte är avsikten. Ett annat exempel är de myndig- hetsspecifika verksamhetsregister och databaser med information som är knuten till en myndighets ärendehantering som förekommer inom i stort sett all statlig och kommunal förvaltning. Uppgifterna är i fler- talet fall tillgängliga för myndigheterna på sådant sätt att lagringen
216
SOU 2023:76 |
Dataskydd |
och behandlingen av uppgifterna kan sägas innebära att enskilda kart- läggs, även om det huvudsakliga ändamålet med behandlingen är ett något helt annat. Med hänsyn till dagens snabba tekniska utveckling ligger det i sakens natur att nya metoder kommer att utvecklas som möjliggör övervakning och kartläggning i andra former än vad som för närvarande är möjligt (prop. 2009/10 s.
Med enskildas personliga förhållanden avses, enligt förarbetena, vitt skilda slag av information som är knuten till den enskildes person, till exempel uppgifter om namn och andra personliga identifikations- uppgifter, adress, familjeförhållanden, hälsa och vandel. Uttrycket avses ha samma innebörd som i tryckfrihetsförordningen, förkortad TF, och offentlighets- och sekretesslagen (2009:400), förkortad OSL. Även fotografisk bild samt uppgifter som inte är direkt knutna till den en- skildes privata sfär, till exempel uppgift om anställning och uppgift om en persons ekonomi, omfattas av uttrycket personliga förhållanden (prop. 2009/10:80 s. 177).
Det skydd för den personliga integriteten som grundlagsbestäm- melsen 2 kap. 6 § andra stycket RF innebär är inte absolut, utan kan under vissa förutsättningar begränsas med hänsyn till andra mot- stående intressen. En sådan begränsning får endast ske genom lag (2 kap. 20 § första stycket 2 RF). Det ställs också krav på att begräns- ningarna ska vara nödvändiga för att tillgodose ändamål som är god- tagbara i ett demokratiskt samhälle. En begränsning får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Vidare får begränsningen inte göras enbart på grund av politisk, religiös, kul- turell eller annan sådan åskådning (2 kap. 21 § RF).
Av förarbetena framgår att en önskad följd av regleringen bland annat är att lagstiftaren tydligt ska redovisa vilka avvägningar som gjorts vid proportionalitetsbedömningen. Detta kan förväntas öka förutsättningarna för att avvägningarna i fråga om integritetsintrånget blir mer ingående belysta och att de presenteras på ett sådant sätt att kvaliteten i lagstiftningen höjs ytterligare (prop. 2009/10:80 s. 177).
217
Dataskydd |
SOU 2023:76 |
7.1.3Allmänt om EU:s dataskyddsförordning
Syfte och tillämpningsområde
Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på be- handling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförord- ning), förkortad dataskyddsförordningen eller EU:s dataskyddsför- ordning. Från och med den 25 maj 2018 trädde dataskyddsförord- ningens bestämmelser i kraft.
Dataskyddsförordningen utgör den generella regleringen av person- uppgiftsbehandling inom EU. Att dataskyddsförordningen är en EU- förordning innebär att den är direkt tillämplig i varje medlemsstat. Även om dataskyddsförordningen är direkt tillämplig innehåller den många bestämmelser som förutsätter eller ger utrymme för komplet- terande nationella bestämmelser av olika slag. Förordningen har där- med i vissa delar en direktivliknande karaktär.
För att säkerställa en enhetlig skyddsnivå över hela unionen och undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden behövs, enligt skälen till förordningen, en förordning som skapar rättslig säkerhet och öppenhet för ekonomiska aktörer och som ger fysiska personer i alla medlemsstater samma rätts- ligt verkställbara rättigheter och skyldigheter samt ålägger personupp- giftsansvariga och personuppgiftsbiträden samma ansvar (skäl 13). En- ligt artikel 1 i dataskyddsförordningen är syftet med förordningen att skydda fysiska personers grundläggande rättigheter och friheter, sär- skilt deras rätt till skydd av personuppgifter. Vidare anges att det fria flödet av personuppgifter inom unionen varken får begränsas eller förbjudas av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter.
Dataskyddsförordningen syftar således till att skydda fysiska per- soners grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter samtidigt som den syftar till att få till stånd ett fritt flöde av personuppgifter inom EU som inte begränsas av data- skyddsskäl. Rätten till skydd av personuppgifter är som nämnts ovan, inte en absolut rättighet. Rättigheten måste förstås utifrån sin kontext i samhället och vägas mot andra grundläggande rättigheter utifrån en proportionalitetsbedömning (skäl 4).
218
SOU 2023:76 |
Dataskydd |
Dataskyddsförordningen ska tillämpas på all helt eller delvis auto- matiserad (automatisk) behandling av personuppgifter. Detta gäller oavsett om personuppgifterna finns i ett register eller inte.
Dataskyddsförordningen ska dessutom tillämpas på manuell (icke- automatisk) behandling av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.1). Detta innebär till exempel att data- skyddsförordningen gäller behandling av personuppgifter i löpande text i en dator eller bilder på individer i skannade dokument. Data- skyddsförordningen har alltså ett brett tillämpningsområde.
Grundläggande begrepp
Nedan följer en kort beskrivning av några av de mest grundläggande begreppen i dataskyddsförordningen.
Personuppgifter
Med personuppgifter avses varje upplysning som avser en identi- fierad eller identifierbar fysisk person (det är detta som avses med begreppet registrerad) (artikel 4.1). Redan ordalydelsen tyder på att en vid tolkning ska göras (”varje upplysning”). Exempel på person- uppgifter är namn, adress och personnummer. Andra upplysningar som identifierar en fysisk person kan vara identifikationsnummer, lokaliseringsuppgift eller onlineidentifikatorer (till exempel
Information som är specifik för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet kan utgöra personuppgifter. Bilder på och ljudupptagningar av individer kan vara personuppgifter, även om inga namn nämns. Av- görande är att uppgiften, enskilt eller i kombination med andra upp- gifter, kan knytas till en levande person.
Värt att notera är att uppgifter om avlidna fysiska personer inte utgör personuppgifter enligt dataskyddsförordningen (skäl 27). Defini- tionen av personuppgifter omfattar därför enbart levande fysiska per- soner.
219
Dataskydd |
SOU 2023:76 |
Pseudonymisering och anonymisering
Dataskyddsförordningen är även tillämplig på pseudonymiserade upp- gifter. Med pseudonymisering avses åtgärder som innebär att person- uppgifterna inte längre direkt kan hänföras till en specifik registrerad utan att kompletterande information används (artikel 4.5). Även om man har kodat, krypterat eller på annat sätt pseudonymiserat upp- gifterna är de personuppgifter i dataskyddsförordningens mening så länge de kan hänföras till en identifierbar fysisk person med hjälp av kompletterande uppgifter.
För att avgöra om en fysisk person är identifierbar bör alla hjälp- medel som rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen, beaktas.
För att fastställa om hjälpmedel med rimlig sannolikhet kan komma att användas för att identifiera den fysiska personen bör samtliga objek- tiva faktorer beaktas, såsom kostnader och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behand- lingen som den tekniska utvecklingen (skäl 26). Det krävs inte att den personuppgiftsansvarige själv förfogar över de uppgifter som gör iden- tifieringen möjlig. Till stöd för bedömningen kan den praxis som finns från
När det gäller anonymiserade uppgifter är dataskyddsförordningen inte tillämplig. Med anonymiserade uppgifter avses uppgifter som inte ens med kompletterande information kan hänföras till en viss individ. Någon koppling till individen ska inte rimligen kunna skapas. Det innebär att dataskyddsförordningen inte gäller vid behandling av ano-
220
SOU 2023:76 |
Dataskydd |
nymiserad information inom till exempel forskning eller för statistiska ändamål (skäl 26).
Behandling
I dataskyddsförordningen är ordet behandling central. En behandling är enligt dataskyddsförordningens definition en åtgärd eller kombina- tion av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utläm- ning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring (artikel 4.2). Behandling är därmed ett vidsträckt begrepp och inne- fattar allt som kan göras med personuppgifter. Så snart personuppgifter på något sätt hanteras – automatiserat eller manuellt, oberoende av teknik – är det fråga om behandling i dataskyddsförordningens mening.
Personuppgiftsansvarig och personuppgiftsbiträde
I dataskyddsförordningen finns det flera utpekade roller. Bland de som ska utföra behandlingar på personuppgifter är personuppgifts- ansvarig och personuppgiftsbiträde de två mest centrala. Något för- enklat kan sägas att personuppgiftsansvarig är den som bestämmer var- för personuppgifter ska behandlas och hur behandlingen ska gå till.
I dataskyddsförordningens definition uttrycks personuppgiftsansva- rig som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter (arti- kel 4.7). En medlemsstat har rätt att i sin nationella rätt precisera vem som är personuppgiftsansvarig. Ett exempel där personuppgiftsan- svaret pekas ut i lag är i patientdatalagen (2008:335), förkortad PDL.
I artikel 4.8 i dataskyddsförordningen beskrivs personuppgifts- biträde som en fysisk eller juridisk person, offentlig myndighet, in- stitution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. Till skillnad från den personuppgifts- ansvariga bestämmer personuppgiftsbiträdet inte för vilka ändamål eller
221
Dataskydd |
SOU 2023:76 |
hur behandlingen av personuppgifter ska gå till, utan gör detta på upp- drag av den personuppgiftsansvarige.
Känsliga personuppgifter
Med känsliga personuppgifter avses sådana personuppgifter som ut- pekas som särskilda kategorier av personuppgifter enligt artikel 9.1 i dataskyddsförordningen, det vill säga. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, liksom genetiska upp- gifter, biometriska uppgifter för att entydigt identifiera en fysisk per- son, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.
Sagda bestämmelse innehåller ett principiellt förbud mot behandling av sådana uppgifter, men också flera undantag från detta förbud, vilka följer av artikel 9.2
För utredningens del är det främst vissa av kategorierna av per- sonuppgifter som är relevanta, som uppgifter om hälsa och genetiska uppgifter. Dessa undantag återges i korthet nedan.
Bland undantagen finns ett som avser behandling som är nödvän- dig av skäl som hör samman med tillhandahållande av hälso- och sjuk- vård (artikel 9.2 h). Av artikel 9.3 framgår vidare att personuppgifter som avses i artikel 9.1 får behandlas för de ändamål som avses i arti- kel 9.2 h, när uppgifterna behandlas av eller under ansvar av en yrkes- utövare som omfattas av tystnadsplikt. Ett annat relevant undantag är det som följer av artikel 9.2 j, som medger behandling som är nöd- vändig för vetenskapliga forskningsändamål.
Vidare anges i dataskyddsförordningens skäl att personuppgifter om hälsa bör innefatta alla de uppgifter som hänför sig till en regi- strerad persons hälsotillstånd som ger information om den registre- rades tidigare, nuvarande eller framtida fysiska eller psykiska hälso- tillstånd. Detta inbegriper uppgifter om den fysiska personen som insamlats i samband med registrering för eller tillhandahållande av hälso- och sjukvårdstjänster, ett nummer, en symbol eller ett känne- tecken som den fysiska personen tilldelats för att identifiera denne för hälso- och sjukvårdsändamål. Det kan också vara uppgifter som
222
SOU 2023:76 |
Dataskydd |
härrör från tester eller undersökning av en kroppsdel eller kropps- substans, däribland genetiska uppgifter och biologiska prov, och andra uppgifter om exempelvis sjukdom, funktionshinder, sjukdomsrisk, sjukdomshistoria, klinisk behandling med mera (skäl 35).
Enligt EDPB:s riktlinjer ska uppgifter om hälsa tolkas brett och innefattar bland annat information som samlats in av en vårdgivare i en patientjournal till exempel sjukdomshistoria och resultat av under- sökningar och behandlingar.5
När det gäller genetiska uppgifter anges i dataskyddsförordningens skäl 34 att genetiska uppgifter bör definieras som personuppgifter som rör en fysisk persons nedärvda eller förvärvade genetiska känne- tecken, vilka framgår av en analys av ett biologiskt prov från den fysiska personen i fråga, framför allt
Förhållande till offentlighetsprincipen
Dataskyddsförordningen innehåller ingen definition av begreppet utlämnande. Begreppet bör ses som ett
Utlämnandebegreppet i förordningen är inte synonymt med ett utlämnande av uppgifter i allmänna handlingar enligt svensk rätt, även om viss överlappning finns. När en myndighet lämnar ut allmänna handlingar som innehåller personuppgifter, utgör själva utlämnandet en behandling av personuppgifter enligt dataskyddsförordningen. Sam- tidigt är det fråga om ett utlämnande som sker med stöd av offent- lighetsprincipen och de övriga principerna i tryckfrihetsförordningen.
Enligt förordningen måste något av villkoren i artikel 6.1 vara upp- fyllt för att behandlingen av personuppgifter ska vara tillåten. Data- skyddsförordningen innehåller därutöver specialregler för vad som kallas särskilda behandlingssituationer. Som särskilda behandlings- situationer räknas yttrande- och informationsfriheten samt allmän- hetens tillgång till allmänna handlingar.
Utrymmet för att ge offentlighetsprincipen företräde framför per- sonuppgiftsregleringen uttrycks i artikel 86. Av bestämmelsen följer att personuppgifter i allmänna handlingar får lämnas ut i enlighet med
5Riktlinjer 3/2020 om behandling av uppgifter om hälsa för vetenskapliga forskningsändamål i samband med
223
Dataskydd |
SOU 2023:76 |
nationell rätt, för att jämka samman allmänhetens rätt att få tillgång till handlingar med rätten till skydd för personuppgifter i enlighet med förordningen. Artikeln möjliggör alltså en tillämpning av tryck- frihetsförordningens reglering om allmänhetens tillgång till handlingar när det gäller allmänna handlingar som innehåller personuppgifter.
7.2Dataskyddsförordningens grundläggande principer
7.2.1Inledning
I artikel 5.1 i dataskyddsförordningen anges de grundläggande prin- ciperna för all personuppgiftsbehandling. De grundläggande princi- perna redogör för vilka allmänna krav som gäller för all personupp- giftsbehandling. Samtliga principer måste vara uppfyllda för att en behandling ska anses vara förenlig med dataskyddsförordningen. Arti- kel 5 utgör även ett kumulativt krav med artikel 6 för att en behand- ling ska anses ha rättslig grund (se prop. 2017/18:105 s. 48).
Den första principen som läggs fast i artikel 5.1 (led a) är att per- sonuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i för- hållande till den registrerade. Principen om laglighet utgör en hänvis- ning till de rättsliga grunderna i artikel 6.1. I artikel 5.1 anges vidare att personuppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att de inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål (led b). Det anges i samma led att ytterligare behandling för arkivändamål av allmänt intresse, veten- skapliga eller historiska forskningsändamål eller statistiska ändamål, under vissa förutsättningar, ska anses förenligt med de ursprungliga ändamålen. Kravet på ett specificerat ändamål anses utgöra ett ut- tryck för den så kallade finalitetsprincipen, se mer nedan. Att behand- lingar som vidtas för forskningsändamål m.m. ses som förenliga med ursprungsändamålet utgör alltså ett undantag från finalitetsprincipen.
Vidare ska uppgifterna enligt artikel 5.1 bland annat vara adekvata och korrekta och får inte förvaras under en längre tid än vad som är nödvändigt (leden c, d och e). Uppgifterna måste också behandlas på ett sätt som säkerställer lämplig säkerhet (led f).
Nedan följer en lite närmare genomgång av de principer som kan anses särskilt berörda när man talar om vidareanvändning av person- uppgifter.
224
SOU 2023:76 |
Dataskydd |
7.2.2Särskilt om principen om uppgiftsminimering
Av artikel 5.1 c följer ett krav på att personuppgifterna ska vara ade- kvata och relevanta i förhållande till ändamålen med behandlingen, samt att inte fler personuppgifter behandlas än vad som är nödvän- digt med hänsyn till ändamålen med behandlingen.
Den så kallade principen om uppgiftsminimering återfinns även på andra ställen i förordningen, exempelvis i artikel 25.1 när det talas om inbyggt dataskydd, och i artikel 89.1 om skyddsåtgärder vid be- handling av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål. Prövning av om en personuppgift behövs för en viss behandling eller inte måste göras kontinuerligt och inte bara då den samlas in och registreras. Även vid en senare hantering ska personuppgiften behövas för ändamålet med just den senare hanteringen (prop. 2007/08:126 s. 63).
7.2.3Särskilt om principen ändamålsbegränsning
Syftet med principen om ändamålsbegränsning är öppenhet, rätts- säkerhet och förutsebarhet för den registrerade. Målet är att skydda dennes integritet genom tydliga ramar för hur dennes personuppgifter får användas. Att ändamålet ska vara särskilt angivet innebär att en alltför allmänt hållen ändamålsangivelse inte godtas. Den registrerade ska kunna förstå och förutse att dennes uppgifter kommer att an- vändas på ett visst sätt.
I skäl 39 anges bland annat att de särskilda ändamål som person- uppgifterna behandlas för bör vara tydliga och legitima. De ska också ha bestämts vid den tidpunkt då personuppgifterna samlades in. Att ändamålet är tydligt angivet får särskild betydelse vid bedömning av om en rättslig grund för behandling föreligger.
Av artikel 5.1 b framgår, som angetts ovan, att ytterligare behand- ling för bland annat vetenskapliga eller historiska forskningsändamål inte ska anses oförenlig med de ursprungliga ändamålen. Skrivningen, det så kallade forskningsundantaget, innebär alltså att ytterligare be- handling för forskningsändamål är särskilt gynnad (se vidare under avsnitt 7.2.4).
225
Dataskydd |
SOU 2023:76 |
7.2.4Särskilt om finalitetsprincipen och dess undantag
Som angetts i avsnittet ovan, får personuppgifter som samlas in för särskilda, uttryckligt angivna och berättigade ändamål inte senare be- handlas på ett sätt som är oförenligt med dessa ändamål enligt den så kallade finalitetsprincipen. Om personuppgifterna behandlas ytter- ligare för bland annat vetenskapliga eller historiska forskningsändamål, anses de ändamålen inte vara oförenligt med de ursprungliga ända- målen (artikel 5.1 b).
Undantaget för historiska eller vetenskapliga forskningsändamål medför däremot inte att det går att bortse från kravet på särskilda, uttryckligt angivna och berättigade ändamål för insamlingen och den senare behandlingen. De på förhand fastställda ändamålen sätter alltså alltjämt ramarna för behandlingen (Ds Långsiktig reglering av forsk- ningsdatabaser, U2022/04089, s. 80).
Av skäl 50 till dataskyddsförordningen framgår att vid sådan vidare- behandling som inte hindras av finalitetsprincipen krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Vidare anges att om behandlingen är nöd- vändig för att fullgöra en uppgift av allmänt intresse eller som ett led i en myndighetsutövning, kan
I artikel 6.4 anges omständigheter som den personuppgiftsansvarige behöver beakta för att fastställa huruvida en behandling för andra ända- mål än det vilket personuppgifterna ursprungligen samlades in för inte ska ses som oförenliga med de ursprungliga ändamålen. Häribland nämns kopplingen mellan de ändamål som för vilka personuppgifterna samlades in och ändamålen med den avsedda ytterligare behand- lingen, sammanhanget inom vilket personuppgifterna samlades in och särskilt de registrerades rimliga förväntningar (jämför artikel 6.4 a och b samt skäl 50).
7.3Dataskyddsförordningens rättsliga grunder för behandling av personuppgifter
Dataskyddsförordningen utgår från att varje behandling av person- uppgifter måste vila på en rättslig grund. Behandling av personuppgifter får därför bara ske under de omständigheter som särskilt anges i lag-
226
SOU 2023:76 |
Dataskydd |
stiftningen. I dataskyddsförordningen räknas dessa rättsliga grunder upp i artikel 6.1. Behandling är enligt denna bestämmelse endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:
a)Den registrerade har lämnat sitt samtycke till att dennes person- uppgifter behandlas för ett eller flera specifika ändamål.
b)Behandlingen är nödvändig för att fullgöra ett avtal i vilket den regi- strerade är part eller för att vidta åtgärder på begäran av den registre- rade innan ett sådant avtal ingås.
c)Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
d)Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.
e)Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndig- hetsutövning.
f)Behandlingen är nödvändig för ändamål som rör den personupp- giftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och fri- heter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.
Uppräkningen i artikel 6.1 är uttömmande. Om inget av dessa villkor är uppfyllda är behandlingen inte laglig och får därmed inte utföras.
Den omständigheten att behandlingen är laglig enligt artikel 6.1 i dataskyddsförordningen, att den är rättsligt grundad, innebär inte att behandling kan ske av vilka uppgifter som helst eller på valfritt sätt. Den personuppgiftsansvarige måste också uppfylla kraven i övriga bestämmelser i förordningen, till exempel de allmänna principerna i artikel 5. Utredningen har valt att nedan gå igenom vissa av de rätts- liga grunderna i mer detalj, nämligen de rättsliga grunder som är rele- vanta att beröra i förhållande till utredningens förslag.
227
Dataskydd |
SOU 2023:76 |
7.3.1Särskilt om samtycke
Av artikel 6.1 a framgår att behandling av personuppgifter är tillåten om den registrerade har lämnat sitt samtycke till att dennes person- uppgifter behandlas för ett eller flera specifika ändamål.
Ett samtycke är varje slag av frivillig, specifik, informerad och otve- tydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behand- ling av personuppgifter som rör honom eller henne (artikel 4.11) (se vidare Bilaga 3 Samtycken inom vård och forskning, däri beskrivs olika relevanta typer av samtycken som finns på området).
Med frivilligt menas att den registrerade har ett genuint fritt val att medverka i behandlingen. Är situationen sådan att den registre- rade i praktiken inte kan avstå, kan samtycket inte gärna vara ”frivilligt”. Samtycke bör därför inte utgöra giltig rättslig grund för behandling av personuppgifter om det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige. Detta gäller särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar (skäl 43).
För att samtycket ska vara informerat, bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda (skäl 42). Det är bara behandling av personuppgifter för det ändamål som den registrerade blivit informerad om som samtycket kan avse.
Har den personuppgiftsansvarige informerat om att behandlingen av personuppgifterna ska gå till på visst sätt, men denne senare önskar göra på något annat sätt, måste ett nytt samtycke hämtas in.6
Om en behandling av personuppgifter stödjer sig på samtycke som rättslig grund, ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till behandlingen. Det krävs inte att sam- tycket är skriftligt, men vid tvist har den personuppgiftsansvarige bevis- bördan för att samtycke lämnats. Den registrerade ska ha rätt att när som helst kunna återkalla ett samtycke (artikel 7 dataskyddsförord- ningen).
6Öman, S., Dataskyddsförordningen (GDPR) m.m. – En kommentar, kommentaren till artikel 4, (JUNO) version:1A.
228
SOU 2023:76 |
Dataskydd |
7.3.2Särskilt om rättslig förpliktelse
Enligt den rättsliga grunden i artikel 6.1 c får personuppgifter behandlas om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
I första hand borde offentligrättsliga förpliktelser omfattas av be- greppet rättslig förpliktelse. Det finns dock även i civilrättsliga för- fattningar bestämmelser som i sig utgör eller kan medföra rättsliga skyldigheter, till exempel inom arbetsrätten.
Förpliktelser som följer av avtal där den registrerade själv är part utgör däremot en separat rättslig grund för personuppgiftsbehandling enligt dataskyddsförordningen, nämligen enligt artikel 6.1 b.
Förpliktelser som åligger enskilda eller kommuner kan regleras direkt i lag, i förordningar eller andra föreskrifter. Förpliktelser kan också fastställas i domar eller myndighetsbeslut som meddelats med stöd av lag eller andra föreskrifter. Som en följd av den svenska arbets- marknadsmodellen kan rättsliga förpliktelser även anges i kollektiv- avtal. Sådana avtal omfattas inte av artikel 6.1 b, eftersom den regi- strerade inte själv är part (prop. 2017/18:105 s. 53).
7.3.3Särskilt om uppgift av allmänt intresse
Vad som är ett allmänt intresse enligt dataskyddsförordningen defi- nieras inte i förordningen. Innebörden av begreppet allmänt intresse i dataskyddsförordningens mening har ännu inte närmare utvecklats av
Det finns dock inget som tyder på att begreppet allmänt intresse ska uppfattas mer restriktivt enligt dataskyddsförordningen än enligt dataskyddsdirektivet. Dataskyddsutredningen har tvärtom ansett att mycket talar för att begreppet allmänt intresse bör ha en vidare EU- rättslig betydelse genom dataskyddsförordningen än det hittills har haft (SOU 2017:39 s. 123).
Regeringen har ansett att sådan verksamhet som en statlig eller kommunal myndighet bedriver, inom ramen för sin befogenhet, är av allmänt intresse. Det är därmed den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen som vanligen bör tillämpas av myndigheten (prop. 2017/18:105 s. 57).
Även privata aktörer kan utföra arbetsuppgifter av allmänt intresse på uppdrag av en myndighet eller på eget initiativ. Bedömningen av
229
Dataskydd |
SOU 2023:76 |
om arbetsuppgiften är av allmänt intresse bör göras mot bakgrund av verksamhetens syfte, oavsett om den faktiskt utförs i myndig- hetens regi eller av någon annan (prop. 2017/28:105 s. 58). Som exempel på verksamheter med arbetsuppgifter av allmänt intresse kan nämnas hälso- och sjukvård, skola, stöd och service till personer med funk- tionsnedsättningar, kommunikation och energiförsörjning.
För att en behandling av personuppgifter ska vara tillåten enligt artikel 6.1 e i dataskyddsförordningen måste den vara nödvändig i förhållande till den rättsliga grunden. Nödvändighetskriteriet ska ses mot bakgrund av att undantag och begränsningar av skyddet för per- sonuppgifter ska inskränkas till vad som är absolut nödvändigt.
Samtidigt följer av praxis att behandlingen kan anses nödvändig och därmed tillåten enligt artikel 6.1 om den leder till effektivitets- vinster men även att kravet på nödvändighet ska prövas tillsammans med principen om uppgiftsminimering enligt artikel 5.1 c i dataskydds- förordningen. (jämför prop. 2017/18:105 s.
I artikel 6.3 i dataskyddsförordningen anges att grunden för behand- lingen som avses i den rättsliga förpliktelsen, enligt artikel 6.1 c eller den uppgift av allmänt intresse enligt 6.1 e, ska vara fastställd i unions- rätt eller en medlemsstats nationella rätt. Den rättsliga grunden enligt artikel 6.3 är därför ofta fastställd i till exempel myndigheters instruk- tioner eller i annan reglering som styr verksamheten, till exempel hälso- och sjukvårdslagen (2017:30), förkortad HSL, och socialtjänstlagen (2001:453). På vissa områden kompletteras verksamhetsregleringen av en särskild författning som reglerar personuppgiftsbehandlingen, en så kallad registerförfattning.
Den rättsliga grunden som fastställs i nationell rätt enligt artikel 6.3 i dataskyddsförordningen omfattar då både verksamhetsregleringen och den aktuella registerförfattningen, exempelvis en eller flera bestäm- melser i HSL och PDL.
I dataskyddsförordningen ställs det även krav på tydlighet, preci- sion, förutsebarhet och proportionalitet avseende de rättsliga grunder som ska anses utgöra ett rättsligt stöd för en behandling av per- sonuppgifter i enlighet med artikel 6.1 c och 6.1 e (se artikel 6.3 och skäl 41). Kravet på förutsebarhet ska ses från den registrerades – och inte den personuppgiftsansvariges – perspektiv (skäl 41).
Det måste alltid göras en bedömning av personuppgiftsbehand- lingens och verksamhetens karaktär för att avgöra hur stor grad av
230
SOU 2023:76 |
Dataskydd |
tydlighet och precision som krävs. Ett mer kännbart intrång kräver en mer preciserad rättslig grund, medan personuppgiftsbehandling med lägre integritetsrisker kan ske med stöd av en mer allmänt hållen rättslig grund (prop. 2017/18:105 s. 51).
7.4Dataskyddslagen
Dataskyddsförordningen kompletteras i svensk lagstiftning av lag (2018:218) med kompletterande bestämmelser till EU:s dataskydds- förordning, förkortad dataskyddslagen. Dataskyddslagen innehåller anpassningar och kompletterande bestämmelser på ett generellt plan. Dataskyddslagen är subsidiär i förhållande till annan lag eller förord- ning, vilket möjliggör avvikande bestämmelser i så kallade registerför- fattningar. Dataskyddslagen trädde i kraft den 25 maj 2018, samtidigt som dataskyddsförordningen började tillämpas.
Personnummer och samordningsnummer är inte känsliga person- uppgifter enligt artikel 9 dataskyddsförordningen, men har ändå en särställning som extra skyddsvärd. Dataskyddsförordningen ger med- lemsstaterna möjlighet att bestämma särskilda villkor för när ett natio- nellt identifikationsnummer eller annat vedertaget sätt för identifier- ing får behandlas (artikel 87).
I Sverige finns detta reglerat i dataskyddslagen som anger att per- sonnummer och samordningsnummer får behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med be- handlingen, vikten av en säker identifiering eller något annat beaktans- värt skäl (3 kap. 10 §). I dataskyddslagen finns även vissa begräns- ningar av de registrerades rättigheter enligt förordningen, av störst betydelse i sammanhanget är kanske 5 kap. 1 § som anger begränsningar för rätten till information och tillgång till personuppgifter enligt artik- larna
7.5Patientdatalagen
7.5.1Inledning
Även om dataskyddsförordningen är det grundläggande regelverket för behandling av personuppgifter även inom vården, finns det natio- nella regelverk som kompletterar dataskyddsförordningen avseende
231
Dataskydd |
SOU 2023:76 |
personuppgiftsbehandling på hälso- och sjukvårdsområdet. De två lagar som främst berör utredningens arbete utgörs av PDL och lag (2022:913) om sammanhållen vård- och omsorgsdokumentation, för- kortad SVOD. En närmare redogörelse för SVOD görs i avsnitt 7.6.
PDL är tillämplig vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I lagen finns också bestämmelser om skyldighet att föra patientjournal. Lagen gäller, till skillnad från data- skyddsförordningen, i tillämpliga delar även uppgifter om avlidna (jämför 1 kap. 1 § PDL och skäl 27 i dataskyddsförordningen). Mer om dess tillämpningsområde följer i avsnitt 7.5.2 om PDL:s syfte och tillämpningsområde.
7.5.2Patientdatalagens syfte och tillämpningsområde
I förarbetena till PDL angavs att en utgångspunkt med lagen var att hanteringen av personuppgifter inom hälso- och sjukvården skulle underlättas samtidigt som patientsäkerheten och patientens egen möj- lighet till medverkan skulle stärkas. Regelverket anpassades för att på ett bättre sätt svara mot de nya möjligheter som fanns att utbyta patientinformation som lagras elektroniskt. Ett uttalat syfte var också att underlätta informationsutbyte mellan vårdgivare och mellan vård- givare och patient. Det betonades samtidigt att skyddet för patientens integritet skulle vara första prioritet (prop. 2007/08:126 s. 34).
Enligt 1 kap. 2 § PDL ska informationshanteringen inom hälso- och sjukvården vara organiserad så att den tillgodoser patientsäkerhet och god kvalitet samt främjar kostnadseffektivitet. Personuppgifter ska utformas och i övrigt behandlas så att patienters och övriga regi- strerades integritet respekteras. Dokumenterade personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem.
PDL:s tillämpningsområde bestäms av definitionerna i 1 kap. 3 § av begreppen ”vårdgivare” och ”hälso- och sjukvård”.
Med vårdgivare avses statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare).
Med hälso- och sjukvård menas verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125), lagen (1991:1128)
232
SOU 2023:76 |
Dataskydd |
om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter, lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektions- behandlingar samt den upphävda lagen (1944:133) om kastrering. Tillämpningsområdet för PDL är därmed bredare än för HSL. På grund av att PDL även gäller för avlidna personer, får även PDL ett bredare tillämpningsområde än om endast dataskyddsförordningen skulle ha tillämpats (jämför 1 kap. 1 § andra stycket PDL och skäl 27 till data- skyddsförordningen).
PDL har karaktären av en ramlag som innehåller grundläggande principer för vårdgivares behandling av personuppgifter. Lagen kom- pletteras med mer detaljerade bestämmelser i patientdataförordningen (2008:360) och av Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjuk- vården
I det följande redogörs för bestämmelser i PDL som är av särskild relevans för denna utredning. Särskilt fokus kommer att ligga på reglerna kring tillåtna ändamål för behandling av personuppgifter, tillåtna utlämnanden enligt lagen inklusive sådana som görs till natio- nella kvalitetsregister samt de skyddsbestämmelser som finns för den personliga integriteten.
7.5.3Personuppgiftsansvar
I PDL pekas vårdgivaren ut som personuppgiftsansvarig (2 kap. 6 § PDL). Det anges vidare att den myndighet inom en region eller kom- mun som bedriver hälso- och sjukvård är den personuppgiftsansvariga för den behandling som myndigheten utför, 2 kap. 6 § stycke 1 andra meningen.
Inom den allmänna hälso- och sjukvården hos sjukvårdshuvud- männen är det den juridiska personen, det vill säga. regionen eller kommunen, som är vårdgivare. Som framgår av den andra meningen i första stycket 2 kap. 6 § PDL är det däremot inte den juridiska per- sonen i rollen som vårdgivare som behöver vara personuppgifts- ansvarig. PDL anger i stället att det är den myndighet, det vill säga
233
Dataskydd |
SOU 2023:76 |
den nämnd eller annan myndighet som leder eller utför den faktiska hälso- och sjukvården, som är personuppgiftsansvarig för den behand- ling av personuppgifter som myndigheten utför. Härmed avses exem- pelvis så kallad beställar- och utförarnämnder i en region eller en kommun.
Skälen för att personuppgiftsansvaret regleras på det sättet är att det skulle uppnås en samordning mellan personuppgiftsansvaret och ansvaret för allmänna handlingar enligt TF, dåvarande sekretesslagen och arkivlagen (1990:782) (prop. 2007/08:126 s. 61).
Vilka myndigheter i regioner eller kommuner som är personupp- giftsansvariga i regioners eller kommuners hälso- och sjukvård kan därför inte anges generellt utan beror på hur ansvaret för hälso- och sjukvårdens verksamhet organiserats i respektive region eller kommun.
Vem eller vilka som är personuppgiftsansvariga vid samverkan mellan olika vårdgivare regleras inte generellt utom till den del det rör sig om direktåtkomst, 2 kap. 6 § stycke 2 och till viss del avseende de nationella och regionala kvalitetsregisterna, jämför 7 kap. 7 § PDL.
Utformningen av 2 kap. 6 § PDL innebär därmed att den myn- dighet som gör personuppgifter om en patient tillgängliga för andra vårdgivare eller annan myndighet i samma region eller kommun har personuppgiftsansvaret för tillgängliggörandet med allt vad det inne- bär exempelvis som ansvaret för rättslig grund, efterlevnad av de grund- läggande principerna, lämplig säkerhet och informationsskyldighet enligt både dataskyddsförordningen och PDL.
Vidare är den myndighet som bereder sig tillgång till andra vård- givares uppgifter, för att söka efter och läsa vårddokumentation, i enlighet med PDL, personuppgiftsansvarig för den personuppgifts- behandling som det handlandet innebär.
7.5.4Tillåtna ändamål
Innan PDL trädde i kraft fanns utrymme för vårdgivarna att själva bestämma ändamål, vilket inte ansågs tillräckligt integritetsskyddande. Det ansågs därför viktigt att det i PDL uttryckligen och så uttöm- mande som möjligt skulle framgå vilka ändamål som skulle tillåtas och därmed regleras i lagen. Ändamålsregleringen är därför uttöm- mande i den meningen att vårdgivarna inte själva får besluta om ytter- ligare ändamål för vilket eller vilka personuppgifter kan samlas in i
234
SOU 2023:76 |
Dataskydd |
verksamheten. Genom att också inkludera ändamål som tidigare endast reglerats av personuppgiftslagen ansågs integritetsskyddet öka i för- hållande till vad som gällt tidigare (prop. 2007/08:126 s.
Syftet med ändamålsbestämmelsen i 2 kap. 4 § PDL är att ge en yttersta ram för när personuppgifter får samlas in och fortsättnings- vis behandlas. En och samma behandling av personuppgifter kan ske för mer än ett ändamål. Särskilt gäller detta i sådana stora elektro- niska informationssystem som integrerar en mängd olika funktioner (prop. 2007/08:126 s.
Vid införandet av PDL ansågs det olämpligt att som tidigare dela in ändamålen i primära och sekundära ändamål. Enligt förarbetena handlar både primära och sekundära ändamål om personuppgifts- behandlingar som, mer eller mindre integrerat, normalt äger rum i varje vårdgivares egen verksamhet (prop. 2007/08:126 s. 56).
Ändamålet vårddokumentation (2 kap. 4 § 1 och 2 PDL)
Personuppgifter får behandlas om det behövs för att fullgöra de skyl- digheter som anges i 3 kap. PDL, som skyldigheten att föra patient- journal, och upprätta annan dokumentation som behövs i och för vården av patienter. Personuppgifter får också behandlas om det be- hövs för administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall (prop. 2007/08:126 s. 228).
Annan dokumentation (2 kap. 4 § 3 PDL)
Punkten 3 avser annan dokumentation än vårddokumentation som hälso- och sjukvården är skyldig att utföra enligt olika författningar. Exempel härpå är dokumentation enligt lagen (1985:12) om kontroll av berusningsmedel på sjukhus och bestämmelsen om rapporterings- skyldighet till vårdgivare i 6 kap. 4 § patientsäkerhetslagen (2010:659).
Det finns vidare en rad författningar som föreskriver att hälso- och sjukvården ska lämna ut uppgifter till olika myndigheter. I allmänhet rör det sig här om utlämnande av uppgifter som primärt har samlats in som vårddokumentation, det vill säga för ändamålet enligt punk-
235
Dataskydd |
SOU 2023:76 |
terna 1 och 2 i 2 kap. 4 § PDL. Uppgifterna kan då normalt tillhanda- hållas utan någon föregående bearbetning. I dessa fall handlar det en- dast om en behandling för det ändamål som anges i 2 kap. 5 § PDL, alltså behandling för att fullgöra uppgiftslämnande som sker i överens- stämmelse med lag eller förordning (prop. 2007/08:126 s. 228).
Ibland kan uppgiftsskyldigheten förutsätta en viss särskild per- sonuppgiftsbehandling där dokumentationen utformas utifrån hur uppgiftsskyldigheten ska fullgöras. I sådana fall är det inte fråga om en ren ”återanvändning” av redan insamlade personuppgifter. Exempel på sådan behandling som görs särskilt med anledning av en uppgifts- skyldighet är den behandling som sker för att uppfylla 4 och 6 §§ för- ordningen (2001:707) om patientregister hos Socialstyrelsen.
Kvalitetsutveckling och kvalitetssäkring (2 kap. 4 § 4 PDL)
Detta ändamål ger lagstöd för behandling av personuppgifter inom vad som brukar kallas systematiskt kvalitetsarbete. Lydelsen har en direkt koppling till vårdgivares skyldighet enligt hälso- och sjukvårds- lagen att aktivt arbeta med verksamhets- och kvalitetsutveckling (se även formuleringen att ”kvaliteten inom hälso- och sjukvården syste- matiskt och fortlöpande ska utvecklas och säkras” i 5 kap. 4 § HSL) (SOU 2021:4 s. 148).
Att kvalitetssäkring tas upp som en särskild punkt beror bland annat på den centrala roll som kvalitetssäkringsarbetet har inom hälso- och sjukvården. Kvalitetssäkringsarbete kan ske i många former och med olika metoder. En speciell form är verksamheten med hälso- och sjukvårdens kvalitetsregister (prop. 2007/08:126 s. 228).
I förarbetena till bestämmelsen anges att användning av modern informationsteknik avsevärt förbättrat möjligheterna att arbeta med kvalitetssäkring. I huvudsak rör det sig om att personuppgifter som samlats in och behandlas för det primära ändamålet vårddokumen- tation, men det förekommer också behandling av personuppgifter för det primära ändamålet kvalitetssäkring. Ibland är denna uppgifts- insamling integrerad med det individinriktade arbetet. Det kan därför vara svårt att i praktiken avgöra vad som är det övergripande syftet med en viss behandling av personuppgifter (prop. 2007/08:126 s. 57 f.).
236
SOU 2023:76 |
Dataskydd |
Övergripande planering, uppföljning med mera (2 kap. 4 § 5 PDL)
Med punkten 5 avses administration och planering på ett mer över- gripande plan än vad som avses med den patientadministration som omfattas av ändamålet vårddokumentation (punkterna 1 och 2). Punk- ten 5 gör det möjligt för hälso- och sjukvården att bedriva verksam- hetsuppföljning med individuppgifter. Med utvärdering avses analys och värdering av kvalitet, effektivitet och resultat av en verksamhet i förhållande till de mål som bestämts för denna. Personuppgifts- behandling får också förekomma för att vårdgivaren ska kunna bedriva tillsyn av sin verksamhet (prop. 2007/08:126 s. 228 f.).
Statistik (2 kap. 4 § 6 PDL)
Enligt punkten 6 får personuppgifter behandlas för statistikändamål. Med detta menas inte så kallad verksamhetsstatistik, som ryms inom ändamålet i punkten 5, utan annan statistik. Exempel är sådan statistik som regionerna tar fram för att informera befolkningen om hälso- och sjukvårdsverksamheten.
Det är tillåtet att samköra personuppgifter i olika register eller data- system inom hälso- och sjukvården, om samkörningen sker för något eller några av de ändamål som anges i paragrafen. Detsamma gäller om samkörningen sker för ändamål som inte är oförenliga med dessa ändamål.
Antalsberäkning inför klinisk forskning (2 kap. 4 § 7 PDL)
Ändamålsbestämningen ger stöd för alla vårdgivare, såväl offentliga som privata, att behandla personuppgifter för antalsberäkning inför klinisk forskning. Oavsett om antalsberäkningarna görs av en person eller via en automatiserad aktivitet, ligger ansvaret för att personupp- giftsbehandlingen görs på ett korrekt sätt på den personuppgifts- ansvariga vårdgivaren eller personuppgiftsansvarig myndighet för ett regionalt eller nationellt kvalitetsregister (prop. 2022/23:31 s. 11).
Personuppgiftsbehandlingen utförs av anställd personal hos vård- givaren eller hos den myndighet som ansvarar för kvalitetsregister. I första hand bör det vara fråga om sökningar i patientjournaler och lokala, regionala eller nationella kvalitetsregister, även om det är möj-
237
Dataskydd |
SOU 2023:76 |
ligt att en vårdgivare har ytterligare databaser där relevant information finns. Även dessa databaser omfattas då av ändamålsbestämningen. Den information som redovisas till forskare som står bakom förfrågan består av ett sökresultat i form av ett exakt antal personer som upp- fyller kriterierna eller som ett intervall.7
7.5.5Inre sekretess och behörighetsregler
I förarbetena till PDL uppgavs att förtroendet för integritetsskyddet i informationshanteringen inom vården inte bara hade relevans när det gäller den yttre sekretessen gentemot utomstående och vid över- föring av personuppgifter mellan vårdgivare, utan även inom en verk- samhet måste det finnas ett integritetsskydd avseende hanteringen av uppgifter om enskilda, den så kallade inre sekretessen. Vidare upp- gavs att i PDL avsågs med inre sekretess ett begrepp som inrymde ett flertal frågeställningar om hur känsliga uppgifter om enskildas hälsa och andra personliga förhållanden bör handhas inom en verksamhet för att motverka risker för obefogade intrång i den personliga inte- griteten (prop. 2007/08:126 s. 141).
Bestämmelsen i 4 kap. 1 § PDL innebär att den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.
Vidare är den inre sekretessen i 4 kap. 1 § PDL tillämplig på alla dokumenterade personuppgifter om en patient och gäller för såväl manuellt som elektroniskt dokumenterade uppgifter, för uppgifter i till exempel patientjournalen, annan vårddokumentation och kvalitets- register.
Vilka praktiska åtgärder som avses med att ”delta i vården” eller hur ordet behov ska tolkas (”behöver för sitt arbete”) i enlighet med bestämmelsen utvecklas inte nämnvärt i PDL:s förarbeten. I sam- band med hänvisning till vissa äldre förarbeten och föreskrifter från Socialstyrelsen anges dock att det endast är en begränsad del av personalen vid en klinik som har behov av tillgång till journaler, och att det är den personal som arbetar på en enhet som är engagerad i vården som har rätt att ta del av journalen (prop. 2007/08:126 s. 142).
7Nymark, M., Patientdatalagen en kommentar, version 2, (JUNO 2023), under rubriken Antals- beräkning för forskning.
238
SOU 2023:76 |
Dataskydd |
Vidare anförs att för den arbetstagare som bryter mot bestämmel- serna om inre sekretess kan få disciplinpåföljd i enlighet med PSL aktualiseras (prop. 2007/08:126 s. 148).
Den som arbetar hos en vårdgivare får även ta del av dokumenterade uppgifter om en patient om hen av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården. Detta kan exempelvis avse administration, uppföljning eller kvalitetsutveckling (prop. 2007/08:126 s. 142).
Särskilt om behörighetsregler
Genom att en användare endast får tillgång till sådana personupp- gifter som hen har behov av i sitt arbete, kan risken för otillåten behandling av personuppgifter förbyggas eller åtminstone minskas. Vidare har regeringen anfört, i samband med dataskyddsförordningens ikraftträdande på Socialdepartementets område, att styrning av till- delning och begränsning av behörigheter utgör sådana tekniska och organisatoriska åtgärder som en personuppgiftsansvarig ska vidta på eget initiativ enligt dataskyddsförordningen (prop. 2017/18:171, s. 138).
Som anförts ovan ansågs det vid införandet av PDL särskilt viktigt för den inre sekretessen att det fanns en särskild regel som klargjorde att en befattningshavare hos en vårdgivare endast var behörig att ta del av uppgifter om en patient som den deltog i vården av eller annars behövde för sitt arbete inom hälso- och sjukvården (prop. 2007/08:126 s. 148).
Av 4 kap. 2 § PDL framgår att det är den verksamhetsansvariga vårdgivaren som ska tilldela behörighet för elektronisk åtkomst åt sin personal. Av ansvaret anses även bland annat följa att behörig- heter ska följas upp och förändras eller inskränkas efter hand som ändringar i en enskild befattningshavarens arbetsuppgifter ger anled- ning till det (prop. 2007/08:126 s. 148).
Likaså anfördes det i förarbetena att sådana beslut om behörighet skulle fattas efter en analys av både behov och risker med den till- tänkta behörigheten, och avgörande för beslutet borde vara att be- hörigheten skulle begränsas till vad befattningshavaren behövde för ändamålet en god och säker vård. En vidare eller mer grovmaskig behörighetstilldelning skulle enligt regeringen, även om den medförde effektivitetsvinster, anses som en spridning av journaluppgifter inom
239
Dataskydd |
SOU 2023:76 |
en verksamhet och borde därför inte accepteras (prop. 2007/08:126 s. 148 f.).
Vårdgivare har vidare enligt 4 kap. 3 § PDL en skyldighet att se till att elektronisk åtkomst dokumenteras och kan kontrolleras. Av samma bestämmelse framgår att vårdgivare ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt upp- gifter om patienter.
I Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF- FS 2016:40) finns ytterligare bestämmelser om tilldelning av behörig- heter och kontroll av elektronisk åtkomst.
Utifrån att i princip all dokumentation om patienter i dag lagras digitalt hos vårdgivare, är det genom elektronisk åtkomst som personal normalt sett tar del av hälsodata om patienter. Rent praktiskt innebär elektronisk åtkomst att personalen tilldelas behörighet i vårdgivarens informationssystem och genom personlig inloggning kan ta del av patientuppgifter i systemen.
7.5.6Olika former för elektroniska utlämnanden
Den stora mängd personuppgifter som hanteras inom hälso- och sjuk- vården kan lämnas ut på flera olika sätt. Till stor del lagras och han- teras dessa uppgifter digitalt. I PDL har man valt att skilja mellan den interna åtkomsten, den elektroniska åtkomsten (se ovan avsnitt 7.5.5) och den åtkomst som följer av att man lämnar ut, eller tillgängliggör, uppgifter utanför den egna organisationen. Utlämnanden sker ofta i elektronisk form, exempelvis via mejl, lagring på
Direktåtkomst
Enligt förarbetena till PDL är direktåtkomst en viss form av elek- troniskt utlämnande till en extern mottagare. Den som är ansvarig för informationen har inte kontroll över vilka uppgifter som en mot- tagare vid ett visst tillfälle tar del av (automatiserad tillgång) och mot-
240
SOU 2023:76 |
Dataskydd |
tagaren av informationen kan inte påverka innehållet i det informations- system som informationen lämnas ut från (prop. 2007/08:126 s. 74).
Ett annat sätt att uttrycka det är att den som behöver ta del av informationen kan bereda sig åtkomst på eget initiativ. Personupp- gifterna finns potentiellt tillgängliga för den som önskar ta del dem, utan att den som gjort uppgifterna tillgängliga behöver fatta något formellt beslut om utlämnande i det enskilda fallet. Vid direktåtkomst anses nämligen de uppgifter som omfattas av åtkomsten och finns potentiellt tillgängliga för andra, vara utlämnande i TF:s mening, redan genom att åtkomst medges (prop. 2007/08:126 s.
Bestämmelser som medger direktåtkomst har inte i sig sekretess- brytande effekt utan de måste kombineras med särskilda sekretess- brytande regler om direktåtkomsten ska omfatta sådana uppgifter som det kan gälla sekretess för. Det finns också en särskild regel om över- föring av sekretess i OSL vid myndigheters direktåtkomst till andra myndigheters upptagningar för automatiserad behandling (se 11 kap. 4 § OSL).
Direktåtkomst inom hälso- och sjukvården anses vara en särskilt integritetskänslig form av elektroniskt utlämnande av personuppgifter (prop. 2007/08:126 s. 76). Det har därför angetts i PDL att utläm- nanden genom direktåtkomst bara får ske i den utsträckning som med- ges i lag eller förordning (5 kap. 4 § PDL).
Annat elektroniskt utlämnande
Utlämnande på medium för automatiserad behandling innebär enligt förarbetena till PDL ett elektroniskt utlämnande utan möjlighet för mottagaren att själv bereda sig tillgång till uppgifterna. De exempel på utlämnande på medium för automatiserad behandling som tas upp i förarbetena är exempelvis genom användning av mejl, utlämnande på
241
Dataskydd |
SOU 2023:76 |
Som regel lämnas informationen ut i en form som medför att mottagaren kan bearbeta den. Bearbetningsmöjligheterna är dock inte avgörande för om det är fråga om ett utlämnande på automatiserat medium eller inte (prop. 2007/08:126 s. 77).
Gränsdragningen mellan direktåtkomst och utlämnande på medium för automatiserad behandling har belysts av Högsta förvaltningsdom- stolen i den så kallade LEFI
Försäkringskassan hade gett handläggare hos socialnämnder till- gång till uppgifter ur Försäkringskassans databas LEFI Online. Infor- mationsutbytet skedde genom en
Högsta förvaltningsdomstolen tog utgångspunkt i TF:s bestäm- melser om allmänna handlingar. Av den tidigare lydelsen av 2 kap. 3 § andra stycket TF (nuvarande 2 kap. 6 § första stycket TF) framgår att en upptagning anses förvarad hos myndighet, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndig- heten själv utnyttjar för överföring i sådan form att den kan läsas, av- lyssnas eller uppfattas på annat sätt. De allmänna handlingar hos en myndighet som en annan myndighet får tillgång till, genom direkt- åtkomst, utgör, som redogjorts för ovan, allmänna handlingar även hos denna myndighet (prop. 2002/03:135 s. 90). Domstolen ansåg att den avgränsning som på detta sätt görs av begreppet direktåtkomst enligt TF även kunde användas för att bestämma innehållet i begreppet direktåtkomst i socialförsäkringsbalkens mening (2010:110). Det av- görande blev alltså om upptagningen kunde anses förvarad hos social- nämnderna i tryckfrihetsförordningens mening. I den delen gjorde Högsta förvaltningsdomstolen följande uttalande.
Socialnämnderna kan inte på egen hand söka information i socialförsäk- ringsdatabasen, utan ett utlämnande genom LEFI Online förutsätter att Försäkringskassan reagerar på en begäran om att de efterfrågade upp- gifterna ska lämnas ut. Försäkringskassan får därigenom anses förfoga över frågan om och i så fall vilka uppgifter som ska lämnas ut. Någon sådan teknisk tillgång till upptagningar som avses i 2 kap. 3 § andra stycket tryck- frihetsförordningen kan socialnämnderna således inte anses ha. Detta inne- bär att förfarandet inte är att betrakta som direktåtkomst enligt social- försäkringsbalken.
242
SOU 2023:76 |
Dataskydd |
Uttalandet från HFD skulle därför kunna ge stöd för den slutsats som regeringen gjort i PDL:s förarbeten, att tillgängliggörande av uppgifter som inte sker i form av en direktåtkomst utgör ett annat elektroniskt utlämnande.8
7.5.7Kort om kvalitetsregister
I 7 kap. PDL finns bestämmelser som bara gäller för nationella och regionala kvalitetsregister. Med kvalitetsregister avses en automati- serad och strukturerad samling av personuppgifter som inrättats sär- skilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Kvalitetsregistren ska möjliggöra jämförelse inom hälso- och sjukvården på nationell eller regional nivå (7 kap. 1 § PDL). Registren är främst inriktade på medicinska specialiteter och har oftast byggts upp genom frivilliga initiativ av specialistföreningar för att användas som stöd för kvalitetsutveckling i det kliniska arbetet. All inrapporteringen sker till följd av ett frivilligt åtagande från vård- givarnas sida (prop. 2007/08:126 s. 176).
Kvalitetsregistren möjliggör jämförelser inom hälso- och sjukvården på både nationell och regional nivå och sjunde kapitlet PDL ger på så sätt stöd för en särskild form av verksamhetsuppföljning över vård- givargränser (SOU 2014:23 s. 103). Personuppgifter i nationella och regionala kvalitetsregister får primärt behandlas för ändamålet att sys- tematiskt och fortlöpande utveckla och säkra vårdens kvalitet (7 kap. 4 § PDL). Som huvudregel får kvalitetsregister därmed endast inne- hålla sådana personuppgifter som behövs för de ändamål för vilket det enskilda kvalitetsregistret verkar, exempelvis att säkra och utveckla kvaliteten i vården av en viss diagnos, till exempel diabetes, eller för en viss åtgärd, till exempel höftoperationer.
Personuppgiftsansvaret för behandling i nationella kvalitetsregister kan delas in i två nivåer. För den ena, där personuppgiftsbehandling som vårdgivare utför när de samlar in och registrerar uppgifter till ett nationellt kvalitetsregister, ansvarar respektive vårdgivare enligt den allmänna principen i 2 kap. 6 § första stycket PDL. För den andra nivån, som gäller ansvaret för att föra kvalitetsregistret, anges att endast myndigheter inom hälso- och sjukvården får vara personuppgifts-
8Se även här den analys utredningen för SVOD gjort med anledning av dessa förarbetsuttalanden och HFD 2015 ref. 61, SOU 2021:4 s. 157 f. och s.
243
Dataskydd |
SOU 2023:76 |
ansvariga för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister (7 kap. 7 § PDL).
För att få registrera uppgifter i ett nationellt kvalitetsregister om en viss patient krävs att patienten inte motsatt sig det (7 kap. 2 § PDL). Det är alltså fråga om en så kallad
Innan uppgifterna registreras är den personuppgiftsansvarige skyl- dig att lämna patienten utförlig information om den hantering av personuppgifter som gäller för det aktuella kvalitetsregistret (7 kap. 3 § och 8 kap. 6 § PDL).
7.5.8Den enskildes inställning i förhållande till behandling av personuppgifter inom hälso- och sjukvården
Utgångspunkten enligt PDL är att behandling av personuppgifter som är tillåten enligt lagen får utföras även om den enskilde motsätter sig den (2 kap. 3 § PDL). I och med införandet av denna bestämmelse i PDL anfördes att skälen för detta, utifrån den dåvarande personupp- giftslagens bestämmelser var att kraven på uttrycklighet gjorde det olämpligt att ha samtycke som en förutsättning för att få behandla personuppgifter inom vården. Där till kom att flera av de person- uppgiftsbehandlingar på området föranleddes av rättsliga förpliktelser, som journalföringsplikten, eller andra uppgifter av allmänt intresse som inte förutsatte ett samtycke för att vara förenligt med person- uppgiftslagen (prop. 2007/08:126 s. 64 f.)
Regeringen ansåg det ändå skäligt att det i vissa situationer skulle finnas ett utrymme för att patientens inställning till behandlingen till- mättes betydelse när det gäller de olika formerna för elektronisk åt- komst (prop. 2007/08:126 s. 151). Det rör sig dels om möjligheten för en patient att spärra vissa uppgifter i vårdsyfte enligt 4 kap. 4 § PDL, dels om möjligheten att motsätta sig behandling för att för- hindra tillgängliggörande eller åtkomst enligt bestämmelserna i SVOD, se mer nedan.
Att patienten kan spärra vissa uppgifter från att kunna nås via elek- tronisk åtkomst inom en vårdgivare, styr inte när olika sjukhus eller
244
SOU 2023:76 |
Dataskydd |
kliniker får ta del av uppgifter inom en vårdgivare, utan bara sättet som det får göras på (prop. 2007/08:126 s. 151).
Möjligheten att kunna spärra sina uppgifter för andra vårdenhet eller vårdprocesser ansågs vara en möjlighet för patienten att påverka och för regelverket att ligga i linje med kravet i HSL på att verksam- heten ska bygga på respekt för patientens självbestämmande och inte- gritet och så långt det är möjligt utföras och genomföras i samråd med patienten (prop. 2007/08:126:151).
7.5.9Kort om journalföring
En patientjournal består av en eller flera handlingar om rör samma patient enligt PDL (se 1 kap. 3 § PDL). Det är alltså inte tillåtet att föra en patientjournal för flera patienter. Däremot kan en patient- journal vara splittrad på olika dokumentationsytor så länge vårdgivaren kan hålla den samman enligt krav i
Kopplat till reglerna om patientjournal, finns även begreppet jour- nalhandling. Detta definieras i lagen som en framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt upp- fattas endast med tekniskt hjälpmedel och som upprättas eller inkom- mer i samband med vården av en patient och som innehåller upp- gifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder (1 kap. 3 § PDL). Såväl pappersbaserade som digitala handlingar omfattas av begreppet journal- handling. Exempel på journalhandlingar är löpande journalanteckningar, röntgenbilder, provsvar och remisser. Däremot omfattas typiskt sett inte livsstilsenkäter av journalföringsskyldigheten.
En patients klagomål och dokumentation kring hanteringen av det hör inte heller hemma i patientjournalen utan i vårdgivarens avvikelse- hanteringssystem.
Patientjournalen i elektronisk form
Redan när PDL trädde i kraft år 2008 konstaterades att en stor del av vårddokumentationen hanterades elektroniskt (prop. 2007/08:126, s.
245
Dataskydd |
SOU 2023:76 |
ren, skannas dessa normalt sett in i digitala journalarkivsystem och finns därefter tillgängliga i digital form. Journalhandlingar kan också förekomma som exempelvis film eller i form av en chatt med en patient. De olika medium som journalinformation förekommer på har olika förutsättningar för till exempel bevarande.
För lagring och bevarande av journalhandlingar har vårdgivare typiskt sett olika digitala journalsystem och andra
7.6Lag om sammanhållen vård- och omsorgsdokumentation
7.6.1Inledning
Den 15 juni 2022 antog riksdagen SVOD. Lagen trädde i kraft den 1 januari 2023. I och med den nya lagen finns nu regler om infor- mationsöverföring mellan vårdgivare samt mellan vårdgivare och om- sorgsgivare samlade i en lag.
För personuppgiftsansvariga vårdgivare inom hälso- och sjukvården har direktåtkomst mellan dem varit möjlig sedan tidigare med stöd av reglerna om sammanhållen journalföring (tidigare 6 kap. PDL). I och med den aktuella lagändringen, flyttades bestämmelserna i sjätte kapitlet PDL över till den nya lagen. Detta motiverades bland annat med att det av flera skäl förelåg ett stort behov av informa- tionsutbyte inom den individinriktade omsorgsverksamheten för äldre och personer med funktionsnedsättningar vilket också påpekats av flertal tidigare utredningar (se bland annat prop. 2021/22:177 s.
9SOU 2014:23, s. 108.
246
SOU 2023:76 |
Dataskydd |
Informationsutbytet enligt den nya lagen genomförs genom ett system där de olika vårdgivarna och omsorgsgivarna kan välja att ge åtkomst till sina journalhandlingar genom direktåtkomst eller annat elektroniskt utlämnande, samt välja om de vill ta del av journaler från andra genom direktåtkomst eller annat elektroniskt utlämnande (prop. 2021/22:177 s. 46). Att tillgängliggöra eller bereda sig åtkomst till uppgifterna är endast tillåtet när vissa särskilda förutsättningar i lagen är uppfyllda (2 kap.
De vårdgivare och omsorggivare som ingår i systemet fullgör sin respektive dokumentationsskyldighet i sina egna dokumentations- system.
Nedanstående utgör inte en komplett redogörelse för den nya lagen utan fokuserar på de förutsättningar som gäller för att ett till- gängliggörande ska vara möjligt, formerna för tillgängliggörande, de skyddsbestämmelser som antagits samt tillhörande överväganden.
7.6.2Kort om förutsättningarna för tillgängliggörande och åtkomst
Enligt 2 kap.
För det första behöver den information som ska tillgängliggöras endast vara uppgifter som behövs för att föra patientjournal och upp- rätta annan dokumentation som behövs för vården av patienten eller för att sköta administration som rör patienter och som syftar till att bereda vård i enskilda fallet eller som annars föranleds av vård i en- skilda fall (2 kap. 1 § stycke 2 SVOD).
För det andra måste vårdgivaren i enlighet med 2 kap. 2 § ha gett patienten information om:
247
Dataskydd |
SOU 2023:76 |
1.Vad sammanhållen vård- och omsorgsdokumentation innebär.
2.Möjligheten att motsätta sig att uppgifter görs tillgängliga för andra vårdgivare eller omsorgsgivare genom sådan dokumentation.
3.Patienten ska också informeras om att uppgiften om att det finns spärrade uppgifter om patienten och vilken vårdgivare som har spärrat uppgifterna ska göras tillgängliga för andra vårdgivare.
4.Därtill att vid fara för patientens liv eller när det annars finns all- varlig risk för dennes hälsa får en annan vårdgivare ta del av upp- gift om vilken vårdgivare som har spärrat uppgifterna.
Det behövs inget aktivt samtycke från patienten, utan det är tillräck- ligt att patienten fått informationen som tillämplig lag kräver och att hen därefter inte motsatt sig att uppgifterna görs tillgängliga. Enligt förarbeten är det upp till vårdgivaren att avgöra på vilket sätt patienten ska informeras. Såväl muntlig information som skriftlig information fullgör kraven. Exempelvis skulle informationen kunna framgå på en affisch i receptionen (prop. 2021/22:177 s. 90). Om patienten mot- sätter sig får uppgifterna om patienten inte göras tillgängliga för andra vårdgivare eller omsorgsgivare. Uppgifterna ska i dessa fall genast spärras av vårdgivaren eller omsorgsgivaren (2 kap. 3 § SVOD).
När en vårdgivare eller omsorgsgivare som är ansluten till system för sammanhållen vård- och omsorgsdokumentation vill ta del av uppgifter om en patient som en annan vårdgivare tillgängliggjort i systemet och därmed behandla dessa uppställs vissa krav. Uppgifterna ska röra en patient som det finns en aktuell patientrelation med, patienten ska samtycka till personuppgiftsbehandlingen och för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten, utföra insatser enligt lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter eller bedöma behovet av sådana insatser det vill säga informationen ska antas vara av rele- vans för vården av den aktuella patienten (se 3 kap. 1 §
När en vårdgivare eller omsorgsgivare som är ansluten till system för sammanhållen vård- och omsorgsdokumentation vill ta del av uppgifter om en patient som en annan vårdgivare tillgängliggjort i systemet och därmed behandla dessa, uppställs vissa krav. Uppgif-
248
SOU 2023:76 |
Dataskydd |
terna ska röra en patient som det finns en aktuell patientrelation med, patienten ska samtycka till personuppgiftsbehandlingen och för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten, utföra insatser enligt lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter eller bedöma behovet av sådana insatser. Informationen ska således antas vara av relevans för vården av den aktuella patienten (se 3 kap. 1 §
7.6.3Kort om säkerhetsåtgärderna och andra integritetsstärkande åtgärder
Enligt 3 kap. 7 § SVOD är lagens reglering uttömmande och uppgifter om en patient eller omsorgstagare får således inte behandlas under andra förutsättningar än de som finns i lagen, även om den har sam- tyckt till det. I förarbetena till bestämmelsen uppgavs anledningen för ett sådant förbud vara fördelar för förtroendet för ett system med sammanhållen vård- och omsorgsdokumentation, om uppgifterna en- bart behandlas för de syften och ändamål som patienten och omsorgs- mottagaren kan förutse och kontrollera (prop. 2021/22:177 s. 129).
I 4 kap. 3 § regleras åtkomsten till de uppgifter som gjorts till- gängliga genom system för sammanhållen vård- och omsorgsdokumen- tation. För hälso- och sjukvårdens del hänvisas det till 4 kap. 2 § PDL. Detta medför att PDL:s bestämmelser om tilldelning av behörighet även ska gälla för åtkomst hos en personuppgiftsansvarig till de upp- gifter som den har åtkomst till inom ramen för ett system med sam- manhållen vård- och omsorgsdokumentation (prop. 2021/22:177 s.
I 4 kap. 4 § SVOD återfinns kraven på loggkontroll, och även här hänvisas det för hälso- och sjukvårdens del till PDL.
249
Dataskydd |
SOU 2023:76 |
7.7Regler om dataskydd inom forskning
7.7.1Inledning
Vid behandling av personuppgifter inom forskning gäller dataskydds- förordningen. Det finns således ingen nationell lag som reglerar per- sonuppgiftsbehandling på forskningsområdet i allmänhet. I stället regleras frågor som exempelvis personuppgiftsansvar och lämplig säkerhet i dataskyddsförordningen samt av olika registerförfattningar för vissa specifika behandlingssituationer som anknyter till forsknings- verksamhet på olika sätt.
Med anledning av dataskyddsförordningens ikraftträdande gjordes vissa anpassningar i svensk rätt som syftade till att möjliggöra en fortsatt behandling av personuppgifter för forskningsändamål som är ändamålsenlig samtidigt som den enskildes fri- och rättigheter skyddas (se prop. 2017/18:298). Så gjordes exempelvis i lagen (2003:460) om etikprövning av forskning som avser människor, förkortad EPL, samt i dataskyddslagen. Nedan följer ett urval av de regler som enligt ut- redningen är av särskild vikt för att förstå hur dataskyddet på forsk- ningens område ser ut.
7.7.2Termen forskningsändamål
I dataskyddsförordningen används termen vetenskapliga eller historiska forskningsändamål. I vissa fall används bara termen forskningsända- mål (prop. 2017/18:298 s. 29). I skäl 159 till dataskyddsförordningen anges att behandling av personuppgifter för vetenskapliga forsknings- ändamål i förordningen bör ges en vid tolkning och omfatta till exem- pel teknisk utveckling och demonstration, grundforskning, tilläm- pad forskning och privatfinansierad forskning. I samma skäl anges också att all reglering av vetenskaplig forskning ska ta hänsyn till unionens målsättning att uppnå ett europeiskt forskningsområde. Denna mål- sättning har formulerats i artikel 179.1 i fördraget om Europeiska unionens funktionssätt.
Termen vetenskapliga eller historiska forskningsändamål anses där- för ha en
250
SOU 2023:76 |
Dataskydd |
7.7.3Ändamålsbegränsning och forskningsundantaget
Precis som för annan personuppgiftsbehandling måste samtliga av dataskyddsförordningens grundläggande principer i artikel 5 följas även vid behandling av personuppgifter för forskningsändamål. Av artikel 5.1 b framgår att ytterligare behandling för vetenskapliga eller historiska forskningsändamål inte ska anses oförenlig med de ur- sprungliga ändamålen. Skrivningen, det så kallade forskningsundan- taget, innebär alltså att ytterligare behandling för forskningsändamål är särskilt gynnad (se avsnitt
7.7.4Rättslig grund
De rättsliga grunder som kan vara relevanta när det gäller behandling av personuppgifter för forskningsändamål är främst samtycke (arti- kel 6.1 a), allmänt intresse (artikel 6.1 e) och intresseavvägning (arti- kel 6.1 f). I vissa fall kan också den rättsliga grunden rättslig förpliktelse (artikel 6.1 c) vara aktuell (prop. 2017/18:298 s. 29). I sammanhanget kan också nämnas att regeringen i förarbeten har uttalat att om ett forskningsprojekt har godkänts enligt EPL har forskningen erkänts i svensk rättsordning på ett sådant sätt att utförande av forsknings- uppgiften är en i svensk rätt fastställd uppgift av allmänt intresse (prop. 2017/18:298 s.
Rättslig grund för offentliga aktörer som bedriver forskning
Möjligheten att använda samtycke som rättslig grund är begränsad och aktualiseras främst inom områden som inte är offentligrättsligt reglerade (prop. 2017/18:298 s. 32). När den personuppgiftsansvarige är en offentligrättslig forskningsutförare måste beaktas om det före- ligger en sådan ojämlik situation att det inte kan sägas att inhämtade samtycken lämnas frivilligt (prop. 2017/18:298 s. 39). Det föreligger dock inte alltid ett hinder för offentliga forskningsutförare att använda samtycke som rättslig grund (se prop. 2017/18:298 s. 41). Den rättsliga grunden intresseavvägning gäller inte för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter (artikel 6.1 andra stycket dataskyddsförordningen). För offentliga aktörer som bedriver
251
Dataskydd |
SOU 2023:76 |
forskning är det därför framför allt allmänt intresse som aktualiseras som rättslig grund.
Enligt artikel 6.1 e får en personuppgift behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Grunden för behandlingen ska enligt artikel 6.3 fastställas i unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige om- fattas av. Regeringen har i förarbeten uttalat att presumtionen bör vara att uppgiften att forska är en uppgift av allmänt intresse i data- skyddsförordningens mening (prop. 2017/18:298 s. 33). För kom- munala myndigheter följer obligatoriska uppgifter av åligganden som fastställs i lag eller förordning. Även sådana frivilliga åtaganden som en kommun gör inom ramen för sin allmänna befogenhet ska framgå av gällande rätt, nämligen av det reglemente som fullmäktige utfär- dar för den ansvariga nämnden (prop. 2017/18:298 s. 35). I förarbeten har gjorts bedömningen att 18 kap. 2 § HSL, som bland annat anger att regioner ska medverka vid finansiering, planering och genomför- ande av dels kliniskt forskningsarbete på hälso- och sjukvårdens om- råde, dels folkhälsovetenskapligt forskningsarbete, uppfyller data- skyddsförordningens krav på att reglering ska vara fastställd i nationell rätt. Vidare har uttalats att forskning i övrigt hör till området där regio- ner och kommuner kan göra frivilliga åtaganden inom ramen för sin befogenhet (prop. 2017/18:298 s. 49).
För den rättsliga grunden allmänt intresse finns som nämnts ovan under 7.3 ett nödvändighetsrekvisit. Vid forskning innebär nödvändig- hetsrekvisitet att personuppgiftsbehandlingen måste vara nödvändig för att forskningen ska kunna utföras, men utifrån en rimlighets- bedömning av vilka alternativa sätt att utföra forskningsuppgiften som är möjliga. I forskningssammanhang bör den rimlighetsbedöm- ningen även kunna omfatta bedömningen av huruvida användandet av personuppgifter kan medföra högre kvalitet och tillförlitlighet i forskningsresultatet (prop. 2017/18:298 s. 38).
7.7.5Behandling av känsliga personuppgifter och särskilda skyddsåtgärder
I dataskyddsförordningen finns ett förbud mot behandling av känsliga personuppgifter (artikel 9.1). Förbudet kompletteras av en rad undan- tag som möjliggör behandling av känsliga personuppgifter i vissa fall. Förutom undantag på grund av att det finns ett uttryckligt samtycke
252
SOU 2023:76 |
Dataskydd |
finns även i artikel 9.2. j ett undantag för forskningsändamål. I artikeln anges att förbudet inte gäller om behandlingen är nödvändig för bland annat forskningsändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i pro- portion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämp- liga och särskilda åtgärder för att säkerställa den registrerades grund- läggande rättigheter och intressen.
Särskilt om skyddsåtgärder vid behandling av personuppgifter för forskningsändamål
I artikel 89.1 dataskyddsförordningen anges att behandling för bland annat vetenskapliga eller historiska forskningsändamål ska omfattas av lämpliga skyddsåtgärder i enlighet med dataskyddsförordningen för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas (se ovan under avsnitt 7.2.2).
En förutsättning för att få behandla känsliga personuppgifter med stöd av undantaget i artikel 9. 2 j, är att det i enlighet med artikel 89.1, jämte vissa andra villkor, i nationell rätt finns sådana bestämmelser om särskilda och lämpliga skyddsåtgärder. Vidare anges i skäl 156 att medlemsstaterna bör införa lämpliga skyddsåtgärder för behandlingen av personuppgifter för forskningsändamål.
I svensk rätt är etikprövning enligt EPL en skyddsåtgärd vid be- handling av känsliga personuppgifter. Forskning på känsliga person- uppgifter som sker i enlighet med svensk rätt, kan därmed göras utan samtycke från den registrerade om utförandet sker med stöd av undan- taget i artikel 9.2 j och att den nationella rätten uppfyller de angivna villkoren däri. Även etisk granskning enligt lagen (2018:1091) med kompletterande bestämmelser om etisk granskning till EU:s förord- ning om kliniska prövningar av humanläkemedel anses utgöra en skyddsåtgärd (prop. 2017/18:298 s.
253
Dataskydd |
SOU 2023:76 |
7.7.6Undantag från vissa rättigheter
I dataskyddsförordningen och i svensk rätt framgår vissa undantag när det gäller den registrerades rättigheter som har relevans när upp- gifter behandlas för forskningsändamål.
Vilken information som ska lämnas till den registrerade när per- sonuppgifter inte har inhämtats direkt från den registrerade regleras i artikel 14 dataskyddsförordningen. Enligt artikel 14.5 b ska bestäm- melserna i artikeln inte tillämpas i den mån tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportio- nell ansträngning, särskilt för behandling för bland annat forsknings- ändamål i enlighet med artikel 89.1, eller i den mån skyldigheten att lämna information sannolikt kommer att göra det omöjligt eller avse- värt försvåra uppfyllandet av målen med den aktuella behandlingen. I sådana fall ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och berätti- gade intressen, inbegripet att göra uppgifterna tillgängliga för allmän- heten (jämför även 5 kap. 1 § dataskyddslagen och avsnitt 7.4 ovan).
Rätten till radering som framgår av artikel 17 i dataskyddsförord- ningen ska inte gälla i den utsträckning som behandlingen är nöd- vändig för bland annat forskningsändamål enligt artikel 89.1, i den utsträckning som rätten sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med behandlingen (artikel 17.3 dataskydds- förordningen).
Rätten att göra invändning mot behandling av personuppgifter gäller enligt artikel 21.1 om behandlingen grundar sig på artikel 6.1 e allmänt intresse eller 6.1 f intresseavvägning. Av artikel 21.6 framgår dock att om personuppgifter behandlas för bland annat forsknings- ändamål och den rättsliga grunden för forskningen är allmänt intresse saknar den registrerade rätt att invända.
I dataskyddsförordningen finns även en bestämmelse som anger att den personuppgiftsansvarige inte ska behöva bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att följa förordningen (artikel 11.1). När personupp- gifter behandlas för forskningsändamål är det inte ovanligt att det saknas direkt identifierande uppgifter, exempelvis när uppgifter kodats eller pseudonymiserats. Detta medför att den personuppgiftsansvarige i dessa fall saknar sådana uppgifter som gör det möjligt att exem- pelvis göra registerutdrag eller ens avgöra om uppgifter om en viss
254
SOU 2023:76 |
Dataskydd |
person behandlas (prop. 2017/18:298 s. 104). Om den personupp- giftsansvarige i sådana situationer kan visa att denne inte kan identi- fiera den registrerade ska artiklarna
Av OSL framgår att en myndighet, dels på begäran av en enskild, ska lämna ut uppgifter ur en allmän handling (6 kap. 4 §), dels på begäran av en annan myndighet ska lämna ut uppgifter som myn- digheten förfogar över (6 kap. 5 §), i båda fallen under förutsättning att uppgifterna inte är sekretessbelagda eller att ett utlämnande skulle hindra arbetes behöriga gång. I artikel 14.5 c dataskyddsförordningen anges ett undantag från informationsskyldigheten i den mån att er- hållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga skyddsåtgärder för att skydda den registrerades berättigade intressen. I förarbeten har regeringen uttalat att regleringen i OSL innebär att ett erhållande eller utlämnande av uppgifter uttryckligen är föreskrivet i svensk rätt
ienlighet med artikel 14.5 c dataskyddsförordningen och att arti- kel
Det är också möjligt att i nationell rätt föreskriva undantag från vissa av den registrerades rättigheter (se artikel 89.2 i dataskydds- förordningen).
255
8Offentlighet, sekretess och tystnadsplikt
8.1Inledning
Enligt utredningens direktiv ingår det i utredningens uppdrag att analysera bland annat lagstiftning kring offentlighet och sekretess samt tystnadsplikt. Utredningen lämnar också författningsförslag avseende ändring av sekretessregler, se kapitel 17. Urvalet av de be- stämmelser som beskrivs i detta kapitel har gjorts utifrån vad som bedömts relevant för utredningens uppdrag i förhållande till de avgräns- ningar som redogörs för i kapitel 2.
I detta kapitel redogörs för rätten att ta del av allmänna hand- lingar enligt tryckfrihetsförordningen (1949:105), förkortad TF, samt av rätten att ta del av uppgifter enligt offentlighets- och sekretess- lagen (2009:400), förkortad OSL. Här beskrivs även bestämmelser om sekretess i OSL. Kapitlet innehåller även en redogörelse för den tyst- nadsplikt som gäller för den enskilda hälso- och sjukvården, det vill säga privata vårdgivare, enligt patientsäkerhetslagen (2010:659), för- kortad PSL.
I kapitel 7 redogör utredningen för aktuella bestämmelser om data- skydd enligt bland annat Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (all- män dataskyddsförordning), förkortad EU:s dataskyddsförordning eller dataskyddsförordningen, och patientdatalagen (2008:355), för- kortad PDL som också ger skydd mot spridning av integritetskänsliga uppgifter.
257
Offentlighet, sekretess och tystnadsplikt |
SOU 2023:76 |
8.2Offentlighetsprincipen
Offentlighetsprincipen innebär att allmänheten ska ha insyn i statens och kommunernas1 verksamhet. Principen kommer till uttryck på olika sätt, exempelvis genom yttrande- och meddelarfrihet för tjänste- män.2 I första hand förknippas dock offentlighetsprincipen med grund- satsen om allmänna handlingars offentlighet. Denna grundsats kan ses som en del av informationsfriheten (prop. 1975/76:160 s. 23). Med informationsfrihet avses frihet att inhämta och ta emot upplysningar samt i övrigt ta del av andras yttranden (2 kap. 1 § första stycket 2 regeringsformen, förkortad RF).
8.2.1Rätten att ta del av allmänna handlingar
Rätten att ta del av allmänna handlingar regleras i 2 kap. TF. Syftet med rätten att ta del av allmänna handlingar är bland annat att främja ett fritt meningsutbyte samt en fri och allsidig upplysning. Rätten att ta del av allmänna handlingar gäller också handlingar hos företag där kommuner eller regioner utövar ett rättsligt bestämmande infly- tande (se 2 kap. 3 § första stycket OSL).
Rätten gäller var och en, det vill säga alla (se 2 kap. 1 § TF). Den gäller även juridiska personer (se RÅ 2003 ref. 83). För andra än svenska medborgare och svenska juridiska personer kan rätten att ta del av allmänna handlingar begränsas genom lag (14 kap. 5 § TF). Någon sådan lag finns dock inte för närvarande.
TF ger inte myndigheter någon rätt att ta del av allmänna hand- lingar från andra myndigheter. Däremot finns en särskild bestämmelse i OSL om skyldigheten för myndigheter att lämna uppgifter till var- andra (se 6 kap. 5 § OSL). TF reglerar inte heller enskildas rätt att ta del av uppgifter i allmänna handlingar, utan även detta regleras i OSL. I avsnitt 8.3 (Offentlighets- och sekretesslagen) finns en närmare beskrivning av de aktuella bestämmelserna i OSL.
Vidare framgår av artikel 86 i EU:s dataskyddsförordning att per- sonuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift
1Med kommuner avses i detta sammanhang även regioner, det vill säga kommuner på regional nivå (jämför 1 kap. 7 § regeringsformen).
2Se Lenberg, Tansjö och Geijer, Offentlighets- och sekretesslagen, avsnitt 1.1. Vad innebär offent- lighetsprincipen? (Juno version 26).
258
SOU 2023:76 |
Offentlighet, sekretess och tystnadsplikt |
av allmänt intresse får lämnas ut av myndigheten eller organet i en- lighet med medlemsstatens nationella rätt.
8.2.2Vad som är en allmän handling
Rätten att ta del av handlingar enligt 2 kap. 1 § TF är endast tillämplig på allmänna handlingar. Begreppet allmän handling är därför centralt för att bestämma offentlighetsprincipens omfattning och de rättig- heter med mera som är kopplade till begreppet.
Med handling avses en framställning i skrift eller bild samt en upptagning som endast med tekniska hjälpmedel kan läsas eller av- lyssnas eller uppfattas på annat sätt, nedan benämnd upptagning (2 kap. 3 § TF). Detta kan uttryckas som att en handling är ett föremål som innehåller information av något slag.3
Alla handlingar som finns hos myndigheterna är inte allmänna. En handling är allmän om den förvaras hos myndigheten och enligt vissa angivna regler anses inkommen till eller upprättad hos en myndighet (2 kap. 4 § TF).
En upptagning anses förvarad hos en myndighet, om den är till- gänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas eller av- lyssnas eller uppfattas på annat sätt (2 kap. 6 § första stycket TF). Det finns dock två undantag till denna huvudregel. Det första undantaget finns i 2 kap. 6 § andra stycket TF. Där anges att en sammanställning av uppgifter ur en upptagning för automatiserad behandling anses förvarad hos myndigheten endast om myndigheten kan göra samman- ställningen tillgänglig med rutinbetonade åtgärder och inte annat följer av 7 §. Med rutinbetonade åtgärder avses en begränsad arbetsinsats som inte är förknippad med några nämnvärda kostnader. Bedömningen av om en åtgärd är rutinbetonad får göras med hänsyn till såväl den all- männa tekniska utvecklingen som den tekniska kompetensen och den tekniska utvecklingen på myndigheten i fråga (prop. 2001/02:70 s. 37). I HFD 2015 ref. 25 ansåg domstolen att en sammanställning av upp- gifter ur en upptagning för automatiserad databehandling som krävde en arbetsinsats på fyra till sex timmar inte kunde anses tillgänglig med rutinbetonade åtgärder. Det andra undantaget finns i 2 kap. 7 § första
3Lenberg, Tansjö och Geijer, Offentlighets- och sekretesslagen, avsnitt 2.2.1 Handlingsbegreppet (Juno version 26).
259
Offentlighet, sekretess och tystnadsplikt |
SOU 2023:76 |
stycket TF. Där anges att en sammanställning enligt 6 § andra stycket inte anses förvarad hos myndigheten om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig.
En handling anses inkommen till en myndighet, när den har anlänt till myndigheten eller kommit behörig befattningshavare tillhanda. En upptagning anses i stället inkommen till myndigheten när någon annan har gjort den tillgänglig för myndigheten med tekniskt hjälp- medel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas eller avlyssnas eller uppfattas på annat sätt (2 kap. 6 § första stycket och 2 kap. 9 § första stycket TF). Exempelvis anses en upptagning i form av en journalhandling som tillgängliggjorts i ett system för sammanhållen vård- och omsorgsdokumentation som in- kommen hos övriga myndigheter som har tillgång till systemet, såvida upptagningen inte är spärrad.
En handling anses ha upprättats hos en myndighet, när den har expedierats. I HFD 2011 ref. 52 ansågs handlingar som en myndighet fört in i en databas och som befattningshavare hos en annan myndig- het kunde ta del av i läsbart skick som expedierade hos den först- nämnda myndigheten. En handling som inte har expedierats anses upprättad när det ärende som den hänför sig till har slutbehandlats hos myndigheten eller, om handlingen inte hänför sig till ett visst ärende, när den har justerats av myndigheten eller färdigställts på annat sätt (2 kap. 10 § första stycket TF).
Har ett organ som ingår i eller är knutet till en myndighet lämnat över en handling till något annat organ inom samma myndighet, anses handlingen som inkommen eller upprättad därigenom endast om organen uppträder som självständiga i förhållande till varandra (2 kap. 11 § första stycket TF). Bestämmelsen har sin motsvarighet i 8 kap. 2 § OSL som gäller frågan om sekretess mellan olika verksamhets- grenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra, se avsnitt 8.3.1 (Allmänt om sekretess).
I 2 kap. 13 § första stycket TF finns ett undantag från huvudregeln om vad som är en allmän handling. Där anges att en handling som förvaras hos en myndighet endast som ett led i en teknisk bearbet- ning eller teknisk lagring för någon annans räkning inte anses som allmän handling hos den myndigheten.
260
SOU 2023:76 |
Offentlighet, sekretess och tystnadsplikt |
8.2.3Begränsningar i rätten att ta del av allmänna handlingar
Rätten att ta del av allmänna handlingar gäller inte utan begränsningar. Av 2 kap. 2 § första stycket TF framgår att rätten får begränsas endast om det krävs med hänsyn till vissa ändamål, bland annat skyddet för enskildas personliga eller ekonomiska förhållanden. En begränsning av rätten att ta del av allmänna handlingar ska anges noga i en bestäm- melse i en särskild lag eller, om det anses lämpligare i ett visst fall, i en annan lag som den särskilda lagen hänvisar till (2 kap. 2 § andra stycket TF). Med den särskilda lagen avses i dag OSL. Sekretessbestämmelser till skydd för uppgift om enskilds personliga eller ekonomiska för- hållanden finns i lagens femte avdelning
8.2.4Utlämnande av allmänna handlingar
2 kap. TF innehåller även bestämmelser om själva utlämnandet av allmänna handlingar. Begreppet utlämnande syftar på när mottagaren får ta del av en allmän handling. En begäran att få ta del av en allmän handling görs hos den myndighet som förvarar handlingen (2 kap. 17 § första stycket TF). Begäran prövas, som huvudregel, av den myn- dighet som anges i första stycket (2 kap. 17 § andra stycket TF).
Den som begär ut en allmän handling som får lämnas ut ska få ta del av handlingen på stället på ett sådant sätt att den kan läsas, avlyss- nas eller uppfattas på annat sätt. En handling kan också skrivas av, fotograferas eller spelas in. Kan en handling inte tillhandahållas utan att en sådan del av handlingen som inte får lämnas ut röjs, ska den i övriga delar göras tillgänglig för sökanden i avskrift eller kopia (2 kap. 15 första stycket TF). I 2 kap. 15 § andra stycket finns vissa undantag till bestämmelserna i första stycket. Den som önskar ta del av en all- män handling har även, med vissa undantag, rätt att mot en avgift få en avskrift eller kopia av handlingen till den del handlingen får lämnas ut (2 kap. 16 § första stycket TF).
8.3Offentlighets- och sekretesslagen
OSL innehåller inte bara bestämmelser om sekretess utan innehåller även bestämmelser om myndigheters handläggning vid registrering, utlämnande och övrig hantering av allmänna handlingar (se 1 kap.
261
Offentlighet, sekretess och tystnadsplikt |
SOU 2023:76 |
1 § första och andra stycket OSL). Bestämmelser om myndighetens hantering av allmänna handlingar finns bland annat i lagens sjätte kapitel som innehåller bestämmelser om utlämnade av allmänna hand- lingar och uppgifter (se 1 kap. 3 § OSL).
Utöver skyldigheten att lämna ut allmänna handlingar som följer av TF, ska en myndighet på begäran av en enskild också lämna uppgift ur en allmän handling som förvaras hos myndigheten, om inte upp- giften är sekretessbelagd eller det skulle hindra arbetets behöriga gång (6 kap. 4 § OSL). Bestämmelsen innebär inte någon skyldighet att lämna ut uppgifter som inte finns i allmänna handlingar.
Mellan myndigheter gäller att en myndighet på begäran av en annan myndighet ska lämna uppgift som den förfogar över, om inte upp- giften är sekretessbelagd eller det skulle hindra arbetets behöriga gång (6 kap. 5 § OSL). Denna bestämmelse kan ses som en precisering av den allmänna samverkansskyldigheten som gäller enligt 8 § FL. Skyl- digheten att lämna information till andra myndigheter är mer vidsträckt än skyldigheten gentemot allmänheten. Enligt denna paragraf omfattar skyldigheten varje uppgift som myndigheten förfogar över, alltså inte bara uppgifter ur allmänna handlingar.4
8.3.1Allmänt om sekretess
Inledande bestämmelser
OSL:s bestämmelser om sekretess innebär begränsningar i den rätt att ta del av allmänna handlingar som följer av TF (1 kap. 1 § andra stycket OSL). Med sekretess avses ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän hand- ling eller på något annat sätt (3 kap. 1 § OSL). Sekretess innebär således både handlingssekretess och tystnadsplikt.
Gäller förbud mot att röja en uppgift, får uppgiften inte heller i övrigt utnyttjas utanför den verksamhet för vilken den är sekretess- reglerad (7 kap. 1 § OSL).
Det finns inte någon definition av ordet röja i OSL och det kan i vissa situationer vara svårt att avgöra om en uppgift kan anses röjd.
Förbudet att röja eller utnyttja en uppgift gäller för myndigheter (2 kap. 1 § första stycket OSL). Ett sådant förbud gäller också för en
4Lenberg, Tansjö och Geijer, Offentlighets- och sekretesslagen, kommentaren till 6 kap. 5 § OSL (Juno version 26).
262
SOU 2023:76 |
Offentlighet, sekretess och tystnadsplikt |
person som fått kännedom om uppgiften genom att för det allmännas räkning delta i en myndighets verksamhet som exempelvis anställd eller uppdragstagare (se 2 kap. 1 § andra stycket OSL). Bestämmelserna gäller också för företag där kommuner eller regioner utövar ett rätts- ligt bestämmande inflytande (se 2 kap. 3 § första stycket OSL).
Vilka sekretessen gäller mot
Sekretessen gäller såväl mot enskilda, det vill säga fysiska eller juri- diska personer, som mot andra myndigheter (se 8 kap. 1 § OSL). Nämnder inom en kommun eller region anses som egna myndig- heter. Om en kommun eller en region har valt att dela upp hälso- och sjukvården på flera sektorer som organisatoriskt hör till olika nämnder är OSL:s regler om sekretess därmed tillämpliga vid uppgiftslämnande mellan de olika nämndernas vårdinrättningar. Samma sak gäller i för- hållande till kommunala företags vårdinrättningar (se prop. 2007/08:126 s. 164). Som ”enskild” betraktas även privata företag, vilket innebär att sekretess även gäller gentemot till exempel en privat vårdgivare.
Sekretessen gäller också mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra (8 kap. 2 § OSL). Det är inte alltid helt lätt att avgöra när det finns självständiga verksamhetsgrenar inom en myndighet. Av förarbetena till PDL framgår att all hälso- och sjukvård som lyder under samma nämnd inom en region eller en kommun utgör en och samma verksamhetsgren (prop. 2007/08:126 s. 163). Det innebär att någon sekretessprövning enligt OSL inte behöver göras när uppgifter överförs mellan olika vårdinrättningar, till exempel från ett sjukhus till en vårdcentral, så länge som dessa sorterar under samma nämnd.
Forskning som bedrivs av en vårdgivande myndighet som ett led i vården och behandlingen av en patient anses ingå i myndighetens hälso- och sjukvårdsverksamhet. Annan forskning betraktas dock i regel som en självständig verksamhetsgren, vilket innebär att sekretess gäller inom myndigheten mellan sådan forskningsverksamhet och hälso- och sjukvårdsverksamheten. Med annan forskning avses doku- mentation som enbart sker i forskningssyfte och som inte heller har någon betydelse för vården (se prop. 2007/08:126 s. 51 och s. 202). Det kan vara svårt att avgöra var gränsen mellan sådan forskning och annan forskning går.
263
Offentlighet, sekretess och tystnadsplikt |
SOU 2023:76 |
Utbildningsverksamhet är i regel en självständig verksamhetsgren även om den bedrivs inom en och samma myndighet som bedriver hälso- och sjukvård (se prop. 2007/08:126 s. 51 och s. 202).
Bestämmelserna i 8 kap. 1 och 2 §§ OSL reglerar den så kallade yttre sekretessen. OSL innehåller inte något förbud mot att röja upp- gifter till någon inom en och samma myndighet eller verksamhetsgren, den så kallade inre sekretessen. Sådana bestämmelser finns i stället vad gäller hälso- och sjukvården i exempelvis PDL.
Utlämnande av avidentifierade och pseudonymiserade uppgifter
För att det ska finnas hinder mot att lämna ut uppgifter som är sek- retessreglerade till skydd för enskilds personliga eller ekonomiska för- hållanden krävs det att en enskild person riskerar att lida skada eller men (se exempelvis sekretessbestämmelserna i 25 kap. OSL). Vad som avses med begreppet men framgår av avsnitt 8.3.3.
I förarbetena till den tidigare sekretesslagen (1980:100) anges att det krävs att uppgifterna är hänförliga till en viss individ för att en enskild person ska lida skada eller men. Det innebär att det i allmänhet bör vara möjligt att lämna ut så kallade avidentifierade uppgifter utan att risk för skada eller men uppkommer. I enstaka fall kan det emellertid tänkas att en avidentifiering inte är tillräcklig för att hindra att sam- bandet mellan individen och uppgiften spåras. Frågan om en sådan risk föreligger får bedömas efter omständigheterna i det enskilda fallet (se prop. 1979/80:2 Del A s. 84).
För att uppgifter ska anses vara avidentifierade ska en enskild inte kunna identifieras vare sig utifrån de uppgifter som lämnas ut eller med hjälp av annan tillgänglig information, så kallad pusselläggning, (se bland annat Kammarrätten i Stockholms dom den 20 augusti 2020 i mål nr
I ett beslut av Riksdagens ombudsmän, JO, som rörde utlämnande av personuppgifter till tredje land, uttalar sig JO om pseudonymiserade uppgifter (JO:s beslut den 4 juni 2019, dnr
264
SOU 2023:76 |
Offentlighet, sekretess och tystnadsplikt |
direktidentifierande uppgifter (jämför definitionen i artikel 4.5 i EU:s dataskyddsförordning).
Att lämna ut uppgifter i pseudonymiserad form kan, enligt JO, medföra att det saknas risk för att en enskild person ska lida skada eller men, och att uppgifterna då kan lämnas ut. Det är emellertid vik- tigt att den utlämnande myndigheten gör en noggrann prövning av vilka uppgifter som kan lämnas ut, och hur utlämnandet bör ske, för att inte riskera att röja enskilda individer. Vid bedömningen bör myn- digheten beakta bland annat vilken typ av uppgifter som omfattas, vem som är mottagare, vilken spridning uppgifterna kommer att få, hur uppgifterna kommer att hanteras av mottagaren, vilka som har tillgång till referensuppgifterna och vilka risker som finns för ytter- ligare spridning av uppgifterna.
I kapitel 7. (Dataskydd) finns en närmare beskrivning av begreppet pseudonymisering. I det kapitlet redogörs också för betydelsen av begreppet anonymisering. Begreppet anonymisering används fram- för allt i dataskyddssammahang och i regel inte i sammanhang då det gäller sekretess. Begreppet anonymisering kopplar till frågan om en uppgift är en personuppgift eller inte medan begreppet avidentifiering kopplar till frågan om det finns en risk för skada eller men om upp- gifterna lämnas ut.
Sekretessbrytande bestämmelser
En sekretessbrytande bestämmelse är en bestämmelse som innebär att en sekretessbelagd uppgift får lämnas ut under vissa förutsätt- ningar (3 kap. 1 § OSL). I 10 kap. OSL finns sekretessbrytande bestäm- melser som är tillämpliga på sekretess enligt alla eller ett stort antal sekretessbestämmelser i lagen. Sekretessbrytande bestämmelser som endast bryter sekretess som gäller enligt en viss sekretessbestämmelse eller enligt några få sekretessbestämmelser finns utspridda i olika kapi- tel, bland annat i 25 kap. OSL, se nedan i avsnitt 8.3.3).
Sekretess hindrar inte att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning (10 kap. 28 § första stycket OSL). Bestämmelsen är även tillämplig när uppgifter lämnas mellan olika verksamhetsgrenar inom en myndighet som är att betrakta som självständiga i förhållande till varandra (se 8 kap. 2 § OSL). Ett exempel på en sådan uppgiftsskyldighet är att den som bedriver verk-
265
Offentlighet, sekretess och tystnadsplikt |
SOU 2023:76 |
samhet inom hälso- och sjukvården ska lämna uppgifter till ett hälso- dataregister för vissa angivna ändamål (6 § lag (1998:543) om hälso- dataregister).
I 10 kap. 1 § OSL finns en annan sekretessbrytande bestämmelse. I denna bestämmelse anges att det följer av 12 kap. OSL att sekretess till skydd för en enskild inte hindrar att en uppgift lämnas till en annan enskild eller till en myndighet, om den enskilde samtycker till det. I 12 kap. 2 § första stycket OSL anges att en enskild helt eller delvis kan häva sekretess som gäller till skydd för honom eller henne, om inte annat anges i denna lag. Till skillnad från 10 kap. 16 och 28 §§ OSL är denna sekretessbrytande bestämmelse inte bara tillämplig när det gäller att lämna uppgifter till myndigheter utan även till enskilda. Se mer om samtycke till att bryta sekretessen i Bilaga 3 (Samtycken inom vård och klinisk forskning).
Om 10 kap. 1 eller 28 §§ OSL är tillämpliga kan en uppgift lämnas ut utan att det behöver göras en bedömning av om ett sådant utläm- nande innebär en risk för skada, men eller annan olägenhet.
Utlämnande av uppgift med förbehåll
I 10 kap. 14 § första stycket OSL finns en bestämmelse som ger en myndighet möjlighet att till en enskild lämna ut en uppgift som är sekretessbelagd, under förutsättning att den risk för skada, men eller annan olägenhet som hindrar att uppgifterna lämnas, kan undanröjas genom ett förbehåll som inskränker den enskildes rätt att lämna upp- giften vidare eller utnyttja den.
Som framgår av bestämmelsens ordalydelse kan ett sådant förbehåll endast riktas till enskilda mottagare. Vidare kan förbehållet endast an- vändas i förhållande till sekretessbestämmelser som innehåller någon form av skaderekvisit (se prop. 1979/80:2 Del A s. 350). Ett förbehåll kan alltså inte möjliggöra ett utlämnande av en uppgift som omfattas av så kallad absolut sekretess.
En tystnadsplikt som följer av ett förbehåll som avses i 10 kap. 14 § första stycket OSL inskränker rätten att meddela och offentliggöra uppgifter (13 kap. 5 § andra stycket OSL).
266
SOU 2023:76 |
Offentlighet, sekretess och tystnadsplikt |
Primära sekretessbestämmelser och bestämmelser om överföring av sekretess
Sekretessen följer som huvudregel inte med en uppgift när den läm- nas till en annan myndighet. I förarbetena till den numera upphävda sekretesslagen motiverades denna ordning bland annat med att behovet av och styrkan i en sekretess inte kan bestämmas endast med hänsyn till sekretessintresset utan också måste vägas mot intresset av insyn i myndigheternas verksamhet. Ett annat skäl uppgavs vara att det är svårt att överblicka konsekvenserna av en regel som innebär att sekre- tessen sprider sig i flera led från myndighet till myndighet. En sådan regel bedömdes också skapa tillämpningssvårigheter (prop. 1979/80:2 Del A s. 75).
Får en myndighet en sekretessreglerad uppgift från en annan myn- dighet, gäller sekretess för uppgiften hos den mottagande myndigheten endast om sekretess följer av en primär sekretessbestämmelse som är tillämplig hos den mottagande myndigheten eller av en bestämmelse om överföring av sekretess. Motsvarande gäller om en myndighet har elektronisk tillgång till en sekretessreglerad uppgift hos en annan myn- dighet (7 kap. 2 § OSL). Med elektronisk tillgång avses exempelvis att en myndighet får så kallad direktåtkomst till journaluppgifter genom sammanhållen vård- och omsorgsdokumentation.
En primär sekretessbestämmelse är en bestämmelse om sekretess som en myndighet ska tillämpa på grund av att bestämmelsen riktar sig direkt till myndigheten eller omfattar en viss verksamhetstyp eller en viss ärendetyp som hanteras hos myndigheten eller omfattar vissa uppgifter som finns hos myndigheten (3 kap. 1 § OSL).
En bestämmelse om överföring av sekretess är en bestämmelse som innebär att en sekretessbestämmelse som är tillämplig på en uppgift hos en myndighet, ska tillämpas på uppgiften även av en myndighet som uppgiften lämnas till eller som har elektronisk tillgång till upp- giften hos den förstnämnda myndigheten (3 kap. 1 § OSL). I samma bestämmelse anges också att en sekundär sekretessbestämmelse är en bestämmelse om sekretess som en myndighet ska tillämpa på grund av en bestämmelse om överföring av sekretess.
267
Offentlighet, sekretess och tystnadsplikt |
SOU 2023:76 |
Bestämmelser om överföring av sekretess
I 11 kap. OSL finns sekundära sekretessbestämmelser, det vill säga be- stämmelser om överföring av sekretess, som innebär att sekretess över- förs till vissa angivna typer av organ eller vissa angivna verksamheter.
Det finns en bestämmelse om överföring av sekretess när en myn- dighet i sin forskningsverksamhet får en sekretessreglerad uppgift från en annan myndighet (11 kap. 3 § OSL). I dessa fall blir alltså sekre- tessbestämmelsen tillämplig även hos den mottagande myndigheten. Detta gäller dock inte avseende en uppgift som ingår i ett beslut hos den mottagande myndigheten.
Vidare finns en bestämmelse om överföring av sekretess när en myndighet får direktåtkomst till andra myndigheters upptagningar för automatiserad behandling och en uppgift i denna upptagning är sekretessreglerad (11 kap. 4 § OSL). Även i dessa fall gäller sekretess- bestämmelsen inte avseende en uppgift som ingår i ett beslut hos den mottagande myndigheten.
Konkurrens mellan primära sekretessbestämmelser och bestämmelser om överföring av sekretess
De sekundära sekretessbestämmelserna som finns i 11 kap. 3 och 4 §§ kan i vissa fall bli utkonkurrerade av en primär sekretessbestämmelse.
Huvudregeln om konkurrens mellan sekretessbestämmelser finns i 7 kap. 3 § OSL. I den bestämmelsen anges att om flera sekretess- bestämmelser är tillämpliga på en uppgift hos en myndighet och en prövning i ett enskilt fall resulterar i att uppgiften inte är sekretess- belagd enligt en eller flera bestämmelser samtidigt som den är sek- retessbelagd enligt en eller flera andra bestämmelser, ska de senare bestämmelserna ha företräde, om inte annat anges i denna lag.
I 11 kap. 8 § OSL finns ett undantag från denna huvudregel. Av den bestämmelsen framgår att de sekundära sekretessbestämmelserna som finns i 11 kap.
268
SOU 2023:76 |
Offentlighet, sekretess och tystnadsplikt |
En sådan ordning har bland annat motiverats med att en primär sek- retessbestämmelse normalt har utformats efter en avvägning av sekre- tessintresset och intresset av insyn hos just det organet eller i den verksamheten (jämför prop. 2007/08:160 s. 76).5
Om den primära och den sekundära sekretessbestämmelsen inte gäller till skydd för samma intresse är bestämmelsen i 11 kap. 8 § OSL inte tillämplig. Då ska i stället huvudregeln i 7 kap. 3 § OSL tillämpas.
Bestämmelsen i 11 kap. 8 § OSL är inte heller tillämplig vid kon- kurrens mellan de sekundära sekretessbestämmelserna i 11 kap.
8.3.2Behandling i strid med dataskyddsregleringen
I kapitel 7 redogör utredningen för aktuella bestämmelser om data- skydd enligt EU:s dataskyddsförordning och lag (2018:218) med kom- pletterande bestämmelser till EU:s dataskyddsförordning, förkortad dataskyddslagen. Utredningen beskriver vidare bestämmelser i bland annat lagen (2003:460) om etikprövning av forskning som avser män- niskor, förkortad EPL, se vidare kapitel 6
21 kap. OSL innehåller särskilda bestämmelser om sekretess till skydd för uppgift om enskilds personliga förhållanden oavsett i vilket sammanhang uppgiften förekommer. I det kapitlet finns en bestäm- melse, 21 kap. 7 § OSL, som har direkt koppling till de ovan nämnda regelverken.
I bestämmelsen anges att sekretess gäller för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen i den ursprungliga lydelsen, data- skyddslagen eller 6 § EPL (21 kap. 7 § första stycket OSL, vår kursi- vering). Bestämmelsen är utformad med ett så kallat rakt skaderekvisit, vilket innebär en presumtion för att uppgifter får lämnas ut.
Av förarbetena till dataskyddslagen framgår att vidare undersök- ningar av den kommande behandlingen får vidtas endast om det finns
5Se även Lenberg, Tansjö och Geijer, Offentlighets- och sekretesslagen, kommentaren till 11 kap.
8§ OSL (Juno version 26).
269
Offentlighet, sekretess och tystnadsplikt |
SOU 2023:76 |
konkreta omständigheter som indikerar att mottagaren kommer att behandla uppgifterna på ett sätt som strider mot dataskyddsregler- ingen. Finns det inga sådana indikationer behöver inte någon bedöm- ning enligt dataskyddsregleringen göras (prop. 2017/18:105 s. 135).
8.3.3Sekretess i verksamhet som avser hälso- och sjukvård med mera
I 25 kap. OSL finns särskilda bestämmelser om sekretess till skydd för enskild i verksamhet som avser hälso- och sjukvård med mera. Det kan dock vara värt att notera att även sekretessbestämmelser som finns i andra kapitel i OSL kan bli tillämpliga på uppgifter som finns inom hälso- och sjukvården. Exempelvis kan 35 kap. 1 § OSL, som bland annat innehåller bestämmelser om sekretess till skydd för enskildas intressen i förundersökning och annan brottsbekämpande verksamhet, bli tillämplig på uppgifter som finns inom hälso- och sjukvården. Ett annat exempel på sekretessbestämmelser som kan bli tillämpliga är 21 kap. 7 §, se avsnitt 8.3.2 (Behandling i strid med dataskyddsregler- ingen).
Verksamhet vid sjukhus och andra liknande inrättningar som drivs av enskilda, det vill säga privata vårdgivare, faller utanför OSL:s tillämp- lighet. Vad gäller dessa verksamheter finns det i stället bestämmelser om tystnadsplikt i PSL se avsnitt 8.4. (Tystnadsplikt för personal inom den enskilda hälso- och sjukvården).
Sekretess inom hälso- och sjukvården och annan medicinsk verksamhet
Sekretess gäller inom hälso- och sjukvården för uppgift om en en- skilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon när- stående till denne lider men. Bestämmelsen i 25 kap. 1 § första stycket OSL om sekretess i hälso- och sjukvården är alltså utformad med ett så kallat omvänt skaderekvisit, vilket innebär att presumtionen är att uppgifterna omfattas av sekretess. Sekretessen gäller också i annan medicinsk verksamhet, exempelvis rättsmedicinsk och rättspsykiatrisk undersökning, insemination, befruktning utanför kroppen, faststäl- lande av könstillhörighet, abort, sterilisering, omskärelse och åtgärder
270
SOU 2023:76 |
Offentlighet, sekretess och tystnadsplikt |
mot smittsamma sjukdomar (25 kap. 1 § första stycket OSL). Av be- stämmelsens andra stycke framgår att det finns vissa undantag från denna huvudregel.
Med uttrycket hälso- och sjukvård förstås först och främst den öppna och slutna sjukvård som regleras i hälso- och sjukvårdslagen (2017:30), förkortad HSL. Hit hör också den förebyggande medicinska hälso- vården, till exempel den som bedrivs vid mödra- och barnavårds- centralerna. Även tandvården hör till hälso- och sjukvården. Hälso- och sjukvård kan även utgöra inslag i annan förvaltning, till exempel inom skolväsendet eller socialtjänsten. Företagshälsovården i det allmännas verksamhet faller också under paragrafens tillämpningsområde.6
Med uttrycket annan medicinsk verksamhet avses verksamhet som inte primärt har vård- eller behandlingssyfte.7 I lagtexten ges exem- pel på sådana verksamheter.
Begreppet personliga förhållanden, som också inkluderar någons hälsotillstånd, ska tolkas utifrån vanligt språkbruk. Vitt skilda förhållan- den omfattas, såsom adress, ekonomiska förhållanden och yttringar av ett psykiskt sjukdomstillstånd (se prop. 1979/80:2 Del A s. 84 och 168). Detta innebär att i stort sett alla personuppgifter som förekommer i hälso- och sjukvårdens verksamhet omfattas av sekretess.
Begreppet men har en mycket vid innebörd. I första hand avses att någon blir utsatt för andras missaktning om hans eller hennes per- sonliga förhållanden blir kända. Redan den omständigheten att vissa personer känner till en, för någon enskild, känslig uppgift kan i många fall anses tillräckligt för att medföra men. Utgångspunkten för en be- dömning av om men föreligger är den berörda personens egen upp- levelse. Bedömningen måste dock i viss utsträckning kunna korrigeras på grundval av gängse värderingar i samhället. Begreppet men kan i vissa sammanhang även inbegripa ekonomiska konsekvenser för en enskild (se prop. 1979/80:2 Del A s. 83).
6Lenberg, Tansjö och Geijer, Offentlighets- och sekretesslagen, kommentaren till 25 kap. 1 § OSL (Juno version 26).
7Lenberg, Tansjö och Geijer, Offentlighets- och sekretesslagen, kommentaren till 25 kap. 1 § OSL (Juno version 26).
271
Offentlighet, sekretess och tystnadsplikt |
SOU 2023:76 |
Sekretess för uppgifter som ingår i system med sammanhållen vård- och omsorgsdokumentation
Den 1 januari 2023 trädde lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation, förkortad SVOD, i kraft. Med samman- hållen vård- och omsorgsdokumentation avses ett elektroniskt system som gör det möjligt för en vårdgivare eller omsorgsgivare att ge eller få tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter hos andra vårdgivare eller omsorgsgivare (1 § SVOD). Regler om så kallad sammanhållen journalföring mellan vårdgivare fanns tidigare reglerat i 6 kap. PDL. Genom lagändringen har bestäm- melser om elektroniskt utlämnande mellan vårdgivare samt mellan vårdgivare och omsorgsgivare samlats i en lag. För en närmare beskriv- ning av den nya lagen se kapitel 7.
När det gäller vårdgivare som får tillgång till uppgifter genom sam- manhållen vård- och omsorgsdokumentation finns en särskild sekre- tessbestämmelse i 25 kap. 2 § OSL. I bestämmelsens första stycke anges att sekretess gäller hos en myndighet som bedriver verksamhet som avses i 1 §8 för uppgift om en enskilds personliga förhållanden som gjorts tillgänglig av en annan vårdgivare eller omsorgsgivare enligt SVOD, om inte förutsättningarna enligt 3 kap. 1, 3, 5 eller 6 §§ samma lag för att myndigheten ska få behandla uppgiften är uppfyllda.
Om de villkor för behandling av uppgifter som uppställs i de an- givna paragraferna inte är uppfyllda, gäller således så kallad absolut sekretess för uppgifterna. Absolut sekretess avser att en sekretess- bestämmelse saknar skaderekvisit, det vill säga sekretess råder oavsett vilka följder ett röjande skulle få. Absolut sekretess medför således att någon skadeprövning inte ska göras. Myndigheten behöver därmed inte ta del av uppgifterna för att pröva sekretessfrågan. En begäran om att lämna ut uppgifterna kan därmed avslås med hänvisning till att begärda uppgifter inte förvaras hos myndigheten (prop. 2021/ 22:177 s. 228).
Om förutsättningarna i de angivna paragraferna för att den an- slutna vårdgivaren ska få behandla uppgifterna är uppfyllda, eller om myndigheten har behandlat uppgifterna enligt nämnda bestämmelser tidigare, gäller däremot sekretess med ett omvänt skaderekvisit. Sek- retess gäller då om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (25 kap. 2 §
8Det vill säga hälso- och sjukvård eller annan medicinsk verksamhet.
272
SOU 2023:76 |
Offentlighet, sekretess och tystnadsplikt |
andra stycket första meningen OSL). Av samma stycke andra meningen framgår vidare att det finns vissa undantag till det som anges i första meningen.
Sekretessbrytande bestämmelser
I 25 kap. 11 § OSL finns ett antal bestämmelser som bryter sekretessen i 1 §, det vill säga sekretessen inom hälso- och sjukvården och annan medicinsk verksamhet. Därtill kan de sekretessbrytande bestämmel- ser som finns i 10 kap. OSL bli tillämpliga, se avsnitt 8.3.1 (Allmänt om sekretess).
Av 25 kap. 11 § 1 och 2 OSL framgår att sekretessen enligt 1 § inte hindrar att uppgift lämnas från myndighet som bedriver verk- samhet som avses i den paragrafen till en annan sådan myndighet i samma kommun eller region. Företag där kommuner eller regioner utövar ett rättsligt bestämmande inflytande ska jämställas med myndig- heter i detta sammanhang (se 2 kap. 3 § första stycket OSL). Bestäm- melsen gör det möjligt för kommuner och regioner att fritt välja sin organisation utan hänsyn till att sekretess i princip råder mellan myn- digheter. Även om ingen sekretess gäller mellan hälso- och sjukvårds- myndigheter i samma kommun eller region kan bestämmelsen i 5 kap. 1 § 3 HSL om att vården ska bygga på respekt för patientens själv- bestämmande innebära att vissa uppgifter inte ska lämnas ut. I den mån uppgifterna behandlas enligt PDL träder även skyddsreglerna i den lagen och EU:s dataskyddsförordning in.9 För en närmare beskriv- ning av dessa regelverk, se kapitel 5 (Hälso- och sjukvård) och kapitel 7 (Dataskydd).
Av 25 kap. 11 § 3 framgår att sekretessen enligt 1 § inte hindrar att uppgift lämnas till en myndighet som bedriver verksamhet som avses i den paragrafen, 26 kap. 1 §10 OSL eller en enskild vårdgivare eller omsorgsgivare enligt det som föreskrivs i lagen om samman- hållen vård- och omsorgsdokumentation. Även i detta sammanhang ska företag där kommuner eller regioner utövar ett rättsligt bestäm- mande inflytande jämställas med myndigheter. I 25 kap. 2 § OSL regle- ras vilken sekretess som gäller hos den myndighet som får tillgång till uppgifterna, se ovan.
9Se Lenberg, Tansjö och Geijer, Offentlighets- och sekretesslagen, kommentaren till 25 kap.
11§ OSL (Juno version 26).
10Det vill säga socialtjänst och därmed jämställd verksamhet.
273
Offentlighet, sekretess och tystnadsplikt |
SOU 2023:76 |
Av bestämmelsens femte punkt framgår att sekretessen enligt 1 § inte hindrar att uppgift lämnas från en myndighet som bedriver verk- samhet som avses i den paragrafen inom en kommun eller en region till annan sådan myndighet för forskning eller framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs. Bestämmelsen är utformad med ett rakt skaderekvisit, vilket innebär en presumtion för att uppgifter får lämnas ut. Som fram- går av ordalydelsen är bestämmelsen endast tillämplig när uppgift läm- nas till en myndighet som bedriver hälso- och sjukvård eller annan medicinsk verksamhet. När uppgift lämnas till exempelvis ett lärosäte i egenskap av forskningshuvudman är det i stället 25 kap. 1 § OSL som ska tillämpas, se ovan. Som framgår av avsnitt 8.3.1 (Allmänt om sek- retess) finns det en bestämmelse om överföring av sekretess när en myndighet i sin forskningsverksamhet får en sekretessreglerad uppgift från en annan myndighet (11 kap. 3 § OSL).
Rätten att meddela och offentliggöra uppgifter
Av 25 kap. 18 § andra stycket OSL framgår att den tystnadsplikt som följer av 1 och 2 §§ inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift om annat än verkställigheten av beslut om omhändertagande eller beslut om vård utan samtycke. Rätten att meddela och offentliggöra sådana uppgifter som omfattas av sek- retess enligt dessa bestämmelser är alltså mycket starkt begränsad.
8.3.4Sekretess inom forskning
Det finns ingen sekretessbestämmelse som generellt reglerar sekre- tessen till skydd för enskilds personliga och ekonomiska förhållanden inom forskningsverksamhet. I stället finns det flera sekretessbestäm- melser som kan aktualiseras och bli tillämpliga. Vidare blir indelningen mellan primära och sekundära sekretessbestämmelser central när det gäller forskningsverksamhet. När det gäller forskning som bedrivs inom en hälso- och sjukvårdsmyndighet är det även nödvändigt att skilja på sådan forskning som sker som ett led i vården och behand- lingen av en patient, och annan forskning som bedrivs som en själv- ständig verksamhetsgren. Nedan följer en beskrivning av ett antal
274
SOU 2023:76 |
Offentlighet, sekretess och tystnadsplikt |
sekretessbestämmelser som kan bli aktuella på uppgifter som finns där forskningen bedrivs efter att uppgifterna har tillgängliggjorts genom utredningens författningsförslag.
Primära sekretessbestämmelser
Behandling i strid med dataskyddsregleringen
I avsnitt 8.3.2 (Behandling i strid med dataskyddsregleringen) finns en beskrivning av bestämmelsen i 21 kap. 7 § OSL. Bestämmelsen kan få betydelse om uppgifter i forskningsverksamhet begärs ut.
Sekretess till skydd för enskild inom forskning och statistik
I 24 kap. OSL finns vissa bestämmelser som särskilt reglerar sekretess till skydd för enskild inom forskning och statistik.
Enligt 24 kap. 1 § OSL gäller sekretess för uppgift som hänför sig till psykologisk undersökning som utförs för forskningsändamål, om det inte står klart att uppgiften kan röjas utan att den som upp- giften rör eller någon närstående till denne lider men. Ett omvänt skade- rekvisit gäller, det vill säga det råder en presumtion för sekretess.
I 24 kap. 8 § OSL regleras den så kallande statistiksekretessen. En- ligt bestämmelsens första stycke gäller sekretess i sådan särskild verk- samhet hos en myndighet som avser framställande av statistik för upp- gift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Sekretessen är absolut. Detta stycke blir normalt inte tillämpligt på uppgifter som finns hos en region eller ett lärosäte som bedriver forskning. Detta beror bland annat på att denna verksamhet generellt inte har statistikframställ- ning som sitt huvudsakliga syfte (se prop. 2013/14:162 s. 9).
Enligt bestämmelsens andra stycke gäller dock en motsvarande sekretess i annan jämförbar undersökning som utförs av myndigheter som nämns i bestämmelsen eller av någon annan myndighet i den ut- sträckning regeringen meddelar föreskrifter om det. I 7 § offentlighets- och sekretessförordningen (2009:641), förkortad OSF, finns en upp- räkning av de myndigheter och undersökningar som berörs, liksom vilka uppgifter som omfattas av sekretessen. Där framgår bland annat att sekretessen enligt 24 kap. 8 § OSL också gäller uppgifter om enskil-
275
Offentlighet, sekretess och tystnadsplikt |
SOU 2023:76 |
das personliga förhållanden hos sjukvårdsinrättningar, utbildnings- anstalter och forskningsinrättningar i miljömedicinska, socialmedi- cinska, psykiatriska eller andra medicinska studier och hos utbildnings- anstalter och forskningsinrättningar för undersökningar i sociologiska, psykologiska, pedagogiska eller andra beteendevetenskapliga eller sam- hällsvetenskapliga studier.
Vad avser begreppet annan jämförbar undersökning anförs i för- arbetena till bestämmelsen att undersökningar med hjälp av statistiska metoder genomförs inom en rad myndigheters verksamheter. Vissa sådana undersökningar omfattas av statistiksekretess trots att de ge- nomförs utanför en särskild verksamhet för framställning av statistik. En skillnad jämfört med sekretessen i särskild statistikverksamhet är att sekretessens räckvidd inte gäller i hela verksamheten utan är be- gränsad till sådana uppgifter som kan hänföras till undersökningen (prop. 2013/14:162 s. 10).
Är bestämmelsen i 24 kap. 8 § andra stycket tillämplig gäller såle- des absolut sekretess även för uppgifterna hänförliga till sådan jäm- förbar verksamhet.
Det finns emellertid vissa undantag från den absoluta sekretessen i 24 kap. 8 § första och andra stycket OSL. Ett av dessa handlar om uppgifter som behövs för forsknings- eller statistikändamål. Ett annat undantag omfattar uppgift som inte genom namn, annan identitets- beteckning eller liknande förhållande är direkt hänförlig till den en- skilde. I dessa undantagsfall får uppgifter lämnas ut, om det står klart att dessa kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men (se 24 kap. 8 § tredje stycket OSL). Be- stämmelsen är utformad med ett så kallat omvänt skaderekvisit, vilket innebär att presumtionen är att uppgifterna omfattas av sekretess.
Rätten att meddela och offentliggöra uppgifter
Av 24 kap. 9 § OSL framgår att den tystnadsplikt som följer av 8 § samma kapitel inskränker rätten att meddela och offentliggöra upp- gifter.
276
SOU 2023:76 |
Offentlighet, sekretess och tystnadsplikt |
Forskning som ett led i vården och behandlingen av en patient
Som framgår av avsnitt 8.3.1 (Allmänt om sekretess) anses forskning som bedrivs som ett led i vården och behandlingen av en patient ingå i en myndighets hälso- och sjukvårdsverksamhet. Detta till skillnad från forskning där dokumentation enbart sker i forskningssyfte och där forskningen inte har någon betydelse för vården. Sådan forsk- ning betraktas i regel som en självständig verksamhetsgren.
När det gäller forskning som bedrivs som ett led i vården och be- handlingen av en patient omfattas denna forskning av hälso- och sjuk- vårdssekretessen (prop. 2007/08:126 s. 202). Bestämmelsen i 25 kap.
1§ OSL blir alltså tillämplig som primär sekretessbestämmelse i sådana fall. En beskrivning av denna bestämmelse finns i avsnitt 8.3.3 (Sek- retess i verksamhet som avser hälso- och sjukvård med mera).
Som framgår i avsnitt 8.3.1 (Allmänt om sekretess) är det inte helt enkelt att dra gränsen mellan forskning som bedrivs som ett led i vår- den och behandlingen av en patient och sådan forskning som sker som en självständig verksamhetsgren.
8.3.5Överföring av sekretess i forskningsverksamhet
Som framgår av avsnitt 8.3.1 (Allmänt om sekretess) finns en be- stämmelse om överföring av sekretess som anger att om en myndighet i sin forskningsverksamhet får en sekretessreglerad uppgift från en annan myndighet, blir sekretessbestämmelsen tillämplig på uppgiften även hos den mottagande myndigheten. Detta gäller dock inte avseende uppgifter som ingår i ett beslut hos den mottagande myndigheten (se 11 kap. 3 § OSL).
Bestämmelsen om överföring av sekretess blir tillämplig i de fall det inte finns någon primär sekretessbestämmelse hos den motta- gande myndigheten som är tillämplig på uppgifterna som behandlas i forskningsverksamheten. Sekretessen överförs alltså i det fall upp- gifterna lämnas till en myndighets forskningsverksamhet under för- utsättning att uppgifterna inte redan omfattas av en primär sekre- tessbestämmelse till skydd för samma intresse hos den mottagande myndigheten. Detta framgår av 11 kap. 8 § OSL som reglerar kon- kurrens mellan primära och sekundära sekretessbestämmelser, se av- snitt 8.3.1 (Allmänt om sekretess).
277
Offentlighet, sekretess och tystnadsplikt |
SOU 2023:76 |
I avsaknad av en primär sekretessbestämmelse innebär 11 kap. 3 § OSL bland annat att den sekretess med omvänt skaderekvisit som gäller enligt 25 kap. 1 § OSL överförs från en utlämnande myndighet till en mottagande myndighet. Detta får betydelse inom forskningen eftersom en viktig källa för forskare, främst på det medicinska om- rådet, är personuppgifter som hämtas från hälso- och sjukvården. Sådana uppgifter skyddas av hälso- och sjukvårdssekretess i 25 kap. 1 § OSL.
8.4Tystnadsplikt för personal inom den enskilda hälso- och sjukvården
Som framgår ovan omfattas inte personal inom den enskilda hälso- och sjukvården, det vill säga privata vårdgivare, av bestämmelserna i OSL. För den enskilda hälso- och sjukvården gäller i stället bestäm- melser om tystnadsplikt i 6 kap.
Vid tolkningen av obehörighetsrekvisitet har det ansetts naturligt att söka viss ledning i skaderekvisitet som finns i OSL:s motsvarande bestämmelse. Därigenom nås en i sak nära överensstämmelse mellan tystnadsplikten för personal inom den offentliga hälso- och sjuk- vården och tystnadsplikten för personal inom den enskilda hälso- och sjukvården (jämför prop. 1981/82:186, s. 26).
278
SOU 2023:76 |
Offentlighet, sekretess och tystnadsplikt |
8.5Brott mot tystnadsplikten
Röjande eller olovligen utnyttjande av en uppgift, som någon är pliktig att hemlighålla enligt lag eller annan författning eller enligt förordnande eller förbehåll som har meddelats med stöd av lag eller annan för- fattning, är straffsanktionerat som brott mot tystnadsplikt. För straff- ansvar krävs att gärningen begåtts med uppsåt eller av oaktsamhet och att det inte rör sig om ringa fall av oaktsamhetsbrott (se 20 kap. 3 § brottsbalken).
Straffbestämmelsen avser både sådan tystnadsplikt som gäller i offentlig verksamhet enligt OSL och sådan tystnadsplikt som gäller i enskild verksamhet enligt andra författningar, exempelvis PSL. Exem- pel på förbehåll som har meddelats med stöd av lag är sådana förbehåll som görs med stöd av 10 kap. 14 § OSL.
279
9 Övrig lagstiftning
9.1Inledning
Utredningen redogör i kapitel
9.2Dataförvaltningsförordningen
Bestämmelserna i Europaparlamentet och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltningsförord- ning och om ändring av förordning (EU) 2018/1724 (dataförvaltnings- akten), förkortad dataförvaltningsförordningen, började tillämpas den 24 september 2023. Dataförvaltningsförordningen omfattar villkor för vidareutnyttjande av vissa typer av skyddade data från offentliga myn- digheter, en ram för anmälan av och tillsyn över tillhandahållande av dataförmedlartjänster, ett ramverk för frivillig registrering av och till- syn över dataaltruismorganisationer samt inrättande av en europeisk datainnovationsstyrelse. Dataförvaltningsförordningen är en del av genomförandet av EU:s datastrategi.
Bakgrund och kopplingen till datalagen
Reglerna om tillgängliggörande av skyddade data för vidareutnyttjande i dataförvaltningsförordningen har en stark koppling till det tidigare genomförda öppna
281
Övrig lagstiftning |
SOU 2023:76 |
syfte att säkerställa att myndigheter gör en större del av de data de producerar lätt tillgängliga för användning och vidareutnyttjande.
Av olika skäl har vissa kategorier av data, såsom data som rör affärs- hemligheter, insynsskyddade statistiska data och data som skyddas av tredje parts immateriella rättigheter inbegripet personuppgifter, inte tillgängliggjorts i den utsträckning som är möjligt enligt unionsrät- ten (Ds 2023:24 Genomförande av EU:s dataförvaltningsförordning s. 74 f.).
Öppna
Datalagen syftar till att främja den offentliga sektorns tillgänglig- görande av data för vidareutnyttjande, särskilt i form av öppna data, under förutsättning att krav på informationssäkerhet och skydd av personuppgifter kan upprätthållas och att det inte innebär risker för Sveriges säkerhet (1 kap. 1 §). Enligt 1 kap. 2 § ska datalagen inte på- verka bestämmelser som styr tillgången till data enligt nationell- eller unionsrätt. Inte heller ska den påverka tillämpningen av bestämmelser i annan lag eller förordning om skyddet för personuppgifter. Av 1 kap. 3 § kan utläsas att för det fall det föreskrivs strängare krav för ett till- gängliggörande i annan författning ska de kraven gälla, i annat fall gäller det som sägs i datalagen. Anledningen är att
Sammanfattningsvis kan det konstateras att datalagen varken ger en mer vidsträckt rätt för någon att få tillgång till data än vad som följer av någon annan författning, eller begränsar en sådan rätt till data som regleras i annan lag eller förordning (prop. 2021/22:225 s. 22 f.).
I kapitel II dataförvaltningsförordningen finns villkor och ramar för vidareutnyttjande av skyddade data som innehas av offentliga myn- digheter. Kapitlet kan ses som en vidareutveckling gällande det rätts- liga ramverket för att kunna tillgängliggöra offentligt producerade data för vidareutnyttjande. Detta eftersom dataförvaltningsförordningen omfattar villkor för vidareutnyttjande från offentliga myndigheter av vissa typer av just sådana typer av skyddade data som öppna datadirek- tivet, och även datalagen, inte omfattar. I förarbetena till datalagen anges att sådana data som är undantagna lagens tillämpningsområde i allmänhet är av den arten att de är nära knutna till en viss person och som alltså inte skulle tillhandahållas någon annan, främst för att
282
SOU 2023:76 |
Övrig lagstiftning |
datan innehåller integritetskänsliga personuppgifter eller omfattas av sekretess. Syftet med undantaget är att minimera risken för att data av känslig karaktär tillgängliggörs för vidareutnyttjande (jämför 1 kap. 9 § och prop. 2021/22:225 s. 32).
Närmare om regleringen i dataförvaltningsförordningens kapitel II
I kapitel II dataförvaltningsförordningen, regleras vidareutnyttjande av vissa kategorier av skyddade data som innehas av offentliga myn- digheter. Kapitlet ger inte en ny dataskyddsrättslig grund för att dela skyddade data. Inte heller innebär det skyldigheter att tillgängliggöra sådana data. I stället införs villkor för hur ett sådant tillgängliggörande får se ut i de fall sådana data kan tillgängliggöras för vidareutnyttjande enligt befintliga regler.
Vad som avses med vidareutnyttjande
Med vidareutnyttjande i dataförvaltningsförordningen avses fysiska eller juridiska personers användning av data som innehas av offentliga myndigheter för andra ändamål än de ursprungliga ändamålen inom den offentliga verksamheten (artikel 2.2)1.
Vilka omfattas av regleringen
Bestämmelserna i kapitel II dataförvaltningsförordningen är tillämpliga på offentliga myndigheter (artikel 3.1 dataförvaltningsförordningen). Med offentliga myndigheter avses enligt artikel 2.18 statliga, regionala eller lokala myndigheter och offentligrättsliga organ, eller samman- slutningar av en eller flera sådana myndigheter eller offentligrättsliga organ. Offentligrättsliga organ är juridiska personer som har inrättats för att tillgodose behov av allmänt intresse och som till största del finan- sieras av statliga, regionala eller kommunala myndigheter, eller står under administrativ tillsyn av myndigheter eller av ett kontrollorgan som till mer än hälften utses av sådana myndigheter, artikel 2.19.
Bestämmelserna ska i enlighet med artikel 3.2 inte tillämpas på offentliga företag, public
1I avsnitt 2.6 redogörs för valet av begreppet vidareanvändning i betänkandet.
283
Övrig lagstiftning |
SOU 2023:76 |
ningsinstitutioner. Med offentliga företag avses enligt definitionen i artikel 2.19 dataförvaltningsförordningen företag som offentliga myn- digheter har ett direkt eller indirekt bestämmande inflytande över.
Kort om villkoren som kan ställas för vidareutnyttjande
I artikel 5 regleras vilka villkor som får ställas upp när offentliga myn- digheter tillgängliggör de särskilda kategorierna av skyddade data för vidareutnyttjande. Villkoren ska vara
De krav som kan föreskrivas av offentliga myndigheter omfattar olika skyddsåtgärder för att upprätthålla datans aktuella skydd. Det avser bland annat anonymisering av personuppgifter, ändringar av upp- gifter innehållande affärshemligheter eller immateriella rättigheter, att tillgång till och vidareutnyttjande ska ske i en säker behandlingsmiljö som tillhandahålls och kontrolleras av myndigheten eller att tillgång till och vidareutnyttjande av data i vissa fall ska ske i bestämda fysiska lokaler där den säkra behandlingsmiljön är belägen.
Dataförvaltningsförordningen påverkar inte nationella bestämmelser om sekretess, inte heller sådan sekretess som avser de kategorier av skyd- dade data som kapitel II tar sikte på. Det innebär att vissa bestämmel- ser i offentlighets- och sekretesslagen (2009:400), förkortad OSL, som till exempel statistiksekretess och affärssekretess samt dataskyddssekre- tess i 21 kap. 7 § OSL inte påverkas, utan ska tillämpas på samma sätt som i dag även efter att dataförvaltningsförordningen börjat tillämpas.
I skäl 7 beskrivs olika tekniker som kan användas för att skydda eller ta bort personuppgifter ur en datamängd såsom exempelvis gene- ralisering, undertryckande och randomisering (för beskrivning av dessa begrepp se även kapitel 3). Om en myndighet skulle bearbeta käns- liga uppgifter med någon av dessa metoder så skulle resultatet av bear- betningen sannolikt anses vara en ny handling skild från handlingen med de känsliga uppgifterna i obearbetad form.
De moderna metoder som avses i dataförvaltningsförordningen skiljer sig från traditionell maskning enligt svensk sekretesslagstiftning
284
SOU 2023:76 |
Övrig lagstiftning |
där det vanligen är den handling där de känsliga uppgifterna ursprung- ligen finns i som blir föremål för utlämnande. Bearbetningen, det vill säga användandet av nämnda metoder, torde aldrig kunna ses som sådana rutinbetonade åtgärder som avses i 2 kap. 6 § andra stycket tryckfrihetsförordningen. Någon skyldighet att använda metoderna och i praktiken framställa nya handlingar eller data som kan göras till- gänglig för vidareutnyttjande finns inte, varken i dataförvaltningsför- ordningen eller i svensk rätt (Ds 2023:24 Genomförande av EU:s data- förvaltningsförordning s. 85).
9.3Nationell lagstiftning om bevarande och gallring
Svenska myndigheter, kommunala företag och vissa andra organ är enligt arkivlagen (1990:782) skyldiga att bevara sina allmänna hand- lingar. Myndighetens arkiv bildas av allmänna handlingar från myn- dighetens verksamhet och sådana handlingar som avses i 2 kap. 12 § tryckfrihetsförordningen och som myndigheten beslutar ska tas om hand för arkivering. Myndigheternas arkiv är en del av det nationella kulturarvet. Arkiven ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av infor- mation för rättskipningen och förvaltningen samt forskningens behov (3 § arkivlagen).
I förarbetena till dataskyddslagen har regeringen uttalat att det står klart att behandling av personuppgifter som utförs för att uppfylla de krav som ställs i arkivlagen och anslutande föreskrifter måste anses ske för arkivändamål av allmänt intresse. Den behandling av person- uppgifter som myndigheter och andra utför när de i enlighet med föreskrifter om arkiv arkiverar sina handlingar utgör således en vidare- behandling som sker för arkivändamål av allmänt intresse. Behand- lingen i arkiv ska enligt artikel 5.1 b i dataskyddsförordningen inte anses som oförenlig med de ursprungliga ändamålen. Det krävs då inte någon annan rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs (se skäl 50 till dataskyddsförordningen och prop. 2017/18:105 s. 110 f.)
Myndigheternas arkiv ska bevaras, hållas ordnade och vårdas så att de tillgodoser 1) rätten att ta del av allmänna handlingar, 2) behovet av information för rättskipningen och förvaltningen, och 3) forsk- ningens behov (3 § tredje stycket arkivlagen). Utgångspunkten enligt
285
Övrig lagstiftning |
SOU 2023:76 |
arkivlagen är alltså att allmänna handlingar ska bevaras för framtiden (detta kallas ibland evig bevarandetid). Av 10 § arkivlagen följer dock att allmänna handlingar får gallras. Med gallring avses att handlingar sorteras ut och förstörs. Vid gallring från upptagningar för automatisk databehandling raderas information från det fysiska underlaget. Att föreskriven gallring sker är viktigt både av integritetsskäl och av ekono- miska skäl. Gallring på den statliga sidan sker med stöd av föreskrifter eller särskilda beslut av Riksarkivet. Gallringsföreskrifter för kommu- nala eller regionala myndigheter meddelas i allmänhet av kommunerna eller regionerna själva2.
I förarbetena till arkivlagen anges att gallringen utgör en praktisk nödvändighet. Utan den skulle arkivmaterialet växa i en omfattning som vore ohanterlig, utan att det skulle medföra några fördelar från insyns- eller informationssynpunkt. Tvärtom skulle arkiven bli mer svårhanterliga. Gallringen syftar till att arkiven inte ska tyngas av hand- lingar som saknar påtagligt informationsvärde, som bara utgör en dubblering av information som bättre kan sökas i ett annat arkiv eller som har ett informationsvärde som är markant begränsat i tiden. Vid gallring ska alltid beaktas att arkiven utgör en del av kulturarvet. Det arkivmaterial som återstår ska kunna tillgodose de ändamål som anges i 3 § tredje stycket arkivlagen. Även efter en genomförd gallring måste arkiven kunna tillgodose rätten att ta del av allmänna handlingar, rätt- skipningens och förvaltningens behov och forskningens behov (se prop. 1989/90:72 s. 42).
Det är den arkivbildande myndigheten som verkställer föreskriven gallring i arkivet (6 § arkivlagen). Av 8 § andra stycket arkivlagen fram- går att kommunstyrelsen är arkivmyndighet i kommunen och region- styrelsen i regionen, om inte kommunfullmäktige eller regionfullmäk- tige har utsett någon annan nämnd eller styrelse till arkivmyndighet.
Huvudregeln är alltså att allmänna handlingar ska bevaras i myndig- heternas arkiv med en evig bevarandetid. Gallring får dock under vissa förutsättningar ske. Avvikande gallringsbestämmelser i lag eller förord- ning tar över arkivlagens regler om bevarande och gallring (10 § tredje stycket arkivlagen). Särskilda gallringsregler finns till exempel i de regis- terlagar som reglerar personregister på integritetskänsliga områden.3
2Adlercreutz, Arkivlag (1990:782) 10 §, Karnov (JUNO)(besökt
3Adlercreutz, Arkivlag (1990:782) 10 §, Karnov (JUNO)(besökt
286
ANALYS, ÖVERVÄGANDEN
OCH FÖRSLAG
287
10 Internationell jämförelse
10.1Inledning
I detta kapitel har utredningen fokuserat på en internationell utblick. Syftet har varit att försöka väga Sveriges situation och nivå mot andra jämförbara länder på hälsodataområdet. Utredningen har även för- sökt ringa in vad Sverige kan lära sig av andra länder. Utredningen har i jämförelsen tittat närmare på automatiserad databehandling, nationellt tillgängliga medborgartjänster, teknisk och semantisk inter- opabilitet, samt nationell digital infrastruktur.
Eftersom området är så pass stort och komplext finns det många dimensioner och perspektiv där ett land kan vara bättre eller sämre i relation till ett annat. Samtidigt finns många faktorer som samvarierar och påverkar varandra, vilket gör att det är svårt att jämföra hela eller enskilda delar av hälsodataområdet. Utredningen har dock försökt att i så stor mån det är möjligt att fokusera på insatser som andra länder gjort och sätta det i en kontext för att på så vis försöka kunna esti- mera hur lång tid det skulle ta för Sverige att uppnå ett liknande resul- tat, givet den svenska kontexten. För att göra detta har utredningen försökt kvantifiera i år som Sverige ligger efter föregångsländerna, syftet med det är att försöka konkretisera insatserna som behöver göras framgent i ett policycykelperspektiv. Utredningen vill poängtera att bedömningarna i detta kapitel endast är uppskattningar från utred- ningens håll och vill understryka att det är svårt att göra jämförelser mellan länder på ett så pass stort och vagt definierat område som hälso- dataområdet är.
289
Internationell jämförelse |
SOU 2023:76 |
10.2Allmänna utgångspunkter
Sverige ser sig och har historiskt sett sig som ett land med god tillgång till hälsodata. Utredningens bedömning är att det är svårt att använda ett eller ett fåtal mått för att avgöra om ett land kan klassas som i fram- kant vad gäller tillgång till och användning av hälsodata. Flera mät- ningar, så som indexet för digital ekonomi och digitalt samhälle (DESI) är oftast generella och fokuserade på historiskt viktiga indikatorer, eller indikatorer som kanske är viktiga för länder som inte kommit så långt i sin digitala utveckling. Ett exempel på en sådan indikator är andelen kvinnor respektive män som använder internet. I Sverige är an- delen som använder internet 95 procent bland både kvinnor och män1 och det finns inget som tyder på att det kommer ändras framöver.
Ett mer informativt mått skulle kunna vara hur många personer under 18 år som kan programmera. Ett annat skulle kunna vara vilka länder som har handlingsplaner för att möt de behov av färdigheter som kommer av omställningen till en datadriven ekonomi. Av denna anledning är det svårt att göra en mer kvantifierbar jämförelse mellan olika länder och det är svårt att bedöma hur Sverige står sig gentemot andra länder.
Om två eller flera olika länder ska jämföras så är det också viktigt att fastställa om det som jämförs är hur situationen ser ut just nu eller om det är prognosen över utvecklingen som jämförs. Utred- ningens bedömning är att det finns ett antal rapporter som belyst nu- läget men att nuläget inte är så intressant ur ett policyperspektiv. En- ligt utredningen är det viktigare att försöka förstå hur Sverige kommer ligga till i framtiden inom användning av hälsodata, jämfört med andra länder.
Det finns olika sätt att gå till väga för att studera framtiden. En metod är genom att göra prognoser. Det finns en mängd olika sätt att göra prognoser på och utredningen kommer inte gå in i detalj på det. I korthet kan dock sägas att ofta baseras en prognos på histo- riska data och trender. Prognoser kan även kompletteras med exem- pelvis kvalificerade gissningar gällande större förändringar i framtiden som prognosmakaren bedömer kommer påverka utfallet. Förslaget till EHDS är ett sådant exempel på en händelse som sannolikt kommer ske i framtiden och som förhoppningsvis kommer ha en positiv effekt
1Europeiska kommissionen, 2021, Women in Digital Scoreboard 2021.
290
SOU 2023:76 |
Internationell jämförelse |
på trenden för användning av hälsodata, både inom och över lands- gränser, oaktat de olika medlemsländernas tidigare situation.
En annan metod är backcasting. Backcasting kan beskrivas som en ansats eller en metod inom framtidsstudiefältet där man vänder på perspektiven, i stället för att utgå från nuet och sedan analysera fram- tiden, utgår man från hur det skulle kunna vara i framtiden för att öka förståelse för hur beslut i nuet skulle kunna påverka framtiden.2
Utredningen bedömer att det inte finns några sammanställda data av hög kvalitet som på ett tillförlitligt och tillfredsställande sätt kan beskriva vare sig nuläget eller trenden inom hälsodataområdet. Där- med bedömer utredningen att det behövs både en prognos för att be- räkna tidshorisonten och en backcasting för att analysera vad som kan komma att behöva göras för att Sverige ska kunna nå målbilden som
Utredningen bedömer också att hälsodataområdet är ett så kallat komplext system, vilket gör att det sannolikt inte kommer finnas upp- daterade och relevanta data som kan beskriva komplexiteten på hälso- dataområdet, åtminstone inte i vår direkta närtid. Det här talar ytter- ligare för att det inte är lönt att utredningen själv försöker sammanställa sådan data utan i stället försöka resonera kring vilka de övergripande utmaningarna är och vilka de kritiska besluten kommer vara för att Sverige ska kunna rankas högt inom hälsodataområdet. En hög rank- ning i sig självt är inget självändamål, däremot finns det en risk kopplat till att medborgare upplever att den offentligt finansierade vården inte kan hantera data på samma sätt som övriga samhället och därmed inte dra nytta av fördelarna med dataanvändning.
10.3Bedömning av Sveriges position i förhållande till relevanta jämförelseländer
En prognos om hur många år Sverige ligger efter andra länder som ligger i framkant är endast en grov uppskattning från utredningens håll. Det finns inget facit för den här typen av bedömning utan är en- dast avsett att ge en indikation och ungefärlig uppskattning som ska kunna sättas i förhållande till vad som kan vara rimligt att åstadkomma under en mandatperiod.
2Alm, S., Palme, J., & Westholm, E. 2012. Att utforska framtiden: valda perspektiv. Dialogos Förlag.
291
Internationell jämförelse |
SOU 2023:76 |
Estimeringen kan göras på olika sätt, men utredningen har valt att göra enligt följande.
Utredningen gjorde bedömningen ett år innan betänkandet pub- licerades, om inga åtgärder gjorts mellan det att utredningen gjorde sin bedömning och publicering så lägger detta till ett år till estimatet. Intervallet för denna del är
Från det att problemet blir känt för regeringen så tar det olika lång tid för regeringen att agera på informationen, vilket beror på en rad olika faktorer. Men generellt kan sägas att om ändringen är av sådan typ av den kräver lagändring så görs detta två gånger om året och före- gås av beslutsprocess. Därav skulle ett initiativ som kräver lagändring ta, från identifierat problem till det att direktiven är beslutade inne- bära cirka
Om initiativet kräver reformmedel, vilket är fallet för hälsodata- området, behöver det beslutas om i budgetpropositionen. Även här skulle det kunna beslutas i höst- och vårändringsbudgeten, men ut- redningen har även här ingen anledning att tro att hälsodatafrågorna skulle vara så akuta att de beslutades om medel rörande hälsodata i ändringsbudgetarna. Beroende på när problemet blir känt för reger- ingen så tar det upp emot ett år till nästa budgetproposition. Inter- vallet här blir därmed
Ett problem med hälsodataområdet är att det är väldigt komplext, har många ömsesidiga beroenden och kräver infrastruktursatsningar, som inte sällan tar lång tid och är kostsamma (se exempelvis SOU 2021:71).
Ett annat verktyg som regeringen har är myndighetsstyrningen och ett myndighetsuppdrag kan tas fram på några få veckor och upp- dragstiden kan variera men är ofta runt ett år.
292
SOU 2023:76 |
Internationell jämförelse |
En utmaning på hälsodataområdet är att det inte sällan krävs ut- redning antingen i form av ett myndighetsuppdrag eller en statlig ut- redning. Därefter krävs det reformmedel och att infrastruktur byggs. Utredningen anser att det inte är orimligt att anta att det i samband med det uppdagas nya behov av lagstiftning eller att det i vissa fall inte går att lagstifta om något innan infrastrukturen är byggd. Exem- pelvis kan utredningen inte lämna författningsförslag för datahubben eftersom en sådan inte finns. Detta gör att det först kommer krävas utredning, vilken kan ta
Att studera framtiden innebär av naturliga skäl att det finns en stor grad av osäkerhet. Exempelvis är det svårt för utredningen att be- döma på vilket sätt Europeiska kommissionens förslag till Europa- parlamentets och rådets förordning om ett europeiskt hälsodataområde COM(2022) 197 final av den 3 maj 2022, förkortad förslaget till EHDS, kommer att påverka estimeringen. Därutöver tillkommer politiska prioriteringar, prioriteras frågorna högt kan det gå snabbare, priori- teras de lågt kan det ta längre tid.
Utredningen har valt att utgå ifrån länder som på ett eller annat sätt sticker ut och har lyckats ta fram system, lösningar eller model- ler som skapar nytta med hjälp av hälsodata eller som underlättar vidareanvändande av hälsodata. Fokus kommer ligga på europeiska länder eller andra länder som på annat sätt bedömts vara jämförbara med Sverige. Utredningen har valt ut ett antal rapporter från större internationella aktörer så som OECD och
293
Internationell jämförelse |
SOU 2023:76 |
10.3.1OECD
Under 2021 publicerade OECD en undersökning hur infrastrukturen och styrningen för hälsodata såg ut i de olika länderna.3 Undersök- ningen fokuserar primärt på två utfallsmått, det ena är tillgång till data, det andra är styrningsmodell. På tillgång till data fick Sverige ett betyg på 6,84 av 8 möjliga, att jämföras med medelvärdet som ligger på 5,41 och där Danmark, som fått högst poäng ligger på 7,77. Utredningen bedömer att resultaten i denna jämförelse ska tolkas med försiktighet, då denna bedömning baseras på ländernas tillgång på data gällande diabetes och hjärt- och kärlsjukdomar och därav inte repre- senterar datatillgången i allmänhet. De två kvalitetsregistren som har data över diabetes och hjärt- och kärlsjukdomar kan anses vara bland de mest utvecklade kvalitetsregistren som Sverige har. Det finns skill- nader mellan register och alla är inte lika välutvecklade som dessa två.
På styrmodeller får Sverige en poäng på 10,22 av totalt 15, vilket är samma som medelvärdet för de jämförda länderna. Betyget kan jäm- föras med Danmark, som är det land som fått högst poäng och fått 14,90 av 15 poäng. Även vad gäller styrningsmodell bedömer utred- ningen att resultaten är svåra att dra några större generella slutsatser ifrån. Det beror på flera orsaker, bland annat att det är ett litet antal frågor som ställts, inom ett förhållandevis smalt område. Därutöver rör frågorna ett begränsat antal datamängder vilka utredningen inte bedömer är representativa för Sverige och därmed sannolikt inte repre- sentativa för de andra jämförbara länderna heller.
Slutligen bedömer utredningen att det är svårt att dra några gene- rella slutsatser utifrån denna jämförelse, men kan konstatera att jäm- förelsen stödjer bedömningen att Sverige historiskt haft god datatill- gång, men lite eller inget om nutidens eller framtidens behov och tillgång till data.
10.3.2EU
Under det franska ordförandeskapet i EU:s ministerråd första halv- året 2022 lät det franska hälsoministeriet företaget EY göra en natio- nell jämförelse mellan medlemsländerna.4 Rapporten är en så kallad
3Oderkirk J. (2021), ”Survey results: National health data infrastructure and governance”, OECD
Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/55d24b5den.
4https://ue.esante.gouv.fr/sites/default/files/202207/Final%20Report%20of%20the%20stu dy%20on%20digital%20health.pdf (Hämtat
294
SOU 2023:76 |
Internationell jämförelse |
skrivbordsanalys, som bygger på publika källor och inte på intervjuer. Utredningens bedömning är att rapporten innehåller flertalet felaktig- heter gällande Sverige, exempelvis att Sverige har en lagstiftning för vidareanvändning av hälsodata och att Sverige har ett tvingande regel- verk för interoperabilitet. Eftersom båda dessa frågor utreds för när- varande så kan utredningen konstatera att denna rapport inte kan användas för att jämföra hur de olika länderna ligger till i förhållande till varandra och utredningen har inte hittat några andra tillförlitliga och relevanta data från EU som går att använda för att göra en relevant jämförelse mellan länderna.
10.3.3Global digital health partnership
Global digital health partnership (GDHP) är ett samverkansprojekt mellan en mängd stater och projektet syftar till att vara en internatio- nell plattform där länder kan lära av varandra inom hälsodataområdet. (GDHP) gjorde i juli 2020 en jämförelse mellan olika länder och hur långt de kommit med sitt arbete med interoperabilitet på hälsodata- området.5 I deras jämförelse fick länder svara på frågor rörande hur höga de upplevde att hindren var inom interoperabilitetsområdet. Skalan går från 0 till 3 där 0 betyder att det inte finns några hinder och utmaningar, medan 3 betyder att det finns höga hinder och stora ut- maningar. Ett medelvärde räknades sedan fram per land samt ett medel- värde för samtliga länder.
Sverige fick ett medelvärde på 2,2 vilket är högst av alla de 22 jäm- förda länderna. Medelvärdet för länderna som ingick var 1,32. Av jäm- förelsen kan det även konstateras att Sverige har ett dåligt resultat på frågor rörande förvaltningsmodell, enhetlighet och reglering.
10.3.4TEHDAS
Finska Sitra koordinerar ett
5Rucker, D., Hasan, A., Lewi,s L., Tao, D. Advancing Interoperability Together Globally: GDHP White Paper on Interoperability; July 2020. Sydney, Australia.
295
Internationell jämförelse |
SOU 2023:76 |
EHDS.6 Utredningens bedömning är att de faktablad som TEHDAS låtit ta fram är de mest nyanserade och korrekta sammanställningarna av alla de jämförelser som gjorts mellan några av EU:s medlemsländer. Utredningen har valt att inte redogöra för samtliga 12 länder som TEHDAS intervjuat, utan kommer i stället redogöra för ett urval som utredningen bedömer är av särskilt intresse.
Länderna som utredningen valt att titta närmare på är Danmark, Estland, Finland och Tyskland. Danmark och Finland är av intresse eftersom de nordiska länderna sannolikt är de som liknar varandra mest. Estland har valts eftersom de ofta lyfts fram som ett föregångsland och Tyskland eftersom utredningen bedömer att Tyskland likt Sverige har en hög grad av decentralisering och därmed liknande utmaningar.
I korthet kan sägas att Sverige har liknande utmaningar som de andra länder som TEHDAS varit i kontakt med. Kompetensbrist lyfts av i stort sett samtliga länder, brist på infrastruktur och fungerande styrningsmodell lyfts av flera om än inte alla. 7 Generellt sett kan också sägas att länderna ställer sig positiva till förslaget till EHDS, men de flesta länderna ser också risker med förslaget till EHDS om inte vissa begrepp och skrivningar i förslaget förtydligas. Flera länder ser också risker kopplat till bristande finansiering för att få till stånd den infra- struktur som förslaget till EHDS kommer att kräva.8
10.3.5Myndighetsrapporter
Utredningen har valt att framför allt utgå ifrån två myndighetsrappor- ter från Myndigheten för vård- och omsorgsanalys (hädanefter Vård- analys) eftersom dessa är de två senaste rapporterna som utredningen kunnat identifiera som specifikt tittar på hälsodata och strukturrefor- mer inom hälso- och sjukvården. Det finns andra myndighetsrapporter som gör internationella jämförelser, men dessa fokuserar ofta på en spe- cifik del av hälsodataområdet och inte på hälsodataområdet i stort.
6
7Se exempelvis avsnitt Resources (human, technical, financial) i respektive lands faktablad.
8Se avsnitt European Health Data Space (EHDS) i respektive lands faktablad. https://tehdas.eu/
296
SOU 2023:76 |
Internationell jämförelse |
Ökad precision i Europa
Vårdanalys analyserade i sin rapport sju europeiska länders satsningar på precisionsmedicin och hälsodata och rapporten publicerades 2021.
I korthet anger myndigheten att de tre länderna som ligger i fram- kant inom hälsodata är Danmark, Finland och Island och att gemen- samt för länderna är statliga nationella satsningar på infrastruktur som kompletteras med lagstiftning med tydliga krav på exempelvis anslut- ning till infrastrukturen.
I rapporten har myndigheten också lyft fyra andra internationella jämförelser. Av dessa två bedömer utredningen att det finns två som är relevanta för utredningens jämförelse, de två som sållats bort är en rapport från
Mirror, mirror 2021: Reflecting poorly – Health care in the U.S. compared to other
I denna undersökning från 2021 rankas 11 länder, bland andra Nederländerna, Norge, Storbritannien och Tyskland samt Sverige. Jämförelsen gäller bland annat administrativ effektivitet som mäts i fem indikatorer. Fyra av indikatorerna avser mängden administration för primärvårdsläkare och den femte mäter hur stor andel av patienter som vänt sig till akuten i stället för exempelvis en vårdcentral till följd av att vårdcentralen inte var öppen eller tillgänglig. Sverige hamnar på plats 7 av 11 i jämförelsen när de olika indikatorerna läggs samman. Det är svårt att dra några långtgående slutsatser ifrån jämförelsen eftersom det inte var administration i sjukvården som jämfördes. Däremot ger det en indikation på att primärvårdsläkare i Sverige i för- hållande till jämförelseländerna spenderar mycket tid på administration.
297
Internationell jämförelseSOU 2023:76
Tabell 10.1 Tabell som visar ländernas ranking inom varje mätområde samt genomsnittlig ranking
Land |
Tillgång |
Vårdprocess |
Administrativ |
Jämlikhet |
Medicinska |
Genomsnittlig |
|
till vård |
|
effektivitet |
|
resultat |
ranking |
AUS |
8 |
6 |
2 |
1 |
1 |
3 |
CAN |
9 |
4 |
7 |
10 |
10 |
10 |
|
|
|
|
|
|
|
FRA |
7 |
10 |
6 |
7 |
6 |
8 |
GER |
3 |
9 |
9 |
2 |
7 |
5 |
NETH |
1 |
3 |
8 |
5 |
4 |
2 |
NZ |
5 |
1 |
3 |
9 |
8 |
6 |
NOR |
2 |
8 |
1 |
8 |
2 |
1 |
SWE |
6 |
11 |
5 |
6 |
5 |
7 |
|
|
|
|
|
|
|
SWIZ |
10 |
7 |
10 |
3 |
3 |
9 |
UK |
4 |
5 |
4 |
4 |
9 |
4 |
|
|
|
|
|
|
|
US |
11 |
2 |
11 |
11 |
11 |
11 |
Källa: Eric C. Schneider et al., Mirror, Mirror 2021 — Reflecting Poorly: Health Care in the U.S. Compared to Other
A vision of a nordic secure digital infrastructure for health data: the nordic commons
I NordForsks rapport bedöms Danmark, Norge, Finland och Sverige. status för sju olika typer av data uppfyller
1.Hälsodataregister,
2.Kvalitetsregister,
3.Biobanker,
4.OMICS,
5.Laboratoriedata,
6.Forskningsdata inom hälsa,
7.Socioekonomiska register.
I fyra av datatyperna har Danmark kommit längst, i en har Norge kommit längst, i en annan bedöms Danmark, Norge och Finland ha kommit lika långt. För ytterligare en datatyp bedöms samtliga fyra
298
SOU 2023:76 |
Internationell jämförelse |
länder ha kommit lika långt. I två datatyper ligger Sverige ensamt sist. De olika typerna och Sveriges status redogörs för i tabellen nedan. Jämförelsen ska tolkas med försiktighet, det ger dock en indikation på att Sverige inte arbetat eller åtminstone inte lyckats lika bra med att få ner transaktions- och insamlingskostnaderna för sina hälso- datamängder lika mycket som de andra nordiska länderna.
299
Internationell jämförelse |
SOU 2023:76 |
Tabell 10.2
Ljusgrå = Acceptabelt, grå = Arbete pågår, Mörkgrå = Inte tillfredställande
|
Domän |
|
|
Land |
|
Finadble |
|
Accessible |
|
Interoperable |
|
Reusable |
|
|
|
|
|
|
|
|
|
||||||
|
Hälsodataregister |
|
Danmark |
|
|
|
|
|
|
|
|
||
|
|
|
|
Sverige |
|
|
|
|
|
|
|
|
|
|
|
|
|
Finland |
|
|
|
|
|
|
|
|
|
|
|
|
|
Norge |
|
|
|
|
|
|
|
|
|
|
Kvalitetsregister |
|
Danmark |
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
Sverige |
|
|
|
|
|
|
|
|
|
|
|
|
|
Finland |
|
|
|
|
|
|
|
|
|
|
|
|
|
Norge |
|
|
|
|
|
|
|
|
|
|
Biobanker |
|
Danmark |
|
|
|
|
|
|
|
|
||
|
|
|
|
Sverige |
|
|
|
|
|
|
|
|
|
|
|
|
|
Finland |
|
|
|
|
|
|
|
|
|
|
|
|
|
Norge |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
OMICS |
|
Danmark |
|
|
|
|
|
|
|
|
||
|
|
|
|
Sverige |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
Finland |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
Norge |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
Laboratoriedata |
|
Danmark |
|
|
|
|
|
|
|
|
||
|
|
|
|
Sverige |
|
|
|
|
|
|
|
|
|
|
|
|
|
Finland |
|
|
|
|
|
|
|
|
|
|
|
|
|
Norge |
|
|
|
|
|
|
|
|
|
|
Forskningsdata |
|
Danmark |
|
|
|
|
|
|
|
|
||
|
inom hälsa |
|
|
|
|
|
|
|
|
|
|||
|
|
Sverige |
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
Finland |
|
|
|
|
|
|
|
|
|
|
|
|
|
Norge |
|
|
|
|
|
|
|
|
|
|
Socioekonomiska |
|
Danmark |
|
|
|
|
|
|
|
|
||
|
register |
|
|
|
|
|
|
|
|
|
|||
|
|
Sverige |
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
Finland |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
Norge |
|
|
|
|
|
|
|
|
|
Källa: NordForsk, 2019, A vision of a Nordic secure digital infrastructure for health data: The Nordic Commons.
300
SOU 2023:76 |
Internationell jämförelse |
Strukturreformer i hälso- och sjukvårdssystem
I korthet konstaterar Vårdanalys att de mest genomgripande föränd- ringarna som skett av svensk hälso- och sjukvård skedde under perio- den
Strukturreformerna i Danmark och Norge har fokuserat på ökad centralisering och myndigheten konstaterar sammanfattningsvis att den ökade graden av statlig styrning och större regioner tycks ha lett till följande effekter:9
–Färre och större sjukhusorganisationer.
–Blandade effekter på förmågan att koncentrera specialiserade be- handlingar.
–Ökad produktivitet.
–I vissa avseenden kortare väntetider.
–Vissa positiva effekter på geografisk likvärdighet.
–Utmaningar i att skapa sammanhållen och förebyggande vård.
–Vissa positiva effekter på forskning och infrastruktur.
–Signaler om minskad lokaldemokrati men ökat patientinflytande.
Gällande den danska strukturreformen konstaterar myndigheten att byråkratiseringen minskat:
Den samlade bedömningen av den danska kommunalreformen från 2007 är att den har lett till mindre byråkrati och att den genom hälsoavtalen har skapat förutsättningar för bättre ansvarsfördelning, kommunikation och samordning av vården mellan olika myndigheter.10
Myndigheten konstaterar också att det haft positiva effekter för ett mer sammanhållet
Det utökade mandatet att styra och koordinera sjukhusvården har också lett till ett mer sammanhållet
9Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårds- system, s. 27.
10Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårds- system, s. 66.
11Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårds- system, s. 70.
301
Internationell jämförelse |
SOU 2023:76 |
förutsättningar för ett mer effektivt informationsutbyte och därmed en mer sammanhängande vård. Tidigare hade varje landsting egna system för till exempel elektroniska patientjournaler.
10.3.6Estland
Ett land som återkommande lyfts när det kommer till att använda hälsodata är Estland. Estland påbörjade sitt arbete med att digitalisera sin offentliga sektor 1994 i samband med beslutet om principerna för informationspolicy för Estland.12 År 2008 infördes ett nationellt system för att integrera data för vårdgivare i Estland. Detta mål lik- nar den målbild som
Under antagandet att målbilden skulle kunna uppnås enbart genom att förslagen som utredningen lämnat i sin promemoria samt att på- gående utredningar leder till nödvändiga lagändringar, skulle en sådan process troligtvis vara klar som tidigast 2026. Denna uppskattning baserar utredningen på att Utredningen om infrastruktur för hälso- data som nationellt intresse (S 2022:10) ska lämna sitt slutbetänkande senast 30 april 2024. Därefter tillkommer beredning i Regeringskansliet fram till dess att en proposition kan lämnas över till beslut i riks- dagen. Det är vidare rimligt att anta att enbart perioden för ikraft- trädandet sannolikt kommer ligga på upp emot ett år. Baserat på dessa antaganden skulle Sverige ligga minst 18 år efter Estland gällande att ha en nationellt fungerande digital infrastruktur för hälsodata med hög grad av teknisk och semantisk interoperabilitet, med tillhörande digitala medborgartjänster. Detta är dock en grov jämförelse som för- modligen överskattar hur långt efter Sverige ligger Estland, men det ger en indikation på ungefär hur Sverige förhåller sig till Estland.
I GDHP:s jämförelse ligger Estland på 0,8 i snitt jämfört med Sveriges 2,2. Detta styrker att Sverige ligger efter Estland, men det är svårt att kvantifiera hur långt efter i tid Sverige ligger endast baserat på dessa data.
12
302
SOU 2023:76 |
Internationell jämförelse |
I OECD:s jämförelse får Estland 6,09 av 8 poäng gällande data- tillgänglighet och 9,44 poäng av 15 gällande styrningsmodell, att jäm- föra med Sveriges 6,84 respektive 10,22 poäng. Resultaten indikerar att Sverige fortsatt står sig bra gentemot Estland avseende datatillgång och att länderna ligger förhållandevis lika avseende styrmodell.
Även här är det svårt att göra en uppskattning av hur Sverige för- håller sig till Estland kvantifierat i tid, det beror också på vad det är som mäts.
Utredningens slutsats är att Estland ligger före Sverige vad gäller infrastruktur för hälsodata och att Estland utvecklas i en snabbare takt än Sverige, men att Sverige i dagsläget har en bättre datatillgång på vissa områden än vad Estland har. Utredningen bedömer dock att det försprånget kommer vara borta inom några år till följd av att Estland har bättre förutsättningar för en skalbar och effektiv datainsamling.
10.3.7Danmark
Danmark finns inte med i GDHP:s jämförelse, men är med i både TEHDAS kartläggning och i OECD:s jämförelse.
I OECD:s jämförelse får Danmark 7,77 av 8 poäng på tillgång till data13, att jämföra med Sveriges 6,84. På styrmodeller får Danmark en poäng på 14,90 av 15, att jämföra med Sveriges 10,22.14 Resultaten är väntade eftersom datamängderna som analyseras i delen om tillgång till data är begränsade och avser om än centrala datamängder, data- mängder som flera av de nordiska länderna samlat in under många år. Det är inte heller oväntat att Danmark får ett bättre resultat gällande styrmodell eftersom Danmark, likt Finland, Norge och Estland gjort stora strukturreformer i närtid som bland annat syftat till starkare statlig styrning och i de hänseenden som rör styrmodeller för hälso- data saknar Sverige en sådan motsvarande statlig styrmodell. Sveriges nuvarande modell bygger i stor utsträckning på frivillighet.15
13Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”,
OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 34.
14Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”,
OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 75.
15Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårds- system. Erfarenheter från Danmark, Norge, England och Nederländerna.
303
Internationell jämförelse |
SOU 2023:76 |
Av TEHDAS kartläggning anger Danmark varken decentralisering, bristande eller svag styrning som ett problem16, vilket sannolikt beror på den strukturreform som genomfördes i Danmark 2007, vars ena syfte bland annat var att stärka statens styrning.17 Därtill så etablerade Danmark den statliga myndigheten Sundhetsdatastyrelsen 2015 i syfte att skapa ett sammanhängande system för hälsodata och digitala lös- ningar till nytta för patienter och kliniker samt forskning och admi- nistration inom hälso- och sjukvården. Myndigheten omsatte år 2020 drygt 400 miljoner danska kronor, varav 300 miljoner var anslags- finansierat. Danmark har därtill tagit fram en handlingsplan för en nationell forskningsinfrastruktur kopplat till hälsodata.18
Av det ovan beskrivna är det svårt att estimera hur långt före Danmark ligger, men Danmark har dels gjort en strukturreform 2007, vilket regeringen aviserat att även Sverige ska utreda med start 2023 (prop. 2022/23:1 Utgiftsområde 9 s. 46). Det är rimligt att anta att en sådan reform skulle vara utredd och beslutad om som tidigast fyra år, vilket skulle innebära att Sverige gör en liknande reform som Danmark cirka 20 år senare.
Danmark etablerade 2015 den statliga myndigheten Sundheds- datastyrelsen i syfte att skapa sammanhängande hälsodata och digitala lösningar till nytta för patienter och kliniker samt forskning och administration inom hälso- och sjukvården.19 Utredningens bedöm- ning är Danmarks lösning är liknande de lösningar som utredningen föreslog i sin promemoria (se bilaga 4 Promemoria med förslag om ändring av
Baserat på antagandet att Regeringen skulle välja att bygga upp en nationell digital infrastruktur i år så är Sverige ungefär åtta år efter Danmark.
Sammanfattningsvis kan sägas att Sverige ligger efter Danmark på hälsodataområdet i de flesta hänseendena, både gällande datatillgång, effektiv datainsamling och datadelning. Utredningens väldigt grova uppskattning är att Sverige ligger någonstans emellan 4 och 20 år efter Danmark. Utredningens bedömning är att det gissningsvis rör sig om cirka 10 års utveckling för att komma till den nivå som Danmark är på nu, men att det framför allt beror på strukturreformen och att Sverige
16TEHDAS, 2022, Country visit – Denmark.
17Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårds- system. Erfarenheter från Danmark, Norge, England och Nederländerna.
18Myndigheten för vård- och omsorgsanalys, 2021, Ökad precision i Europa.
19Myndigheten för vård- och omsorgsanalys, 2021, Ökad precision i Europa, s. 30.
304
SOU 2023:76 |
Internationell jämförelse |
teoretiskt skulle kunna komma upp i en liknande nivå på
Vad gäller Danmarks utvecklingstakt så är den svår att bedöma och utredningen kan bara konstatera att utvecklingstakten i Danmark på detta område är snabbare än i Sverige.
10.3.8Norge
Norge ingår inte i GDHP:s jämförelse, men ingår däremot i OECD:s jämförelse. I den jämförelsen får Norge 5,91 av 8 poäng gällande tillgång till hälsodata, jämfört med Sveriges 6,84.20 Avseende styrmodell så rankar Norge näst lägst av samtliga jämförda länder och får där 6,90 av 15 poäng, att jämföra med Sveriges 10,22.21
Norge genomförde 2002 en strukturreform som centraliserade sjukhusvården. Ett par av reformens syften var att korta ner vänte- tiderna och skapa bättre förutsättningar för nationella
Norge beslutade 2013 om en hälso- och omsorgsstrategi med sats- ningar på hälsodata som en nationell tillgång. Därefter tillsattes en utredning 2016, som slutrapporterade 2017, där bland annat förslag om en datahubb lämnades. En plattform började byggas 2020 med planen att lanseras 2022, men pausades 2021 till följd av Schrems II- domen och det är i dag oklart när plattformen ska vara klar.23
Norge beslutade också 2002 i samband med strukturreformen om en nationell branschstandard för hälsodata,24 vilket liknar det uppdrag som Utredningen om infrastruktur för hälsodata som nationellt in- tresse (S 2022:10) har.
20Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”, OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 34.
21Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”,
OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 75.
22Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårds- system. Erfarenheter från Danmark, Norge, England och Nederländerna, s. 92.
23
24
305
Internationell jämförelse |
SOU 2023:76 |
Även om Sverige och Norge liknar varandra på många sätt genom- förde Norge en större strukturreform redan 2002, men till skillnad från exempelvis Danmark, Frankrike och Storbritannien så centrali- serades endast sjukhusvården. Den ökade centraliseringen av specia- listvården verkar dock ha lett till ökade förutsättningar för använd- ning av hälsodata, även om den decentraliserade primärvården verkar försvåra dataförsörjningen. Av den anledningen är det svårt att jäm- föra hur Sverige ligger till i förhållande till Norge.
Norge verkar ha större utmaningar med vissa delar så som data- tillgång, men har kommit längre vad gäller interoperabilitet och datadel- ningstjänster. Utredningens bedömning är därför att Sverige och Norge ligger både före och efter varandra fast inom olika delar av hälsodataområdet. Norge har en starkare utvecklingstrend och deras arbete med datatillgång, uppdateringsfrekvens och kostnaden för data- delning förbättras i en snabbare takt än i Sverige. Det finns inget som tyder på att deras utvecklingstakt håller på att stanna av och det är därför sannolikt att de kommer fortsätta att bli bättre än Sverige samt gå om Sverige i de avseenden där Sverige i dag är bättre än Norge. En sådan prognos bygger på antagandet att Sverige inte börjar fatta beslut som stärker den svenska utvecklingen.
10.3.9Tyskland
Tyskland ingår inte heller i GDHP:s jämförelse, men ingår däremot i OECD:s jämförelse. I den jämförelsen får Tyskland 3,64 av 8 poäng gällande tillgång till hälsodata, jämfört med Sveriges 6,8425 och 8,33 poäng av 15 avseende styrningsmodell för hälsodata, jämfört med Sveriges 10,22.26 I och med Tysklands historia så finns inte samma kultur och tillit till statlig datainsamling, vilket skulle kunna vara en förklaring till att de får så låg poäng gällande tillgång till data. Tyskland är, likt Sverige, mycket decentraliserat. Exempelvis har Tyskland 16 del- stater med viss lagstiftningsmakt. Detta skulle kunna vara en av för- klaringarna till den låga poängen avseende styrmodeller då det är svårt att få till en enhetlig nationell styrning.
25Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”, OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 34.
26Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”,
OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 75.
306
SOU 2023:76 |
Internationell jämförelse |
I Vårdanalys rapport framgår att Tyskland antog en ny lag 2019 i syfte att driva på den digitala utvecklingen inom vården och därmed gjorde det obligatoriskt för sjukhus och apotek att ansluta sig till den nationella digitala infrastrukturen, medan det är fortsatt frivilligt att ansluta sig för vissa vård- och rehabiliteringskliniker som tillhanda- håller till exempel mödravård eller fysioterapi.27 I Vårdanalys rapport om strukturförändringar konstaterar myndigheten också att Tyskland, tillsammans med Sverige och Norge är ett av de länder där flest pati- enter angett att vården inte lyckats samordna viktig information om patientens medicinska bakgrund eller behandling.28 Av TEHDAS kart- läggning framgår att den höga graden av decentralisering skapat lik- nande utmaningar som i Sverige och att även Tyskland står inför en omfattande omställning i och med förslaget till EHDS. Tyskland upp- ger att implementeringstiden för EHDS skulle behöva vara runt tio år.29
Sammanfattningsvis kan noteras att Sverige och Tyskland står inför liknande utmaningar med ett decentraliserat hälso- och sjukvårds- system, men att Sverige förmodligen ligger före Tyskland till följd av att Sverige historiskt legat bra till på hälsodataområdet. Det är svårt att ange i antal år hur stor skillnaden är, men sannolikt ligger Sverige före Tyskland gällande användning av hälsodata.
10.3.10 Storbritannien
Storbritannien finns inte med i OECD:s jämförelse, men är däremot med i GDHP:s jämförelse. Där får Storbritannien en poäng på 1,16 av 3 avseende hur stora barriärer som finns inom interoperabilitet på hälsodataområdet, att jämföra med Sveriges 2,20. Storbritanniens lägre poäng kommer framför allt från att de har en starkare styrning och mindre frivillighet, vilket lett till lägre barriärer för att dela data.30
I Vårdanalys landsjämförelse konstateras egentligen bara att Storbritannien etablerade en plattform som en gemensam ingång till hälsodata 2020.31 I Vårdanalys rapport om strukturreformer konsta- terar myndigheten att Storbritanniens system liknar de skandinaviska,
27Myndigheten för vård- och omsorgsanalys, 2021, Ökad precision i Europa, s. 68.
28Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårds- system. Erfarenheter från Danmark, Norge, England och Nederländerna, s. 31.
29TEHDAS, 2022, Country visit – Germany, s. 4.
30Rucker, D., Hasan, A., Lewis, L., Tao, D. Advancing Interoperability Together Globally: GDHP.
White Paper on Interoperability; July 2020, Sydney, Australia.
31Myndigheten för vård- och omsorgsanalys, 2021, Ökad precision i Europa, s.62.
307
Internationell jämförelse |
SOU 2023:76 |
men att de länge har haft en betydligt mer centraliserad styrning av sjukvården som gjort det lättare att förändra strukturen i en enhetlig inriktning. Detta skulle kunna förklara varför Storbritannien lyckats med flera av sina stora struktursatsningar inom hälsodataområdet.32 Storbritannien började också inrätta datahubbar redan 2019 och har sedan dess startat nio regionala datahubbar.33 Varje hubb har spe- cialiserat sig inom områden där det finns universitet med djup kunskap inom det specifika området. Varje hubb har också ett nära samarbete
med hälso- och sjukvården, akademin, industrin och patienterna.34
Figur 10.1 Bild över Storbritanniens datahubbar
Källa:
Eftersom Storbritannien lämnat EU så tillämpar de inte längre GDPR och skiljer sig därför åt jämfört med flera andra europeiska länder.
Istället tillämpar de Data Protection Act 2018, som har inkorporerat GDPR:s bestämmelser till brittisk lagstiftning.35 Storbritanniens ut- träde ur EU minskar därmed jämförbarheten med Sverige, vilket gör det svårt att säga något om ländernas framtida utvecklingstakt i för- hållande till varandra.
32Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårds- system. Erfarenheter från Danmark, Norge, England och Nederländerna, s. 45.
33
(Hämtat
34
35Overview – Data Protection and the EU | ICO, (Hämtat den 22 augusti 2023).
308
SOU 2023:76 |
Internationell jämförelse |
Även om Storbritannien kommit långt inom hälsodataområdet har det inte varit helt utan kontroverser. Under 2013 informerade NHS att patientdata skulle extraheras till en central databas om patienterna inte aktivt valde att motsätta sig detta. Kritiken rörde framför allt den bristande informationen till patienterna och att genomförandet var dåligt förankrad bland patienter och vårdpersonal och inte kommu- nicerats på ett bra sätt.36
Under 2021 genomförde Storbritannien en reform inom hälso- dataområdet kallad General Practice Data for Planning and Research i syfte att tillgängliggöra patienternas data för planering och för fors- kning. Även denna reform fick omfattande kritik av patienter och de som arbetar inom hälso- och sjukvården bland annat på grund av att intrånget i den personliga integriteten inte upplevdes stå i proportion till nyttan. Kritiken bestod även av uppfattningen att staten inte på ett adekvat sätt konsulterat exempelvis medborgarna eller hälso- och sjukvårdspersonalen i tillräckligt stor utsträckning. Storbritannien har sedan dess arbetat intensivt med att lyssna in olika grupper för att få till lösningar som aktörerna anser acceptabla sett ur ett integritets- perspektiv.37
Utredningens bedömning är att dessa exempel tydligt visar på ris- kerna med att dels välja för snabba lösningar, dels hur lätt det är att medborgarna tappar tilltron till datainsamlingen. En sådan effekt kan få till följd att medborgarna väljer att inte dela sina hälsodata. Detta är en viktig lärdom för Sverige, eftersom dåligt genomförda förslag riskerar att hämma snarare än att driva utvecklingen framåt.
Att jämföra Sverige och Storbritannien inom detta område är svårt. Det finns dock en likhet i att Sverige inte alltid involverar och konsul- terar medborgarna i samband med att ny insamling eller behandling av hälsodata. Storbritannien har drivit hälsodatafrågorna hårt, men i vissa delar brustit i sin transparens och medborgarinvolvering.
Storbritannien har trots vissa omdiskuterade beslut nu lyckats bygga upp säkra behandlingsmiljöer för hälsodata38 och tillgängliggör mycket hälsodata för bland annat forskning.39
36
37
(Hämtat
38
39https://www.healthdatagateway.org/ (Hämtat
309
Internationell jämförelse |
SOU 2023:76 |
Det är svårt att säga hur många år före Storbritannien ligger än Sverige, men utredningen kan konstatera att Storbritannien kommit längre i sin omställning till en mer datadriven hälso- och sjukvård än vad Sverige har.
Med tillämpandet av samma antagande som användes för jämförel- sen med Estland det vill säga att pågående utredningar och utredningens promemoria leder till att Sverige kommer ha ett lika utvecklat eko- system för hälsodata som Storbritannien har gör utredningen bedöm- ningen att Sverige ligger
10.3.11 Frankrike
Frankrike är inte med i GDHP:s jämförelse, men är däremot med i OECD:s jämförelse. Frankrike bedöms där, avseende tillgång till data till en poäng om 5,42 av 8, att jämföra med Sveriges 6,84.40 På styrningsmodell får Frankrike 12,67 av 15 poäng, att jämföra med Sveriges 10,22.41
Frankrike är inte med i varken TEHDAS kartläggning eller i Vårdanalys båda rapporter. Frankrike har också ett försäkringsfinansi- erat hälso- och sjukvårdssystem,42 vilket gör att deras system skiljer sig en del mot det svenska.
Frankrike reformerade delar av sitt sjukvårdssystem i samband med att en ny lag gällande sjukvårdens organisation och transformation trädde i kraft 2019.43 Som en del i denna reform inrättades den franska hälsodatahubben, health data hub (LOI no
40Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”, OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 34.
41Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”,
OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 75.
42Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårds- system. Erfarenheter från Danmark, Norge, England och Nederländerna.
43Reformen har innefattat flera lagändringar och initierades med LOI no
310
SOU 2023:76 |
Internationell jämförelse |
för det offentliga. Det är uttryckligen förbjudet att använda data från huben i kommersiella syften.44
I juli 2022 meddelade
Även i Frankrike kan vi se att det de senaste åren har skett en struk- turreform kopplat till hälsodata som haft fokus på ökad styrning och centralisering. Med tillämpandet av samma antagande som användes för jämförelsen med Estland, det vill säga att pågående utredningar och utredningens promemoria (se bilaga 4 Promemoria med förslag om ändring av
10.4Särskilt om Finland och Findata
Finland finns med i OECD:s jämförelse, men inte i GDHP:s. Finland finns också med bland de länder TEHDAS besökt. I OECD:s jäm- förelse får Finland 6,67 av 8 poäng avseende tillgång till data, att jäm- föra med Sveriges 6,84.46 På styrningsmodell får Finland 12,78 av 15 poäng, att jämföra med Sveriges 10,22.47
Av TEHDAS sammanställning framgår att Finland har i stort sett alla komponenter klara inför implementeringen av EHDS men att Finland kommer behöva utöka och utveckla befintliga komponenter ytterligare till följd av ökade behov av datadelning.48
Det är svårt att bedöma hur Sverige ligger till i förhållande till Finland i synnerhet eftersom Finland precis genomgått en större hälso-
44
45
46Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”,
OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 34.
47Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”,
OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 75.
48TEHDAS, 2022, Country visit
311
Internationell jämförelse |
SOU 2023:76 |
och sjukvårdsreform. Men uppskattningsvis ligger Sverige
10.4.1Den finska sekundäranvändningslagen, Findata och Finlands nationella datahubb
Finland tog under 2018 fram ett förslag på en ny lag för sekundäran- vändning av hälsodata, lagen om sekundär användning av personuppgif- ter inom social- och hälsovården, förkortad finska sekundäranvänd- ningslagen. Lagen trädde i kraft under 2019 och utgör en komplettering till dataskyddsförordningen (1 kap. 2 § finska sekundäranvändnings- lagen).
Lagen ska ses som en del av en helhet, där den andra delen består av regleringen av de s.k.
Sammanfattningsvis kan det sägas att lagen går ut på att förenkla processen när en aktör vill använda data från flera olika personupp- giftsansvariga, genom att utse en ansvarig myndighet, Findata, som blir ansvarig för inhämtandet av personuppgifter från dessa person- uppgiftsansvariga för att sedan sköta utlämnandet till den aktör som begärt datan (RP 159/2017 rd s. 1 och s. 93). Findata har även möjlighet att samköra data från olika personuppgiftsansvariga och sammanställa material på olika sätt.
Lagen skiljer på två typer av utlämnande från Findata, utlämnande i enlighet med ett tillstånd som beslutas av myndigheten själv, ett så kallat dataanvändningstillstånd, eller i enlighet med en begäran om information. Den senare avser endast aggregerade data som begärts för ändamål som omfattas av lagen (1 kap. 3 § p. 9 finska sekundär- användningslagen).50 En begäran om information ska handläggas snab- bare än utlämnanden i enlighet med ett dataanvändningstillstånd.
49Lagstiftning – Professionella – Kanta.fi (Hämtat
50
312
SOU 2023:76 |
Internationell jämförelse |
10.4.2När får sekundäranvändning ske?
Den finska sekundäranvändningslagen har snävat in sekundäranvänd- ningen genom att räkna upp sju ändamål och genom att ange vilka personuppgiftsansvarigas personuppgifter som omfattas av lagen. I 1 kap. 2 § finska sekundäranvändningslagen anges följande ändamål för vilka personuppgifter får behandlas för:
•statistikföring,
•vetenskaplig forskning,
•utvecklings- och innovationsverksamhet,
•undervisning,
•informationsledning,
•myndighetsstyrning och myndighetstillsyn inom social- och hälso- vården, samt
•myndigheternas planerings- och utredningsuppgifter.
Användande av data för att genomföra medicinsk och klinisk läke- medelsforskning51 är exkluderat, och regleras i annan ordning, (se 1 § och 2 § p. 1 lag om medicinsk forskning (9.4.1999/488)).
Vidare anges tre olika situationer för att det ska anses finnas grund för att lämna ut personuppgifter för ett sekundärt ändamål; att det finns ett tillstånd från de relevanta personuppgiftsansvariga, det finns ett tillstånd från Findata, eller med stöd i lag (4 kap. 35 §).
10.4.3Rättslig grund enligt dataskyddsförordningen
Enligt förarbetena till den finska sekundärlagen utgör 4 kap.
51Den finska definitionen skiljer sig något från den svenska, se den finska lagen lag om medi- cinsk forskning (9.4.1999/488) för mer information.
313
Internationell jämförelse |
SOU 2023:76 |
skilda ändamålen undervisning, myndighetsplanerings- och utrednings- uppgifter, informationsledning, myndighetsstyrning och myndighets- tillsyn inom social- och hälsovården.
Är mottagaren en privat aktör anges det i förarbetena att den mot- tagaren även kan använda sig av intresseavvägning enligt artikel 6.1 f dataskyddsförordningen som rättslig grund (RP 159/2017 rd s.125).
10.4.4Hur den finska datahubben fungerar i praktiken
Enligt 2 kap. 5 § sekundäranvändningslagen ska Findata förutom att bevilja tillstånd för sekundäranvändning i enlighet med lagen, ansvara för insamling, samkörning och förbehandling av data för att sedan kunna lämna ut i enlighet med beviljade tillstånd (2 kap. 5 § stycke 1). Av samma bestämmelse framgår att myndigheten har informationssäker drifttjänst för mottagande av personuppgifter och för utlämnande av sådana (se 2 kap. 5 § andra stycket samt 3 kap. 17 §). De har även en informationssäker driftsmiljö där en innehavare av tillstånd för sekun- däranvändning kan bearbeta den data den får utlämnat till sig. Denna driftssäkra miljö kallas för Kapseli och fungerar i korthet som en fjärr- åtkomst, det vill säga att användaren kan nå den från sin egen dator.52
Användandet av Kapseli faktureras sedan separat och kan köpas in i olika nivåer.53 Kapseli är en driftsmiljö som är individualiserat på så sätt att det kopplas till ett specifikt tillstånd. En tillståndsinnehavare kan alltså inte använda den informationssäkra driftsmiljön för att be- arbeta data som omfattas av ett annat tillstånd (se 3 kap. 20 § sekun- däranvändningslagen).
När en användare beviljats ett tillstånd från Findata, samlas sedan personuppgifter från de relevanta personuppgiftsansvariga in (i enlighet med tillståndet) till Findatas säkra driftsmiljö. Användaren har därefter tre månader på sig att gå igenom materialet för att kunna säkerställa att datan överensstämmer med deras beställning.
Findata raderar samtlig data fyra månader efter att användaren tagit del av den, men sparar kodnyckeln utifall om att data behöver åter- ställas. Alla tillstånd är tidsbegränsade och när denna tid gått ut så stängs användarens tillgång till Kapseli av och all data raderas då permanent.54
52https://findata.fi/sv/kapseli/ (hämtat
53https://findata.fi/sv/kapseli/ (hämtat
54Mailkonversation med Findata. Komm2022/00460/S
314
SOU 2023:76 |
Internationell jämförelse |
Enligt lagen ska de olika personuppgiftsansvariga som omfattas av sekundäranvändningslagen (se 6 §) sammanställa materialbeskrivningar av den data de har i sina respektive datalager. De ska även ansvara för att det finns en rådgivningstjänst av sina egna data, för att de som be- höver ska kunna få tillräcklig information om datainnehållet hos de personuppgiftsansvariga och på så sätt kunna bedöma om det täcker in- formationsbehovet (se 3 kap.
10.4.5För- och nackdelar med den finska sekundäranvändningslagen
Utredningen har varit i kontakt med den finska myndigheten Institutet för hälsa och välfärd (THL) och Findata för att bättre förstå vad som blivit bra, mindre bra och vilka utmaningar som fortfarande finns kvar.
Några av fördelarna med Findata är att det blivit tydligare för aktö- rer som vill begära ut data till vem de ska vända sig. Även Findatas rådgivning där de ger råd i frågor som gäller ansökan om dataanvänd- ningstillstånd, begäran om uppgifter och ändringstillstånd och allmänna råd angående lagen om sekundär användning har fått mycket positivt bemötande. För råd gällande specifika datamängder hänvisar Findata till de personuppgiftsansvariga, eftersom de oftast är dem som har bäst koll på sina egna data.
Findata är fortsatt i en utvecklingsfas och det är därför svårt att i nuläget säga vilka av de negativa effekter som kommer gå över med tiden och vilka positiva effekter som kommer uppstå på sikt när syste- met har anpassat sig efter de nya förutsättningarna och Findata har fått möjlighet att förbättra sin verksamhet.
Findata har fått viss kritik för att regelverket och att deras uppdrag om att dela data i vissa fall inte fått bort mycket av den administration som var tänkt att försvinna för datahållarna. Exempelvis finns det i sam- band med behandlingen av dataanvändningstillstånd vissa datamängder där datahållarna själva ändå måste avgöra om data kan lämnas ut eller inte, så som när det rör sig om ett litet antal patienter. En anledning till det är att det är datahållaren som har förståelse och kunskap för de variabler som de kan lämna ut och vilken kvalitet just den data som ska lämnas ut har. Det antyder att en dialog ändå kan komma att behövas mellan dataanvändaren och datahållaren för vissa datamängder.
Viss kritik har också framförts gällande att lagstiftningen är svår att tillämpa i praktiken och att lagstiftningen upplevdes som utdaterad
315
Internationell jämförelse |
SOU 2023:76 |
inom vissa områden redan när den antogs, inte minst kopplat till tek- nikutvecklingen. Ett exempel där lagen ansetts särskilt otydlig och lett till tillämpningssvårigheter är hur innovationsbegreppet definierats och hur gränsen mellan forskning och innovation ska dras.
Annan kritik som lyfts mot den finska lagen om sekundäranvänd- ning är att den ansetts vara för detaljerad. Vidare har kritik getts för att det är långa handläggningstider hos Findata och att datauttag blivit mer kostsamma än tidigare. Vissa aktörer har även lyft att de upplever att den säkra behandlingsmiljön hos Findata är för hårt reglerad, exem- pelvis genom att den är för detaljerad eller för snäv, vilket gjort att den inte upplevs som ändamålsenlig, vilket är en av orsakerna till att uni- versitetssjukhusen byggt upp egna behandlingsmiljöer.
Vad som däremot kan sägas som positivt med den finska sekun- däranvändningslagen är att bara ett hundratal individer har valt att opt:a ut,55 att jämföra med Storbritanniens satsning 2021 där 1,4 mil- joner personer opt:ade ut på bara två månader.56,57
10.5Sammanfattning
I korthet kan sägas att utredningen bedömer att Sverige ligger efter vad gäller nationell digital infrastruktur. Med det avser utredningen att Sverige har en bristande teknisk och semantisk interoperabilitet samt brist på nationellt tillgängliga medborgartjänster. De tjänster som finns, som exempelvis 1177 är tillgängligt för alla medborgare, men är inte tillgänglig för alla vårdgivare. Där till kommer att myndigheter har begränsad möjlighet att använda sig av den plattform som finns. Detsamma gäller nationella tjänsteplattformen som rent geografiskt finns tillgänglig, om än i olika utsträckning i hela landet, men där det också finns begränsningar i vilka som kan nyttja deras tjänster.
55Kommunikation med Findata
56
57
316
SOU 2023:76 |
Internationell jämförelse |
Utredningens bedömning är dock att Sverige fortsatt står sig bra när det kommer till detaljerade historiska data, vilket är en fortsatt styrka för Sverige. Utredningens bedömning är dock att bristen på nationell digital infrastruktur riskerar att göra att Sverige hamnar efter även på det området i framtiden.
10.6Avslutande kommentarer
Sammanvägd bedömning:
1.Samtliga länder har uppgett att rekrytering och kompetens är en av de största utmaningarna för omställningen till en data- driven hälso- och sjukvård. Utredningen delar bedömningen de aktörer som TEHDAS intervjuat om att kompetensförsörj- ningen och kompetensväxlingen kommer vara en av de största strukturella utmaningarna för hälso- och sjukvården under det kommande decenniet, inte minst i ljuset av den omfattande ut- veckling som håller på att ske på dataområdet och inom klinisk genetik.
2.En av de enligt utredningen viktigaste lärdomarna från den inter- nationella utblicken är att förtroendet för delning av hälsodata snabbt kan ändras. Brister i kommunikation och förankringen hos medborgarna kan få långtgående negativa effekter och ut- redningen bedömer därför att det är av yttersta vikt att invånarna informeras och involveras på ett tydligt sätt i reformprocesserna. Skyddet för den personliga integriteten måste värnas och med- borgarnas inflytande och möjlighet till ansvarsutkrävande måste vara tydligt.
3.Sverige har halkat efter andra länder inom hälsodataområdet. En av anledningarna är, enligt utredningens bedömning, refor- mer som inte åstadkommit det som eftersträvats. Utredningens uppskattning är att Sverige befinner sig i en position där före- gångsländerna befann sig för
317
Internationell jämförelse |
SOU 2023:76 |
eftersom det ter sig osannolikt att Sverige skulle gå från att vara en av de länder med lägst utvecklingstakt till att få en utveck- lingstakt som är starkare än föregångsländerna. Ett första mål bör snarare vara att komma upp i samma utvecklingstakt som föregångsländerna. Utredningen ser att det finns potential för Sverige att komma i kapp föregångsländerna och på sikt åter- igen inta positionen som ett föregångsland inom hälsodata. Det skulle dock kräva omfattande politiska prioriteringar som sträcker sig över flera mandatperioder.
En begränsning med utredningens internationella jämförelse är att utredningen endast jämfört Sverige med länder som i stort liknar Sverige avseende exempelvis BNP per capita eller att de har liknande hälso- och sjukvårdssystem och så vidare. Utredningen har valt att inte jämföra Sverige med länder som kanske är mer lika Sverige gällande vissa utmaningar inom hälsodataområdet så som, Polen, Portugal, Tjeckien och Ungern som alla var del av TEHDAS kartläggning. An- ledningen till detta var att utöver de utmaningar som Sverige står inför så står vissa av dessa länder inför andra utmaningar som Sverige inte står inför, exempelvis saknar vissa av länderna unika identifierare så som personnummer.
Utvecklandet av Findata är enligt utredningen ett bra exempel som visar på komplexiteten i att ta fram lagstiftning på hälsodataområdet och hur beroende lagstiftningen är av tekniken. Utredningens bedöm- ning är att arbetet kräver involveringen av såväl praktiker som jurister i lagstiftningsarbetet och att problemen behöver lösas i flera små delar, ibland parallellt och vissa seriellt. Det gör att det är svårt att uppskatta hur lång tid det kommer ta för Sverige att bygg upp liknande system.
De länder som ligger före Sverige bröt ny mark och hade inga för- lagor som de kunde ta inspiration ifrån. Sverige har såväl flera länder att hämta inspiration ifrån som hela förslaget till EHDS, vilket i stora delar syftar till att medlemsstaterna ska ta fram de system som före- gångsländerna har byggt upp. Det är dock svårt att bedöma tidsbe- sparingen som följer av detta, i synnerhet eftersom många av de svåra frågorna kopplat till infrastrukturen för hälsodata snarare är nationella och starkt kopplade till vilket arv länderna har med sig in i arbetet med hälsodata.
Utredningen bedömer dock att Sverige historiskt haft en god data- tillgång och även fortsatt har god datatillgång inom vissa områden
318
SOU 2023:76 |
Internationell jämförelse |
jämfört med andra länder. Föregångsländerna har dock byggt upp en infrastruktur som är mer skalbar, ekonomiskt effektiv och har en star- kare och bättre styrning inom hälsodataområdet, och därmed nu också har en starkare utvecklingskurva.
Utredningens noterar att samtliga av föregångsländerna har eller håller på att centralisera infrastrukturen för hälsodata och många gånger även styrningen av hälso- och sjukvården. De flesta länderna har arbetat med en nationell infrastruktur för hälsodata under många år, gjort stora investeringar och haft ett starkare politiskt fokus på hälsodata- frågorna än vad Sverige haft.
Utredningens bedömning är att bristen på relevant statlig nationell styrning är en starkt bidragande faktor till Sveriges förhållandevis dåliga placering. Några exempel på sådan styrning är den prestationsbaserade vårdgarantin (kömiljarden), omställningen till god och nära vård, vision
Utredningen baserar sin bedömning på de utredningar som gjorts av dessa reformer. Dessa utredningar pekar på att reformerna lett till ökad administration i vården58,59, utebliven effekt60,61,62 samt inte bi- dragit till en nationellt hållbar lösning (se bilaga 4 Promemoria med förslag om ändring av E hälsomyndighetens uppdrag inom hälsodata- området). Utredningen anser att samtliga reformer, i varierad grad, haft en hög alternativkostnad och därmed haft en negativ påverkan på utvecklingen inom hälsodataområdet i Sverige och bidragit till Sveriges förhållandevis dåliga resultat.
Sverige är i dag enligt utredningen i samma position som föregångs- länderna befann sig för någonstans mellan 7 och 15 år sedan och att Sverige har en av de svagaste utvecklingskurvorna av samtliga av de jämförda länderna. Utredningen bedömer därför att Sverige kommer ligga mer efter föregångsländerna de kommande åren även om Sveriges utvecklingskurva skulle öka eftersom det kommer ta tid att komma upp i samma utvecklingstakt. Bedömningen är behäftad med betydande osäkerhet inte minst eftersom det är svårt att bedöma hur lika EU-
58Myndigheten för vård- och omsorgsanalys, 2023, Ordnat för omställning? Utvärdering av om- ställningen till en god och nära vård: delrapport, s. 6 ff.
59Myndigheten för vård- och omsorgsanalys, 2006, Lapptäcke med otillräcklig täckning, s. 14 ff.
60Riksrevisionen, 2005, Ökad tillgänglighet i sjukhusvården? s. 24.
61Riksrevisionen, 2022, På skakig grund – beslutsunderlag inför stora reformer s. 66.
62Socialstyrelsen, 2014, Vårdgaranti och kömiljard Uppföljning 2013, s. 34.
319
Internationell jämförelse |
SOU 2023:76 |
länderna kommer vara några år efter att EHDS trätt i kraft och hur den föreslagna förordningen kommer påverka ländernas utveckling.
Utredningen ser tre scenarion framför sig för det svenska hälso- dataområdet jämfört med föregångsländerna.
10.6.1Scenario 1 – Utvecklingstakten ligger kvar oförändrat eller försämras
Reformmässigt så har utvecklingstakten på hälsodataområdet enligt utredningen varit låg de senaste tio åren och flera utredningar på om- rådet har av olika skäl inte lett till lagstiftning och myndigheternas mandat, roll och relevans på området har också minskat under denna period, till förmån för stärkandet av Inera AB och SKR.
Utredningens bedömning är att det inte är sannolikt att utvecklings- takten förblir oförändrad eller minskar eftersom Regeringen de senaste åren tillsatt en rad utredningar och beslutat om ett stort antal regerings- uppdrag på hälsodataområdet. Men för fullständighetens skull bedömer utredningen att detta scenario ändå kan vara intressant att lyfta, efter- som det på ett bra sätt tydliggör vilka effekter en försämrad utveck- lingstakt är och riskerna med att inte investera i hälsodataområdet.
Utredningen ser en risk med att Sverige skulle kunna hamna i en situ- ation där förtroende för offentligt finansierad och offentlig utförd vård skulle kunna börja försvagas om Sverige hamnar ännu mer efter exem- pelvis våra grannländer. En konsekvens av det skulle kunna vara att allt fler som följd kommer att teckna privata sjukvårdsförsäkring eller välja privata alternativ. Det skulle i sin tur också bidra till att öka de socio- ekonomiska klyftorna. Utöver att detta skulle kunna skapa en större klyfta mellan individer baserat på deras inkomst så är det sannolikt också så att vårdens medarbetare kommer söka sig till de arbetsplatser som erbjuder en bättre arbetsmiljö där det finns tillgång till datadrivna beslutsstöd, automatiserad datainsamling och behandling. Utveck- lingen skulle sannolikt också leda till att offentligt finansierad sjukvård i Sverige skulle vara relativt oproduktiv jämfört med våra grannländer.
Det är enligt utredningen inte en sannolik utveckling på kort och medellång sikt att Sverige går från
320
SOU 2023:76 |
Internationell jämförelse |
Ett mer troligt scenario är enligt utredningen snarare att missnöjet med hälso- och sjukvården ökar och leder till högre krav på politiken, samtidigt som problemen blir svårare och dyrare att lösa för varje år som går där problemen inte adresseras i tid. Ett sådant exempel skulle kunna vara genom ett ökat antal privata utförare. Privata utförare i sig behöver inte innebära varken något positivt eller negativt, men om det saknas tydlig nationell styrning så finns det stor risk att de privata utförarna, likt regionerna, skapar egna lösningar vilket fragmentiserar hälsodataområdet ytterligare.
10.6.2Scenario 2 – Utvecklingstakten ökar till att matcha föregångsländerna
Baserat på ett antagande att Sverige beslutar den lagstiftning kopplat till vidareanvändning av hälsodata och interoperabilitet som behövs och investerar i utvecklingen av en nationell infrastruktur för hälso- data i linje med vad utredningen skrev i sin promemoria (se bilaga 4 Promemoria med förslag om ändring av
Antagandet om att Sverige ska kunna matcha föregångsländernas utvecklingstakt bygger därmed dels på att Sverige ökar sin takt och att föregångsländernas utvecklingstakt inte stannar av och stagnerar.
Under dessa antaganden skulle Sverige om tio år fortsatt ligga tio år efter föregångsländerna. Utredningens bedömning är att Sverige då om tio år kommer ha löst många av de problem som föregångs- länderna i dag har löst. Exempelvis gällande ökade förutsättningar för vidareanvändning av hälsodata samt minskad administrativ börda i hälso- och sjukvården.
Det är enligt utredningen inte orimligt att anta att allt fler länder kommer komma i kapp Sverige under denna period, även om Sverige i förhållande till föregångsländerna samtidigt inte halkar efter mer. Effekten av det är att Sverige ur ett internationellt perspektiv då endast kan ses som ytterligare ett land i mängden länder som inte excellerar inom hälsodataområdet.
En trolig effekt av det är att Sverige svårligen kommer kunna kon- kurrera med föregångsländerna inom områden som är väldigt data- tunga, så som precisionsmedicin Därtill skulle konkurrensen om in- vesteringar, men även exporten inom life
321
Internationell jämförelse |
SOU 2023:76 |
följd av att Sverige både minskat sin konkurrenskraft, samtidigt som konkurrensen från andra länder ökat. Det är också rimligt att anta att denna effekt även kommer att synas inom forskningen, inte minst inom hälsodatatunga områden.
10.6.3Scenario 3 – Utvecklingstakten ökar till en nivå där Sverige kommer i kapp eller går om föregångsländerna
Scenariot att utvecklingstakten skulle öka till en nivå där Sverige kom- mer i kapp eller går om föregångsländerna skulle innebära omfattande investeringar och starkt politiskt ledarskap. Det skulle kräva en stark samordning av staten, samt mellan staten, kommuner och regioner, forskare, näringsliv och patienter.
Med denna utvecklingstakt bedömer utredningen att Sverige hade kunnat stärka sin konkurrenskraft inom såväl life science som inom flera andra forskningsområden. Det skulle också möjliggöra att Sverige skulle kunna erbjuda en hälso- och sjukvård i världsklass även i framtiden. Det skulle sannolikt också öka effektiviteten i hälso- och sjukvården, men också inom omsorgen till följd av ökad automatisering av datainsam- ling, effektivare informationsdelning samt smartare beslutsstöd.
I denna typ av prognoser är det mer regel än undantag att nyttorna överskattas och kostnaderna och hindren underskattas.
Utredningen bedömer att om det görs omfattande satsningar på hälsodata så har Sverige en möjlighet att komma i kapp och gå om före- gångsländerna på
322
11Övergripande beskrivning av utmaningar och behov på hälsodataområdet
11.1Inledning
I det här kapitlet avser utredningen redogöra för utmaningar och be- hov av övergripande karaktär. Det finns flera faktorer som gör situa- tionen utmanande. Vi står inför nya förutsättningar som ställer krav på bland annat uppdaterat regelverk, anpassad infrastruktur och modern datahantering. Data har blivit en alltmer central resurs i samhället och allt fler delar av samhället styrs av algoritmer som använder stora mängder data. Det finns flera olika begrepp för att beskriva denna omställning inom hälso- och sjukvården. Utredningen har valt att använda begreppet datadriven hälso- och sjukvård. Med datadriven hälso- och sjukvård avser utredningen processer där data är en central resurs som används för att automatisera eller stötta i beslut eller pro- cesser som görs inom eller i angränsning till hälso- och sjukvården. Ett exempel är vid vård av annan patient än den personuppgifterna avser. Det kan också röra sig om automatiserad datainsamling som möjliggör automatiserade beslut. Det kan till exempel handla om an- vändningen av en insulinpump som doserar insulin baserat på de värden från patientens kontinuerliga glukosmätare.
Datadriven hälso- och sjukvård är i sig inget nytt och eftersom data många gånger är information så är det heller inget nytt att vård baseras på kunskap och fakta. Vad som däremot är nytt är den om- fattande volymen av data som nu finns tillgänglig. I dag kan vi pro- ducera mer data om en individ på några dagar än vad som tidigare var möjligt under en livstid. Detta ställer nya krav på hur vi hanterar de data vi samlar in. Denna omställning är inte helt olik den omställning som skedde i samband med internet, eller när datorerna kom. Det är
323
Övergripande beskrivning av utmaningar och behov på hälsodataområdet |
SOU 2023:76 |
inte en sak eller en process som byts ut eller ändras utan det innebär ett helt annat sätt att arbeta och kommer kräva omfattande investe- ringar. Även om det finns stora vinster med att använda data så finns det också stora utmaningar och direkta och indirekta kostnader. Det finns även gott om exempel på dyra
11.2Regelverken upplevs som svåra att tillämpa
Utredningen har fått till sig att det finns svårigheter att förstå och tillämpa lagstiftningen på hälsodataområdet. Ett problem som utred- ningen identifierat är att förarbetena till bland annat patientdatalagen (2008:355), förkortad PDL, i vissa avseenden kan vara svåra att appli- cera på dagens förutsättningar. Gamla exempel eller utdaterade be- grepp medför att tolkningarna av lagen och förarbetena kan gå isär vilket medför att det skapas en osäkerhet om vad som faktiskt gäller. Regelverket verkar därmed vara komplicerat för såväl
En mer enhetlig och tydlig reglering inom hälsodataområdet be- dömer utredningen skulle kunna göra att vårdpersonal och forskare på området lättare kan tillskansa sig en mer grundläggande förståelse för regelverket och på så sätt bättre kunna förstå när en jurist behö-
324
SOU 2023:76 |
Övergripande beskrivning av utmaningar och behov på hälsodataområdet |
ver rådfrågas. Det finns således ett glapp mellan de jurister som kan området bra och personer ute i verksamheterna som behöver tillämpa regelverken. Det saknas inte bara jurister som kan området utan det saknas även tillräckligt med utbyte mellan professioner i verksam- heterna för att få till ett önskvärt scenario.
11.2.1Utmaningar kopplat till begreppen primär- och sekundäranvändning
I vissa juridiska sammanhang förekommer en uppdelning mellan an- vändning av hälsodata, som utgörs av personuppgifter, för primära respektive sekundära ändamål. I utredningens direktiv ges också ut- tryck för denna distinktion, genom att det anges att med sekundär- användning av personuppgifter avses behandling av personuppgifter för något annat ändamål än det primära ändamålet med personuppgiftsbe- handlingen. Exempel på uppdelning i primär- och sekundäranvändning är att det i många så kallade registerförfattningar görs en uppdelning i primära ändamål Dessa avser typiskt sett användande av person- uppgifter i myndighetens egen verksamhet, och sekundära ändamål som avser utlämnande av personuppgifter till externa mottagare.1
I Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av person- uppgifter och om det fria flödet av sådana uppgifter och om upp- hävande av direktiv 95/46/EG (allmän dataskyddsförordning), för- kortad dataskyddsförordningen eller EU:s dataskyddsförordning finns ingen definition av primär eller sekundär behandling, jämför artikel 4.2, däremot kan det anses finnas en distinktion mellan primära och sekun- dära ändamål. Skillnaden formuleras genom principen om ändamåls- begränsning i artikel 5.1 b i dataskyddsförordningen. I artikeln framgår det att uppgifter får samlas in för särskilda, uttryckliga och berättigade ändamål och får senare inte behandlas på ett sätt som är oförenligt med dessa ändamål. Bestämmelsen ger uttryck för den så kallade finali- tetsprincipen. Utifrån detta kan en åtskillnad göras mellan, å ena sidan, användning för det ändamål som uppgifterna ursprungligen samlades in för (primär användning) och, å andra sidan, vidare användning för
1Jämför SOU 2017:66 s. 151 och s. 228.
325
Övergripande beskrivning av utmaningar och behov på hälsodataområdet |
SOU 2023:76 |
andra ändamål (sekundär användning), för ytterligare beskrivning se kapitel 7 Dataskyddsreglering.2
Alla ändamål som anges i kap. 2 och 7 patientdatalagen (2008:355), förkortad PDL, är berättigade ändamål enligt dataskyddsförordningen. I PDL görs dock ingen skillnad mellan primär- och sekundäranvänd- ning. (se prop. 2007/08:126 s. 56.). Utredningen gör bedömningen att det kan vara svårt att skilja på primäranvändning och sekundäranvänd- ning i praktiken då de många gånger används parallellt (se djupare analys angående innebörden av detta i kapitel 13).
11.2.2Utlämnande av hälsodata varierar inom och mellan organisationer
Tillgång till hälsodata förutsätter att datat får lämnas ut. Flera aktö- rer har lyft att menprövningen av utlämnande av hälsodata ibland upplevs komplex, godtycklig och oförutsägbar. Eftersom menpröv- ning är en bedömning ligger det i sakens natur att utfallet kan variera beroende på vem det är som gör prövningen. Mer specifika problem och utmaningar som följer av detta redogörs för i kapitel 15 och 22.
Förutsättningarna för en menprövning inför ett eventuellt utläm- nande av hälsodata påverkas av en rad olika faktorer. För att illustrera utmaningarna och dess komplexitet har utredningen gjort en schema- tisk illustration över två fiktiva regioner i figur 11.1.
I både Region A och B råder det en yttre sekretessgräns mellan verksamheterna hos regionen som vårdgivare och verksamheterna hos de privata vårdgivarna, trots att verksamheterna rent geografiskt kan vara belägen i en och samma region. De privata vårdgivarna illustreras av de grå cirklarna i figuren.
Organiseras verksamheten inom en och samma vårdgivare, såsom Sjukhus 1 i Region A och Primärvård Region A i figur 11.1, uppstår ingen yttre sekretessgräns mellan verksamheterna.
2Europeiska dataskyddsstyrelsen, 2020, Riktlinjer 03/2020 om behandling av uppgifter om hälsa för vetenskapliga forskningsändamål i samband med
326
SOU 2023:76Övergripande beskrivning av utmaningar och behov på hälsodataområdet
Figur 11.1 |
Schematisk illustration över två fiktiva regioner med olika |
|||
|
|
vårdgivare och vård som bedrivs i både offentlig och privat regi |
||
|
|
|
|
|
|
|
Region A |
Region B |
Region B som vårdgivare |
|
Region A som vårdgivare |
|
|
|
|
|
|
Specialistsjukvård |
|
|
|
|
privat vårdgivare |
|
|
|
|
1 Region B |
Sjukhus 1 |
|
|
|
|
|
|
Sjukhus 1 |
Specialistsjukvård |
|
Region B |
|
Region A |
privat vårdgivare |
|
|
|
Region A |
|
|
|
|
|
|
|
|
|
|
|
Specialistsjukvård |
|
|
|
|
privat vårdgivare 2 |
|
|
|
|
Region B |
|
|
Primärvård |
Specialistsjukvård |
|
|
|
privat vårdgivare |
Sjukhus 2 |
||
|
Region A |
|
3 Region B |
|
|
|
Region B |
||
|
|
|
||
|
|
|
|
|
|
|
|
|
|
Källa: Utredningens illustration.
11.3Utmaningar med omställningen till en mer datadriven hälso- och sjukvård
I detta avsnitt kommer utredningen redogöra översiktligt för
11.3.1Digital infrastruktur för hälsodata
Bristen på en nationell digital infrastruktur har lyfts av en rad aktö- rer.3 Utredningen har fått till sig att den infrastruktur som finns i dag på hälsodataområdet inte anses vara nationell och att den infrastruk- turen som finns i dag har flera brister kopplat till såväl primär- som sekundäranvändning. Utredningen har försökt utröna vilken infra- struktur det handlat om. Utredningens bedömning är att det dels verkar handla om en generell känsla av att det finns många aktörer och ingen tydlig nationell aktör på området. På området finns flera
3Möte med Barncancerfonden 27 september 2022, SciLifeLab 27 september 2022, Sahlgrenska Universitetssjukhuset 30 september 2022, och Karolinska Institutet 14 november 2022, Research institute of Sweden 10 november 2022.
327
Övergripande beskrivning av utmaningar och behov på hälsodataområdet |
SOU 2023:76 |
olika aktörer så som statliga förvaltningsmyndigheter, universitet, regi- oner, Inera AB med flera. Utöver detta så har även Inera AB:s tjänster lyfts fram specifikt eftersom inte alla aktörer har möjlighet att använda deras tjänster och att Inera AB:s tjänster därmed inte upplevs som nationella. Därutöver har det även lyfts att det kan vara kostsamt eller krångligt att ansluta sig eller att tjänsterna inte täcker alla områden som aktörerna har behov av. Utredningen har inte gjort någon bedömning eller utrett vidare vad som avsetts med krångligt.
Det ingår inte i utredningens uppdrag att ta ett så omfattande grepp om hälsodataområdet, men bristen på samordning och infra- struktur har en stor påverkan på vilka förslag som utredningen kan lämna och vilka nödvändiga avgränsningar utredningen behövt göra. Utredningen egna bedömning är också att debatten och styrningen inom digitalisering och hälsodata präglas av splittring, okunskap, kompetensbrist och glädjekalkyler.4 Utredningen drar denna slutsats dels ifrån egen tolkning av samhällsdebatten, dels från de aktörer som utredningen varit i kontakt med, vilket inkluderar regioner, stat- liga myndigheter, intresseorganisationer med flera. Utredningen har inte heller träffat någon aktör som gjort bedömningen att infrastruk- tursatsningar ofta håller de initiala kostnadsberäkningarna och att slut- användarna som regel är en del av hela beslutsprocessen. Utredningens slutsats är på ingetdera sätt unik för hälso- och sjukvården, utan verkar gälla digitalisering i stort. Det finns gott om dyra
Den svenska digitala infrastrukturen saknar långsiktig styrning och finansiering
Genom den internationella utblicken kan det konstateras att flera länder som anses ha kommit längre än Sverige på hälsodataområdet verkar ha vissa saker gemensamt. Det ena är att de har en tydligare statlig styrning med tvingande regler snarare än frivillighet. Det har
4Se bland annat Arena Idé, 2022, Digitaliseringslobbyn – på vems villkor digitaliseras vården?
328
SOU 2023:76 |
Övergripande beskrivning av utmaningar och behov på hälsodataområdet |
också centraliserat flera av de områden av hälso- och sjukvården där det finns storskalfördelar och flyttat dem från regional nivå till stat- lig nivå. Detta har sedan kombinerats med statliga långsiktiga inve- steringar på hälsodataområdet.
Utredningen konstaterar även att
Omställningen till en mer datadriven hälso- och sjukvård kommer att vara kostsam och ta tid. Men ju längre Sverige halkar efter desto mer kommer det att kosta i såväl pengar som livskvalitet och lev- nadsår för Sveriges medborgare om arbetet inte påskyndas. Det bör i sammanhanget noteras att regionerna håller på att byta ur stora delar av sin digitala infrastruktur och även staten har tagit ett större ansvar för hälsodatafrågorna de senaste åren. Så hur förändringstakten kom- mer bli till följd av detta är svårt att säga i nuläget. Utredningens be- dömning är ändock att utvecklingstakten på hälsodataområdet behöver öka om Sverige ska komma i kapp föregångsländerna (se vidare kapi- tel 10).
Tillgång till data är nödvändigt för att både göra befintliga behand- lingar inom hälso- och sjukvården bättre och mer träffsäkra, men också för att utveckla nya behandlingar. Data behövs också för att hantera de kostnadsrisker som nya behandlingar ofta för med sig. Utredningen
5Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten).
6Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om harmo- niserade regler för skälig åtkomst till och användning av data (dataakten) COM(2022) 68 final av den 23 februari 2022.
7Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om ett europeiskt hälsodataområde COM(2022) 197 final av den 3 maj 2022.
329
Övergripande beskrivning av utmaningar och behov på hälsodataområdet |
SOU 2023:76 |
beskriver ett exempel om användningen av riskdelningsavtal för nya läkemedelsbehandlingar i avsnitt 20.5.1 och 20.6.1. 8,9,10
Omställningen kommer ställa höga krav på den digitala infrastruk- turen med tillhörande organisatoriska och juridiska strukturer för att möjliggöra en fungerande datadelning där den hälsodata som delas också är av tillräckligt god kvalitet. Det kommer alltså innebära om- fattande investeringar i såväl verksamhets- som
Utredningens bedömning, likt regeringens (prop. 2022/23:1, Ut- giftsområde 9 s. 32), är att omställningen till en mer datadriven hälso- och sjukvård präglas av underinvesteringar. Det har bland annat lett till att en stor del av den data som i dag samlas in samlas in manuellt av vårdpersonalen i stället för att göras automatiserat eller genom att redan insamlade data återanvänds. Detta gäller såväl inmatning i olika register, som att besvara enkäter eller att data behöver registreras in flera olika system.
Underinvesteringar i digital infrastruktur kan också leda till höga driftkostnader då äldre system ofta inte är lika effektiva och skalbara som nya system.11 Ökade kostnader kan också komma av att under- investeringar i digital infrastruktur inte gör data lättare att samla in och bearbeta i samma takt som behoven av datainsamling ökar. En sådan utveckling leder till att en allt större del av hälso- och sjuk- vårdens medarbetare behöver lägga tid på manuell datainsamling och administration (SOU 2016:2 s. 291, s. 366 och s. 575).
Utredningens bedömning är att Sverige hamnat i en nedåtgående spiral på hälsodataområdet bland annat till följd av bristande inve- steringar och styrning.12 Följden har blivit att kostnaderna och admi- nistrationen ökar i snabbare takt än besparingarna och mycket fokus
8Tandvårds- och läkemedelsförmånsverket, 2021, Hur ska vi utvärdera och hur ska vi betala? Hälsoekonomiska bedömningar och betalningsmodeller för precisionsmedicin och ATMP.
9Tandvårds- och läkemedelsförmånsverket, 2022, Beräkning och betalning. Fortsatt utredning om utvärderingsmetoder och betalningsmodeller för nya läkemedel som ATMP och precisions- medicin.
10Tandvårds- och läkemedelsförmånsverket, 2021, Utvecklad uppföljning med hjälp av data från exempelvis nationella tjänsteplattformen.
11Crotty, J., & Horrocks, I., 2017. Managing legacy system costs: A case study of a
12Myndigheten för vård- och omsorgsanalys, 2021, Ökad precision i Europa. Sju europeiska länders satsningar på precisionsmedicin och hälsodata.
330
SOU 2023:76 |
Övergripande beskrivning av utmaningar och behov på hälsodataområdet |
läggs på digitalisering13 snarare än datadrivet arbetssätt.14 Därutöver finns det i dag få möjligheter och strukturer som möjliggör för aktörer som är sekundära användare av hälsodata som har stora behov av hälsodata att bidra med finansieringen av infrastrukturen. Detta är sannolikt en fråga som kommer behöva utredas om Sverige ska klara de investeringsbehov som Sverige står inför på hälsodataområdet.
Utredningen delar regeringens (prop. 2022/23:1 Utgiftsområde 9 s. 32) om att det kommer krävas ett omfattande arbete för att göra omställningen till en mer datadriven hälso- och sjukvård. Exempelvis bedömer utredningen att Sverige kommer behöva investera i kom- petensförsörjning, verksamhetsutveckling och infrastruktur som gör det möjligt att vända den nedåtgående trenden med ökande admini- stration och bristfälliga möjligheter att använda de data som samlats in och skapa nytta för patienterna.
Problemet med ökande administration i vården har påpekats av flera utredningar, exempelvis utredningen Effektiv vård (SOU 2016:2 s. 291, s. 366 och s. 575). I våra grannländer har denna omställning pågått under flera år och även om det pågått i Sverige har exempelvis våra grannländer kommit längre på flera områden. Vi kan från deras arbete se att omställningen är möjlig, men att den också är svår och kostsam.15,16
11.3.2Automatiserad datainsamling
Ett återkommande problem som lyfts till utredningen är bristen på auto- matiserad datainsamling och bearbetning17. Ett sådant arbetssätt skapar dubbelarbete för hälso- och sjukvårdens medarbetare (dir. 2022:98). Manuell datainsamling riskerar också att leda till felinmatningar eller att datainsamlingen prioriteras bort till förmån för annat arbete eller att det uppstår lokala variationer i datainsamlingen.
13Med digitisering avses konvertering av information från analog till digital form. Till exempel att skanna in text och bilder och att överföra musik från band och LP‑skivor till digitalt format som CD och MP3. Digitisering kan också kallas för digifiering, dessa begrepp är ej att förväxla med digitalisering.
14Institutet för framtidsstudier, 2018, Förbjuden framtid? Den digitala kommunen.
15Myndigheten för vård- och omsorgsanalys, 2021, Ökad precision i Europa. Sju europeiska länders satsningar på precisionsmedicin och hälsodata.
16Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårds- system. Erfarenheter från Danmark, Norge, England och Nederländerna.
17
331
Övergripande beskrivning av utmaningar och behov på hälsodataområdet |
SOU 2023:76 |
Automatiserad datainsamling innebär i praktiken en rad olika ut- maningar så som standardisering, utveckling med mera och är därför ofta en komplex process att få till. Utredningen kommer inte i detta avsnitt gå in närmare på dessa utmaningar då flera utmaningar är kopplade till enskilda verksamheter.
Utredningen delar bilden som aktörerna utredningen träffat be- skrivit, om att automatiseringen av datainsamlingen i vården inom hälsodataområdet måste öka för att kunna frigöra de resurser som vården kommer behöva för att hantera framtidens vårdbehov.18 Ut- redningens bedömning är att datahantering och dataförsörjning sanno- likt kommer vara en av hälso- och sjukvårdens och välfärdens största utmaningar de kommande åren.
11.3.3Datamängderna fortsätter att växa
NHS19 i England har ett pågående projekt som tydligt belyser hur om- fattande datainsamlingen börjar bli inom hälso- och sjukvården. Sedan 2021 har NHS genomfört ett pilotprojekt tillsammans med företaget GRAIL för att screena för 50 olika cancertyper.20 I dagsläget om- fattar deras genomikdatabas cirka 335 000 deltagare och omfattar över 12 petabyte, vilket motsvarar en miljon gigabyte, data.21 Detta kan jämföras med att vissa estimat visar att det globalt producerades22 97 zettabyte23 data år 202224. NHS databas motsvarar alltså cirka 0,000012 procent av all data som genererades 2022.
18Möte med Vårdföretagarna, Swedish Medtech 2 november 2022 och Svensk sjuksköterske- förening 26 september 2022.
19Storbritanniens satsning på tidig detektion av cancer med hjälp av flytande biopsier – beskrivning och analys, RISE, 2022.
20Storbritanniens satsning på tidig detektion av cancer med hjälp av flytande biopsier – beskriv- ning och analys, RISE, 2022.
21
22Med producerades avses ”skapad, infångad, kopierad eller konsumerad”. Utredningen antar att estimatet är behäftat med betydande osäkerhet, men bedömer ändå att det ger en tillräcklig indikation på ungefär vilken magnitud datainsamlingen ligger på globalt.
23För referens så motsvarar en zettabyte 1000 miljarder gigabyte.
24
332
SOU 2023:76 |
Övergripande beskrivning av utmaningar och behov på hälsodataområdet |
Figur 11.2 Estimerad global årlig datagenerering
Zettabyte
200
180
160
140
120
100
80
60
40
20
0
År
Källa:
Ett annat sätt att se på storleken på GRAIL:s datamängd är att räkna ut hur stor den varit om lika mycket data skulle samlas in om samt- liga individer globalt. I så fall skulle deras genomikdatabas motsvara 0,3 procent av all data som producerades globalt under 2022.
Marknaden för bolag som utvecklar genetiska tester ökar i snabb takt, därmed ökar också datainsamlingen. Under 2020 utgjorde den globala populationen ungefär 7 procent av alla människor som någonsin levt.25 Siffrorna visar tydligt på hur enormt stor datainsamlingen sanno- likt kommer att bli de kommande åren.
Hälso- och sjukvårdens behov av storskalig lagring och beräknings- kapacitet kommer sannolikt öka allt eftersom den tekniska utveck- lingen inom
25
333
Övergripande beskrivning av utmaningar och behov på hälsodataområdet |
SOU 2023:76 |
11.3.4En uppgift en gång
Enligt
Det finns flera anledningar till att samma eller liknande uppgifter samlas in flera gånger. Några exempel är att uppgifterna samlats in med enbart ett syfte i åtanke snarare än ett bredare syfte och därmed begränsar återanvändbarheten. Ett annat problem är att hälsodata av olika skäl inte går eller får delas. I kapitel 2 redogörs för vad begrep- pet hälsodata innefattar enligt utredningen.
Ett av de stora problemen som utredningen identifierat är att det många gånger inte är samma personer eller aktörer som samlar in data som sedan nyttjar den. Ett sådant exempel kan vara att det är sjuksköterskor som samlar in data som sedan används av exempelvis sjukhusledningen. Det kan även röra datainsamling som följer av olika myndighetskrav som sedan kan behövas för ett annat ändamål. Den problematiken gäller såväl den primära som sekundära insamlingen. Att det är en aktör eller person som samlar in data och någon annan som använder den kan göra att datainsamlingen upplevs som menings- lös.29 Det kan också leda till att för lite hälsodata samlas in, eftersom det är aktören som samlar in som står för större delen av kostnaden, medan det kan vara andra aktörer som har behovet. Då uppstår en diskrepans mellan utbud och efterfrågan som leder till ett subopti- malt nyttjande av hälsodata.
26Se exempelvis DIGG:s arbete med nationellt ramverk för grunddata https://www.digg.se/
27
28Myndigheten för vård- och omsorgsanalys, 2017, Lapptäcke med otillräcklig täckning. Slututvärdering av satsningen på nationella kvalitetsregister.
29
334
SOU 2023:76 |
Övergripande beskrivning av utmaningar och behov på hälsodataområdet |
11.3.5Kompetensbristen är en stor utmaning i omställningsarbetet
Utmaningar med kompetensbristen är inte ett unikt problem för Sverige. Flertalet medlemsländer som intervjuades i projektet Towards the European Health Data Space (TEHDAS) gällande utmaningar kopplade till implementeringen av EHDS lyfte just kompetensbristen som en av de stora utmaningarna.30 Som utredningen tolkar under- laget som TEHDAS tagit fram att kompetensbristen avser såväl brist på generell- som spetskompetens inom exempelvis datahantering och bearbetning. Omställningen till en mer datadriven hälso- och sjuk- vård kommer innebära en hög grad av kompetensväxling inom vissa verksamheter, främst inom hälso- och sjukvården.
För att lyckas med omställningen till en mer datadriven hälso- och sjukvård krävs ökad kompetens inom områden som rör data- hantering. Utredningens bedömning är att allt fler yrkeskategorier, så som administratörer, jurister, ekonomer men även vårdpersonalen behöver en ökad kompetens inom matematik, mer specifikt kvantitativ metod, men också inom datavetenskap. Allt eftersom data får en mer central roll och börjar genomsyra hela verksamheten behöver i stort samtliga som arbetar inom hälso- och sjukvården ha en grundläggande förståelse för vad data är och hur det kan användas. Utöver en ökad grundläggande kompetens bland samtliga medarbetare ökar även be- hovet av spetskompetens inom exempelvis dataanalys allt eftersom omställningen kommer längre och datamängderna och användningen av exempelvis AI ökar. Det finns även en brist på resurser och kom- petens inom området hälsoinformatik. Ett område som utgör en central del i arbetet med att standardisera hälsodata och skapa förutsättningar för effektiv informationsförsörjning.31
11.3.6Datakvalitet och tillgång till data
En datadriven hälso- och sjukvård kräver inte bara fungerande system och adekvata regelverk. Utan tillgång till nödvändiga data av bra kvali- tet blir nyttan av datainsamlingen begränsad.
30
31Möte med SKR 7 juni 2023.
335
Övergripande beskrivning av utmaningar och behov på hälsodataområdet |
SOU 2023:76 |
Datatillgång
Efter dialog med flertalet aktörer kan utredningen konstatera att data- tillgången begränsas av olika skäl. Nedan redogörs för de vanligaste skälen som lyfts till utredningen.
Juridiska hinder eller otydligheter
De juridiska aspekterna beskrivs i olika hänseenden närmare i kapi- tel 12, 13 respektive 15 samt genomgående i hela betänkandet och kommer därför inte redogöras för i detalj under detta men innebär i korthet att det i flera situationer saknas legala förutsättningar för att få tillgång till hälsodata.
Avsaknad av infrastruktur
Avsaknaden av teknisk och/eller organisatoriska infrastrukturella för- mågor som möjliggör datadelning tas inte heller upp nedan utan be- skrivs mer i kapitel 19, samt i bilaga 4 Promemoria med förslag om ändring av
Bristande interoperabilitet
Behov av ökad teknisk och semantisk interoperabilitet kommer ut- redningen inte gå in på i någon större detalj eftersom det dels ligger utanför utredningens uppdrag, dels finns två pågående utredningar som tittar specifikt på interoperabilitet. Utredningen om infrastruk- tur för hälsodata som nationellt intresse (S 2022:10) och Utredningen om interoperabilitet vid datadelning (I 2022:03).
336
SOU 2023:76 |
Övergripande beskrivning av utmaningar och behov på hälsodataområdet |
Bristande möjligheter för att hitta data
Flertalet aktörer har lyft problemet med att hitta vilka data som finns och var dessa data finns (N 2022:A).32,33 Ett sådant behov har även identifierats av
Utredningen delar aktörernas bedömning och ser att det finns behov av en nationell datahubb (se kapitel 19) som bör kompletteras med ansvaret för att, i ett första skede, tillhandahålla en metadatakatalog över de hälsodatamängder som omfattas av PDL, lag (1998:543) om hälsodataregister samt utredningens eget förslag, lag om vidareanvänd- ning av vissa personuppgifter för klinisk forskning. I ett senare skede bör, enligt utredningens bedömning, även andra datamängder inklu- deras. I det arbetet bör även befintliga strukturer så som Vetenskaps- rådets metadatatjänst RUT beaktas.
Låg uppdateringsfrekvens och långa ledtider
Flera aktörer har lyft behovet av ökad uppdateringsfrekvens och kor- tare ledtider. Det handlar primärt om hälsodataregister eller register som finns i regionerna, så som nationella kvalitetsregister.34 Det har även i budgetpropositionen för 2022 (prop. 2021/22:1 Utgiftsom- råde 9 s. 45) angetts att uppdateringsfrekvensen behöver öka för att kunna hantera aktuella samhällsproblem.
Uppdateringsfrekvensen är inte bara viktig för krishantering, den är också viktig för den nationella uppföljningen, forskning, innova- tion och för bland annat life
32Socialstyrelsen, 2022, Kartläggning av datamängder av nationellt intresse på hälsodataområdet (delrapport), s. 34.
33
34Industrin, TLV, LV, VOA, Coronakommissionen, SoS utredning, BP, uppdateringsfrekvensen i hälsodataregistren är så låg (Socialstyrelsen
35Regeringskansliet, 2019, En nationell strategi för life science.
337
Övergripande beskrivning av utmaningar och behov på hälsodataområdet |
SOU 2023:76 |
Den låga uppdateringsfrekvensen är också ett problem för reger- ingen då en stor del av den statliga uppföljningen bedrivs genom att myndigheter får uppdrag att ta fram myndighetsrapporter. Dessa rap- porter bygger ofta på användningen av data från bland annat Social- styrelsens hälsodataregister. Registren har i dag olika uppdaterings- frekvens, vissa månadsvis, andra årsvis. I praktiken innebär det att de flesta myndighetsrapporter baseras på gamla data, vilket får till följd att rapporterna kan belysa hur situationen såg ut för flera år sedan. Detta tillför även andra problem, exempelvis att det är svårt att kom- plettera analyserna med intervjuer av aktörer inom hälso- och sjuk- vården eftersom den data som svaren jämförs med kan vara flera år gamla. Det kan i sin tur bland annat leda till att det kan bli svårt för myndigheterna att lämna rekommendationer på åtgärder, lite beroende på hur trögrörliga trenderna är som analyseras. En effekt av det är att många rapporter av olika skäl inte svarar upp emot de behov som Regeringskansliet har (SOU 2020:36 s. 262).
Möjlighet att ta del av data
Det kan i vissa fall finnas skäl till att olika privata och offentliga aktö- rer väljer att inte dela hälsodata. De två vanligaste orsakerna som lyfts till utredningen är kostnaden för utlämnande samt osäkerhet kring om hälsodata får lämnas ut eller inte. Vad gäller kostnaderna för ut- lämnande så kan det röra såväl brister på tekniska eller organisatoriska förutsättningar mellan datahållare som gör att kostnaden för utläm- nande kan skilja sig åt. Exempelvis att data inte är strukturerad eller sammanställd på ett sätt så att de enkelt kan delas.
Det kan också röra sig om att vissa datauttag är mer komplexa och innebär omfattande administration, exempelvis i samband med menprövningar. Vad som får lämnas ut är dessutom en bedömnings- fråga som kan skilja sig från en aktör till en annan. Exempelvis kan olika regioner eller myndigheter inom en region göra olika bedöm- ningar kring förutsättningarna att göra ett utlämnande i enlighet med gällande sekretessregler. Dessa förutsättningar kan få till effekt att den som begär ut hälsodata får hälsodata från vissa regioner och avslag från andra regioner.
En annan orsak som utredningen fått till sig är att en del data- hållare känner sig osäkra på om de får tillgängliggöra data eller att de
338
SOU 2023:76 |
Övergripande beskrivning av utmaningar och behov på hälsodataområdet |
känner sig otrygga med huruvida de kan behålla kontrollen över sina hälsodata om de delar sina hälsodata. Det kan exempelvis avse att mottagande aktör inte bedöms ha adekvat cyber- och informations- säkerhet för att säkerställa att uppgifterna inte kommer obehöriga till del. En annan anledning är att datahållare ser en risk att deras hälsodata kan komma att tolkas felaktig om dataanvändaren inte har tillräcklig kunskap om den. Det kan också bero på en upplevd risk att hälsodatan kommer delas eller användas för andra ändamål än för vad de tillgängliggjorts för.
Ytterligare orsaker som lyfts är att data i vissa fall är eller ses som en företagshemlighet och att de företag som äger informationen inte vill eller kan dela den.
Sammanfattning
Det finns flera utmaningar kopplat till frågan om tillgång till data och det är på vissa områden anmärkningsvärt hur bristfällig tillgången på relevanta data är. Exempelvis finns i dag inga nationella tillförlitliga och uppdaterade data över tillgängligheten till vård (SOU 2021:58, s. 374), trots att tillgängligheten till vård är en av väljarnas viktigaste fråga.36
Enligt utredningens bedömning kommer inrättandet av en nationell datahubb med tillhörande regionala datahubbar inte att lösa alla pro- blem för frågan om datatillgång utan det kommer även krävas om- fattande investeringar i kommuner och regioner samt en starkare statlig styrning som prioriterar och harmoniserar investeringarna inom detta område som i sin tur skapar nationella infrastrukturella förmågor att ställa om hälso- och sjukvården till att bli mer data- driven.
Datakvalitet
Flera aktörer har lyft att det inom vissa områden finns brist på hälsodata av bra datakvalitet. Det har främst handlat om uppgifter i exempelvis journaler eller patientgenererade data. I dag saknas delvis strukturer som säkerställer att de hälsodata som rapporteras in inom hälso- och
36Näsman, P., Oscarsson, H. E., Pettersson, M., & Holmberg, S. 2022. VALU
339
Övergripande beskrivning av utmaningar och behov på hälsodataområdet |
SOU 2023:76 |
sjukvården är korrekta. Ett exempel som visar på denna avsaknad var när journaler började tillgängliggöras via nätet, då upptäckte vissa patienter fel i journalerna, så som hur ofta patienten hade symptom eller liknande.37 Det kan i detta sammanhang också nämnas att journal- data är en datamängd som är notoriskt svårhanterad. Personer kan säga fel eller läkaren kan behöva tolka diffusa förklaringar av problem och därefter göra antaganden som kan vara mer eller mindre kor- rekta. Det finns därför gott om situationer där det kan uppstå fel- aktigheter.
Det kommer aldrig gå att kontrollera alla hälsodata för alla even- tuella fel. I stället kommer det krävas att relevant data har en till- räcklig kvalitet för ändamålet. Ibland kan det behöva accepteras att kvaliteten för olika variabler inte är lika god i ett helt dataset eller att täckningsgraden inte är fullständig. Exempelvis kan en datamängd om exempelvis läkemedelsordination ha tillräckligt god kvalitet för att det ska kunna utläsas en trend i datamängden, även om några en- skilda observationer skulle vara felaktiga. I det enskilda fallet skulle en felaktig observation däremot kunna innebära en betydande patient- säkerhetsrisk.
Sammanfattningsvis kan det konstateras att kvalitén på relevant data kan variera beroende på situation. Ibland krävs att kvalitén är väldigt hög, medan den i andra situationer kan vara tillräckligt att datan är av medel till hög kvalité. Eftersom behoven och nyttan kan variera ner på variabelnivå inom samma datamängd så kan kostnaden för data- insamlingen alltså i vissa fall behöva bedömas ner på variabelnivå för att bedöma om kostnaderna står i relation till nyttan.
En annan vanligt återkommande synpunkt som lyfts till utred- ningen är behovet av god kännedom om de hälsodata som analyseras. Detta kräver att både dataanvändaren och datahållaren har god känne- dom om aktuella hälsodata. Oftast är det aktörerna som är nära in- samlingen av den relevanta hälsodatan som har bäst koll på dess styrkor och svagheter och för vilka ändamål olika datamängder lämpar sig.38
37Möte med Regionala cancercentrum 22 september 2023.
38Möte med Regionala cancercentrum 22 september 2022, Institutet för hälsa och välfärd (THL)
21oktober 2022, Centrum för hälsodata 12 januari 2023, Socialstyrelsen 27 januari 2023.
340
SOU 2023:76 |
Övergripande beskrivning av utmaningar och behov på hälsodataområdet |
11.3.7Behovet av direkt identifierbara individdata
Flera aktörer har framhållit behovet av direkt identifierbara personupp- gifter, medan andra har ifrågasatt behovet av individdata. Utredningen kommer därför kortfattat redogöra för de behov som dataanvändare har av direkt identifierbara personuppgifter.
Det finns olika skäl till att en aktör kan behöva få tillgång till direkt identifierbara personuppgifter. Inom forskning kan det bero på att individen observeras direkt och att det därmed är svårt eller ibland inte ens möjligt att använda sig av annat än direkt identifierbara per- sonuppgifter.
Ett annat vanligt behov är att kunna samköra hälsodata. Ett sådant exempel är om en forskningsstudie är intresserad av hälsodata från två olika kvalitetsregister där samma personer finns registrerade. Om dessa två datamängder ska sammanfogas krävs en nyckel (se av- snitt 3.3.4) för att veta vilka hälsodata som hör till vilken individ. En vanligt förekommande nyckel är personnummer. Den som samkör hälsodata har sällan ett behov eller en vilja av att veta vem individen är, men utan någon form av kodnyckel saknas möjligheten att kunna sammanfoga och jämföra hälsodata från olika register.
Ett av syftena med hälsodatareglering är enligt utredningen att förhindra okontrollerad vidareanvändning och okontrollerad samkör- ning av personuppgifter. Det finns en efterfrågan att kunna minimera intrånget i den personliga integriteten genom att samköra hälsodata inom en säker behandlingsmiljö39 eller på något annat sätt där inte- gritetsintrånget kan minimeras och informations- och cybersäkerheten kan hållas på en hög nivå. Andra aspekter som efterfrågas är öppenhet och information till de berörda personerna kring samkörningsmöjlig- heterna och att så sker.
39I detta sammanhang avses begreppet säker behandlingsmiljö som är definierat i artikel 2 i Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten) och be- greppet ska alltså inte tolkas så som det kan används allmänspråkligt.
341
Övergripande beskrivning av utmaningar och behov på hälsodataområdet |
SOU 2023:76 |
11.3.8Tillit är en grundförutsättning för att kunna dela data
En grundförutsättning för datadelning är att det finns tillit mellan invånarna vars data samlas in och den som samlar in data.
Regeringen har utöver direktiven till denna utredning (dir. 2022:41) i en rad olika dokument kommunicerat vikten av integritetsskydd och medborgarnas tillit. I budgetpropositionen 2022 skriver regeringen:
Datadelning ska präglas av öppenhet och transparens och det ska vara tyd- ligt för den enskilde om, hur, när och i vilka syften data kan komma att delas. Kontrollerade, säkra och transparenta mekanismer för datadelning med tillhörande tillsyn är en förutsättning för att motverka diskrimi- nering och orimliga intrång i individens integritet, samtidigt som det är ett värdefullt verktyg för att kunna erbjuda en god och effektiv vård.
Att samla in stora mängder data om individer är ett stort ansvar. In- samling av data bygger i stora delar på individens tillit till att data- hållaren använder datan på ett ansvarsfullt och säkert sätt.
Utmaningar kring tillit för hantering av personuppgifter och utbud av digitala tjänster.
Viljan att dela hälsodata verkar skilja sig åt mellan grupper, ändamål och typ av hälsodata det är som ska delas. Detta kan exempelvis ses i den undersökning som den europeiska paraplyorganisationen för sällsynta hälsotillstånd EURORDIS gjort. De tillfrågade sina med- lemmar om deras inställning till datadelning. Av urvalet som tillfråga- des att svara på enkäten svarade endast 19 procent, vilket gör att svaren ska tolkas med försiktighet.
Enligt undersökningen skulle 97 procent av de som besvarade en- käten vara redo att dela med sig av sina personuppgifter för att utveckla nya behandlingar och förbättra diagnostiken av sin sjukdom. Vidare var 95 procent villiga att dela med sig av sina personuppgifter för att förbättra forskningen om andra sjukdomar än deras egen.40
Enligt undersökningen uppgav 80 procent att de ville ha full (47 pro- cent) eller nästan full (33 procent) kontroll över de personuppgifter de delar med sig av. De som svarade på undersökningen uppgav i detta sammanhang även att de två största riskerna, som de ser i samband
40Courbier, S., Dimond, R., &
342
SOU 2023:76 |
Övergripande beskrivning av utmaningar och behov på hälsodataområdet |
med datadelning, är att deras data ska delas med tredje part utan deras samtycke samt att deras data skulle användas för något annat än det som de delade med sig av sina data för.
Enligt
Orsakerna till att en person vill dela med sig av sina personupp- gifter kan vara många, en grundförutsättning är dock att det finns tillit till att personuppgifterna inte missbrukas. Tilliten till datadelning verkar lätt att förlora och desto svårare att bygga upp, vilket varit fallet i exempelvis Storbritannien (se avsnitt 10.3.10).
Sammanfattningsvis konstaterar utredningen att det är angeläget att det finns en tillit hos landets invånare till att utökade möjligheter för vidareanvändning av hälsodata hanteras på ett sätt som invånarna kan känna sig trygga och bekväma med. I det ingår att såväl tjänsterna som informationen tillgängliggörs på ett sätt som är tillgängligt för samtliga invånare, oavsett om de är vuxna, barn, personer med kog- nitiva eller andra funktionsvariationer.
11.4Nya förutsättningar på hälsodataområdet
Allt eftersom nya typer av datamängder kan samlas in, kan även för- väntningarna från medborgarna på att dessa data används på lämpligt sätt inom hälso- och sjukvården öka. När det blev möjligt att mäta blocksockernivåerna i blodet uppstod en förväntan bland många per- soner med diabetes att denna information skulle samlas in och an- vändas för att få till en bättre hälso- och sjukvård för diabetiker. I dag
41
42
343
Övergripande beskrivning av utmaningar och behov på hälsodataområdet |
SOU 2023:76 |
är den datainsamlingen en självklar del av diabetesvården och en central del för att kunna erbjuda bra behandling.
Ett annat exempel, som i dag tas för givet, är när teknik som gjorde det möjligt att mäta halterna av olika ämnen i vatten eller luft utveck- lades. Denna teknik har möjliggjort att forskare har kunnat koppla ihop halterna av dessa ämnen med olika hälsoutfall, vilket i flera fall lett till en reglering på området.43
11.4.1Precisionsmedicin
Precisionsmedicin, är ett relativt nytt begrepp som blir allt viktigare inom hälso- och sjukvården. Utredningen avser inte definiera exakt vad som ingår i begreppet precisionsmedicin men enligt utredningen kan det generellt anses innebära att prevention, behandling, diagno- stik och uppföljning skräddarsys efter den enskilde patientens unika förutsättningar. Det kan göras genom olika metoder där ett vanligt sätt är att analysera den genetiska profilen hos en individ.
Begreppet precisionsmedicin
Utredningen konstaterar att det pågår en diskussion kring semantiken och begreppet personlig hälso- och sjukvård i förhållande till begreppen precisionsmedicin, precisionshälsa och precisionsterapi. Exempelvis finns en EU rådslutsats från 2015 som Sverige skrivit på och där det på engelska heter ”personalised medicine” (2015/C 421/03) som över- satts till ”individualiserad behandling för patienter”. Det skulle kunna gå att argumentera för att detta begrepp är något bredare än preci- sionsmedicin och inte heller är något nytt. Utredningen konstaterar därmed bara att olika begrepp florerar och utredningen har inte för avsikt att försöka definiera begreppen eller se över semantiken.
Utredningen utgår primärt från begreppet precisionsmedicin efter- som det, enligt utredningens bedömning, är det i särklass vanligaste begreppet som använts av de som utredningen varit i kontakt med inom det aktuella ämnet. Inom vissa områden är precisionsmedicin vanligare än inom andra, men utvecklingen indikerar att precisions- medicin sprider sig och används inom allt fler områden. I dag skulle
43Se exempelvis: Europaparlamentets och rådets direktiv 2008/50/EG av den 21 maj 2008 om luftkvalitet och renare luft i Europa.
344
SOU 2023:76 |
Övergripande beskrivning av utmaningar och behov på hälsodataområdet |
en patient med behov av en blodtransfusion inte få en sådan trans- fusion utan att hälso- och sjukvården först ser till så till exempel blod- grupp matchar patientens blod. På samma sätt ämnar precisionsmedicin se till patienternas individuella förutsättningar och anpassa vård och behandling därefter.44
Vad innebär användning av precisionsmedicin
En läkarundersökning genomförs oftast för att en läkare försöker hitta orsaken till att en patient upplever ett obehag, smärta eller annat symtom som gett patienten anledning att uppsöka hälso- och sjuk- vården. För att hitta orsaken och ställa en diagnos finns det många olika undersökningar som kan behöva göras, som till exempel klinisk undersökning, avbildning med röntgen eller nuklearmedicin och labo- ratorieanalyser av urin eller blod. Det är även möjligt att undersöka och analysera patientens arvsmassa vilket kallas sekvensering. Att genomföra en gen- eller genomsekvensering är en avancerad under- sökning av delar eller hela patientens arvsmassa (genomet). En sådan sekvensering genererar enorma mängder data.
I våra celler finns en molekyl som kallas DNA. DNA:t fungerar som en instruktionsbok, som styr hur vår kropp byggs upp och funge- rar. Instruktionen är uppbyggd av fyra kemiska molekyler, som be- tecknas med bokstäverna A, G, T och C. Den kompletta uppsätt- ningen bokstäver,
Olikheter mellan våra genom uppstår av slumpvisa förändringar när celler delar sig och DNA kopieras. Dessa förändringar kan liknas vid ett stavfel eller en bugg i en datakod. Oftast innebär det här inga problem för personen, utan är enbart individuella skillnader. Ibland leder dock stavfelet till hälsoproblem eller sjukdom hos individen, då kroppen inte får rätt instruktionen.
44Dialog med Genomic Medicine Sweden (GMS)
345
Övergripande beskrivning av utmaningar och behov på hälsodataområdet |
SOU 2023:76 |
Att upptäcka och förstå stavfelen/buggarna i en individs DNA kan hjälpa hälso- och sjukvården att ställa rätt diagnos och i bästa fall hitta en behandling som är skräddarsydd för den specifika patientens genförutsättningar.
Genom att ta ett blodprov eller annan vävnad kan hälso- och sjuk- vården analysera vissa av patientens gener eller hela patientens genom. Genomsekvensering och helgenomsekvensering innebär samma sak.
För att hitta de eventuella förändringarna i en specifik patients DNA behöver gen- eller genomsekvensen jämföras med sekvensen från andra individer. Ju fler sekvenser som kan jämföras med, desto säkrare utfall. För att kunna förstå vilka förändringar i en specifik patients DNA som kan bidra till ohälsa och vilka som är normal- variationer och därmed ofarliga, behöver läkaren även veta hur DNA:t ser ut hos friska individer. Ibland jämförs en individs genomsekvens med nära släktingars sekvens, som mellan föräldrar och barn eller syskon. Vid en sådan jämförelse kan det även avgöras om det kan finnas ärftlighet i genförändringen. Genom att veta exakt var den spe- cifika patientens genom är annorlunda, kan den kunskapen hjälpa läkaren att ställa diagnos för patientens tillstånd, eller avfärda en miss- tänkt diagnos. Därmed ökar möjligheten att hitta den bästa indivi- duella vården och behandlingen.
Gen- och genomsekvensering är komplicerade processer, som krä- ver både mycket kunskap och avancerade analysmetoder. Förändringar i DNA:t som hittas behöver bedömas av specialister.
Som nämnts tidigare består en individs DNA av 3 miljarder bok- stäver i olika kombinationer som utgör den mänskliga arvsmassan och där vissa genförändringar kan ge upphov till olika hälsotillstånd.
Kunskapen och möjligheter till att ställa diagnos förbättras hela tiden i snabb takt. Ju fler genom som sekvenseras, desto mer kun- skap genereras om betydelsen av genetiska varianter och därmed kan fler personer få en genetisk diagnos. Nyckeln till ännu fler och snabbare förbättringar ligger i att kunna jämföra och dela sådan data.
Utöver genomik finns även andra tekniker så som bildanalys, AI, proteomik, transkriptomik, epigenomik45 med flera vilka också är viktiga delar av precisionsmedicinen. Det är dock svårt att i nuläget säga vilka
45Förenklat kan sägas att Proteomik, transkriptomik, epigenomik likt genomik är ett samlings- begrepp för olika metoder för att analysera biologiska tillstånd eller processer.
346
SOU 2023:76 |
Övergripande beskrivning av utmaningar och behov på hälsodataområdet |
terade områden har underlättat stora sekvenseringsinsatser, stöttat nya biologiska upptäckter inom till exempel cancersjukdomar och ska- pat en era av biomarkörer som analyseras i blod. Trots dessa framsteg finns det ytterligare frågor som kan få svar med hjälp av avancerad
På behandlingssidan finns även avancerade terapiläkemedel som i varierande grad anpassas efter personen eller personens specifika gen- uppsättning och är en viktig del av precisionsmedicinen. Det finns flera utmaningar med behandlingar som
Fördelar med precisionsmedicinska arbetssätt
Nyttan som precisionsmedicinen bidrar med kan hjälpa patienter att få en diagnos eller rätt anpassad behandling. För sällsynta diagnoser är möjligheten att få en diagnos en viktig förutsättning för att få till- gång till rätt vård, omhändertagande och stödinsatser. Att använda sig av till exempel helgenomsekvensering kan ha en avgörande roll för att fastställa sällsynta diagnoser. Rätt behandling kan i sin tur både rädda liv och minska lidande för patienterna. Inom ett forsknings-
46Chimeric antigen receptor T cell therapy.
347
Övergripande beskrivning av utmaningar och behov på hälsodataområdet |
SOU 2023:76 |
projekt har flera barn i Sverige med hittills obotlig cancer fått indi- vidanpassad behandling. Forskningsprojektet har bidragit till att barnen fått prova anpassade läkemedel som riktar sig mot just genetiska fel i cancercellerna. I minst 25 fall har tumörerna minskat eller slutat växa.47 För fler fördelar som följer av förslagen, se konsekvensutredningen i avsnitt 18.2.1.
11.4.2Ökad reglering ökar behovet av data
Utöver ökade förväntningar så kommer hela tiden nya krav på dokumentation gällande exempelvis säkerhet och effekt av läkemedel och medicintekniska produkter. Kraven på dokumentation ställer i sin tur krav på tillgång till data.
11.4.3Hälsodata som krävs för att hantera kriser
Ytterligare ett exempel på behov av nya datamängder är data som krävs för att hantera kriser såsom en pandemi. Ett problem med denna typ av hälsodata är att det på förhand kan vara svårt att veta vilka data som behövs för en specifik kris. Detta ställer högre krav på en mer flexibel lagstiftning i en krissituation, men framför allt att det finns system, semantik och infrastruktur på plats som kan hantera de nya behoven.
47Se
348
SOU 2023:76 |
Övergripande beskrivning av utmaningar och behov på hälsodataområdet |
11.5Övriga utmaningar som följer av den tekniska utvecklingen
11.5.1AI
Flera aktörer har lyft till utredningen att det är svårt att veta hur data får användas i samband med utveckling och användning av AI. Ut- redningen kommer inte gå in på detta av olika skäl. Hur AI får an- vändas kommer delvis att regleras i
11.5.2Datautvinning
Datautvinning kallas även för data mining och innebär sökning efter mönster och samband i stora
–samtidiga samband så som företeelser som uppträder samtidigt eller under samma omständigheter,
–sekventiella samband så som företeelser som brukar uppträda i en bestämd ordning,
–kategorisering så som gruppering efter nyupptäckta mönster,
–samhörighet så som gruppering efter andra samband, se affinitets- analys och
–förutsägelser så som prediktiv analys.
Ett konkret exempel från detaljhandeln är en amerikansk stormark- nadskedja som upptäckte att försäljningen av både öl och blöjor ökade på fredagar. När dessa varor placerades intill varandra ökade försälj- ningen av båda ytterligare. Förklaringen var att småbarnspappor brukar handla just på fredagar.48
Exemplet ovan kan verka banalt, men med stora datamängder och mycket beräkningskraft kan denna metod hitta samband som ingen människa skulle kunna göra. Det är därför oftast svårt att på förhand veta exakt vilka samband och trender modellen kan hittat ur en given mängd data. Även om det kan vara utmanande att ta reda på om sam- banden från denna typ av analysmetod är kausala eller inte och i så
48
349
Övergripande beskrivning av utmaningar och behov på hälsodataområdet |
SOU 2023:76 |
fall åt vilket håll det kausala sambandet går samt hur hela det kausala sambandet ser ut så har de på senare år skapat nya möjligheter för att generera nya hypoteser.49
Ett problem med denna typ av analyser är att det oftast krävs mycket data och i fallet för hälsodata så rör det sig oftast om känsliga personuppgifter. Eftersom den som analyserar datan inte på förhand alltid vet vad hen letar efter kan det vara svårt att uppgiftsminimera. Det är också svårt att på förhand specificera och avgränsa vilka typer av samband det är som analytikern förväntar sig att hitta och huru- vida dessa samband faktiskt finns eller om de bara beror på slumpen. Så trots att denna typ av analysmetod många gånger analyserar flera miljoner datapunkter, som gör det praktiskt omöjligt för den som analyserar datan att identifiera enskilda i den, så är den ändock ur ett integritetsperspektiv svårhanterad. Utredningen bedömer dock att denna typ av metod blir allt vanligare inom hälsodataområdet, inte minst för forskning, uppföljning och utveckling.
49Oquendo, M. A., et al. 2012. Machine learning and data mining: strategies for hypothesis generation. Molecular psychiatry, 17(10),
350
12Problemanalys kopplad till utredningens författningsförslag
12.1Inledning
I föregående kapitel har övergripande behov på området beskrivits. Olika brister har identifierats och utredningen har, via de kontakter som förevarit inom utredningsarbetet, fått till sig att regelverken på hälsodataområdet upplevs som otydliga och otillräckliga.
I detta kapitel redogör utredningen för de problem och brister som utredningen bedömer faller inom ramen för utredningens direk- tiv. Vidare är problemanalysen i detta kapitel begränsad till de situa- tioner där det, enligt utredningens bedömning, är möjligt för utred- ningen att lämna författningsförslag. I utredningens direktiv framgår det att utredningen ska analysera, bedöma och i de fall det behövs, lämna författningsförslag för att möjliggöra sekundäranvändning av hälsodata från hälso- och sjukvården för flera olika ändamål. Utred- ningen har landat i att det är möjligt att lämna författningsförslag för två av ändamålen som räknas upp i direktiven. Det ena ändamålet är när personuppgifter från en eller flera patienter ska kunna användas för vård och behandling av andra enskilda patienter. Det andra ända- målet är när personuppgifter ska användas för forskning. Utredningens avgränsningar och bedömningar av varför dessa två är möjliga att lämna författningsförslag på, finns beskrivna i avsnitt 2.6. Ändamål som finns med i utredningens direktiv, men som utredningen av olika anledningar inte kan lämna författningsförslag på, beskrivs närmare i kapitel 19 en nationell datahubb, Kapitel 20 En nationell datahubb för ändamålen i utredningens direktiv, Kapitel 21 Byggstenar för den nationella datahubben och Kapitel 22 Frågeställningar för fortsatt ut- redning. I dessa kapitel kommer även konkreta tillämpningssvårigheter och behov som utredningen fått till sig men som inte faller inom utredningens direktiv att redovisas.
351
Problemanalys kopplad till utredningens författningsförslag |
SOU 2023:76 |
12.2Vidareanvändning för vårdändamål
12.2.1Inledning
Att använda data från flera olika personer för att utveckla och för- bättra vården är i sig inget nytt. Däremot skapas kontinuerligt nya möjligheter genom att använda mer detaljerade data om enskilda pati- enter för att behandla en annan enskild patient. Flera aktörer har lyft för utredningen att det finns nytta av denna typ av dataanvändning inom flera olika medicinska områden och verksamheter inom hälso- och sjukvården. Behoven förefaller vara störst inom den så kallade precisionsmedicinen.
I dagsläget är det möjligt att analysera en patients gener och där- igenom fastställa diagnos och skräddarsy behandling utifrån den en- skilda individens genetiska förutsättningar. Denna typ av diagnostik och behandling brukar benämnas precisionsmedicin, vilket avser dia- gnostiska metoder och terapi för individanpassad utredning, prevention och behandling av sjukdom, applicerade på individnivå eller på delar av befolkningen.1 Ibland används även begreppet precisionshälsa för att belysa att det är bredare och omfattar fler områden än det med- icinska området.2
Vilka data som är och kommer vara aktuella för precisionsmedicin i framtiden är svårt att säga. I dagsläget är det vanligt att analysera patientens gener, vilket gör genomikdatan central. Däremot finns det andra typer av data och andra tekniker som också är relevanta för precisionsmedicinen, som till exempel bildanalys, AI, proteomik, tran- skriptomik, epigenomik3 med flera. Sådan data kan också behöva sam- köras med andra datatyper som till exempel bilder.
Nuvarande regelverk som styr hälso- och sjukvården har tillkommit under en tid när inte precisionsmedicin fanns och är följaktligen inte anpassat efter dagens förutsättningar. Patientdatalagen (2008:355), förkortad PDL, är därför inte utformad efter de behov som precisions- medicinen har. Behandling av personuppgifter från en (eller flera) pati- enter för vård av en annan patient, än den (eller de) personuppgifterna avser, är i dag inte ett uttryckligt tillåtet ändamål enligt PDL. Det rättsliga stödet för att vårdpersonal i ett enskilt fall ska få behandla
1Regeringskansliet, 2019, En nationell strategi för life science.
2Möte med Svensk sjuksköterskeförening 26 september 2022.
3Proteomik, transkriptomik, epigenomik är likt genomik och enkelt utryckt är dessa olika meto- der för att analysera biologiska processer eller egenskaper.
352
SOU 2023:76 |
Problemanalys kopplad till utredningens författningsförslag |
personuppgifter för vårdändamål utgår från att personalen deltar i vården av den patient vars uppgifter behandlas. Behovet av att ta del av andra patienters personuppgifter, som personalen inte deltar i vården av, för ändamålet vård och behandling genom att till exempel jämföra olika analyser i stor skala saknar ett tydligt rättsligt stöd i dagens lagstiftning. Om personuppgifter ska delas mellan vårdgivare, till exempel mellan två regioner, finns också sekretessgränser att ta hänsyn till.
I dag finns således inte de rättsliga förutsättningarna för att full- skaligt kunna implementera precisionsmedicin i Sverige. Detta har sedan tidigare påtalats i en hemställan till regeringen av Genomic Medicine Sweden4 och av Komets förslag om att utreda insamling och delning av hälsodata.5
Precisionsmedicin används dock i viss utsträckning redan i dag. Exempelvis är det möjligt att identifiera kliniskt relevanta molekylära förändringar och markörer som den enskilda patienten har. En sådan process kan skapa grundläggande förståelse för patientens förutsätt- ningar och kan vara avgörande för att sätta in en målinriktad behand- ling. Detaljrika kartläggningar av olika sjukdomar och mer skräddar- sydda behandlingar som kartläggningarna öppnar för, ökar. Däremot saknas rättsliga förutsättningar för vårdpersonalen att jämföra dessa uppgifter mellan olika patienter. Oaktat de legala förutsättningarna ser även förutsättningarna för användandet av precisionsmedicin olika ut i olika delar av landet i dag. Utredningen anser att det går att ifråga- sätta om de bristande juridiska förutsättningarna är etiskt försvarbara och om konsekvenserna av de legala begränsningarna är förenliga med hälso- och sjukvårdens målsättning om vård på lika villkor för hela befolkningen, se 3 kap. 1 § hälso- och sjukvårdslagen (2017:30), för- kortad HSL.
12.2.2Juridiska förutsättningar
Nedan kommer de främsta juridiska hindren att övergripande be- röras. Dessa hinder samt andra juridiska aspekter av betydelse för ut- redningens förslag kommer att beröras mer i detalj i kapitel 13 Vidare- användning för vård av en annan patient än den som uppgifterna avser.
4Regeringskansliet, 2020, dnr
5Kommittén för teknologisk innovation och etik, N 2018:04, 2020, Förslag om att utreda insamling och delning av hälsodata (dnr komm2020/00543/N 2018:04).
353
Problemanalys kopplad till utredningens författningsförslag |
SOU 2023:76 |
Avsaknad av uttryckligt ändamål i PDL
PDL är utformad så att det i lagen finns en bestämmelse som har till syfte att så uttömmande som möjligt ange för vilka ändamål som vårdgivare får behandla personuppgifter inom hälso- och sjukvården. Bestämmelsen finns i 2 kap. 4 § PDL och kallas nedan för ändamåls- bestämmelsen. I förarbetena till lagen lyfts särskilt att vårdgivarna inte själva får besluta om ytterligare ändamål för vilket eller vilka personuppgifter kan samlas in i verksamheten (prop. 2007/08:126
s.56). Utredningen anser att detta uttalande även har bäring på vidare- användning för nya ändamål, se vidare avsnitt 13.8.
Ändamålsbestämmelsen består av sammanlagt sju punkter, med sju olika specificerade ändamål. Vad avser behandling av personupp- gifter för den individinriktade patientvården, är punkterna
•att fullgöra de skyldigheter som anges i 3 kap. och upprätta annan dokumentation som behövs i och för vården av patienter,
•administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall.
I den utsträckning journalföringsplikt finns är sådan insamling och registrering också en skyldighet för hälso- och sjukvårdspersonal (se 3 kap. 1 och 3 §§ PDL). Av ordalydelsen i punkterna ovan framgår inte att de uppgifter som dokumenteras får användas för vården av en annan patient än den som uppgifterna avser.
Av förarbetena till PDL framgår dock att ändamålet vårddoku- mentation även omfattar senare användning av de registrerade upp- gifterna i den omfattning som behövs för patientvården eller patient- administrationen (se prop. 2007/08:126, s. 57). Att uppgifterna inte enbart får behandlas för att fullgöra journalföringsplikten eller upp- rättande av annan dokumentation framgår alltså inte uttryckligen av lagtexten. Utredningen Rätt information på rätt plats i rätt tid före- slog att det i förtydligande syfte skulle tas in en formulering om detta i PDL.6 Förslaget ledde inte till lagstiftning. Utredningen upp- fattar dock inte att det råder något tvivel om att vårdgivare även får
6Se SOU 2014:23, s.
354
SOU 2023:76 |
Problemanalys kopplad till utredningens författningsförslag |
behandla personuppgifter för vården av den patient som uppgifterna avser, även efter det att de skyldigheter som framgår av punkten 1 ovan har fullgjorts. Sådan behandling kan enligt utredningens mening inte heller vara oförutsebar för den registrerade. Däremot framgår inte av förarbetena att registrerade uppgifter om en eller flera patienter skulle kunna användas för vården av en annan patient.
Ändamålet i 2 kap. 4 § första stycket 1 PDL kopplar enligt dess ordalydelse till journalföringsplikten i 3 kap. PDL. Frågan är om reglerna i 3 kap. PDL kan ge stöd för att tolka 2 kap. 4 § första stycket punkten 1 PDL som att ändamålet även omfattar behandling av personuppgifter för vård av annan patient. Utredningen har utrett denna fråga och kommit fram till att så inte är fallet. Utredningens resonemang kring detta utvecklas i avsnitt 13.8.
Utredningens sammantagna slutsats är att det inte finns något stöd i PDL eller dess förarbeten för att vårdgivare skulle få använda personuppgifter som samlats in och behandlas för vården av en pati- ent, för vården av en annan patient. Enligt utredningens mening finns också en stor principiell skillnad mellan att, å ena sidan, använda regi- strerade data om en patient för vården av den patienten, och, å andra sidan, att använda samma data för vården av en annan patient. Utred- ningens bedömning är att den personuppgiftsbehandling som krävs inte är förenlig med finalitetsprincipen, se vidare avsnitt 13.8.2.
Utredningen konstaterar sammanfattningsvis att det saknas rättslig grund som tillåter att vårdgivare behandlar personuppgifter för vård av en annan patient än den som uppgifterna avser. Slutsatsen innebär ett juridiskt hinder för den personuppgiftsbehandling som är nöd- vändig för att fullt ut implementera bland annat precisionsmedicin.
Begränsningar avseende rättsligt stöd för vårdgivarens personal att ta del av dokumenterade personuppgifter vid vård av annan patient än den personuppgifterna avser
Ytterligare en fråga som utredningen har uppmärksammats på är be- gränsningarna av den rättsliga grunden i PDL för behörig personal att ta del av dokumenterade personuppgifter. Relevant bestämmelse finns i 4 kap. 1 § PDL. Av bestämmelsen följer att den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.
355
Problemanalys kopplad till utredningens författningsförslag |
SOU 2023:76 |
Förarbetena till PDL ger inte någon mer utförlig ledning till hur ”del- tar i vården” eller ”annat skäl” i 4 kap. 1 § PDL ska tolkas eller hur dessa formuleringar förhåller sig till ändamålsbestämmelsen i 2 kap. 4 § PDL (jämför prop. 2007/08:126, s. 238). Ett utförligare resone- mang kring detta förs i avsnitt 13.9.
Sammanfattningsvis anser utredningen att det saknas rättsligt stöd för personalens tillgång till dokumenterade personuppgifter om en eller flera patienter i syfte att vårda en annan patient.
Befintliga möjligheter till datadelning över vårdgivargränser för patientändamål avser endast samma patient
I lagen (2022:913) om sammanhållen vård och omsorgsdokumentation, förkortad SVOD, samt 25 kap. 2 § och 25 kap. 11 § 3 offentlighets- och sekretesslagen (2009:400), förkortad OSL, finns regler som möj- liggör datadelning under vissa förutsättningar mellan vårdgivare. Reg- lerna avser datadelning avseende personuppgifter som behandlas för ändamålet vårddokumentation enligt PDL (se 2 kap. 1 § SVOD). Reglerna består kortfattat av sekretessbrytande bestämmelser och möjlighet till direktåtkomst eller annat elektroniskt utlämnande av vårddokumentation. För en mer utförlig beskrivning av dessa regler, se, avsnitt 7.6 och avsnitt 8.3.3.
Ett av kraven för att vårdgivare ska få behandla personuppgifter enligt SVOD är att vårdgivaren har en aktuell patientrelation med den patienten och att patienten samtycker till behandlingen i det enskilda fallet (3 kap.
Sekretess mellan vårdgivare
Uppgifter inom offentligt bedriven hälso- och sjukvård omfattas av regleringen i OSL. Inom hälso- och sjukvården gäller som huvud- regel sekretess för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men
356
SOU 2023:76 |
Problemanalys kopplad till utredningens författningsförslag |
(25 kap. 1 § OSL). Hälso- och sjukvårdssekretessen gäller alltså med ett omvänt skaderekvisit, det vill säga det finns en presumtion för att uppgifterna inte ska lämnas ut. Inom enskild hälso- och sjukvård gäller i stället tystnadsplikt enligt 6 kap.
Sekretess i offentlig verksamhet gäller som huvudregel både i för- hållande till enskilda och andra myndigheter (8 kap. 1 § OSL). Nämn- der inom en kommun eller region anses utgöra egna myndigheter. Detta innebär att sekretess som utgångspunkt gäller mellan till exempel olika nämnder inom en region. Mellan myndigheter inom en kommun eller en region som bedriver hälso- och sjukvård finns en sekretess- brytande bestämmelse (25 kap. 11 §
Mellan vårdgivare finns en sekretessbrytande bestämmelse kopplade till SVOD (25 kap. 11 § 3 OSL). Det finns även sekretessbrytande bestämmelse för uppgiftslämnande till nationella eller regionala kvali- tetsregister (25 kap. 11 § 4 OSL). Ingen av dessa bestämmelser kan dock tillämpas om exempelvis en region, för vården av en patient i en annan region, vill tillgängliggöra uppgifter som avser en annan pati- ent än den som ska vårdas. Mellan hälso- och sjukvårdsmyndigheter i olika regioner finns således sekretessgränser som hindrar datadelning.
Utrymme för olika tolkningar
Utredningen har under sitt arbete tagit del av tolkningar som olika aktörer gör avseende ovan berörda regler. Utredningen kan konsta- tera att aktörerna gör olika bedömningar. Vissa aktörer anser till exem- pel att det kan finnas ett utrymme för att tolka in behandling av per- sonuppgifter för vård av en annan patient än den som uppgifterna avser i ändamålsbestämmelsen i PDL. De finns aktörer som ser ett utrymme för att tolka befogenhetsbestämmelsen i 4 kap. 1 § PDL så att ”annat skäl” kan anses utgöra stöd för personalens åtkomst till dokumenterade personuppgifter om patienter, medan andra inte gör det.
Den sammantagna bilden som utredningen fått är att reglerna i PDL ger stort utrymme för tolkning. Tolkningar som går isär är ett problem som skapar oförutsebarhet och rättsosäkerhet om inte lag- stiftaren ingriper. Det faktum motiverar i sig lagstiftning. Utredningens bedömning är att det uppenbarligen behövs tydligare regler för att
357
Problemanalys kopplad till utredningens författningsförslag |
SOU 2023:76 |
det ska vara förutsebart och finnas ett tydligt rättsligt stöd för både vårdgivare och patienter.
12.3Vidareanvändning för klinisk forskning
12.3.1Inledning
Som nämnts i kapitel 6 Forskning utgörs klinisk forskning av medi- cinsk och hälsovetenskaplig forskning som förutsätter vårdens struk- turer och resurser och har som mål att lösa ett hälsoproblem. Forsk- ningen kan även ha som mål att identifiera faktorer som leder till ökad hälsa. Som utgångspunkt behövs tillgång till hälsodata som finns inom hälso- och sjukvården för att bedriva klinisk forskning. Ett problem som lyfts av flertalet aktörer avser åtkomsten till upp- gifter som behövs för att klinisk forskning ska kunna genomföras. Utredningen konstaterar att det finns sekretessregler som underlättar utlämnande från hälso- och sjukvården till klinisk forskning, se av- snitt 8.3.4). I praktiken förekommer även utlämnande i stor om- fattning till klinisk forskning. Däremot har utredningen fått till sig att den praktiska hanteringen kring utlämnande inte alltid är så smidig och upplevs utdaterad i flera avseenden. Utlämnande till klinisk forsk- ning kräver ofta en omfattande och tidskrävande manuell samman- ställning av uppgifter som vanligen utförs av administrativ personal hos vårdgivaren. Långa ledtider medför i sin tur fördröjning av an- gelägen klinisk forskning. Dessutom riskerar olika slutsatser vid men- prövningar att leda till att forskare får ut olika mycket information från olika myndigheter. En sådan effekt kan i sin tur leda till ett obalan- serat underlag för den kliniska forskningen. Utöver dessa problem har utredningen även fått till sig att omfattande utlämnanden många gånger sker på papper, trots att uppgifterna hanteras digitalt både före och efter utlämnandet.
Problemen är, av allt att döma, flera och av olika art. För att för- enkla och förbättra en sådan hantering fullt ut räcker inte författ- ningsändringar, se vidare avsnitt 15.3.4. Utredningen har däremot för avsikt att ringa in vilka problem som genom nya författningsförslag skulle kunna åtgärdas till viss del för att underlätta åtkomst till hälso- data som finns inom hälso- och sjukvården.
358
SOU 2023:76 |
Problemanalys kopplad till utredningens författningsförslag |
12.3.2Juridiska förutsättningar
Regelverk för klinisk forskning som verksamhet
Förutsättningarna för att bedriva klinisk forskning inom hälso- och sjukvården regleras typiskt sett av lagen (2003:460) om etikprövning av forskning som avser människor, förkortad etikprövningslagen. Omfattas den kliniska forskningen av MDR,7 IVDR8 eller CTR9 är dessa
Ändamål och åtkomst
Som utredningen konstaterat tidigare är det olika regelverk som aktua- liseras beroende på vilket ändamål en personuppgift ska behandlas för. För vårdändamål gäller vissa regler. Handlar det i stället om forsknings- ändamål gäller andra regler. Regleringen av åtkomsten till uppgifter som finns inom en vårdgivares verksamhet beror på ändamålet och vårdpersonalen har behörighet för åtkomst baserat på sitt individuella behov, kopplat till ett eller flera ändamål.
Vilka uppgifter personalen får ta del av varierar således beroende på vilken behörighet personalen har i förhållande till vilket område personalen arbetar. I PDL finns tydliga regler för hur vårdpersonal
7Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicin- tekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och för- ordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG.
8Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicin- tekniska produkter för in
9Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG.
359
Problemanalys kopplad till utredningens författningsförslag |
SOU 2023:76 |
får bereda sig åtkomst till dokumenterade uppgifter om en patient inom en vårdgivares verksamhet för ändamålet vård. Åtkomsten styrs av så kallad inre sekretess, och beskrivs i avsnitt 12.2.2.
Behörigheten som personalen tilldelas begränsas till vad som behövs för att användaren ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. PDL tillämpas vid vårdgivares behandling av person- uppgifter inom hälso- och sjukvården (se 1 kap. 1 § PDL). Enligt
econtrario tolkning av definitionen av hälso- och sjukvård (se 2 kap.
1 § HSL) utgör forskning inte hälso- och sjukvård. Eftersom forsk- ning därmed inte utgör en del av tillämpningsområdet för PDL, gäller följaktligen inte en behörighet som personalen tilldelats för åtkomst till patientuppgifter inom hälso- och sjukvården om personalen be- höver tillgång till uppgifter för ändamålet klinisk forskning. Ändamålet antalsberäkning (se 1 kap. 3 § och 2 kap. 4 § 7 PDL) utgör inte i sig forskning, utan är ett moment inom hälso- och sjukvården som görs inför planerad klinisk forskning. Klinisk forskning omfattas inte heller av SVOD.
Ett vanligt praktiskt problem som utredningen fått till sig är när personal både forskar och tillhandahåller vård till samma individer. En sådan situation innebär att olika juridiska regelverk blir gällande för de olika personuppgiftsbehandlingarna. Personal som rent praktiskt har åtkomst till personuppgifter som behövs för både vård och kli- nisk forskning får då generellt sett inte använda åtkomsten för båda ändamålen. Uppgifter som behövs för klinisk forskning måste i stället vanligtvis begäras ut från den personuppgiftsansvariga vårdgivaren för forskningsändamålet. Det spelar alltså ingen roll att det de facto finns en åtkomst till uppgifterna för personalen, eftersom rätten att ta del av uppgifter om patienter styrs av ändamålen och den rättsliga grunden som en personuppgiftsbehandling vilar på. Det juridiska regel- verk som styr detta beskrivs i stycket nedan.
Efter att utredningen har varit i kontakt med ett flertal aktörer framstår frågan om processen för åtkomst till personuppgifter för ändamålet klinisk forskning som mest angelägen för hälso- och sjuk- vårdspersonal som också bedriver klinisk forskning. Utredningen kon- staterar att angelägenheten är tydligast inom regionerna. En betydande andel av utlämnande av data från hälso- och sjukvården för ändamålet klinisk forskning sker från regionala myndigheter som bedriver hälso- och sjukvård till regionala myndigheter som bedriver klinisk forsk- ning eller till lärosäten som bedriver klinisk forskning. Inom universitet
360
SOU 2023:76 |
Problemanalys kopplad till utredningens författningsförslag |
och högskolor bedrivs också klinisk forskning, ibland i samarbete med regioner och ibland mer självständigt.
Sekretessgränser
Forskning som inte är ett led i vården betraktas från sekretessper- spektiv som en självständig verksamhetsgren inom vårdgivare som är myndigheter (offentliga vårdgivare), se avseende självständiga verk- samhetsgrenar, kapitel 8 Offentlighet, sekretess och tystnadsplikt, samt kapitel 13, avsnitt 13.7 Forskning som ett led i vården och pati- entnära forskning. Detta innebär att det finns en yttre sekretessgräns inom den vårdgivande myndigheten mellan, å ena sidan, hälso- och sjukvårdsverksamheten, och å andra sidan, klinisk forskning, som inte är ett led i vården av patienter. Rent formellt finns därmed en sek- retessgräns mellan vårdverksamheten och forskningsverksamheten även om båda sker på samma klinik med samma personal.
Som nämns i avsnitt 12.3.1 blir det extra tydligt för det fall per- sonal både tillhandahåller vård och forskar på samma individer. När klinisk forskning och vård sker momentant omfattas båda situatio- nerna av samma sekretess, se avsnitt 15.6. Sekretessgränsen uppstår däremot när personal tillhandahåller vård och behandlar en patient på förmiddagen för att sedan på eftermiddagen bedriva klinisk forsk- ning på samma individ som då utgörs av en forskningsperson. Då innebär reglerna att personalen behöver förhålla sig till en sekretess- gräns mellan vården som ges till patienten och den kliniska forsk- ningen på samma person. Förhållandet mellan de olika verksamhets- grenarna får till följd att det vanligtvis behöver ske ett utlämnande av personuppgifter från hälso- och sjukvården till den kliniska forsk- ningen. Forskaren måste alltså, i enlighet med reglerna om handlings- offentlighet i 2 kap. tryckfrihetsförordningen begära ut de uppgifter som behövs för den kliniska forskningen, trots att forskaren, i egenskap av till exempel behandlande läkare, kan ha åtkomst till samma upp- gifter med stöd av sin behörighet och reglerna om inre sekretess i 4 kap.
Ett utlämnande ska föregås av en så kallad menprövning som ska göras av någon som objektivt kan bedöma om uppgifterna ska läm- nas ut, vilket vanligtvis då inte är forskaren själv. I praktiken sker en sådan process på olika sätt. En yrkesutövare som önskar ta del av den
361
Problemanalys kopplad till utredningens författningsförslag |
SOU 2023:76 |
egna verksamhetens journalinformation för forskningsändamål kan i många regioner endast få tillgång till den efter att verksamhets- chefen eller annan beslutsfattare har fattat ett beslut om utlämnande. Ett sådan beslut om utlämnande innebär inte att det är tillåtet att ta del av journaluppgifterna genom att logga in i regionens journalsystem.
För många yrkesverksamma i hälso- och sjukvården är det även vanligt med så kallade kombinationsanställningar, där personal är an- ställd både inom en region och hos ett lärosäte. Här kan det, utifrån sett, upplevas som tydligt att åtkomst till vårdgivarens journalsystem endast kan bli aktuellt som anställd hos vårdgivaren för ändamålet vård. Verkligheten är dock inte lika distinkt, då samma person ofta byter roll och arbetsgivare flera gånger under en och samma dag. Ofta flyter arbetsuppgifterna för kombinationsanställda samman och det kan upplevas som verklighetsfrånvänt att dra en skarp linje mellan dessa arbetsuppgifter för att det juridiska regelverket kräver det. Ut- redningen konstaterar att det juridiska regelverket är tydligt men otympligt att efterleva i praktiken. En region, som i denna kontext är en vårdgivare, kan bestå av flera myndigheter som bedriver hälso- och sjukvård. Styrelser och nämnder inom en region är egna myndig- heter. Mellan myndigheter inom en vårdgivare och mellan myndigheter hos olika vårdgivare finns som utgångspunkt också yttre sekretess- gränser mellan hälso- och sjukvårdsverksamhet och klinisk forskning. Det saknas regler om direktåtkomst eller annat elektroniskt utläm- nande för ändamålet klinisk forskning, medan sådan åtkomst kan ske över dessa gränser för vårdändamål. Samma praktiska problem finns därmed även mellan myndigheter inom vårdgivaren och mellan vård- givare när det kommer till utlämnande till klinisk forskning.
Till den del den patientnära forskningen innefattar patientjour- nalföring eller annan dokumentation som hör till vården av patien- ten, ska den informationshanteringen ske med stöd av PDL (se prop. 2007/08:126, s. 51). I förarbetena till PDL (prop. 2007/08:126, SOU 2006:82) saknas vägledning om hur forskning som ett led i vården ska tolkas och i vilka situationer det kan vara tillämpligt. Denna diskrepans har lyfts som ett problem till utredningen. Utredningen behandlar denna fråga i avsnitt 15.6. Forskning som ett led i vården och patientnära forskning.
I figur 12.1 har utredningen försökt illustrera olika sekretessgränser som finns. Varje svart linje utgör en sekretessgräns. Det innebär att det finns sekretessgränser både mellan olika regioner och inom en
362
SOU 2023:76 |
Problemanalys kopplad till utredningens författningsförslag |
region, det vill säga mellan olika myndigheter inom en och samma region. Det finns även sekretessgränser inom en och samma myn- dighet i en region, mellan olika verksamhetsgrenar, exempelvis mellan hälso- och sjukvårdsverksamheten och den kliniska forskningen. Ut- över dessa sekretessgränser finns det också sekretessgränser mellan hälso- och sjukvårdsverksamheten vid en myndighet inom en region och forskningsverksamhet vid ett universitet. När det finns sådana sekretessgränser kan uppgifter ändå utlämnas efter föregående men- prövning enligt beskrivningarna ovan, vilket pilarna nedan illustrerar.
Figur 12.1 Sekretessgränser mellan hälso- och sjukvård och klinisk forskning hos myndigheter
Region A
Myndighet 1 |
|
Myndighet 2 (ex. |
|
(ex. ett sjukhus) |
|
ett sjukhus) |
|
Hälso- och |
|
|
|
|
|
|
|
sjukvårds- |
|
|
|
verksamhet |
|
|
|
Klinisk |
|
Hälso- och |
|
|
sjukvårds- |
||
forskning |
|
||
|
verksamhet |
||
|
|
||
|
|
|
|
Region B
Myndighet 1 |
|
Myndighet 2 (ex. |
(ex. ett sjukhus) |
|
ett sjukhus) |
Hälso- och |
|
|
|
|
|
sjukvårds- |
|
|
verksamhet |
|
|
|
|
|
Universitet A
KliniskÖvrig
forskning verksamhet
Källa: Utredningens illustration.
363
Problemanalys kopplad till utredningens författningsförslag |
SOU 2023:76 |
Personuppgiftsbehandling
Vad avser personuppgiftsbehandling hos en vårdgivare som sker endast i forskningssyfte, omfattas den, som redan nämnts ovan, inte av PDL:s tillämpningsområde. Med detta avses dokumentation som enbart sker i forskningssyfte och som inte heller har någon betydelse för vården (se prop. 2007/08:126 s. 51). Patientdatalagen ska tillämpas vid behand- ling av personuppgifter i vårdgivares kärnverksamhet som avser till- handahållande av hälso- och sjukvård inklusive tandvård åt patienter (prop. 2007/08:126, s. 48). Personuppgiftsbehandling som sker inom forskning saknar en motsvarande kompletterande författningsregler- ing och regleras enbart av Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på be- handling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförord- ning), förkortad EU:s dataskyddsförordning (se vidare avsnitt 7.7). För den personuppgiftbehandling och hantering av personuppgifter som PDL är tillämplig på är vårdgivaren personuppgiftsansvarig, se 2 kap. 6 § PDL.
Avseende den personuppgiftshanteringen som enbart sker för forsk- ningen, finns ingen liknande utpekad personuppgiftsansvarig i natio- nell lagstiftning. Bedömning av vem som är personuppgiftsansvarig måste i stället göras enligt reglerna i EU:s dataskyddsförordning. Inom forskningsprojekt kan det variera hur parterna reglerar personuppgifts- ansvaret beroende på hur förutsättningarna ser ut i det enskilda fallet. Flera olika upplägg som kan vara möjliga finns och förekommer inom den kliniska forskningen. Ett är när det finns två eller flera parallella, självständiga personuppgiftsansvariga. Ett annat upplägg kan vara att parterna som ingår i forskningsprojektet, ingår ett avtal om gemen- samt personuppgiftsansvar. Ett tredje kan vara att en part utgör ett personuppgiftsbiträde åt en annan part som då är personuppgiftsan- svarig. I sammanhanget kan även nämnas att för antalsberäkning, som ansetts utgöra ett förberedande steg för klinisk forskning gäller alltjämt personuppgiftsansvaret enligt PDL (jämför ovan och se prop. 2022/ 23:31 s. 17 och 25 f.).
364
13Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
13.1Inledning
Av kapitel 2 framgår att utredningen lämnar författningsförslag avse- ende vårdändamålet. Utredningens författningsförslag avser vidare- användning av personuppgifter för vården av en annan patient än den som uppgifterna avser. Överväganden och förslag som avser de be- stämmelser som utredningen lämnar förslag på finns i kapitel 14.
I förevarande kapitel berörs utgångspunkter och inriktning för utred- ningens förslag till regler avseende vidareanvändning för vårdändamålet.
I avsnitt 13.2 beskrivs från praktisk synvinkel de behov som finns inom hälso- och sjukvården kopplade till att hitta relevant hälsodata för vården av en annan patient än den som uppgifterna avser. Vid sökning av hälsodata om andra patienter än den som uppgifterna avser uppkommer frågan om gränsen mellan vård och forskning (avsnitt 13.2.2) samt etiska aspekter på att tillgängliggöra information för hälso- och sjukvårdspersonal att använda på nya sätt (avsnitt 13.2.3). Utredningen beskriver vidare den praktiska gången vid sökning efter relevant hälsodata för vårdändamål, avsnitt 13.2.4.
Utredningen redogör för de övergripande ställningstaganden som utredningen haft att göra avseende vilken eller vilka informations- mängder som det ska bli tillåtet att göra sökning i, avsnitt 13.3. I peda- gogiskt syfte presenterar utredningen i avsnitt 13.4 den övergripande modell som utredningen föreslår ska gälla för behandling av person- uppgifter för ändamålet vården av en annan patient än den som upp- gifterna avser. Överväganden kopplade till modellen återkommer i avsnitt
365
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
SOU 2023:76 |
reglerna ska vara frivilliga eller utgöra skyldigheter för aktörerna. Denna fråga berörs i avsnitt13.6.
Utredningen har valt en lösning som bygger på att det ska få in- rättas databaser som samlar relevanta hälsodata för ändamålet vården av en annan patient än den som uppgifterna avser. Utredningens över- väganden kring utformningen av sådana databaser och hur de ska få inrättas finns i avsnitt 13.6 och avsnitt 14.7.
Utredningens överväganden avseende den övergripande lagtekniska utformningen av regleringen finns i avsnitt 13.7.
Två principiellt viktiga rättsliga frågor är om befintliga ändamåls- bestämmelser i patientdatalagen (2008:355), förkortad PDL, omfattar behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser samt om befintliga bestämmelser i PDL om befogenhet att ta del av patientuppgifter ger stöd för hälso- och sjuk- vårdspersonal att ta del av uppgifter för att vårda en annan patient än den som uppgifterna avser. Utredningens analys av dessa frågor finns i avsnitt 13.8 och 13.9.
I de mer praktiskt inriktade delarna av kapitlet använder utredningen begreppen data, hälsodata, vidareanvändning och vårdändamål. När utredningen skriver om den föreslagna regleringen använder utred- ningen begreppet personuppgifter i stället för hälsodata, eftersom det är det som utredningens författningsförslag avser, se avsnitt 2.6.3. Vårdändamålet formuleras enligt utredningens förslag som behandling av personuppgifter för vården av en annan patient än den som upp- gifterna avser, se avsnitt 14.4.
13.2Att hitta relevant hälsodata för vårdändamål
Vad precisionsmedicin är och innebär beskrivs mer utförligt i av- snitt 11.4.1. Precisionsmedicin generellt kräver och genererar stora mängder hälsodata, lite beroende på område. Metoden går ut på att kunna skräddarsy vård och behandling för den enskilda patienten, utifrån dennes individuella förutsättningar. För att kunna arbeta med ett precisionsmedicinskt arbetssätt krävs att det går att jämföra rele- vanta hälsodata. Hälsodata från andra patienter som har liknande för- utsättningar kan ge ledning i det enskilda fallet. För att kunna hitta datan som ger ledning krävs att aktuell personal har tillgång till relevanta hälsodata.
366
SOU 2023:76 |
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
13.2.1Om sökning och utfall
Aktörer inom hälso- och sjukvården har för utredningen beskrivit de konkreta behoven som finns för att hälsodata ska kunna vidare- använda för vårdändamål. Det som beskrivs tar sin utgångspunkt i behoven att kunna söka och hitta relevant hälsodata för vården av den patient som vårdas.
I detta avsnitt berörs begreppen sökning och utfall av sökning. Dessa begrepp är grundläggande för förståelsen av det sätt som man inom hälso- och sjukvården behöver använda hälsodata för att implementera precisionsmedicin i vården.
Utredningen har identifierat tre typiska utfall av en sökning i en datamängd som innehåller hälsodata om patienter. Avsnittet innehåller även en redogörelse för dessa typfall, benämnda Typfall
Vad är sökning och utfall?
Utredningen använder begreppet sökning för en aktivitet som går ut på att leta efter relevant information i en informationsmängd genom att ange urval eller kriterier. Utredningen har valt ett exempel som vem som helst ska kunna ta till sig. Exempel på ett urval är ”krukor” och exempel på urval med kriterium är krukor under 500 kronor.
Svaret på en sökning, det vill säga den information som kommer ut av sökningen, kallar utredningen för utfall. Utfallet av sökningen är en uppsättning data som uppfyller det urval eller de kriterier som sattes upp i sökningen. En sökning kan exempelvis vara ”alla grå krukor under 500 kronor, sorterade på pris”. På en sådan sökning kommer användaren få se alla grå krukor under 500 kronor som finns i en data- bas, sorterade på pris. För att översätta detta till sökning efter hälsodata i en databas för vårdändamål kan en sökning avse en viss genför- ändring (urval) hos kvinnor i ålder
Det finns olika sätt att söka efter data. Ett exempel är att användaren söker efter data i en databas genom att skicka en fråga till databasen. Frågor till en databas är i stort sett samma sak som sökfunktioner på hemsidor där användaren kan filtrera sin sökning efter exempelvis färg, pris eller storlek. Skillnaden är att frågan oftast skrivs i ett program-
367
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
SOU 2023:76 |
meringsspråk, medan sökningar på hemsidor har programmeringskod i grunden som gör att användaren ska slippa kunna programmera för att genomföra sökningen. I praktiken är det dock samma sak som händer.
I vissa fall kan sökning likna antalsberäkning för forskning, se av- snitt 13.2.2. Utredningen har valt att benämna förfarandet sökning för att inte skapa förvirring eller sammanblandning med sådan antalsberäk- ning som redan finns reglerad i PDL (se 2 kap. 4 § första stycket 7 PDL) och som utförs inför klinisk forskning.
Utredningen har även övervägt andra begrepp, till exempel efter- forskning. Utredning anser att efterforskning är mindre lämpligt i ett sammanhang där det handlar om vidareanvändning av hälsodata för vårdändamålet, eftersom det kan föra tankarna till forskning. Utred- ningen uppfattar inte heller att efterforskning är en term som an- vänds i praktiken. Utredningen har därför landat i att använda begrep- pet sökning.
Utfall av sökningen – tre typfall
Utredningen har identifierat att utfallen vid sökning kan delas in i tre typfall, vilka visas i figur 13.1.
Figur 13.1 Utfallstyper
Vård av annan |
Forskning |
Mängd information
Antal patienter |
Antal patienter |
Antal patienter |
Källa: Utredningens illustration.
368
SOU 2023:76 |
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
Typfall 1 – mycket information om ett fåtal patienter
Typfall 1 avser utfallet mycket information om ett fåtal patienter. Sökningen har i denna situation gjorts utifrån att behovet för vården av en patient är mycket information om ett fåtal patienter. Detta kan exempelvis vara fallet vid behandling av en person med ett sällsynt hälsotillstånd. Patientgruppen är ofta liten och det är inte ovanligt med en komplex sjukdomsbild. För att kunna vårda dessa patienter på bästa sätt krävs ofta mycket information från patienter med samma eller liknande hälsotillstånd.
Typfall 2 – lite information om många patienter
Typfall 2 avser utfallet lite information om många patienter. Sökning i denna situation har gjorts utifrån att behovet för vården av en patient är att det behövs lite information om många patienter. Ett sådan exem- pel kan vara att se hur patienter med en viss typ av cancer reagerat på olika typer av läkemedelsbehandling. I dagsläget är det vanligt att cancer delas in baserat på vilken vävnad cancern sitter i, exempelvis bröstcancer. Läkemedelsbehandlingar har traditionellt utvecklats för att behandla cancern utifrån denna uppdelning och därför är det vanligt att cancerläkemedel blir godkända för behandling av exempelvis bröst- cancer.
På senare år har det blivit allt vanligare att titta på vilken mutation det är som gett upphov till cancern och därmed sätta in den behandling som har bäst effekt baserat på patientens specifika mutation. I prak- tiken skulle det kunna vara så att en läkare har en patient som fått bröstcancer, tumören har sekvenserats och läkaren har gott om infor- mation om cancern. Läkaren kan nu välja att sätta in det läkemedel som traditionellt varit bäst för samtliga personer som fått bröstcancer. I stället har läkaren möjlighet att titta i en databas som innehåller alla patienter som fått diagnosen bröstcancer, tumörspecifik information, vilka behandlingar de fått samt behandlingsutfall. Läkaren kan efter denna sökning konstatera att patienten i det aktuella fallet har en ovan- ligare form av bröstcancer och att andra patienter fått effekt av den läkemedelsbehandling som patienten i normala fall skulle fått efter att ha testat två andra, vanligare läkemedelsbehandlingar. Läkaren väljer därför att ordinera patienten på en behandling som sannolikt är bättre anpassad direkt.
369
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
SOU 2023:76 |
Typfall 3 – mycket information om många patienter
Typfall 3 avser utfallet mycket information om många patienter eller till och med ”allt om alla” utifrån ett visst urval eller kriterium. I denna situation är behovet relativt mycket information och relativt många patienter. Utfallet i typfall 3 grundar sig på en mer explorativ sökning som exempelvis att testa en hypotes på ett större datamaterial. Utred- ningen utvecklar resonemanget i 13.2.2.
Endast typfall 1 och 2 kan vara vidareanvändning av hälsodata för vårdändamål
Utredningens bedömning är att användning av den information som blir utfallet av sökning i typfall 1 och 2 kan falla in under kravet på att hälso- och sjukvårdspersonalen ska utföra sitt arbete i överens- stämmelse med vetenskap och beprövad erfarenhet (se 6 kap. 1 § pati- entsäkerhetslagen, förkortad PSL). Den information som till exempel behandlande läkare får ta del av från denna typ av sökning är, enligt utredningen, möjligt att jämföra med den information den som söker hade fått genom att rådfråga andra läkare som haft liknande patient- fall. En sökning i en samlad informationsmängd gör det dock möjligt att ”rådfråga” och ta del av andra patienters uppgifter och på så vis dra nytta av samlad, upparbetad kunskap och beprövad erfarenhet. Informationsmängden som utfallet av sökningen resulterar i blir en sammanställning av information om exempelvis vilken typ av behand- ling som satts in i liknande situationer. Bedömningarna av behand- lingsval bör antas vara grundade på vetenskap, kunskap och beprövad erfarenhet.
13.2.2Gränsen mot forskning
Ur ett etiskt och juridiskt perspektiv är det centralt att göra skillnad mellan hälso- och sjukvård och forskning. Olika etiska principer och regelverk gäller för verksamhet som avser hälso- och sjukvård respek- tive forskning, se vidare om detta i kapitlen 5 och 6.
En förklaring till denna uppdelning är att medan hälso- och sjuk- vård har den enskilda patientens välmående och hälsa i fokus, syftar forskning till att skapa vetenskaplig kunskap till gagn för kommande
370
SOU 2023:76 |
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
patienter och framtidens vård. Precisionsmedicin kan dock, rent juri- diskt, ses som en uppluckring av denna gränsdragning – här handlar det inte enbart om åtgärder med den vars information det gäller i fokus, utan även om att skapa kunskap för vård av andra, aktuella och identi- fierade, patienter. Kunskapen som erhålls är också av ett annat slag än den som skapas med hjälp av gängse vetenskapliga metoder. Det innebär att medan precisionsmedicin handlar om vård av patienter, uppkommer en möjlig slitning mellan den nytta som uppstår för en person av att begränsa nyttjandet av dennes information (bevarad integ- ritet) och nyttan som uppstår av att personuppgifterna kan användas för att vårda någon annan.
Vid personuppgiftsbehandling är det dock viktigt att hålla reda på för vilket ändamål som användningen av personuppgifter sker. Insam- ling av personuppgifter får bara ske för särskilda, uttryckligt angivna och berättigade ändamål och får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (artikel 5.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direk- tiv 95/46/EG (allmän dataskyddsförordning), förkortad dataskydds- förordningen). I PDL, finns en uppräkning av de ändamål som vård- givare får behandla personuppgifter för inom hälso- och sjukvården (se 2 kap. 4 § andra stycket PDL). I typfall 3 i figur 13.1 innebär be- handlingen av personuppgifter en mer explorativ sökning för att jäm- föra olika data utan att det specifika målet med personuppgiftsbehand- lingen ska vara en enskild patients vård. Forskning hjälper till att skapa ny kunskap. Utredningen konstaterar att det finns forskning som be- drivs på mycket små patientgrupper eller utifrån informationen i stora register. Det innebär att figuren och typfall 1 och 2 även kan aktua- liseras vid forskning. Utredningens målsättning med att ändå försöka illustrera typfallen är att visa på att precisionsmedicinska databaser inte har som syfte att användas för forskning.
De regler som utredningen föreslår för ändamålet vård av annan än den som personuppgifterna avser, syftar till att skapa utökade möj- ligheter till personuppgiftsbehandling för vårdändamål. Allmänna reg- ler som gäller för hälso- och sjukvård och vårdprofessionen är tillämp- liga även i situationer där personuppgifter behandlas för vård av annan än den som uppgifterna avser. Detta innebär att PSL:s regler om veten- skap och beprövad erfarenhet gäller. Utredningens förslag avser endast
371
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
SOU 2023:76 |
möjligheter till tillgång till information. En bedömning måste alltid göras av om informationen är medicinskt relevant. Utredningen belyser detta ytterligare i både figur 13.1 och i konsekvensutredningen (se avsnitt
13.2.3Övergripande om etiska aspekter
Ur etiskt hänseende finns det vissa risker kopplade till att nya person- uppgifter om personers hälsa tillgängliggörs för hälso- och sjukvårds- personal. Dessa risker finns även när befintliga personuppgifter om personers hälsa tillgängliggörs för fler personer eller för fler syften. Dessa risker kan vara av olika slag, några exempel är intrång från externa aktörer, otillbörlig åtkomst av vårdens personal för otillåtna syften och spridning av uppgifter av misstag. Utförliga beskrivningar och kartläggningar av risker av dessa slag finns i bland annat Integ- ritetskommitténs delbetänkande (SOU 2016:41, kapitel 9). Nyttan med digitala hälsouppgifter och risker ur ett integritetsperspektiv be- skrivs också i Vårdanalys rapport Vad står på spel?1
Hur allvarliga riskerna är beror på olika saker, inklusive de enskildas situation och deras egna bedömningar. Även om alla personuppgifter om hälsa per definition är så kallade känsliga personuppgifter enligt EU:s dataskyddsförordning2, varierar deras upplevda känslighet mellan individer och sammanhang. Nyttjande av en enskilds uppgifter som är tillåten, kan av den enskilde upplevas som ett integritetsintrång. Samtidigt kan andra situationer, som innebär nyttjande av en enskilds uppgifter som inte är tillåten, av vissa, uppfattas som helt okänsligt ur ett integritetsperspektiv. Det kan då framstå som mest rättvist att alltid inhämta samtycke inför en personuppgiftsbehandling av den enskildes personuppgifter, för säkerhets skull. Alternativet att säker- ställa att den enskildes samtycke erhålls inför varje nyttjande av den enskildes uppgifter är dock inte alltid vare sig möjlig eller proportio- nerlig. Det kan finnas tillfällen som nödsituationer eller då den en- skilde själv inte är förmögen att ta ställning eller kan uttrycka sitt ställ- ningstagande där det inte är möjligt att inhämta samtycke. Att inhämta samtycke vid varje enskild användning kan också innebära ett poten-
1Myndigheten för vård- och omsorgsanalys, 2016, Vad står på spel? kapitel 3.
2Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
372
SOU 2023:76 |
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
tiellt integritetsintrång eftersom hen då kan påminnas om en trauma- tisk upplevelse som patient.
Om ändamålet med nyttjandet av personuppgifterna är något annat än vården av den enskilde själv, kan det också anses omotiverat att alltid överlåta beslutet om sådan vidareanvändning till den enskilde vars uppgifter det gäller, då priset i termer av förhindrade kunskaps- vinster med mera kan bedömas vara för högt.
Att vidta åtgärder för att minska riskerna för intrång i den enskil- des personliga integritet är nödvändigt och ter sig än mer angeläget när patients samtycke inte inhämtas. Ju större mängd data som till- gängliggörs, desto noggrannare överväganden behöver finnas avseende vem som kan bereda sig åtkomst till dem och för vilka syften.
Förutom att värna den enskildes personliga integritet, är det nöd- vändigt att skydda patienters uppgifter för att säkerställa att förtroendet för vården och dess sätt att hantera patientuppgifter bibehålls. Om detta förtroende eroderas, riskerar det att leda till att patienter blir mindre villiga att vara sanningsenliga i sina kontakter med vården. En sådan utveckling försämrar möjligheterna för patienterna själva att kunna ta del av god vård men det försämrar också vårdens egna möj- ligheter att dra nytta av datamängderna för andra syften.
13.2.4Den praktiska gången vid sökning för vårdändamål
Utredningen avser att i detta avsnitt redogöra för den praktiska gången för sökning och utfall för vårdändamål, se typfall 1 och 2 i avsnitt 13.2.1.
I ett första steg handlar det om att söka för att se om det över huvud taget finns relevant hälsodata om andra patienter för vården av den aktuella patienten. Rent praktiskt påminner denna typ av sökning den som görs för antalsberäkningar inför klinisk forskning. Sökningen går ut på att ta reda på om något utfall finns och i så fall hur mycket relevant information som ett första urval ger. Själva patienten i sig är typiskt sett inte relevant, utan det intressanta är om en sökning över huvud taget ger ett utfall. Sökning i detta första steg illustreras i figur 13.2.
Utredningen föreslår att särskilda samlingar av hälsodata, så kallade precisionsmedicinska databaser, ska få skapas där sökningar för vård- ändamål ska få göras, se avsnitt 13.4 och 14.7. Urval och tillgänglig- görande av relevant hälsodata ska få ske till databaserna, se avsnitt 14.6.
373
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
SOU 2023:76 |
Den övergripande modellen beskrivs i avsnitt 13.4, där urval och tillgängliggörande av relevant hälsodata är steg 1, samlingarna av hälso- data är steg 2 och sökning möjliggörs av tillgången till personuppgifter i steg 3.
Figur 13.2 Första steget för ändamålet vård av annan är att göra en sökning i en relevant hälsodatamängd
|
|
|
Sökning |
|
|
|
|
Finns det |
|
|
|
|
relevanta |
|
|
|
|
patienter? |
|
|
|
Ja |
Nej |
|
|
Räcker |
|
Ändamålet vård |
|
|
informationen |
|||
|
av annan är inte |
|||
|
som |
|
||
|
|
tillämpligt |
||
Ja |
beslutsstöd? |
Nej |
||
|
||||
Använd |
|
Begär ut |
|
|
informationen |
journaler från |
|
||
för att vårda |
|
relevanta |
|
|
patienten |
|
vårdenheter |
|
|
Använd
informationen
för att vårda
patienten
Vård av annan
Källa: Utredningens illustration.
Den som söker kommer sannolikt behöva göra upprepade sökningar för att kunna hitta relevant hälsodata för vården av patienten och för- fina sina sökningar baserat på vad tidigare sökningar har gett för utfall. I utredningens kontakter med hälso- och sjukvården har det fram- kommit att sökningarna typiskt sett kommer att behöva vara en iterativ process.
374
SOU 2023:76 |
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
I syfte att möta dessa behov lämnar utredningen förslag om bland annat direktåtkomst och en befogenhetsregel med utrymme för medi- cinsk bedömning, se avsnitt 14.8.2 och 14.8.4. Efter att sökningen eller sökningarna är genomförd finns det två möjliga utfall; antingen finns det relevanta data om andra patienter eller så finns det inte det. Om det inte finns några relevanta personuppgifter så saknas motiv för att kunna gå vidare till nästa steg.
Figur 13.3 Andra steget är om utfallet är att det finns relevant data eller inte. Finns inte relevant data är ändamålet inte tillämpligt
|
|
|
Sökning |
|
|
|
|
Finns det |
|
|
|
|
relevanta |
|
|
|
|
patienter? |
|
|
|
Ja |
Nej |
|
|
Räcker |
|
Ändamålet vård |
|
|
informationen |
|||
|
av annan är inte |
|||
|
som |
|
||
|
|
tillämpligt |
||
Ja |
beslutsstöd? |
Nej |
||
|
||||
Använd |
|
Begär ut |
|
|
informationen |
journaler från |
|
||
för att vårda |
|
relevanta |
|
|
patienten |
|
vårdenheter |
|
|
Använd
informationen
för att vårda
patienten
Vård av annan
Källa: Utredningens illustration.
Om utfallet är att det finns relevant data om andra patienter behöver den som söker ta ställning till om informationen är tillräcklig. Om informationen är tillräcklig kan informationen användas som besluts- stöd för att vårda patienten.
375
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
SOU 2023:76 |
I vissa situationer är informationen dock inte tillräcklig. I dessa fall finns behov av mer information om patienterna vars personupp- gifter har sökts fram, än den som finns i den informationsmängd som sökningen har gjorts i. Behovet i den situationen är att kunna ta del av kompletterande personuppgifter från den patientjournal som kan antas ha betydelse för vården av en annan patient än den som uppgif- terna avser. Detta motsvarar steg 4, begäran om kompletterande per- sonuppgifter från patientjournal, i beskrivning av den övergripande modellen nedan avsnitt 13.4.
Utredningens förslag för att möta detta behov av kompletterande uppgifter från patientjournal finns i avsnitt 14.9.
Figur 13.4 I det tredje steget får en bedömning göras om utfallet räcker för att vårda patienten, eller om det finns behov av kompletterande journalinformation.
|
|
|
Sökning |
|
|
|
|
Finns det |
|
|
|
|
relevanta |
|
|
|
|
patienter? |
|
|
|
Ja |
Nej |
|
|
Räcker |
|
Ändamålet vård |
|
|
informationen |
|||
|
av annan är inte |
|||
|
som |
|
||
|
|
tillämpligt |
||
Ja |
beslutsstöd? |
Nej |
||
|
||||
Använd |
|
Begär ut |
|
|
informationen |
journaler från |
|
||
för att vårda |
|
relevanta |
|
|
patienten |
|
vårdenheter |
|
|
Använd
informationen
för att vårda
patienten
Vård av annan
Källa: Utredningens illustration.
376
SOU 2023:76 |
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
13.3Valet av databas som nav för vidareanvändningen
Förslag: Vidareanvändningen ska grunda sig i inrättande och för- ande av nya samlingar av personuppgifter i form av databaser.
Ovan har framgått att det praktiska behov som hälso- och sjukvården har för att kunna vidareanvända personuppgifter för vården av en annan patient än den som uppgifterna avser grundar sig i att utföra sökningar efter relevanta personuppgifter om patienter. Syftet med detta är att se om det över huvud taget finns relevant information och i så fall omfattningen av denna. Sökningar behöver utföras i någon form av informationsmängd. Frågan är då vilken eller vilka informationsmängder som sökningar ska få ske i. Det finns olika alternativ. Ett alternativ är att tillåta sökning i en eller flera befintliga informationsmängder. Ett annat alternativ är att tillåta skapande av nya informationsmängder för det aktuella ändamålet. Nedan följer utredningens överväganden i denna fråga.
13.3.1Hur behöver sökning kunna utföras för att möta behoven?
De mer specifika behoven kopplat till författningsförslag och utform- ningen av dessa återfinns i kapitel 14. I syfte att ge en övergripande bild, sammanfattar utredningen i detta avsnitt behoven i övergripande drag.
Utredningen har i kontakt med företrädare från hälso- och sjuk- vården som arbetar inom precisionsmedicin fått till sig de övergripande behoven som finns med avseende på sökning enligt vad som beskrivs i avsnitt 13.2.1.
Först och främst avser behoven vissa typer av vårddata, inte alla personuppgifter som vårdgivare lagrar om patienter. Uppgifterna be- höver inte vara direktidentifierbara.
Från professionen är det starkt efterfrågat att kunna söka bland relevanta personuppgifter, både inom och mellan olika vårdgivare. För att kunna erbjuda jämlik vård behöver tillgången till relevant hälsodata också bli mer jämlik. I vissa fall kan det räcka med att söka i några regioners hälsodatamängder, medan det i vissa andra situa-
377
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
SOU 2023:76 |
tioner finns så få patientfall att all relevant data som finns i Sverige behöver kunna tillgås. Hälsodata behöver därför kunna delas mellan vårdgivare för att uppfylla de behov som finns.
För att precisionsmedicin ska kunna bli en integrerad del i vården, krävs att sökning kan ske inom ramen för det löpande arbete inom hälso- och sjukvården. Det finns vidare behov av att kunna utföra upprepade sökningar. I akuta skeden finns inte tid för administrativa utlämnandeprocesser. Dessa behov kräver enligt utredningens bedöm- ning att direktåtkomst till uppgifterna är tillåtet, förenat med behörig- heter till relevant personal.
13.3.2Sökning i befintliga informationsmängder
Det kan övervägas om befintliga informationsmängder inom hälso- och sjukvården bör kunna användas för sökning. De befintliga infor- mationsmängderna inom hälso- och sjukvården som utredningen har identifierat är befintliga patientjournalsystem, systemet för samman- hållen vårddokumentation enligt SVOD eller nationella och regionala kvalitetsregister.
Lämpligheten i att söka i befintliga informationsmängder bör enligt utredningens mening bedömas utifrån praktisk användbarhet, kost- nadsaspekter och integritetsperspektivet. Vid en bedömning utifrån dessa aspekter anser utredningen att det inte är en lämplig lösning att sökning sker i befintliga informationsmängder. Utredningens över- väganden framgår i det följande.
Ett sätt att sammanföra personuppgifter mellan olika vårdgivare är att de som behöver söka får någon form tillgång som är direkt kopplad till olika vårdgivare. Från ett praktiskt perspektiv skulle det krävas en stor mängd integrationer i patientjournalsystem och syste- met för sammanhållen vårddokumentation för att dessa skulle kunna användas för sökning. Omfattningen av de integrationer som krävs skulle medföra höga kostnader och vara mycket tidskrävande. Data skulle dessutom behöva vara systematiserad på helt andra sätt än vad som är fallet i dag för att kunna sökas i på ett användbart sätt. Detta gäller både patientjournalsystem och systemet för sammanhållen vård- dokumentation.
Både patientjournalsystem och systemet för sammanhållen vård- dokumentation innehåller väsentligen mycket mer hälsodata än vad
378
SOU 2023:76 |
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
som behövs för vården av en annan patient än den som uppgifterna av- ser. Det är endast ett urval av patientuppgifter som behövs för att tjäna syftet med sökning. Hälsodata ska inte användas i större omfattning än vad som behövs. Att tillåta sökning i befintliga informationsmängder skulle enligt utredningens mening medföra ett alltför stort integritets- intrång som inte går att motivera utifrån det behov som finns inom hälso- och sjukvården. Utifrån hur befintliga patientjournalsystem samt sammanhållen vårddokumentation är uppbyggt finns det inga praktiska möjligheter att ställa krav på urval av uppgifter eller pseudo- nymisering. För sammanhållen vårddokumentation finns å andra sidan andra skyddsåtgärder, såsom samtycke från patienten, vilka inte är möjliga att applicera vid personuppgiftsbehandling som rör annan pati- ent än den som vårdas (se angående samtycke, avsnitt 14.10.). Utred- ningen gör bedömningen att systemet som föreskrivs i SVOD varken ur juridisk eller teknisk synvinkel är möjlig att tillämpa för ändamålet vård av annan patient än den som uppgifterna avser.
Regionala och nationella kvalitetsregister är systematiserade utifrån diagnos, vilket inte är ett ändamålsenligt sätt utifrån behovet att söka uppgifter för vården av en annan patient än den som uppgifterna avser. Kvalitetsregistren utgör ett stort antal olika uppgiftssamlingar med mycket omfattande innehåll. Att tillåta sökning i dessa mellan olika regioner skulle medföra ett betydande integritetsintrång, med tanke på omfattningen i innehållet. Utredningen har också noterat att det i direktiven till utredningen anges att det inte är inom ramen för regio- nala eller nationella kvalitetsregister som lösningarna bör sökas, se vidare avsnitt 2.6.1.
Gemensamt för samtliga befintliga informationsmängder som ut- redningen har identifierat är att de innehåller stora mängder direktiden- tifierbara personuppgifter. Vid sökning i sådana informationsmängder för vidareanvändning av uppgifter för vården av en annan patient än den som uppgifterna avser, finns inte behov av direktidentifierbara uppgifter. En viktig skyddsåtgärd som utredningen ser det är därför pseudonymisering av uppgifterna som sökning får göras i. Detta är inte förenligt med utformningen av befintliga informationsmängder.
379
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
SOU 2023:76 |
Federerad lösning
Utredningen har vägt mellan lösningen med att ha databaser att söka i mot att ha en federerad lösning där aktörerna skulle kunna söka direkt i regionernas befintliga system och datalager i stället för att bygga upp en ny uppgiftssamling. Flertalet aktörer som utredningen haft kontakt med har lyft att de helst velat se en sådan federerad lösning. En federe- rad lösning har fördelar ur ett informationssäkerhets- och därmed också integritetsperspektiv. Om data lagras centraliserat i en eller flera uppgiftssamlingar finns vissa risker. Ett exempel är om en antagonist lyckas bereda sig tillgång till en databas, så får antagonisten tillgång till samtliga uppgifter i databasen. En nackdel med en federerad lösning är dock att det ställer högre krav på interoperabilitet. En federerad lösning kräver också att det skapas teknisk funktionalitet som möj- liggör federeringen. Fördelen med en ny uppgiftssamling är att det kräver mindre reglering och skulle kunna tas i bruk mycket snabbare, särskilt i den utsträckning som befintlig infrastruktur kan användas. Ledtiderna skulle då enbart bestå i beslutsprocessen och ikraftträdande- tiden. En federerad lösning bedömer utredningen skulle ställa helt andra krav på författningsstöd, interoperabilitet och teknisk utveckling. Utredningens bedömning är att det skulle ta flera år och att det sanno- likt är ett arbete som kommer behöva ske parallellt inom ramen för arbetet med anpassningen till Europeiska kommissionens förslag till Europaparlamentets och Rådets förordning om ett europeiskt hälso- dataområde, COM(2022) 197 final av den 3 maj 2022, förkortad för- slaget till EHDS.
Utredningens bedömning är mot bakgrund av ovan att en fede- rerad lösning skulle ta för lång tid, även om det sannolikt hade inne- burit en smidigare och mer heltäckande lösning när den väl kom på plats. Utredningens bedömning är att den fördelen inte väger tyngre än patienternas behov som kommer vara ouppfyllda under de åren som lösningen utvecklas. Därutöver bedömer utredningen att en sådan federerad lösning bör ta sikte på att lösa en större del av hälso- och sjukvårdens informationsförsörjningsbehov än bara precisionsmedi- cinens. Sannolikt kommer även arbetet med EHDS innebära att en federerad lösning i någon form kommer behöva tas fram. Detta skulle eventuellt kunna göra databaserna mindre relevanta om det gick att hämta data direkt från vårdgivarnas datalager utan att gå via en databas. Utredningens bedömning är dock att en sådan lösning är väldigt många
380
SOU 2023:76 |
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
år bort och om det någonsin kommer på plats så bedömer utredningen att mycket av det arbete som görs med att ta fram databaserna kommer gå att återanvända när en sådan lösning tas fram. Därav bedömer utred- ningen att det bästa alternativet är att det får tillskapas nya uppgifts- samlingar för vidareanvändning för vårdändamål, se avsnitt 13.3.3.
Sammantaget ser utredningen flera mycket negativa aspekter i att utforma regelverket avseende vidareanvändning för vårdändamål ut- ifrån sökning i befintliga informationsmängder, även inbegripet fede- rerade lösningar.
13.3.3Nya uppgiftssamlingar
Utifrån utredningens slutsats att det finns betydande negativa aspekter förknippade med sökning i befintliga informationsmängder, se av- snitt 13.2.1. Utifrån detta har utredningen övervägt om det är lämpligt att skapa nya uppgiftssamlingar avseende vidareanvändning för vård- ändamål.
Att skapa nya uppgiftssamlingar kan ses som integritetskänsligt i sig. Det handlar i aktuellt fall dessutom om hälsodata som i många fall kommer att utgöras av personuppgifter om hälsa. Personuppgifter som hälsa är känsliga personuppgifter enligt EU:s dataskyddsförord- ning. För att kunna möta de behov som finns avseende sökning, behöver informationsmängderna som sökning görs i, innehålla upp- gifter från olika vårdgivare. Detta anses vanligtvis också vara mer integ- ritetskänsligt än att personuppgifter behandlas inom en vårdgivare. Sammantaget finns ett antal omständigheter som gör att den nya upp- giftssamlingen är av mycket integritetskänslig art. Utredning konsta- terar dock att en ny samling inte kommer att innehålla vårddata som inte redan finns lagrade hos vårdgivare. Det är alltså inte fråga om ny insamling av känsliga personuppgifter, utan om vidareanvändning av befintlig vårddokumentation, se vidare avsnitt 13.8.
Utredningen ser ett antal fördelar med att skapa nya uppgifts- samlingar för vidareanvändning för vårdändamål.
Skapande av nya uppgiftssamlingar kan ske utifrån det behov som finns avseende vilken hälsodata som ingår i samlingen. Ett relevant urval av data kan göras utifrån syfte med uppgiftssamlingen. Av detta följer att hälsodata lättare kan minimeras. Utifrån att behoven är sådana att direktåtkomst till datamängden behöver tillåtas för att sökningar
381
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
SOU 2023:76 |
ska kunna ske på ett praktiskt användbart sätt inom hälso- och sjuk- vården, anser utredningen att en avgränsning av hälsodata som sökning tillåts i är en förutsättning ur integritetssynpunkt.
Skapandet av nya uppgiftsamlingar där central behandling av per- sonuppgifter sker, medför också en möjlighet till tydligt utpekande av ansvar för uppgiftssamlingen. Integritetshöjande åtgärder kan an- passas utifrån behov och risker med den nya uppgiftsamlingen.
Vidare ger nya uppgiftssamlingar också förutsättningar för behand- ling av personuppgifter oberoende av om detta sker inom en myn- dighet, mellan myndigheter inom en vårdgivare eller mellan vårdgivare. Utredningen har identifierat ett behov av andra ”gränssnitt” än vad dagens reglering är uppbyggd utifrån, se avsnitt 14.4.5. Utifrån en ny uppgiftssamling är det enligt utredningens mening enklare att skapa mer träffsäkra regler utifrån både behov och integritetsskydd.
13.3.4Vad som menas med ”databas”
Utredningen har valt begreppet databas för de nya uppgiftssamlingar som ska tillåtas för vidareanvändning för vårdändamålet. Utredningen uppfattar att databas är ett etablerat begrepp för uppgiftsamlingar av olika slag både i praktiska och juridiska sammanhang. Utredningen utvecklar nedan vad som menas med databas och beskriver vissa juri- diska sammanhang där begreppet används. Utredningen förklarar i av- snitt 14.2 vad som avses med precisionsmedicinsk databas.
Från ett praktiskt perspektiv utgörs en databas av data som är samlade, ordnade, sökbara och skilda från specifika program (applika- tioner). Grundtanken gällande databaser är att separera data från de program som använder dem. På så sätt görs det enklare att underhålla datamängden och det gör också att flera program kan använda samma data. Det finns flera fördelar med att lagra data i en databas. Ett sådant exempel är att en ändring bara behöver göras i databasen och då visar den rätt informationen i de applikationer som visar upp data från databasen. Utöver detta så kan en databas användas för att avgränsa datamängder från varandra vilket ibland kan vara önskvärt av olika skäl så som att en del av en organisation behöver lagra en delmängd av en större databas. Av detta följer att en ”databas” också kan vara en avgränsad del av en större databas.
382
SOU 2023:76 |
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
Utredningen har tittat på hur begreppet databas används i olika juridiska sammanhang. Det saknas en enhetlig legaldefinition, men begreppet finns i gällande rätt. Nedan följer några exempel på databas i rättsliga sammanhang.
Enligt 1 kap. 2 § yttrandefrihetsgrundlagen definieras databas som en samling av information lagrad för automatiserad behandling. I 2 kap. lag om behandling av personuppgifter i Skatteverkets folkbokförings- verksamhet finns bestämmelser om folkbokföringsdatabasen. Enligt
2kap. 1 § ska det i folkbokföringsverksamhet finnas en samling person- uppgifter som med hjälp av automatiserad behandling används gemen- samt i verksamheten för de i 1 kap. 4 § samma lag angivna ändamålen. Av 2 a kap. 1 § framgår att det i folkbokföringsverksamhet även ska finnas en samling personuppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de i 1 kap. 4 a § angivna ändamålen (analys- och urvalsdatabas). I denna reglering an- vänds alltså begreppet databas i meningen samling av personuppgifter kopplat till vissa ändamål.
I utredningen om en långsiktig reglering av forskningsdatabaser förekommer begreppet ”forskningsdatabas”. Begreppet används för att beskriva en uppgiftssamling som har funktionen att tillhandahålla underlag för tilltänkta men ännu ej definierade forskningsprojekt.3 Den föreslagna lagens tillämpningsområde anges till behandling av personuppgifter i verksamhet med sådana forskningsdatabaser där in- samling och registrering av personuppgifter görs i register eller annan samling med personuppgifter genom registrerades frivilliga medverkan och där forskningsdatabasernas syfte att skapa underlag för flera fram- tida forskningsprojekt är av särskilt vetenskapligt värde för forskningen i ett långsiktigt perspektiv. I dessa förslag ställs till exempel inte krav på att uppgifterna ska vara sökbara eller skilda från specifika program, jämför den praktiska beskrivningen ovan.
13.3.5Databas som begrepp för den nya samlingen av personuppgifter
Utredningen konstaterar att den praktiska och juridiska innebörden skiljer sig något åt. Den definition eller betydelse som databas har i juridiska sammanhang är något bredare än den praktiska innebörden.
3En långsiktig reglering av forskningsdatabaser, Dnr U2022/04089, s. 91.
383
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
SOU 2023:76 |
Gemensamt är dock att det handlar om en samling av data (eller upp- gifter). Utredningen tar fasta på denna grundläggande likhet i hur begreppet används både praktisk och juridiskt.
En samling av data kan vara en databas i den praktiska mening som anges ovan (sökbart och så vidare). I praktiken skulle samlingen av data även kunna ligga i exempelvis ett datalager eller i en datasjö (se kapitel 3 för innebörden av dessa begrepp). I praktiken är det alltså själva uppgiftssamlingen som avses och att denna är avgränsad för att begränsa tillgången som är det viktiga. Vilken praktisk lösning som är den mest lämpliga lämnar utredningen upp till aktörerna att bestämma, så länge som inrättande och förande av databas är förenligt med övriga regler. Utredningen ser inte att den tekniska lösningen i sig har någon betydelse juridiskt sett, så länge det är en teknisk lösning som är att likställa med en databas. Exempelvis skulle en datasjö kunna användas för att lättare hantera bilddata, vilket skulle kunna vara rele- vant. Utredningen ser inte att en utökad funktionalitet för att under- lätta jämförelse av data som är lagrade i olika medier ändrar själva personuppgiftsbehandlingen. En textsträng som beskriver en bild eller själva bilden i sig bedömer utredningen inte har någon betydelse inom ramen för den precisionsmedicinska databasen. Utredningen bedömer att detta också gör lagstiftningen mer flexibel i förhållande till den tekniska utvecklingen, utan att göra avkall på integritetsskyddet. Trots att den tekniska lösningen kan vara något annat än en databas i prak- tisk mening anser utredningen att databas är det mest lämpliga be- greppet för de nya uppgiftssamlingarna.
Andra begrepp som utredningen övervägt är register och patient- dataindex.
Register kan vara flera olika saker, från en processor i en dator till en innehållsförteckning i en bok. Ett register kan vara en förteckning över data som hålls strukturerat och därmed sökbart. Vanligen är där- med även registret en databas. Registret kan innehålla personuppgifter, men behöver inte göra det. Register definieras i artikel 4.6 i data- skyddsförordningen som en ”strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden”. Enligt den svenska modellen för för- fattningsreglering av register är viss registerföring särskilt reglerad i så kallade registerförfattningar.
384
SOU 2023:76 |
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
Utredningens bedömning är att en databas för vidareanvändning av personuppgifter för vårdändamål kan vara ett register i dataskyddsför- ordningens mening. Dataskyddsförordningens definition är dock be- tydligt bredare än den betydelse det ofta har för praktiker, se avsnitt 3.3. Utredningens bedömning är att register i dess praktiska innebörd är för specifikt och skulle riskera att leda tankarna till en avgränsning av användningen på ett sätt som inte bedömts som ändamålsenligt, exem- pelvis om databasen behöver innehålla bilder. Vad gäller patientdata- index så bedömer utredningen att begreppet inte är lika etablerat som databas och att det finns en risk för att det uppstår olika tolkningar av vad ett patientdataindex är. Lagstiftningen och området innehåller redan många begrepp som är svårtolkade och utredningen har försökt att inte lägga till nya begrepp om det inte varit nödvändigt.
13.4Den övergripande modellen
I detta avsnitt beskrivs övergripande utredningens modell för vidare- användning av personuppgifter för vårdändamål. Modellen baserar sig på de praktiska behov av sökning och utfall som har redogjorts för i avsnitt 13.2.1 och 13.2.4. Den utgår också ifrån utredningens val av databas som navet för vidareanvändningen, se avsnitt 13.3. Utred- ningen föreslår att namnet på en databas som används för vården av en annan patient än den som uppgifterna avser benämns precisions- medicinsk databas, se avsnitt 14.2. Utredningen har ritat upp en bild av hur den övergripande modellen och de fyra stegen kan se ut i en precisionsmedicinsk databas. Utredningen har valt att illustrera exem- plet med en samverkansregion. Vilka som ska få inrätta och föra en precisionsmedicinsk databas förtydligas i avsnitt 13.5.3.
385
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
SOU 2023:76 |
Figur 13.5 Principskiss över steg
Steg 1: Vårdgivare gör urval och tillgängliggörande av vissa patientuppgifter
Steg 4: Regional myndighet inom hälso- och sjukvården begär kompletterande personuppgifter från patientjournal hos vårdgivare
Steg 3: Direktåtkomst eller annat elektroniskt utlämnande till regional myndighet inom hälso- och sjukvården
Steg 3: Sökning inom den specialiserade regionala hälso- och sjukvården
Steg 2: Regional myndighet inom hälso- och sjukvården för en precisionsmedicinsk databas
Källa: Utredningens illustration. Kartan:
13.4.1Urval och tillgängliggörande till precisionsmedicinsk databas (steg 1)
Alla vårdgivare ska ges möjlighet att tillgängliggöra personuppgifter till en precisionsmedicinsk databas som hos vårdgivaren behandlas enligt 2 kap. 4 § första stycket
13.4.2Inrättande och förande av precisionsmedicinsk databas (steg 2)
Inrättande och förande av precisionsmedicinsk databas ska vara för- behållet regionala myndigheter inom hälso- och sjukvården. Syftet med behandling av personuppgifter i en precisionsmedicinsk databas är att skapa ett underlag för behandling av personuppgifter för vården
386
SOU 2023:76 |
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
av en annan patient än den som uppgifterna avser. Vilka databaser som ska vara tillåtna ska fastställas i förordning.
Från ett praktiskt perspektiv är poängen med en precisionsmedi- cinsk databas att samla en relevant informationsmängd för sökningar efter relevant hälsodata för vården av en annan patient än den som informationen avser, se avsnitt 13.2.4.
Utredningens förslag om regler avseende inrättande och förande av precisionsmedicinsk databas finns i avsnitt 13.7 och 14.7. Utred- ningen överväganden avseende tillskapandet av nya informationsmäng- der finns i avsnitt 13.3.
13.4.3Tillgång till personuppgifter i precisionsmedicinsk databas för sökning (steg 3)
Personal inom den regionala specialiserade vården ska kunna söka i den precisionsmedicinska databasen efter relevanta patientfall och an- vända dessa uppgifter i vården av en patient. Om det visar sig att det finns relevanta data om andra patienter så behöver den som söker ta ställning till om informationen räcker för de behov som hen har. Om informationen är tillräcklig kan informationen användas som besluts- stöd för att vårda den enskilda patienten.
Tillgång till personuppgifter i den precisionsmedicinska databasen ska få ges genom direktåtkomst eller annat elektroniskt utlämnande till regional myndighet inom hälso- och sjukvården. Det ska gälla sär- skilda villkor för behörighet och befogenhet att ta del av uppgifter i databasen.
Utredningens förslag i denna del finns i avsnitt 14.8.
13.4.4Begäran om kompletterande personuppgifter från patientjournal (steg 4)
Om det behövs mer information om patienterna vars data sökts fram i en precisionsmedicinsk databas, ska myndigheten som gjort sök- ningen kunna vända sig direkt till den vårdgivare som tillgängliggjort uppgifter till databasen med en så kallad begäran om kompletterande personuppgifter från patientjournal för den eller de relevanta patienterna.
Begäran om kompletterande personuppgifter från patientjournal ska kunna ske efter att sökning har gjorts i en precisionsmedicinsk
387
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
SOU 2023:76 |
databas och vara villkorat av att kompletterande uppgifter kan antas ha betydelse för vården av patienten. Utredningens förslag i denna del finns i avsnitt 14.9.
13.5Hur bör en precisionsmedicinsk databas få inrättas?
Utredningen har hitintills beskrivit varför utredningen bedömer att en databas är en lämplig lösning för att möjliggöra vidareanvändning för vårdändamålet. I detta avsnitt kommer utredningen redogöra för hur en sådan eller sådana databaser bör få inrättas.
13.5.1Aspekter på inrättandet av en databas för vidareanvändning för vårdändamål
Det finns ett antal aspekter som utredningen anser bör beaktas vid valet av ordning för inrättande av databas för vidareanvändning av personuppgifter för vårdändamål. Det finns här motstående intressen som behöver vägas mot varandra. Några sådana är skyddet för den personliga integriteten, användbarheten eller praktisk genomförbarhet. Utredningen kommer i detta avsnitt redogöra för de intressen som utredningen bedömt varit mest centrala och vad de innebär. Bedöm- ningen av vilka dessa är har utredningen gjort själv, men utredningen har framför allt försökt väga in de intressen som regeringen ger uttryck för som extra viktiga i utredningens direktiv.
Statlig styrning och kostnadseffektivitet
Även om staten inte har ansvar för hälso- och sjukvården finns det behov av statlig styrning inom vissa områden. Några sådana exempel är att skapa en jämlik vård i hela landet, ett annat är ansvaret för normgivningen. Hälsodataområdet är ett komplext område och det finns i dag många lokala lösningar som gör att det är svårt att få till en jämlik hälso- och sjukvård, men också ett sammanhängande system för hela hälso- och sjukvården. Utredningen upplever att det dels finns en ökad vilja att få till en ökad statlig styrning på hälso- och sjuk- vårdsområdet av flera olika skäl. En mer jämlik vård, en mer resurs-
388
SOU 2023:76 |
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
effektiv vård, en mer konkurrenskraftig life
Integritet och ändamålsglidning
Många databaser kan i sig vara en risk ur ett integritetsperspektiv. Samtidigt kan större mängder data samlade också ses som integritets- känsligt. Utredningen bedömer att regeringen i direktiven varit tydliga med vikten av den personliga integriteten. Att göra en proportionali- tetsbedömning är många gånger svårt, i synnerhet när det kommer till känsliga personuppgifter. Ytterligare skyddsåtgärder leder många gånger, om än inte alltid till minskad nytta för de som ska använda per- sonuppgifterna. Skyddsåtgärderna kan också vara kostsamma eller svåra att tillämpa i praktiken. Det finns också många olika typer av skydds- åtgärder och vilka eller vilken kombination av skyddsåtgärder som bör användas behöver ofta bedömas utifrån det enskilda fallet. Utred- ningen har försökt hitta en balans mellan risker och skyddet för den personliga integriteten, men har i vissa fall aktivt valt att göra avkall i vissa delar där utredningen bedömt att en skyddsåtgärd inte varit proportionerlig eller där kostnaden gjort att genomförandet hade blivit praktiskt ogenomförbart.
Tidsperspektivet
I utredningens arbete med ändamålet vård har utredningens bedömning varit att en av de viktigaste aspekterna är att utredningens förslag ska börja skapa nytta så fort som möjligt. Precisionsmedicin finns redan
idag och utredningens bedömning är att Sveriges implementering hal- kat efter. Denna bedömning gör utredningen baserat på de kontakter utredningen haft med olika aktörer. Utredningens bedömning är att det därför är angeläget att Sverige så snart som möjligt kan imple- mentera precisionsmedicin på ett jämlikt sett i hela landet, då tillgången till precisionsmedicin i dag är ojämlik över landet. Bäst tillgång har
389
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
SOU 2023:76 |
de som bor i en region med ett universitetssjukhus och de som kan ingå i olika kliniska studier.
I figur 13.6 nedan har utredningen försökt illustrera nyttan av olika val på lösningar som hade kunnat övervägas. Grafen visar nyttan över tid, där t0 representerar i dag, t1 representerar en tidsenhet längre fram i tiden. Utredningen har valt att inte definiera hur lång en sådan tids- enhet är. Syftet är i stället att illustrera hur nyttan förändras över tid och hur den förhåller sig till de olika tidsperioderna. Exempelvis kan t1 tolkas som på kort sikt, t2 som på medellång sikt och allt efter det är på lång sikt.
Utredningen har valt den lösning som visas längst till vänster i figur 13.6. Det vill säga en lösning som ska generera nytta så snart som möjligt. Utredningen bedömer också att detta är den lösning som skulle generera störst nytta totalt. Ett alternativ till de förslag som utredningen lämnat är att Sverige skulle invänta inrättandet av en nationell datahubb och skapa en federerad lösning. Utredningens be- dömning är att detta kommer behövas oaktat utredningens förslag, men att en sådan lösning endast kommer börja generera nytta på lång sikt. Under den tiden kommer många patienter både utstå lidande och i vissa fall också avlida innan dess att en lösning kommer på plats. Ut- redningen bedömning är att det inte är etiskt försvarbart att invänta en sådan lösning.
Utredningen har också funderat på om det finns någon lösning som börjar generera större nytta redan på medellång sikt, vilket visas i mitten av de tre graferna i figur 13.6. Utredningen har dock inte kunnat identifiera någon sådan lösning som skulle vara ekonomiskt försvarbar eller praktiskt genomförbar. Det ena alternativet har i prak- tiken stått mellan att göra en lösning som skapar lite nytta så snart som möjligt och på sikt skapar stor nytta. Detta förslag bedömer utred- ningen också skapar bättre förutsättningar för staten och regionerna att påbörja arbetet med datahubbar.
Det andra alternativet har varit att enbart fokusera på en nationell datahubb direkt. Att reglera upp en nationell datahubb ingår dock inte i utredningens uppdrag och utredningen bedömer inte heller att det hade varit en lämplig lösning, då det skulle innebära att patientnytta hade uteblivit fram till dess att datahubben var på plats. Utredningen bedömer vidare att tiden för inrättandet av en datahubb sannolikt inte hade kunnat påskyndas i någon större utsträckning eftersom data- hubben är beroende av bland annat förslaget till EHDS. Så mot bak-
390
SOU 2023:76 |
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
grund av allt ovan har utredningen bedömt tidsaspekten som central för utredningens vägval avseende vilka förslag som skapade mest nytta för patienterna och som leder till långsiktigt bästa lösningen för hälsodata- området och dess aktörer.
Figur 13.6 Illustration över nyttan med olika val av lösningar för införandet av precisionsmedicin i Sverige
Nytta
Nytta |
Nytta |
Nytta |
Nytta
Nytta Nytta
Tid |
Tid |
Tid |
Källa: Utredningens illustration.
13.5.2Olika sätt att reglera inrättandet av databaser
Utifrån de aspekter som redogörs för i avsnitt 13.5.1 har utredningen övervägt olika alternativ för inrättande av databaser för vidareanvänd- ning av personuppgifter för vårdändamålet.
Alternativ A – Reglera antal databaser i författning
Ett alternativ är att i författning ange de databaser som får finnas och vem som får föra dem. Ett exempel på reglering av en utpekad databas och vem som får föra den är lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa, den så kallade
I Utredningen om en långsiktig reglering av forskningsdatabaser föreslås en ny lag om vissa forskningsdatabaser samt en förordning om vissa forskningsdatabaser. Lagen föreslås reglera behandling av per- sonuppgifter i verksamhet med sådana forskningsdatabaser där insam- ling och registrering av personuppgifter görs i register eller annan sam- ling med personuppgifter genom registrerades frivilliga medverkan och där forskningsdatabasernas syfte att skapa underlag för flera framtida forskningsprojekt är av särskilt vetenskapligt värde för forskningen i ett
391
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
SOU 2023:76 |
långsiktigt perspektiv. Enligt förslaget får behandling av personupp- gifter i en forskningsdatabas bara utföras i verksamhet som bedrivs av lärosäten. I förslaget till lag anges vidare att regeringen kan meddela föreskrifter, dels om vilka forskningsdatabaser som får föras, dels om vilka lärosäten som får behandla personuppgifter enligt lagen. Den ut- redningen lämnar även förslag till förordning som ansluter till lagen. I förslaget till förordningen finns bestämmelser om att Karolinska Insti- tutet får föra forskningsdatabaserna LifeGene och Tvillingregistret.
En fördel med denna typ av reglering är att det är tydligt vem som är ansvarig och att det finns en begränsning i antalet databaser. En begränsning av antalet databaser kan antas vara kostnadseffektivt och gynnsamt ur integritetsperspektiv. Ett utpekande av en viss databas eller aktör låser dock fast inrättandet på ett betydande sätt. Det saknas då flexibilitet och möjligheter till anpassning utifrån regionala för- hållanden.
En variant som ger större flexibilitet är att av författning följer det antal databaser som får finnas. Det går också att kombinera med att ange en viss utpekad databas. I stället för att ange en viss utpekad aktör kan författningen innehålla krav på vilken typ av aktör som får inrätta databas.
Alternativ B – Fritt antal databaser på regional nivå
Ett alternativ är att i lagen endast ange att regionala myndigheter inom hälso- och sjukvården får möjlighet att inrätta och föra precisions- medicinska databaser. Detta alternativ skapar stor flexibilitet för regi- onerna. En sådan reglering innebär i sig ingen begränsning i antal databaser. Detta alternativ skulle innebära en låg tröskel för att inrätta en databas, vilket enligt utredningens bedömning då skulle kunna förväntas ske relativt snabbt.
Fritt inrättande av databaser skulle i praktiken vara likt nationella kvalitetsregister. Av erfarenhet är det känt att det med stor sannolikhet kommer leda till låg täckningsgrad, låg kostnadseffektivitet och en stor mängd olika databaser. Utredningen bedömer att detta inte är ett lämpligt alternativ, i synnerhet inte eftersom förslaget till EHDS ställer högre krav på nationell styrning inom hälsodataområdet.
Utredningen ser också att det finns en risk för att det blir svårt för regionerna att ha kontroll över alla databaser och se till att de an-
392
SOU 2023:76 |
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
vänds på ett ändamålsenligt sätt och att ingen ändamålsglidning sker. Utredningen anser att en reglering som lämnar utrymme för ett stort antal databaser medför betydande integritetsrisker.
Utredningen bedömer också att en större mängd databaser riskerar att göra att det kommer krävas mångt mycket fler integrationer mellan olika system och databaser. Det går då också att ifrågasätta vad hela poängen med lagstiftningen är, eftersom själva tanken är att skapa större upptagningsområden. En mängd små samlingar av hälsodata skulle sannolikt inte fylla en bättre funktion än vad vårdens befintliga register redan skulle kunna lösa.
Alternativ C – Tillståndsprocess
Ett alternativ kan vara att inrättande av en precisionsmedicinsk databas föregås av ett tillståndsförfarande. En jämförelse kan göras med för- farandet vid beviljande av att bedriva nationell högspecialiserad vård (se 7 kap. 5 a § hälso- och sjukvårdslag (2017:30), förkortad HSL). Liksom vid tillståndsgivning för nationell högspecialiserad vård skulle en myndighet, till exempel Socialstyrelsen, kunna vara den som prövar ansökningar och beviljar tillstånd (se 7 kap. 5 b § HSL och 2 kap. hälso- och sjukvårdsförordning (2017:80).
Det alternativet skulle skapa en tydligare och starkare statlig styr- ning och en god översikt. Det skulle sannolikt även vara fördelaktigt utifrån ett integritetsperspektiv. Däremot är en nackdel med denna typ av reglering att den ger resultat långsammare och det kommer därför ta längre tid innan nyttan realiseras. Det skulle också innebära ökade kostnader och en, enligt utredningen, omotiverad inskränkning i det kommunala självstyret. Eftersom det skulle ta längre tid bedömer utredningen att det inte heller skulle vara ändamålsenligt då det sanno- likt hade varit bättre att i så fall invänta ett inrättande av en nationell datahubb.
Alternativ D – En nationell datahubb
Ett alternativ till en precisionsmedicinsk databas är inrättandet av en nationell datahubb som erbjuder en teknisk lösning som låter regio- nerna federera data.
393
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
SOU 2023:76 |
Fördelen med detta alternativ är att det är det mest flexibla och skalbara systemet som också skulle kunna användas av flest aktörer. Utredningen bedömer dock att detta alternativ också är det mest kom- plexa, dyra och tidskrävande alternativet. Dessutom innehåller förslaget till EHDS regler som delvis avser samma sak som ett sådant förslag, vilket gör att ett sådant förslag skulle överlappa och riskera att före- komma vad som sedermera kommer att komma, utan att kunna ta ett helhetsgrepp kring de frågorna. Detta framstår inte som lämpligt. Ut- redningen anser dock att det förslag som utredningen lägger fram är kompatibelt med förslaget till EHDS och att det kommer gå att bygga vidare på det senare, när EHDS trätt i kraft.
Centralt är också att vidareanvändning av personuppgifter för vård- ändamål är en typ av användning av hälsodata som kommer att ske vårdnära – i det dagliga patientarbetet – och i nuläget framför allt inom den regionala specialiserade vården. Det är regionerna som har ansva- ret för den hälso- och sjukvård där denna typ av användning av hälso- data kommer att ske. Utifrån detta är det rimligt att den grundlägg- ande infrastrukturen finns hos regionerna. På sikt finns dock fördelar med även en nationell datahubb, exempelvis för att fler aktörer ska kunna använda data.
13.5.3Precisionsmedicinska databaser bör regleras i författning och begränsas i antal
Förslag: Inrättande av databaser med samlingar av personuppgif- ter för vidareanvändning för vårdändamål, så kallade precisions- medicinska databaser, ska begränsas i antal. Varje samverkansregion ska få inrätta en precisionsmedicinsk databas. Även den Natio- nella Genomikplattformen ska få inrätta en precisionsmedicinsk databas.
Genomgången av olika alternativ i avsnitt 13.5.2 visar att olika lös- ningar har olika för- och nackdelar utifrån de kriterier som utred- ningen har prövat. Utredningens ambition är att föreslå en lösning som sammanvägt har klart övervägande fördelar förknippande med sig. Utredningens författningsförslag utgår ifrån Alternativ A.
Inrättande av databaser med samlingar av personuppgifter för vidareanvändning för ska därför begränsas i antal.
394
SOU 2023:76 |
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
Slutsatsen av de överväganden utredningen lämnar i avsnitt 13.3 är att det finns ett behov av nya uppgiftssamlingar. Utredningen be- dömer att det finns behov av fler databaser än bara en ensam natio- nell databas. Det finnas fördelar med en nationell datahubb. Utred- ningen bedömer dock att en nationell lösning skulle kräva en federerad lösning för att motiveras ur integritetssynpunkt. I avsnitt 13.3.2 be- skriver utredningen varför utredningen bedömt att det i nuläget inte är en framkomlig väg. I korthet är utredningens bedömning att det kommer ta för lång tid att bygga upp en nationell datahubb och att den nationella datahubben kommer behöva byggas på med flera funk- tioner. Det är därför svårt att säga när en federerad lösning för preci- sionsmedicin hade kunnat prioriteras och genomföras.
Utredningen anser dock att det behövs en begränsning av antalet databaser. Det finns fördelar med att knyta an till befintliga samver- kansstrukturer. Utredningens bedömning är, i likhet med andra ut- redningar (SOU 2015:98, 2016:48, 2018:10 och 2021:25), att det är lämpligt att bygga vidare på indelningen samverkansregioner (tidi- gare sjukvårdsregioner).
Vidare anser utredningen att databaserna behöver regleras i författ- ning. Detta eftersom utredningen anser det lämpligast ur styrnings- perspektiv samt utifrån de rättsliga krav som ställs på den här typen av uppgiftssamlingar enligt regeringsformen, förkortad RF (se full- ständigt resonemang i avsnitt 13.7.1). På grund av den detaljerings- grad ett begränsande i antal och lämpliga integritetsskyddande åtgärder medför anser utredningen att regleringen inte endast bör göras i lag, utan även genom kompletterande bestämmelser i förordning, se vidare resonemang om uppdelningen i lag och förordning under rubriken ”Krävs lagform för närmare bestämmelser om precisionsmedicinska databaser enligt grundlagen”.
Fördel med begränsning i antal för statlig styrning och kostnadseffektivitet
Ur ett statligt styrningsperspektiv är det en fördel med att fåtal data- baser eftersom det innebär att regionerna behöver arbeta tillsammans och ta fram lösningar som fungerar över regiongränser och att det därmed inte uppstår omotiverade lokala lösningar.
Detta gör i sin tur att staten kan ha en tydligare styrning gente- mot regionerna som enligt utredningen också underlättar för förutsäg-
395
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
SOU 2023:76 |
barheten och långsiktigheten för staten, regionerna och patienterna. Det är också långt mycket enklare att ha överblick över sex databaser än 21 som det hade varit om varje region skulle ha en egen databas. Det är också rent praktiskt lättare samverka att samverka med sex aktö- rer snarare än 21.
Utredningen bedömer att den samverkansregionala nivån innebär en bra balans mellan regional förankring och statlig styrning då det överlappar med den indelning som flera statliga myndigheter använder (se exempelvis civilområden, prop. 2022/23:45). Det överlappar också med indelning som regionerna använder regionala cancercentrum.
Ur ett kostnadseffektivitetsperspektiv är det enligt utredningen också rimligt att centralisera databaserna till samverkansregionerna eftersom det finns tydliga skalfördelar med att enbart bekosta driften och utvecklingen av sex databaser i stället för 21 databaser. Det är inte heller säkert att små regioner skulle ha ekonomiska förutsättningar för att inrätta en databas. Vissa regioner är också förhållandevis små och det går då att ifrågasätta om patientunderlaget är tillräckligt för att uppnå den kritiska massa som krävs för att databasen ska göra någon nytta.
Även om utredningen bedömer att det finns tydliga skalfördelar och att det hade varit mest kostnadseffektivt med en enda nationell databas, så har utredningen gjort bedömningen att de besparingarna inte står i proportion till de ökade riskerna, om den inte bygger på en federerad lösning. Sammanfattningsvis bedömer utredningen att den samverkansregionala nivån skapar en balans som är bra utifrån både styrningsperspektiv, kostnadseffektivitet och avseende skyddet av den personliga integriteten.
Precisionsmedicinsk databas med viss inriktning
Utredningens bedömning är att de precisionsmedicinska databaserna som upprättas inom varje samverkansregion skulle kunna bidra i arbetet med att inrätta regionala datahubbar (se avsnitt för förklaring av regionala datahubbar 19.5.4).
En fråga som uppkommer är om precisionsmedicinska databaser bör ha inriktning mot en viss medicinsk frågeställning eller inte. En sådan lösning finns i exempelvis Storbritannien (se avsnitt 10.3.10).
396
SOU 2023:76 |
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
Det finns en rad fördelar med en sådan lösning. Det skulle poten- tiellt kunna innebära mer specialiserade och därmed mindre uppgifts- samlingar. Det skulle dock sannolikt betyda att antalet uppgiftssam- lingar också blev fler. Det skulle också leda till att ett färre antal personer skulle ha behov av att få tillgång till uppgiftssamlingarna, men det skulle också sannolikt innebära gränsdragningsproblematik och att vissa pati- enter som inte passar in i någon av uppgiftssamlingarna sannolikt får sämre vård.
Ett ökat antal uppgiftssamlingar, i synnerhet om de är specialiserade skulle sannolikt kunna leda till större regionala variationer och lägre interoperabilitet. Ytterligare en baksida med en sådan indelning är att det skulle göra det svårare att erbjuda vård till patienter som be- finner sig i två av uppgiftssamlingarna och det finns då enligt utred- ningen en uppenbar risk att alla och ingen blir ansvarig för patienten, med följden att patienten inte får den vård som hen skulle fått om uppgiftssamlingen var samlad. Exempelvis så skulle en specialisering kunna vara virus, en annan cancer, en tredje ärftliga sjukdomar. För en person med cancer kan det dock vara så att cancern uppstod till följd av en virusinfektion och att den kunde uppstå för att det fanns en ärftlig faktor som gjorde att patienten hade en hög risk för att ut- veckla den cancertypen. En annan fråga är hur dessa olika databaser skulle placeras i Sverige.
Utredningens bedömning är därför att det inte är ändamålsenligt att i författning fastställa att en precisionsmedicinsk databas ska ha en viss inriktning. Sen kan det i praktiken bli så att vissa patienter som får högspecialiserad vård endast kommer att återfinnas i en av de samverkansregionala databaserna eftersom samtliga patienter be- handlas på ett specifikt sjukhus. Utredningen ser dock inte att detta i praktiken skulle innebära några problem för varken hälso- och sjuk- vården eller patienterna.
Fördel ur tidsperspektivet
Utredningen har bedömt att tidsperspektivet är en av de viktigaste faktorerna som utredningen haft att förhålla sig till i framtagandet av utredningens förslag. Utredningen bedömer att en nationell eller en federerad lösning skulle ta för lång tid. En databas per region riskerar också att vissa regioner inte inrättar en databas för att kostnaderna
397
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
SOU 2023:76 |
är för höga eller patientunderlaget är för litet. Detta skulle innebära en längre tid där patienter står utan rätt vård. Även ur ett tidsperspek- tiv har utredningen bedömt att den samverkansregionala nivån är det alternativ som minimerar tiden till dess att precisionsmedicin kan in- föras jämlikt i svensk hälso- och sjukvård.
Sammanfattande bedömning avseende inrättandet av precisionsmedicinska databaser
Utredningen anser att det bästa alternativet är att antalet databaser med samlingar av personuppgifter för vidareanvändning för vårdända- mål begränsas. Sammantaget finner utredningen att en precisionsmedi- cinsk databas per samverkansregion tillsammans med en inom den Nationella Genomikplattformen (NGP), som beskrivs mer i detalj i avsnitt 14.7.3, är de bästa alternativen utifrån de förutsättningar och behov som finns. Det är en sammanvägd bedömning av de olika alter- nativen som skulle kunna vara aktuella. Fri etablering av databaser riskerar att bli spretigt och sakna styrning. En ensam nationell data- hubb riskerar att ta lång tid att etablera med följden att en stor del av nyttan hinner gå förlorad.
Utredningen konstaterar att en precisionsmedicinsk databas per samverkansregion, tillsammans med en inom NGP, ligger i linje med arbetet med förslaget till EHDS och tanken på en nationell datahubb med tillhörande regionala datahubbar. Utredningen bedömer också att detta förslag är det som skulle skapa störst nytta på kort tid även om en federerad lösning och en nationell datahubb hade varit bättre på sikt.
13.6Skyldighet eller frivillighet?
Förslag: Det ska vara frivilligt att inrätta en precisionsmedicinsk databas och att i övrigt vidareanvända personuppgifter för vård- ändamål enligt utredningens förslag.
De regler som preciserar tillåten behandling av personuppgifter för vård av annan ska utformas på sådant sätt att det blir en möjlighet, inte en skyldighet, för vårdgivare att behandla personuppgifter för
398
SOU 2023:76 |
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
vård av annan än den som uppgifterna avser. Det ska till exempel vara frivilligt att inrätta en precisionsmedicinsk databas och att tillgäng- liggöra personuppgifter till databasen.
Att behandling av personuppgifter för ändamålet vård av annan än den som uppgifterna avser är frivilligt framgår av bestämmelserna genom att det anges att en viss aktör får utföra en viss behandling av personuppgifter. Till exempel anges att en vårdgivare får behandla personuppgifter för urval och tillgängliggörande till precisionsmedi- cinsk databas.
13.6.1Övergripande skäl för frivillighet
Det finns olika skäl till att utredningen valt att det ska vara frivilligt att inrätta en precisionsmedicinsk databas. Det primära skälet är att detta är en så pass verksamhetsnära och specifik fråga som dessutom kommer kräva att flera regioner samverkar på ett fungerande sätt. Ut- redningen bedömer inte att det är statens roll att detaljstyra enskilda databaser i vården.
Utredningen konstaterar dock att det finns en risk för att frivillighet kan leda till viss ojämlikhet avseende införandet av precisionsmedi- cinska databaser på samverkansregionalnivå. Möjligheten att vidare- använda hälsodata från flera patienter vid vården av en annan patient är vidare något som efterfrågas starkt från hälso- och sjukvården. Ut- redningen uppfattar att det finns ett starkt intresse och behov inom framför allt den regionala specialiserade vården att kunna använda hälsodata på detta sätt för att kunna implementera precisionsmedicin fullt ut i vården. Utredningen bedömer utifrån detta att det borde finnas ett starkt incitament att inrätta precisionsmedicinska databaser i syfte att kunna använda de nya sätten att behandla personuppgifter på, utan att det behöver utgöras av skyldigheter i lagstiftningen.
En skyldighet hade även inneburit att staten hade behövt besluta om vilken av regionerna inom samverkansregionen som skulle bli an- svarig för att inrätta en precisionsmedicinsk databas, vilket är en be- tydande inskränkning i det kommunala självstyret. Utredningen har inte kunnat identifiera några direkta fördelar med att staten skulle ta det beslutet mer än att genomförande eventuellt skulle gå marginellt fortare. Det skulle också undvika risken att regionerna inom en sam- verkansregion inte kan komma överens. Utredningen bedömer dock
399
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
SOU 2023:76 |
att den frågan bör kunna lösas utan lagstiftning. Utredningens bedöm- ning är därför att ett krav hade inneburit en oproportionerlig inskränk- ning i det kommunala självstyret och därför inte är lämpligt.
13.6.2Kostnader och finansieringsprincipen i relation till de precisionsmedicinska databaserna
Kostnaderna för inrättande av databaserna kommer att variera beroende på en rad olika faktorer, så som ambitionsnivå, vilken infrastruktur som redan i dag finns på plats och så vidare. Utredningen bedömer att ambitionsnivån bör vara upp till regionerna att besluta om. Den kom- munala finansieringsprincipen innebär att staten inte ska ålägga kom- muner och landsting nya uppgifter utan att ge dem adekvat finan- siering.4
Utredningens bedömning är att det är sannolikt att förslaget till EHDS direkt eller indirekt kommer att leda till att det införs ett krav på regionerna att rent praktiskt kunna dela de personuppgifter som kommer att finnas i den precisionsmedicinska databasen oavsett om de inrättat en sådan eller inte. Utredningen ser en risk för att regio- nerna inte kommer vilja investera i inrättandet av precisionsmedicinska databaser om det finns en osäkerhet avseende hur långvarig nyttan kom- mer vara. Här är utredningens bedömning dessa strukturer bör gå att bygga vidare på i det nationella arbetet. Utredningen bedömer också att databaserna kan lägga grunden eller komplettera påbörjat arbete med regionala eller samverkansregionala datahubbar. Utredningens bedömning är därmed att det utöver patientnyttan finns ett tydligt incitament för regionerna att inrätta precisionsmedicinska databaser.
Finansieringsprincipen i förhållande till förslaget till EHDS
Ett framtida krav på att tillgängliggöra data skulle kunna innebära att finansieringsprincipen kan komma att bli tillämplig. Detta är inget som utredningen utrett eftersom det ännu inte är klart hur förslaget till EHDS kommer att se ut. Utredningen ställer sig dock frågande till om det är praktiskt genomförbart att staten bär alla kostnader som följer direkt eller indirekt av förslaget till EHDS. Utredningens bedömning
4https://www.riksrevisionen.se/download/18.685c78e5162242160221104e/1521650321427/ RiR_2018_8_ANPASSAD.pdf.
400
SOU 2023:76 |
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
är att förslagen kommer beröra en så betydande del av hälso- och sjuk- vårdens verksamhet att en full finansiering av alla följdeffekter av för- slagen i praktiken skulle kunna innebära att staten tog över kostna- derna för exempelvis journalsystem och så vidare. Utredningen ser inte hur det skulle vara möjligt utan att ansvaret för hälso- och sjukvården flyttades över till staten. Här ser utredningen att det finns en uppen- bar risk för en låsning i Sverige i samband med införande av EHDS såsom förslaget till reglering ser ut. Utredningen har dock inte till upp- gift att reda ut denna fråga, men vill ändå lyfta problematiken, efter- som den är omfattande och indirekt berör utredningens förslag.
Finansieringsprincipen skulle inte vara ändamålsenlig
Utredningens bedömning är att krav på att inrätta en precisionsmedi- cinsk databas sannolikt skulle kunna göra finansieringsprincipen aktu- ell. Utredningens bedömning är dock att kostnaderna för att uppnå minimikraven för att tillgängliggöra de personuppgifter som utred- ningen föreslår är låg och att regionerna delvis redan har delar av infra- strukturen på plats. Att förslaget är frivilligt beror därmed inte på att utredningen vill att kostnaderna hamnar på regionerna i stället för på staten. Utredningens bedömning är att det är bättre att regionerna själva får lägga ambitionsnivån för databaserna och integrera det med övriga initiativ de har. Här kan exempelvis biobanker, centrum för hälsodata eller andra regionala initiativ som rör hälsodata eller preci- sionsmedicin nämnas. Om staten skulle införa ett krav ser utredningen snarare att det finns en risk för att regionerna tvingas ta fram ännu ett system som löper parallellt med befintliga system. Finansierings- principen har därför inte varit ett tungt vägande skäl för utredningens val avseende om inrättandet ska vara ett krav eller en frivillighet. Det är snarare det kommunala självstyret som varit det tyngsta skälet.
Utredningens bedömning är vidare att det inte finns något som hindrar att staten och regionerna kommer överens om att samfinan- siera utvecklingen ändå. Om detta görs bör dock arbetet med natio- nella kvalitetsregister beaktas. En blandning av medel är sällan önskvärd eftersom det enligt utredningen skapar ett otydligt ansvarutkrävande.
401
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
SOU 2023:76 |
Placering och kostnader för inrättandet av en precisionsmedicinsk databas
Utredningens förslag innebär att det endast är en regional myndighet inom hälso- och sjukvården inom respektive samverkansregion som får inrätta och föra en precisionsmedicinsk databas. Utredningen note- rar att varje samverkansregion har ett universitetssjukhus, förutom Samverkansregion Mellansverige som har två (Örebro och Uppsala). Utredningen har i sitt arbete uppfattat att det framför allt är vid uni- versitetssjukhusen som precisionsmedicin utförs. Det kan därför bli naturligt att de samverkansregionala precisionsmedicinska databaserna inrättas inom en region som har ett universitetssjukhus. Utredningen bedömer dock att regionerna bäst själva kan komma överens om var den samverkansregionala precisionsmedicinska databasen ska ligga och lämnar därför detta öppet i förslagen till reglering.
Vad gäller kostnaderna för inrättandet så har utredningen bedömt att det bästa är att överlämna den frågan till regionerna att själva komma överens sinsemellan, eftersom det kan finnas regionala skill- nader som gör att olika samverkansregioner väljer att samfinansiera databasen på olika sätt. Utredningen har utgått ifrån att regionerna gemensamt betalar för inrättandet och utveckling utifrån en fördel- ning de tycker är lämplig, vilket exempelvis skulle kunna vara befolk- ningsmängd. Driften av databasen skulle kunna finansieras genom exempelvis att regioner betalar för att få använda databasen, antingen genom fast kostnad eller baserat på användning.
Sammanfattad bedömning
Sammanfattningsvis gör utredningen bedömning att klart övervägande skäl talar för att det ska vara frivilligt att inrätta precisionsmedicinska databaser och att i övrigt vidareanvända hälsodata för vårdändamål enligt utredningens föreslagna regler.
Utredningen ser en risk för att precisionsmedicinvården kan komma att bli ojämlik under perioder, allt eftersom regionerna eventuellt eta- blerar de samverkansregionala databaserna i olika takt. Utredningen ser det dock inte som sannolikt att någon samverkansregion helt skulle avstå från att inrätta en precisionsmedicinsk databas. Utredningen utgår vidare från att den NGP kommer att användas som precisions- medicinsk databas om detta blir tillåtet. Även om någon av samverkans-
402
SOU 2023:76 |
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
regionerna mot förmodan inte skulle inrätta en precisionsmedicinsk databas kommer NGP sannolikt finnas som ett alternativ. Utredningen bedömer också att det inom en snar framtid efter att betänkandet pub- liceras kommer bli känt vilka samverkansregioner som bestämt sig för att inrätta en precisionsmedicinsk databas. Skulle det då visa sig att regionerna avstår på grund av ekonomiska skäl, är det inget som skulle kräva andra regler än de som utredningen föreslår. Om det skulle visa sig att ekonomin utgör ett hinder mot inrättande av precisionsmedi- cinsk databas, har staten alltid möjlighet att bidra med finansiering.
13.7Reglering av vidareanvändning för vårdändamål
Förslag: Det ska införas en reglering för vidareanvändning av per- sonuppgifter för vården av en annan patient än den som uppgifterna avser.
I avsnitt 2.6.3 framgår att utredningens författningsförslag avser vidare- användning av personuppgifter. De nya samlingar av vårddata som ut- redningen föreslår ska vara möjlig i databaser utgörs i många fall av personuppgifter enligt EU:s dataskyddsförordning. Regleringen be- höver därför utgå ifrån att det är personuppgifter som vidareanvänds. Vidare är det uppgifter som omfattas av sekretess, se vidare avsnitt 17.1.
Ovan har framgått att det för vidareanvändning av hälsodata för vårdändamål behövs nya uppgiftssamlingar där sökning kan ske. De behov som finns avseende delning av personuppgifter och möjliga skyddsåtgärder skiljer sig både lagtekniskt och materiellt från hur patientuppgifter i dag är reglerade i PDL och SVOD.
Utredningen anser att det behövs en reglering som sätter en struktur och gränser för hur vidareanvändning för vårdändamål ska kunna ske som är anpassad utifrån de behov och möjligheter till skyddsåtgärder som är specifika för vidareanvändning av personuppgifter för vården av en annan patient än den som uppgifterna avser. Regleringen ska bygga på den modell som framgår avsnitt 13.4. Centralt för utred- ningens förslag är inrättandet av så kallade precisionsmedicinska data- baser, se avsnitt 13.5.
403
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
SOU 2023:76 |
13.7.1På vilken normgivningsnivå ska regleringen ske?
Förslag: Reglering av vidareanvändning av personuppgifter för vården av en annan patient än den som uppgifterna avser ska ske i lag med kompletterande bestämmelser i förordning i vilka reger- ingen meddelar föreskrifter om precisionsmedicinska databaser.
Bedömning: Bestämmelsen i 2 kap. 6 § andra stycket RF utgör inte ett hinder mot närmare reglering i förordning avseende precisions- medicinska databaser.
Rättsliga utgångspunkter
Normgivningsmakten är enligt 8 kap. regeringsformen, förkortad RF, fördelad mellan riksdagen och regeringen. Med normgivningsmakten avses rätten att besluta rättsregler, det vill säga sådana regler som är bin- dande för enskilda och myndigheter och som gäller generellt. Dessa regler kallas i RF för föreskrifter. Fördelningen av normgivningsmak- ten mellan riksdagen och regeringen bygger på principen att de centrala delarna av normgivningen ska ligga hos riksdagen (se Ds 2014:1 s. 9).
Riksdagens normgivningsområde
Det område där i första hand riksdagen har normgivningskompetensen kallas för riksdagens normgivningsområde eller det primära lagområdet. Detta område regleras huvudsakligen i 8 kap. 2 § RF.
I 8 kap. 2 § första stycket 2 RF anges att föreskrifter ska meddelas genom lag om de avser förhållandet mellan enskilda och det allmänna under förutsättning att föreskrifterna gäller skyldigheter för enskilda eller i övrigt avser ingrepp i enskildas personliga eller ekonomiska förhållanden. Med ”ingrepp” åsyftas sådana åtgärder från normgivarens sida som allmänt anses innebära inskränkningar i enskildas dittills- varande handlingsfrihet, möjligheter att förfoga över egendom etcetera (prop. 1973:90 s. 210). Inrättande av personregister har inte ansetts hänförligt till bestämmelser som kräver stöd i lag eller annan författ- ning (se bland annat KU 1979/80:3y).
I 8 kap. 2 § första stycket 3 RF anges att föreskrifter ska meddelas genom lag om de avser grunderna för kommunernas organisation och
404
SOU 2023:76 |
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
verksamhetsformer och för den kommunala beskattningen samt kom- munernas befogenheter i övrigt och deras åligganden.
Den delen av det primära lagområdet där riksdagen inte kan be- myndiga regeringen att meddela föreskrifter, det vill säga inte kan delegera, brukar kallas det obligatoriska lagområdet. Den delen av det primära lagområdet där riksdagen genom delegering kan överlåta delar av sin normgivningskompetens till regeringen brukar kallas för det delegeringsbara området (se Ds 2014:1 s. 10). Detta område regleras i 8 kap.
I samband med att riksdagen bemyndigar regeringen att meddela föreskrifter i ett ämne kan riksdagen tillåta att regeringen i sin tur över- låter hela eller delar av denna normgivningskompetens till en för- valtningsmyndighet (se 8 kap. 10 § RF). Detta kallas subdelegering (Ds 2014:1 s. 10).
Regeringens normgivningsområde
I 8 kap. 7 § RF finns de huvudsakliga bestämmelserna om det område där regeringen utan delegering från riksdagen får meddela föreskrifter, det vill säga regeringens primärområde. Hit hör föreskrifter om verk- ställighet av lag samt föreskrifter som inte enligt grundlag ska meddelas av riksdagen, den så kallade restkompetensen.
Med verkställighetsföreskrifter avses i första hand tillämpnings- föreskrifter av administrativt slag. Dessutom avses föreskrifter som i materiellt hänseende ”fyller ut” en lag, även om lagen i och för sig skulle befinna sig inom det obligatoriska lagområdet. En förutsätt- ning är att den lagbestämmelse som ska kompletteras är så detaljerad att regleringen inte tillförs något väsentligt nytt genom den av reger- ingen beslutade föreskriften. I verkställighetsföreskrifter får det inte ingå sådant som kan uppfattas som en ny skyldighet för enskilda eller som ett nytt ingrepp i enskildas personliga eller ekonomiska förhåll- anden (se Ds 2014:1 s. 11 och prop. 1973:90 s. 211).
Till restkompetensen hör sådana offentligrättsliga föreskrifter som inte rör förhållandet mellan enskilda och det allmänna utan avser de stat- liga myndigheternas organisation, arbetsuppgifter och inre verksam- hetsformer. Till restkompetensen hör också sådana föreskrifter som vis-
405
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
SOU 2023:76 |
serligen rör förhållandet mellan enskilda och det allmänna men som ur den enskildes synpunkt inte är betungande utan gynnande eller neutrala.
Av 8 kap. 11 § RF framgår att regeringen får delegera normgivnings- makten inom sitt primärområde till en myndighet under regeringen.
Grundläggande fri- och rättigheter
I 8 kap. 2 § andra stycket RF anges att det av andra bestämmelser i RF och av annan grundlag följer att föreskrifter av visst innehåll ska meddelas genom lag. En sådan bestämmelse finns i 2 kap RF.
Enligt 2 kap. 6 § andra stycket RF är var och en gentemot det all- männa skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.
Det skydd för den personliga integriteten som grundlagsbestäm- melsen innebär är inte absolut, utan kan under vissa förutsättningar begränsas med hänsyn till andra motstående intressen. En sådan be- gränsning får dock endast ske genom lag (se 2 kap. 20 § första stycket 2 RF). En närmare beskrivning av dessa bestämmelser finns i av- snitt 7.1.2 (Integritetsskydd som en grundläggande mänsklig rättighet).
Reglering i lag
Utredningen föreslår att den grundläggande regleringen avseende be- handling av personuppgifter för vården av en annan patient än den som uppgifter avser, sker i lag. Behandling av personuppgifter för vård av annan än den som uppgifterna avser kommer att kunna ske utan samtycke. Behandlingen kommer inte avse nyinsamling av upp- gifter från de registrerade, utan kommer att avse vidareanvändning av redan insamlade uppgifter hos vårdgivare. Nya samlingar av uppgifter kommer dock att tillåtas i form av precisionsmedicinska databaser. De uppgifter som samlas i databasen avser känsliga personuppgifter om hälsa, däribland genetiska uppgifter. Uppgifterna kommer tillgäng- liggöras till den myndighet som för databasen, antingen från en annan myndighet eller avskiljas för ändamålet inom den myndighet som för databasen. Tillgång till uppgiftssamlingen i en precisionsmedicinsk databas kommer att kunna ges till regionala myndigheter inom hälso- och sjukvården och användas inom den specialiserade vården i vård
406
SOU 2023:76 |
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
av enskilda patienter. Även om det är fråga om ett urval av uppgifter kan komma att bli fråga om en inte obetydlig mängd uppgifter. Ut- redningen anser att behandling av personuppgifter för vård av annan patient än den som uppgifterna avser enligt utredningen förslag kom- mer innebära ett betydande intrång i den personliga integriteten.
Uppgifterna i en precisionsmedicinsk databas kan avse exempelvis genförändring, ålder, kön och behandlingsutfall. Utöver uppgifterna i databasen, kommer det vara möjligt att begära kompletterande per- sonuppgifter från patientjournaler. Utredningen gör bedömningen att de uppgifter som kan tillgängliggöras enligt föreslagna regler innebär en kartläggning av en enskilds personliga förhållanden.
Utredningen föreslår att det ska vara möjligt för enskilda att mot- sätta sig tillgängliggörande av personuppgifter till en precisions- medicinsk databas. Det kommer också att finnas en skyldighet för vårdgivare att informera om vad personuppgiftsbehandling i precisions- medicinsk databas och kompletterande uppgifter från patientjournal innebär. Dessa förhållanden medför dock enligt utredningen bedöm- ning inte att intrånget i den personliga integriteten sker med samtycke. Det följer alltså av 2 kap. 6 § andra stycket och 2 kap. 20 § RF att de regler som utredning föreslår som medför intrång i den personliga integriteten ska meddelas i lag.
Utredningen noterar också att konstitutionsutskottet i flera lagstift- ningsärenden som rört myndigheters behandling av personuppgifter framhållit att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag och att regeringen vid åtskilliga tillfällen har instämt i denna bedömning (se prop. 2009/10 s. 183).
Utifrån ovanstående gör utredningen bedömningen att regler om ändamålet, urval och tillgängliggörande, möjligheten att inrätta och föra precisionsmedicinsk databas, tillgången till uppgifterna i databasen samt möjligheten att begära kompletterande personuppgifter från pati- entjournal ska meddelas i lag. Dessa regler utgör också den rättsliga grunden för behandling av personuppgifter för det nya ändamålet, se avsnitt 14. Vidare ska även regler om behörighet och befogenhet att behandla personuppgifter för ändamålet vård av annan än den som uppgifterna avser meddelas i lag.
407
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
SOU 2023:76 |
Kompletterande reglering i förordning avseende precisionsmedicinsk databas
I avsnitt 13.6 har utredningen övervägt olika ordningar för inrättande av precisionsmedicinsk databas. Utredningen har kommit fram till att antalet databaser bör bestämmas i författning. Utredningen anser att den lämpligaste ordningen är bestämmelser i PDL som komplet- teras av regler i förordning.
Utredningen har övervägt om samtliga regler bör finnas i lagform. Som framgår nedan gör utredningen bedömningen att det inte är nödvändigt utifrån kraven i 2 kap. RF. En fördel med att ha samtliga regler i lag är att de finns samlade, vilket skapar en bättre överblick. Utredningen konstaterar dock att reglerna i lagen skulle behöva vara relativt detaljerade och att det skulle bli en omfattande reglering. Den detaljnivå som reglerna behöver ha passar enligt utredningens bedöm- ning bättre i förordningsform.
En fördel med att dela upp reglerna i lag respektive förordning är också att de förhållanden som bestäms i förordningen enklare kan ändras eller upphävas. Som framgår ovan ser utredningen framför sig att det framöver kommer att ske en utveckling på området, bland annat i och med när förslaget till EHDS antas. Utifrån det kan änd- ringar kring till exempel antalet databaser och till vilka databaser som tillgängliggörande ska kunna få ske behöva göras. Utredningen ser därmed en fördel i att placera generella bestämmelser i lag och bestäm- melser som har koppling till antalet databaser i förordningsform.
Krävs lagform för närmare bestämmelser om precisionsmedicinska databaser enligt grundlagen?
Utredningen gör bedömningen att varken 2 kap. 6 § andra stycket RF eller 8 kap. 2 § första stycket
408
SOU 2023:76 |
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
2 kap. 6 § andra stycket RF
Skyddet för den personliga integriteten som följer av 2 kap. 6 § medför krav på att delar av den reglering som utredning föreslår meddelas i lag.
För att tydliggöra regelverket närmare i detalj föreslår utredning en ordning där närmre föreskrifter kopplade till inrättande och förandet av precisionsmedicinska databaser meddelas i förordning. Reglerna i förordningen ska avse inom vilka samverkansregioner som precisions- medicinska databaser får inrättas och föras samt att det inom Natio- nella Genomikplattformen får föras en precisionsmedicinsk databas.
Vidare kommer det i förordningen att föreskrivas begränsningar kopplat till vilken eller vilka precisionsmedicinska databaser som vård- givare får göra urval och tillgängliggörandet till. Det kommer även att föreskrivas till vilken eller vilka databaser som regionala myndigheter inom hälso- och sjukvården får ges tillgång till. Urval och tillgänglig- görande samt tillgången ska följa den samverkansregionala indelningen. Urval och tillgängliggörande samt tillgång till precisionsmedicinsk databas inom Nationell Genomikplattform ska kopplas till deltagande regioner och myndigheter inom Genomic Medicine Sweden (GMS). GMS beskrivs närmare i 14.7.3.
Utredningens bedömning är att det är viktig att kunna specificera regelverket på ett sådant sätt att det blir tydligt för de aktörer som omfattas av det vad som rent konkret faktiskt gäller. Den typen av detaljerat regelverk är enligt utredningens bedömning inte lämpligt att placera i lag. Utredningen har övervägt att ha sådan detaljregler- ing i 6 kap. PDL men har landat i att det kapitlet skulle bli orimligt långt och alltför avvikande i förhållande till övriga PDL om det skulle utvidgas med ytterligare bestämmelser. Att i stället helt utesluta den sortens detaljerade bestämmelser är, enligt utredningens uppfattning, inte ändamålsenligt.
De regler som föreskrivs i förordningen utgör inget ytterligare in- trång i den personliga integriteten än vad som följer av föreslagna regler i lag. Reglerna i förordningen tar sikte på organisatoriska/geo- grafiska förhållanden/uppdelningar kopplade till möjligheterna att be- handla personuppgifter för det nya ändamålet. Reglerna innebär en begränsning och kontroll av användandet av ändamålet.
Mot denna bakgrund anser utredningen att skyddet i 2 kap. 6 § andra stycket RF inte utgör hinder mot närmare reglering i förord- ning avseende precisionsmedicinska databaser.
409
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
SOU 2023:76 |
8 kap. 2 § första stycket 2 och 3 RF
Som framgår ovan av de rättsliga förutsättningarna har förande av personregister inte ansetts innebära ett sådant ingrepp i enskildas per- sonliga förhållanden som avses i 8 kap. 2 § första stycket 2 RF. Utred- ningen anser i linje med detta att inte heller behandling av person- uppgifter i en precisionsmedicinsk databas eller vad som i övrigt blir tillåtet enligt utredningens förslag till reglering avseende behandling av personuppgifter för vården av en annan patient än den som uppgif- terna avser utgör ett sådant ingrepp.
Av 8 kap. 2 § första stycket 3 följer såvitt är av intresse att före- skrifter ska meddelas genom lag om de avser den kommunala beskatt- ningen samt kommunernas befogenheter i övrigt. Kommunernas be- fogenheter avser vilken verksamhet som kommunerna får bedriva. Exempel på bestämmelser som avser kommunala befogenheter är 2 kap. kommunallagen som avser kommunala angelägenheter. Av 2 kap. 1 § kommunallagen framgår att kommuner och regioner får själva ha hand om angelägenheter av allmänt intresse som har anknyt- ning till kommunens eller regionens område eller deras medlemmar. Kommunala befogenheter finns också reglerade i lag (2009:47) om vissa kommunala befogenheter. Lagen utvidgar den kommunala kom- petensen i förhållande till kommunallagens bestämmelser (se 1 kap. 1 § lag (2009:47) om vissa kommunala befogenheter).
Inrättande och förande av precisionsmedicinsk databas och behand- ling av personuppgifter i övrigt för vården av en annan patient än den som uppgifterna avser kommer enligt utredningens förslag endast att få ske inom hälso- och sjukvården för ändamålet vård. Utred- ningens förslag avser inte regioners befogenheter vad avser verksamhet som får bedrivas, utan avser endast förutsättningarna för viss typ av personuppgiftsbehandling inom verksamhet som regionerna redan har ansvar för och bedriver enligt lag. Stöd för indelning i samverkans- regioner följer också redan av lag.
Det är utredningens bedömning att de regler som utredningen före- slår inte berör kommunernas befogenheter i den mening som avses i 8 kap. 2 § första stycket 3 RF.
I avsnitt 13.5 redogörs för att de föreslagna reglerna ska vara fri- villiga att tillämpa. De utgör därför inget åliggande enligt 8 kap. 2 § första stycket 3 RF.
410
SOU 2023:76 |
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
Av ovanstående följer att normgivningsbestämmelserna i 8 kap. RF inte medför att de närmare föreskrifterna avseende de precisions- medicinska databaserna behöver meddelas i lagform.
13.7.2Reglerna ska föras in i patientdatalagen och en ny kompletterande förordning
Förslag: Vidareanvändning av personuppgifter för vården av en annan patient än den som uppgifterna avser ska regleras i PDL och i en ny kompletterande förordning till PDL.
Ovan har framgått att vidareanvändning av personuppgifter för vården av en annan patient än den som uppgifterna avser ska regleras i lag. Frågan är hur den lagtekniska utformningen av de nya reglerna ska se ut. De lagar som ligger närmast till hands är sådana som rör person- uppgiftsbehandling inom, eller kopplat till, de ändamål som utred- ningen avser att reglera. För hälso- och sjukvårdens del finns PDL och lagen (2022:913) om sammanhållen vård och omsorgsdokumentation, förkortad SVOD.
Utredningens förslag om vidareanvändning av personuppgifter för vården av en annan patient än den som uppgifterna avser, rör behand- ling av personuppgifter som sker inom hälso- och sjukvården. Ända- målet kommer att användas inom individanpassad vård, så kallad pre- cisionsmedicin. Vidareanvändningen kommer ske inom hälso- och sjukvården och det är vårdgivare på både datahållar- och dataanvändar- sidan.
PDL är kompletterande lagstiftning till EU:s dataskyddsförordning med regler som gäller vårdgivares behandling av personuppgifter inom hälso- och sjukvård. PDL avser personuppgiftsbehandling inom den individbaserade hälso- och sjukvården. Ovanstående talar enligt utred- ningens mening för att de nya reglerna om vidareanvändning av per- sonuppgifter för vård av annan än den som uppgifterna avser ska föras in i PDL.
PDL omfattar i dag redan flera ändamål som avser återanvändning eller vidareanvändning av personuppgifter som sker i nära samband med hälso- och sjukvården. Det är logiskt att ytterligare möjligheter till vidareanvändning som sker inom vårdgivares hälso- och sjukvårds-
411
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
SOU 2023:76 |
verksamhet och avser den individbaserade vården fortsatt regleras i PDL.
Utredningens förslag omfattar vidareanvändning av personupp- gifter både inom och mellan vårdgivare. Frågan är om det utifrån detta finns anledning att placera reglerna i olika lagar, till exempel både i PDL och i SVOD.
PDL reglerar i dag, efter ikraftträdandet av SVOD, huvudsakligen behandling av personuppgifter som sker inom en vårdgivare. Där finns regler om personuppgiftsbehandling även mellan myndigheter inom en vårdgivare (se 5 kap. 4 § andra stycket PDL). Det är endast reg- lerna om nationella och regionala kvalitetsregister i 7 kap. PDL som reglerar behandling av personuppgifter där uppgifterna samlas in från flera vårdgivare (se 7 kap. 1 § PDL) och då för ändamålet att syste- matiskt och fortlöpande utveckla och säkra vårdens kvalitet (se 7 kap. 4 § PDL). Personuppgifter som behandlas för detta ändamål får, såvitt nu är av intresse, också behandlas för ändamålen statistik, antals- beräkning inom klinisk forskning, och forskning inom hälso- och sjukvården. Reglerna om sammanhållen journalföring som tidigare fanns i 6 kap. PDL finns i dag i SVOD. SVOD reglerar tillgänglig- görande och behandling av personuppgifter för vårdändamål mellan vård- och omsorgsgivare. Utifrån detta skulle den vidareanvändning av personuppgifter för vård av annan än den som uppgifterna avser, som ska få ske mellan vårdgivare kunna regleras i SVOD. Utred- ningen har dock av flera skäl funnit att detta inte är lämpligt.
Utredningen konstaterar att SVOD framför allt är en gemensam lag för underlättat informationsutbyte mellan hälso- och sjukvården och socialtjänsten för vård av samma patient eller omsorgstagare. Ut- redningens förslag kommer enbart att avse vårdgivares vidareanvänd- ning av personuppgifter för det nya ändamålet inom hälso- och sjuk- vården och avser vidareanvändning från en eller flera patienter till en annan patient. SVOD skulle kompletteras med ett så pass stort antal nya bestämmelser som rör en principiellt sett annan situation (vår- den av en annan patient, i stället för vård av samma patient) och skulle därmed i stora delar ändra karaktär.
Vidare bedömer utredningen att det från ett vårdgivar- och patient- perspektiv skulle framstå som mer logiskt att samtliga situationer där personuppgiftbehandling sker för ändamålet vård av annan än den som uppgifterna avser finns samlat i en och samma lag. Detta borde enligt utredningens mening även öka transparensen i regleringen, vilket
412
SOU 2023:76 |
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
är viktigt inte minst ur integritetshänseenden. Regleringen bedöms även blir lättare att tillämpa med en sådan konstruktion.
Sammantaget gör utredningen bedömningen att det lämpligaste alternativet är att komplettera PDL med regler som avser vidarean- vändning av personuppgifter för vård av annan än den som uppgift- erna avser.
13.7.3Förhållandet till European Health Data Space
I Europeiska kommissionens förslag till Europaparlamentets och Rådets förordning om ett europeiskt hälsodataområde, COM(2022) 197 final av den 3 maj 2022, förkortat förslaget till EHDS, finns en artikel (34.1.h) som räknar upp ändamål för vilka
Förslaget till EHDS är vid tidpunkten för utredningens arbete fortfarande ett förslag och det är därför inte känt för utredningen hur en eventuell reglering avseende vidareanvändning för vårdändamål kommer att se ut i EHDS om och när EHDS beslutas. Utredningen finner dock anledning att utifrån det förslag som finns på ett över- gripande plan kommentera hur utredningen ser på förhållandet mellan utredningens förslag till reglering av vidareanvändning för vårdändamål och föreslagen reglering i EHDS.
Enligt förslaget till EHDS ges tillgången genom ett organ med ansvar för tillgång till
Utredningen ser att förslaget till EHDS innehåller formuleringar som skulle kunna utgöra en rättslig grund för behandling av person- uppgifter för ett ändamål som är snarlikt det som utredningen föreslår. Förslaget till EHDS adresserar dock inte den vårdnära datadelning som utredningens förslag avser. Ett förfarande med ansökan, tillstånd och tidsfrister omfattas inte av utredningens förslag och synes enligt utredningens uppfattning avser en mer övergripande nivå och andra situationer än de som utredningens förslag adresserar. Utredningens
413
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
SOU 2023:76 |
förslag avser att vårdgivare ska kunna dela data för att få bättre be- slutsunderlag i den dagliga vården av enskilda patienter. Utredningen har fått till sig behov från den regionala specialiserade vården som kräver snabb tillgång till sådant beslutsunderlag. Ett sådant exempel har varit läkare som beskrivit situationer med krampande barn som har en sällsynt diagnos. För att kunna hjälpa en sådan patient är det en förutsättning att snabbt kunna logga in och se om det går att ta ledning från andra liknande fall med samma diagnos. I akuta fall skulle en tillståndsprocess genom ett organ inte kunna fylla någon funktion. Utredningen uppfattar mot denna bakgrund att förslaget till EHDS och utredningens förslag avser olika nivåer av reglering.
Det kan vidare konstateras att det finns ett antal frågor som be- höver lösas i nationell lagstiftning, som förlaget till EHDS inte berör. En sådan fråga är sekretess. För att uppgifter ska kunna vidareanvändas för vårdändamål behöver det kunna ske utan hinder av sekretess. Utredningen lämnar sådana förslag. Utredningen lämnar också förslag avseende säkerhetsåtgärder. Som utredningen redogör för i avsnitt 2.6.2 inkluderar begreppet hälsodata i många fall sådana särskilda kategorier av känsliga personuppgifter som enligt huvudregeln är förbjudna att behandla enligt artikel 9.1 i dataskyddsförordningen, så kallade känsliga personuppgifter. När det gäller precisionsmedicin är det tydligt att känsliga personuppgifter behövs (se vidare avsnitt 14.3.3). För att be- handla dessa behövs således en analys göras av vilket tillämpligt undan- tag i artikel 9.2 i dataskyddsförordningen som är aktuellt och huruvida samtliga villkor, exempelvis krav på tystnadsplikt för de som behandlar uppgifterna (se artikel 9.3), är uppfyllda. En sådan analys måste således ta ställning till om bestämmelserna i förslaget till EHDS reglerar detta eller om det krävs kompletterande nationell lagstiftning för att uppnå förenlighet med dataskyddsförordningens krav. En ytterligare fråga är hur de enskildas rättigheter enligt PDL och dataskyddsförordningen ska tillgodoses för olika behandlingar som genomförs med stöd av bestämmelser i förlaget till EHDS. Dessa frågor behöver hanteras inom ramen för anpassningar av gällande nationell rätt inför ett ikraft- trädande. Utredningens förslag för ändamålet vården av en annan pati- ent än den personuppgifterna avser har beaktat dessa rättigheter i sina förslag och gjort förslag på ändringar där det utredningen ansett det motiverat.
Utredningen ser förslaget om precisionsmedicinska databaser på regional nivå som en grundläggande infrastruktur för att möjliggöra
414
SOU 2023:76 |
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
en vårdnära datadelning. Som en följd av EHDS skulle en nationell infrastruktur, exempelvis en federerad lösning, kunna byggas på, se vidare avsnitt 13.3.
13.8Behovet av en ny ändamålsbestämmelse
Bedömning: Vidareanvändning av personuppgifter för vården av en annan patient än den som uppgifterna avser omfattas inte av befintliga ändamålsbestämmelser i PDL och är inte heller möjlig med stöd av finalitetsprincipen.
Behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser, är en ny typ av personuppgiftsbehandling som inte har skett tidigare i vården. Eftersom det är fråga om en ny typ av personuppgiftsbehandling, uppstår frågan om det också finns behov av en ny ändamålsbestämmelse i PDL.
13.8.1Befintliga ändamålsbestämmelser i patientdatalagen
Vårddokumentation
Utredningen har övervägt om personuppgiftsbehandlingen för vården av en annan patient än den som uppgifterna avser, kan anses ingå i något av de ändamål som redan finns i PDL:s ändamålsbestäm- melse (se 2 kap. 4 § första stycket PDL). Det ändamål som skulle kunna vara aktuellt är ändamålet vårddokumentation (se 2 kap. 4 § första stycket 1 och 2 PDL).5
I första och andra punkten i PDL:s ändamålsbestämning anges att personuppgifter får behandlas inom hälso- och sjukvården om det behövs för
1.att fullgöra de skyldigheter som anges i 3 kap. och upprätta annan dokumentation som behövs i och för vården av patienter (punkt 1).
2.administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall (punkt 2).
5Begreppet ”vårddokumentation” används i prop. 2007/08:126 (Patientdatalag m.m.) som benäm- ning av punkterna 1 och 2 (se exempelvis s. 57).
415
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
SOU 2023:76 |
Att ändamålen tas upp i två punkter och inte i en har ingen saklig betydelse. Båda punkterna tar sikte på den individinriktade patient- verksamheten. I förarbetena anges att det enbart är av språkliga skäl som uppdelningen i två punkter har gjorts (prop. 2007/08:126 s. 228).
Ryms ändamålet vården av en annan patient än den som uppgifterna avser under vårddokumentation?
Utredningen har först och främst analyserat punkternas ordalydelse. Den första punkten handlar i dess första led om ”att fullgöra de skyl- digheter som anges i 3 kap.”. I 3 kap. PDL finns bestämmelser om skyldigheten att föra patientjournal. Vidare handlar punkten i dess andra led om att ”upprätta annan dokumentation som behövs i och för vården av patienter”. Detta uppfattar utredningen avser insamling och registrering av annan information än den som behövs för patient- journalföringen.
När personuppgifter om en patient ska användas för vården av en annan patient, handlar det enligt utredningen inte om att fullgöra jour- nalföringsplikt eller att annan information ”upprättas”. Det är i stället uteslutande fråga om en vidareanvändning av redan insamlade och registrerade uppgifter om en patient. Denna insamling och registrering har skett hos en vårdgivare för ändamålet vårddokumentation. Vidare- användningen består i att dessa uppgifter används inom ramen för vården av en annan patient. Mot denna bakgrund anser utredningen att behandling av personuppgifter för vård av annan än den som upp- gifterna avser inte utifrån en ordalydelsetolkning kan anses ingå i 2 kap. 4 första stycket 1 PDL.
Den andra punkten handlar om ”administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars för- anleds av vård i enskilda fall”. Ordalydelsen i denna punkt är något mer svårtolkad i förhållande till vidareanvändning av befintliga upp- gifter om en patient för vården av en annan patient. Ordet ”admi- nistration” kan dock enligt utredningens mening knappast anses omfatta den medicinska användning som är aktuell avseende de personupp- gifter som vidareanvänds för vård av annan patient.
Utredningen har också funderat över om andra bestämmelser i PDL kan ge någon ledning i om vidareanvändning av personuppgifter för vård av annan patient än uppgifterna avser, kan anses ingå i ända- målet vårddokumentation. I sammanhanget kan 3 kap. 2 § PDL där
416
SOU 2023:76 |
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
det anges vad syftet med en patientjournal är, vara av intresse. Syftet med att föra en patientjournal är i första hand att bidra till en god och säker vård av patienten (första stycket). Vidare är en patient- journal även en informationskälla för patienten, uppföljning och ut- veckling av verksamheten, tillsyn och rättsliga krav, uppgiftsskyldig- het enligt lag samt forskning (andra stycket). Utredningen uppfattar när patienten nämns i detta sammanhang att det är patienten själv som avses, och inte någon annan patient. Formuleringarna kan därför enligt utredningens mening inte ge stöd för eller öka klarheten i att ändamålet i punkten 1 skulle omfatta även behandling av personupp- gifter för vård av annan patient än den som uppgifterna avser.
Ett annat angreppssätt är att se på vad lagstiftaren har menat ska ingå i punkterna (ändamålstolkning).
I samband med att PDL infördes ansågs det av principiella skäl vik- tigt att uttryckligen och så uttömmande som möjligt reglera för vilka ändamål personuppgifter får behandlas i PDL. Syftet med ändamåls- bestämningen i PDL är att ange en yttersta ram för när personuppgifter får samlas in och behandlas (prop. 2007/08:126 s. 56). Utgångspunkten är att endast sådan personuppgiftsbehandling som inryms i något eller några av de uppräknade ändamålen får äga rum (se dock 2 kap. 5 §) (prop. 2007/08:126 s. 227).
När det gäller punkterna vårddokumentation är förarbetena spar- smakade i förklaringen av vad som ingår. Klart är att patientjournal- föring omfattas. När det gäller vad som övrigt omfattas uttrycks att sådan dokumentation som faller vid sidan av skyldigheten att föra jour- nal bör omfattas av ett ändamål som rör den individinriktade patient- verksamheten alldeles oavsett dess formella status. Av den anledningen avses med ändamålen i punkterna 1 och 2 inte bara själva insamlingen och registreringen av personuppgifterna utan även den senare använd- ning av de registrerade uppgifterna i den omfattning som behövs i patientvården eller patientadministrationen (prop. 2007/08:126 s. 57). Detta uttalande skulle kunna tala för att även en vidareanvändning av befintliga uppgifter om en patient för vården av en annan patient skulle kunna omfattas av vårddokumentationsändamålet. Uttalandet ger också uttryck för att punkterna
417
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
SOU 2023:76 |
I förarbetena uttalas också att både första och andra punkten tar sikte på den individinriktade patientverksamheten (prop. 2007/08:126 s. 228). Frågan som inställer sig här är om lagstiftaren sett något annat framför sig än behandling av personuppgifter för vården av samma patient. Inget i förarbetena ger uttryck för att lagstiftaren har avsett något annat än att personuppgifterna skulle användas för vården av samma patient. Situationen att vårdgivarna skulle ha behov av att an- vända uppgifter om en patient för vården av en annan patient, på det sätt som precisionsmedicinen förutsätter, var inte heller något som fanns på den tiden som förarbetena till PDL skrevs. Det behov som utredningen har i uppdrag att se över regleringen av har uppstått på senare tid och är enligt utredningens mening ingenting som lagstiftaren har förutsett eller kunnat förutse vid tidpunkten för införandet av PDL.
Det är utredningens sammantagna bedömning att den behandling av personuppgifter, en form av vidareanvändning, för vård av annan patient än den som uppgifterna avser, inte kan anses rymmas inom PDL:s nuvarande ändamålsbestämmelser.
Omformulering eller tolkning av ändamålet vårddokumentation
Utredningen har gjort bedömningen att det inte är lämpligt att lämna förslag på en generell omformulering av 2 kap. 4 § första stycket
En möjlig form av tillägg skulle kunna vara att i förarbeten skriva att bestämmelsen ska tolkas som ett mer generellt vårdändamål som också omfattar behandling av personuppgifter för vård av annan än den som uppgifterna avser. Mot bakgrund av den analys som utred- ningen presenterat ovan anser dock utredningen att detta skulle komma för långt ifrån bestämmelsens ordalydelse. Det skulle också enligt ut- redningen inte vara tillräckligt tydligt för de som har att tillämpa ända- målen.
Utredningen gör som sagt bedömningen att den behandling av per- sonuppgifter för vård av annan än den som uppgifterna avser, inte kan anses rymmas inom PDL:s nuvarande ändamålsbestämmelser i 2 kap. 4 § PDL. Om man kommer till annan slutsats, det vill säga att per-
418
SOU 2023:76 |
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
sonuppgiftsbehandlingen ryms under PDL:s ändamålsbestämmelser, skulle en del av personuppgiftsbehandlingen som krävs kunna stödjas av 2 kap. 5 § PDL. I den bestämmelsen anges att personuppgifter som behandlas för ändamålen i 2 kap. 4 § PDL också får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Ett sådant uppgiftsutlämnande skulle i sådana fall kunna vara till en precisionsmedicinsk databas. Eftersom utredningen kommer till annan slutsats, utreds inte detta vidare.
13.8.2Finalitetsprincipen
En annan variant än att tolka in behandling av personuppgifter för vård av annan patient än den som personuppgifterna avser i någon av ändamålsbestämmelserna i PDL, är att anse att det är en tillåten be- handling enligt finalitetsprincipen.
Dataskyddsförordningen och PDL
Finalitetsprincipen följer av artikel 5.1 b i EU:s dataskyddsförordning och innebär att personuppgifter som har samlats för att behandlas för särskilda, uttryckligt angivna och berättigade ändamål inte får be- handlas även för andra, nya ändamål, om dessa är oförenliga med de ursprungliga ändamålen.
En motsvarighet till finalitetsprincipen finns i 2 kap. 5 § PDL. Där klargörs att personuppgifter som behandlas enligt 2 kap. 4 § PDL även får behandlas för andra ändamål, under förutsättning att upp- gifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Utredningen har noterat att PDL:s bestämmelse om finalitets- principen är annorlunda formulerad än bestämmelsen i dataskydds- förordningen. I 2 kap. 5 § PDL uttrycks att personuppgifter ”får även behandlas för andra ändamål under förutsättningar att […], det vill säga bestämmelsen talar om när en vårdgivare får göra något. I arti- kel 5. b dataskyddsförordningen uttrycks att personuppgifter efter insamlandet inte får behandlas på ett sätt som är oförenligt med de ursprungliga ändamålen. Här talar bestämmelsen i stället om vad man inte får göra. Utredningen förstår dock inte det som att skillnaden i formuleringarna har tänkt att ha någon praktisk betydelse. 2 kap. 5 §
419
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
SOU 2023:76 |
PDL har nämligen en koppling till dataskyddsförordningen. Innan dataskyddsförordningens ikraftträdande fanns i PDL en hänvisning till den tidigare gällande personuppgiftslagen (1998:204) där det fram- gick att personuppgifter inte fick behandlas för något ändamål som var oförenligt med det ändamål för vilket de samlades in (9 § första stycket d personuppgiftslagen). Bestämmelsen behövde anpassas i och med dataskyddsförordningens ikraftträdande och personuppgifts- lagens upphörande. För att undvika oklarheter om artikel 5.1 b i EU:s dataskyddsförordning ska tillämpas eller inte ansåg regeringen att det av tydlighetsskäl fanns anledning att behålla någon form av hänvis- ning till finalitetsprincipen i registerförfattningar. Det ansågs dock inte finnas skäl att ange vilken artikel i dataskyddsförordningen som förtydligas i registerförfattningarna (prop. 2017/18:171 s.
I skäl 50 dataskyddsförordningen anges att när behandling av per- sonuppgifter för andra ändamål än för vilka de ursprungligen samlades in är förenligt med det ursprungliga ändamålet krävs det inte någon annan separat rättslig grund för den ytterligare behandlingen.
I dag har personuppgiftsbehandling inom
Utredningens bedömning av finalitetsprincipen
Att behandla personuppgifter för vård av annan än den som uppgifterna avser innebär i praktiken att personuppgifter som har samlats in och behandlas med stöd av ändamålet vårddokumentation (2 kap. 4 § första stycket
420
SOU 2023:76 |
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
som anses oförenligt eller inte med det ursprungliga ändamålet anges det i artikel 6.4 i dataskyddsförordningen vissa kriterier som den per- sonuppgiftsansvarige ska beakta. Vidare kan viss vägledning hämtas från skäl 50 i datasskyddsförordningen.
Av artikel 6.4
–kopplingarna mellan de ändamål för vilka personuppgifterna samlats in och ändamålen med den avsedda ytterligare behandlingen,
–det sammanhang inom vilket personuppgifterna samlats in, särskilt förhållandet mellan de registrerade och den personuppgiftsansva- rige,
–personuppgifternas art, särskilt huruvida särskilda kategorier av personuppgifter behandlas i enlighet med artikel 9,
–konsekvenserna för registrerade av den planerade fortsatta behand- lingen, samt
–förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryp- tering eller pseudonymisering.
Avseende kopplingen mellan ändamålet vård av annan patient än den som uppgifterna avser så är det övergripande syftet att ge vård, vilket också är fallet för det ändamål för vilka personuppgifterna ursprung- ligen samlades in (även om det gäller en annan patient). Detta skulle kunna tala för att det på ett generellt plan finns en stark koppling mellan de olika ändamålen. Ur en personuppgiftsansvarig vårdgivares perspektiv, kanske det rent utav kan ses som samma ändamål, trots att behandlingen av personuppgifter rör helt olika personer utan vet- skap om varandra. Utredningen delar den uppfattning som Socialdata- utredningen uttalade om att det yttersta syftet med personuppgifts- behandling enligt PDL är att ge god vård (SOU 2017:66 s. 327).
I en mer specifik situation där personuppgifter samlas in och doku- menteras för att exempelvis uppfylla dokumentationskrav i enlighet med 3 kap. PDL eller interna rutiner avseende en viss patient kan dock kopplingen mellan de olika ändamålen inte anses vara särskilt stark.
Enligt utredningens mening måste även vad en patient rimligen för- väntar sig vägas in i hur stark denna koppling egentligen är (se skäl 50 dataskyddsförordningen). I ett äldre beslut från Integritetsskydds- myndigheten, ska denna hypotetiska bedömning göras utifrån vad en
421
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
SOU 2023:76 |
patient typiskt sett skulle förvänta sig, inte en patient i ett specifikt fall (jämför
Utredningen är av uppfattningen att en patient typiskt sett inte förväntar sig att hens personuppgifter som samlas in från läkare och annan vårdpersonal inom ramen för vården hen får, kommer att an- vändas för vården av någon annan. Till viss del kan detta anses bero på att precisionsmedicin fortfarande är något relativt nytt. Oaktat detta bör det vägledande vara hur en typisk patient förväntar sig att hens personuppgifter hanteras inom vården. Till detta bör även hållas i åtanke att personuppgifterna som samlas in i en vårdsituation sker i ett sammanhang där man som patient kanske ofta befinner sig i ett utsatt läge och är i ett starkt beroendeförhållande till den person- uppgiftsansvarige (jämför artikel 6.4 b). De personuppgifter som om- fattas av utredningens förslag och som också behövs för att kunna implementera precisionsmedicin utgörs nästan uteslutande av så kallade känsliga personuppgifter enligt artikel 9 (jämför artikel 6.4 c). Samtliga av dessa omständigheter talar emot att behandlingen för ändamålet vård av annan än personuppgifterna avser kan anses förenligt med det ursprungliga ändamålet.
I utredningens förslag finns det förvisso bestämmelser om pseudo- nymisering eller annat likvärdigt skydd (se avsnitt 14.6.4 och 14.9.3) Även om detta utgör en skyddsåtgärd ämnad att begränsa effekten av intrånget i den personliga integriteten, utgör det inte enligt utred- ningen ett sådant starkt skydd att behandling för ändamålet vård av annan än den personuppgifterna avses ska anses förenligt med det ursprungliga ändamålet (jämför artikel 6.4 e).
Om behandlingen är nödvändig för att fullgöra en uppgift av all- mänt intresse eller som ett led i myndighetsutövning som den person- uppgiftsansvarige har fått i uppgift att utföra, kan unionsrätten eller medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig (artikel 6.3). Som angetts i avsnitt 13.8.1 (Befintliga ända- målsbestämmelser i PDL), anser inte utredningen att den befintliga ändamålsbestämmelsen, efter en tolkning av ordalydelsen och dess ändamål, kan anses utgöra ett stöd för att behandling av personupp- gifter för vård av annan än den personuppgifterna avser är tillåtet. Detta särskilt med hänsyn till uttalanden i förarbetena till PDL om att ändamålsbestämmelsen ska vara en yttersta ram för när person- uppgifter får samlas in och behandlas, samt att utgångspunkten är
422
SOU 2023:76 |
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
att endast sådan personuppgiftsbehandling som inryms i något eller några av de uppräknade ändamålen får äga rum (prop. 2007/08:126 s. 56 och s. 227). Det finns enligt utredningen inte utrymme för en sådan extensiv tolkning av finalitetsprincipen.
Utredningens slutsats är på grund av det ovan anförda att behand- ling av personuppgifter för vård av annan än den som personuppgif- terna avser inte kan anses som en tillåten behandling enligt finalitets- principen.
13.8.3Samtycke enligt 2 kap. 3 § patientdatalagen
En ytterligare variant för att möjliggöra behandling av personupp- gifter för vård av annan än den som personuppgifterna avser, är att titta på möjligheten att använda patienters samtycke i 2 kap. 3 § PDL.
Bestämmelsen anger att behandling av personuppgifter som inte är tillåten enligt PDL ändå får ske, om den enskilde lämnat ett uttryck- ligt samtycke till behandlingen (2 kap. 3 § PDL). Det gäller dock inte om något annat framgår av annan lag eller förordning.
I förarbetena till PDL anfördes att paragrafen kan sägas ge uttryck för principen att en enskilds uttryckliga samtycke till en viss person- uppgiftsbehandling normalt ska respekteras (prop. 2007/08:126 s. 277).
I sammanhanget är det relevant att reflektera över hur bestämmelsen förhåller sig till dataskyddsförordningen. I skäl 43 anges följande:
För att säkerställa att samtycket lämnas frivilligt bör det inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personupp- giftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar.
För offentliga vårdgivare finns det alltså särskild anledning att fun- dera över om det råder sådan betydande ojämlikhet mellan den regi- strerade och den personuppgiftsansvarige myndigheten som nämns i skäl 43 i dataskyddsförordningen, att samtycket inte bör utgöra rätts- lig grund för behandling av personuppgifter.
Inför ikraftträdande av dataskyddsförordningen bedömdes att be- stämmelsen kunde behållas (prop. 2017/18:171, s.
423
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
SOU 2023:76 |
samtycke som rättslig grund för behandling av personuppgifter måste analyseras noggrant, dels utifrån om samtycke överhuvudtaget kan användas med hänsyn till den situation i vilken den registrerade be- finner sig i förhållande till den personuppgiftsansvarige, dels utifrån att dataskyddsförordningen inte ger stöd till medlemsstaterna att införa nationella bestämmelser om samtycke som rättslig grund. Regeringen ansåg dock, med hänvisning till artikel 6.1 a och 9.2 a samt skäl 8 i dataskyddsförordningen, att bestämmelsen i 2 kap. 3 § PDL kunde behållas (prop. 2017/18:171, s.
Enligt utredningens uppfattning har möjligheten att använda sam- tycke i 2 kap. 3 § PDL begränsad tillämplighet i praktiken, särskilt när det gäller regionala myndigheter. I många fall borde det anses råda ojämlikhet mellan regionen och enskilda patienter så som be- skrivs i skäl 43 dataskyddsförordningen. Utredningen anser därför att det inte är möjligt att grunda en behandling av personuppgifter för vård av annan än den personuppgifterna avser på samtycke enligt 2 kap. 3 § PDL. Samtycke är enligt utredningens uppfattning inte heller ett praktiskt lämpligt alternativ (se mer om detta i avsnitt 14.10 (Betydel- sen av den enskildes inställning till personuppgiftsbehandlingen).
13.8.4Närmre om uppdelningen i primära och sekundära
ändamål och EHDS förslag rörande ”personlig hälso- och sjukvård”
Vid PDL:s införande ansågs det olämpligt att dela in ändamålen i lagen i primära och sekundära ändamål. Detta motiverades bland annat med att både primära och sekundära ändamål handlar om personuppgifts- behandlingar som, mer eller mindre integrerat, normalt äger rum i varje vårdgivares egen verksamhet (prop. 2007/08:126 s. 56). PDL om- fattar alltså både insamling och registrering av uppgifter samt den vidareanvändning som sker för de ändamål som räknas upp; detta utan att det görs någon formell skillnad mellan vad som är (ny)insamling eller vidareanvändning.
I detta sammanhang bör förslaget till EHDS lyftas. Utredningen har kortfattat redogjort för förslaget i avsnitt 4.2.8. I förslaget till
424
SOU 2023:76 |
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
EHDS finns indelningen mellan primär och sekundär användning. I artikel 34, som handlar om ändamål för vilka
Även om PDL inte gör skillnad mellan primära och sekundära ända- mål, och vidareanvändning för vården av en annan patient än den som personuppgifterna avses skulle kunna argumenteras för kan tolkas in i existerande ändamål i 2 kap. 4 § PDL, eller anses vara en behandling som inte är oförenlig med det ändamål för vilket uppgifterna samlades in, anser utredningen ändå att det finns en poäng i att särskilt synlig- göra denna personuppgiftsbehandling i lagstiftningen. Det är fråga om en helt ny typ av personuppgiftsbehandling där en persons uppgifter används i vården av någon annan. En sådan ny typ av personuppgifts- behandling anser utredningen ska framgå tydligt att den är tillåten.
13.8.5Sammanvägd bedömning
Enligt utredningen är det viktigt i integritetshänseende att PDL:s ända- målsreglering är tydlig. Är det inte tydligt vad som ingår eller får göras enligt PDL:s ändamål är det inte förutsägbart för den enskilde, eller för de personuppgiftsansvariga inom vården, vad som får göras med den enskildes personuppgifter. Detta blir särskilt relevant eftersom personuppgiftsbehandlingen kommer inkludera känsliga personupp- gifter (uppgifter om hälsa). Det finns då enligt utredningen starka skäl som talar för att man redan utifrån ordalydelsen i PDL ska kunna förstå att personuppgifter om en patient får användas i vården av en annan patient. Utredningen tycker att detta talar för att det bör tas in ett nytt ändamål som ger ett tydligt stöd för vårdgivare att behandla personuppgifter om en patient för vården av en annan patient. Ett sådant resonemang ligger också väl i linje med tidigare uttalanden från regeringen dels avseende att 2 kap. 4 § PDL ska anses utgöra en uttömmande reglering av för vilka ändamål som personuppgifter inom
425
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
SOU 2023:76 |
PDL:s tillämpningsområde får behandlas för, dels att desto mer känn- bart intrång i någons integritet som föranleds av en uppgift av allmänt intresse desto tydligare bör den rättsliga grunden vara (se prop. 2007/ 08:126 s. 56 och prop. 2017/18:105 s. 51).
Utredningen anser sammantaget att det därmed finns starka skäl att införa ett tydligt och ändamålsenligt stöd i PDL för behandling av personuppgifter för vården av en annan patient än den som per- sonuppgifterna avser.
13.9Behovet av nya befogenhetsbestämmelser
Bedömning: Enligt 4 kap. 1 § PDL får den som arbetar hos en vårdgivare ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården. Utredningen gör bedömningen att bestämmelsen inte ger stöd för att den som arbetar inom hälso- och sjukvården kan del av uppgifter om en patient för ändamålet vården av en annan patient än den som uppgifterna avser.
En fråga som uppkommer är om befintlig bestämmelse om befogen- het att inom den inre sekretessen ta del av uppgifter om patienter i 4 kap. 1 § PDL ger stöd för att den som arbetar inom hälso- och sjuk- vården tar del av sådana uppgifter även för ändamålet vården av en annan patient än den som uppgifterna avser. Begreppen behörighet, befogenhet och inre sekretess återkommer avseende vårdändamålet i kapitel 13 och 14. Behörighet för åtkomst avser en användares faktiska möjligheter att ta del av uppgifter i exempelvis vårdgivarens journal- system. Behörighet kan förenklat uttryckas vad en person kan göra. Med befogenhet avses vad en person får göra. Även om vårdpersonal rent praktiskt kan logga in i ett journalsystem har den inte rätt att läsa journaler fritt. Inre sekretess är en typ av befogenhetsbestämmelse och uttrycker därmed vad vårdpersonalen faktiskt får göra. I 4 kap. 1 § PDL uttrycks det genom att den som arbetar hos en vårdgivare endast får ta del av dokumenterade uppgifter om en patient om han eller hon deltar i vården av patienten eller av annat skäl behöver upp- gifterna för sitt arbete inom hälso- och sjukvården.
426
SOU 2023:76 |
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
Ger 4 kap. 1 § PDL stöd för att ta del av personuppgifter för vården av en annan patient än den som uppgifterna avser?
Enligt 4 kap. 1 § gäller att den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.
Uttalandena i förarbetena till PDL är generellt sett sparsmakade vad gäller kommentarer till bestämmelsen. Förarbetena till PDL ger inte någon mer utförlig ledning till hur ”deltar i vården” eller ”annat skäl” i 4 kap. 1 § ska tolkas eller hur dessa formuleringar förhåller sig till ändamålsbestämmelsen i PDL (jämför prop. 2007/08:126 s. 238).
Deltar i vården
Ordalydelsen i led ett av bestämmelsen, ”får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten”, tyder enligt utredningens mening på att det är samma patient som avses. Det praktiska situation inom hälso- och sjukvården där detta tillämpas är också såvitt utredningen erfarit att personalen deltar i vården av den patient, vars uppgifter man då får ta del av i den utsträckning som det behövs för att ge patienten en god och säker vård.
Vid behandling av personuppgifter för vård av en annan patient än den som uppgifterna avser blir situationen en annan. För det första är det inte alltid så att samma personal deltar i vården av de patienter vars uppgifter ska användas för vården av en annan patient. För det andra är det enligt utredningens mening oklart om formuleringen i 4 kap. 1 § PDL kan anses omfatta att personal, även om de skulle ”delta i vården” av alla inblandade patienter, får ta del av uppgifter om vissa patienter i syfte att vårda en annan patient. Formuleringen ”… dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten” [utredningens kursivering] talar enligt ut- redningens mening emot att så skulle vara fallet.
Utredningens bedömning är att första ledet i 4 kap. 1 § PDL inte ger stöd för att personal får ta del av dokumenterade personupp- gifter för vården av en annan patient än den som uppgifterna avser.
427
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
SOU 2023:76 |
Av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården
Frågan är då om vad som menas med ”annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården”. Utredningen konsta- terar att förarbetena inte ger någon konkret vägledning. Utredningen har gjort en tolkning utifrån bestämmelsens ordalydelse och syste- matiken i PDL.
Läser man formuleringen ”annat skäl” mot ”deltar i vården” an- tyder det enligt utredningens mening att det som avser är annat skäl än att man deltar i vården av en patient. Utifrån detta skulle annat skäl inte kunna vara att man deltar i vården av en annan patient än den som uppgifterna avser.
Utredningen har övervägt om ytterligare ledning i tolkningen av ”annat skäl” kan hämtas ur en systematisk tolkning av PDL, där 4 kap. 1 § PDL läses mot 2 kap. 4 § första stycket PDL. I förarbetena för- klaras inte hur bestämmelsen i 4 kap. 1 § PDL kopplat till ändamåls- bestämmelsen i 2 kap. 4 § första stycket samma lag. Enligt utredningens mening är det dock ur systematisk synvinkel logiskt att tänka sig att första ledet i 4 kap. 1 § PDL, ”deltar i vården”, kopplar till 4 kap. 2 § första stycket
Läst mot ändamålsbestämmelsen i 2 kap. 4 § PDL är det vidare logiskt att ”annat skäl” avser arbetsuppgifter som innefattar behandling av personuppgifter enligt första stycket
Sammantaget gör utredningen bedömningen att grunden ”annat skäl” för att ta del av dokumenterade personuppgifter inte ger stöd för att den som arbetar hos en vårdgivare får ta del av sådana upp- gifter för vården av en annan patient än den som uppgifterna avser.
428
SOU 2023:76 |
Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning |
Utredningens sammantagna tolkning av bestämmelsen i 4 kap. 1 § PDL är att den inte ger stöd för att den som arbetar hos en vårdgivare tar del av personuppgifter om en patient i syfte att använda de upp- gifterna för vården av en annan patient. I vart fall är det inte tydligt att så är fallet. Det bör enligt utredningens mening finnas ett tydligt rättsligt stöd för den som arbetar i vården att ta del av uppgifter om patienten för ändamålet vården av en annan patient än den som upp- gifterna avser. Utredningens förslag avseende bestämmelser om befo- genhet för personal att ta de av dokumenterade uppgifter om en pati- ent finns avsnitt 14.6.6, 14.7.5, och 14.8.5 och 14.9.5.
429
14Nya regler om vidareanvändning av personuppgifter för vårdändamål
14.1Inledning
I avsnitt 2.3, finns en beskrivning av hur utredningen övergripande ser på uppdraget enligt direktiven att skapa förutsättningar för vidare- användning av personuppgifter för patientändamål. Utredningen tolkar uppdraget som att det avser vidareanvändning för vårdändamål. Utred- ningen uttrycker det specifika ändamålet som behandling av person- uppgifter för vården av en annan patient än den som uppgifterna avser.
Av problemanalysen, kapitel 12, framgår att det finns juridiska hinder som gör att personuppgifter i dag inte kan behandlas för vården av en annan patient än den som personuppgifterna avser. Utredning anser att det behövs nya regler som ger ett rättsligt stöd för vidare- användning av personuppgifter om patienter för vården av en annan patient. Utredningens bedömning är att det ska bland annat bli tillåtet med behandling av personuppgifter i en avgränsad uppgiftsmängd som utredningen kallar precisionsmedicinsk databas, för vården av en annan patient än den som uppgifterna avser.
Behovet av personuppgiftsbehandling för vården av en annan pati- ent än den som uppgifterna avser finns inom den så kallade preci- sionsmedicinen. Vad precisionsmedicin är beskrivs i avsnitt 11.4.1.
I kapitel 13 finns utredningens överväganden kring utgångspunkter och inriktning för reglering av vidareanvändning för vårdändamål. Där framgår att reglerna ska vara frivilliga att använda. Utredningen gör bedömningen att utgångspunkten är en reglering i lag och att reglerna ska placeras i patientdatalagen (2008:355), förkortad PDL. Vidare anser utredningen att vissa kompletterande regler ska finnas i en ny förordning som ansluter till föreslagna regler i PDL.
431
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
I avsnitt 13.8 kommer utredningen fram till att det saknas stöd i PDL för behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser. Utredningens förslag om ett nytt ända- mål i PDL samt frågor kopplade till detta finns i avsnitt 14.4.
Den övergripande modellen som utredningen föreslår presenteras i avsnitt 13.4. Modellen återkommer i mer juridisk tappning i av- snitt 14.4.5. Utredningens detaljerade överväganden och förslag kopp- lade till modellen finns i avsnitt
I kapitel 13 har övergripande redogjorts för databas som nav för behandlingen av personuppgifter presenterats, se avsnitt 13.3. I av- snitt 14.2 finns utredningens överväganden och förslag om precisions- medicinsk databas.
För att utredningens förslag på nya regler kring vidareanvändning ska kunna tillämpas, behöver ändringar ske i offentlighets- och sekretess- lagen (2009:400), förkortad OSL. Utredningen föreslår en sekretess- brytande grund och en regel om absolut sekretess, se avsnitt
14.2Precisionsmedicinsk databas
Förslag: Det ska införas bestämmelser som tillåter behandling av personuppgifter i precisionsmedicinsk databas för ändamålet vården av en annan patient än den som uppgifterna avser.
Med precisionsmedicinsk databas avses en samling av person- uppgifter som inrättas särskilt för ändamålet vården av en annan patient än den som uppgifterna avser. En precisionsmedicinsk data- bas syftar till att skapa underlag för vården av en annan patient än den som uppgifterna avser.
Av avsnitt 13.3 framgår att nya uppgiftssamlingar i form av databaser ska vara navet för behandling av personuppgifter för vården av annan patient än den som uppgifterna avser. För en sådan samling av upp- gifter har utredningen valt att använda begreppet ”precisionsmedicinsk databas”. Vad som menas med databas redogörs för i avsnitt 13.3.4.
Det som gör att en databas är att anse som en precisionsmedi- cinsk databas är att de uppgifter som samlas i databasen finns där för ändamålet vården av en annan patient än den som uppgifterna avser. Uppgifter i en precisionsmedicinsk databas får inte behandlas för några andra ändamål, se avsnitt 14.4.3.
432
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
För att uppnå det juridiskt relevanta att avgränsa en informations- mängd som bara får användas för ändamålet vården av en annan pati- ent än den som uppgifterna avser kan olika tekniska lösningar använ- das, se avsnitt 13.3.5. Det avgörande är inte vilken teknisk lösning som används, utan att reglerna om ändamål med mera följs.
14.2.1Syftet med en precisionsmedicinsk databas
Syftet med en precisionsmedicinsk databas ska vara att skapa underlag för vården av en annan patient än den som uppgifterna avser. Bety- delsen av vård framgår av avsnitt 14.4.1. En sådan databas ska skapa för- utsättningar för behörig vårdpersonal i den regionala specialiserade sjukvården att söka i en relevant uppgiftssamling för att hitta infor- mation som kan vara av betydelse för vård av patienter. Hur sök- processen rent praktiskt är tänkt att gå till beskrivs i ett antal steg i avsnitt 13.2.4.
Syftet med databasen är viktigt i relation till bestämmelserna om urval och tillgängliggörande till precisionsmedicinsk databas. Syftet med databasen begränsar vilka uppgifter som det finns behov av att tillgängliggöra, se avsnitt 14.6.2.
En precisionsmedicinsk databas får endast användas för vårdändamål. Syftet får inte vara andra ändamål, till exempel forskning. Anled- ningen till att en precisionsmedicinsk databas inte får användas för ändamålet forskning beror på att utredningen ser en risk med att det indirekt skulle kunna utgöra en forskningsdatabas. Utredningen före- slår att finalitetsprincipen inte ska gälla för personuppgifter i en pre- cisionsmedicinsk databas, se avsnitt 14.4.3.
433
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
14.3Rättslig grund och stöd för behandling av känsliga personuppgifter
Bedömning: Den rättsliga grunden i EU:s dataskyddsförordning för behandlingen av personuppgifter för vården av en annan pati- ent än den som uppgifterna avser är att behandlingen är nöd- vändig för att fullgöra en arbetsuppgift av allmänt intresse enligt artikel 6.1 e. Bestämmelser i hälso- och sjukvårdslagen (2017:30) tillsammans med utredningens förslagna bestämmelser i 6 kap. PDL medför att det allmänna intresset är fastställt i nationell rätt.
För att en personuppgiftsbehandling ska vara laglig krävs det att den har en rättslig grund i enlighet med artikel 6.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), förkortad data- skyddsförordningen. Som redogörs för i avsnitt 14.3.1 och 14.3.2 anser utredningen att den rättsliga grunden i enlighet med artikel 6.1 data- skyddsförordningen utgörs av uppgift av allmänt intresse. Uppgiften av allmänt intresse regleras i detta fall av nationell rätt. I enlighet med artikel 6.3 dataskyddsförordningen kommer den rättsliga grunden i aktuellt fall bestå av både existerande lagar och av utredningens för- slagna bestämmelser i PDL.
En förutsättning för att införa bestämmelser som ger möjlighet att behandla personuppgifter genom precisionsmedicinsk databas i syfte att vårda någon annan patient än den personuppgifterna avser, är att det är förenligt med dataskyddsförordningen.
Som redogjorts för i kapitel 7 är inte samtycke en lämplig grund när det råder betydande ojämlikhet mellan parterna (se även skäl 42 och 43 i dataskyddsförordningen). Eftersom ändamålet är vård anser utredningen att det främst är alternativen uppgift av allmänt intresse eller rättslig förpliktelse som kan aktualiseras som rättslig grund en- ligt artikel 6 dataskyddsförordningen.
434
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
14.3.1Om den rättsliga grunden uppgift av allmänt intresse och hälso- och sjukvård
En behandling av personuppgifter är laglig om den är nödvändig för att utföra en arbetsuppgift av allmänt intresse (artikel 6.1 e dataskydds- förordningen). Grunden för behandlingen ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den per- sonuppgiftsansvarige omfattas av.
Av skäl 45 till dataskyddsförordningen framgår att hälso- och sjuk- vårdsändamål, såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårdstjänster inbegrips i allmänintresset. Vidare framgår att dataskyddsförordningen inte medför något krav på en särskild lag för varje enskild behandling. Det kan räcka med en lag som grund för flera behandlingar som bygger på ett allmänt intresse.
Den största delen av den behandling av personuppgifter som sker i enlighet med de ändamål som räknas upp i PDL avser dokumen- tation i en patientjournal och kan därmed anses ha stöd i artikel 6.1 c dataskyddsförordningen, rättslig förpliktelse (se prop. 2007/08:126 s. 34 och SOU 2017:66 s. 326). Utredningen är dock av uppfatt- ningen att de krav som finns på vårdgivare att bedriva en god vård i enlighet med 5 kap. 1 § hälso- och sjukvårdslagen (2017:30), förkortad HSL, ger stöd för bedömningen att det yttersta syftet med person- uppgiftsbehandling enligt PDL är just att kunna ge en god vård (jämför SOU 2017:66 s. 327). Bestämmelserna i HSL utgör oftast inte rättsliga förpliktelser i dataskyddsförordningens mening. Detta får anses följa av att syftet enligt artikel 6.3 andra stycket första meningen, ska fast- ställas i det rättsliga stöd som den rättsliga förpliktelsen vilar på (se även prop. 2017/18:105 s. 54).
Utredningens bedömning är att behandling av personuppgifter enligt PDL anses nödvändig för att kunna ge god vård och därmed utföra en arbetsuppgift av allmänt intresse i enlighet med artikel 6.1 e i dataskyddsförordningen. Socialdataskyddsutredningen uttalade att redan det förhållandet att det enligt lag är en rättslig skyldighet för det allmänna att bedriva hälso- och sjukvård, visar att det är en arbets- uppgift av allmänt intresse (jämför SOU 2017:66 s. 327).
Utredningen anser följaktligen att för uppgiften att tillhandahålla vård täcks av den rättsliga grunden uppgift av allmänt intresse i data- skyddsförordningen. Det finns flera bestämmelser i befintlig sektors- specifik lagstiftning som får anses uppnå kraven på en tillåten nationell
435
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
reglering enligt artikel 6.3 och kan anses fastställa grunden för den aktu- ella uppgiften av allmänt intresse – att ge vård.
Behandlingen är vidare nödvändig på det sätt som avses i dataskydds- förordningen, den utförligare bedömningen återfinns i avsnitt 13.2.1 och 13.3.1.
14.3.2Kraven på den rättsliga grunden
Som framgår av skäl 41 och artikel 6.3 i dataskyddsförordningen be- höver en rättslig grund vara tydlig och precis. Tillämpningen av den rättsliga grunden ska även vara förutsebar för personer som omfattas av den. Enligt artikel 6.3 står det även klart att den nationella rätt som ska utgöra rättslig grund för en personuppgiftsbehandling måste vara proportionerlig (se bland annat
I det aktuella sammanhanget rör det sig om uppgifter inom hälso- och sjukvården från patienter som kan befinna sig i ett utsatt läge och dessutom i en beroendesituation gentemot den personuppgifts- ansvariga. Utredningens bedömning är att den rättsliga grunden för den personuppgiftsbehandling som sker till följd av att precisions- medicinska databaser införs måste vara så precis och tydlig som möj- ligt (se prop. 2017/18:105 s. 51).
Från de registrerades perspektiv är förutsebarhet ett av de främsta skälen för ny reglering (för utförligare resonemang om detta se av- snitt 13.8.2). Vidare anser utredningen det befogat med särskilda skyddsåtgärder (de särskilda övervägandena för detta återfinns i av- snitt
436
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
sig vilka skyldigheter som följer av att de ska få behandla personupp- gifter som härstammar från en annan patient vid vården av en annan än den personuppgifterna avser.
Till följd av detta har utredningen ansett det befogat med en sär- skild bestämmelse om personuppgiftsansvar, se vidare under 14.5.2. Utredningen har även ansett det befogat med bestämmelser som reg- lerar urval och tillgängliggörande av personuppgifter till en precisions- medicins databas, se vidare under 14.6. Utredningen har vidare valt att införa begränsningar i vem som får föra en precisionsmedicinsk databas, se under 14.7.2 och 14.7.3. Utredningen har reglerat för vilka ändamål behandling av personuppgifter i en precisionsmedicinsk data- bas får ske och hur åtkomst till en precisionsmedicinsk databas får utformas, se vidare under 14.7.4 respektive 14.8. I ovan nämnda av- snitt redogörs de närmare överväganden som gör att utredningen anser att de föreslagna bestämmelserna utgör tillräckligt för att uppnå kraven på en laglig och rättvis behandling, samt uppnå ett mål av allmänt in- tresse och vara proportionerliga (se även avsnitt 14.15) i enlighet med artikel 6.3 dataskyddsförordningen.
14.3.3Rättsligt stöd för behandling av känsliga personuppgifter
Förslag: Det rättsliga stödet för behandling av känsliga person- uppgifter ska anges i en särskild bestämmelse i 6 kap. PDL.
Bedömning: Vårdgivare får behandla känsliga personuppgifter för vården av en annan patient än den som uppgifterna avser med stöd av artikel 9.2 h i EU:s dataskyddsförordning och enligt en särskild bestämmelse som införs i 6 kap. PDL.
Behandling av känsliga personuppgifter är enligt huvudregeln i arti- kel 9.1 förbjuden, men får enligt artikel 9.2 h i dataskyddsförord- ningen ske om den är nödvändig av skäl som hör samman med bland annat tillhandahållande av hälso- och sjukvård, behandling, social om- sorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och deras system.
Utredningens föreslagna bestämmelser är tänkta att placeras i ett eget kapitel i PDL. I 1 kap. 3 § PDL definieras vilken verksamhet som
437
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
avses med hälso- och sjukvård enligt PDL. Den verksamhet som om- fattas av de föreslagna bestämmelserna hör, enligt utredningens bedöm- ning, samman med medicinska diagnoser och utgör tillhandahållande av hälso- och sjukvård på det sätt som avses i artikel 9.2. h i dataskydds- förordningen.
I precisionsmedicinska databaser är det kategorierna uppgifter om hälsa och genetiska uppgifter, som ska få behandlas för vården av annan än den personuppgifterna avser och därmed omfattas av de föreslagna bestämmelserna.
Enligt utredningens bedömning gör inte artikel 9.2 h någon åtskill- nad på om de känsliga personuppgifterna som ska behandlas härstam- mar från en patient och sedan behandlas för vården av en annan patient. Det väsentliga är att personuppgifter omfattas av de skäl som anges i artikel 9.2 h och att förutsättningen i artikel 9.3 om tystnadsplikt är uppfyllt.1 Den nationella rätten som kommer att reglera behand- lingen återfinns i PDL och kravet på tystnadsplikt enligt artikel 9.3 i dataskyddsförordningen är uppfyllt eftersom sekretess gäller inom hälso- och sjukvården enligt 25 kap. OSL. Utredningen har även före- slagit en ytterligare sekretessbestämmelse för behandlingen av känsliga personuppgifter i en precisionsmedicinsk databas, se avsnitt 17.2. För personal inom privat hälso- och sjukvård finns bestämmelser om tyst- nadsplikt i 6 kap. patientsäkerhetslagen (2010:659), förkortad PSL.
Sammanfattningsvis gör utredningen bedömningen att behand- lingen av känsliga personuppgifter i enlighet med de föreslagna bestäm- melserna kan ske med stöd av artikel 9.2 h i dataskyddsförordningen.
Utredningens bedömning är att det bör finnas en särskild bestäm- melse som anger med stöd av vilket undantag i artikel 9.2 personupp- gifterna får behandlas. Utredningen föreslår därför en ny bestämmelse i kapitel 6 PDL som anger att känsliga personuppgifter får behandlas med stöd av artikel 9.2 h samt påminner om kravet på tystnadsplikt en- ligt artikel 9.3 dataskyddsförordningen (se även SOU 2017:66 s. 310).
1Jämför EDPB Document on response to the request from the European Commission for clarifications on the consistent application of the GDPR, focusing on health research, antaget den 2 februari 2021, s. 7 p. 22.
438
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
14.4Ett nytt ändamål för personuppgiftsbehandling för vården av en annan patient än den som personuppgifterna avser
14.4.1En ny ändamålsbestämmelse
Förslag: I PDL ska en ny ändamålsbestämmelse införas. Ändamålet ska avse behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser. I stället för vad som anges
i2 kap.
En ny ändamålsbestämmelse i PDL
Utredningen har i avsnitt 13.8 bedömt att behandling av personupp- gifter för vården av en annan patient än den som uppgifterna avser inte omfattas av befintliga ändamålsbestämmelser i 2 kap. 4 § PDL. Utredningen föreslår därför att det i PDL ska införas en ny ända- målsbestämmelse.
Hur ska det nya ändamålet formuleras?
Utredningen har övervägt olika sätt att formulera det nya ändamålet. I utredningens direktiv förekommer formuleringar som ”att skapa förutsättningar för sekundäranvändning av hälsodata för patientända- mål”, och ”personuppgifter eller andra data från flera individer ska kunna användas för vård och behandling av andra enskilda individer”. Ett sätt att formulera ändamålet är att konkret beskriva den behand- ling av personuppgifter som sker från en eller flera patienter till en annan. En sådan formulering skulle kunna vara ”behandling av person- uppgifter inom hälso- och sjukvården för vården av en annan patient
än den som uppgifterna avser”.
Ett annat sätt att formulera ändamålet är att tydligare synliggöra att det handlar om vidareanvändning i kliniskt syfte. Utifrån detta skulle ändamålet kunna formuleras ”klinisk vidareanvändning av per-
439
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
sonuppgifter inom hälso- och sjukvården” eller kort ”klinisk vidare- användning”.
Ett ytterligare alternativ är att hämta inspiration från förslaget till EHDS. Där formuleras ändamålet som ”tillhandahållande av person- lig hälso- och sjukvård som består i att bedöma, bibehålla eller återställa fysiska personers hälsotillstånd på grundval av andra fysiska perso- ners hälsodata” (se artikel 34.1.h i förslag till EHDS). Kort skulle det kunna formuleras som ”personlig hälso- och sjukvård”. Denna for- mulering har mer fokus på det medicinska syftet.
De ovan nämnda formuleringarna ”klinisk vidareanvändning av personuppgifter inom hälso- och sjukvården” och ”personlig hälso- och sjukvård” kräver enligt utredningens mening en förklarande for- mulering. Det är också så artikel 34.1.h i förslaget till EHDS är formulerad. Med ”klinisk vidareanvändning” eller ”personlig hälso- och sjukvård” skulle avses behandling av personuppgifter inom hälso- och sjukvården för vården av en annan patient än den som uppgifterna avser.
Utredningen anser att det är tydligast att direkt i lagen formulera den behandling av personuppgifter som faktiskt sker. Utredningen har därmed valt formuleringen behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser.
Betydelsen av ”vård”
Det nya ändamålet gäller personuppgiftsbehandling för vården av annan patient än den som personuppgifterna avser. Utredningens uppfatt- ning är att, innebörden av vad vård är, inte bör skilja sig från vad som gäller enligt PDL i dag.
I förarbetena till PDL anges att utgångspunkten ska vara att PDL koncentreras till att omfatta personuppgiftsbehandling i den indi- vidinriktade patientvården inom hälso- och sjukvården. Till denna kärnverksamhet hör åtgärder för att förebygga, utreda och behandla sjukdomar och skador hos enskilda. Vidare anges att PDL ska vara tillämplig för personuppgiftsbehandling i all individinriktad pati- entverksamhet som innefattar vård, undersökning eller behandling. Det betyder att även sådan individinriktad patientvård som inte inryms i begreppet hälso- och sjukvård enligt HSL omfattas av PDL (prop. 2007/08:126 s. 49).
440
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
Begreppet vård används i PDL:s ändamålskatalog i första och andra punkten (så kallad vårddokumentation). I första punkten anges att personuppgifter får behandlas inom hälso- och sjukvården om det be- hövs för att fullgöra de skyldigheter som anges i 3 kap. (förande av patientjournal) och upprätta annan dokumentation som behövs i och för vården av patienter. I andra punkten anges att personuppgifter får behandlas inom hälso- och sjukvården om det behövs för administra- tion som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall (2 kap. 4 § första stycket PDL).
Även för den ändamålsbestämmelse som utredningen föreslår, avses vård i samma avseende som begreppet används i PDL i övrigt. Skill- naden ligger i att personuppgifter från en patient kan användas i vården av en annan patient än den som personuppgifterna avser, och inte i vårdbegreppet som sådant.
Det nya ändamålet gäller i stället för 2 kap.
Utredningen gör bedömningen att befintliga ändamålsbestämmelser i PDL inte omfattar behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser, se avsnitt 13.8. Av tyd- lighetsskäl bör det uttryckligen framgå av ändamålsbestämmelsen i kapitel 6 att den bestämmelsen gäller i stället för ändamål enligt 2 kap.
441
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
14.4.2Vidareanvändning av personuppgifter som behandlas enligt 2 kap. 4 § första stycket 1 och 2 patientdatalagen
Förslag: Vidareanvändning för ändamålet behandling av person- uppgifter för vården av en annan patient än den som uppgifterna avser ska omfatta personuppgifter som vårdgivare behandlar enligt 2 kap. 4 § första stycket 1 och 2 PDL.
Bedömning: Behandling av personuppgifter som sker för vården av annan patient än den som uppgifterna avser innebär en vidare- användning av uppgifter som redan har samlats in av en vårdgivare inom hälso- och sjukvården.
Det nya ändamålet tar sikte på vidareanvändning av personuppgifter som samlats in och registrerats hos en vårdgivare. Den vidareanvänd- ningen bör kopplas till ett eller flera befintliga ändamål i PDL. Hur kopplingen utformas bör utgå från behovet av vidareanvändning. Det ska också utformas så att praktiska tillämpningssvårigheter inte upp- kommer.
De uppgifter som behövs vid vården av en annan patient än den som uppgifterna avser, utgörs av vissa typer av uppgifter som finns i patientjournalen. Utifrån detta bör en koppling finnas mellan möjlig- heten till vidareanvändning för det nya ändamålet och personuppgifter som vårdgivare behandlar enligt 2 kap. 4 § första stycket 1 PDL.
Det är enligt utredningens mening inte lika tydligt att behovet av vidareanvändning även omfattar personuppgiftsbehandling för admi- nistration enligt punkten 2 i 2 kap. 4 § första stycket PDL. Det behov som finns avser primärt rent medicinska uppgifter om patienten. Det kan dock inte uteslutas att någon uppgift som behöver tillgänglig- göras för ändamålet behandlas enligt punkten 2. Utredningen noterar också att punkterna 1 och 2 ofta omnämns tillsammans som vårddoku- mentation och att det sällan i praktiken finns anledning för vårdgivare att fundera över om en behandling av personuppgifter sker enligt första eller andra punkten i bestämmelsen. En sådan uppdelning skulle därför riskera att skapa tillämpningssvårigheter.
Ilag (2022:913) om sammanhållen vård- och omsorgsdokumen- tation, förkortad SVOD, som också avser vidareanvändning för vård- ändamål, är bestämmelserna utformade så att tillgängliggörande av
442
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
personuppgifter till andra vård- och omsorgsgivare får ske avseende personuppgifter som vårdgivare behandlar enligt båda punkterna.
Sammantaget gör utredningen bedömningen att vidareanvändning för vården av en annan patient än den som uppgifterna avser, bör om- fatta personuppgifter som vårdgivare behandlar enligt 2 kap. 4 § första stycket
Begreppet vidareanvändning används inte i lagtexten
Ovan har konstaterats att behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser, handlar om vidare- användning av personuppgifter som tidigare ha samlats in och regi- strerats hos vårdgivare.
Vidareanvändning av insamlade personuppgifter förekommer redan i dag i stor omfattning hos vårdgivare. Ovan har konstaterats att även senare användning av de registrerade uppgifterna omfattas av ända- målet vårddokumentation. Detta är enligt utredningens mening en form av vidareanvändning av personuppgifter. För exempelvis utveck- ling av verksamheten eller utförande av annan dokumentation som följer av lag, förordning eller annan författning också omfattande vidareanvändning av personuppgifter (benämnt ”återanvändning” i propositionen till PDL, se till exempel prop. 2007/08: 126, s.
IPDL görs dock ingen skillnad mellan primär- och sekundär- användning. Avseende de ändamål som finns i PDL i dag har tidigare gjorts bedömningen att de mer eller mindre integrerat ingår i en vård- givares verksamhet (prop. 2007/08:126 s. 45). Därav saknas anledning att göra en distinktion mellan insamling för ett visst ändamål och vidare användning för ett annat ändamål enligt 2 kap. 4 eller 5 §§ PDL. Det finns enligt utredningens uppfattning inga skäl för att se annor- lunda på det nya ändamål som utredningen föreslår. Behandling av per- sonuppgifter för vården av en annan patient än den som uppgifterna avser, kommer att utgöra en integrerad del i den vård som ges patien- ten. Sådan behandling av personuppgifter avser ett arbetssätt som ut- vecklas inom hälso- och sjukvården inom ramen för det som kallas precisionsmedicin, se vidare avsnitt 11.4.1. Precisionsmedicin är under utveckling och tillämpas i dag i störst utsträckning hos regioner med
443
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
universitetssjukvård. Där precisionsmedicinen tillämpas är den att be- trakta som en integrerad del i verksamheten. Utvecklingen går också mot att fler och fler vårdgivare och verksamheter arbetar på detta sätt. Ett hinder mot utvecklingen är att de rättsliga förutsättningarna inte har funnits.
Utifrån PDL:s systematik finner utredningen att det inte är lämpligt att i lagen formulera ändamålet som en vidareanvändning. Det är
istället bättre att mer konkret beskriva den personuppgiftsbehandling som sker, se vidare överväganden i avsnitt 14.4.5.
14.4.3Begränsning av finalitetsprincipen
Förslag: Personuppgifter som behandlas för ändamålet vården av en annan patient än den som uppgifterna avser får inte behandlas för några andra ändamål.
Finalitetsprincipen följer av artikel 5.1 b i EU:s dataskyddsförord- ning och innebär att personuppgifter som har samlats för att behandlas för särskilda, uttryckligt angivna och berättigade ändamål inte får be- handlas även för andra, nya ändamål, om dessa är oförenliga med de ursprungliga ändamålen.
En motsvarighet till finalitetsprincipen finns i 2 kap. 5 § PDL. Där klargörs att personuppgifter som behandlas enligt 2 kap. 4 § PDL även får behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Utredningen har övervägt om finalitetsprincipen bör gälla för upp- gifter som behandlas för det nya ändamålet vården av en annan patient än den som personuppgifterna avser. Utredningen har konstaterat att uppgifter i en precisionsmedicinsk databas skulle kunna vara till nytta även för ändamål som utveckling och forskning. Utredningen kon- staterar att vetenskapliga ändamål är ett sådant ändamål som enligt EU:s dataskyddsförordning alltid är förenlig med det ursprungliga in- samlingsändamålet. Utredningen har vägt detta mot det faktum att förutsebarheten och skyddet för den personliga integriteten skulle bli högre om finalitetsprincipen inte gällde. Utredningen konstaterar också att om en precisionsmedicinsk databas skulle få användas för forskningsändamål, skulle det i praktiken innebära att regionala myn-
444
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
digheter inom hälso- och sjukvården tilläts föra en typ av databas som har likheter med forskningsdatabaser. Frågan om en långsiktig reglering av forskningsdatabaser är för närvarande under behandling i Regeringskansliet. Utredningen anser inte att det är lämpligt att före- gripa resultatet av den behandlingen. Utredningen ser vidare en risk för att urvalet för tillgängliggörande till en precisionsmedicinsk databas kan påverkas av att uppgiftssamlingen även får användas för forskning.
Utredningen anser sammantaget att det finns många frågor som behöver utredas grundligare än vad utredningen har möjlighet att göra innan uppgifter i en precisionsmedicinsk databas får användas för andra ändamål än vård. Se även vidare, avsnitt 18.2.8.
Att finalitetsprincipen inte är tillämplig innebär att personuppgifter som behandlas för ändamål vården av en annan patient än den som upp- gifterna avser, inte får behandlas för andra ändamål, även om uppgif- terna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
En jämförelse kan göras med personuppgifter i nationella och regio- nala kvalitetsregister. Personuppgifter i nationella och regionala kvali- tetsregister får inte behandlas för några andra ändamål än de som anges i 7 kap. 4 och 5 §§ (7 kap. 6 § PDL). Detta innebär att finalitetsprin- cipen inte gäller vid behandling av personuppgifter i nationella och regionala kvalitetsregister. Med andra ord är det inte tillåtet att behandla dessa personuppgifter för andra ändamål även om de ändamålen inte är oförenliga med det ändamål för vilket personuppgifterna samlades in.
Utredningen bedömer att det är tillåtet att begränsa finalitetsprin- cipens tillämplighet. Medlemsstaterna får införa mer specifika bestäm- melser för att anpassa tillämpningen av bestämmelserna i EU:s data- skyddsförordning när det gäller behandling som är nödvändig för att fullgöra en rättslig förpliktelse eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myn- dighetsutövning (artikel 6.2 i EU:s dataskyddsförordning). Den rätts- liga grund för behandlingen som i dessa fall ska fastställas i den natio- nella rätten kan också innehålla särskilda bestämmelser för att anpassa tillämpningen av dataskyddsförordningen (artikel 6.3). I samband med anpassning av PDL till dataskyddsförordningens ikraftträdande gjordes en liknande bedömning i förhållande till att finalitetsprin- cipen inte gäller vid behandling av personuppgifter i nationella och regionala kvalitetsregister (se SOU 2017/66 s.
445
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
Konsekvensen av att finalitetsprincipen inte gäller blir exempelvis att uppgifter inte får lämnas ut från en precisionsmedicinsk databas för ändamålet forskning. Utredningen har övervägt att införa forsk- ning som ett sekundärt ändamål (jämför vad som gäller för kvalitets- register). Uppgifterna i en databas kommer dock vara sådana uppgifter som vårdgivare redan behandlar för ändamålet vårddokumentation (2 kap. 4 § första stycket
Utredningens sammantagna bedömning är att finalitetsprincipen inte bör gälla för uppgifter som behandlas för ändamålet vården av en annan patient än den som uppgifterna avser. För att kringgående av begräsningen inte ska vara möjlig, bör den omfatta all behandling av personuppgifter som sker enligt det nya ändamålet.
14.4.4Uppgiftsskyldighet som följer av lag eller förordning
Förslag: Personuppgifter som behandlas för ändamålet vården av en annan patient än den som uppgifterna avser, får också behand- las för fullgörande av någon annan uppgiftsskyldighet som följer av lag eller förordning än den som anges i 6 kap. 5 § OSL.
Personuppgifterna får, enligt ett särskilt föreskrivet ändamål, lämnas ut för att fullgöra någon annan uppgiftsskyldighet som följer av lag eller förordning än den som anges i 6 kap. 5 § OSL. Utredningen gör bedömningen att bestämmelsen behövs för att undanröja den kon- flikt som kan uppstå mellan föreslaget om ändamålsbegränsning, se avsnitt 14.4.1, och skyldigheter som kan finnas i andra lagar eller för- ordningar.
Uppgiftsskyldighet som följer av lag eller förordning kan till exem- pel gälla skyldigheterna enligt offentlighetsprincipen i 2 kap. TF. I dessa
446
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
fall har myndigheten som förvarar uppgifterna att göra en prövning av om uppgifterna omfattas av sekretess eller kan lämnas ut.
Av 6 kap. 5 § OSL framgår att en myndighet på begäran av en annan myndighet ska lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång. Skälen mot att tillåta utlämnande med stöd av 6 kap. 5 § OSL är att det är svårt att överblicka vilket uppgiftslämnande som en tillämpning av den bestämmelsen kan leda till.
14.4.5Tillåten behandling av personuppgifter för ändamålet vården av en annan patient än den som uppgifterna avser ska preciseras
Förslag: Tillåten behandling av personuppgifter inom hälso- och sjukvården för ändamålet vården av en annan patient än den som uppgifterna avser samt villkoren för sådan behandling ska pre- ciseras i lagstiftningen. Reglerna ska införas i kapitel 6 PDL. Rubri- ken till kapitel 6 PDL ska vara Vidareanvändning av patientdata för vårdändamål.
Tillåten behandling av personuppgifter för ändamålet får endast avse följande:
1.Urval och tillgängliggörande av personuppgifter till precisions- medicinsk databas.
2.Inrättande och förande av precisionsmedicinsk databas.
3.Tillgång till personuppgifter i precisionsmedicinsk databas för sökning.
4.Begäran om kompletterande personuppgifter från patientjournal.
Behandling av personuppgifter inom hälso- och sjukvården för ända- målet vården av en annan patient än den som uppgifterna är i sig brett. Ett sådant brett formulerat ändamål går inte att koppla till de behov som finns inom hälso- och sjukvården för denna typ av be- handling av personuppgifter. Integritetsintrånget skulle enligt utred- ningens bedömning inte kunna motiveras. Ändamålet behöver preci- seras till den behandlingen av personuppgifter som det finns behov av i olika delar och kopplas till olika skyddsåtgärder. En precisering
447
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
i uttryckliga regler om tillåten behandling behövs enligt utredningens uppfattning för att den rättsliga grunden ska anses vara fastställd i natio- nell rätt på ett tillräckligt preciserat sätt, se avsnitt 14.3.
De fyra stegen utifrån den övergripande modellen
Utifrån de behov som utredningen har fått till sig har utredningen tagit fram den modell som översiktligt presenteras i avsnitt 13.4. Modellen innehåller fyra huvudsakliga delar:
1.Urval och tillgängliggörande av personuppgifter till precisionsmedi- cinsk databas (steg 1).
2.Inrättande och förande av precisionsmedicinsk databas (steg 2).
3.Tillgång till personuppgifter i precisionsmedicinsk databas (steg 3).
4.Begäran och tillgängliggörande kompletterande personuppgifter från patientjournal (steg 4).
Steg
Steg 1 – Urval och tillgängliggörande av personuppgifter till precisionsmedicinsk databas
Utredningen föreslår regler som innebär att vårdgivare får göra urval av uppgifter som behövs för att skapa underlag för behandling av per- sonuppgifter för vården av en annan patient än den som uppgifterna avser. Utredningens förslag i denna del finns i avsnitt 14.6.
Steg 2 – Inrättande och förande av precisionsmedicinsk databas
Utredningen föreslår regler som innebär att precisionsmedicinska data- baser får inrättas och föras. Det är endast regionala myndigheter inom hälso- och sjukvården som får inrätta och föra precisionsmedicinska databaser, se avsnitt 14.7.2 och som får vara ansvariga för central behandling av personuppgifter i sådan databas, se avsnitt 14.5.2.
Precisionsmedicinska databaser ska enligt utredningens förslag få inrättas och föras i varje samverkansregion enligt 3 kap. 1 § hälso- och
448
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
sjukvårdsförordningen (2017:80), förkortad HSF. Utöver det ska en särskild precisionsmedicinsk databas få inrättas och föras inom Natio- nella Genomikplattformen, förkortad NGP.
Utredningens förslag till regler avseende inrättande och förande av precisionsmedicinsk databas finns i avsnitt 14.7.
Steg 3 – Tillgång till personuppgifter i precisionsmedicinsk databas för sökning
Utredningen föreslår regler om tillgång till precisionsmedicinsk data- bas för sökning i databasen. Reglerna avser direktåtkomst eller annat elektroniskt utlämnade, villkor för tilldelning av behörighet samt en befogenhetsregel.
Utredningens förslag avseende tillgång till precisionsmedicinsk databas finns i avsnitt 14.8.
Steg 4 – Begäran om kompletterande personuppgifter från patientjournal
Utredningen föreslår att det utöver sökning i precisionsmedicinsk data- bas ska vara tillåtet att begära kompletterande personuppgifter från patientjournal för vården av en annan patient än den som uppgifterna avser. Utredning lämnar förslag på regler avseende villkor för begäran om kompletterande personuppgifter.
Utredningens förslag avseende begäran om kompletterande person- uppgifter från patientjournal finns i avsnitt 14.9.
Avvägningen mellan specifika lösningar och en enhetlig lagstiftning
Utredningen har i sitt arbete identifierat den motsättning som kan finnas mellan att skapa specifika lösningar och regler för ett visst ända- mål och intresset av en enhetlig lagstiftning där liknande regler, be- greppsanvändning med mera används i så stor utsträckning som möjligt.
Utredning har övervägt i vilken utsträckning befintliga generella regler, strukturer och begrepp i PDL kan användas även för ända- målet vården av en annan patient än den som uppgifterna avser. Efter- som utredningens förslag omfattar personuppgiftsbehandling både
449
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
inom och mellan myndigheter och vårdgivare, har utredningen i olika delar hämtat inspiration från både regler i PDL och SVOD. Utred- ningen har även jämfört med den lagtekniska strukturen och begrepps- användningen som finns i 7 kap. PDL för regionala och nationella kvalitetsregister. Vissa regler i PDL kan också rakt av tillämpas även vid behandling av personuppgifter för det nya ändamålet.
Precisering av ändamålet i stället för utgångspunkt i myndighetsgränser
Utredningen föreslår ett nytt angreppssätt i det att systematiken i det föreslagna 6 kap. PDL inte tar sin utgångspunkt i om vidareanvänd- ningen sker inom eller mellan en myndighet och vårdgivare. Utred- ningens förslag till systematik tar i stället som utgångspunkt i modellen med steg
Preciseringen av tillåtna behandlingar syftar till att ange den yttersta ram inom vilken behandling av personuppgifter får ske för ändamålet vården av en annan patient än den som uppgifterna avser. Det är fråga om behandling av känsliga personuppgifter som är mycket integritets- känsliga. Utredningen konstaterar att ju mer integritetskänsliga upp- gifter som behandlas är, desto högre grad av precision i ändamålsbe- stämning krävs. Utredningen gör bedömningen att ändamålet behöver var väl preciserat för att väga upp integritetsintrånget och för att det ska vara förutsebart för den enskilde vilken typ av behandling av per- sonuppgifter som kan komma i fråga inom ramen för ändamålet.
Det övergripande syftet med att dela upp ändamålet i olika steg är att få en så träffsäker och så välanpassad reglering som möjligt. Regleringen ska kunna tillåta den behandling av personuppgifter som möter behovet, samtidigt som integritetsintrånget ska vara proportio- nerligt. Det är genom att identifiera tillåtna behandlingar, anpassa be- hörighetskrav, tillåta den form av tillgängliggörande som behövs och kan motiveras i varje steg och samtidigt differentiera vad som är tillåtet för olika aktörer och typ av verksamhet inom hälso- och sjuk- vården, med mera som behov och integritetsintrång enligt utredningens mening kan balanseras.
Traditionellt anses datadelning över myndighets- eller vårdgivar- gränser vara mer integritetskänsligt än inom en vårdgivare eller inom en myndighet. Sekretesslagstiftningen utgår från myndighets- eller
450
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
verksamhetsgränser. Utredningen konstaterar dock att det i många fall kan vara minst lika integritetskänsligt att dela data inom en stor organisation som mellan två mindre. Utredningen anser att inte- gritetsintrånget principiellt sett får anses lika stort om personupp- gifter används för vården av en annan patient än den som uppgifterna avser inom exempelvis ett regionsjukhus (universitetssjukhus) som mellan två olika regionsjukhus (universitetssjukhus). Integritets- intrånget är framför allt förknippat med att personuppgifter över huvud taget används på det sättet och inte om det sker över organisations- gränser eller inte.
Utredningens ingång i arbete med att skapa regler för vidare- användning för vårdändamål har varit att datadelning ska kunna ske både inom och mellan vårdgivare och med en tydlig precisering av det tillåtna ändamålet. Utredningen bedömer att detta angreppssätt ligger i linje med vad regeringen har uttalat i Data – en underutnyttjad resurs för Sverige: en strategi för ökad tillgång till data för bland annat artificiell intelligens och digital innovation. I strategin anges bland annat att det finns anledning att utreda om regelverk och policy för datadelning kan göras mer ändamålsenlig utifrån ett växande behov av att utveckla individcentrerad service och vård samt för att kunna möta alltmer komplexa samhällsutmaningar. Det lyfts också att varken enskildas behov av vård och service eller samhällsutmaningar definieras av organisationsgränser (s. 9).2
Den modell som utredningen föreslår innebär relativt sett detal- jerade regler. Det framträder framför allt vid en jämförelse med hur PDL i övrigt är utformad. Utredningens förslag kan uppfattas som en ”särlösning” som adderar komplexitet till dagens redan kompli- cerade regelverk. Utredningen gör dock den övergripande bedöm- ningen att regleringen av ändamålet vården av annan än den som per- sonuppgifterna avser, för att möta de behov som finns och samtidigt utgöra ett proportionerligt intrång i den personliga integriteten, be- höver vara utformad på ett specifikt sätt som inte fullt ut har någon motsvarighet i lagstiftningen som finns i dag. Utredningen har dock i största möjliga mån tagit inspiration från och använt systematik, for- muleringar och begrepp som förekommer i befintlig reglering av per- sonuppgiftsbehandling inom hälso- och sjukvården.
2
451
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
Behovet av regler i ett eget kapitel i PDL
Utredningen har övervägt om reglerna kan bakas in, i vart fall i delar, i övriga PDL. Utredningens bedömning är dock att det inte är en ända- målsenlig lösning och föreslår därför att reglerna om behandling av personuppgifter för vården av annan än den som uppgifterna avser placeras i ett eget kapitel i PDL. Utredningens förslag är till en del likt regionala och nationella kvalitetsregister som regleras i ett eget kapitel i PDL. För att reglerna ska kunna ta utgångspunkt i utred- ningens förslag till övergripande modell och tillåtna behandlingar krävs utrymme för en anpassad systematik som inte kan uppnås på annat sätt än genom ett eget kapitel. Utredning anser också att det är enklare att ha alla regler för ändamålet samlade på ett ställe. I de fall utred- ningen gör bedömningen att allmänna regler i PDL är tillämpliga anges det i överväganden och författningskommentar. I de fall det är motiverat med en hänvisning föreslår utredningen en sådan. Sedan reglerna om sammanhållen journalföring flyttats till SVOD finns inga regler i 6 kap. PDL. Utredningen anser att de föreslagna reglerna om personuppgiftsbehandling för ändamålet vården av en annan patient än den som uppgifterna avser lämpligen kan placeras i 6 kap. PDL. Kapitlet föreslås få rubriken Vidareanvändning av patientdata för vård- ändamål. Utredningen konstaterar att begreppet patientdata saknar en definition i PDL men att utredningen av lagtekniska skäl behöver ta hänsyn till befintliga namn på författningar, se vidare resonemang i 2.6.3. Det blir utifrån detta logiskt att även rubriken till kapitel 6 PDL följer samma begreppsvändning.
452
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
14.4.6Skyldighet att dokumentera att vidareanvändning har skett
Bedömning: Den dokumentationsskyldighet som följer av 3 kap. 11 § PDL gäller vid utlämnande till en precisionsmedicinsk databas samt vid utlämnande till följd av en begäran om kompletterande uppgifter från patientjournal.
Om en avskrift eller kopia av en journalhandling har lämnats ut till någon, ska det dokumenteras i patientjournalen vem som fått den enligt 3 kap. 11 § PDL. Enligt samma bestämmelse klargörs att denna skyldighet inte gäller vid direktåtkomst.
I steg 1, urval och tillgängliggörande till en precisionsmedicinsk databas, samt i steg 4, begäran om kompletterande personuppgifter från patientjournal, kan tillgängliggörandet från den personuppgiftsansva- riga vårdgivaren gå till på sådant sätt att det är att ses som ett utläm- nande.
Bestämmelsen i 3 kap. 11 § PDL infördes för att motsvara den skyl- dighet som fanns i 7 § andra stycket patientjournallagen (1985:562) (se prop. 2007/08:126 s. 235). I förarbetena till bestämmelsen i patientjournallagen anförde regeringen att kravet på dokumentering av när ett utlämnande sker och till vem, följde av den utökade möj- lighet till förstöring av journalhandlingar till handlingar som även förvarades utanför hälso- och sjukvården och att det därför behövdes en sådan dokumentationsskyldighet för att kunna öka spårbarheten (prop. 1984/85:189
Utredningen har ansett det är av stor vikt för den personliga integ- riteten och för proportionaliteten i de föreslagna åtgärderna att en patient ska kunna motsätta sig tillgängliggörande till en precisions- medicinsk databas (se avsnitt 14.10). Om en patient inte motsatt sig kan alltså relevanta uppgifter som finns om hen tillgängliggöras till en precisionsmedicinsk databas (se 14.6). I enlighet med artikel 13.1 e dataskyddsförordningen finns en skyldighet för vårdgivare att till en patient lämna information om vem som är mottagare av person- uppgifterna. Artikel 13 gör ingen åtskillnad på om mottagare fått del av uppgifterna via en uppgiftsskyldighet eller via den personuppgifts- ansvariges fria val (jämför 8 kap. 6 § 1 PDL).
För att det skydd som ges en enskild, genom möjligheten att mot- sätta sig tillgängliggörande, ska få fullt genomslag bör utlämnanden
453
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
till en precisionsmedicinsk databas samt vid utlämnande till följd av en begäran om kompletterande uppgifter från patientjournal, doku- menteras i enlighet med 3 kap. 11 § PDL. Likaså bör det vara en för- utsättning att 3 kap. 11 § PDL tillämpas i dessa situationer, för att den regionala myndigheten som bedriver hälso- och sjukvård ska kunna uppfylla sina skyldigheter enligt dataskyddsförordningen.
14.4.7Information enligt 8 kap. 5 § patientdatalagen
Förslag: En regional myndighet inom hälso- och sjukvården ska vara undantagen från skyldigheten att på begäran av patient lämna information om den elektroniska åtkomst som förekommit i an- ledning av förande av en precisionsmedicinsk databas eller behand- ling av kompletterande personuppgifter från patientjournal.
En regional myndighet inom hälso- och sjukvården ska vara undantagen från skyldigheten att på begäran av en patient lämna information om den direktåtkomst och elektroniska åtkomst som förekommit i anledning av tillgång till en precisionsmedicinsk databas.
Bedömning: Skyldighet att lämna information enligt 8 kap. 5 § PDL gäller för vårdgivares tillgängliggörande av personuppgifter till en precisionsmedicinsk databas samt tillgängliggörande av kom- pletterande personuppgifter från patientjournal.
Enligt 8 kap. 5 § PDL ska en vårdgivare på begäran av en patient lämna information om den direktåtkomst och elektroniska åtkomst till uppgifter om patienten som förekommit. Av förarbetena till be- stämmelsen framgår att kravet innebär att det exempelvis tydligt bör framgå när och från vilken enhet inom hälso- och sjukvården åtkomst har skett (prop. 2007/08:126 s. 265).
I 4 kap. 10 § i Socialstyrelsens föreskrifter och allmänna råd (HSLF- FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården, förkortad
454
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
ska vara utformad så att patienten kan bedöma om åtkomsten har varit befogad eller inte.
Utredningen har funnit anledning att analysera på vilket sätt skyl- digheten att lämna information i 8 kap. 5 § PDL kan bli tillämplig kopplat till utredningens förslag om tillåten behandling för ändamålet vården av en annan patient än den som uppgifterna avser och över- väga om det behövs undantag från bestämmelsen. Utredningens be- dömning i dessa frågor följer nedan.
Informationsskyldighetens tillämplighet
Utredningen gör bedömningen att skyldigheten att lämna information blir tillämplig på den elektroniska åtkomst som kan förekomma i an- ledning av urval och tillgängliggörande till en precisionsmedicinsk databas (steg 1), se avsnitt 14.6. Skyldigheten att lämna information kan också bli tillämplig vid elektronisk åtkomst till uppgifter i pre- cisionsmedicinsk databas som sker inom den regionala myndighet som för databasen (steg 2), se avsnitt 14.7.4 och 14.7.5. Vidare kan skyldighet att informera om direktåtkomst och elektronisk åtkomst aktualiseras med koppling till tillgång till precisionsmedicinsk databas genom direktåtkomst eller annat elektroniskt utlämnande (steg 3), se avsnitt 14.8. Slutligen kan skyldigheten att lämna information upp- komma avseende den elektroniska åtkomst som kan förekomma i an- ledning av en begäran om kompletterande personuppgifter från patient- journal, se avsnitt 14.9.5.
Vårdgivare som tillgängliggör personuppgifter till en precisions- medicinsk databas, respektive kompletterande personuppgifter från patientjournal, har enligt utredningens bedömning möjlighet att upp- fylla den skyldighet att informera patienten som följer av 8 kap. 5 § PDL. Vårdgivare har tillgång till information om vilka patienter som tillgängliggörande har gjort för och kan svara på en sådan begäran som kan framställas enligt bestämmelsen.
Utredning gör dock bedömningen att regionala myndigheter inom hälso- och sjukvården, utifrån hur utredningens förslag är utformade, inte har möjlighet att svara på en begäran enligt 8 kap. 5 § PDL med avseende på den direktåtkomst eller elektronisk åtkomst som före- kommit inom myndigheten kopplat till behandling av personuppgifter
455
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
enligt ändamålet. Utredningen ser både behov och skäl för ett undan- tag, vilket utvecklas i det följande.
Behov av undantag från skyldigheten att lämna information
En regional myndighet inom hälso- och sjukvården som för en pre- cisionsmedicinsk databas har endast tillgång till pseudonymiserade uppgifter om de patienter som finns i databasen. Detsamma gäller för de regionala myndighet inom hälso- och sjukvården som har till- gång till databasen genom direktåtkomst eller annat elektronisk utläm- nande och samma myndigheter när detta tar emot kompletterande personuppgifter från patientjournal. Dessa myndigheter är också ”vård- givare” i den mening som avses i 8 kap. 5 § PDL (se 1 kap. 3 § PDL). Utifrån att dessa vårdgivare endast har tillgång till pseudonymiserade uppgifter i ovan angivna situationer är det inte praktiskt möjligt att på begära av en patient lämna den information som följer av 8 kap. 5 § PDL. Det finns inte heller någon direktåtkomst för dessa vård- givare till tillgängliggörande vårdgivares journalsystem varför någon identifiering av patienten kan ske den vägen. Utformningen av utred- nings förslag och de integritetsskyddand åtgärder som föreslås, med- för alltså att skyldigheten att lämna information i 8 kap. 5 PDL med koppling till ändamålet vården av en annan patient än den som upp- gifterna avser i viss utsträckning inte kan uppfyllas. Utredningen föreslår därför ett undantag. Utredningen anser att det går att motivera ur integritetshänseende och gör följande analys i detta avseende.
De precisionsmedicinska databaserna kommer inte vara kopplade till de tillgängliggörande vårdgivarnas system utan utgöra avgränsade uppgiftssamlingar. En sätt för tillgängliggörande vårdgivare även kunna ge information om den åtkomst som skett till tillgängliggjorda upp- gifter till databasen, hade varit att databasen var kopplad direkt till vårdgivarnas journalsystem så att vårdgivaren som tillgängliggjort skulle kunna se de sökningar som sker. I enlighet med de över- väganden som utredningen gjort i avsnitt 14.6.2, där det konstateras att det skulle vara ett oskäligt stort integritetsintrång att ha en stående koppling till en precisionsmedicinsk databas, kommer tillgänglig- görande till en precisionsmedicinsk databas ske vid bestämda tillfällen. Utredningen anser att detta är en viktig ordning ur integritets-
456
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
synpunkt. En annan ordning kan inte motiveras av att det ska vara möjligt att den information som följer av 8 kap. 5 § PDL.
Ett ytterligare skäl är att personuppgifterna som tillgängliggörs till en precisionsmedicinsk databas ska vara pseudonymiserade, vilket innebär att ett utfall efter en sökning inte kan kopplas till en specifik person utan att vissa tillkommande uppgifter adderas. Detsamma gäller för kompletterande personuppgifter från patientjournal. Ett sådant merarbete skulle innebära en betungande administrativ arbetsbörda för vårdgivarna utan att den kan anses ge ett stort värde för den en- skilde patientens integritet eller för dennes möjligheter att utöva sitt inflytande över behandlingen.
Utredningen lämnar förslag om att patienter ska kunna motsätta sig tillgängliggörande till en precisionsmedicinsk databas samt att viss specifik information ska lämnas till patienten, se avsnitt 14.10. Utred- ningen anser att dessa förslag också kompenserar för det undantag som utredning föreslår med avseende på information enligt 8 kap. 5 § PDL. Utredningen anser att det framför allt är information kopplat till tillgängliggörande av personuppgifter till en precisionsmedicinsk databas som ur ett integritetsperspektiv är viktigast. Med tanke på att patienten ges möjlighet att motsätta sig att personuppgifter om hen görs tillgängliga till en precisionsmedicinsk databas och att ett tillgängliggörande av personuppgifter till en precisionsmedicinsk data- bas inte får ske förrän den patienten fått möjlighet att ta ställning till om hen vill motsätta sig ett tillgängliggörande eller inte kan det därför anses särskilt viktigt för den enskilde att kunna kontrollera den behand- ling som sker i samband med ett tillgängliggörande till en precisions- medicinsk databas. Utredningen konstaterar även att skyldigheten att lämna information som följer av artiklarna 13 och 14 i dataskydds- förordningen gäller, se 8 kap. 6 § PDL.
Sammanfattningsvis är utredningen av uppfattningen att den skyl- dighet som följer av 8 kap. 5 § PDL inte ska gälla för direktåtkomst eller elektronisk åtkomst i anledning av att regionala myndigheter för precisionsmedicinsk databas, har tillgång till en sådan databas genom direktåtkomst eller annat elektroniskt utlämnande, eller be- handlar kompletterande personuppgifter från patientjournal.
457
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
14.4.8Undantag från ändamålet
Förslag: Verksamhet enligt tandvårdslagen (1985:125) och lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektions- behandlingar ska undantas.
Hälso- och sjukvård – verksamheter enligt olika lagar
I PDL definieras hälso- och sjukvård enligt en uppräkning av ett antal lagar (se 1 kap. 3 § PDL). Enligt definitionen omfattar lagen verk- samhet som avses i
•hälso- och sjukvårdslagen (2017:30),
•tandvårdslagen (1985:125), förkortad tandvårdslagen,
•lagen (1991:1128) om psykiatrisk tvångsvård, förkortad LPT,
•lagen (1991:1129) om rättspsykiatrisk vård, förkortad LRV,
•smittskyddslagen (2004:168),
•lagen (1972:119) om fastställande av könstillhörighet i vissa fall,
•lagen (2006:351) om genetisk integritet m.m.,
•lagen (2018:744) om försäkringsmedicinska utredningar,
•lagen (2019:1297) om koordineringsinsatser för sjukskrivna patien- ter,
•lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar och
•den upphävda lagen (1944:133) om kastrering, förkortad kastrer- ingslagen.
Utredningen föreslår ett nytt ändamål för behandling av person- uppgifter inom hälso- och sjukvården. Utredningen anser att utgångs- punkten bör vara att den definition som finns i PDL av hälso- och sjukvård ska gälla även för det nya ändamålet. Utgångspunkten är alltså att verksamhet enligt de lagar som räknas upp i PDL:s definition av hälso- och sjukvård ska omfattas av möjligheten att behandla per- sonuppgifter för det nya ändamålet. Utredningen anser vidare att om
458
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
ett undantag avseende viss verksamhet ska ske, behöver det omfatta samtliga tillåtna behandlingar för det nya ändamålet som utredningen föreslår. Det skulle enligt utredningens mening medföra en för hög grad av komplexitet i lagstiftningen om undantag avseende viss verk- samhet endast gjorde för vissa av de tillåtna behandlingarna, se av- snitt 14.4.5. Begräsningar i möjligheterna att använda det nya ända- målet sker i stället på andra sätt, till exempel genom att det endast är tillåtet att tillgängliggöra det uppgifter som behövs för ändamålet, begränsning av vilka aktörer som får tillgång till att söka i en precisions- medicinsk databas och regler om behörighetstilldelning.
Frågan är om finns anledning att generellt undanta någon eller några av dessa verksamheter hos vårdgivare från möjligheten till behandling av personuppgifter för vården av en annan patient än den som upp- gifterna avser. Utredningen har identifierat två möjliga anledningar till att generellt undanta viss verksamhet. Den ena är att viss verk- samhet inte har behov av att behandla personuppgifter för det nya ändamålet. Den andra är att det inte skulle vara etiskt försvarbart att verksamheten omfattas av det nya ändamålet. I bedömningen av om ett generellt undantag ska införas behöver också intresset av enhet- lighet i lagstiftningen och att undantag inte bör skapa tillämpnings- svårigheter.
Undantag på grund av att behov saknas
I utredningens arbete har frågan ett generellt undantag på grund av att behov saknas aktualiserats i förhållande till tandvården. I de kon- takter som utredningen har haft med företrädare för tandvården har inte framkommit något behov av vidareanvändning för vårdändamålet på det sätt som aktörer som lyder under HSL har lyft. Utredningen uppfattar att arbetssättet inom tandvården inte omfattar ett precisions- medicinskt angreppssätt. Detta talar enligt utredningens mening för att helt undanta verksamhet enligt tandvårdslagen från möjligheterna att behandla personuppgifter för ändamålet vården av en annan patient än den som uppgifterna avser.
Den tandvård som bedrivs av regioner, folktandvården, är orga- nisatoriskt skild från hälso- och sjukvård enligt HSL. I fem regioner bedrivs den regionala tandvården i bolagsform3. Utredningen gör där-
3https://www.tlv.se/tandvard/tandvardsmarknaden.html (hämtat
459
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
med bedömningen att ett undantag för tandvårdslagen inte borde riskera att skapa tvärsnitt inom organisatoriska enheter som kan med- föra tillämpningssvårigheter om verksamhet enligt tandvårdslagen inte omfattas.
PDL omfattar verksamhet enligt lagen (2021:363) om estetiska och kirurgiska ingrepp och estetiska injektionsbehandlingar. Syftet med denna lag är att stärka skyddet för den enskildes liv och hälsa vid estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar (1 §). Från den lagens tillämpningsområde undantas kirurgiska ingrepp och injektionsbehandlingar om de bland annat utgör hälso- och sjuk- vård enligt HSL. Verksamhet enligt denna lag utgör inte en inte- grerad del av hälso- och sjukvården. De behov av vidareanvändning för vården av en annan patient än den som personuppgifterna avser har inte heller någon koppling till denna typ av verksamhet. Utifrån detta bedömer utredningen att verksamhet enligt lagen (2021:363) om estetiska och kirurgiska ingrepp och estetiska injektionsbehand- lingar kan undantas.
Det kan enligt utredningens mening framstå som obehövligt att ta med kastreringslagen. Ingen verksamhet bedrivs längre enligt den lagen och utredningen kan inte se att den typen av personuppgifter som kan bli aktuell för vidareanvändning för vården av en annan patient avser information som finns lagrad hos vårdgivare utifrån verksamhet som har bedrivits enligt den upphävda lagen. Utredningen konstaterar dock att lagen finns med i definitionen av hälso- och sjukvård i SVOD (1 kap. 1 § SVOD). Anledningen till detta är att regeringen bedömde att sammanhållen vård- och omsorgsdokumen- tation kan innebära hantering av personuppgifter i verksamhet som avses i kastreringslagen (prop. 2021/22:177, s. 57). Utredningen kan inte se att motsvarande behov finns för vidareanvändning av person- uppgifter för vården av en annan patient än den som uppgifterna avser. I utredningens förslag till ny lag om vidareanvändning av person- uppgifter för klinisk forskning behöver enligt utredningens mening definitionen av hälso- och sjukvård omfatta även kastreringslagen. En- hetlighetsskäl talar för att den inte ska undantas från ändamålet vården av annan patient än den som uppgifterna avser. Utredningen har inte identifierat att det skulle medföra något ytterligare integritetsintrång om lagen skulle omfattas av det nya ändamålet. Utredningen anser mot denna bakgrund att kastreringslagen inte bör undantas.
460
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
Utredningen har även övervägt om undantag bör göras för verk- samhet enligt lag (2018:744) om försäkringsmedicinska utredningar. Med en försäkringsmedicinsk utredning avses en medicinsk under- sökning som syftar till ett utlåtande som kan ligga till grund när För- säkringskassan ska ta ställning till en försäkrads rätt till ersättning eller andra förmåner enligt socialförsäkringsbalken (se prop. 2017/ 18:224 s. 16). Utredningen gör bedömningen att personuppgifter som behandlas i verksamhet enligt lagen sannolikt inte är relevanta att behandla för ändamålet vården av en annan patient än den som upp- gifterna avser. Utredningen kan dock inte utesluta att så är fallet och att ett undantag för verksamhet enligt lagen kan medföra tillämpnings- problem. Utredningen föreslår därför inte ett undantag för verk- samhet enligt lag (2018:744) om försäkringsmedicinska utredningar.
Undantag på grund av etiska aspekter
Särskilda etiska aspekter avseende vidareanvändning av personuppgifter aktualiseras för patienter som vårdas mot sin vilja enligt LPT och LRV.
En principiell aspekt som aktualiseras för LPT och LRV är att vård kan ges utan samtycke från den enskilda individen. Särskilda tvångs- åtgärder kan också utföras mot individen som vårdas. Personuppgifter i sådan verksamhet kan därmed uppkomma inom ramen för situa- tioner som den enskilde inte själv samtyckt att delta eller medverka i. Att tillgängliggöra personuppgifter som tillkommit under sådana förhållanden för nya ändamål bör enligt utredningens mening över- vägas särskilt.
Utredningen har i kontakt med företrädare för hälso- och sjuk- vården fått beskrivningar och exempel av vilken typ av uppgifter som typiskt sett skulle behöva tillgängliggöras för det nya ändamålet, se vidare avsnitt 14.6. Utredningen gör bedömningen att den typ av uppgifter som typiskt sett behöver tillgängliggöras för vården av en annan patient än den som uppgifterna avser inte är sådana uppgifter som genereras i någon särskild omfattning till följd av vård enligt LPT och LRV. Det är inte heller inom den psykiatriska tvångvården som utredningen har fått till sig de största behoven av tillgång till person- uppgifter om andra patienter.
Däremot konstaterar utredningen att patienter som vårdas enligt LPT eller LRV också kan vårdas för somatiska sjukdomar, exempelvis
461
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
cancer, enligt HSL. Inom ramen för patientens somatiska vård kan det finnas anledning att både tillgängliggöra och behandla person- uppgifter för det nya ändamålet. Att uppnå detta, samtidigt som ett undantag finns för verksamhet enligt LPT eller LRV från ändamålet skulle möjligen vara teoretiskt möjligt, men riskerar enligt utredningens mening att skapa tillämpningssvårigheter. Det är förvisso så att vård- givare behöver ha klart för sig enligt vilken lagstiftning själva vården ges. Det gäller dock inte personuppgiftsbehandling på så sätt att en skiljelinje behöver dras mellan personuppgifter som uppkommer i den ena eller andra typen av vård. Att i detta avseende göra skillnad på, å ena sidan, vård enligt HSL, och å andra sidan vård enligt LPT eller LRV skulle medföra en ny typ av gränsdragning inom vård- givares verksamhet. Utredningen anser inte att det är lämpligt.
Det finns enligt utredningens mening inte heller anledning att göra skillnad på denna situation jämfört om patienten bara hade vårdats under HSL. De utmaningar som finns kopplat till att personer som vårdas enligt LPT eller LRV kan ha svårigheter att ta ställning berörs i avsnitt 14.10.7.
Sammanfattande överväganden
Som anförts ovan, anser utredningen att utgångspunkten bör vara att verksamhet enligt befintlig definition av hälso- och sjukvård i PDL ska gälla även för behandling av personuppgifter enligt det nya ända- målet. Generellt bör enhetlighet i lagstiftningen eftersträvas. Det finns dock även ett intresse av att lagstiftningen är anpassad till det som den är avsedd för. Finns inte behov av att behandla personuppgifter på ett visst sätt inom en viss verksamhet talar det för att verksamheten helt ska undantas. Utredningen anser att verksamhet enligt tandvårds- lagen och lagen (2021: 363) om estetiska kirurgiska ingrepp och este- tiska injektionsbehandlingar av skäl som angetts ovan bör undantas. Detta ligger även i linje med utredningens förslag avseende verksamhet som omfattas av den föreslagna lagen om vidareanvändning av per- sonuppgifter för klinisk forskning, se avsnitt 16.4.3.
Utredningen anser inte att någon ytterligare verksamhet bör undan- tas. De etiska aspekter som finns avseende behandling av personupp- gifter för det nya ändamålet kopplat till tvångsvård enligt LPT och LRV omhändertas enligt utredningens bedömning bättre genom andra regler
462
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
än genom att helt undanta verksamheten från tillämpningsområdet. Utredningen anser att värdet av att tillåta behandling av personupp- gifter för det nya ändamålet väger tyngre än att inte göra det. Utred- ningen konstaterar samtidigt att detta är svåra frågor där det finns utmaningar i att hitta tillfredställande lösningar, se vidare avsnitt 14.10.7.
14.4.9Inre sekretess
Förslag: Vid behandling av personuppgifter som behövs för ända- målet vården av en annan patient än den som uppgifterna avser, gäller särskilda bestämmelser om inre sekretess i stället för vad som anges i 4 kap. 1 § PDL.
Utredningen gör bedömningen att den inre sekretessen som följer av 4 kap. 1 § PDL inte ger stöd för att den som arbetar inom hälso- och sjukvården kan ta del av personuppgifter i vården av en annan patient än den som uppgifterna avser. Bedömningen att 4 kap. 1 § PDL inte är tillämplig redogörs för i avsnitt 13.9.
I stället för bestämmelsen om inre sekretess i 4 kap. 1 § föreslår utredningen särskilda bestämmelser om befogenhet som behövs för när vårdpersonal tar del av personuppgifter i en precisionsmedicinsk databas. Utredningens överväganden om dessa bestämmelser återfinns i 14.6.6, 14.7.5, 14.8.5 och 14.9.5. Utredningen anser att detta av tyd- lighetsskäl bör framgå av lagtexten.
14.5Personuppgiftsansvar
Förslag: Endast en regional myndighet inom hälso- och sjukvården får vara personuppgiftsansvarig för central behandling av person- uppgifter i en precisionsmedicinsk databas.
Bedömning: För övrig behandling av personuppgifter för ända- målet vården av en annan patient än den som uppgifterna avser gäller allmänna regler om personuppgiftsansvar i 2 kap. 6 § PDL.
463
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
14.5.1Allmänt om personuppgiftsansvar
Personuppgiftsansvarig är, enligt definitionen i artikel 4 i EU:s data- skyddsförordning, en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personupp- gifter. Definitionen av begreppet personuppgiftsansvarig och vad an- svaret innebär berörs närmare i kapitel 7 (Dataskydd). Den person- uppgiftsansvarige ska bland annat genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behand- lingen av personuppgifter sker i enlighet med dataskyddsförordningen.
Av definitionen i artikel 4 i EU:s dataskyddsförordning framgår att om ändamålen och medlen för behandlingen bestäms av
I 2 kap. 6 § PDL finns en generell bestämmelse om vårdgivares personuppgiftsansvar. Enligt bestämmelsen är en vårdgivare person- uppgiftsansvarig för den behandling av personuppgifter som vård- givaren utför. I en region eller en kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behand- ling av personuppgifter som myndigheten utför.
Ett annat exempel i PDL där personuppgiftsansvar regleras är 7 kap. 7 § PDL. Enligt bestämmelsen, som handlar om personupp- giftsansvar för nationellt eller regionalt kvalitetsregister, anges att endast myndigheter inom hälso- och sjukvården får vara personupp- giftsansvariga för central behandling av personuppgifter i ett natio- nellt eller regionalt kvalitetsregister. Vidare får regeringen eller den myndighet som regeringen bestämmer besluta om undantag från det nyss sagda. I övrigt hänvisar bestämmelsen till PDL:s generella be- stämmelse om vårdgivares personuppgiftsansvar i 2 kap. 6 §.
I SVOD regleras personuppgiftsansvaret i 4 kap. 1 §. Bestämmelsen anger att en vårdgivare eller en omsorgsgivare är personuppgifts- ansvarig för behandling av personuppgifter enligt lagen. I en region eller i en kommun är varje myndighet som bedriver hälso- och sjukvård
464
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Vidare anges att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vem som ska ha personuppgiftsansvar för övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder vid sammanhållen vård- och om- sorgsdokumentation. I förarbetena till PDL, där föregångaren till sammanhållen vård och omsorgsdokumentation – sammanhållen jour- nalföring – reglerades innan SVOD, angavs att det vore olämpligt att i lagtexten peka ut personuppgiftsansvar eftersom vårdgivarna själva fick bestämma hur sammanhållen journal skulle utformas (prop. 2007/ 08:126 s. 134). Samma skäl ansågs kvarstå vid införandet av SVOD (prop. 2021/22:177 s. 133).
14.5.2Personuppgiftsansvar för central behandling i en precisionsmedicinsk databas
Inrättande och förande av precisionsmedicinsk databas kommer att bygga på samarbete mellan regionala myndigheter inom hälso- och sjukvården. I en precisionsmedicinsk databas kommer personuppgifter från flera vårdgivare att kunna samlas. I fråga om förande av pre- cisionsmedicinsk databas uppkommer därför frågan om det finns an- ledning att föreslå någon särreglering av personuppgiftsansvaret, eller om den allmänna bestämmelsen i 2 kap. 6 § PDL ska gälla.
Bör personuppgiftsansvaret särregleras?
Ovan har konstaterats att det i 2 kap. 6 § PDL finns en generell bestämmelse om vårdgivares personuppgiftsansvar. Ett alternativ är att låta personuppgiftsansvaret för förande av precisionsmedicinsk- databas regleras av denna bestämmelse. Ett annat alternativ är att införa en särreglering för denna personuppgiftsbehandling.
Utredningens bedömning är att det vore otydligt att låta person- uppgiftsansvaret för förande av en precisionsmedicinsk databas re- gleras av 2 kap. 6 § PDL. Att i stället ha en särreglering skulle vara önskvärt från integritetssynpunkt, eftersom det då skapar en större tydlighet för de samarbetande regionala myndigheterna, för de vård- givare som tillgängliggör uppgifter till databasen och för de regi- strerade. Det motverkar också att bedömningarna av hur personupp-
465
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
giftsansvar för en precisionsmedicinsk databas riskerar att skilja sig mellan de olika samverkansregionerna, något som kan vara förvirrande för registrerade.
Utredningen har därför gjort bedömningen att det skapas en bättre helhet och en tydligare tillämpning om möjligheten att i lagstiftning reglera personuppgiftsansvaret utnyttjas.
Hur bör en särreglering utformas?
Utredningen har övervägt hur en särreglering av personuppgiftsansvar kan se ut.
Utredningen har jämfört med reglerna om personuppgiftsansvar för nationella och regionala kvalitetsregister i 7 kap. PDL. Enligt 7 kap.
7§ första stycket PDL får endast myndigheter inom hälso- och sjuk- vården vara personuppgiftsansvariga för central behandling av person- uppgifter i ett nationellt eller regionalt kvalitetsregister. Denna regel är inte ett direkt utpekade av vem som ska vara personuppgiftsansvarig (se prop. 2007/08:126, s. 183). Däremot avgränsas vilken typ av aktör som kan vara ansvarig för central behandling av personuppgifter i ett kvalitetsregister.
På motsvarande sätt föreslår utredningen att endast regionala myn- digheter ska få inrätta och föra precisionsmedicinsk databas, se av- snitt 14.7. I en precisionsmedicinsk databas kommer personuppgifter från olika vårdgivare eller regionala myndigheter som bedriver hälso- och sjukvård kunna samlas. Förande av den precisionsmedicinska data- basen kommer medföra en liknande form av central behandling av personuppgifter som den som finns för kvalitetsregister. Utredningen anser därför att en liknande reglering av personuppgiftsansvaret som gäller för nationella och regionala kvalitetsregister är lämplig, nämligen att endast en regional myndighet inom hälso- och sjukvården får vara personuppgiftsansvarig för central behandling av personuppgifter i en precisionsmedicinsk databas.
En fråga som uppkommer är vilken detaljeringsgrad en regel om utpekat personuppgiftsansvarig kan och bör ha. Ett alternativ kan vara att direkt i lag peka ut vilken myndighet inom en samverkansregion som ska få vara personuppgiftsansvarig för en precisionsmedicinsk databas.
466
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
I de lagregler som utredningen föreslår för inrättande och förande av precisionsmedicinsk databas, preciseras dock inte vilka regionala myndigheter som kommer att få inrätta och föra databas. Enligt utred- ningens förslag kommer det endast regleras att en regional myndighet inom hälso- och sjukvården per sådan samverkansregion för hälso- och sjukvård som anges i 3 kap. 1 § HSF får inrätta och föra preci- sionsmedicinsk databas, se avsnitt 14.7. Därtill föreslås att en regional myndighet inom hälso- och sjukvården som ingår i Genomic Medicine Sweden, förkortad GMS, få inrätta och föra precisionsmedicinsk databas inom NGP, se vidare 14.6.4 och 14.7.3. Enligt förslaget kom- mer det inte att fastställas vilken regional myndighet inom hälso- och sjukvården som inrättar de precisionsmedicinska databaserna.
Som en följd av att det inte fastställs vilka regional myndighet inom hälso- och sjukvården som inrättar de precisionsmedicinska data- baserna, är det inte möjligt att i lag ange vilken myndighet som kommer att vara ansvarig för central behandling av personuppgifter i en pre- cisionsmedicinsk databas. Ett sådant utpekande skulle också enligt utredningens mening vara en för oflexibel lösning. Frågan om vilken regional myndighet som ska vara ansvarig för central behandling av personuppgifter i en precisionsmedicinsk databas kommer därmed följa den som inrättar och för databasen.
Gemensamt personuppgiftsansvar
Utredningen har också övervägt om personuppgiftsansvaret för be- handling av personuppgifter i precisionsmedicinsk databas i lag bör pekas ut till ett gemensamt ansvar för de myndigheter i en samverkans- region som samarbetar kring en precisionsmedicinsk databas.
I EU:s dataskyddsförordning finns en särskild bestämmelse som definierar vad som kännetecknar ett gemensamt personuppgiftsansvar (artikel 26). Avgörande är om de faktiska omständigheterna är sådana att det i praktiken är två eller fler personuppgiftsansvariga som gemen- samt fastställer ändamålen med den aktuella personuppgiftsbehand- lingen. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar genom ett inbördes arrangemang, om inte skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av.
467
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
Enligt utredningens mening finns vissa omständigheter som talar för att det skulle kunna röra sig om ett gemensamt personuppgifts- ansvar mellan de regionala myndigheter som samarbetar kring en viss precisionsmedicinsk databas. Främsta skälen för ett sådant synsätt skulle vara att de regionala myndigheterna behöver enas om hur be- handlingen i en precisionsmedicinsk databas ska gå till och att de personuppgiftsbehandlingar som föranleds av att inrätta och föra en sådan databas skulle kunna anses så pass kopplade till varandra att de kan anses vara odelbara.4 Förhållandena kring en precisionsmedicinsk databas går även att se på så sätt att de regionala myndigheterna som inrättar en databas gör det för det gemensamma syftet att kunna er- bjuda de patienter som omfattas av respektive regions ansvar för att erbjuda hälso- och sjukvård (se 8 kap. 1 § HSL) tillgång till preci- sionsmedicinsk vård och att det gynnar samtliga av dem, även om den regionala myndighet som för databasen skulle ha ett större infly- tande över hur databasen inrättas eller utformas.5
Det finns även omständigheter som talar mot att det skulle kunna röra sig om ett gemensamt personuppgiftsansvar. I sammanhanget anser utredningen att det är av betydelse att de föreslagna ändringarna i PDL kommer att reglera ändamålet med en precisionsmedicinsk databas, liksom att flera villkor för hur den får föras kommer att följa av lag. Dessa omständigheter talar för att parternas utrymme att be- stämma över behandlingen är beskuren. Detta anser utredningen med- för att skälen för ett gemensamt personuppgiftsansvar i detta hänseende väger mindre. Utredningen anser också att det är fördelaktigt att det finns ett tydligt övergripande ansvar för central behandling i precisions- medicinska databaser för att skapa en tydlighet gentemot registrerade. Personuppgiftsansvaret för en precisionsmedicinsk databas ska således inte i lagen bestämmas till ett gemensamt personuppgiftsansvar.
4Se EDPB, Riktlinjer 07/2020 angående begreppen personuppgiftsansvarig och personuppgifts- biträde i GDPR s. 19, p.
5Jämför EDPB, Riktlinjer 07/2020 angående begreppen personuppgiftsansvarig och person- uppgiftsbiträde i GDPR s. 23, p.
468
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
Innebörden av personuppgiftsansvar för central behandling i precisionsmedicinsk databas
Den personuppgiftsbehandling som följer av det centrala ansvaret är central organisering, lagring eller annan central behandling. Hit hör också till exempel ansvaret för säkerhetsfrågor och ansvaret för att felaktiga uppgifter i registret rättas ser vidare 14.7.4.
14.5.3Personuppgiftsansvar i övrigt
Utredningen föreslår att personuppgiftsansvar för övrig tillåten be- handling av personuppgifter för vården av en annan patient än den som uppgifterna avser ska följa 2 kap. 6 § PDL. Av bestämmelsen följer att en vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. I en region är varje myn- dighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.
Detta innebär att den vårdgivare som gör urval och tillgängliggör uppgifter till en precisionsmedicinsk databas är personuppgiftsansvarig för den behandlingen. Likaså är den regionala myndighet som använder den precisionsmedicinska databasen i vården av patienter personupp- giftsansvarig för denna behandling.
Skälen till att den allmänna regeln i 2 kap. 6 § PDL om personupp- giftsansvar ska gälla är att det är rimligt att vårdgivarna och de regio- nala myndigheterna själva bär ansvaret för den personuppgiftshantering som de själva utför i samband med urval och tillgängliggörande till en precisionsmedicinsk databas samt när de använder uppgifter i data- basen i vården. Den personuppgiftshanteringen har den som är centralt ansvarig normalt inga möjligheter att närmare kontrollera.
14.5.4Generella krav på informationssäkerhet
Bedömning: De krav på informationssäkerhet som ställs på per- sonuppgiftsansvariga inom vården i
469
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
Av dataskyddsförordningen följer allmänna krav på informations- säkerhet vid behandling av personuppgifter som görs inom hälso- och sjukvården (artikel
Bestämmelserna ställer bland annat krav på informationssäker- hetsarbetet, säkerhetskopior, hur hantering av personuppgifter ska hanteras i öppna nät och autentisering. De olika stegen med urval och tillgängliggörande (avsnitt 14.6), inrättande och förande av en pre- cisionsmedicinsk databas (avsnitt 14.7), tillgång till personuppgifter i en precisionsmedicinsk databas (avsnitt 14.8), samt kompletterande personuppgifter från patientjournal faller alla inom föreskrifternas tillämpningsområde (avsnitt 14.9) (se 1 kap. 1 §
Vid det tillgängliggörande som sker i steg 1 (urval och tillgänglig- görande till en precisionsmedicinsk databas) samt när en vårdgivare eventuellt ska tillgängliggöra kompletterande personuppgifter från patientjournal (steg 4), finns det inget krav på att dessa måste göras genom automatiserade system. Den personuppgiftsansvariga vård- givaren kan välja hur den vill göra. För det fall det inte görs genom helt eller delvis automatiserade system kan det vara så att vissa av före- skrifternas bestämmelser om exempelvis behörighetsstyrning inte blir tillämpliga (se 1 kap. 2 §
470
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
14.6Urval och tillgängliggörande av personuppgifter till precisionsmedicinsk databas
Förslag: Vårdgivare får behandla personuppgifter för urval och tillgängliggörande till en precisionsmedicinsk databas. Urval och tillgängliggörande får endast ske av uppgifter som behövs för att skapa underlag för vården av en annan patient än den som upp- gifterna avser. Vårdgivare som omfattas av en samverkansregion får endast tillgängliggöra personuppgifter till den precisionsmedi- cinska databas som finns i vårdgivarens samverkansregion.
Vårdgivare som inte omfattas av en samverkansregion, men som bedriver hälso- och sjukvård med en region som huvudman, får tillgängliggöra personuppgifter till den samverkansregionala databas som huvudmannen omfattas av. Vårdgivare som ingår i GMS får tillgängliggöra personuppgifter till den precisionsmedi- cinska databasen inom NGP.
Bedömning: Utredningen lämnar inget författningsförslag om vil- ken samverkansregional databas som övriga vårdgivare får tillgäng- liggörande uppgifter till.
Av 5 kap. 6 § PDL följer att ett tillgängliggörande som innebär ett utlämnande får ske genom ett elektroniskt utlämnande. Till- gängliggörande ska inte få ske genom direktåtkomst.
Steg 1 i utredningen modell för behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser är urval och tillgängliggörande av personuppgifter till precisionsmedicinsk databas. I detta avsnitt finns utredningens överväganden kring steg 1.
14.6.1Alla vårdgivare omfattas av möjligheten till urval
och tillgängliggörande till precisionsmedicinsk databas
Nedan beskrivs vilka typer av personuppgifter som typiskt sett behövs för syftet med en precisionsmedicinsk databas. Dessa typer av upp- gifter kan uppkomma hos olika vårdgivare, på olika vårdnivåer et cetera. Utredningen föreställer sig att precisionsmedicinska databaser inte har någon specifik inriktning mot ett medicinskt fält, utan att de ska kunna innehålla relevanta personuppgifter för vården av en
471
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
annan patient utifrån olika medicinska perspektiv. Särskilt de sam- verkansregionala databaserna ska kunna anta ett brett perspektiv.
Utredningen anser att det inte bör spela någon roll var i sjukvårds- systemet som en relevant uppgift uppkommer. Det är behovet av upp- giften som ska styra om den får tillgängliggöras för det nya ända- målet eller inte. Alla vårdgivare bör därför ha rättsliga möjligheter att bidra med personuppgifter till en precisionsmedicinsk databas. Således ska urval och tillgängliggörande till precisionsmedicinsk databas kunna ske från alla vårdgivare. Det som är relevant att avgränsa är i stället vilka uppgifter som ska tillgängliggöras och skyddsåtgärder avseende detta.
Utredningen konstaterar dock att det i praktiken är så att vissa typer av uppgifter som är relevanta för det nya ändamålet typiskt sett finns hos framför allt vissa vårdgivare. Ett sådant exempel är uppgift om genvariation, som framför allt genereras inom den regionalt be- drivna specialiserade vården. Det kan således i praktiken vara så att vissa vårdgivare har större volymer relevanta uppgifter än andra. Utifrån att reglerna är frivilliga, se avsnitt 13.5, är upp till de berörda aktö- rerna att bestämma vilka vårdgivare som i praktiken ska tillgänglig- göra uppgifter till en precisionsmedicinsk databas.
Det ska framhållas att utredningen lämnar förslag som på annat sätt begränsar användningsområdet för ändamålet, såsom begräns- ningar avseende tillgången till precisionsmedicinsk databas och möj- ligheten att motsätta sig att tillgängliggörande av personuppgifter sker. Detta är enligt utredningens mening ett lämpligare och mer träffsäkert sätt att reglera ändamålet.
Särskilt om begreppsanvändningen
Utredningens förslag innebär att begreppet vårdgivare används kopplat till urval och tillgängliggörande samt kompletterande personuppgifter från patientjournal, se avsnitt 14.9. Det är alltså vårdgivare som enligt utredningens förslag har möjlighet att tillgängliggöra personuppgifter för vården av en annan patient än den som uppgifterna avser. Vård- givare har den betydelse som följer av definitionen 1 kap. 3 § PDL. Vårdgivare omfattar statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kom- munen har ansvar för (offentlig vårdgivare) samt annan juridisk person
472
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare).
I praktiken ser inte utredningen att det kommer vara aktuellt för statlig eller kommunal hälso- och sjukvård att tillgängliggöra person- uppgifter till en precisionsmedicinsk databas. Utredningens förslag om inrättande och förande av precisionsmedicinsk databas bygger också på att detta är en angelägenhet inom den regionala hälso- och sjukvården. Utredningen föreslår inte heller att statliga eller kom- munala vårdgivare omfattas av föreslaget till sekretessbrytande bestäm- melse, se avsnitt 17.1. Att undanta statliga och kommunala aktörer från definitionen sav vårdgivare framstår dock inte som ändamåls- enligt. Vårdgivarbegreppet är ett väl etablerat begrepp inom hälso- och sjukvården. Det kan skapa osäkerhet och otydlighet att införa ett nytt begrepp i PDL som endast omfattar vissa vårdgivare.
Frågan om avgränsning av vårdgivarbegreppet har också uppkom- mit kopplat till utredningens förslag till ny lag om vidareanvändning av personuppgifter för klinisk forskning, se avsnitt 16.3.3. Utred- ningen har konsekvent valt att använda ett myndighetsbegrepp i situa- tioner där inte alla vårdgivare enligt definitionen i PDL ska omfattas av en bestämmelse. Utredningen har dock i sitt arbete med utform- ningen av de regler som föreslås noterat att det svårligen går att hitta en begreppsanvändning som är träffsäker utifrån det utredningen avser att reglera samtidigt som det blir tydlighet och enhetligt. Utredningen har försökt hitta en så god balans mellan dessa hänsyn som möjligt.
För det nya vårdändamålet använder utredningen även begreppet regional myndighet inom hälso- och sjukvården. Detta är ett snävare begrepp än vårdgivare. Det är endast en regional myndighet inom hälso- och sjukvården som får inrätta och föra precisionsmedicinsk databas och som får vara ansvarig för central behandling av person- uppgifter i precisionsmedicinsk databas. Tillgång till precisionsmedi- cinsk databas genom direktåtkomst eller annat elektroniskt utläm- nande får vidare endast ske till en regional myndighet inom hälso- och sjukvården. Nackdelen som är förknippad med att använda olika be- grepp motiverar enligt utredningens bedömning inte att färre aktörer ges möjlighet att tillgängliggöra uppgifter för det nya ändamålet. Det finns även starka skäl för begränsningarna som kopplar till regional myndighet inom hälso- och sjukvården, se avsnitt 14.7.2 och 14.8.2. Användandet av olika begrepp blir därför en nödvändighet. Utred-
473
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
ningen konstaterar samtidigt att det redan i dag finns både begreppen vårdgivare och regional myndighet i PDL.
14.6.2Urval och tillgängliggörande
Urval och tillgängliggörande är tillåtet avseende personuppgifter som behandlas enligt 2 kap. 4 § första stycket
Utifrån de behov som utredningen har fått till sig har utredningen gjort bedömningen att det är tillräckligt med en begränsad mängd per- sonuppgifter att söka i. Av detta följer att inte alla personuppgifter som vårdgivare behandlar som vårddokumentation behövs för syftet med en precisionsmedicinsk databas. Det ska alltså ske ett urval av upp- gifter som tillgängliggörs. Urvalet ska avse de personuppgifter som behövs för att skapa underlag för vården av en annan patient än den som uppgifterna avser. Bedömningen av vilka uppgifter som behövs ska göras utifrån medicinsk synvinkel, se avsnitt 14.6.3. Eftersom en precisionsmedicinsk databas kommer att innehålla känsliga person- uppgifter är det särskilt viktigt att urval av personuppgifter som görs med största noggrannhet.
Urval innebär att relevanta personuppgifter för ändamålet avgränsas på något sätt. Hur detta sker är inte något som utredningen anser kan eller bör regleras. Det bör vara upp till inblandade aktörer att välja det sätt som passar bäst i förhållande till den aktuella precisionsmedi- cinska databasen. Urval kan enligt utredningens uppfattning ske med både manuella åtgärder och automatiskt. Utredningens bedömning är det krävs samverkan mellan de regioner som tillhör en samverkans- region att komma överens om urval och upplägget i övrigt avseende tillgängliggörande till en precisionsmedicinsk databas. Formellt an- svarig för urvalet är dock den vårdgivare som är personuppgiftsansvarig för tillgängliggörandet, se om personuppgiftsansvar i avsnitt 14.5.3.
Kravet på pseudonymisering ska tillämpas på de uppgifter som ingår i urvalet innan tillgängliggörande får ske, se vidare avsnitt 14.6.5.
474
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
Tillgängliggörande kan ske både mellan och inom myndigheter
I avsnitt 14.4.5 har utredningen beskrivit att den tagit utgångspunkt i steg
Begreppet tillgängliggörande omfattar samtliga nu nämnda situa- tioner.
Ett tillgängliggörande omfattar således när det är fråga om ett utlämnande över vårdgivar- eller myndighetsgräns. Ett tillgänglig- görande omfattar även när personuppgifter inom den myndighet som för en precisionsmedicinsk databas ska tillföra databasen uppgifter som härrör från behandling enligt 2 kap. 4 § första stycket
Utredningen noterar att begreppet tillgängliggörande används i situationer som endast innefattar ett utlämnande (jämför 2 kap. SVOD). Utredningen anser dock att tillgängliggörande inte behöver vara likalydande med ett utlämnande. Att begreppet får omfatta båda situationerna medför en enklare begreppsanvändning, vilket är en fördel. Utredningen föreslår därför att begreppet tillgängliggörande används som begrepp för när personuppgifter tillförs en precisions- medicinsk databas, oavsett om detta sker över en myndighetsgräns eller inte.
När tillgängliggörandet är ett utlämnande, ska det få ske elektro- niskt, se under rubriken ”Tillgängliggörande ska kunna ske i elektronisk form”. I dessa situationer uppkommer också frågor rörande sekretess. Utredningens förslag avseende sekretessbrytande grund kopplat till ändamålet vården av en annan patient än den som uppgifterna avser finns i avsnitt 17.1.
475
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
Tillgängliggörande ska kunna ske i elektronisk form
Tillgängliggörande till precisionsmedicinsk databas ska kunna ske i elektronisk form.
När tillgängliggörandet sker inom en myndighet finns inga sär- skilda regler som rör formen för hur personuppgifterna ska tillföras den precisionsmedicinska databasen. Det står myndigheten princi- piellt fritt att använda de tekniska lösningar den finner lämpligt, utifrån att relevanta krav på informationssäkerhet och dataskydd följs (se avsnitt 14.5.4). Det centrala utifrån utredningens förslag är att de tek- niska lösningarna ska stödja kraven på urval av personuppgifter som följer av föreslagna bestämmelser.
När tillgängliggörandet är ett utlämnande aktualiseras 5 kap. 6 § PDL. Av denna bestämmelse följer att om en personuppgift får lämnas ut, kan det ske på medium för automatiserad behandling. Utredningen redogör för bestämmelsens innebörd i avsnitt 7.5.6.
Enligt förarbetena till PDL är direktåtkomst en viss form av elek- troniskt utlämnande till en extern mottagare. Den som är ansvarig för informationen har inte kontroll över vilka uppgifter som en mot- tagare vid ett visst tillfälle tar del av (automatiserad tillgång) och mot- tagaren av informationen kan inte påverka innehållet i det informa- tionssystem som informationen lämnas ut från (prop. 2007/08:126 s. 74). Den elektroniska formen omfattar i sig ett stort antal varia- tioner, till exempel användning av
Begreppet ”på medium för automatiserad behandling”, likväl som exemplen i förarbetena kan framstå som ålderdomliga. Begreppet i lagtexten tar dock endast sikte på den elektroniska formen för utläm- nandet och exemplen i förarbetena är också just bara exempel. Varken formuleringen i lagtexten eller exemplen i förarbetena utesluter enligt utredningens uppfattning att när det talas om ”elektroniskt utläm- nande”, att detta kan ske även med mer modern teknik. Avgörande från juridisk synvinkel är att den teknik som används inte medför att utlämnandet ses som en direktåtkomst. Detta eftersom det vid direkt- åtkomst finns vissa särskilda rättsliga frågor som måste lösas innan just den formen av tillgängliggörande används se vidare under rubriken ”Varför inte direktåtkomst”.
476
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
Utredningens bedömning är att det följer av 5 kap. 6 § PDL att utlämnande kan ske genom ett annat utlämnande än direktåtkomst, förutsatt att sekretess inte hindrar det. Utredningens förslag avseende sekretessbrytande bestämmelse finns i avsnitt 17.1.
Varför tillgängliggörande till precisionsmedicinsk databas inte ska få göras genom direktåtkomst
Det som enligt utredningens mening bör vara tillåtet är tillgänglig- görande på annat elektroniskt sätt än genom direktåtkomst. Ovan har framgått att utlämnande kan ske redan följer av 5 kap. 6 § PDL.
Utredningen konstaterar saknas en legaldefinition av begreppet direktåtkomst. Utredningen konstaterar att begreppet har berörts i många lagstiftningsarbeten och att det förekommer i ett stort antal författningar. I PDL och SVOD finns bestämmelser om direktåtkomst (se till exempel 5 kap. 4 §, 7 kap. 9 § PDL och 2 kap. 1 § SVOD).
I propositionen till SVOD anges att med ”direktåtkomst” avses vanligtvis att någon har direkt tillgång till någon annans register eller databas och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen. I begreppet ligger också att den som är personuppgiftsansvarig för registret eller data- basen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst söktillfälle tar del av (prop. 2021/22:177 s. 46).
Förutom den viktiga juridiska skillnaden att det vid elektroniskt utlämnande måste göras en sekretessprövning vid varje enskilt utläm- nandetillfälle brukar även informationen avse en avgränsad informa- tionsmängd som är anpassad för ett specifikt utlämnande.
Vid direktåtkomst sker generellt sett ingen avgränsning av infor- mation vid varje tillfälle som mottagaren tar del av uppgifter. Direkt- åtkomsten begränsas i stället av de villkor som är uppställda för den aktuella rätten att få åtkomst till uppgifter genom direktåtkomst. Exempelvis styrs direktåtkomsten enligt SVOD av de förutsättningar som måste föreligga enligt 2 kap.
En ytterligare dimension av vad som brukar avses med direkt- åtkomst framgår av HFD 2015 ref. 61. Av avgörandet framgår att för att ett elektroniskt utlämnande ska anses utgöra direktåtkomst krävs det att den aktuella upptagningen anses förvarad hos mottagaren på det sätt som avses i 2 kap. 6 § första stycket TF, det vill säga att upptagningen är tillgänglig för mottagaren med tekniskt hjälpmedel
477
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
som mottagaren själv utnyttjar för överföring i sådan form att den kan läsas eller avlyssnas eller uppfattas på annat sätt.
I förarbetena till SVOD har det anförts att skillnaden mellan direkt- åtkomst och annat elektroniskt utlämnande i praktiken inte behöver vara särskilt stor (jämför HFD 2015 ref. 61 och prop. 2021/22:177 s. 78). Ett exempel på annat elektroniskt utlämnande är en elektro- nisk så kallad
En konsekvens av att information som är åtkomlig via direktåt- komst ses som en allmän handling hos den myndigheten som har rätt till direktåtkomst är att uppgifterna blir potentiellt tillgängliga på fler ställen. Ju fler myndigheter som har direktåtkomst till uppgifter hos någon annan myndighet, desto fler ställen kommer uppgifterna finnas på och kommer i den mån de inte omfattas av sekretess, då utgöra handlingar som allmänheten kan få ta del av. Sekretesskyddet, men även i viss mån integritetsskyddet i allmänhet, blir således beroende av vad för typ av sekretess uppgifterna kommer omfattas av hos den mottagande myndigheten, se vidare avsnitt 17.3.
Ett förlorat sekretesskydd kan kompenseras med andra typer av sekretessbestämmelser som till exempel bestämmelser om överföring av sekretess. I 11 kap. 4 § OSL föreskrivs att om en myndighet hos en annan myndighet har elektronisk tillgång till en upptagning för automatiserad behandling och en uppgift i denna upptagning är sekre- tessreglerad, blir sekretessbestämmelsen tillämplig även hos den mot- tagande myndigheten. Bestämmelsen motiveras av att en myndighet vid direktåtkomst regelmässigt får teknisk tillgång till fler uppgifter än de uppgifter som omfattas av myndighetens rätt att ta del av upp- gifter (jämför prop. 2007/08:160 s. 73).
Ur ett dataskyddsperspektiv har åtkomst i form av direktåtkomst ansetts utgöra en särskilt integritetskänslig åtkomstform (se till exem- pel prop. 2021/22:177 s. 78). Den ökade integritetskänsligheten kan anses bestå dels av att personuppgifter i elektronisk form lättare kan bearbetas, dels att den personuppgiftsansvarige inte har samma typ av kontroll över vilka personuppgifter den mottagande parten tar del av eller vid vilken tidpunkt (jämför prop. 2007/08:126 s.
Enligt utredningens uppfattning är det av största vikt att ett tillgäng- liggörande till precisionsmedicinsk databas är avgränsat och inte om- fattar mer uppgifter än vad som behövs ur medicinsk synvinkel för syftet med databasen (se utförligare överväganden i avsnitt 14.6.3). Uppgifter utöver detta ska inte vara tillåtet att tillgängliggöra. Detta
478
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
anser utredningen är viktigt ur integritetshänseende. Det beror på att det dels inte kan anses finnas ett behov av det, dels för att det rör sig om uppgifter som utgör känsliga personuppgifter enligt artikel 9 i data- skyddsförordningen. Att tillgängliggöra en mer omfattande mängd känsliga personuppgifter än vad som kan motiveras utifrån ändamålet med en precisionsmedicinsk databas kan inte anses förenligt med data- skyddsförordningens regler om vare sig uppgiftminimering eller kraven på proportionalitet.
Eftersom databasen enligt utredningens mening inte ha ska ha ”stå- ende tillgång” till alla personuppgifter som vårdgivare behandlar en- ligt 2 kap. 4 § första stycket
Förhållandet till uppgiftsutlämnande 6 kap. 5 § OSL
Enligt 6 kap. 5 § OSL ska en myndighet på begäran av en annan myn- dighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång. En fråga som bör belysas är om denna bestämmelse kan bli tillämplig på vård- givares tillgängliggörande av personuppgifter till en precisionsmedi- cinsk databas. Om 6 kap. 5 § OSL är tillämplig skulle det innebära att möjligheten att behandla personuppgifter för tillgängliggörande till precisionsmedicinsk databas kan bli en skyldighet att lämna ut upp- gifter. Utredningen gör följande överväganden i denna fråga.
Syftet med en precisionsmedicinsk databas är att samla person- uppgifter för vården av en annan patient än den som uppgifterna avser och göra de sökbara för användning i vården av en annan patient än den uppgifterna avser. En viktig del i detta är att tillhandahålla ett underlag så att det ska gå hitta relevanta uppgifter att göra sökningar på (se vidare avsnitt 13.2 och 13.4) Det är ofta inte känt för den myn- dighet som för den precisionsmedicinska databasen eller för de myndig- heter som har tillgång till den vilka personuppgifter som finns hos vårdgivare som är av relevans för vården av en annan patient än den som uppgifterna avser. Kännedomen är i vart fall typiskt sett inte av sådan precision att en begäran enligt 6 kap. 5 § OSL kan formuleras.
479
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
Utredningen gör mot denna bakgrund bedömningen att det sällan kommer bli möjligt för den regionala myndigheten inom hälso- och sjukvården som för en precisionsmedicinsk databas att kunna precisera en begäran om uppgiftslämnande enligt 6 kap. 5 § OSL. Utred- ningens bedömning är därmed att bestämmelsen i 6 kap. 5 § OSL inte medför att tillgängliggörande i steg 1 enligt utredningens förslag (se avsnitt 13.4 för redovisning av de olika stegen), bör medföra skyl- digheter för myndigheter att tillgängliggöra uppgifter till en precisions- medicinsk databas.
14.6.3Vilka uppgifter ska omfattas?
I detta avsnitt kommer utredningen redogöra för bedömningar av personuppgifter som behövs för att skapa ett underlag och göras sök- bara i en precisionsmedicinsk databas, samt resonemang kring hur dessa ska begränsas och preciseras
De personuppgifter som behövs för att skapa underlag för ändamålet ska få tillgängliggöras
Urval och tillgängliggörande av personuppgifter ska enligt utredningens förslag vara begränsat till vad som behövs för att skapa underlag för vården av en annan patient än den som uppgifterna avser. Det ska inte vara tillåtet att tillgängliggöra hela patientjournaler eller stora delar av en patientjournal. I stället ska ett urval av relevanta typer av upp- gifter för sökning i precisionsmedicinsk databas göras.
Utredningen anser att utgångspunkten för vilka uppgifter som ska vara tillåtet att tillgängliggöra till en precisionsmedicins databas måste utgå ifrån behovet av uppgifter för vården av en annan patient än den som uppgifterna avser. Utredningen konstaterar att personuppgifter får behandlas inom hälso- och sjukvården för de ändamål som finns i 2 kap. 4 § första stycket PDL om det behövs. I 2 kap. 4 § anges att en vårdgivare får behandla endast sådana personuppgifter som behövs för de ändamål som anges i den paragrafen. I linje med detta anser utredningen att en lämplig och tillräcklig reglering av det nya ända- målet utgörs av ett behovskriterium i lagstiftningen. Utredningen redogör nedan för den typ av uppgifter, som utredningen i kontakt
480
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
med företrädare för hälso- och sjukvården, har fått till sig behövs för ändamålet.
Utredningen föreslår alltså ett behovskriterium. Utredningen har dock även prövat ett antal olika sätt att närmre precisera de uppgifter som får tillgängliggöras. Utredningen ser att en närmre precisering, om den är möjlig, skulle kunna skapa en ökad tydlighet i lagstift- ningen. Utredningen har dock mött stora svårigheter i försöken att närmare precisera typen av uppgifter. Utredningen redogör nedan för de alternativ som utredningen har prövat och varför utredningen inte anser att dessa är en framkomlig väg.
Exempel på personuppgifter som behövs för sökning
I utredningens direktiv anges exempel på uppgiftstyper kopplat till vården av annan patient än den som uppgifterna avser. Där räknas kön, ålder, bakgrunden till att undersökningen utfördes, klinisk be- dömning, andra bakomliggande hälsotillstånd hos patienten, klinik som utfört undersökning och tolkning av fynd upp.
Utredningen har varit i kontakt med aktörer som arbetar med precisionsmedicin för att få kunskap om de uppgifter som profes- sionen anser behövs för sökning i en precisionsmedicinsk databas. Exempel som framkommit i dessa kontakter är fenotypdata så som kön, ålder, diagnoser, men också andra datamängder så som gen- variant, virustyp och data avseende sekvensering av virus. Det kan även vara typ och val av behandling och behandlingsutfall, då allt från biomarkörer, patientrapporterat utfall som komplikationer eller lång- tidseffekter av behandlingen. Även vissa radiologiska bilder är använd- bara för att jämföra patientfall och behandlingar vid liknande bildfynd. Utifrån detta gör utredningen bedömningen att den uppräkning som görs i direktiven snarare utgör exempel på typ av personuppgifter som totalt sett kan vara relevant att ta del av i vården av ett enskilt fall, inte endast det som behövs för sökning i en precisionsmedicinsk databas. Utredningens bedömning är därför att personuppgifter som ska få tillgängliggöras till databasen bör vara mer avgränsad.
481
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
Särskilt om känsliga personuppgifter
De uppgifter som behöver tillgängliggöras utgör särskilda kategorier av personuppgifter enligt EU:s dataskyddsförordning, så kallade käns- liga personuppgifter. Känsliga personuppgifter är bland annat upp- gifter om hälsa. Även genetiska uppgifter är känsliga personuppgifter.
Inom hälso- och sjukvården får även genetiska uppgifter betraktas som uppgifter om hälsa. Härvid kan även den definition som finns av genetiska uppgifter beaktas, se artikel 4.13 i EU:s dataskyddsförord- ning. I definitionen anges att alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av biologiskt prov från den fysiska personen i fråga utgör genetiska uppgifter enligt förordningen. I sammanhanget kan även noteras att genetiska uppgifter som behand- las för precisionsmedicinska syften kan indirekt avslöja att den vars genetiska uppgifter kommer ifrån troligtvis har en viss etnicitet. I arti- kel 9.1 dataskyddsförordningen räknas personuppgifter som avslöjar etniskt ursprung som sådan särskild kategori av personuppgift som omfattas av förbudet att behandlas enligt huvudregeln. Eftersom detta endast är indirekt konsekvens av att genetiska uppgifter kan komma att behandlas i en precisionsmedicinsk databas anser inte utredningen att det är en kategori som särskilt skulle behöva anges i en generisk for- mulering utan att den får anses inkluderas i det vidare begreppet hälsa.
Samtliga uppgifter som tillgängliggörs ska vara sökbara
Syftet med en precisionsmedicinsk databas är att utgöra underlag för vården av en annan patient än den som uppgifterna avser. De upp- gifter som tillgängliggörs ska endast behövas för detta syfte. Poängen med databasen är att samla relevanta personuppgifter för sökning. Som utgångspunkt anser utredningen därför att alla typer av upp- gifter som tillgängliggörs ska vara sökbara. Det är endast uppgifter som är av medicinskt intresse att söka på som är relevanta att ha i en precisionsmedicinsk databas. det innebär att endast uppgifter som kan behöva sökas fram för ändamålet ska tillgängliggöras. Uppgifter om hälsa får tillgängliggöras, göras sökbara och sökas efter, men inte andra typer av känsliga personuppgifter, se vidare avsnitt 14.8.5 om sök- begrepp.
482
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
Utredningens försök att närmre precisera de uppgifter som ska få tillgängliggöras
Utredningen har övervägt olika sätt att närmre precisera vilka upp- gifter som ska få ingå i urval och tillgänggörande.
Ett sätt är att i lagtext försöka räkna upp typer eller kategorier av uppgifter som ska få tillgängliggöras. Redan i momentet att hitta for- muleringar som inbegriper de uppgifter som i dag finns behov av att tillgängliggöra mötte utredning stora utmaningar. En uppräkning skulle behöva innehålla ålder, kön, diagnos, virustyp och behandlingsutfall. Vad som är svårare att ringa in är den typ av biologiska uppgifter som också behövs. Här avses bland annat så kallade omiker. Uppräk- ningen tenderade redan här att bli väldigt lång och innehålla medi- cinska termer som inte är lämpliga för lagtext och lagtolkning. Utred- ningen gör bedömningen att den typ av uppräkning som skulle tjäna någon klargörande funktion, skulle vara så detaljerad att det är främ- mande att ha i lagtext. Det finns också en överhängande risk att upp- räkningen inte blir uttömmande. Det skulle förvisso vara ett alternativ att ha en exemplifierande uppräkning. Ur transparenshänseende får det dock anses vara av begränsat värde. En exemplifierande uppräkning är enligt utredningens uppfattning mer lämplig att ha i en författnings- kommentar.
En ytterligare aspekt som utredningen har identifierat är att vad som behöver kunna tillgängliggöras kommer att variera över tid. Uti- från att precisionsmedicinen, som styrs av forskningens framsteg, utvecklas mycket snabbt kommer också behovet av uppgifter förändras förhållandevis snabbt. Vad som är relevant information att tillgäng- liggöra till en precisionsmedicinsk databas utifrån vetenskap och be- prövad erfarenhet ändras fort. Det ligger i forskningens natur att vi inte vet vilka personuppgifter som kommer att behövas för morgon- dagens vård. Det är av nu nämnda skäl inte möjligt att i lag reglera detta i detalj. Regeringen har fört liknande resonemang i exempelvis prop. 2022/23:41 s. 45 där regeringen anger att:
Det är enligt regeringens uppfattning inte möjligt att i nuläget förutse den exakta omfattningen av samtliga slags uppgifter som kommer att be- handlas i analys- och urvalsdatabasen. Vilka slags uppgifter som kan behö- vas kan också variera, bl.a. beroende på vilka riskanalyser som tas fram. I alla lägen kommer det dock enbart röra sig om sådana uppgifter som behövs för analys och urval.
483
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
Propositionen avser ett annat område och innehåller förslag om att få behandla personuppgifter för folkbokföringsverksamheten, men utredningen anser att slutsatsen är applicerbar även för utredningens förslag.
Utredningen har även övervägt om en precisering av uppgifter i stället skulle kunna ske på ett lämpligt sätt på en lägre normgivnings- nivå än lag. Utredningen har gjort en jämförelse med regleringen av hälsodataregister, där uppgifter först räknas upp i förordning och sedan kompletteras med ytterligare detaljerade uppräkningar i föreskrifter. En fördel med lägre normgivningsnivå är att mer detaljerade uppräk- ningar är möjligt samt att en ändring av till exempel föreskrifter normalt sett går snabbare än en ändring av lagtext. Hälsodataregister har dock helt andra syften och är inte jämförbart med behandling av person- uppgifter som ska ske vårdnära. Även om det går snabbare att ändra föreskrifter, finns en tröghet i detta som skulle vara negativ för vården. En statlig myndighet, exempelvis Socialstyrelsen, skulle behöva ha ansvaret för att uppdatera föreskrifterna. Detta skulle enligt utred- ningens bedömning behöva ske i samråd med den medicinska profes- sionen. I praktiken skulle det därför ändå i stor utsträckning vara en bedömning från den medicinska professionen som avgör vilka upp- gifter som får tillgängliggöras. Den administrativa process och insyn från en statlig myndighet som skulle föregå en ändring av föreskrif- terna skulle kunna medföra ett visst ökat integritetsskydd. Utred- ningen anser dock inte att nyttan skulle bli speciellt stor och inte heller överväga den administrativa börda som förfarandet skulle med- föra för alla inblandade aktörer. Dessutom skulle ett sådant förfarande förlänga processen ytterligare med att få ett heltäckande regelverk på plats och syftet med regelverket inte komma patienterna till del lika fort. Ett tillräckligt integritetsskydd kan enligt utredningen mening uppnås på andra sätt (se vidare avsnitt 14.15).
Utifrån de svårigheter som finns med att ha en preciserad upp- räkning, har utredningen övervägt om det är möjligt att hitta en lämp- lig formulering av generiskt slag. En möjlig sådan formulering skulle kunna vara uppgifter om hälsa enligt artikel 9.2 i EU:s dataskydds- förordning. Uppgifter om hälsa definieras i EU:s dataskyddsförordning som uppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus (artikel 4.15). Vidare anges föl- jande i skäl 35. Personuppgifter om hälsa bör innefatta alla de upp-
484
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
gifter som hänför sig till en registrerad persons hälsotillstånd som ger information om den enskildes tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd. Detta inbegriper uppgifter om den fysiska personen som insamlats i samband med registrering för eller tillhanda- hållande av hälso- och sjukvårdstjänster till den fysiska personen enligt Europaparlamentets och rådets direktiv 2011/24/EU. Sådana uppgifter kan utgöras av ett nummer, en symbol eller ett kännetecken som den fysiska personen tilldelats för att identifiera denne för hälso- och sjuk- vårdsändamål, uppgifter som härrör från tester eller undersökning av en kroppsdel eller kroppssubstans, däribland genetiska uppgifter och biologiska prov, och andra uppgifter om exempelvis sjukdom, funktionshinder, sjukdomsrisk, sjukdomshistoria, klinisk behandling eller den enskildes fysiologiska eller biomedicinska tillstånd, oberoende av källan, exempelvis från en läkare eller från annan sjukvårdspersonal, ett sjukhus, en medicinteknisk produkt eller ett diagnostiskt in vitro- test. I skäl 63 i dataskyddsförordningen anges som exempel på upp- gifter om hälsa uppgifter i läkarjournaler så som diagnoser, under- sökningsresultat, bedömningar av behandlande läkare och eventuella vårdbehandlingar eller interventioner.
Utifrån ovan får förstås att uppgifter om hälsa kan tolkas brett. Det är också så utredningen uppfattar praxis på området. Fördelen med detta är att de variabler som över tid behöver tillgängliggöras för syftet med en precisionsmedicinsk databas enligt utredningens be- dömning har stora möjligheter att omfattas. Däremot är begreppet uppgifter om hälsa inte särskilt begränsande i sig. Poängen med att ange ”uppgifter om hälsa” skulle framför allt vara att tydligare i lagtexten synliggöra vad det är fråga om för uppgifter. En ytterligare funktion skulle vara att uttryckligen utesluta andra känsliga uppgifter, så till vida de inte också räknas som uppgift om hälsa (se ovan avse- ende genetiska uppgifter). Dessa förhållanden synliggörs dock på andra sätt. Utredningen föreslår en uttrycklig bestämmelse som avser behandling av känsliga personuppgifter, se avsnitt 14.3.3. Utredningen ser utifrån detta ingen poäng med att också ange uppgifter om hälsa i bestämmelsen om tillgängliggörande.
485
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
14.6.4Vilken eller vilka precisionsmedicinska databaser som tillgängliggörande får göras till
Utredningen föreslår en geografisk uppdelning avseende inrättande och förandet av precisionsmedicinska databaser, se avsnitt 14.7.3. Sex pre- cisionsmedicinska databaser ska få inrättas och föras i respektive sam- verkansregion. Utöver detta ska en särskild precisionsmedicinsk databas få inrättas och föras inom NGP. Tillgängliggörande av person- uppgifter till precisionsmedicinsk databas ska ske utifrån utredningens förslag avseende inrättande och förande av precisionsmedicinska data- baser. Utredningen redogör i det följande för innebörden av detta.
Föreslagen reglering finns i utredningens förslag till förordning.
Tillgängliggörande till samverkansregional precisionsmedicinsk databas
Tillgängliggörande till samverkansregional precisionsmedicinsk data- bas kan delas upp mellan vårdgivare som omfattas av en samverkans- region och vårdgivare som inte gör det. Bland de vårdgivare som inte omfattas av en samverkansregion har utredningen valt att lämna ett specifikt förslag på reglering avseende privata aktörer med huvud- sakligen offentlig finansiering. För övriga kategorier vårdgivare gör utredningen bedömningen att det inte i praktiken kommer vara aktuellt att tillgängliggöra personuppgifter till precisionsmedicinsk databas. I syfte att regleringen ska vara heltäckande lämnar utredningen dock ett förslag som även omfattar dessa.
Vårdgivare som omfattas av en samverkansregion
De vårdgivare som omfattas av en samverkansregion utgörs av de regioner eller kommuner som ingår i respektive samverkansregion enligt 3 kap. 1 § HSF. Vårdgivare som omfattas av en samverkans- region får tillgängliggöra personuppgifter till den precisionsmedicinska databas som förs av den samverkansregion som vårdgivaren omfattas av. Det är inte tillåtet för vårdgivare att tillgängliggöra personupp- gifter till en samverkansregional precisionsmedicinsk databas som finns i någon annan samverkansregion än den som vårdgivaren omfattas av.
486
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
Genom att tillgängliggörande endast får ske till den samverkans- regionala databas som finns i den samverkansregion som vårdgivaren ingår i, begränsas omfattningen av personuppgifter som ingår i data- basen. Utifrån samverkansregionernas storlek kan ändå databaserna få en sådan volym uppgifter att de är användbara för sitt syfte. Utred- ningen gör bedömningen att detta är en rimlig avvägning mellan be- hoven av större möjligheter till datadelning och intressen av integri- tetsskydd.
Privata vårdgivare med regionen som huvudman
För vårdgivare som inte ingår i en samverkansregion behövs också en reglering med avseende på vilken eller vilka precisionsmedicinska databaser som tillgängliggörande ska få ske till. Utredningen har övervägt olika alternativt. För vårdgivare som får offentlig finansiering eller har uppdrag från en region, går det att koppla tillgängliggörandet till den precisionsmedicinska databas som finns i finansiärens eller huvudmannens samverkansregion. I praktiken berör detta privata vårdgivare med uppdrag/finansiering från en eller flera regioner.
Utredningen har övervägt om kopplingen ska knytas till huvud- mannaskapet eller finansieringen. Utredningen anser att det är tydligare och medför minst tillämpningssvårigheter att knyta kopplingen till huvudmannaskapet. Finansiering kan snabbt ändras över tid, vilket gör det till ett mer instabilt kriterium. Samtidigt konstaterar utred- ningen att huvudmannaskapet endast kan avse en mycket liten del av en vårdgivares verksamhet. I de fallen kommer det dock enligt ut- redningens mening sannolikt inte bli fråga om att tillämpa reglerna. Över huvud taget gör utredningen den bedömningen att de regler som utredningen nu föreslår avseende datadelning för vården av annan än den som uppgifterna avser framför allt kommer att börja tillämpas inom offentlig driven vård. Det framstår som mest sannolikt att privata vårdgivare inte kommer att börja tillämpa ändamålet, i vart fall inte i någon större omfattning, förrän en helt nationell infrastruktur finns på plats, se kapitel
487
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
Tillgängliggörande får ske till den eller de precisionsmedicinska databaser som huvudmannen omfattas av. Detta innebär att tillgänglig- görande i teorin kan ske till mer än en databas. Utredningen gör dock bedömningen att detta i så fall kommer utgöra en mycket liten mängd personuppgifter. Utredningen ser det inte motiverat att reglera detta på en ytterligare detaljnivå, utan anser att det är mest lämpligt att över- lämna åt de berörda aktörerna att hantera dessa situationer på ett praktiskt lämpligt sätt.
Övriga vårdgivare
Vad beträffar övriga vårdgivare (statliga och kommunala vårdgivare samt privata vårdgivare som inte omfattas enligt ovan), är det utred- ningens bedömning att det är mycket osannolikt att de ens kommer blir aktuella för tillgängliggörande av personuppgifter. Avseende övriga vårdgivare som är myndigheter föreslår utredningen inte heller någon sekretessbrytande grund, se avsnitt 17.1.
Om regleringen ska vara formellt sett fullständig i den meningen att samtliga vårdgivare omfattas, skulle förordningen behöva innehålla en regel för övriga vårdgivare. Enligt utredningens mening skulle den i så fall lämpligen föreskriva att tillgängliggörande får ske till samver- kansregional databas enligt överenskommelse med den regionala myn- digheten inom hälso- och sjukvården som för databasen. Utredningen anser dock att detta är en i praktiken obehövlig reglering som dess- utom inte är logisk till följd att utformningen av förslagen sekretess- brytande grund. Utredningen lämnar därför inget förslag till sådan reglering.
Tillgängliggörande till särskild precisionsmedicinsk databas inom den Nationella Genomikplattformen
NGP är en
Det är enligt utredningens bedömning rimligt att det endast är de vårdgivare som ingår i GMS som ska tillgängliggöra personuppgifter till den precisionsmedicinska databasen som får föras inom den NGP.
Samtliga regioner med universitetssjukvård ingår i GMS. Det inne- bär att samtliga regionsjukhus (universitetssjukhus) ingår i GMS. Det
488
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
är på dessa sjukhus som bland annat patienter med bland annat säll- synta diagnoser vårdas. Ett område där nationell delning av person- uppgifter är avgörande för att uppnå medicinsk nytta är genetisk diagnostik kopplad till nedärvda sjukdomar. För att få en korrekt diagnostik behöver sekvensering (genanalys) av till exempel alla tek- niskt korrekta genvarianter och alla tolkade genvarianter kunna delas. Anledningen till detta är att genförändringar kan vara så ovanliga att en samling av personuppgifter inom endast en samverkansregion inte är tillräcklig. Detta är fallet vid så kallade sällsynta diagnoser. Var och en av diagnoserna är så ovanlig att det behövs en nationell datadelning. Behovet uppstår även när det gäller både bildbehandling och mikro- biologi. När det är fråga om sällsynta fall behöver upptagningsom- rådet vara större för att det ska finnas relevant jämförelsedata. Att få information om hur patienter med samma bildresultat har behandlats eller hur liknande patienters laboratoriedata ser ut, ger möjligheter att jämföra på ett sätt som möjliggör god precisionsmedicin.
Ett annat område där de personuppgifter från patienter som finns i hela landet behöver kunna delas avser personuppgifter kopplade till cancer (icke nedärvda sjukdomar). Själva cancerformen kan i och för sig vara vanlig, men kombinationer av form och förändringar i genomet kan vara ovanliga. Utifrån kombinationerna av form och förändringar bildas undergrupper till en cancerform. Vissa undergrupper är att be- trakta som ovanliga. För dessa ovanliga undergrupper finns behov av att dela data nationellt.
Patienter med sällsynta diagnoser eller cancer med målinriktad be- handling får regelmässigt vård på något av landets regionsjukhus (uni- versitetssjukhus). Till exempel sker då gensekvensering för dessa pati- entgrupper på universitetssjukhusen. Där finns eller genereras den relevanta typen av information. Detta blir enligt utredningens bedöm- ning ”nationellt” i den mening att all relevant information som finns i landet som fångas upp av GMS kommer då att kunna användas i vården av de patienter som behöver det.
De personuppgifter som behöver kunna delas bredare än på sam- verkansregional nivå finns således hos regionsjukhusen (universitets- sjukhusen). För dessa personuppgifter kan det alltså finnas några få runtom i landet. Det innebär att det inte skulle ge tillräckligt med underlag om det finns en eller två fall i varje samverkansregion.
Istället öppnar NGP för möjligheten att samla dessa fall på ett ställe och på så sätt öka chanserna att utgöra ett tillräckligt underlag som
489
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
behandlande vårdpersonal kan vara behjälpta av. Utredningen gör be- dömningen att tillgängliggörande av de vårdgivare som ingår i GMS tillgodoser de behov av datadelning som finns för GMS. Att aktuella vårdgivare ingår i GMS bekräftar också i sig att det är mellan just dessa som behovet av viss datadelning finns för att uppnå syftet att fullt ut implementera precisionsmedicin.
Det är samtidigt en rimlig avvägning att endast de vårdgivare som ingår i GMS är de som får tillgängliggöra uppgifter till den preci- sionsmedicinska databas som får föras där. Utredningen har inte upp- fattat att det skulle vara avgörande för användbarheten att även andra vårdgivare får tillgängliggöra personuppgifter till den precisionsmedi- cinska databasen inom NGP. I förlängningen skulle det kunna finnas en nytta av helt nationell datadelning för vården av annan patient än den som personuppgifterna avser. Detta får dock enligt utred- ningens mening utredas och etableras kopplat till en nationell data- hubb, se kapitel
När behov inte längre finns ska uppgifter sluta tillgängliggöras
Kravet på att personuppgifter som tillgängliggörs till en precisions- medicinsk databas behövs för att skapa underlag för vården av en annan patient än den som uppgifterna avser innebär först och främst att endast personuppgifter som bedöms behövs får tillgängliggöras, se avsnitt 14.6.3. Det är en medicinsk bedömning som enligt utred- ningens mening ska ligga till grund för vilka uppgifter som behövs för att skapa underlag för vården av en annan patient än den som upp- gifterna avser.
Kravet på att uppgifterna ska behövas som underlag för vården av en annan patient än den som uppgifterna avser medför också att till- gängliggörande av en viss typ av uppgift ska upphöra om den inte längre behövs. Detta behöver prövas kontinuerligt av vårdgivare som tillgäng- liggör uppgifter. Prövningen ska utgå ifrån en medicinsk bedömning. Har det exempelvis visat sig att en viss typ av uppgift inte längre är relevant vid sökning ska den inte längre tillgängliggöras. Utredningen ser framför sig att samråd kring denna typ av frågor kan behöva ske mellan de regionala myndigheter som samverkar avseende en preci- sionsmedicinsk databas och med de vårdgivare som tillgängliggör upp- gifter till databasen.
490
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
14.6.5Pseudonymisering eller annat likvärdigt skydd
Förslag: Tillgängliggörande till en precisionsmedicinsk databas får endast avse personuppgifter som är pseudonymiserade eller skyd- dade på likvärdigt sätt.
Vad innebär pseudonymisering eller likvärdigt skydd?
Med begreppet pseudonymisering avses enligt artikel 4.5 i dataskydds- förordningen att personuppgifterna inte längre kan tillskrivas en speci- fik registrerad utan att kompletterande uppgifter används. Dessa kom- pletterande uppgifter ska, enligt nyss nämnda bestämmelse, förvaras separat och vara föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.
I artikel 32.1 i dataskyddsförordningen anges vidare att den per- sonuppgiftsansvarige, med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sam- manhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, ska vidta lämp- liga tekniska och organisatoriska åtgärder för att säkerställa en säker- hetsnivå som är lämplig i förhållande till risken, inbegripet bland annat pseudonymisering. Tillämpningen av pseudonymisering av personupp- gifter kan minska riskerna för de registrerade som berörs och hjälpa personuppgiftsansvariga att fullgöra sina skyldigheter i fråga om data- skydd (se skäl 28 dataskyddsförordningen).
Som alternativ till pseudonymisering med kodnyckel kan det finnas andra skyddsåtgärder som uppfyller samma syfte, det vill säga att se till att de personuppgifter som tillgängliggörs inte kan sammankopplas med de registrerades identiteter. Därmed kan ett likvärdigt eller till och med bättre skydd ges än vid pseudonymisering med kodnyckel. Exempel på sådana åtgärder är olika typer av kryptering eller gene- ralisering (utredningen har beskrivit generalisering i avsnitt 3.7.1 (Gene- ralisering av data).
491
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
Vad innebär kravet i praktiken?
I praktiken kommer pseudonymisering fungera på så vis att det i stället för identifierbara personuppgifter i en precisionsmedicinsk databas finns en beteckning hos vårdgivaren som tillgängliggör uppgifter som kan kopplas till den enskildes personnummer eller motsvarande iden- titetsbeteckning. Uppgifter som möjliggör identifiering ska alltså för- varas separat hos den tillgängliggörande vårdgivaren, och en så kallad kodnyckel kan användas för att ersätta direkta identifierare såsom per- sonnummer eller namn.
För regionala myndigheter inom hälso- och sjukvården som kom- mer använda personuppgifter i en precisionsmedicinsk databas i vården av en patient kommer direkta identifierare att vara ointres- sant. Det är inte uppgifter om exempelvis namn eller personnummer som är relevanta att använda i vården av en annan patient. Ett krav på pseudonymisering eller likvärdigt skydd för de personuppgifter som tillgängliggörs till en precisionsmedicinsk databas kommer mot den bakgrunden fungera bra sett till syftet med en precisionsmedicinsk databas.
En integritetsskyddande åtgärd
Vetskapen hos en registrerad om att dennes personuppgifter som finns i en precisionsmedicinsk databas inte kommer vara direkt identi- fierbara, kan förväntas bidra till en ökad känsla av trygghet kring den behandling av personuppgifter som sker i databasen. Nämnda trygghet kan dessutom tänkas öka benägenheten hos enskilda att låta vården tillgängliggöra insamlade personuppgifter om dem i en sådan databas, vilket kan leda till att färre patienter känner behov av att använda möjligheten till så kallad
Kravet på att personuppgifter som tillgängliggörs till en precisions- medicinsk databas ska vara pseudonymiserade eller skyddade på likvär- digt sätt, är därför enligt utredningens mening ägnat att, dels minska oro för integritetsrisker hos de registrerade, dels underlätta för de personuppgiftsansvariga att bedriva verksamheten med databaserna och fullgöra sina skyldigheter i fråga om dataskydd. Kravet är alltså
492
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
en skyddsåtgärd för att värna de registrerades integritet. Skydds- åtgärden minskar risk för onödigt intrång i de registrerades integritet som skulle kunna uppstå om det i stället var fråga om direkt identi- fierbara uppgifter.
Mot denna bakgrund gör utredningen bedömningen att tillgäng- liggörande till en precisionsmedicinsk databas endast får ske av person- uppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt.
Risk att den enskilde ändå kan identifieras
Även om tillgängliggörande till en precisionsmedicinsk databas endast får ske av personuppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt, det vill säga den enskilde inte är direkt identifier- bar, finns en risk att en registrerad ändå kan identifieras i vissa fall. Så kan vara fallet om det är fråga om en sällsynt sjukdom som bara få registrerade har. Huruvida någon kan identifieras eller inte beror också på vad för annan information vårdpersonalen i den regionala myndigheten inom hälso- och sjukvården kan och får söka fram i den precisionsmedicinska databasen. Utredningens uppfattning är att uppgifterna i sådana fall är pseudonymiserade, men att det finns en sannolikhet att någon kan bli identifierbar trots detta.
Utredningen anser att det är en risk som inte helt kan elimineras med kravet på pseudonymisering eller likvärdigt skydd. Denna risk vägs dock upp mot att den enskilde har möjlighet att välja att dennes personuppgifter inte ska tillgängliggöras till en precisionsmedicinsk databas genom en möjlighet att motsätta sig detta, så kallad
Kryptering
Utredningen har övervägt att införa ett krav på att uppgifter ska vara krypterade. Det finns olika typer av kryptering som kan användas för att skydda personuppgifter. Eftersom utredningen ställer krav på pseudonymisering eller likvärdigt skydd, har utredningen inte sett att det finns behov av att ställa specifika krav i form av någon typ av
493
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
kryptering. Utredningens bedömning är att för den typ av data som kommer finnas i de precisionsmedicinska databaserna skulle det inte innebära något större ytterligare skydd med envägskryptering i prak- tiken utöver att använda pseudonymisering. Eftersom kryptering gene- rellt är dyrare än pseudonymisering ser utredningen inte att ett sådant krav skulle vara proportionerligt i förhållande till nyttan.
Vissa typer av kryptering kan däremot användas för att få till ett likvärdigt skydd som pseudonymisering ger. Envägskryptering för att kryptera personnummer i stället för att använda löpnummer skulle kunna användas som ett likvärdigt skydd förutsatt att den vårdgivare som tillgängliggör uppgifter är ensam om att ha tillgång till kodnyckeln.
14.6.6Behörighet, befogenhet och kontroll
Förslag: Den som arbetar hos en vårdgivare får ta del av dokumen- terade uppgifter om en patient om han eller hon behöver det för sitt arbete med urval och tillgängliggörande till precisionsmedi- cinsk databas.
En bestämmelse som upplyser om att reglerna i 4 kap. 2 och 3 §§ PDL gäller vid urval och tillgängliggörande till precisions- medicinsk databas ska införas i 6 kap. PDL.
Bedömning: De allmänna reglerna om behörighet i 4 kap. 2 § PDL samt föreskrifter som har meddelats med stöd av 4 kap. 2 § tredje stycket PDL gäller. Den elektroniska åtkomst som sker till följd av att urval och tillgängliggörande till en precisionsmedicinsk databas omfattas av bestämmelsen i 4 kap. 3 § PDL samt föreskrifter som har meddelats med stöd av 4 kap. 3 § andra stycket PDL.
Om behörighet för urval och tillgängliggörande till en precisionsmedicinsk databas
I avsnitt 13.3 har utredningen på ett övergripande plan redogjort för vilka personuppgiftsbehandlingar som föranleds av utredningens förslag om att precisionsmedicinska databaser kan inrättas. Av beskrivningen framgår att urval och tillgängliggörande ska ske från en vårdgivare. I ett första skede måste således ett urval av de relevanta personupp-
494
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
gifterna från berörda patienter göras inom en vårdgivares organisation, för att sedan kunna tillgängliggöras till aktuell databas. Vilka person- uppgifter som får tillgängliggöras och därmed får omfattas av urvalet framgår av avsnitt 14.6.3.
Utredningen har för momenten att urskilja och tillgängliggöra per- sonuppgifter jämfört med hur regleringen för nationella och regionala kvalitetsregister ser ut. Utredningen är av uppfattningen att tillgänglig- görande till en precisionsmedicinsk databas, i detta syfte, kan lik- ställas med den inrapportering som sker till nationella och regionala kvalitetsregister. I 7 kap. PDL finns inga särskilda bestämmelser som reglerar tillgängliggörandet av personuppgifter till ett nationellt eller regionalt kvalitetsregister. Detta följer av att man har ett så kallat uppdelat personuppgiftsansvar. Med det uppdelade personuppgifts- ansvaret följer att den vårdgivare som tillgängliggör personuppgifter till ett nationellt eller regionalt kvalitetsregister är personuppgiftsan- svarig enligt den allmänna regeln i 2 kap. 6 § PDL för den behandling det innebär (se prop. 2007/08:126 s. 183).
Av de skäl som angetts ovan, se avsnitt 14.5.2 och 14.5.3, anser utredningen att det även för personuppgiftsansvaret i relation till en precisionsmedicinsk databas är lämpligast med en lösning där det talas om ett uppdelat personuppgiftsansvar. Det vill säga där de vårdgivare som tillgängliggör och nyttjar databasen alltjämt är personuppgifts- ansvariga för den behandling det innebär och den regionala myndighet inom hälso- och sjukvården som för databasen får bära personupp- giftsansvaret för den centrala behandling som sker i en precisions- medicinsk databas. I 4 kap. 2 § PDL fastställs en vårdgivares skyldighet att bestämma villkoren för behörighet för de som ingår i vårdgivarens organisation. I bestämmelsen anges att behörigheten ska begränsas till vad som behövs för att den enskilde medarbetaren ska kunna ut- föra sina arbetsuppgifter inom hälso- och sjukvården. Bestämmelsen gäller för all vårdgivares verksamhet (se prop. 2007/08:126 s. 239 och prop. 2021/22:177 s. 142). Utredningen bedömer att 4 kap. 2 § PDL därför kan tillämpas vid urval och tillgängliggörande till en precisions- medicinsk databas. Nästa fråga är om det är lämpligt att använda samma behörighetsregel för detta moment.
Med behörighet för åtkomst avses en användares faktiska möjlig- heter att ta del av uppgifter i exempelvis vårdgivarens journalsystem. Behörighetsstyrning är samlingsbegreppet för de organisatoriska, administrativa och tekniska åtgärder som vidtas för att anpassa och
495
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
begränsa behörigheten efter användarens behov för att kunna utföra sitt arbete.
Utredningen anser inte att den hantering av känsliga personupp- gifter som måste ske med anledning av ett tillgängliggörande till en precisionsmedicinsk databas motiverar en särskild regel om behörighet. Det finns åtskilliga situationer där känsliga personuppgifter inom hälso- och sjukvården behandlas för att fullgöra olika typer av uppgifts- lämnande som följer utav lag och förordning. Även om ett tillgänglig- görande i förevarande fall innebär en anpassning utifrån vad den pre- cisionsmedicinska databasen ska avse anser inte utredningen att själva urskiljandet och tillgängliggörandet utgör en särskilt integritetskänslig behandling (jämför prop. 2007/08:126 s. 57). I enlighet med vad reger- ingen uttalat vid flera olika tillfällen avseende 4 kap. 2 § PDL, är det förstås av stor betydelse att de behovs- och riskanalyser som ska ligga till grund för behörighetstilldelningen är så träffsäkra som möjligt avse- ende vilka som lämpligast är att ha en sådan behörighet och vad behörig- heten bör innefatta (se prop. 200//08:126 s. 149 och prop. 2021/22:177 s. 142 f.).
Däremot anser utredningen att behörigheten att få söka i precisions- medicinska databasen och begära kompletterande personuppgifter från patientjournal bör regleras särskilt av olika skäl (se vidare under av- snitt 14.8.3 och 14.9.4).
Sammanfattningsvis anser utredningen därför att den nuvarande bestämmelsen i 4 kap. 2 § PDL kan och bör tillämpas för urval och till- gängliggörande till en precisionsmedicinsk databas.
Om befogenhet att ta del av personuppgifter för urval och tillgängliggörande
I avsnitt 13.9 redogör utredningen för sin analys av varför 4 kap. 1 § PDL inte kan anses tillämplig på situationen när en arbetstagare hos en vårdgivare ska hantera personuppgifter för ändamålet vården av annan. Av analysen framgår att det enligt utredningens mening inte kan anses vara fråga om en åtkomst som ses som ett ”deltagande i vården” av den personuppgifterna härrör från. Det som snarare skulle kunna ligga närmare till hands är att när det i bestämmelsen anges att en arbetstagare hos en vårdgivare får ta del av uppgifter för att den ”av annat skäl behöver det för sitt arbete inom hälso- och sjukvården”. Som konstateras i ovan nämnda avsnitt får detta uttryck ses som en
496
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
hänvisning till arbete som är kopplat till de ändamål som anges i 2 kap. 4 § punkten
Då 4 kap. 1 § PDL inte kan anses tillämplig bedömer utredningen att det behövs en särskild befogenhetsregel. Föreslagen bestämmelse ska tydliggöra att de medarbetare hos en vårdgivare som behöver ta del av personuppgifter för urval och tillgängliggörande till en preci- sionsmedicinsk databas, också kan göra det.
I takt med att tekniken utvecklas och att hälso- och sjukvården alltmer nyttjar de tekniska möjligheter som finns i dag kan det inte uteslutas att urval och tillgängliggörande till en precisionsmedicinsk databas görs rent maskinellt. I en sådan situation skulle behandlingen inte behöva stödja sig på den föreslagna befogenhetsbestämmelsen. Det skulle då enligt utredningens bedömning vara tillräckligt att det var tillåtet att behandla personuppgifter för ändamålet vården av en annan än den uppgifterna avser, vilket också skapas i och med det nya 6 kapitlet i PDL.
Om kontroll av den elektroniska åtkomst som sker för urval och tillgängliggörande
I 4 kap. 3 § PDL finns krav på att en vårdgivare ska dokumentera och kontrollera den åtkomst som sker till de uppgifter om patienter som förs helt eller delvis automatiserat. De frågor som uppstår är om det vid urval och tillgängliggörande till en precisionsmedicinsk databas behövs en särskild regel om kontroll av den åtkomst som föranletts med anledning av det eller om den befintliga bestämmelsen kan anses tillämpbar och om den utgör ett tillräckligt krav för att uppnå det önskade syftet.
Vid införandet av 4 kap. 3 § PDL anfördes att det med bestäm- melsen ville tydliggöra vårdgivarens ansvar att kontrollera och följa upp den behörighetstilldelning och på så vis lättare kunna beivra even- tuell obehörig åtkomst som skett (prop. 2007/08:126 s. 149 f.).
I det skede när det rör sig om urval och tillgängliggörande till en precisionsmedicinsk databas anser utredningen att den behandlingen till stor del kan jämställas med den hantering som sker i dag för att tillgodose olika uppgiftslämnande, även i de fall då tillgängliggörandet innebär ett utlämnande i TF:s mening.
Eftersom 4 kap. 3 § PDL gäller alla personuppgifter som hos en vårdgivare behandlas på automatiserad väg, ska det även gälla för
497
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
kontroll av elektronisk åtkomst samt direktåtkomst för en preci- sionsmedicinsk databas (jämför prop. 2007/08:126 s. 149 och s. 183, prop. 2021/22:77 s. 145).
14.7Inrättande och förande av precisionsmedicinsk databas
Förslag: Endast en regional myndighet inom hälso- och sjukvården får inrätta och föra precisionsmedicinsk databas.
En precisionsmedicinsk databas får inrättas och föras i var och en av de samverkansregioner som anges i 3 kap. 1 § hälso- och sjuk- vårdsförordningen (2017:80). En precisionsmedicinsk databas som inrättas och förs inom ramen för samverkansregionalt samarbete kallas för samverkansregional precisionsmedicinsk databas.
Därutöver får en precisionsmedicinsk databas inrättas och föras inom den NGP.
Steg 2 i utredningens modell för behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser består av inrättande och förande av precisionsmedicinsk databas. I avsnitt 13.6 finns utredningens överväganden kring hur precisionsmedicinska data- baser ska få inrättas. Utredningens förslag innebär att det endast får finnas ett visst antal precisionsmediciniska databaser. Databaserna ska inrättas på regional nivå och det är endast en regional myndighet inom hälso- och sjukvården som får inrätta och föra precisionsmedicinsk databas. Det ska vara frivilligt att inrätta och föra en precisionsmedi- cinsk databas. I detta avsnitt finns utredningens närmare överväganden kring inrättande och förande av precisionsmedicinsk databas.
14.7.1Behovet av en generell bestämmelse om inrättande och förande av precisionsmedicinsk databas
Utredningen har i avsnitt 11.3 beskrivit precisionsmedicin. Kortfattat avser precisionsmedicin diagnostiska metoder och individanpassad utredning, prevention och behandling av sjukdom, applicerade på indi- vidnivå eller på delar av befolkningen. En av grundstenarna för precis- ionsmedicin är att kunna dela data från många individer för att ge rätt
498
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
behandling till rätt patient. Precisionsmedicin bygger på avancerad ana- lys av hälsodata, till exempel genetiska data. I dag hanteras denna typ av data av flera olika fragmenterade system, främst vid regionsjukhusen.
För att maximera nyttan av den genetiska data som genereras inom hälso- och sjukvården behöver det finnas en möjlighet att dela denna data mellan vårdgivare. En sådan behandling av hälsodata går även i linje med det ökade nyttjandet och användningsområdena för denna typ av data. Angelägenheten att använda hälsodata genom delning belyses som en av åtta punkter i regeringens nationella life science- strategi från 20196.
För att skapa ny kunskap som kan förändra processer, organisa- tioner och system till det bättre och för att på både kort och lång sikt skapa en bättre och mer jämlik vård finns som ovan beskrivits inom precisionsmedicinen ett stort behov av att öka förmågan och möj- ligheterna att använda insamlade data och således utnyttja den samlade hälsodataresursen. Detta gäller inte enbart för den patient vars upp- gifter har samlats in för vårddokumentation utan även för andra pati- enter. Vårdpersonal kan för vården av en patient vara i behov av jämför- bara hälsodata från en annan patient med liknande symptom etcetera.
Tillgången till sådana patientdata är kritisk för att framför allt patienter med sällsynta diagnoser ska få tillgång till jämlik och god vård över hela landet. Precisionsmedicin är framtidens sjukvård och innebär att med rätt resurser kunna möjliggöra för den specialiserade vården att kunna ge rätt insatser till varje enskild patient i rätt tid.
Utredningen har konstaterat att det ökade behovet att kunna vidare- använda patientuppgifter har uppstått på senare tid. Den moderna hälso- och sjukvården med flera olika parallella aktörer ställer stora krav på nya arbetssätt och samverkan över organisationsgränser. Paral- lella organisationer i sjukvården med såväl statliga, kommunala, regio- nala och privata aktörer är faktorer som utgör svårigheter för införandet av precisionsmedicin på en jämlik nivå och som gagnar hälso- och sjukvårdens mål om god hälsa och en vård på lika villkor för hela befolkningen.
Samtidigt innebär hälso- och sjukvårdens organisation numera en tydlig inriktning mot att precisionsmedicin är en naturlig del i moder- niseringen av svensk hälso- och sjukvård och kommer på sikt att vara en modell som är en naturlig del av såväl den nära vården som den högspecialiserade hälso- och sjukvården. Av denna anledning krävs
6Regeringskansliet, En nationell strategi för life science, 2019, N2019/03157, s. 17.
499
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
arbetssätt som gör det möjligt att dela information för vidareanvänd- ning, samtidigt som patientens integritet bevaras. Med beaktande av hälso- och sjukvårdens organisation och struktur med den specia- liserade vården förlagd till regionerna är det naturligt att det endast är de regionala myndigheterna som ska få inrätta och föra precisions- medicinska databaser. Regionerna har såväl kopplingen mellan avan- cerad diagnostik och individanpassad behandling och därmed bättre möjlighet att erbjuda en mer träffsäker behandling med användande av precisionsmedicin.
Sammantaget anser utredningen att en särskild reglering avseende vem som får inrätta och föra en precisionsmedicinsk databas ska införas. Utredningen anser att det finns särskild anledning att endast en regional myndighet inom hälso- och sjukvården får inrätta och föra precisionsmedicinsk databas. Regleringen ska preciseras genom ytterligare bestämmelser i förordning.
14.7.2Regional myndighet inom hälso- och sjukvården
Utredningen föreslår att endast regionala myndigheter inom hälso- och sjukvården ska få ansvara för precisionsmedicinska databaser. Det är endast sådan myndighet som ska få inrätta och föra precisions- medicinsk databas samt vara personuppgiftsansvarig för central be- handling av personuppgifter i sådan databas (se avsnitt 14.5.1). Genom att specifikt reglera att endast en regional myndighet inom hälso- och sjukvården får inrätta och föra en precisionsmedicinsk databas är för- slaget även förenligt med utredningens förslag om reglering av per- sonuppgiftsansvaret.
I detta avsnitt berörs närmre vad som menas med regional myn- dighet inom hälso- och sjukvården och varför endast sådana aktörer ska tillåtas att inrätta och föra precisionsmedicinska databaser.
Endast regional offentlig verksamhet
Utredningen anser att det endast ska vara inom offentlig verksamhet som en precisionsmedicinsk databas ska får inrättas och föras. Att samtliga aktörer i hälso- och sjukvården skulle få möjlighet att inrätta och föra en precisionsmedicinsk databas skulle leda till bland annat integritetssänkande som ekonomiska konsekvenser, se vidare av-
500
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
snitt 13.6. En spridning av de precisionsmedicinska databaserna till samtliga vårdgivare skulle inte gå i linje med var precisionsmedicin bedrivs. Begreppet ”nivåstrukturering” används ofta i allmän bemär- kelse inom hälso- och sjukvården och avser främst en form av arbets- fördelning inom vården. Termerna koncentration, centralisering, decentralisering och regionalisering är nära förknippade med begreppet nivåstrukturering. Dessa termer beskriver i sjukvårdssammanhang vanligen en förskjutning av ansvar för ett tillstånd eller åtgärd mellan olika vårdnivåer såsom riksnivån med den nationella högspeciali- serade sjukvården, regionsjukvården med universitetssjukvården och den lokala nivån med länssjukvården. Nivåstruktureringen kan även ske mellan olika vårdgivare (prop. 2017/18:40 s. 11). Utredningen anser att liksom exempelvis den nationella högspecialiserade vården är nivå- strukturerad till regioner, så bör även regleringen av vilka vårdgivare som får inrätta och föra precisionsmedicinska databaser vara.
Utredningen har jämfört med hur regleringen avseende regionala och nationella kvalitetsregister är utformad. Enligt 7 kap. 7 § första stycket PDL får endast myndigheter inom hälso- och sjukvården vara personuppgiftsansvariga för central behandling av personuppgifter i ett kvalitetsregister. Utredningen konstaterar att samtliga offentliga vårdgivare skulle omfattas om formuleringen ”myndighet inom hälso- och sjukvården” användes, det vill säga även kommunala och statliga myndigheter som bedriver hälso- och sjukvård (jämför definitionen av vårdgivare i 1 kap. 3 § PDL). Utredningen ser förvisso inte att det i praktiken skulle komma att bli aktuellt att en kommunal eller statlig myndighet inrättar eller för en precisionsmedicinsk databas. Samti- digt ser utredningen flera skäl som talar för en begränsning till ”regio- nal” myndighet. Det är inom den regionala hälso- och sjukvården de största behoven av behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser finns. Utredningen anser att det i lagtexten tydligt bör framgå att det endast är regionala myn- digheter som får inrätta och föra precisionsmedicinsk databas.
Med regional myndighet avses en myndighet i en region. Myndig- heter i en region kan vara nämnder eller styrelser. En region kan ut- göras av en enda myndighet, vilket medför att regionen som juridisk person sammanfaller med myndigheten. Detta ser dock olika ut i olika regioner, se vidare nedan. En regional myndighet inom hälso- och sjukvården är även vårdgivare eller en del av en vårdgivare enligt 1 kap. 3 § PDL.
501
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
Begreppet regional myndighet används även i den nya lagen om viss vidareanvändning av personuppgifter för klinisk forskning som utredningen föreslår, se avsnitt 16.3.3. I grunden har begreppen samma innebörd. En skillnad är att i den nya lagen jämställs kommunala före- tag enligt 2 kap. 3 § OSL med myndighet. Kommunala företag om- fattas inte av begreppet regional myndighet inom hälso- och sjuk- vården enligt utredningens förslag till regler i 6 kap. PDL.
Utredningen föreslår även att det i förordning beslutas om att precisionsmedicinska databaser ska få inrättas och föras inom regional verksamhet, se vidare i avsnitt 14.7.3. Utredningen anser även att det blir tydligare om den regionala avgränsningen också framgår av lagen. Samma formulering, ”regional myndighet”, används då också i 6 kap. PDL som i utredningens förslag till ny lag om viss vidareanvändning av personuppgifter för klinisk forskning, se kapitel 16. I den nya lagen används av enhetlighetsskäl utifrån benämningen av aktörer i den lagen formuleringen regional myndighet ”som bedriver” hälso- och sjukvård. Utredningen anser att det har samma innebörd som ”inom” hälso- och sjukvården.
Endast inom hälso- och sjukvården
Utredningens förslag innebär att en ny reglering införs som innebär att endast en regional myndighet inom hälso- och sjukvården får inrätta och föra precisionsmedicinsk databas. Att verksamheten är ”inom hälso- och sjukvården” är ett begrepp som sedan tidigare återfinns bland annat i portalparagrafen i PDL, 1 kap. 1 § PDL. Lagens tillämplighet gäller för personuppgiftsbehandling inom hälso- och sjukvården. Av författningskommentaren till 1 kap. 1 § PDL (prop. 2007/08:126 s. 222) framkommer att begreppet till en början innebär att personuppgiftsbehandlingen är tillämplig i en vårdgivares så kallade kärnverksamhet det vill säga då vårdgivaren tillhandahåller hälso- och sjukvård respektive tandvård åt patienter. Verksamheterna är inte närmare specificerade och inte heller vårdgivarens driftsform, det vill säga PDL är tillämplig i såväl offentligt som enskilt bedriven verksamhet och oavsett verksamhetsform. Någon kommentar om myndighetsindelning inom hälso- och sjukvårdsverksamheten finns inte, utan beroende på den aktuella vårdgivarens eventuella organisation är vårdgivaren en myndighet eller flera.
502
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
Regioner har enligt kommunallagen (2017:725) en stor frihet att själva bestämma sin organisation. Regioner kan därmed vara organi- serade på olika sätt och är också det. En del regioner är en enda myn- dighet, medan andra regioner inbegriper flera myndigheter. Det kan även vara så att det är flera myndigheter inom en region som bedriver hälso- och sjukvård. Nuvarande organisationsstrukturer kan också ändras i framtiden.
Hur en region organisatoriskt ska inrätta och föra en precisions- medicinsk databas ska enligt utredningens mening vara upp till regionen att bestämma, dock med motsvarande begränsning som gäller för natio- nella och regionala kvalitetsregister i det att det ska vara ”inom hälso- och sjukvården”.
Personuppgiftsbehandling för den rent administrativa verksam- heten utan direkt koppling till patientverksamheten – till exempel personaladministration – faller dock utanför lagens tillämpningsom- råde. Detsamma gäller forskning, såvida det inte är fråga om en vård- givares så kallade patientnära eller kliniska forskning som innefattar patientjournalföring eller annan dokumentation som hör till vården.
CPUA för kvalitetsregister kan variera. I många fall ligger ansvaret på regionstyrelser, men det kan också vara enskilda sjukhusmyndig- heter.7
Utredningen bedömer att det är av vikt att det är en regional myndighet inom just hälso- och sjukvården som får inrätta och föra precisionsmedicinsk databas. Det måste också innefatta myndigheter inom en region som har i uppdrag att fullgöra regionens ansvar som sjukvårdshuvudman eller vårdgivare
Utredningen anser dock inte att en myndighet vars uppdrag inte avser hälso- och sjukvården ska få inrätta och föra en precisions- medicinsk databas. Myndighet som bedriver annan typ av verksamhet än hälso- och sjukvård eller stöd till annan typ av verksamhet inom regioner, exempelvis en fastighetsförvaltande myndighet som tillhanda- håller lokaler till hälso- och sjukvården ska inte anses omfattas av för- slaget att få inrätta och föra en precisionsmedicinsk databas. Denna inskränkning torde enligt utredningen vara mer teoretiskt, då det inte kan anses sannolikt att vara aktuellt i praktiken. En sådan vid tolkning av begreppet ”inom hälso- och sjukvården” framstår enligt utredningen
7Se till exempel uppgift om centralt personuppgiftsansvarig för kvalitetsregister inom cancer- området,
503
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
inte som lämplig även om dessa uppdrag kan anses avse regionens ansvar som sjukvårdshuvudman eller vårdgivare. Däremot är det ut- redningens uppfattning att verksamhet inom en regional myndighet som har som uppdrag att stödja verksamhet inom hälso- och sjuk- vården, exempelvis genom att inom en regional myndighet tillhanda- hålla sådan infrastruktur som behövs för att inrätta och föra en pre- cisionsmedicinsk databas, till exempel en
Sammanfattningsvis anser utredningen att den bedömning som gjorts ligger i linje med den reglering som tillämpas för kvalitetsregis- ter som förs ”inom hälso- och sjukvården”. Då tolkningarna är för- enliga anser utredningen att det är möjligt och mest enhetligt att an- vända samma formuleringar inom PDL.
14.7.3Den Nationella Genomikplattformen och precisionsmedicinsk databas i varje samverkansregion
Utredningen har förslagit att det ska få inrättas och föras precisions- medicinska databaser i regionala myndigheter. Regionerna ansvarar för uppgifter som är gemensamma för stora geografiska områden och som ofta kräver stora ekonomiska resurser. Förutsättningarna att be- driva en god och effektiv hälso- och sjukvård varierar mellan dagens 21 regionala sjukvårdshuvudmän. Möjligheten att bedriva en god och effektiv vård, samt forskning och utveckling av hög kvalitet, förutsätter ofta högre patientvolymer och mer resurser än vad som är fallet för varje enskild sjukvårdshuvudman. Samtidigt finns ett nationellt intresse av att kunna tillvarata och vidareutveckla NGP som redan i dag finns och används för forskning kopplat till precisionsmedicin.
Samverkansregionala precisionsmedicinska databaser
För hälso- och sjukvård som berör flera regioner har regeringen en- ligt 6 kap. 1 § 1 punkten HSL, möjlighet att föreskriva om att landet ska delas in i så kallade ”samverkansregioner” för den hälso- och sjukvård som berör flera regioner. Bestämmelsen i 7 kap. 8 § HSL anger också att regioner i frågor om hälso- och sjukvård som berör flera regioner, ska regionerna samverka. Av 3 kap. 1 § HSF framgår att lan- det har delats in i sex samverkansregioner för sådan hälso- och sjuk-
504
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
vård som berör flera regioner: Stockholmsregionen, Linköpingsregio- nen, Lund/Malmöregionen, Göteborgsregionen, Uppsala/Örebro- regionen och Umeåregionen.
Befolkningsunderlagen i samverkansregionerna varierar kraftigt, alltifrån cirka 2,5 miljoner invånare i Stockholmsregionen till cirka
900000 invånare i Umeåregionen. Samverkansregionerna är admini- strativa enheter och syftar till att möjliggöra samverkan kring region- sjukvård samt kring övergripande frågor som rör styrning med kunskap i de regioner som ingår i samverkansregionen. Samverkansregionerna benämndes tidigare, och gör ibland fortfarande att, för sjukvårds- regioner.
I varje samverkansregion finns en samverkansnämnd, som består av politiker från aktuella sjukvårdshuvudmän. Nämnden är det huvud- sakliga forumet för samverkan i regionen och har bland annat till uppgift att samordna den högspecialiserade vården. Samverkans- nämnden fattar rådgivande beslut. Besluten fastställs därefter i vart och ett av de ingående regionerna. Samverkansnämnderna var från början en relativt homogen funktion, men ser i dag mer olika ut vad gäller utformning och ansvar. I Umeåregionen och Linköpings- regionen har exempelvis de ingående regionerna valt att utveckla sam- verkansnämnden och skapa en plattform med ett tydligare besluts- mandat. I Umeåregionen har samverkansnämnden omvandlats till ett regionförbund, som är ett kommunalförbund med de ingående regio- nerna som medlemmar. I Linköpingsregionen har i stället en region- sjukvårdsnämnd inrättats, med placering i Region Östergötlands linjeorganisation. Särskilda avtal reglerar ansvar och uppgifter för samverkans- och regionsjukvårdsnämnder samt för regionförbund.
Den verksamhet som huvudsakligen bedrivs inom samverkans- regionerna är så kallad regionsjukvård (även kallad utomlänsvård), utveckling och utbildning, regionala medicinska råd eller motsvarande, samt solidariskt finansierade verksamheter, som regionala cancer- centrum. I avtalen inom samverkansregionerna anges även att univer- sitetssjukhusen ska ses som en gemensam regional angelägenhet och att en grundläggande uppgift för samverkansregionen är att komma överens om prislistan för regionsjukvården (prop. 2017/18:40 s. 8).
Det finns tre nivåer i den svenska sjukhusvården – länsdelssjukhus, länssjukhus och regionsjukhus eller så kallade universitetssjukhus. I Sverige finns ett tjugotal länssjukhus och ett fyrtiotal länsdelssjuk- hus. Länssjukhusen har de flesta typer av specialistmottagningar och
505
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
avancerad medicinsk utrustning som täcker de flesta sjukhusområden. Länsdelssjukhusen är enklare och har ett urval av mottagningar.
Begreppet universitetssjukhus är inte närmare definierat. Universi- tetssjukhus kännetecknas av att ett sjukhus som förutom sjukvård också bedriver medicinsk forskning och utbildning av olika yrkes- grupper inom sjukvård, exempelvis läkare och sjuksköterskor. I Sverige finns, sedan universitetssjukhusen i Malmö och Lund bildat en gemen- sam enhet år 2010, sju universitetssjukhus. Varje universitetssjukhus innehar även rollen som regionsjukhus i en av de sex sjukvårds- regionerna.
Med regionsjukhus avses ett sjukhus med resurser för
Sjukhusbenämningarna tar inte enbart sikte på den hälso- och sjukvård som bedrivs, utan lika mycket på indelningen av sjukhusens upptagningsområden. Det finns inga exakta och gemensamma upp- dragsbeskrivningar för de olika nivåerna. I stället avgör, i linje med det kommunala självstyret, respektive region själva hur de ska styra och organisera vården. Den högspecialiserade vården utgör en be- gränsad del av det totala vårdutbudet och utförs i huvudsak på region- sjukhusen (universitetssjukhusen).
Precisionsmedicin bygger på avancerad analys av hälsodata, till exempel genetiska data. I dag hanteras denna typ av data av flera olika fragmenterade system, främst vid universitetssjukhusen. Med beakt-
506
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
ande av ovanstående resonemang kring den nivåstrukturering som finns i hälso- och sjukvården, den kommunala kompetensen som med- för att landets regioner har indelat sig i varierande antal myndigheter samt det faktum att det sedan länge redan finns en indelning i struk- turella grupperingar för samverkan i form av samverkansregioner, ser utredningen det som motiverat att hänföra inrättandet och förandet av de precisionsmedicinska databaserna till samverkansregionerna. Sammanlagt skulle landet därmed kunna få sammanlagt sju precisions- medicinska databaser varav en ska föras inom NGP och resterande sex i respektive samverkansregion i landet. En sådan ytterligare diffe- rentiering och renodling av de precisionsmedicinska databaserna i landet skulle även ha en ytterligare integritetshöjande effekt.
Utredningen föreslår att endast en regional myndighet inom hälso- och sjukvården får inrätta och föra en precisionsmedicinsk databas samt att regeringen med stöd av 8 kap. 7 § regeringsformen får med- dela föreskrifter om vilka precisionsmedicinska databaser som får föras enligt den föreslagna lagen. Som ytterligare precisering föreslår utredningen att regeringen i förordning meddelar att endast en regional myndighet inom hälso- och sjukvården i var och en av de sex sam- verkansregionerna enligt 3 kap. 1 § HSF får inrätta och föra en preci- sionsmedicinsk databas. Angående personuppgiftsbehandlingen i sådan databas, se avsnitt 14.5.2.
Utredningen anser sammanfattningsvis att en ytterligare avgräns- ning avseende de precisionsmedicinska databaserna behövs och är motiverad. Utredningen föreslår att av de regionala myndigheter som får inrätta och föra de precisionsmedicinska databaserna ska avgränsas ytterligare genom att koppla de regionala precisionsmedicinska data- baserna till samverkanregionerna för att på så sätt kunna tillgodose kapacitet, integritetsskydd och ansvar för databaserna.
Precisionsmedicinsk databas inom den Nationella
Genomikplattformen
GMS är en nationell satsning inom precisionsmedicin som består av de sju regionerna med universitetssjukvård (Region Skåne, Västra Götalandsregionen, Region Östergötland, Region Örebro, Region Stockholm, Region Uppsala och Region Västerbotten) och de sju universiteten med medicinska fakulteter (Lunds universitet, Göteborgs universitet, Linköpings universitet, Örebro universitet, Karolinska
507
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
institutet, Uppsala universitet och Umeå universitet). De regioner som ingår i GMS deltar på vissa håll med olika myndigheter. Det kan i praktiken innebära att både enskilda sjukhusförvaltningar och andra myndigheter, såsom en
NGP har tre huvudsakliga funktioner:
1.lagra genomik- och hälsodata enligt överenskomna standarder,
2.söka och dela data på nationell nivå,
3.analysera data för att identifiera kliniskt relevanta genetiska för- ändringar.8
Infrastrukturen möjliggör också framtida delning av genomikdata med nationella kvalitetsregister, journalsystem och industrin samt med internationella aktörer. Detta är något som kan aktualiseras först när rättsliga möjligheter finns på plats.
Nedan följer en översikt av den NGP:s möjligheter i dag (helifyllda pilar) och funktioner som är tänkta att utvecklas framöver (streckade pilar).
8
508
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
Figur 14.1 Översikt av Nationella Genomikplattformens
möjligheter i dag och framöver
Källa:
NGP driftas i dag från Västra Götalandsregionen.
GMS stödjer införandet av precisionsmedicin inom vården och på så sätt stärks även svensk forskning och innovation för att utveckla morgondagens diagnostik och behandlingar inom hälso- och sjuk- vården. Ytterst handlar NGP om att förbättra hälsan i befolkningen och att stärka patientens ställning och möjlighet att bidra till sin vård och behandling.
Potentialen med NGP begränsas eftersom det i dagsläget inte finns rättsligt stöd för personuppgiftsbehandling för vården av en annan patient än den personuppgifterna avser, något som GMS flera gånger har påtalat behovet av. Datadelning mellan regioner är en för- utsättning för implementeringen av precisionsmedicin i hälso- och sjukvården. För att kunna göra korrekta bedömningar behövs det, enligt GMS, dels tillgång till genomikdata från andra patienter och då oftast också från andra regioner, dels mer kunskap om respektive patient såsom uppgifter om kön, ålder, bakgrunden till att under- sökningen utfördes, klinisk bedömning, andra bakomliggande hälso- tillstånd hos patienten, klinik som utfört undersökning och tolkning
509
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
av fynd. Tillgången till sådana uppgifter är enligt GMS kritisk för att framför allt patienter med sällsynta diagnoser ska få tillgång till jämlik och god vård över hela landet.
Utredningen gör bedömningen att GMS får anses ha ett rättmätigt behov av att även få vidareanvända uppgifterna i NGP för vården av annan patient än den som uppgifterna avser. För att fullt ut kunna implementera precisionsmedicin krävs datadelning som innefattar alla landets regionsjukhus och har mer av en ”nationell” karaktär. Vid till exempel sällsynta diagnoser eller undergrupper av olika cancerformer som innebär små patientgrupper, räcker det inte med delning inom en samverkansregion. De relevanta data som finns om patienter med sällsynta sjukdomar eller som tillhör små patientgrupper finns oftast samlade hos landets regionsjukhus, eftersom det är där som dessa patientgrupper vårdas.
En precisionsmedicinsk databas syftar till att skapa underlag för att förebygga, utreda eller behandla sjukdomar och skador hos en annan patient än den som uppgifterna avser.
NGP finns, rent juridiskt, i dag hos regionstyrelsen inom Västra Götalandsregionen. Ett alternativ skulle därför vara att i förordningen peka ut regionstyrelsen i Västra Götalandsregionen som den regio- nala myndighet som får föra den precisionsmedicinska databasen inom NGP. Därmed kan det anses naturligt att låta Västra Götalands- regionen få det utpekade ansvaret för den nationella regionala pre- cisionsmedicinska databasen. Regionstyrelsen skulle då vara centralt personuppgiftsansvarig för NGP.
Utredningen anser dock inte att det är en lämplig lösning. Även om det inte är sannolikt att NGP skulle flyttas skulle ett utpekande i förordningen låsa fast förandet av databasen i en lösning som inte är flexibel och som kan visa sig inte vara ändamålsenlig över tiden (för liknande resonemang, se angående nationella och regionala kva- litetsregister i prop. 2007/08:126, s. 183). Det bör således lämnas till de myndigheter som samarbetar inom ramen för GMS att bestämma hos vilken regional myndighet inom hälso- och sjukvården som den precisionsmedicinska databasen ska föras.
Utredningen uttrycker det som att den precisionsmedicinska data- basen får föras ”inom” Nationell Genomikplattform. Utredningen syftar då på NGP som en generell
510
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
Sammantaget föreslår utredningen att det i förslag till förordning om precisionsmedicinsk databas införs en reglering om att det även får inrättas och föras en precisionsmedicinsk databas inom NGP.
14.7.4Tillåten behandling av personuppgifter i precisionsmedicinsk databas
Förslag: Regional myndighet inom hälso- och sjukvården som för precisionsmedicinsk databas får endast behandla de person- uppgifter som behövs för syftet med databasen.
Tillåten behandling av personuppgifter i precisionsmedicinsk databas bör regleras. Den regionala myndighet som för databas behöver ha tillåtelse att behandla personuppgifter i syfte att föra databasen och i egenskap av ansvarig för central behandling av personuppgifter i databasen.
Utredningen har övervägt om en uppräkning av tillåtna person- uppgifter ska göras i lagen eller om det ska vara en mer allmänt for- mulerad bestämmelse. För ändamålet som helhet samt avseende till- gängliggörande till precisionsmedicinsk databas föreslår utredningen en bestämmelse med ett behovskriterium, se avsnitt 14.4.2 och 14.6.3.
Vid en jämförelse med regleringen av nationella och regionala kvalitetsregister kan följande konstateras. Av 7 kap. 8 § första stycket PDL följer att endast sådana personuppgifter som behövs för ändamål som anges i 4 § får behandlas i ett nationellt eller regionalt kvalitets- register. En enskilds personnummer eller namn får enligt bestämmel- sens andra stycket behandlas i ett nationellt eller regionalt kvalitets- register endast om det inte är tillräckligt för ändamål som anges i 4 § att använda kodade personuppgifter eller personuppgifter som endast indirekt kan hänföras till den enskilde.
I 7 kap. 8 1 tredje stycket regleras att uppgifter om hälsa får be- handlas i nationella och regionala kvalitetsregister. Vidare följer av bestämmelsen att andra känsliga personuppgifter får behandlas i natio- nella och regionala kvalitetsregister endast om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det.
Utredningen anser att regleringen även i denna del ska formuleras utifrån ett behovskriterium. Det låter sig svårligen preciseras vilka upp- gifter som behöver behandlas för förandet av den precisionsmedi-
511
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
cinska databasen. Däremot är det enligt utredningens mening för brett att koppla behovet i denna del till hela ändamålet. Det är endast de personuppgifter som behöver behandlas för syftet med databasen som ska omfattas av bestämmelsen.
Även om en uppräkning eller annan precisering av vilka uppgifter som behöver behandlas för syftet med databasen inte låter sig göras, ser utredningen ett värde i att beskriva vad det kan vara fråga om. Först och främst avser det behandling av de personuppgifter som tillgängliggörs till databasen. Dessa ska lagras och kan även behöva behandlas på annat sätt. Exempelvis ska uppgifter utplånas i händelse av att en patient, efter att ett tillgängliggörande har skett, motsätter sig detta, se avsnitt 14.10.5.
Tillgängliggörande sker av pseudonymiserade uppgifter. Behandling av exempelvis namn och personnummer behövs enligt utredningens mening inte för syftet med databasen. Däremot kommer uppgift om vårdgivare och löpnummer eller motsvarande för patienterna att finns i databasen. Den regionala myndighet som för databasen utgör vidare en länk mellan de vårdgivare som tillgängliggör uppgifter och den myndighet som önskar begära kompletterande uppgifter från patient- journal, se avsnitt 14.9.
14.7.5Behörighet, befogenhet och kontroll hos myndigheten som för precisionsmedicinsk databas
Förslag: Den som arbetar hos en regional myndighet inom hälso- och sjukvården som för en precisionsmedicinsk databas får ta del av personuppgifter i databasen endast om han heller hon behöver uppgifterna för sitt arbete med databasen.
En bestämmelse som upplyser om att reglerna i 4 kap. 2 och 3 §§ PDL gäller vid förande av precisionsmedicinsk databas ska införas i 6 kap. PDL.
Bedömning: De allmänna reglerna om behörighet i 4 kap. 2 § PDL samt föreskrifter som har meddelats med stöd av 4 kap. 2 § tredje stycket PDL gäller. Den allmänna regeln om kontroll av elek- tronisk åtkomst i 4 kap. 3 § PDL samt föreskrifter som meddelats med stöd av 4 kap. 3 § andra stycket gäller för förandet av en precisionsmedicinsk databas.
512
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
Den regionala myndighet som utses till centralt personuppgiftsansvarig och därmed får föra en precisionsmedicinsk databas behöver kunna till- dela medarbetare behörighet för åtkomst till personuppgifter i data- basen för att kunna hantera eventuella säkerhetsfrågor, utplåna upp- gifter (se avsnitt 14.10.5) och exempelvis hantera utlämnande enligt uppgiftsskyldighet enligt lag eller förordning (se vidare avsnitt 14.4.4).
I 4 kap. 2 § PDL fastställs en vårdgivares skyldighet att bestämma villkoren för behörighet för de som ingår i vårdgivarens organisation. I bestämmelsen anges att behörigheten ska begränsas till vad som behövs för att den enskilde medarbetaren ska kunna utföra sina arbets- uppgifter inom hälso- och sjukvården. Bestämmelsen gäller för all vård- givares verksamhet (se prop. 2007/08:126 s. 239 och prop. 2021/22:177 s. 142).
PDL gäller för den individinriktade patientvården inom hälso- och sjukvården. Med hälso- och sjukvården avses åtgärder för att före- bygga, utreda och behandla sjukdomar och skador hos enskilda oavsett om det sker inom ramen för verksamhet som styrs av HSL eller sådan annan lagstiftning som uppges i 1 kap. 3 § PDL (prop. 2007/08:126 s. 49). Förandet av en precisionsmedicinsk databas för ändamålet vår- den av en annan patient än den som uppgifterna avser sådan individ- inriktad patientvård som regleras av HSL och förandet av databasen bör därmed ses som arbetsuppgifter inom hälso- och sjukvården. Av detta följer att 4 kap. 2 § PDL bör kunna tillämpas för tilldelandet av behörigheter inom en central personuppgiftsansvarigs organisation.
Åtkomsten till databasen av medarbetare i vårdsyfte regleras dock i en annan bestämmelse se 6 kap. 17 § PDL i utredningens förslag. Av de skäl som angetts i avsnitt 13.9 har utredningen dock inte an- sett att behandla personuppgifter för ändamålet vården av en annan patient än den uppgifterna avser ryms inom ordalydelsen eller syste- matiken av 4 kap. 1 § PDL. Härvid har utredningen gjort bedöm- ningen att led ett av bestämmelsen, ”får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten”, tyder på att det är samma patient som avses.
Vidare anser utredningen att uttrycket ”annat skäl” i bestämmel- sen ska läsas mot ändamålsbestämmelsen i 2 kap. 4 § PDL och då rimligen avser arbetsuppgifter som innefattar behandling av person- uppgifter enligt första stycket punkterna
513
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
Då 4 kap. 1 § PDL inte kan anses tillämplig bedömer utredningen att det behövs en särskild befogenhetsregel som också tydliggör att de medarbetare som arbetar hos en centralt personuppgiftsansvarig ska inte samtliga ha tillgång till uppgifterna i databasen. Endast de som utifrån sina arbetsuppgifter med förandet av databasen ska ha åtkomst till databasen för det, och de medarbetare som har behov av tillgång till personuppgifterna i den precisionsmedicinska databasen i syfte att kunna vårda patienter, kommer göra det med stöd av en annan bestämmelse.
Om kontroll av den elektroniska åtkomst som sker inom ramen för förandet av en precisionsmedicinsk databas
I 4 kap. 3 § PDL finns krav på att en vårdgivare ska dokumentera och kontrollera den åtkomst som sker till de uppgifter om patienter som förs helt eller delvis automatiserat. De frågor som uppstår är om det vid urval och tillgängliggörande till en precisionsmedicinsk databas behövs en särskild regel om kontroll av den åtkomst som föranletts med anledning av det eller om den befintliga bestämmelsen kan anses tillämpbar och om den utgör ett tillräckligt krav för att uppnå det önskade syftet.
Vid införandet av 4 kap. 3 § PDL anfördes att det med bestäm- melsen avsågs tydliggöra vårdgivarens ansvar att kontrollera och följa upp behörighetstilldelning och på så vis lättare kunna beivra eventuell obehörig åtkomst som skett (prop. 2007/08:126 s. 149 f.).
I det skede när det rör sig om urval och tillgängliggörande till en precisionsmedicinsk databas anser utredningen att den behandlingen till stor del kan jämställas med den hantering som sker i dag för att tillgodose olika uppgiftslämnande, även i de fall då tillgängliggörandet innebär ett utlämnande i TF:s mening.
Eftersom 4 kap. 3 § PDL gäller alla personuppgifter som hos en vårdgivare behandlas på automatiserad väg, ska det även gälla för kontroll av elektronisk åtkomst samt direktåtkomst för en preci- sionsmedicinsk databas (jämför prop. 2007/08:126 s. 149 och s. 183, prop. 2021/22:77 s. 145).
514
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
14.7.6Uppgifter i en precisionsmedicinsk databas kan vara allmänna handlingar
En fråga som uppkommer är om personuppgifter i en precisions- medicinsk databas kan utgöra allmänna handlingar hos, dels en regional myndighet inom hälso- och sjukvården som för en precisionsmedicinsk databas, dels en myndighet som genom direktåtkomst har tillgång till uppgifter i databasen, se vidare om direktåtkomst i avsnitt 14.8.2. Utredning gör följande överväganden i denna fråga.
En handling är allmän, om den förvaras hos en myndighet och en- ligt 2 kap. 9 eller 10 §§ tryckfrihetsförordningen (1949:105), förkortad TF, är att anse som inkommen eller upprättad hos en myndighet (2 kap. 4 § TF). Med handling avses en framställning i skrift eller bild samt en upptagning som endast med tekniska hjälpmedel kan läsas eller avlyssnas eller uppfattas på annat sätt (2 kap. 3 § TF). Personuppgifter som till- gängliggörs till en precisionsmedicinsk databas kommer enligt utred- ningens bedömning utgöras av upptagningar enligt 2 kap. 3 § TF.
Vårdgivare får tillgängliggöra personuppgifter till en precisions- medicinsk databas, se avsnitt 14.6. Tillgängliggörandet av personupp- gifter kommer enligt utredningens bedömning typiskt sett medföra att en eller flera upptagningar anses inkomna hos den myndighet som för den precisionsmedicinska databasen. Tillgång till personuppgifter genom direktåtkomst eller annat elektroniskt utlämnande medför också enligt utredningens mening att en eller flera upptagningar anses inkomna hos den myndighet som har tillgången.
En upptagning anses förvarad hos en myndighet, om upptag- ningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas eller avlyssnas eller uppfattas på annat sätt (2 kap. 6 § TF). Utred- ningen gör bedömningen att förande av precisionsmedicinsk databas, samt de centrala personuppgiftsansvar är förknippat med det, kom- mer att kunna innebära inrättande av sådana tekniska lösningar som medför att upptagningar i databasen är tillgängliga för den myn- dighet som för databasen på sådant sätt att upptagningen anses för- varad i den mening som avses i bestämmelsen. Utredningen gör även bedömning att direktåtkomst till en precisionsmedicinsk databas innebär att upptagningar i databasen också kan anses vara förvarade hos de myndigheter som har direktåtkomst till databasen (jämför prop. 2021/22:177 s. 97).
515
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
Utredningen finner i sammanhanget anledning att beröra frågan om personuppgifter i en precisionsmedicinsk databas kan utgöra så kallade potentiella handlingar och om den så kallade begränsnings- regeln i 2 kap 7 § TF kan vara tillämplig.
Potentiella handlingar och begränsningsregeln
I 2 kap 3 § TF anges att med handling avses en framställning i skrift eller bild samt en upptagning som endast med tekniska hjälpmedel kan läsas eller avlyssnas eller uppfattas på annat sätt. Ur förvarings- hänseende görs en åtskillnad mellan elektroniska handlingar och hand- lingar som utgör sammanställningar av uppgifter ur en upptagning för automatiserad behandling, så kallade potentiella handlingar. Någon legaldefinition av begreppen finns inte.
Med färdig elektronisk handling avses enligt förarbetena sådana elektroniska handlingar där utställaren – myndigheten eller den som lämnat in handlingen till myndigheten – har gett den ett bestämt, fixerat innehåll som går att återskapa gång på gång. Som typiska exempel på färdiga elektroniska handlingar nämns
En ytterligare inskränkning i fråga om förvaringskriteriet före- skrivs i 2 kap. 7 § TF och innebär att en sammanställning av uppgif- ter ur en upptagning för automatiserad behandling inte anses förvarad hos myndigheten om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig. Endast begränsningar i lag eller förordning, till exempel förbud i så kallade registerförfattningar för en myndighet att använda vissa sökbegrepp eller att ta fram samman- ställningar genom samkörning mellan olika register, är relevanta. Fär- diga elektroniska handlingar omfattas inte av bestämmelsen 2 kap. 7 § TF. Sådana handlingar är alltid att anse som förvarade hos en myndighet även om de innehåller personuppgifter och även om det i lag eller förordning finns förbud för myndigheten att använda vissa sökbegrepp vid sökning efter handlingarna (prop. 2001/02:70, s. 38).
I en precisionsmedicinsk databas kan enligt utredningens bedöm- ning finnas både färdiga elektroniska handlingar och så kallade poten- tiella handlingar. Exempel på en färdig elektronisk handling kan vara uppgifter om en viss patient som kopplats till ett löpnummer. Ett
516
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
exempel på potentiell handling kan enligt utredningens mening vara utfallet av en specifik sökning i en precisionsmedicinsk databas. Om uppgifter i en precisionsmedicinsk databas är färdiga elektroniska handlingar kan enligt utredningens mening inte sägas generellt, utan beror på hur databasen är utformad och hur uppgifterna i den syste- matiseras. Om uppgifterna inte kan anses vara färdiga elektroniska handlingar, bör de enligt utredningen mening typiskt sett vara poten- tiella handling som de myndigheter som har tillgång till databasen skulle kunna sammanställa med i vart fall rutinbetonade åtgärder (jämför 2 kap. 6 § andra stycket TF). Mot bakgrund av kravet på pseudonymisering eller likvärdigt skydd för uppgifter i en precisions- medicinsk databas, kommer dock uppgifterna inte vara tillgängliga för myndigheterna exempelvis utifrån sökning på personnummer eller namn. Detta innebär att inte går att sammanställa uppgifter i en precisionsmedicinsk databas utifrån den typen av kriterier och att det därmed inte heller är en förvarad handling hos myndigheterna.
Utredningen föreslår villkor för behandling av personuppgifter i en precisionsmedicinsk databas som görs tillgängliga genom direkt- åtkomst eller annat elektroniskt utlämnande, se avsnitt 14.8.5. utred- ningens förslag om villkor är inte en sådan begränsning som avses i
2kap. 7 § PDL (jämför prop. 2021/2022: 177, s. 98). Den allmänna be- stämmelsen om sökbegränsningar i 2 kap. 7 § PDL är dock även tillämp- lig på uppgifter i en precisionsmedicinsk databas, se avsnitt 14.8.6.
14.8Tillgång till personuppgifter
i precisionsmedicinsk databas
Förslag: Endast en regional myndighet inom hälso- och sjukvården får ges tillgång till en precisionsmedicinsk databas.
Tillgång till personuppgifter i en precisionsmedicinsk databas får ges genom direktåtkomst eller annat elektroniskt utlämnande.
Till samverkansregionala precisionsmedicinska databaser, får endast regionala myndigheter inom den samverkansregion där en samverkansregional precisionsmedicinsk databas förs ges tillgång. Till precisionsmedicinsk databas inom NGP får endast regionala myndigheter som ingår i GMS ges tillgång.
517
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
Tillgången till personuppgifter i en precisionsmedicinsk databas ska utgå från var de största behoven av sådan tillgång finns. För att integritets- intrånget ska vara proportionerlig krävs att avgränsningar görs både avseende vilka aktörer som kan ges tillgång och vilka personer som inom aktörerna kan få behörighet att behandla personuppgifter i databasen. Frågor uppkommer också kring hur tillgången ska ges samt villkoren för behandling av personuppgifter i ett specifikt fall. I detta avsnitt finns utredningens överväganden och förslag i dessa frågor.
14.8.1Behoven av tillgång till personuppgifter i databasen
I avsnitt 11.2.1, finns en beskrivning av precisionsmedicin. Precisions- medicin syftar till att ge vård och behandling utifrån den enskilde patientens unika förutsättningar. Förenklat kan sägas att precisions- medicin går ut på att ta reda på så mycket som möjligt om en specifik patient för att kunna ställa en så exakt diagnos som möjligt. Först då kan bästa möjliga behandlingen sättas in. Medfödda sällsynta sjuk- domar, cancer och infektionssjukdomar är i dag de vanligaste områ- dena där den regionala specialiserade sjukvården använder sig av precisionsmedicin och skräddarsydda behandlingar efter patientens individuella förutsättningar. Till exempel kan genetisk profil eller speci- fika biomarkörer användas som hjälp för att förstå hur de indivi- duella förutsättningarna ser ut. I dag är det till exempel tekniskt möjligt att undersöka hela arvsmassan vilket ger enorma mängder in- formation att basera medicinska beslut på. När sådan information finns tillgänglig om andra patienter, som har samma eller liknande indivi- duella förutsättningar, kan den informationen utgöra ett mycket värde- fullt underlag för hälso- och sjukvårdens bedömningar. För att till exempel kunna jämföra olika intressanta fynd vid en genanalys utgör personuppgifter från andra patienter en viktig källa. Behandling av personuppgifter för ändamålet vården av annan patient än den per- sonuppgifterna avser, är därför nödvändig inom precisionsmedicinen, för att kunna ta tillvara den kunskap som finns och individanpassa vården. De områden som detta förekommer inom är som tidigare nämnts bland annat vid utredning av sällsynta diagnoser och vid can- cerdiagnostik.
En gen- eller genomsekvensering är en avancerad och i dag för- hållandevis kostsam åtgärd som främst förekommer inom den regio-
518
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
nalt bedrivna specialiserade sjukvården. Detta kan ändras över tid allt eftersom precisionsmedicinen blir billigare och mer rutinartad. Utred- ningens bedömning är dock att vården av denna typ inte i närtid kommer bedrivas i exempelvis primärvården där allmänläkare på ett enkelt sätt kan fatta beslut baserat på genetiska data. När och om tekniken och vården blir mogen för det, kommer sannolikt regel- verket ses över när dataförsörjningsbehoven sannolikt se annorlunda ut. Det är också rimligt att anta att tekniken och infrastrukturen för datadelning då också utvecklats och skapat nya förutsättningar. Behovet av att få tillgång till den precisionsmedicinska databasen är mot denna bakgrund enligt utredningens bedömning starkast inom den regionalt bedrivna specialiserade sjukvården. Det är exempelvis där som patienter med sällsynta diagnoser och olika cancerformer vårdas, där professionen i dag ser ett konkret värde i att jämföra data mellan patienter. Vad avser sällsynta diagnoser kopplat till gensekven- sering, behöver vården till exempel kunna dela sekvensering av alla tekniskt korrekta varianter och alla tolkade varianter för att få en korrekt diagnostik. På cancerområdet kan nämnas behovet av att dela form och färg av genomet som är ovanliga. Detta är tillämp- ningar som utredningen uppfattar är aktuell inom den regionala specialiserade vården.
Utifrån att det främst är inom den regionala specialiserade vården som behovet av sökning finns, har utredningen övervägt om tillgång en- dast ska få ges till regional myndighet inom den specialiserade hälso- och sjukvården. Utredningen anser dock inte att det är en lämplig lös- ning. Det skulle addera ytterligare ett sätt att uttrycka aktörerna på (utöver vårdgivare och regional myndighet inom hälso- och sjukvår- den). Om en begränsning görs skulle det också innebära att en tolk- ning behöver göras av vilka regionala myndigheter som omfattas. Utredningen anser att det blir onödigt komplicerat. Det väsentliga är enligt utrednings uppfattning att det är personal vid en regional myn- dighet inom hälso- och sjukvården som får ges tillgång. I detta sam- manhang ska också ses utredningen förslag om särskild regel för till- delning av behörighet till precisionsmedicinsk databas. Det ska endast vara den som arbetar inom den regionala specialiserade vården som ska kunna ges behörighet till precisionsmedicinsk databas. Detta krav tar sikte på att göra tillgången mer träffsäker i förhållande till de behov som är starkast. Utredningen anser att detta är ett mer ändamålsenligt
519
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
sätt att göra begränsningen än att ytterligare snäva in aktören som får ges tillgång.
Utanför den krets av aktörer som utredningens förslag avser finns myndigheter som bedriver primärvård, hälso- och sjukvård i kommunal regi och privata vårdgivare. Vad avser privata vårdgivares tillgång till per- sonuppgifter i precisionsmedicinsk databas anser utredningen att det lämpligen utreds särskilt och tillsammans med andra frågor som rör privata vårdgivares vidareanvändning av hälsodata, se avsnitt 2.6.2. Även om uppgifter om andra patienter kan ha ett visst värde i vård som bedrivs även av andra aktörer än inom den regionalt bedrivna specialiserade sjuk- vården, gör utredningen bedömningen att det behovet inte väger så tungt att integritetsintrånget kan motiveras. I sammanhanget ska note- ras att det utredningen lämnar förslag på är direktåtkomst till detaljerade personuppgifter om andra patienter. Det finns andra former av besluts- stöd som baserar sig på exempelvis aggregerade hälsodata från patienter som kan vara mer lämpliga att använda i annan hälso- och sjukvård.
14.8.2Tillgång till personuppgifter genom direktåtkomst eller annat elektroniskt utlämnande
Utredningen har i avsnitt 14.6.2 beskrivit vad direktåtkomst och annat elektronisk utlämnande innebär.
Behovet av direktåtkomst eller annat elektroniskt utlämnande
Tillgång till personuppgifter i en samverkansregional precisionsmedi- cinsk databas kan innebära att ett utlämnande av personuppgifter behöver ske från den regionala myndighet som för den precisions- medicinska databasen till de andra regionala myndigheterna inom sam- verkansregionen som ska ha tillgång till databasen. Det är först fråga om utlämnande mellan myndigheter inom olika vårdgivare. Beroende på hur den region som för databasen är organiserad kan det även vara fråga om utlämnande mellan myndigheter inom den regionen.
Tillgång till personuppgifter i den precisionsmedicinska databasen inom NGP kommer också behöva ske genom utlämnande till de regio- nala myndigheter som ingår i GMS.
Syftet med en precisionsmedicinsk databas är att utgöra underlag för behandling av personuppgifter vid vården av en annan patient än
520
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
den som uppgifterna avser. Praktiskt kommer databasen användas för att söka i efter relevant hälsodata, se avsnitt 13.2. I vissa situationer, till exempel inom cancerdiagnostik, kan det räcka med de uppgifter som finns i databasen för att åstadkomma den individanpassning av vården som är målet med användandet av databasen. Ibland kan sök- ningen i databasen vara en första ingång till en bredare utredning, till exempel vid sjukdomar med stark ärftlighet.
För att precisionsmedicin ska kunna tillämpas i den kliniska var- dagen, krävs en stående tillgång till den datamängd som relevant att göra sökningar i. Den som eftersöker information vet inte om någon relevant information finns eller vad den i så fall består i. Det kan vara en eller flera variabler i databasen som visar sig vara av värde för vården av patienten. Sökning kan behöva vara en iterativ process där ett visst utfall vid en sökning ger grund för nästa sökning. Utifrån detta och syftet med databasen är det inte tillräckligt att endast medge att ett avgränsat elektroniskt utlämnande sker. Tillgång genom direktåtkomst behöver därför vara tillåtet.
Behovet av en regel som tillåter direktåtkomst eller annat elektroniskt utlämnande
Utlämnande genom direktåtkomst till personuppgifter är tillåten en- dast i den utsträckning som anges i lag eller förordning (5 kap. 4 § PDL). Det behövs därmed en uttrycklig regel som tillåter direkt- åtkomst till precisionsmedicinsk databas, som täcker de situationer när tillgången är ett utlämnande.
Utredningen har utifrån ett
1.Från en regional myndighet inom en vårdgivare till en regional myn- dighet inom en annan vårdgivare,
2.Från en regional myndighet till en annan regional myndighet inom samma vårdgivare eller
3.Inom samma regionala myndighet.
Dessa tre situationer redogörs för nedan. I typsituation 3 är det inte fråga om ett utlämnande, utan här gäller endast utredningens före-
521
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
slagna regler om behörighet och villkor för sökning i databas, se av- snitt 14.8.3 och 14.8.4.
Mellan myndigheter hos olika vårdgivare
Tillgång till en precisionsmedicinsk databas ska kunna ges från en regional myndighet inom en vårdgivare till en regional myndighet inom en annan vårdgivare. Ett exempel på detta är att Karolinska universitetssjukhuset ska kunna ges tillgång till den precisionsmedi- cinska databasen inom NGP om den förs hos regionstyrelsen i Västra Götalandsregionen. Regler som tillåter direktåtkomst i en sådan situation finns i dag endast i SVOD.
För att en myndighet inom en annan vårdgivare än den som för databasen ska kunna söka i den behöver direktåtkomst vara tillåtet över vårdgivargränser. Det finns i dag ingen sådan bestämmelse som kan tillämpas vid ändamålet vården av en annan patient än den som uppgifterna avser.
Mellan myndigheter inom en vårdgivare
Tillgång till en precisionsmedicinsk databas ska också kunna ges från en myndighet inom en region till en annan myndighet inom samma region. Regionen är en vårdgivare. I en sådan situation ges alltså till- gången mellan myndigheter inom en vårdgivare.
Enligt 5 kap. 4 § andra stycket PDL gäller att om en region eller en kommun bedriver hälso- och sjukvård genom flera myndigheter, får en sådan myndighet ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet i samma region eller kommun. Utredningen gör bedömningen att regeln ger stöd för direkt- åtkomst i den situationen där en precisionsmedicinsk databas förs inom en regional myndighet och tillgång ska ges till en annan myn- dighet inom den regionen. Regeln avser dock endast ”direktåtkomst”. Utredningens föreslagna regler omfattar även ”annat elektroniskt ut- lämnade”. Utredningen konstaterar att utredningens förslag delvis överlappar med bestämmelsen i 5 kap. 4 § andra stycket PDL. Utred- ningen anser dock att det är motiverat med en regel om tillgång genom direktåtkomst eller annat elektroniskt utlämnande som gäller generellt för ändamålet vården av en annan patient än den som uppgifterna
522
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
avser. Det blir tydligare om en samlad reglering finns i kapitel 6 PDL. Mot denna bakgrund anser utredningen att även utlämnande som ske mellan myndigheter i samma region ska omfattas av regeln om tillgång till precisionsmedicinsk databas.
Förhållandet till 5 kap. 6 § PDL
Utredningen föreslår en fullständig reglering av det utlämnande som får ske, det vill säga både direktåtkomst och annat elektroniskt utläm- nande. Utredningen konstaterar att det delvis kan anses överlappa med regleringen i 5 kap. 6 § PDL som redan tillåter utlämnande på medium för automatiserad behandling. Utredningen anser dock att det av tyd- lighetskäl behövs en samlad bestämmelse som reglerar formerna för ut- lämnande kopplat till ändamålet vården av en annan patient än den som uppgifterna avser.
14.8.3Till vilken eller vilka precisionsmedicinska databaser ska tillgång ges?
Tillgång till precisionsmedicinsk databas ska följa reglerna som gäller för inrättande och förande av precisionsmedicinsk databas.
Inrättande och förande av precisionsmedicinsk databas får ske inom var och en av de sex samverkansregionerna enligt 3 kap. 1 § HSF. Tillgång till en precisionsmedicinsk databas i en samverkansregion får följaktligen ges till de regionala myndigheter som omfattas av den samverkansregion där databasen förs. Exempelvis får tillgång till en precisionsmedicinsk databas som förs inom samverkansregion Mellan- sverige endast ges till de regionala myndigheter inom hälso- och sjuk- vården som omfattas av den samverkansregionen. Tillgång till den pre- cisionsmedicinska databasen i samverkansregion Mellansverige får inte ges till regionala myndigheter inom exempelvis samverkansregion Syd.
Vad avser precisionsmedicinsk databas inom NGP har utredningen gjort följande överväganden. I den precisionsmedicinska databasen inom NGP ges möjlighet att dela personuppgifter mellan regioner som bedriver universitetssjukvård. De personuppgifter som behöver delas är sådana där samlingen behöver omfatta ett bredare geografiskt urval än en samverkansregion. Spridningen sker då mellan större geogra- fiska områden. Utredningen anser att det av integritetsskäl endast bör
523
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
vara de regionala myndigheter inom ingår i GMS som kan ges tillgång till den precisionsmedicinska databasen inom NGP. Det är också där som de största behoven finns av tillgång till de personuppgifter som samlas där. Endast de regionala myndigheter som ingår i GMS får alltså enligt utredningens förslag ges tillgång till personuppgifter som be- handlas i den precisionsmedicinska databasen inom NGP.
14.8.4Behörighet för tillgång till precisionsmedicinsk databas
Förslag: När en regional myndighet inom hälso- och sjukvården bestämmer villkor för tilldelning av behörighet enligt 4 kap. 2 § PDL, får behörighet till en precisionsmedicinsk databas endast till- delas den som arbetar i den specialiserade vården och som behöver åtkomsten för sitt arbete med att förebygga, utreda eller behandla sjukdomar och skador hos patienter.
Utredningen föreslår en särskild bestämmelse som gäller vid tilldelning av behörighet till en precisionsmedicinsk databas. Bestämmelsen kom- pletterar 4 kap. 2 § första stycket PDL. Utredningens överväganden följer nedan.
Det behövs en särskild bestämmelse om behörighet
För att ytterligare snäva in åtkomsten till personuppgifterna föreslår utredningen en särskild bestämmelse om behörighet som är specifikt anpassad för ändamålet.
Utredningen har övervägt behovet av en särskild bestämmelse. Det hade kunnat tänkas att ingen särskild bestämmelse om behörighet föreslogs och att enbart regeln i 4 kap. 2 § första stycket PDL skulle gälla. I den bestämmelsen anges att en vårdgivare ska bestämma vill- kor för tilldelning av behörighet för åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat och att denna behörig- het ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Utredningen anser att denna regel är för generell sett till det behov som finns att få behörighet till en precisionsmedicinsk databas. Utredningens upp- fattning är att det främst är i den specialiserade hälso- och sjukvården
524
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
som behovet av att söka i en precisionsmedicinsk databas finns och att regeln i 4 kap. 2 § första stycket PDL är för bred i detta sam- manhang. Behovet beskrivs mer utförligt i avsnitt 14.8.1.
Behovet av att söka i precisionsmedicinsk databas är alltså knutet till den specialiserade vården. Med anledning av detta anser därför utredningen att det i 6 kap. PDL tydliggörs att utöver de ställnings- taganden som följer av 4 kap. 2 § första stycket PDL och 4 kap. 2 § i
Att det är särskilt motiverat med en begränsning av vilka som ska ges behörighet till en precisionsmedicinsk databas följer av att det rör sig om en ny samling av en stor mängd känsliga personuppgifter, som berörda medarbetare inte skulle fått tillgång till annars och att utredningen i 6 kap. PDL ämnar reglera tillgången på ett så heltäckande sätt som möjligt. Utredningen anser att det är av största vikt att för- troendet för precisionsmedicinska databaser upprätthålls genom att bland annat minska riskerna för obehörig åtkomst (se vidare under avsnitt 14.6.6). Utredningen anser att föreslaget tillägg till 4 kap. 2 § första stycket PDL är en viktig integritetsskyddande åtgärd.
Betydelsen av den specialiserade vården
Behörigheten ska, som ovan beskrivet, kopplas till att någon arbetar inom den specialiserade vården. Fråga uppstår då vad som menas med att någon arbetar inom den specialiserade vården.
Begreppet specialiserade vården är inte definierat i lag. Begreppet förekommer däremot i lag, exempelvis kopplat till regleringen om vårdgaranti i 9 kap. 1 § 3 HSL och motsvarande reglering i 2 kap. 3 § 3 patientlagen (2014:851). I förarbetena till dessa regleringar de- finieras inte den specialiserade vården specifikt eller på något entydigt sätt, utan snarare beskrivs framväxten av den specialiserade vården
525
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
(se exempelvis redogörelsen om expansionen av sjukvården och den specialiserade vården i SOU 2019:29 s. 46 ff.). Begreppet ingår även som en del av begreppet nationell högspecialiserad vård, definierad i 2 kap. 7 § HSL.
Specialiserad vård är enligt Socialstyrelsens termbank sådan hälso- och sjukvårdsverksamhet som kräver mer specialiserade åtgärder än vad som kan ges i primärvård (termstatus rekommenderad).9 Termen specialistvård förekommer inte i Socialstyrelsens termbank.
Begreppet specialistvård är inte uttryckligen definierad i någon för- fattning. Däremot förekommer begreppen specialistkompetens och specialisttjänstgöring dock som begrepp i kontext med person, se till exempel i 4 kap. 3 § HSL och 10 kap. 5 § HSL som beteckning för att personen arbetar i den specialiserade vården.
Däremot är begreppet primärvård definierat i HSL. I 2 kap. 6 § HSL anges att med primärvård avses hälso- och sjukvårdsverksamhet där öppen vård ges utan avgränsning när det gäller sjukdomar, ålder eller patientgrupper. Primärvården svarar för behovet av sådana åt- gärder i form av medicinsk bedömning och behandling, omvårdnad, förebyggande arbete och rehabilitering som inte kräver särskilda medi- cinska eller tekniska resurser eller någon annan särskild kompetens. Paragrafen sågs nyligen över för att moderniseras och anpassas till de strukturella förändringar som skett på hälso- och sjukvårdsom- rådet (prop. 2019/20:164 s. 69).
Begreppen specialiserad vård och specialistvård synes enligt utred- ningen ha i princip samma innebörd som båda syftar till att vara den vård som ges om inte primärvård ges och det inte är fråga om den nationella högspecialiserade vården. Specialistvården omnämns van- ligen som en beskrivande term av den faktiska vård som den specia- liserade vården utför.
Utredningens uppfattning är även att den specialiserade vården är motsatsvis den vårdnivå som anges i definitionen av primärvård i enligt 2 kap. 6 § HSL. Motsatstolkningen ligger därmed även i linje med den förklaring som finns för den specialiserade vården i Socialstyrel- sens termbank och begreppet stämmer lagtekniskt överens med be- greppets användning i HSL. Till ledning av vad som utgör den spe-
9Socialstyrelsens termbank, https://termbank.socialstyrelsen.se/#results, (hämtad
526
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
cialiserade vården i utredningens lagförslag kan därför förarbetena till 2 kap. 6 § HSL användas.
Enligt förarbetena till 2 kap. 6 § HSL står primärvården för en bred kompetens som kan tillgodose den enskilda individens allra flesta vårdbehov. Primärvård kännetecknas av att verksamheten är beroe- nde av flera olika generalistkompetenser som samverkar kring patienten och definieras därför utifrån generalistens breda kom- petens. Den allmänmedicinska specialistkompetensen är därför central, även om det samtidigt krävs en mängd andra generalistkompetenser (prop. 2019/20:164 s.
6§ HSL anges att primärvården inte kräver särskilda medicinska eller tekniska resurser eller någon annan särskild kompetens. Med särskilda medicinska resurser avses enligt förarbetena annan kompetens än spe- cialistkompetens i allmänmedicin eller likvärdig specialitet, såsom geriatrik eller barn- och ungdomsmedicin. Med särskilda tekniska resur- ser avses exempelvis särskilt avancerad eller kostsam utrustning som brukar koncentreras till exempelvis sjukhusen. Vad som avses med uttrycket annan särskild kompetens kan vara att det tar sikte på till exempel om viss teknisk utrustning kräver särskild kompetens som inte finns i primärvården eller om det krävs ett sådant sammansatt kompetensteam av yrkeskategorier som inte finns tillgängliga i primär- vården (prop. 2019/20:164 s. 71).
Tidigare definition av primärvård hade ett sjukhusperspektiv. I prak- tiken kom sjukhusbyggnaden ofta att avgöra var gränsen mellan primär- vård och annan specialiserad vård gick. Detta ansågs inte ligga i linje med hur primärvård i dag bedrivs och gränsdragningen kopplas därför inte längre till sjukhusbyggnaden (prop. 2019/20:164 s. 69).
Det finns enligt utredningen en poäng i att inte försöka definiera den ”specialiserade vården” i förhållande till utredningens lagförslag.
Detta för att inte introducera en definition som inte stämmer överens med hur begreppet tolkas i ljuset av skillnaden mellan primärvård och den specialiserade vård. Innebörden av den specialiserade vården som utförs ska därför tolkas motsatsvis den primärvård som definieras i
2kap. 6 § HSL.
527
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
I förordning (2001:707) om patientregister hos Socialstyrelsen finns i en bestämmelse som reglerar när personuppgifter får behandlas i patientregister (4 §). Bestämmelsens andra punkt anger att sådana personuppgifter får behandlas som rör patienter som behandlats av läkare inom den öppna vården som inte är primärvård. Det skulle kunna tänkas att utredningen kan formulera sin bestämmelse på liknande sätt och i stället för att använda termen ”specialiserade vården”, an- vänder negationen ”som inte är primärvård”. Lagtekniskt skulle detta vara enhetligt med övrig lagstiftning eftersom begreppet speciali- serade vården inte är legaldefinierat. Utredningen anser dock att detta är en onödigt krånglig formulering och har därför valt att använda den i HSL befintliga termen specialiserade vården.
Utredningen konstaterar att vad som anses utgöra specialiserade vården i viss mån kan innefatta en bedömning. Detta anser dock ut- redningen är ett sådant bedömningsutrymme som kan och bör ges till hälso- och sjukvården inom ramen för det ansvar som finns avseende organisation och verksamhet. I många fall borde det dock enligt utred- ningens mening stå klart vilka personer som får tilldelas behörighet för elektronisk åtkomst till en precisionsmedicinsk databas. Utredningen har fått ett antal mycket konkreta exempel på yrkeskategorier och verk- samheter inom regionsjukhusen där de stora behoven finns. Kriteriet att den som kan få behörighet ska arbeta inom den specialiserade vården ska även ses tillsammans med att personen behöver åtkomsten för sitt arbete med att förebygga, utreda eller behandla sjukdomar och skador hos patienter. Dessa kriterier får enligt utredningens mening tillsammans skapa den vägledning och avgränsning som är motiverad.
Av avsnitt 14.6 framgår att endast de personuppgifter som behövs för vården av en annan patient än den som uppgifterna avser får till- gängliggöras till en precisionsmedicinsk databas. Det urval som görs får konsekvens för vilken personal och i vilka situation som det blir aktuellt att söka i en precisionsmedicinsk databas. Utifrån de exempel som utredning har fått till sig vad avser typen av uppgifter, gör utred- ningen bedömningen att det typiskt sett endast är viss personal inom den specialiserade hälso- och sjukvården kan ha användning för upp- gifterna. Annorlunda uttryckt behövs det en viss specialiserad kom- petens för att uppgifterna ska kunna användas i vården av en patient.
528
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
Behörigheten ska inte begränsas till vissa personalkategorier
Utredningen har övervägt om det är möjligt att i PDL eller på lägre normgivningsnivå ange mer preciserat, utöver att någon ska arbeta i specialiserade sjukvården, vilken typ av personal inom hälso- och sjuk- vården som ska kunna tilldelas behörighet att söka i precisionsmedi- cinsk databas. Så skulle exempelvis kunna ske genom att ytterligare ringa in en viss personalkrets eller personalkategori. Utredningen har övervägt om det är möjligt att ringa in den personalkrets eller lik- nande som ska kunna tilldelas behörighet. Kan det till exempel vara möjligt att begränsa möjligheten att tilldela behörighet till vissa per- sonalkategorier. Utredningen har övervägt om det är möjligt att i lagen eller längre normgivningsnivå ange mer preciserat vilken typ av personal inom hälso- och sjukvården som ska kunna få behörighet att söka i precisionsmedicinsk databas.
Ett sätt skulle kunna vara att knyta möjligheten att tilldela behörig- het till personal med viss legitimation. Detta skulle till exempel kunna fungera för läkare, där vissa relevanta yrkeskategorier med bevis om specialistkompetens skulle kunna förtecknas.
Utredningen har dock fått till sig att även andra yrkeskategorier än legitimerade sådana har en central roll inom precisionsmedicinen. Till dessa yrkesgrupper hör till exempel sjukhusgenetiker och bioinfor- matiker. Detta är personer med naturvetenskaplig utbildningsbakgrund som saknar legitimation eller möjlighet till bevis om specialistkom- petens (jämför 4 kap. 8 § PSL). Det är enligt utredningens bedöm- ning svårare att i lagstiftning, som ett kriterium för tilldelning av be- hörighet, formulera yrkeskategorier utifrån utbildningsbakgrund. En förteckning av en viss personalkategori skulle också närma sig frågan om vem som får göra vad inom hälso- och sjukvården. Detta regleras av PSL, patientsäkerhetsförordningen (2010:1369) och Socialstyrelsens förskrifter och allmänna råd, bland annat
Utredningens bedömning är att det inte på ett ändamålsenligt sätt går att ange mer precist vilken personal som ska kunna tilldelas be- hörighet till precisionsmedicinsk databas. Det är arbetsuppgifterna som bör styra och det bestäms utifrån andra regler. Tilldelning av behörighet ska på så sätt följa det regelverket och i övrigt de beslut som fattas i hälso- och sjukvårdsverksamheten med avseende på arbets- uppgifter. Ytterligare en modell som har lyfts till utredningen är att skapa en särskild yrkesfunktion kopplat till behörighet till precisions-
529
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
medicinsk databas och att bara denna yrkesgrupp får söka i en preci- sionsmedicinsk databas. Detta finns beträffande så kallade transplan- tationskoordinatorer.
En transplantationskoordinator är en sjuksköterska som ansvarar för den samordnande funktionen mellan intensivvård och transplanta- tion vid en donationsprocess. Enligt 8 § i Socialstyrelsens föreskrifter (SOSFS 2012:14) om hantering av mänskliga organ avsedda för transplantation, ska den vårdgivare som ansvarar för transplantations- verksamhet säkerställa att det dygnet runt finns tillgång till minst en transplantationskoordinator som ska 1. lokalisera möjliga mottagare av ett organ, 2. koordinera tillvaratagandet och transplantationen av ett organ och 3. upprätta en tillvarataganderapport enligt 7 kap. 10 § i samma föreskrifter. Bland arbetsuppgifterna finns att göra kontroll i donationsregistret.10
Att koppla rätten att söka i en precisionsmedicinsk databas till en viss skapad yrkeskategori skulle förvisso innebära en tydlig avgräns- ning av personkretsen, vilket är en fördel ur transparenshänseende. Den kontroll som en transplantationskoordinator gör i donations- registret, eller de uppgifter som en transplantationskoordinator har i övrigt, är dock enligt utredningens uppfattning inte jämförbara med de analyser och bedömningar som behöver göras vid sökning och utfall i en precisionsmedicinsk databas. Som ovan har redogjorts för är det kompetens från ett antal olika yrkesutövare som är relevant, exakt vilka är beroende av aktuellt patientfall och hur verksamheten är organiserad. Utredningen anser att det är viktigt av transparensskäl att de som faktiskt tar del av uppgifterna och gör bedömningarna också är de som har möjlighet att få behörighet att söka. Det finns annars en risk att en snävare krets som har behörigheten enligt den särskilda yrkes- kategorin gör sökningen, och annan personal de facto tar del av upp- gifterna och gör bedömningarna. Av integritetsskäl är det en fördel med en snäv krets behöriga. Utredningen anser dock att det vore olyck- ligt om personuppgiftsbehandling för ändamålet öppnas upp, men att reglerna utformas så att inte relevant personal får söka och ta del av uppgifterna. Målet med en bättre och mer jämlik vård kommer då inte att uppnås. Risken för kringgående av reglerna bör även beaktas. Utredningen anser att den regel om tilldelning av behörighet som före-
10För ytterligare beskrivning av en transplantationskoordinators roll och uppgifter, se SOU 2015:84.
530
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
slås, tillsammans med övriga integritetshöjande åtgärder är tillräckliga för att tillgodose integritetsintresset.
Betydelsen av att ”förebygga, utreda eller behandla sjukdomar och skador hos patienter”
Som ovan konstaterat behöver arbetsuppgifter kopplade till preci- sionsmedicinsk vård utföras av olika yrkeskategorier inom hälso- och sjukvården. Tilldelning av behörighet behöver kunna ske på ett ända- målsenligt sätt utifrån detta.
Ändamålet för en precisionsmedicinsk databas omfattar dock endast ”vården” av en patient. Detta får enligt utredningens bedömning den följden att behörigheten bör tilldelas endast utifrån att den ska an- vändas i vården av en patient, inte inom hälso- och sjukvården gene- rellt, det vill säga för ändamål enligt 2 kap.
Utredningen har utifrån detta föreslagit att tilldelning av behörighet ska ske utifrån personens behov för sitt ”arbete med att förebygga, utreda eller behandla sjukdomar och skador hos patienter”. Denna formulering är mer begränsad än den i 4 kap. 2 § PDL, som anger be- hörighet begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Utredningen att den föreslagna formuleringen bättre knyter an till syftet och ända- målet med en precisionsmedicinsk databas och ytterligare förstärker det förhållande att en sådan databas endast får användas för vårdändamål.
Utredningen har övervägt om endast ”vården” är ett lämpligare begrepp. Utredningen använder begreppet vården kopplat till ända- målet. Avseende regler som mer direkt kopplar till sökning i databasen använder utredningen den lite längre och mer konkreta formuleringen inom hälso- och sjukvården. Det begreppet återfinns också i SVOD. Se även överväganden till villkor för sökning i precisionsmedicinsk databas, se avsnitt 14.8.5.
531
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
Behörighetstilldelning följer tillgången till en precisionsmedicinsk databas
Vilken precisionsmedicinsk databas någon som arbetar inom den spe- cialiserade sjukvården kan få tillgång till hänger också ihop med vilken eller vilka precisionsmedicinska databaser den regionala myndighet som personen arbetar hos har tillgång till. Detta kan vara en samver- kansregional precisionsmedicinsk databas, eller den precisionsmedi- cinska databasen som får föras inom NGP, se mer om vilka databaser som ska få finnas i avsnitt 14.7.3.
Utredningen har i avsnitt 14.7.2 beskrivit att det är regionala myn- digheter inom hälso- och sjukvården som kan inrätta och föra pre- cisionsmedicinska databaser. Det kan falla sig så att samma regionala myndighet inom hälso- och sjukvården som tilldelar behörighet att söka i precisionsmedicinsk databas, också är den myndighet som har inrättat och för den precisionsmedicinska databasen.
14.8.5Villkor för behandling av personuppgifter
i precisionsmedicinsk databas och inre sekretess
Förslag: En regional myndighet inom hälso- och sjukvården får behandla personuppgifter som en annan myndighet som för pre- cisionsmedicinsk databas har gjort tillgängliga om
1.någon som arbetar hos myndigheten och har behörighet till precisionsmedicinsk databas deltar i vården av en patient, och
2.uppgifterna kan ha betydelse för att inom hälso- och sjuk- vården förebygga, utreda eller behandla sjukdomar och skador hos patienten.
Den som arbetar hos en myndighet som för precisionsmedicinsk databas och har behörighet till precisionsmedicinsk databas får ta del av personuppgifter i databasen om han eller hon
1.deltar i vården av en patient, och
2.uppgifterna kan ha betydelse för att inom hälso- och sjuk- vården förebygga, utreda eller behandla sjukdomar och skador hos patienten.
532
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
Det behövs en bestämmelse som reglerar villkoren för att söka i pre- cisionsmedicinsk databas när tillgång ges genom direktåtkomst. Det behövs även en bestämmelse om befogenhet att söka i precisions- medicinsk databas när tillgången endast ges inom den myndighet som för den precisionsmedicinska databasen (inre sekretess). På grund av de formella skillnader som finns mellan dessa två situationer, be- höver bestämmelserna vara något olika formulerade. De bör dock i materiellt hänseende vara likalydande på så sätt att sökning i preci- sionsmedicinsk databas får ske under samma villkor oberoende av om tillgången till databasen sker internt inom en myndighet eller över en myndighetsgräns. Detta går i linje med utredningens generella över- väganden om utformningen av regleringen, se avsnitt 14.4.5.
Den lagtekniska utformningen av bestämmelserna
Utredningen har gjort bedömningen att det saknas stöd i 4 kap. 1 § PDL för den som arbetar hos en vårdgivare att ta del av dokumen- terade personuppgifter om en annan patient än den man deltar i vården av, se avsnitt 13.9. För tillgång mellan regionala myndigheter hos olika vårdgivare finns över huvud taget ingen bestämmelse som är tillämplig för ändamålet vården av annan patient än den som uppgifterna avser. Det behövs därför dels en bestämmelse med villkor för när annan regional myndighet inom hälso- och sjukvården får behandla person- uppgifter i en precisionsmedicinsk databas, dels en bestämmelse som ger stöd för den som har tilldelats behörighet till en precisionsmedi- cinsk databas att ta del av uppgifter i databasen om den finns inom myndigheten. Utredningen har i utformningen av den föreslagna be- stämmelsen tagit inspiration från 4 kap. 1 § PDL och 3 kap. 1 § SVOD.
Ett nödvändigt element är att personen som ska ta del av uppgifter i en precisionsmedicinsk databas deltar i vården av en patient. Exem- pel på när en person deltar i vården är vid patientbesök. Utredningen konstaterar att personen deltar i vården av en patient när hen bidrar med sin kompetens i vården av patienten, till exempel vid konsulta- tioner (se Göta hovrätts dom den 14 april 2022 i mål nr B
Det andra elementet är att uppgifterna i databasen kan ha betydelse för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten. Denna formulering har utred-
533
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
ningen hämtat från SVOD, men tagit bort kriteriet ”antas”. Anled- ningen till detta är följande.
Den som söker i databasen vet inte alltid om det ens finns upp- gifter i databasen som har betydelse för vården av patienten. Själva syftet med sökningen kan vara att ta reda på om det över huvud taget finns relevant information. Det kan också vara så att den som behandlar personuppgifter i databasen har en uppfattning om att det kan finnas uppgifter som är relevanta, men inte i vilken omfattning eller hur betydelsefulla de kan vara. För att en precisionsmedicinsk databas ska kunna användas för sitt syfte, kan inte kraven för sökning vara för höga. Ett för högt ställt krav på betydelsen för vården av patienten kan få till följd att den precisionsmedicinska databasen inte kan an- vändas för sitt syfte. Samtidigt behöver det finnas kriterier som ramar in situationerna när en behandling av personuppgifter får ske. En lämp- lig avvägning är enligt utredningens bedömning ett krav på att upp- gifterna i databasen kan ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten. Detta är ett lågt ställt beviskrav. Utifrån att den som söker i vart fall initialt inte alltid vet om det finns uppgifter av relevans, anser utredningen att ett krav som innefattar ett sådant antagande är ett för högt krav (se 3 kap. 1 § SVOD). I utredningens föreslagna formulering ligger dock att en be- dömning ska göras av att den typen av uppgifter som finns i data- basen kan vara av värde för behandlingen av patienten.
Utredningen konstaterar vidare att det är en medicinsk bedömning som ska avgöra frågan om när det kan ha betydelse att behandla upp- gifter i en precisionsmedicinsk databas. Den medicinska bedömningen ska baseras på vetenskap och beprövad erfarenhet.
Uppgifterna ska ha betydelse för att inom hälso- och sjukvården före- bygga, utreda, behandla sjukdomar och skador. Det är för vård och be- handling av patienten som uppgifterna ska användas, vilket utöver det generella ändamålet bör uttryckas som ett krav vid behandlingen av personuppgifter i en precisionsmedicinsk databas. Utredningen har övervägt vilken formulering som är lämplig att använda. Endast ”vår- den”, såsom anges för syftet med databasen, skulle kunna vara ett alter- nativ. Den längre och mer konkretiserade formuleringen som utred- ningen föreslår är emellertid samma formulering som gäller enligt 3 kap. 1 § SVOD vid behandling av uppgifter i sammanhållen vård- och omsorgsdokumentation. Utredningen finner det lämpligt att an- vända samma formulering som i SVOD. I förarbetena till SVOD anges
534
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
kravet innebär att en vårdgivare som deltar i ett system med samman- hållen vård- och omsorgsdokumentation inte får använda sin tillgång till andra vårdgivares eller omsorgsgivares uppgifter för andra syften än vård och behandling (prop. 2021/22: 177, s. 205). Avseende behand- ling av personuppgifter i precisionsmedicinsk databas innebär kravet att en regional myndighet inte får använda tillgången till databasen för andra syften än vård och behandling.
Utredningen har utgått ifrån definitionen av hälso- och sjukvård i PDL med två undantag, se avsitt 14.4.7. Det är alltså hälso- och sjuk- vård i den meningen som avses.
Ingen begränsning i antalet sökningar
Utredning har i kontakt med professionen som arbetar inom pre- cisionsmedicin och fått beskrivet för sig hur en precisionsmedicinsk databas skulle användas. Utredningen beskriver i avsnitt 13.2.4 den praktiska gången vid sökning för vårdändamål. Utredningen anser att reglerna om villkor och befogenhet är utformade på ett sådant sätt att det är praktiskt användbart på det sätt som där beskrivs.
Ett konkret exempel skulle kunna vara följande. En sjukhusgene- tiker gör en sökning på en genförändring. Den kan leda till ett relevant utfall direkt. Någon mer sökning behöver då inte göras. Oftare för- utses dock en form av ”iterativ process”. Det kan exempelvis handla om att man söker på diagnos. Första sökningen ger för många träffar för att resultatet ska vara medicinsk relevant för vården av patienten. Då kan exempelvis ytterligare ett sökfilter läggas till sökningen för att få ett mer avgränsat utfall som kan vara mer relevant. Beroende på hur utfallet blir kan processen fortsätta.
Utredningen har identifierat att ett sätt att begränsa integritets- intrånget som följer av databasen är att begränsa antalet sökningar som varje person får göra vid ett tillfälle. Detta är dock av praktiska skäl varken lämpligt eller rimligt. Nedan följer ett par exempel som visar på varför en sökbegränsning inte bör införas i databasen.
Om det är första gången en person söker i en datamängd så kan det vara svårt att på förhand veta vilken information som går att få ut ur databasen. Även om det finns en metadatakatalog som beskriver viken typ av personuppgifter som ingår, vet den som söker i databasen inte på förhand exempelvis hur många patienter det finns med en viss
535
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
diagnos. Detta är hela anledningen till att sökningen ibland görs. I prak- tiken skulle en sökbegränsning innebära att patient som hade en läkare som var mindre van vid att söka i databasen fick sämre vård, eftersom nyare användare av databasen sannolikt behöver använda sig av fler sök- ningar än vana användare. Exempelvis kan vana användare veta sedan tidigare sökningar eller utifrån sin allmänna erfarenhet, att det saknas data avseende behandlingsutfall för en specifik patientgrupp och avstår därför från att söka på den informationen. Ett system med sökbegräns- ningar skulle också kunna skapa betydande etisk stress bland använ- darna, utifrån att mindre ”bra” sökningar i databasen kan komma att leda till att deras patient inte får den vård den ska ha.
Ett annat exempel är svårare fall eller där osäkerheten kring vilken patientgrupp som är en relevant jämförelsegrupp för den patient som vårdas är större än normalt. Patienten som vårdas i dessa fall har sannolikt större behov av att personuppgifter från andra patienter kan användas i vården av hen, eftersom bristen på kunskap om deras diagnos ofta också innebär att de inte kan få lika bra behandling jämfört med personer som har vanligare diagnoser. I dessa fall skulle en sökbegränsning innebära att patienter som har en sjukdom som är svårare att hitta relevant information om får sämre behandling.
Slutligen så är det också praktiskt svårt att fastställa en relevant sökbegränsning. Om sökningen begränsas per läkare i kombination med per patient kommer det leda till att patienten bör söka sig till flera olika läkare. Om avgränsningen görs enbart per patient är det sannolikt att patienter med mer komplexa behov kommer missgynnas. Om avgränsningen görs per läkare kommer patienter med mindre komplexa behov missgynnas eftersom en läkare kan ha slut på sök- ningar den dagen de ska behandlas.
Situationen skulle kunna liknas vid att söka efter kläder på en hem- sida. Om du ska köpa strumpor kanske ”svart” är en tillräcklig sökterm som genererar ett hanterbart och relevant utfall. Medan samma sökterm för exempelvis klänningar behöver kompletteras med ytterligare sök- termer för att begränsa urvalet. Detta kan också skilja sig åt från vilken hemsida du söker på. Mer rutinerade kunder kommer då veta vilka hem- sidor och exempelvis vilka märken som kräver mer eller mindre detal- jerade söktermer, medan nyare kunder kommer ha svårt att hitta det de letar efter om de bara får tillgång till ett begränsat antal sökningar.
Utredningens sammantagna bedömning är därför att det inte är lämpligt att avgränsa antalet sökningar i databasen, eftersom en sådan
536
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
avgränsning i flera fall skulle kunna leda till omotiverade skillnader mellan patienternas möjlighet att få en god vård.
Ingen precisering av i vilka situationer sökning får ske
Utredningen har övervägt om villkoren för tillgång till personupp- gifter kan avgränsas med ett kriterium som tar sikte på den situation i vilken tillgången bör ges. Detta skulle möjligen kunna fungera om behovet av behandlingen av personuppgifterna rörande andra patienter i vårdprocessen uppkommer i en viss situation, skede eller liknande som går att precisera.
Utredningen har lyft denna fråga med den medicinska professionen. Möjligheten att ha ett specificerat kriterium avseende situation kopplar till när det är medicinskt motiverat att få precisionsmedicinsk vård. Detta är en medicinsk bedömning som diskuteras både i Sverige och internationellt. Utredningen har erfarit att det finns arbeten i andra länder, forskning och så vidare som har adresserat denna fråga. Utred- ning uppfattar att detta är en fråga i förändring. Det finns olika syn- sätt på hur det ska bestämmas om en patient ska erbjudas utredning och behandling inom precisionsmedicin eller inte. Det diskuteras även vilka så kallade inklusionskriterier som ska gälla. Det kan till exempel handla om typ av besvär eller om det finns behov av ytterligare underlag för medicinska bedömningar. Det kan vidare avse mindre allvarliga fall, som blir allvarliga om inget görs. Kan också vara allvarligt från början.
Utredningen gör bedömningen att det inte är möjligt att ha ett villkor i lagen som utgår ifrån att behandlingen av andra patienters personuppgifter sker i en viss situation. Det skulle i praktiken inne- bära att den lagstiftning som utredningen föreslår indirekt styr den medicinska professionens bedömningar om när en patient ska utredas och behandlas inom precisionsmedicinen. Detta är inte en juridisk fråga som man kan definiera i lagstiftning, utan en medicinsk bedöm- ning. Utredningen lämnar därför inte förslag på att sökning i preci- sionsmedicinsk databas endast får göras i vissa situationer.
537
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
14.8.6Sökbegrepp
Bedömning: I 2 kap. 8 § PDL finns allmänna regler om tillåtna sökbegrepp. Ingen särreglering behövs avseende sökbegrepp vid tillgång till personuppgifter i precisionsmedicinsk databas.
Enligt 2 kap. 8 § första stycket PDL får känsliga personuppgifter eller uppgifter om lagöverträdelser som avses i 7 § inte användas som sök- begrepp. Trots detta förbud är det enligt bestämmelsens andra stycke tillåtet att som sökbegrepp använda uppgifter om hälsa.
I avsnitt 14.6.3 redogör utredningen för exempel på uppgifter som typiskt sett kan komma att bli aktuella för tillgängliggörande till en precisionsmedicinsk databas. Det kan avse kön, ålder, diag- noser, genvariant eller virustyp. De uppgifter som tillgängliggörs blir föremål för sökning. Som sökbegrepp får då utifrån regleringen i 2 kap. 8 § PDL endast användas känsliga personuppgifter i form av uppgifter om hälsa.
Utifrån de exempel som utredningen har fått till sig, gör utred- ningen bedömningen att det inte synes finnas behov av att som sök- begrepp använda andra känsliga personuppgifter än sådana som är uppgifter om hälsa. Det finns enligt utredningens bedömning inte an- ledning att införa en särreglering med avseende på sökbegrepp för sök- ning i precisionsmedicinsk databas. Vid sökning i precisionsmedicinsk databas gäller således regleringen i 2 kap. 8 § PDL.
14.8.7Hantering av tillgängliggjorda uppgifter vid patientjournalföring
I 3 kap. PDL finns bestämmelser om skyldighet att föra patientjour- nal. Syftet med journalen är att bidra till en god och säker vård av patienten, men den är också en informationskälla i olika avseenden (jämför 3 kap. 2 § PDL). Journalen ska innehålla de uppgifter som behövs för en god och säker vård av patienten. Det finns också be- stämmelser om att en patientjournal alltid ska innehålla vissa upp- gifter om uppgifterna finns tillgängliga (3 kap. 6 § PDL). Ytterligare bestämmelser om patientjournals innehåll finns också i
538
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
Då utredningens lagförslag möjliggör att en patients personupp- gifter kan användas i vården av en annan patient, uppstår frågan vad skyldigheten att föra patientjournal innebär i dessa fall. Journalen ska innehålla de uppgifter som behövs för en god och säker vård av pati- enten. Det kan då finnas ett behov att det framgår i journalen att en annan patients uppgifter har använts i vården. Den som för patient- journal måste då ta hänsyn till att sekretess gäller mellan patienter. Med andra ord kan det inte antecknas information som gör att upp- gifter om en patient röjs i en annan patients journal.
Utredningens uppfattning är att lämpliga avvägningar mellan vad som behöver antecknas för att uppfylla journalföringsplikten, och vad som inte kan antecknas på grund av sekretessen, behöver göras i varje enskilt fall. Redan i dag gör hälso- och sjukvården liknande bedömningar när det exempelvis handlar om sekretess mellan patient och närstående.
Ytterligare en situation som kan uppstå är att den patient man vårdar frågar efter, eller begär ut uppgifter om annan patient som har använts. I den mån patienten frågar muntligen kan vårdpersonalen informera och tillmötesgå patientens frågor i den mån det går utan att bryta sekretessen. Om det handlar om en begäran om att få ut allmän handling får en sedvanlig sekretessprövning ske.
539
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
14.9Begäran om kompletterande personuppgifter från patientjournal
Förslag: En regional myndighet inom hälso- och sjukvården som har tillgång till en precisionsmedicinsk databas får, hos en vård- givare som har tillgängliggjort personuppgifter till den databasen, begära de kompletterande personuppgifter från den patientjournal som kan antas ha betydelse för vården av en annan patient än den som uppgifterna avser.
Om de kompletterande personuppgifterna ska tillgängliggöras inom samma myndighet får en intern begäran göras, om uppgif- terna kan antas ha betydelse för vården av en annan patient än den som uppgifterna avser.
En vårdgivare får tillgängliggöra de personuppgifter som om- fattas av en begäran om kompletterande personuppgifter. Tillgäng- liggörande av kompletterande personuppgifter får endast ske till en regional myndighet inom hälso- och sjukvården som har till- gång till den precisionsmedicinska databasen som vårdgivaren till- gängliggjort uppgifter till.
En regional myndighet inom hälso- och sjukvården får, utöver den behandling av personuppgifter som sker genom tillgång till en precisionsmedicinsk databas, endast behandla de kompletterande uppgifter om en patient som behövs för vården av en annan patient än de som uppgifterna avser.
Bedömning: Av 5 kap. 6 § PDL följer att ett tillgängliggörande som innebär ett utlämnande får ske genom ett elektroniskt utläm- nande. Tillgängliggörande ska inte få ske genom direktåtkomst.
I detta avsnitt nedan följer utredningens överväganden och förslag avseende Steg 4 i den övergripande modellen (se avsnitt 13.3). Utred- ningen kallar Steg 4 för Begäran av kompletterande personuppgifter från patientjournal.
Syftet med en precisionsmedicinsk databas är att utgöra underlag för att hitta relevanta personuppgifter för vården av en annan patient än den som personuppgifterna avser. Utifrån det utfall som behörig vårdpersonal fått i en precisionsmedicinsk databas efter sökning och urval, kan det i vissa fall finnas behov av mer information om de patie-
540
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
nterna än det som finns i den precisionsmedicinska databasen, utöver utfallen. Mer information handlar då om kompletterande person- uppgifter från en eller flera patientjournaler för att använda i vården av en annan patient än den personuppgifterna avser. Det rör sig då om specifik information som den behandlande personalen behöver i det enskilda fallet och kan alltså inte tillgodoses av de kategorier av uppgifter som finns i den precisionsmedicinska databasen som vård- personalen har tillgång till. Kompletterande personuppgifter behövs då från patientjournalen.
Den vanligaste situationen som utredningen fått till sig om när behovet av kompletterande uppgifter aktualiseras är vid behandlingen av patienter som tillhör en liten patientgrupp. Vanligen rör det sig om sällsynta hälsotillstånd. I fallet av sällsynta hälsotillstånd kommer antalet möjliga utfall i en precisionsmedicinsk databas oftast vara få. Till exempel består sällsynta hälsotillstånd av flera tusen olika sjuk- domar vilket gör det viktigt att söka ytterligare detaljerad information om vård, eventuella behandlingar och uppföljningar. Cancer är ett annat exempel som i sin tur består av hundratals olika diagnoser. Inom varje diagnos kan man sedan dela in i ytterligare undergrupper. Enbart lymfom består av över 80 olika diagnoser. Gemensamt för dessa sällsynta hälsotillstånd är att patientgrupperna är små. Det är därför den behandlande personal kan behöva kompletterande uppgifter för att kunna ge adekvat vård i det enskilda fallet.
Utredningens förslag bygger på följande praktiska gång:
1.En regional myndighet begär kompletterande personuppgifter från patientjournal hos den vårdgivare som har tillgängliggjort.
2.Vårdgivaren tillgängliggör kompletterande personuppgifter från patientjournalen.
3.Den regionala myndigheten behandlar de kompletterande person- uppgifterna.
Utredningens överväganden till förslag avseende led
541
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
Utredningen har övervägt den övergripande lagtekniska utform- ningen av de regler som förslås avseende kompletterande person- uppgifter från patientjournal. Utredningens förslag till förordning avser regler kopplade till precisionsmedicinsk databas. Förfarandet med utgångspunkt i en begäran om kompletterande personuppgifter, steg 4, är fristående i förhållande till de behandlingar som ryms inom steg
14.9.1Begäran om kompletterande personuppgifter
En utgångspunkt för den ytterligare behandlingen av personuppgifter som ska få ske, är att alltså att den ska ske först efter att sökning har gjorts i en precisionsmedicinsk databas. En begäran om komplet- terande personuppgifter från patientjournal får göras när vårdpersonal gjort bedömningen att det finns ett behov av kompletterande person- uppgifter för vården av den patient som personalen deltar i vården av. Det är endast den regionala myndighet som har tillgång till en precisionsmedicinsk databas som kan göra bedömningen av om det behövs kompletterande uppgifter. Det är inte möjligt för den vård- givare som ska tillgängliggöra uppgifter att göra den bedömningen. Utredningen förslår därför att begäran måste villkoras av en sådan bedömning. Den regionala myndighet som gör begäran om komplet- terande uppgifter behöver precisera vilka uppgifter om en patient som den önskar ta del av. Patienten är inte direkt identifierbar, utan har ett pseudonym. Begäran ska göras hos den vårdgivare som har till- gängliggjort personuppgifter till en precisionsmedicinsk databas. För att kompletterande personuppgifter ska kunna begäras, behöver den som ska göra begäran kännedom om vilken vårdgivare som har tillgäng- liggjort uppgifterna samt vilken pseudonym (löpnummer eller mot- svarande) som patienten har. Detta är information som myndigheten som för den precisionsmedicinska databasen kan bistå med. Pseudo- nymiseringen kvarstår även i detta steg, se avsnitt 14.9.4.
Utredningen har övervägt det förhållande att begäran endast kan göras hos den vårdgivare som har tillgängliggjort uppgifter till den precisionsmedicinska databasen. Det kan potentiellt finnas uppgifter om patienten hos andra vårdgivare som kan vara av relevans för vår-
542
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
den av patienten. Att möjliggöra begäran hos fler vårdgivare skulle dock innebära att patienten behöver identifieras och kunna kopplas till fler vårdgivare. Detta innebär ett väsentligt ökat integritetsintrång som ut- redningen inte anser går att motivera.
Begäran villkoras av att kompletterande personuppgifter kan antas ha betydelse för vården. Till skillnad från när sökning i en precisions- medicinsk databas sker, se ovan avsnitt 14.8.5, bedömer utredningen att en begäran om kompletterande uppgifter endast ska få göras efter en bedömning att de kompletterande uppgifter som begärs kan antas ha betydelse för vården. I detta skede föreställer sig utredningen att vårdpersonalen, utifrån det utfall som blivit vid sökning i den preci- sionsmedicinska databasen, har en uppfattning om vilka ytterligare uppgifter som behövs för vården av patienten. Det ska alltså utifrån utfallet och kännedomen om patienten som vårdas, gå att precisera en begäran om kompletterande uppgifter. Vidare krävs ett aktivt ställ- ningstagande kring att uppgifterna som begärs kan antas ha betydelse för vården. Det ska på goda grunder kunna antas att uppgifterna har någon betydelse i vården av patienten. Detta är ett något högre krav än för sökning i databasen, jämför avsnitt 14.8.5. Rekvisitet är det- samma som finns i 3 kap. 1 § SVOD.
Vilka uppgifter som kan komma att behövas i det enskilda fallet går inte att standardisera på det sätt som är möjligt för tillgänglig- görandet till precisionsmedicinsk databas. Vilka uppgifter det rör sig om i de enskilda fallen kommer bli en bedömningsfråga för den be- rörda vårdpersonalen.
Behovet av kompletterande personuppgifter från patientjournal kan också uppstå inom en myndighet som för den precisionsmedi- cinska databasen. För att rättslig grund för behandling av person- uppgifter ska finnas i den situationen, föreslår utredningen en sär- skild befogenhetsregel, se avsnitt 14.9.5.
Förhållande till 6 kap. 5 § OSL och allmänna regler om begäran av uppgiftsutlämnande
Enligt allmänna regler kan en begäran om utfående av uppgift från all- männa handlingar göras hos vilken myndighet som helst, jämför 6 kap. 4 § OSL, dock inte av uppgift som omfattas av sekretess. Enligt 6 kap. 5 § OSL gäller dock en uppgiftsskyldighet som inte begränsas av att det måste röra sig om en allmän handling hos den tillfrågade myndig-
543
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
heten. I stället anges att en myndighet ”ska på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång”. Bestämmelsen anses utgöra en precisering av den allmänna samverkans- skyldigheten som gäller för myndigheter enligt 8 § förvaltningslagen (2017:900) och syftar bland annat till att underlätta för myndigheter att fullgöra sin verksamhet.11
I teorin skulle således en begäran om kompletterande uppgifter och eventuellt tillgängliggörande kunna göras med stöd av 6 kap. 5 § OSL. Den sekretessbrytande bestämmelse som utredningen lämnat förslag på är dock kopplad till de förutsättningar som anges i 6 kap. PDL, avsnitt 17.1. De uppgifter som kan lämnas ut med stöd av ovan nämnda bestämmelse är i sådana fall endast sådana som inte omfattas av sek- retess enligt 25 kap. 1 § OSL. Till detta behöver även beaktas att i enlighet med de överväganden som utredningen gjort i avsnitt 13.9 och 14.3 behöver den som ska behandla personuppgifter för vården av annan än den uppgifterna avser, ett rättsligt stöd för att behand- lingen ska anses förenlig med dataskyddsförordningens krav på rättslig grund enligt artikel 6. Sådant rättsligt stöd finns endast om villkoren i 6 kap. PDL är uppfyllda.
Begäran av kompletterande uppgifter från patientjournal inom en myndighet
Utredningen har haft att överväga hur en begäran och tillgänglig- görande av kompletterande personuppgifter ska ske inom en myn- dighet. Intern begäran och tillgängliggörande aktualiseras när de kom- pletterande personuppgifterna finns inom samma myndighet som behovet av att använda uppgifterna finns.
En av utredningens utgångspunkter är att det principiellt sett är samma integritetsintrång oavsett om personuppgifter behandlas för vården av en annan patient inom eller mellan myndigheter, se av- snitt 14.4.5. Utredningens uppfattning är därför att villkoren för be- handling av personuppgifter inom och mellan myndigheter ska vara så lika som möjligt. Utredningens uppfattning är därför att en med- arbetare inom den myndighet som tillgängliggjort personuppgifter till en precisionsmedicinsk databas endast ska få ta del av uppgifterna
11Se Alfvén Nickson, Offentlighet- och sekretesslag (2009:400), 6 kap. 5 §, Karnov (JUNO) (besökt
544
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
om villkoren för begäran och tillgängliggörande som utredningen före- slår ska gälla mellan myndighet är uppfyllda. Det ska alltså inte vara möjligt för den medarbetare som behöver kompletterande person- uppgifter från patientjournal att använda sin vanliga behörighet till patientjournalsystemet för att på egen hand bereda sig åtkomst till de kompletterande uppgifter som behövs. För att detta ska vara tydligt behövs enligt utredningens mening en uttrycklig formulering om detta i lagtexten.
Av skäl som angetts i avsnitt 14.6.5 kommer uppgifterna som till- gängliggörs till en precisionsmedicinsk databas vara pseudonymiserade eller skyddade på likvärdigt sätt. Detta innebär i praktiken att det i stället för identifierbara personuppgifter i en precisionsmedicinsk databas finns en beteckning (ett löpnummer eller motsvarande) hos vårdgivaren som tillgängliggör uppgifter som kan kopplas till pati- entens personnummer eller motsvarande identitetsbeteckning. Upp- gifter som möjliggör identifiering ska alltså förvaras separat hos den tillgängliggörande vårdgivaren, och en så kallad kodnyckel eller mot- svarande kan användas för att ersätta direkta identifierare såsom per- sonnummer eller namn.
Den medarbetare som har behörighet och befogenhet att söka i en precisionsmedicinsk databas kommer därför som utgångspunkt inte kunna veta vem uppgifterna hör till och kan därmed inte heller med hjälp av sin egen vanliga behörighet till patientjournalsystem söka fram mer information om patienten från hens patientjournal. Om be- hörig personal arbetar inom den myndighet som också är den vård- givare som medarbetaren ska vända sig till med en begäran om kom- pletterande uppgifter är frågan under vilka förutsättningar och i vilken ordning detta ska kunna ske.
Utifrån de principiella resonemangen ovan, anser utredningen att det även internt ska göras en preciserad begäran som föregås av en be- dömning att kompletterande uppgifter kan antas ha betydelse för vår- den av patienten. Det kommer att behövas en intern ordning för hur en sådan begäran ska framställas och handläggas. Till följd av begäran får uppgifter inom den inre sekretessen lämnas inom myndigheten till den vårdpersonal som vårdar patienten12, se vidare om befogenhet i avsnitt 14.9.5.
12Jämför Karlsson Rikard, Sekretess inom en myndighet – en analys av självständighetsrekvisitet i 8 kap. 2 § OSL, Förvaltningsrättslig tidskrift 2016, s. 547.
545
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
14.9.2Tillgängliggörande av kompletterande personuppgifter
Utredningen föreslår att tillgängliggörande får ske av de uppgifter som omfattas av en begäran av kompletterande personuppgifter.
En vårdgivare som mottar en begäran om kompletterande upp- gifter kan inte göra någon närmare bedömning av vilka uppgifter som behövs (se ovan i avsnitt 14.9.1). Utredningen anser att ett generellt stöd i 6 kap. PDL behöver finnas som medger vårdgivare att tillgäng- liggöra de personuppgifter som omfattas av en begäran.
För att ett sådant tillgängliggörande ska kunna ske till en myndig- het som har tillgång till en databas, det vill säga en regional myndighet inom hälso- och sjukvården, behöver vårdgivaren som tar emot en sådan begäran dock förvissa sig om vissa omständigheter.
Det främsta är att begäran görs av en sådan regional myndighet inom hälso- och sjukvården som har tillgång till den precisionsmedi- cinska databas som vårdgivaren tillgängliggjort uppgifter till. Med detta avser utredningen att en vårdgivare på Gotland, i de fall det rör sig om en precisionsmedicinsk databas inom en samverkansregion, inte kommer kunna lämna ut kompletterande personuppgifter till en regional myndighet inom hälso- och sjukvården i Skåne, eftersom den regionala myndigheten inte har tillgång till den precisionsmedicinska databas som vårdgivaren tillgängliggjort sina personuppgifter till i steg 1 (urval och tillgängliggörande), se vidare avsnitt 14.7.3. Tillgänglig- görandet ska alltså följa den indelning mellan olika precisionsmedi- cinska databaser som utredningen förslår. Utifrån att möjligheten att göra begäran är kopplad till uppgift om vårdgivaren och rätt pseu- donym i databasen ser utredningen inte heller att något annat skulle vara praktiskt möjligt. Utredningen anser dock att det bör finnas en uttrycklig regel som fastställer sambandet mellan tillgängliggörande till precisionsmedicinsk databas och tillgängliggörande av komplet- terande uppgifter.
Av de föreslagna reglerna om ändamålet framgår att det endast är de personuppgifter som behandlas hos vårdgivaren för ändamålen i 2 kap. 4 § första stycket
546
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
Även om det ankommer på den begärande myndigheten att pre- cisera vilka uppgifter den behöver, har vårdgivaren som mottar en sådan begäran alltjämt en skyldighet att inte tillgängliggöra uppgifter om omfattningen på uppgifterna i begäran tycks vara helt ogrundad. Likaså har vårdgivaren för det fall den är en offentlig vårdgivare att tillämpa 21 kap. 7 § OSL.
I enlighet med de överväganden som utredningen gjort i av- snitt 17.1.4 har en sekretessbrytande grund i OSL föreslagits med anledning av möjligheten till att begära kompletterande personupp- gifter från patientjournal. För det fall ett tillgängliggörande av kom- pletterande uppgifter ska göras av en privat vårdgivare, se utredningens resonemang kring obehörighetsrekvisitet i PSL avsnitt 17.1.5.
Tillgängliggörande får ske i elektronisk form
Vid elektroniskt utlämnande enligt 5 kap. 6 § PDL fattas ett beslut i varje enskilt fall om uppgifterna kan lämnas ut eller om de omfattas av sekretess. Som regel lämnas informationen ut i en form som medför att mottagaren kan bearbeta den. Det står utlämnande myndigheter principiellt fritt att använda de tekniska lösningar den finner lämpligt, givetvis efter beaktande av de säkerhetskrav som ställs bland annat utifrån dataskyddsförordningen, PDL och
Utredningen har i detta sammanhang övervägt om begreppet till- gängliggöra räcker, eller om begreppet behöver förtydligas på något sätt för att skapa tydlighet gentemot tillgängliggörande till precisionsmedi- cinsk databas i steg 1, se avsnitt 14.6.2. Utredningen har övervägt for- muleringen tillgängliggöra genom att lämna.
Utredningen använder begreppet tillgängliggörande i meningen att personuppgifter görs åtkomliga för en annan myndighet eller inom en myndighet. Eftersom ett tillgängliggörande för tankarna till ett att en uppgift görs tillgänglig i elektronisk form och endast blir synligt för mottagaren finns det en risk för att enbart begreppet tillgänglig- görande i steg 4 uppfattas som mer snävt än vad som motsvarar vad som faktiskt händer. Ett tillgängliggörande kan även utgöra ett utläm- nande TF eller ett uppgiftslämnande enligt 6 kap. 5 § OSL. Utred- ningens uppfattning är att det som avses snarare är att en uppgift fak- tiskt tas emot för att behandlas hos mottagaren. Skrivningen behöver dock ta höjd för möjligheten att myndigheterna rent tekniskt utvecklar
547
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
möjligheter att tillgängliggöra uppgifter som inte nödvändigtvis läm- nar den myndigheten där uppgiften ursprungligen fanns eller att mot- tagande myndighet direkt behandlar uppgifterna
Sammanfattningsvis har utredningen gjort bedömningen att det mest tydliga alternativet för vad som faktiskt avses är att endast be- greppet tillgängliggöra, eftersom tillgängliggörande även kan utgöras av ett utlämnande enligt TF eller ett uppgiftslämnande enligt OSL. Det finns också en fördel med att använda samma begrepp som i steg 1, då det skapar enhetlighet i lagstiftningen. Det centrala utifrån utredningens förslag är att de tekniska lösningarna ska stödja kraven på att ett sådant tillgängliggörande av kompletterande personuppgifter inte blir för omfattande utan följer de begränsningar som följer av föreslagna bestämmelser.
Utredningens bedömning är att det följer av 5 kap. 6 § PDL att utlämnande kan ske genom ett annat utlämnande än direktåtkomst, förutsatt att sekretess inte hindrar det. Utredningens förslag avseende sekretessbrytande bestämmelse finns i avsnitt 17.1.
Tillgängliggörande inom en myndighet
Utredningen lämna förslag som innebär att en begäran om komplet- terande personuppgifter inom en myndighet ska ske på samma villkor som en begäran över myndighetsgränser, se ovan avsnitt 14.9.1. Begrep- pet tillgängliggörande avser både den externa och interna situationen.
Det ska enligt utredningens mening inte vara tillåtet för de med- arbetare som ska använda uppgifterna i vården av en patient att själva bereda sig tillgång till dessa genom sin vanliga inloggning till patient- journalsystem. Det behöver finnas en intern ordning för begäran och tillgängliggörande. Den interna ordningen utesluter inte enligt utred- ningens mening att de kompletterande personuppgifterna tillgäng- liggörs elektroniskt. En sådan ordning kan enligt utredningens bedöm- ning basera sig på tilldelning av behörighet enligt 4 kap. 2 § PDL, men kan inte avse den allmänna behörighet som tilldelas till patient- journalsystem. Personuppgifterna som tillgängliggörs behöver avgrän- sas utifrån den begäran som görs och som endast får avse de kom- pletterande uppgifter som kan antas behövas för vården av en annan patient än den som uppgifterna avser.
548
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
Förslag avseende befogenhet för att ta del av personuppgifter för tillgängliggörande och mottagande finns i avsnitt 14.9.5.
14.9.3Behandling av mottagna personuppgifter
Den regionala myndighet som gjort en begäran och fått tillgång till personuppgifter från vårdgivaren, behöver ha rättsligt stöd för att be- handla dessa. Utredningen föreslår en bestämmelse om detta. Behand- ling avser exempelvis mottagande, användande i vården och eventuellt journalföring beträffande den patient som vårdas.
Redan begäran av personuppgifter är villkorad av att uppgifterna ska antas ha betydelse för vården av en annan patient än den som upp- gifterna avser. Att behandling av personuppgifter aldrig får ske utöver vad som är nödvändigt bör enligt utredningens konsekvensenligt fram- gå av själva bestämmelsen. Utredningen föreslår därför att behandling endast ska få ske, av de kompletterande personuppgifter om en patient som behövs för vården av en annan patient än de som uppgifterna avser.
Från ett praktiskt perspektiv, finns det enligt utredningens mening en risk för att behandling av personuppgifter i form av användande av utfallet av en sökning i precisionsmedicinsk databas och behandling av kompletterande uppgifter flyter ihop. För att tydliggöra att be- handling av kompletterande uppgifter juridiskt sett är en tillkommande behandling föreslår utredningen att det i bestämmelsen uttryckligen anges att denna behandling får ske utöver tillgång till precisionsmedi- cinsk databas.
14.9.4Pseudonymisering eller annat likvärdigt skydd
Förslag: Tillgängliggörande av kompletterande uppgifter från pati- entjournal ska endast avse personuppgifter som är pseudonymi- serade eller skyddade på likvärdigt sätt.
Vad innebär pseudonymisering eller likvärdigt skydd?
Utredningen har beskrivit vad som avses med pseudonymisering enligt dataskyddsförordningen ovan i avsnitt 14.6.5. Även när komplet- terande personuppgifter begärs från patientjournal ska personuppgifter
549
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
pseudonymiseras eller skyddas på likvärdigt sätt. Som beskrivet ovan i avsnitt 14.6.5 kan det finnas alternativ till pseudonymisering med kodnyckel som uppfyller samma syfte, det vill säga att se till att de personuppgifter som tillgängliggörs inte kan sammankopplas med de registrerades identiteter. Därmed kan ett likvärdigt eller till och med bättre skydd ges än vid pseudonymisering med kodnyckel. Exem- pel på sådana åtgärder är olika typer av generalisering (utredningen har beskrivit generalisering i avsnitt 3.6.1).
Vad innebär kravet i praktiken?
Utifrån ett utfall vid sökning i en precisionsmedicinsk databas, kan en regional myndighet inom hälso- och sjukvården, under vissa för- utsättningar, vända sig till den eller de vårdgivare som har tillgäng- liggjort uppgifterna med en begäran om att få ta del av komplet- terande personuppgifter från patientjournaler. Utredningen bedömer att den som begär ytterligare uppgifter inte behöver ta del av direkt identifierbara uppgifter såsom namn och personnummer. Det är inte uppgifter om exempelvis namn eller personnummer som kommer vara intressanta att använda i vården av någon annan.
Den vårdgivare som får begäran om att lämna kompletterande upp- gifter behöver alltså se till att ta bort direkt identifierbara uppgifter, innan de kompletterande uppgifterna tillgängliggörs.
En integritetsskyddande åtgärd
Kravet på att tillgängliggörande av kompletterande uppgifter från patientjournal endast ska avse personuppgifter som är pseudonymi- serade eller skyddade på likvärdigt sätt, får sägas vara ägnat att dels minska oro för integritetsriskerna hos de registrerade, dels hjälpa de personuppgiftsansvariga att fullgöra sina skyldigheter i fråga om data- skydd. Vetskapen hos en registrerad om att dennes personuppgifter inte kommer vara direkt identifierbara, kan förväntas bidra till en ökad känsla av trygghet kring den behandling av personuppgifter som sker. Kravet hjälper också personuppgiftsansvariga att uppfylla sina skyldig- heter enligt dataskyddsförordningen att vidta lämpliga åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken (jämför art. 32.1 dataskyddsförordningen).
550
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
Risk att den enskilde ändå kan identifieras
Även om uppgifter ska pseudonymiseras eller skyddas på likvärdigt sätt, finns en risk att en registrerad i vissa fall ändå kan identifieras av den hälso- och sjukvårdspersonal som personuppgifterna tillgänglig- görs till. Så kan vara fallet om det är fråga om en sällsynt sjukdom som bara få registrerade har. Huruvida någon kan identifieras eller inte beror också på vad för annan information den regionala myndighet inom hälso- och sjukvården uppgifterna tillgängliggörs till har. Det kan alltså då, även om direkta identifierare har tagits bort, finnas en risk att hälso- och sjukvårdspersonalen vet vem personen är. Utred- ningens uppfattning är att uppgifterna i sådana fall är pseudonymi- serade, men att det finns en sannolikhet att någon kan bli identi- fierbar trots detta.
Utredningen anser att det är en risk som inte helt kan minimeras. Denna risk vägs dock upp mot att den enskilde har möjlighet att välja att dennes personuppgifter inte ska få tillgängliggöras till en precisions- medicinsk databas genom en möjlighet att motsätta sig detta, så kallad
Kryptering
I avsnitt 14.6.5 redogör utredningen för vad som kan anses vara lik- värdigt skydd till pseudonymisering enligt förslagen och varför för- slagen inte omfattar ett krav på kryptering.
551
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
14.9.5Behörighet, befogenhet och kontroll
Förslag: Den som arbetar hos en vårdgivare får ta del av doku- menterade uppgifter om en patient om han eller hon behöver det för sitt arbete med begäran om kompletterande personuppgifter från patientjournal.
Den som har behörighet till precisionsmedicinsk databas får ta del av kompletterande personuppgifter från en patientjournal, som kan antas ha betydelse för vården av en annan patient än den som uppgifterna avser, om han eller hon
1.deltar i vården av en patient, och
2.uppgifterna kan antas ha betydelse för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten.
En bestämmelse som upplyser om att reglerna i 4 kap. 2 och 3 §§ PDL gäller vid begäran om kompletterande uppgifter från patient- journal ska införas i 6 kap. PDL.
Bedömning: De allmänna reglerna om behörighet i 4 kap. 2 § PDL samt föreskrifter som har meddelats med stöd av 4 kap. 2 § tredje stycket PDL gäller. Den allmänna regeln om kontroll av elektronisk åtkomst i 4 kap. 3 § PDL samt föreskrifter som med- delats med stöd av 4 kap. 3 § andra stycket gäller vid tillgäng- liggörande av kompletterande personuppgifter.
Om behörighet och befogenhet för tillgängliggörande
i enlighet med en begäran om kompletterande personuppgifter från patientjournal
Utredningen noterar att begäran och tillgängliggörande av komplet- terande uppgifter från patientjournal i administrativt hänseende liknar uppgiftslämnande som sker med stöd av 2 kap. 5 § PDL. Ur det per- spektivet skulle det därför kunna argumenteras för att 4 kap. 1 § PDL är tillämplig på sådan behandling som sker hos den vårdgivare som får en begäran om kompletterande personuppgifter från patient- journal. I övriga steg i utredningens förslag till modell (avsnitt 14.4.5) har dock utredningen lämnat förslag på en särskild befogenhetsregel
552
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
som bygger på utredningens bedömning i avsnitt 13.9, se avsnitt 14.6.6, 14.7.5 och 14.8.5.
Även om 4 kap. 1 § PDL kan anses ge stöd åt den administrativa hanteringen vid tillgängliggörande av kompletterande personuppgifter, anser utredningen att det är lämpligare att införa en särskild befogen- hetsbestämmelse även för detta moment. Anledningen till detta är att utredningen anser att det finns fördelar med att ha en så pass enhetlig och fullständig reglering av ändamålet som möjligt. Som redogjorts för i avsnitt 13.9 anser inte utredningen att 2 kap. 5 § PDL typiskt sett avser behandling av personuppgifter för vårdändamål. Det före- slagna förfarandet i steg 4 med tillgängliggörande av kompletterande personuppgifter genomförs för syftet att ge vård, närmare bestämt för vården av en annan patient än den uppgifterna avser. Av enhet- lighet- och tydlighetsskäl bör därför en särskild befogenhetsbestäm- melse finnas i 6 kap. PDL. Bestämmelsen bygger på hur 4 kap. 1 § PDL är utformad och anger att "den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient om han eller hon behöver det för att tillgängliggöra kompletterande personuppgifter från patientjournal”.
Som redogjorts för i avsnitt 14.6.6 fastställs i 4 kap. 2 § PDL en vårdgivares skyldighet att bestämma villkoren för behörighet för de som ingår i vårdgivarens organisation. I bestämmelsen anges att be- hörigheten ska begränsas till vad som behövs för att den enskilde medarbetaren ska kunna utföra sina arbetsuppgifter inom hälso- och sjukvården.
Med behörighet för åtkomst avser en användares faktiska möjlig- heter att ta del av uppgifter i exempelvis vårdgivarens journalsystem. Behörighetsstyrning är samlingsbegreppet för de organisatoriska, administrativa och tekniska åtgärder som vidtas för att anpassa och begränsa behörigheten efter användarens behov för att kunna utföra sitt arbete.
Av ovan anförda skäl anser utredningen att den nuvarande bestäm- melsen i 4 kap. 2 § PDL kan och bör tillämpas vid ett tillgänglig- görande av kompletterande uppgifter från patientjournal. För utred- ningens bedömning avseende kontrollen av den åtkomst som sker med anledning av en begäran om kompletterande personuppgifter från patientjournal se under rubriken ”Om kontroll av elektronisk åtkomst vid tillgängliggörande efter en begäran om kompletterande person- uppgifter”.
553
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
Om befogenhet att ta del av kompletterande personuppgifter från patientjournal
I avsnitt 13.9 redogör utredningen för sin analys av varför 4 kap. 1 § PDL inte kan anses tillämplig på situationen när den som arbetar hos en vårdgivare ska ta del av personuppgifter för ändamålet vården av en annan patient än den som uppgifterna avser. Av analysen framgår att det enligt utredningens mening inte kan anses vara fråga om en åtkomst som ses som ett ”deltagande i vården” av den personupp- gifterna härrör från. Det som snarare skulle kunna ligga närmare till hands är att när det i bestämmelsen anges att en personal hos en vårdgivare får ta del av uppgifter för att den ”av annat skäl behöver det för sitt arbete inom hälso- och sjukvården”. Som konstateras i ovan nämnda avsnitt får detta uttryck ses som en hänvisning till arbete som är kopplat till de ändamål som anges i 2 kap. 4 §
Då 4 kap. 1 § PDL inte kan anses tillämplig för den behandlande personal som ska använda någon annans personuppgifter i vården av den patient de har framför sig bedömer utredningen att det behövs en särskild befogenhetsregel.
Föreslagen bestämmelse ska tydliggöra att endast de som har be- hörighet till en precisionsmedicinsk databas och uppfyller villkoren ska ha befogenhet att ta del av kompletterande uppgifter som tillgänglig- görs. Utredningens förslag hämtar inspiration från bestämmelsen i 4 kap. § PDL och 3 kap. 1 § SVOD.
Villkoren är att personen i fråga:
1.deltar i vården av en patient, och
2.uppgifterna kan antas ha betydelse för att inom hälso- och sjuk- vården förebygga, utreda eller behandla sjukdomar och skador hos patienten.
Kriterierna i
554
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
formuleringen i punkten 2 ovan, har samma tillämplighet på kom- pletterande uppgifter.
Om kontroll av elektronisk åtkomst vid tillgängliggörande efter en begäran om kompletterande uppgifter
I 4 kap. 3 § PDL finns krav på att en vårdgivare ska dokumentera och kontrollera den åtkomst som sker till de uppgifter om patienter som förs helt eller delvis automatiserat. De frågor som uppstår är om det vid tillgängliggörande och mottagande av kompletterande person- uppgifter behövs en särskild regel om kontroll av den åtkomst som föranletts med anledning av det eller om den befintliga bestämmel- sen kan anses tillämpbar och om den utgör ett tillräckligt krav för att uppnå det önskade syftet.
Vid införandet av 4 kap. 3 § PDL anfördes att bestämmelsen avsåg tydliggöra vårdgivarens ansvar att kontrollera och följa upp behörig- hetstilldelningen och på så vis lättare kunna beivra eventuell obehörig åtkomst som skett (se prop. 2007/08:126 s. 149 f.).
Eftersom 4 kap. 3 § PDL gäller alla personuppgifter som hos en vårdgivare behandlas på automatiserad väg, gäller den även för kon- troll av den eventuella elektronisk åtkomst som sker vid tillgänglig- görande och mottagande av kompletterande personuppgifter (jämför prop. 2007/08:126 s. 149 och s. 183, prop. 2021/22:77 s. 145).
14.10Betydelsen av den enskildes inställning till personuppgiftsbehandlingen
14.10.1Den enskildes inställnings betydelse för integritetsskyddet
Redan den omständighet att uppgifter är potentiellt tillgängliga för hälso- och sjukvården kan av olika anledningar uppfattas som skräm- mande av den enskilde. Av betydelse för integritetsskyddet har därför att en enskild har möjlighet att få gehör för sin inställning till att dennes personuppgifter görs tillgängliga på olika sätt. Detta är en av de fak- torer som påverkar om en personuppgiftsbehandling uppfattas som ett integritetsintrång eller inte. Generellt inom vården gäller att per-
555
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
sonuppgifter får behandlas av vårdgivare oavsett den enskildes inställ- ning (2 kap. 2 § PDL), men det finns undantag (se avsnitt 14.10.3).
Det kan antas att de registrerade har lättare att acceptera de före- slagna reglerna om de har möjlighet att påverka tillgängliggörandet av sina personuppgifter. Utredningen har därför funderat över möjlig- heten för den enskilde att själv bestämma över om dennes person- uppgifter kan tillgängliggöras till en precisionsmedicinsk databas, och på vilket sätt detta skulle kunna göras. Det kan också tänkas att en av- vägning resulterar i att det allmännas intresse av personuppgiftsbehand- lingarna i precisionsmedicinska databaser väger tyngre än den enskildes intresse av medbestämmande.
14.10.2 Former för frivillig medverkan
De former för frivillig medverkan som utredningen ser kan aktualiseras är aktivt samtycke till behandling av personuppgifter eller en möj- lighet att motsätta sig att behandling av personuppgifter sker.
Ett aktivt samtycke skulle vara ett samtycke som utgör en integ- ritetshöjande åtgärd, se bilaga 3, avsnitt 1.6. Det integritetshöjande samtycket skulle vara uppställt som ett villkor i PDL för att person- uppgiftsbehandling ska få ske i ett visst led eller för att en viss be- handling ska få utföras.
Alternativt skulle enskilda kunna få möjlighet att motsätta sig behandling (så kallad
Kopplat till samtycke eller
556
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
14.10.3Rättsläget för frivillig medverkan vid personuppgiftsbehandling inom hälso- och sjukvården
För att kunna göra en avvägning av om, och i så fall hur, den enskildes inställning ska kunna tillmätas betydelse i de regler utredningen före- slår, har utredningen haft anledning att se om det finns andra situationer inom hälso- och sjukvården där den enskilde måste samtycka eller kan motsätta sig viss personuppgiftsbehandling.
Behandling av personuppgifter som är tillåten enligt PDL får ut- föras även om den enskilde motsätter sig den (2 kap. 2 § PDL). Detta är alltså utgångspunkten i PDL. Det gäller dock inte i de fall som anges i 4 kap. 4 §, 7 kap. 2 § eller om något annat framgår av annan lag eller förordning.
•I 4 kap. 4 § PDL finns bestämmelser om att en patient har möj- lighet att begränsa hälso- och sjukvårdspersonalens elektroniska åtkomst till uppgifter om patienten.
•I 7 kap. 2 § PDL föreskrivs att en patient kan motsätta sig att upp- gifter om patienten behandlas i ett nationellt eller regionalt kva- litetsregister.
Behandling av personuppgifter som inte är tillåten enligt PDL får ändå ske, om den enskilde lämnat ett uttryckligt samtycke till behand- lingen (2 kap. 3 § PDL). Det gäller dock inte om något annat framgår av annan lag eller förordning. Enligt utredningens uppfattning har denna bestämmelse begränsad tillämplighet i praktiken, särskilt när det gäller offentliga myndigheter (se mer om detta i avsnitt 13.8.3).
I SVOD gäller något annat än att behandling av personuppgifter får utföras även om den enskilde motsätter sig den (jämför 2 kap. 2 § PDL). I lagen framgår att en patient på olika sätt kan bestämma om uppgifter om denne ska vara tillgängliga vid sammanhållen vård- och omsorgsdokumentation. Bestämmelserna gäller tillgång, genom direkt- åtkomst eller annat elektroniskt utlämnande, till andra vårdgivares upp- gifter om patienter. Om en patient motsätter sig det, får uppgifter om patienten inte göras tillgängliga för andra vårdgivare. I sådant fall ska uppgifterna genast spärras av vårdgivaren (2 kap. 3 § SVOD). Vidare ställer lagen upp vissa krav som behöver vara uppfyllda för att en vård- givare ska få behandla uppgifter som en annan vårdgivare gjort tillgäng- liga. Ett av kraven är att patienten har samtyckt (3 kap. 1 § SVOD).
557
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
Det finns alltså vissa situationer där den enskilde kan motsätta sig personuppgiftsbehandling inom hälso- och sjukvården. Detta är dock undantag. Som huvudregel gäller ovan nämnda bestämmelse i 2 kap. 2 § PDL, nämligen att behandling av personuppgifter som är tillåten enligt PDL får utföras även om den enskilde motsätter sig den (prop. 2007/08:126, s. 64). En patient kan till exempel inte motsätta sig att det förs patientjournal eller att personuppgifter används för utveckling eller uppföljning av vården inom en vårdgivare. Det finns ändock, som framgår, ovan olika sorters behandling av personupp- gifter, där man som en integritetsstärkande åtgärd kräver att den en- skilde inte motsätter sig, alternativt aktivt samtycker till, behandlingen för att denna ska få ske.
14.10.4Hur skulle den enskildes inställning till personuppgiftsbehandling kunna tillmätas betydelse?
Som nämnts ovan ser utredningen att de former för frivillig medverkan som kan aktualiseras är aktivt samtycke till behandling av person- uppgifter eller en möjlighet att motsätta sig att behandling av per- sonuppgifter sker (så kallad
Samtycke eller motsättande för alla eller bara för vissa uppgifter
En möjlig modell skulle kunna vara att den enskilde samtycker till eller motsätter sig att hens personuppgifter över huvud taget behandlas för ändamålet vården av annan än den som uppgifterna avser. Med andra ord skulle ett samtycke eller motsättande avse samtliga uppgifter.
En annan modell skulle kunna vara att den enskilde samtycker till eller motsätter sig behandling av vissa typer av uppgifter, till exempel en viss diagnos eller uppgifter från en viss typ av klinik. En katego- risering av personuppgifter skulle troligtvis då behöva göras för att
558
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
den enskilde skulle kunna ta ställning till vad denne vill och inte vill dela. Utredningens uppfattning är att detta skulle bli för praktiskt svårt och resurskrävande för att vara ett bra alternativ.
Utredningen bedömer därför att ett samtycke eller ett motsättande behöver avse alla personuppgifter som finns om en viss person. Sam- tycket eller motsättandet ska alltså inte kunna avse enbart vissa person- uppgifter som den enskilde själv kan välja.
Urval och tillgängliggörande till precisionsmedicinsk databas
Den enskilde skulle kunna samtycka till eller motsätta sig att person- uppgifter hos vårdgivare behandlas i syfte att tillgängliggöra uppgifter till en precisionsmedicinsk databas. Med andra ord skulle hänsyn kunna tas till den enskildes inställning innan uppgifter görs tillgängliga till en precisionsmedicinsk databas.
Ett samtycke innan tillgängliggörande till en precisionsmedicinsk databas skulle kunna inhämtas när en patient söker vård. Detta skulle dock innebära att uppgifterna i en precisionsmedicinsk databas blir begränsad eftersom många kanske inte har kontinuerlig kontakt med hälso- och sjukvården för att samtycket ska kunna inhämtas. Detta blir särskilt relevant för patienters uppgifter som redan samlats in men där hälso- och sjukvården inte längre har någon pågående kontakt med patienten i fråga. Ett sådant exempel kan vara personer som har genomgått utredningar och behandlingar inom hälso- och vården och senare blivit friskförklarade. Med en variant där samtycke ska inhäm- tas när en patient söker vård, skulle hälso- och sjukvården gå miste om mycket historiska data. Det går också att tänka sig att hälso- och sjukvården går ut med information och ber personer samtycka till ett tillgängliggörande till precisionsmedicinska databaser. Ett sådant förfarande skulle dock förmodligen innebära att många inte tar sig tiden att samtycka. Vidare skulle det kräva mycket resurser av hälso- och sjukvården för att hantera alla samtycken. Utredningen anser där- för att detta inte är ett tillfredsställande alternativ.
Ett alternativ till samtycke är att enskilda får möjlighet att motsätta sig att deras personuppgifter görs tillgängliga till en precisionsmedi- cinsk databas (en så kallad
559
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
motsättande, vilket inte bör vara lika resurskrävande som att hantera samtycken. Ett motsättande skulle då innebära att enskildas person- uppgifter inte alls görs tillgängliga till en precisionsmedicinsk databas, alternativt om de redan har gjorts tillgängliga, tas bort ur databasen. Om den enskilde ska ges möjlighet till inflytande, anser utredningen detta vara ett genomförbart alternativ.
Behandling (sökning) av personuppgifter som tillgängliggjorts (i databasen)
Utredningen har övervägt om den enskilde ska kunna motsätta sig eller samtycka till den behandling av personuppgifter som sker genom att sökning görs i databasen efter relevanta fall. Detta skulle innebära att hälso- och sjukvården på något sätt behöver kontakta patienter som finns i en precisionsmedicinsk databas innan en sökning görs på deras uppgifter. Utredningen har svårt att se att detta är ett alternativ som skulle fungera i praktiken. Den som söker i databasen vet troligen inte vilka uppgifter om patienter som kommer att visa sig vid en sökning, vilket gör det svårt att inhämta ett samtycke eller att en patient ska kunna motsätta sig innan en sökning. Utredningen anser därför att detta inte är ett lämpligt alternativ.
Innan användning
Ett annat alternativ är att hälso- och sjukvården ger enskilda möj- lighet att samtycka efter att deras personuppgifter visats som del av ett utfall vid sökning i databasen, men innan uppgifterna används i vården av en annan patient. Detta skulle innebära att hälso- och sjuk- vården kontaktar patienter som de får träff på. Detta skulle bli resurs- krävande. Många skulle förmodligen också tycka att det var onödigt att bli kontaktade av hälso- och sjukvården av denna anledning och i vissa fall även upplevas integritetskränkande att exempelvis bli påmind om en diagnos. De som inte vill bidra med sina personuppgifter skulle dessutom troligtvis inte ens vilja finnas med i den precisions- medicinska databasen alls. En ytterligare aspekt att ta hänsyn till är att personuppgifter som skulle kunna användas i pseudonymiserat format om ett samtycke inte krävs, inte längre kan vara pseudonymiserade om den enskilde ska kontaktas innan användning. Något som får betydelse
560
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
för integritetsskyddet. Utredningen ser därför inte att detta är ett lämpligt alternativ.
Kompletterande information från patientjournal
I vissa fall kanske inte informationen i en precisionsmedicinsk databas räcker, och vårdpersonalen som ska använda uppgifterna vill ha kom- pletterande information från patientjournal från den vårdgivare som har tillgängliggjort uppgifterna till den precisionsmedicinska databasen. I detta led skulle kunna tänkas att den enskilde ges möjlighet att sam- tycka till att kompletterande uppgifter från patientjournal lämnas ut. Hälso- och sjukvården behöver då kontakta patienter innan komplet- terande information görs tillgänglig.
Precis som för andra alternativ ovan skulle förmodligen många tycka att det var onödigt att bli kontaktade av hälso- och sjukvården av denna anledning. De som inte vill bidra med sina personuppgifter skulle också troligtvis inte vilja finnas med i den precisionsmedicinska databasen alls.
Det går också att ställa sig frågan om det är etiskt försvarbart att kontakta patienter med en sådan fråga. Att få frågan kan uppfattas som mer integritetskränkande än att uppgifterna bara delas mellan vård- givare i hälso- och sjukvården.
Slutsats
Efter en genomgång av alternativen ovan har utredningen kommit till följande slutsatser.
En enskilds inställning till personuppgiftsbehandling behöver avse alla personuppgifter som finns om denna person. Samtycket eller mot- sättandet ska alltså inte enbart kunna avse vissa personuppgifter som den enskilde själv kan välja.
En enskilds inställning till personuppgiftsbehandling kan tas hänsyn till i olika led. Utredningen anser att enskildas inställning bör beaktas innan ett tillgängliggörande till en precisionsmedicinsk databas sker.
Vidare anser utredningen att det mest lämpliga alternativet är att en enskilds inställning beaktas med en så kallad
561
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
Det går dock att tänka sig att den enskildes inställning inte ska be- aktas alls. Utredningens bedömning av detta följer i avsnitt 14.10.5.
14.10.5Möjlighet att motsätta sig urval och tillgängliggörande till precisionsmedicinsk databas
Förslag: Den enskilde ska kunna motsätta sig att personuppgifter om denne görs tillgängliga till en precisionsmedicinsk databas. Om en patient motsätter sig det får uppgifter om patienten inte till- gängliggöras till en precisionsmedicinsk databas.
Om patienten motsätter sig tillgängliggörande efter att behand- lingen påbörjats, ska uppgifterna utplånas ur databasen så snart som möjligt.
Den enskilde ska kunna motsätta sig ett tillgängliggörande till precisionsmedicinsk databas
Ett sätt att beskriva begreppet personlig integritet i samband med in- formationshantering är att den enskilde ska kunna kontrollera sprid- ningen av uppgifter om sig själv eller ha en rätt att bestämma vilka uppgifter om sig själv som han eller hon vill dela med sig till andra. Utredningen har därför funderat hur ett tillfredsställande integritets- skydd bör konstrueras och i vad mån detta skydd bör ta sig uttryck i den enskildes frivilliga medverkan (se särskilt föregående avsnitt där olika sätt att ta hänsyn till den enskildes inställning diskuteras). Denna avvägning har resulterat i att utredningen anser att den enskilde ska ha möjlighet att välja om denne vill att hens personuppgifter tillgäng- liggörs till en precisionsmedicinsk databas. Det mest lämpliga sättet att göra detta är enligt utredningen att den enskilde ges möjlighet att motsätta sig att personuppgifter om denne görs tillgängliga till en precisionsmedicinsk databas, en så kallad
Möjligheten för den enskilde att själv ha inflytande över hur dennes personuppgifter behandlas är en av de faktorer som påverkar om en behandling uppfattas som ett integritetsintrång eller inte. Det kan antas att de registrerade har lättare att acceptera reglerna om de har möjlighet att motsätta sig behandling. Detta bidrar också till att den
562
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
enskilde har mer kontroll över användningen av sina personuppgifter och i förlängningen känner sig respekterad. Frågan om den enskilde möjlighet till inflytande är alltså viktig ur ett integritetsperspektiv.
Utredningens förslag innebär att personuppgifter, oftast av känslig natur, ska kunna tillgängliggöras till en precisionsmedicinsk databas från flera olika vårdgivare. Det handlar alltså om känsliga personupp- gifter som kan komma att behandlas utanför den myndighet där per- sonuppgifterna ursprungligen dokumenterades. Det kommer därmed medföra en spridning av personuppgifterna över vad som annars skulle skyddas av sekretessgränser. Detta medför att behandlingen kan upp- fattas som särskilt integritetskänslig. Utredningen menar därför att det är en viktig del av integritetsskyddet att den enskilde har möj- lighet att själv bestämma över tillgängliggörandet. Detta ligger också i linje med grundprincipen i hälso- och sjukvårdslagstiftningen för patientens självbestämmande och integritet. Dessa omständigheter talar enligt utredningen för att det finns skäl att införa en möjlighet för den enskilde att motsätta sig personuppgiftsbehandlingen.
Den enskildes möjlighet till
Det finns också anledning att fundera över vad som ingår i sam- hällskontraktet. Vilken makt ska tillskrivas en enskild och vilken makt ska i stället ligga hos någon annan? Har den enskilde en moralisk skyl- dighet att bidra med sina personuppgifter? En ytterligare aspekt är att samma person som motsätter sig behandling av dennes personuppgif- ter, kan få vård baserat på någon annans personuppgifter i en situation där denne behöver det. Något som kan tyckas orättvist.
På andra sidan om detta finns alltså den enskildes intresse att ha inflytande över hur dennes personuppgifter används. Att en persons personuppgifter används i vården för denne själv tycker nog de flesta är självklart. Att personuppgifterna ska användas i vården för någon annan är inte lika självklart. När den enskilde söker vård har denne dessutom som utgångspunkt inte möjlighet att styra över hur person- uppgifter som samlas in i samband med detta används av hälso- och sjukvården. Huvudregeln är nämligen att behandling av personupp-
563
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
gifter som är tillåten enligt PDL får utföras även om den enskilde mot- sätter sig den (se särskilt om detta i ovan i avsnitt 14.10.3.I en preci- sionsmedicinsk databas ska dessa personuppgifter, som den enskilde alltså inte har haft möjlighet att motsätta sig insamlingen och regi- strering av, vidareanvändas i vården av någon annan. Risken om den enskilde inte har möjlighet att motsätta sig är att den enskilde tappar förtroendet för hälso- och sjukvården och undviker att söka vård i rädsla för hur personuppgifterna kommer att användas.
Något som kan tala emot en lösning med opt out är att underlaget till precisionsmedicinska databaser riskerar att inte bli tillräckligt stort, om alltför många väljer att inte medverka. Mot detta intresse ska dock vägas skyddet av patienternas personliga integritet. Utredningen har funderat över ovan aspekter. Utredningens uppfattning är att de flesta individer kommer vilja bidra med sina personuppgifter, men att det finns ett antal individer som inte kommer vilja det. Det kommer dock troligtvis endast röra sig om en liten minoritet patienter. Det är också denna uppfattning patientföreningar som utredningen har varit i kon- takt med ger uttryck för. Det fåtal patienter som motsätter sig att delta bör därför inte få några påtagliga effekter på de precisions- medicinska databaserna. Utredningen anser vid en avvägning därför att patienternas intresse av självbestämmande och integritet har före- träde framför intresset av kompletta precisionsmedicinska databaser. För att tillgodose integritetsintresset anser utredningen att en möjlighet till
En annan omständighet som kan tala mot en lösning med
Vid en sammanvägd avvägning mellan att den enskildes ska kunna motsätta sig och inte, gör utredningen bedömningen att den enskilde ska kunna motsätta sig. Detta är enligt utredningen en lämplig av- vägning mellan den enskildes inflytande över hur dennes personupp- gifter tillgängliggörs till en precisionsmedicinsk databas och en ända-
564
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
målsenlig reglering som uppfyller det tänkta syftet. Patienten ska alltså ha en möjlighet att motsätta sig tillgängliggörande av uppgifter till en precisionsmedicinsk databas. Bestämmelsen uppställer alltså inte något krav på att patienten ska lämna ett uttryckligt samtycke till att upp- gifterna om honom eller henne får göras tillgängliga i en precisions- medicinsk databas. Detta ger uttryck för en så kallad
14.10.6 Barn och deras vårdnadshavare
Bedömning: Det bör inte finnas några särskilda bestämmelser för barn. Det innebär att barnets vårdnadshavare som regel kan mot- sätta sig att barnets personuppgifter görs tillgängliga till en preci- sionsmedicinsk databas. I likhet med vad som gäller i övrigt inom hälso- och sjukvården ska allt större hänsyn tas till barnets önske- mål utifrån barnets ålder och mognad. Barn som har tillräcklig ålder och mognad kan självt motsätta sig tillgängliggörande.
Utredningens bedömning
Med barn avses den som är under 18 år. Vårdnaden om ett barn be- står till dess att barnet fyller 18 år. Vårdnadshavaren har rätt och skyldighet att bestämma i frågor som rör barnets personliga angelägen- heter. Vårdnadshavaren ska i takt med barnets stigande ålder och ut- veckling ta allt större hänsyn till barnets synpunkter och önskemål (6 kap. 11 § föräldrabalken).
För uppgifter om ett barn gäller sekretess som utgångspunkt även i förhållande till dennes vårdnadshavare. Sekretessen gäller dock inte i förhållande till vårdnadshavaren i den utsträckning denne enligt
6kap. 11 § föräldrabalken har rätt och skyldighet att bestämma i frågor som rör den underåriges personliga angelägenheter, såvida det inte kan antas att den underårige lider betydande men om uppgiften röjs för vårdnadshavaren, eller det annars anges i OSL (12 kap. 3 § första
565
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
stycket OSL). Om sekretess inte gäller i förhållande till vårdnads- havaren, förfogar denne ensam eller, beroende på den underåriges ålder och mognad, tillsammans med den underårige över sekretessen till skydd för den underårige (12 kap. 3 § andra stycket OSL). Det betyder att en vårdnadshavare, när det gäller yngre barn, i regel får ha full insyn i barnets uppgifter i exempelvis en patientjournal och att vårdnads- havaren ensam kan häva den sekretess som annars gäller för upp- gifterna om barnet. Med barnets stigande ålder och mognad kan sedan vårdnadshavaren besluta tillsammans med barnet. Slutligen, särskilt när det gäller äldre barn som närmar sig
I viss lagstiftning på hälso- och sjukvårdsområdet finns det särskilda bestämmelser för barn. I SVOD finns en särskild bestämmelse som anger att vårdnadshavare inte får spärra uppgifter om barn från till- gänglighet i ett system med sammanhållen vård- och omsorgsdoku- mentation (2 kap. 3 § andra stycket SVOD). I det fallet tar den sär- skilda bestämmelsen över i förhållande till föräldrabalkens regler som annars ger vårdnadshavaren rätt att bestämma i frågor som rör den underåriges personliga angelägenheter, vilket typiskt sett omfattar upp- gifter i barnets patientjournal. Motivet till den särskilda regeln för sammanhållen vård- och omsorgsdokumentation är att ge vårdpersonal möjlighet att upptäcka barn som far illa och att kunna bedöma om det behöver göras en orosanmälan enligt socialtjänstlagen för att barnet ska få erforderligt skydd (prop. 2021/22:177 s. 94). Utredningen gör bedömningen att det inte finns några sådana skyddsintressen för barn när det gäller personuppgiftsbehandling i precisionsmedicinsk databas. Intresset av att ett barns uppgifter ingår i en precisionsmedicinsk data- bas handlar inte om att skydda barnet från missförhållanden som utövas av vårdnadshavaren eller att kunna fullgöra någon lagstadgad anmäl- ningsplikt. För behandling i en precisionsmedicinsk databas handlar det i stället om ett allmänt intresse av att kunna använda personupp- gifter i vården av någon annan.
Utredningen noterar också att det inte finns någon särreglering för barn när det gäller nationella och regionala kvalitetsregister (7 kap. PDL). Avseende kvalitetsregister allmänna principer om vårdnads- havares rätt och skyldighet att bestämma i frågor som rör barnets per- sonliga angelägenheter, och att allt större hänsyn ska tas till barnets önskemål utifrån barnets ålder och mognad.
566
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
Med hänsyn till ovan redogörelse gör utredningen bedömningen att det för tillgängliggörande till precisionsmedicinsk databas inte ska finnas några särskilda bestämmelser för barn. Det innebär att barnets vårdnadshavare som regel kan motsätta sig att barnets personuppgifter görs tillgängliga till en precisionsmedicinsk databas. I likhet med vad som gäller i övrigt inom hälso- och sjukvården ska allt större hänsyn tas till barnets önskemål utifrån barnets ålder och mognad. Det barn som har tillräcklig ålder och mognad kan självt motsätta sig behand- lingen.
Utredningen anser att denna bedömning är förenlig med det sär- skilda skydd för uppgifter om barn som kommer till uttryck i skäl 38 till dataskyddsförordningen. Enligt skäl 38 till dataskyddsförordningen förtjänar barns personuppgifter särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter.
I sammanhanget bör nämnas att Förenta nationernas konvention om barnets rättigheter, förkortad barnkonventionen, som sedan den 1 januari 2020 gäller som svensk lag (lagen [2018:1197] om Förenta nationernas konvention om barnets rättigheter). Lagen innebär ett för- tydligande av att rättstillämparna i samtliga mål och ärenden ska tolka svenska bestämmelser i förhållande till barnkonventionen. Enligt arti- kel 12 ska konventionsstaterna tillförsäkra det barn som är i stånd att bilda egna åsikter rätten att fritt uttrycka dessa i alla frågor som rör barnet. Barnets åsikter ska tillmätas betydelse i förhållande till bar- nets ålder och mognad. Av artikel 5 följer bland annat att konventions- staterna ska respektera det ansvar och de rättigheter och skyldigheter som tillkommer till exempel föräldrar eller vårdnadshavare eller andra personer som har juridiskt ansvar för barnet, att på ett sätt som står i överensstämmelse med den fortlöpande utvecklingen av barnets för- måga ge lämplig ledning och råd då barnet utövar de rättigheter som erkänns i konventionen. Utredningens bedömning står, enligt utred- ningens uppfattning, i överensstämmelse med det som anges i artikel 5 och artikel 12 om att i takt med barnets stigande ålder och mognad ska allt större hänsyn tas till barnets åsikter, önskemål och vilja.
Utredningen anser att det inte heller finns skäl att införa någon specifik åldersgräns för när ett barn självt ska få motsätta sig att per- sonuppgifter görs tillgängliga till precisionsmedicinsk databas. Utred- ningen anser att det framstår som mest lämpligt att barns självbestäm-
567
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
mande respekteras på motsvarande sätt som i den övriga verksamheten inom hälso- och sjukvården.
Skäl som talar för att det inte ska vara möjligt
att motsätta sig att barns uppgifter görs tillgängliga till precisionsmedicinsk databas
Utredningen har landat i bedömningen att det inte bör finnas några särskilda bestämmelser för barn och att barnets vårdnadshavare som regel kan motsätta sig att barnets personuppgifter görs tillgängliga till en precisionsmedicinsk databas. Utredningen har dock övervägt alternativet att barnets vårdnadshavare inte ska kunna ha den rätten att motsätta sig sådan personuppgiftsbehandling. Argument som skulle tala för ett sådant förhållningssätt är att barn är extra skyddsvärda. Det finns anledning att se etiska aspekter i att ge enskilda vårdnadshavare en rätt att motsätta sig sådan personuppgiftsbehandling om nyttan sätts i relation till integritetsskyddet. Om uppgifter från ett barn poten- tiellt skulle kunna ge behandlande vårdpersonalen rätt information för att sätta in rätt behandling och minska lidande för ett annat barn är det sannolikt så att det, enligt utredningens bedömning, går att argu- mentera för att nyttan står i proportion till integritetsintrånget. Det kanske till och med kan handla om att rädda liv, då behöver frågan ställas om det är rimligt att kunna motsätta sig sådan behandling. Det går sannolikt även att resonera om att det kommer finnas färre upp- gifter om just barn varför just dessa blir extra värdefulla att kunna ta del av. Utredningen har dock landat i att möjligheten att motsätta sig är en viktig ventil för författningsförslaget ska tas vidare och anses vara tillräckligt anpassat för att säkerställa enskildas integritet. Utredningen har därför, trots resonemanget ovan, ansett att samma regler ska gälla för barn som för vuxna.
568
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
14.10.7Personer som inte endast tillfälligt saknar förmåga att ta ställning
Förslag: En vårdgivare får tillgängliggöra uppgifter om en person som inte endast tillfälligt saknar förmåga att ta ställning till be- handling i en precisionsmedicinsk databas, om
1.personens inställning till sådan behandling av personuppgifter så långt som möjligt har klarlagts, och
2.det inte finns anledning att anta att personen skulle ha motsatt sig behandlingen av personuppgifterna.
Ovan har utredningen konstaterat att personer ska ha möjlighet att motsätta sig urval och tillgängliggörande till precisionsmedicinsk data- bas (se avsnitt 14.10.5). Detta förutsätter att personen har förmåga att ta del av information om, och ta ställning till, ett tillgängliggörande. Fråga uppstår då vad som ska gälla för personer som inte endast till- fälligt saknar förmåga att ta ställning.
Utredningen anser att frågan om vad som ska gälla för personer som inte endast tillfälligt saknar förmåga att ta ställning är en del av en större fråga om dessa personers ställning inom vård generellt. Sam- tidigt kan frågan om dessa personers roll generellt inom vård natur- ligtvis inte lösas inom ramen för utredningens uppdrag.
Utredningen konstaterar att det för kvalitetsregister finns bestäm- melse i 7 kap. 2 a § PDL som anger att för enskild som inte endast till- fälligt saknar förmåga att ta ställning får personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister, om hans eller hennes inställ- ning till sådan personuppgiftsbehandling så långt som möjligt klarlagts, och det inte finns anledning att anta att han eller hon skulle ha motsatt sig personuppgiftsbehandlingen. Bestämmelsen fanns inte vid PDL:s införande utan har införts senare (se prop. 2013/14:202, Förbättrad informationshantering avseende vissa patienter inom hälso- och sjuk- vården). Liknande reglering gäller vid sammanhållen vård- och om- sorgsdokumentation (se 2 kap. 6 § SVOD). I den nyligen införda bio- bankslagen (2023:38) finns en bestämmelse som är annorlunda utfor- mad. Där anges att ett prov får samlas in till och bevaras i en biobank för provgivarens vård eller behandling även om provgivaren på grund av sjukdom, psykisk störning, försvagat hälsotillstånd eller något annat liknande förhållande inte kan ta ställning till frågan om hanteringen
569
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
av provet (4 kap. 8 §). Motiveringen bakom denna regel är att det är av stor vikt att biobankslagstiftningen inte medför att beslutsoförmögna går miste om vård och behandling (prop. 2021/22:257 s. 142).
Frågan om beslutsoförmögnas roll inom vård har behandlats i flera statliga utredningar. Utredningen om beslutsoförmögna personers ställning i vård, omsorg och forskning (SOU 2015:80) föreslår en ny lag om stöd och hjälp till vuxna vid ställningstaganden till hälso- och sjukvård och omsorg, med bestämmelser om företrädare för vuxna personer som inte har förmåga att i olika situationer själva ta ställning i frågor som gäller deras hälso- och sjukvård och omsorg. Betänkandet har ännu inte lett till några författningsändringar, vilket visar på kom- plexiteten i dessa frågor.
Utredningen konstaterar att det hade varit önskvärt om en helhets- lösning inom vården kunnat åstadkommas för personer som inte kan ta ställning, som utredningens lagförslag kunnat utgöra en del av. Mot bakgrund av att det i dag inte finns några sådana lösningar, behöver utredningen ta ställning till vad som ändå ska gälla för dessa personer i förhållande till precisionsmedicinska databaser.
Utredningen anser att det ska finnas förutsättningar att inkludera personuppgifter om personer som inte endast tillfälligt saknar förmåga att ta ställning i precisionsmedicinska databaser. Att helt exkludera dessa personer kan leda till att vissa patientgrupper inte får tillgång till vård med stöd av precisionsmedicinska databaser, vilket vore olyckligt.
Utredningen anser att det framstår som mest lämpligt att dessa personers självbestämmande hanteras på motsvarande sätt som i kva- litetsregister och i sammanhållen vård- och omsorgsdokumentation. Att införa ännu en reglering som skiljer sig åt från dessa regler i ut- formning finner utredningen mindre lämpligt, även om utredningen också kan konstatera att bestämmelsen inte är helt tillfredsställande. Detta eftersom vårdgivaren inte alltid har den kontakt med patienten som krävs för att den föreslagna regleringen ska fungera optimalt.
Med hänsyn till ovan redogörelse föreslår utredningen att vårdgivare får tillgängliggöra uppgifter om personer som inte endast tillfälligt saknar förmåga att ta ställning till behandling i en precisionsmedicinsk databas, om personens inställning till sådan behandling av personupp- gifter så långt som möjligt har klarlagts, och det inte finns anledning att anta att personen skulle ha motsatt sig behandlingen av person- uppgifterna.
570
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
14.10.8Information om möjligheten att motsätta sig tillgängliggörande till en precisionsmedicinsk databas
Förslag: Innan personuppgifter görs tillgängliga i en precisions- medicinsk databas ska den som är personuppgiftsansvarig infor- mera den enskilde om vad personuppgiftsbehandling i preci- sionsmedicinsk databas innebär, vad behandling av kompletterande personuppgifter från patientjournal innebär och möjligheten att motsätta sig att uppgifter görs tillgängliga till en precisionsmedi- cinsk databas.
Att den enskilde ska ges viss information bygger på respekten för den enskildes självbestämmande och integritet. Att den enskilde har fått klar, tydlig och korrekt information är en förutsättning för att den enskilde ska kunna fatta ett välgrundat beslut i frågan om person- uppgifterna bör få göras tillgängliga till en precisionsmedicinsk databas. Rätten till information och individens möjlighet att därmed tillvarata sin rätt att motsätta sig personuppgiftsbehandlingen är ett viktigt led i skyddet av den personliga integriteten. Det bör därför finnas bestäm- melse som slår fast att den enskilde, innan uppgifter görs tillgängliga till en precisionsmedicinsk databas, ska informeras om vad person- uppgiftsbehandling i precisionsmedicinsk databas innebär, vad behand- ling av kompletterande personuppgifter från patientjournal innebär och möjligheten att motsätta sig att uppgifter görs tillgängliga till en preci- sionsmedicinsk databas.
Hur informationen ska lämnas överlåts åt de personuppgiftsansva- riga att bestämma. Det är viktigt att de personuppgiftsansvariga ut- arbetar rutiner för hur informationsskyldigheten ska fullgöras. Säkra rutiner ligger i den personuppgiftsansvarigas eget intresse, så att de kan visa att faktisk information har lämnats till den enskilde.
Den information som ska lämnas enligt utredningens förslag ska uppfylla kraven i dataskyddsförordningen på information till den enskilde. Av artikel 12 i dataskyddsförordningen följer bland annat att sådan information ska tillhandahållas i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk. Informationen ska tillhandahållas skriftligt, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form.
Av artikel 13 i dataskyddsförordningen följer att om personupp- gifter samlas in från den registrerade, ska den personuppgiftsansvarige,
571
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
när personuppgifterna erhålls, till den registrerade lämna viss informa- tion om bland annat ändamål och rättslig grund för behandlingen, lag- ringstid, uppgift om den registrerades rätt till tillgång, rättelse, rade- ring, begränsning av behandling, invändning mot behandling och rätten att återkalla ett eventuellt samtycke. Artikel 14 i dataskyddsförord- ningen reglerar den information som ska tillhandahållas om personupp- gifterna har erhållits från någon annan än den registrerade. Den person- uppgiftsansvarige är således redan enligt EU:s dataskyddsförordning skyldiga att lämna viss information till den registrerade.
Utredningen gör bedömningen att det inte strider mot dataskydds- förordningen att ställa upp ytterligare krav på att den enskilde blir in- formerad för att personuppgifterna ska få behandlas på ett visst sätt. Enligt artikel 6.2 och 6.3 i dataskyddsförordningen är det tillåtet med sådana särskilda bestämmelser när det gäller personuppgifter som be- handlas med stöd av artikel 6.1 e (för att utföra en uppgift av allmänt intresse) i dataskyddsförordningen, vilket det här är fråga om (se av- snitt 14.3). Det är således förenligt med dataskyddsförordningen att ställa upp särskilda krav på information som förutsättning för att per- sonuppgifter ska få behandlas.
14.11 Bevarande och gallring
Förslag: Personuppgifter i en precisionsmedicinsk databas ska gall- ras när de inte längre behövs för ändamålen med databasen.
Personuppgifter i en precisionsmedicinsk databas som ska ut- plånas till följd av att patienten motsatt sig tillgängliggörande sedan uppgifterna tillgängliggjorts får gallras.
När en handling i en precisionsmedicinsk databas är tillgänglig för flera regionala myndigheter gäller skyldigheten att bevara den endast för den myndighet som för databasen.
Utredningen ser behov av bestämmelser som rör bevarande och gallring av personuppgifter i en precisionsmedicinsk databas. Utredningen före- slår en generell regel om gallring av personuppgifter i precisionsmedi- cinisk databas, se avsnitt 14.11.1. Vidare föreslår utredningen en be- stämmelse om gallring som avser uppgifter som enligt utredningens förslag till regler i 6 kap. PDL ska utplånas ur en precisionsmedicinsk databas, se avsnitt 14.11.1. Slutligen föreslår utredningen en bestäm-
572
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
melse som rör ansvar för arkivbildningen där uppgifter i en pre- cisionsmedicinsk databas är tillgängliga för flera myndigheter, se av- snitt 14.11.2.
14.11.1 Gallring i precisionsmedicinsk databas
Utredningen ser behov av att reglera två situationer där gallring av uppgifter i precisionsmedicinsk databas får ske. Den ena är när upp- gifter inte längre behövs för ändamålet med databasen. Den andra är när uppgifterna ska utplånas till följd av att patienten, sedan uppgifterna har tillgängliggjorts, motsatt sig tillgängliggörande.
Gallring för att uppgifterna inte längre behövs för ändamålet
Lagring av personuppgifter är en form av behandling av personupp- gifter enligt EU:s dataskyddsförordning. Huvudregeln i artikel 5.1 e i EU:s dataskyddsförordning är att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under längre tid än vad som är nödvändigt för de ändamål för vilka personuppgif- terna behandlas. Denna utgångspunkt får anses vara ett uttryck för resultatet av avvägningen mellan integritetsskyddsintresset och det informationsbehov som uppgifterna ska tillgodose.
När en personuppgift inte längre behöver behandlas för de ur- sprungliga ändamålen ska uppgiften raderas eller avidentifieras. Med avidentifiering menas att alla möjligheter att identifiera en person tas bort. Särskilda regler gäller enligt EU:s dataskyddsförordning om per- sonuppgifter behandlas för arkivändamål av allmänt intresse, veten- skapliga eller historiska forskningsändamål eller statistiska ändamål. Om personuppgifter behandlas enbart för dessa ändamål, får de bland annat lagras under längre perioder i enlighet med kraven i artikel 89.1 i EU:s dataskyddsförordning och under förutsättning att lämpliga tek- niska och organisatoriska åtgärder vidtas.
Regleringen i EU:s dataskyddsförordning gäller inte i den utsträck- ning att det skulle hindra en myndighet att arkivera och bevara all- männa handlingar. Handlingsoffentligheten har företräde framför EU:s dataskyddsförordning, vilket innebär att personuppgifter i allmänna handlingar inte ska gallras enligt bestämmelser i dataskyddsförord- ningen. Av 3 § arkivlagen (1990:782), förkortad arkivlagen, framgår
573
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
att en myndighets arkiv, som bland annat består av de allmänna hand- lingarna från myndighetens verksamhet, ska bevaras. Huvudprincipen enligt arkivlagstiftningen är således att allmänna handlingar ska bevaras. Enligt bestämmelsen ska myndigheternas arkiv bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov. Det följer dock av 10 § arkivlagen att allmänna handlingar under vissa förutsättningar får gallras.
När det gäller gallring är arkivlagens bestämmelser subsidiära i för- hållande till annan lagstiftning. Om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller förordning, har de bestämmelserna företräde (10 § tredje stycket arkivlagen). En bestämmelse om gallring innebär alltså inte bara att uppgiften inte längre får behandlas i dataskyddsförordningens mening, utan även att arkivrättslig gallring ska ske. Om det i författningar som rör myndig- heters behandling av personuppgifter inte finns några särskilda regler om gallring, ska således arkivlagens bestämmelser om bevarande som huvudprincip tillämpas.
Regeringen har bedömt att bestämmelser i registerförfattningar, som innebär att personuppgifter ska eller får bevaras under viss tid alter- nativt gallras efter en viss tid eller när de inte längre är nödvändiga för de ändamål för vilka de behandlas, är sådana nationella bestämmelser om lagringstid som är tillåtna enligt artikel 6.2 och 6.3 i EU:s dataskydds- förordning när behandlingen grundar sig på en rättslig förpliktelse, en uppgift av allmänt intresse eller som ett led i myndighetsutövning.
Den rättsliga grunden för de precisionsmedicinska databaserna är uppgift av allmänt intresse enligt artikel 6.1 e i EU:s dataskyddsför- ordning. Enligt 3 kap. 17 § PDL ska en journalhandling bevaras i minst tio år efter det att den sista uppgiften fördes in i handlingen. I patient- journallagen (1985:562), som upphävdes år 2008 när PDL trädde i kraft, gällde som huvudregel för journalhandlingar en bevarandetid på minst tre år efter det att den sista uppgiften fördes in i handlingen. Uppgifterna i en precisionsmedicinsk databas utgör dock inte sådan journalhandling att PDL:s reglering i 3 kap. 17 § blir tillämplig.
Utredningens bedömning är därför att en särskild bestämmelse om lagringstid är förenlig med dataskyddsförordningen och kan införas i lagen. Principen att gallring ska ske motiveras i första hand av integ- ritetsskäl. Behovet av gallringsbestämmelser måste således avgöras genom en avvägning mellan å ena sidan intresset av skydd för den
574
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
personliga integriteten och å andra sidan intresset av offentlighet och insyn i myndigheternas verksamhet. Bevarandetidens längd ska moti- veras utifrån de ändamål som den precisionsmedicinska databasen avser att tillgodose och med beaktande av integritetsskyddsintresset. Den tid under vilken personuppgifter bevaras bör inte vara längre än vad som behövs för att de ändamål som den aktuella personuppgifts- behandlingen syftar till ska kunna uppnås. Vid lagringen av uppgifter i de precisionsmedicinska databaserna kommer känsliga personupp- gifter att behandlas om patienters hälsa. Behandlingen kan komma att omfatta många patienter. Utredningens bedömning är därför att en bestämmelse om vilken bevarandetid som ska gälla för uppgifterna som behandlas i de precisionsmedicinska databaserna i samverkans- regionerna och GMS enligt PDL ska införas. Bevarandetidens längd ska motiveras utifrån de ändamål som lagen avser att tillgodose och med beaktande av integritetsskyddsintresset.
Gallring är en oåterkallelig åtgärd som kan ha återverkningar bland annat på uppgifternas användbarhet för forskningsändamål. För att tydligare skilja mellan arkivrättsliga regler och regler om skydd för per- sonuppgifter bör begreppet gallring enbart användas i den betydelse det har i arkivlagstiftningen. När syftet som i detta fall är att skydda den personliga integriteten bör regleringen därför i stället ange den yttersta gränsen för hur länge personuppgifterna får behandlas. Sådan bestäm- melse bör därför formuleras så att de anger den längsta tid som per- sonuppgifter får behandlas.
Frågan om olika bevarandetider i samband med behandling av patientuppgifter utan att vara journalhandlingar, har lyfts tidigare inom ramen för andra lagstiftningsärenden, bland annat i förarbetena till lagen (2018:1212) om nationell läkemedelslista (prop. 2017/18:223) och i delbetänkande av Utredningen om
575
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
med dessa ändamål vara vägledande. Regeringen bedömde då att fem år var välavvägd för ändamålen med personuppgiftsbehandlingen i den nationella läkemedelslistan. Vad gäller de i PDL föreslagna ändamålen kan det precis som i förarbetena till den nationella läkemedelslistan diskuteras om det är lämpligt med olika bevarandetider för de olika ändamålen. Syftet är i vissa avseenden liknande som i PDL, bland annat genom användandet av patientuppgifter för vård. Syftet med en precisionsmedicinsk databas är dock inte att skapa ett register med fullständig information om patienten, utan att tillgängliggöra ett samlat underlag för behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser. Utredningen bedömer mot denna bakgrund att bevarandetiden för uppgifterna i de precisionsmedicinska databaserna inte bör följa regleringen i 3 kap. 17 § PDL, utan upp- gifterna ska i stället bevaras så länge syftet med databaserna är uppfyllt och därefter gallras när uppgifterna inte längre behövs för ändamålen med databasen.
Gallring för att uppgifterna ska utplånas
Enligt utredningens förslag ska patienten få information om vad per- sonuppgiftsbehandling i precisionsmedicinsk databas innebär och ha möjlighet att motsätta sig tillgängliggörande av uppgifter till sådan databas. Motsätter sig patienten ska tillgängliggörande inte ske. I den situation att patienten motsätter sig efter att tillgängliggörande har skett, ska uppgifterna i den precisionsmedicinska databasen utplånas. Uppgifter i en precisionsmedicinsk databas kan vara allmänna hand- lingar som omfattas av arkivlagens regler om bevarande. För att ett utplånande inte ska hamna i strid med arkivlagens bestämmelser krävs en regel om att gallring av uppgifter är tillåten i den aktuella situationen.
En regel om gallring får inte stå i strid med intresset av bevarande av allmänna handlingar. Utredningen konstaterar att de uppgifter som finns i en precisionsmedicinsk databas är uppgifter som vårdgivare behandlar enligt 2 kap. 4 § första stycket
576
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
14.11.2Ansvar för bevarande när handlingar är tillgängliga för flera myndigheter
Huvudregeln enligt arkivlagen är att allmänna handlingar ska bevaras. En myndighets arkiv bildas i huvudsak av de allmänna handlingarna från myndighetens verksamhet.
I 2 a § arkivlagen föreskrivs att det som enligt den lagen gäller för kommunala myndigheters arkiv även ska gälla för arkiv hos sådana juridiska personer som avses i 2 kap. 3 § OSL, det vill säga sådana bolag, föreningar och stiftelser där kommuner eller regioner utövar ett rättsligt bestämmande inflytande.
För elektronisk information gäller till en början en undantags- regel som är av särskilt intresse i fråga om tillgängliggörande genom begränsad direktåtkomst eller annat elektroniskt utlämnande. Upptag- ningar för automatisk behandling som är tillgängliga för flera myn- digheter så att de utgör allmänna handlingar hos alla dessa myndig- heter, ska dock bilda arkiv endast hos en av myndigheterna, i första hand den myndighet som svarar för huvuddelen av upptagningen (3 § första stycket andra meningen arkivlagen). Undantaget är nödvän- digt eftersom en upptagning för automatiserad behandling som är tillgänglig för flera myndigheter på så sätt att de till exempel kan läsa innehållet, anses förvarad hos och inkommen till samtliga myndig- heter som kan läsa den (se 2 kap. 6 och 9 §§ TF). Upptagningen är därmed allmän handling hos samtliga myndigheter som kan ta del av den (se prop. 1989/90:72 bilaga 1, s. 30 och 68). I denna situation ska samma upptagning inte bevaras och bilda arkiv hos alla myndigheterna. De myndigheter som inte ansvarar för upptagningen kan därmed normalt gallra den. Om en myndighet använder uppgifter ur upptag- ningen i sin verksamhet, så kan dessa omfattas av dokumentations- skyldighet och ingå i myndighetens arkiv.
När det gäller gallring är arkivlagens bestämmelser subsidiära i för- hållande till annan lagstiftning. Om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller förordning, har de bestämmelserna företräde (10 § tredje stycket arkivlagen). En bestämmelse om gallring innebär alltså inte bara att uppgiften inte längre får behandlas i dataskyddsförordningens mening, utan även att arkivrättslig gallring ska ske. Om det i författningar som rör myndig- heters behandling av personuppgifter inte finns några särskilda regler
577
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
om gallring, ska således arkivlagens bestämmelser om bevarande som huvudprincip tillämpas.
Bestämmelser om bevarande och gallring av patientjournaler inom hälso- och sjukvården och dokumentation inom socialtjänsten finns i olika författningar. Av 3 kap. 17 § PDL följer att en journalhandling ska bevaras minst tio år efter det att den sista uppgiften fördes in i handlingen. I vissa fall får regeringen eller den myndighet som reger- ingen bestämmer föreskriva om längre bevarandetid. Enligt gallrings- föreskrifter inom den regionala inom hälso- och sjukvården gäller ofta evig bevarandetid för patientjournaler.
Utredningens förslag om tillgång till personuppgifter i precisions- medicinsk databas innebär att handlingar kan anses inkomna och för- varade hos den regionala myndigheter inom hälso- och sjukvården som har tillgång till en databas och därmed utgöra allmänna handlingar hos den myndigheten, se avsnitt 14.7.6. Tillgång får enligt utredningens förslag ges genom direktåtkomst eller annat elektroniskt utlämnande.
Tillgång till en precisionsmedicinsk databas bör inte medföra en omfattande utökning av arkivbildningen hos de myndigheter som ges tillgång. Samtidigt bör inte heller bevarande av allmänna handlingar försämras. Utredningen konstaterar att de uppgifter som tillgänglig- görs enligt utredningens förslag ingår i arkivbildningen, dels hos de vårdgivare som tillgängliggör uppgifter till den precisionsmedicinska databasen, dels hos den myndighet som för databasen. För att intresset av bevarande av allmänna handlingar ska tillgodoses behöver inte upp- gifter i en precisionsmedicinsk databas, endast av de skälet att de är tillgängliga, även ingår i arkivbildningen hos de myndigheter som ges tillgång till en sådan databas. Detta bör uttryckas i en särskild bestäm- melse i 6 kap. PDL. I de fall uppgifter laddas ner eller på annat sätt tillförs dokumentationen hos den myndighet som har tillgång till data- basen ingår uppgifterna i den myndighetens arkivbildning (jämför prop. 2021/22: 177, s. 156).
578
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
14.12Ytterligare föreskrifter om precisionsmedicinska databaser och bemyndiganden
Förslag: Det ska i 6 kap. PDL införas en bestämmelse som upp- lyser om att regeringen med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om precisionsmedicinska databaser.
Regeringen ska med stöd av 8 kap. 7 § regeringsformen bemyn- diga Socialstyrelsen att meddela närmare föreskrifter om tilldelning av behörighet till precisionsmedicinsk databas.
Bedömning: I anledning av förslagen reglering i 6 kap. PDL kan
Utredningen förslår, dels att det i 6 kap. PDL ska finns en generell be- stämmelse som upplyser om att regeringen med stöd av den så kallade restkompetensen i 8 kap. 7 § regeringsformen kan meddela föreskrifter om precisionsmedicinska databaser, se vidare avsnitt 14.12.1. Utred- ning föreslår även en bestämmelse om att regeringen bemyndigar Socialstyrelsen att meddela närmare föreskrifter om tilldelning av behörighet till precisionsmedicinsk databas, se vidare avsnitt 14.12.2. Vidare konstaterar utredningen att, utan behov av förändring i patient- dataförordningen (2008:360),
14.12.1Ytterligare föreskrifter i förordning om precisionsmedicinsk databas
Utredningen föreslår att vissa förhållanden rörande precisionsmedi- cinsk databas regleras i en ny förordning vid namn Förordning om vidareanvändning av patientdata i precisionsmedicinsk databas.
De förhållanden som utredningen förslår ska regleras i förordningen avser förslag i avsnitt 14.6 om tillgängliggörande till precisionsmedi- cinsk databas, avsnitt 14.7 om inrättande och förande av precisions- medicinsk databas och avsnitt 14.8 om tillgång till precisionsmedicinsk databas.
Utredningen har övervägt om en upplysningsbestämmelse avse- ende regeringens möjlighet att meddela föreskrifter bör placeras vid varje bestämmelse i kapitel 6 som kopplar till utredningens förslag
579
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
till förordning, eller annars där utredningen ser att det kan bli aktuellt med normgivning på lägre nivå än lag. Utifrån att utredningens för- slag till förordning ansluter till flera delar av föreslagna regler i kapi- tel 6 PDL, anser utredningen att det är lämpligast att ha en upplys- ningsbestämmelse i slutet av kapitlet med en generell formulering. Utredningen föreslår därför en bestämmelse som upplyser om att regeringen med stöd av 8 kap. 7 § regeringsformen kan meddela före- skrifter om precisionsmedicinska databaser.
Utredningen sammanfattar i det följande vilka huvudsakliga för- hållanden som utredningen föreslår att regeringen, med stöd av 8 kap. 7 § regeringsformen, ska besluta om i den nya förordningen.
I förordningen ska det finnas bestämmelser om inrättande och förande av precisionsmedicinisk databas, se avsnitt 14.7.1. En preci- sionsmedicinsk databas får inrättas och föras i var och en av de sam- verkansregioner som anges i 3 kap. 1 § HSF. En precisionsmedicinsk databas som inrättas och förs inom ramen för samverkansregionalt samarbete kallas för samverkansregional precisionsmedicinsk databas. Därutöver får en precisionsmedicinsk databas inrättas och föras inom NGP. Bestämmelserna kopplar till föreslagen regel i 6 kap. 10 §.
I förordningen ska det finna bestämmelser om urval och tillgäng- liggörande av personuppgifter till en precisionsmedicinsk databas, se avsnitt 14.6. Vårdgivare som omfattas av en samverkansregion får en- dast tillgängliggöra personuppgifter till den precisionsmedicinska data- bas som finns i vårdgivarens samverkansregion. Vårdgivare som inte omfattas av en samverkansregion, men som bedriver hälso- och sjuk- vård med en region som huvudman, får tillgängliggöra personuppgifter till den samverkansregionala databas som huvudmannen omfattas av.
Övriga vårdgivare får tillgängliggöra personuppgifter till samver- kansregional precisionsmedicinsk databas efter överenskommelse med den regionala myndighet som för databasen. Bestämmelserna kopplar till föreslagen regel i 6 kap. 13 § PDL.
I förordningen ska det finna bestämmelser om tillgång till person- uppgifter till precisionsmedicinsk databas, se avsnitt 14.8. Till samver- kansregionala precisionsmedicinska databaser får endast regionala myn- digheter inom den samverkansregion där en samverkansregional pre- cisionsmedicinsk databas förs, ges tillgång. Till precisionsmedicinsk databas inom NGP, får endast regionala myndigheter som ingår i GMS ges tillgång. Bestämmelserna kopplar till föreslagen regel i 6 kap. 16 § PDL.
580
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
14.12.2Bemyndigande till Socialstyrelsen avseende närmare föreskrifter om tilldelning av behörighet till precisionsmedicinsk databas
Utredningen föreslår att regeringen med stöd av 8 kap. 7 § regerings- formen ska bemyndiga Socialstyrelsen att meddela föreskrifter om till- delning av behörighet till precisionsmedicinsk databas. Enligt utred- ningens förslag ska 2 § 1 i patientdataförordningen (2008:360) ändras så att den även omfattar tilldelning av behörighet för åtkomst till pre- cisionsmedicinsk databas.
Med stöd av bemyndigandet kan Socialstyrelsen, i den utsträck- ning det behövs, göra ändringar i
14.12.3 Eventuella ytterligare ändringar i
Utöver föreslagen ändring i patientdataförordningen avseende tilldel- ning av behörighet, se avsnitt 14.12.2, har utredningen inte identifierat något behov av ändring i patientdataförordningen för att Socialstyrelsen ska kunna göra eventuellt behövliga ändringar i
581
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
14.13 Följdändringar
Förslag:
Av 2 kap. 2 § PDL ska det framgå att behandling av personupp- gifter inte får ske om den enskilde motsätter sig det enligt 6 kap. 2 § PDL.
I 2 kap. 4 § andra stycket PDL ska det upplysas om att det i
6kap. 5 § finns särskilda bestämmelser om behandling av person- uppgifter för vården av en annan patient än den som uppgifterna avser.
I 2 kap. 6 § PDL ska det upplysas om att det i 6 kap. finns särskilda bestämmelser om personuppgiftsansvar.
I 4 kap. 1 § PDL ska det upplysas om att det i 6 kap. PDL finns särskilda bestämmelser om inre sekretess vid behandling av person- uppgifter för vården av en annan patient än den som uppgifterna avser.
I 4 kap. 2 § ska det upplysas om att det i 6 kap. PDL finns ytter- ligare bestämmelser som gäller vid tilldelning av behörighet till en precisionsmedicinsk databas.
I 5 kap. 4 § PDL ska det upplysas om att det finns ytterligare bestämmelser om direktåtkomst och annat elektroniskt utlämnande i 6 kap. PDL.
I 8 kap. 6 § andra stycket PDL ska det upplysas om att det i
6kap. finns ytterligare bestämmelser om vilken information som ska lämnas i vissa fall.
I 8 kap. 7 § PDL ska det upplysas om att det i 6 kap. PDL finns förskrifter om rättigheter för den enskilde.
I anledning av utredningens förslag om regler avseende precisions- medicinska databaser och behandling i övrigt av personuppgifter för vården av en annan patient än den som uppgifterna avser, behöver vissa följdändringar göras i PDL.
Enligt 2 kap. 2 § PDL får behandling av personuppgifter som är tillåten enligt lagen utföras även om den enskilde motsätter sig den. Detta gäller dock inte i de fall som anges i vissa bestämmer som räknas upp i paragrafen. Den enskilde kan enligt utredningens förslag motsätta sig tillgängliggörande av personuppgifter till en precisionsmedicinsk databas. Därför ska även 6 kap. 2 § vara med i den uppräkning som görs i bestämmelsen.
582
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
I 2 kap. 4 § PDL första stycket finns en uppräkning av ändamål som personuppgifter får behandlas för inom hälso- och sjukvården. av bestämmelsen andra stycket finns en upplysning om att det i 7 kap. 4 och 5 §§ finns särskilda bestämmelser om ändamålen med behandling av personuppgifter i nationella och regionala kvalitetsregister. Utred- ningen föreslår införande av särskilda bestämmelser för behandling av personuppgifter för ändamålet vården av en annan patient än den som uppgifterna avser. Det bör därför göras ett tillägg i 2 kap. 4 § andra stycket som upplyser om detta.
I 2 kap. 6 § PDL finns bestämmelser om personuppgiftsansvar. Med anledning av utredningens förslag om personuppgiftsansvar för central behandling av personuppgifter i precisionsmedicinsk databas, bör bestämmelsen kompletteras med en upplysning om att det i 6 kap. PDL finns särskilda bestämmelser om personuppgiftsansvar.
I 4 kap. 1 § PDL finns en bestämmelse om befogenhet att ta del av uppgifter om en patient inom den så kallade inre sekretessen. Utred- ningen föreslår bestämmelser om befogenhet att ta del av uppgifter om en patient för ändamålet vården av en annan patient än den som uppgifterna avser. Det bör i 4 kap. 1 § upplysas om att särskilda bestäm- melser om inre sekretess finns i kapitel 6.
Enligt 4 kap. 2 § PDL ska en vårdgivare bestämma villkor för till- delning av behörighet för åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat. Sådan behörighet ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbets- uppgifter inom hälso- och sjukvården. Utredningen föreslår att när en regional myndighet inom hälso- och sjukvården bestämmer villkor för tilldelning av behörighet enligt 4 kap. 2 § PDL, får behörighet till en precisionsmedicinsk databas endast tilldelas den som arbetar i den specialiserade vården och behöver åtkomsten för sitt arbete med att förebygga, utreda eller behandla sjukdomar och skador hos patienter. I 4 kap. 2 § PDL bör det upplysas om bestämmelsen i 6 kap. som rör tilldelning av behörighet till en precisionsmedicinsk databas.
I 5 kap. 4 § PDL finns bestämmelser om direktåtkomst och annat elektroniskt utlämnande. I anledning av utredningens förslag om till- gång till personuppgifter i precisionsmedicinsk databas genom direkt- åtkomst eller annat elektroniskt utlämnande, bör bestämmelsen kom- pletteras med en upplysning om att det i 6 kap. 16 § finns ytterligare bestämmelser om direktåtkomst och annat elektroniskt utlämnande.
583
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
I 8 kap. 6 § PDL finns en bestämmelse om information. I anledning av utredningens förslag om information till patienten innan person- uppgifter tillgängliggörs till en precisionsmedicinsk databas, bör be- stämmelsen kompletteras med en upplysning om att det finns ytter- ligare bestämmelser om information i 6 kap. 4 §.
I 8 kap. 7 § PDL finns en bestämmelse om anges andra rättigheter för den enskilde. I anledning av utredningens förslag om patientens rätt att få information samt möjligheten för patienten att motsätta sig tillgängliggörande av personuppgifter till en precisionsmedicinsk data- bas, bör bestämmelsen kompletteras med en upplysning om de bestäm- melser som reglerar detta.
14.14 Ikraftträdande och övergångsbestämmelser
Förslag: De föreslagna reglerna ska träda i kraft 1 januari 2025.
Bedömning: Det behövs inga övergångsbestämmelser.
Utredningens förslag till regler om vidareanvändning av personupp- gifter för vården av en annan patient än den som uppgifterna avser är frivilliga möjligheter för vårdgivare att behandla personuppgifter för det nya ändamålet. Det är frivilligt för regionala myndigheter inom hälso- och sjukvården att inrätta och föra precisionsmedicinsk databas. Några obligatoriska skyldigheter som kräver förberedelser föreslås inte. Däremot kommer det finnas behov av åtgärder för att de regler utredningen föreslår ska kunna tillämpas fullt ut. Det behöver bland annat inrättas precisionsmedicinska databaser i de olika samverkans- regionerna. Detta kan ta olika lång tid beroende på varje samverkans- regions förutsättningar. Utredningen konstaterar att NGP har bäst förutsättningar att börja tillämpa reglerna utifrån att en infrastruktur för aktuell typ av vidareanvändning redan finns. En fråga är om de olika förutsättningarna bör påverka tidpunkten för ikraftträdandet i senare riktning. Utredningen anser inte att så bör ske. Ett ikraftträ- dande kan snarare vara ett incitament till att få nödvändig infrastruktur på plats. Det borde också finnas ett intresse hos regionala myndig- heter att så skyndsamt som möjligt genomföra åtgärder som gör att reglerna kan tillämpas till nytta för både patienter och vårdgivare.
584
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
Utredningen överlämnar detta betänkande i november 2023. Lag- förslagen syftar till att möjliggöra behandling av personuppgifter för att precisionsmedicinen ska kunna implementeras fullt ut i Sverige. Det framstår som mycket angeläget att ändringarna kan träda i kraft relativt snart, framför allt för att de fördelar som datadelningen inne- bär ska kunna komma patienter till godo. Utredningen anser att det framstår som rimligt att de föreslagna reglerna i 6 kap. PDL samt den föreslagna förordningen om precisionsmedicinsk databas kan träda i kraft den 1 januari 2025. Detsamma gäller de ändringar som föreslås i annan lagstiftning, se avsnitt 14.12 om ändring i patientdataförord- ningen (2008:360), avsnitt 14.13 avseende följdändringar i PDL och avsnitt 17.1,17.2 och 17.5 avseende ändringar i OSL.
Utredningens förslag avser nya regler som kan börja tillämpas på be- handling av personuppgifter från och med att de träder i kraft. Utred- ningen ser inget behov av övergångsbestämmelser.
14.15En avvägning mellan behov och risker avseende förslagen på ändringar i patientdatalagen
14.15.1 Inledning
Som beskrivits i avsnitt 11.4.1 är precisionsmedicin ett relativt nytt begrepp som blir allt viktigare inom hälso- och sjukvården. Enligt ut- redningen kan det generellt anses innebära att prevention, behandling, diagnostik och uppföljning skräddarsys efter den enskilde patientens unika förutsättningar. Det kan göras genom olika metoder där ett van- ligt sätt är att analysera den genetiska profilen hos en individ. För att kunna arbeta med ett precisionsmedicinskt arbetssätt krävs att det går att hitta relevanta hälsodata. För att data ska gå att använda krävs att behörig personal både har tillgång till relevanta hälsodata samt kan göra urval för att få fram den information som behövs för det enskilda fallet (se avsnitt 13.2).
585
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
14.15.2 Sammanfattning av behoven
Som redogjorts för i problemanalysen, avsnitt 12.2.1, är nuvarande regelverk som styr hälso- och sjukvården inte anpassat efter dagens förutsättningar. PDL är därför inte utformad efter de behov som pre- cisionsmedicinen har.
Behandling av personuppgifter från en eller flera patienter för vården av en annan patient än uppgifterna avser, är i dag inte ett uttryckligt tillåtet ändamål i PDL. För att vårdpersonal i ett enskilt fall ska få behandla personuppgifter för vårdändamål krävs att personalen deltar i vården av den patient vars uppgifter behandlas. Behovet av att ta del av andra patienters personuppgifter, som personalen inte deltar i vården av, genom att till exempel jämföra olika analyser eller bild- behandlingar, saknar ett tydligt rättsligt stöd i dagens lagstiftning. Om personuppgifter ska delas mellan vårdgivare, till exempel mellan två regioner, finns det dessutom sekretessgränser att ta hänsyn till (för utförligare beskrivning se avsnitt 12.2.2).
Från vårdpersonalen är det starkt efterfrågat att kunna söka bland relevanta personuppgifter, både inom och mellan olika vårdgivare. För att kunna erbjuda jämlik vård behöver tillgången till relevant hälso- data också bli mer jämlik. I vissa fall kan det kan räcka med uppgifter från några regioner för att få tillräckligt med underlag att söka i. I andra situationer finns det så få patientfall att all relevant data som finns i Sverige behöver kunna samlas för att ge tillräckligt underlag att söka i (se vidare avsnitt 13.3.1).
I avsnitt 13.2.4 redogör utredningen genom en utförlig beskrivning av vad som faktiskt behövs för vården av annan. I det avsnittet finns även klargörande illustrationer. I avsnitt 13.4 och avsnitt 14.4.5 beskrivs den övergripande modellen med de olika steg som följer av förslagen (avsnitt 14.4.5 innehåller även vissa juridiska utgångspunkter).
Steg 1 innefattar urval och tillgängliggörande till precisionsmedi- cinsk databas. Steg 2 handlar om inrättande och förande av precisions- medicinsk databas. Steg 3 aktualiserar tillgång till personuppgifter i precisionsmedicinsk databas för sökning. Det tredje steget innebär att sökning ska kunna utföras för att se om det över huvud taget finns relevant hälsodata om andra patienter för vården av den aktuella patienten. Rent praktiskt påminner denna typ av sökning om den som görs för antalsberäkningar inför klinisk forskning. Sökningen går ut på att ta reda på om något utfall finns och i så fall hur mycket relevant
586
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
information som ett första utfall ger. Namn eller personnummer är typiskt sett inte relevant (se vidare under rubriken ”Föreslagna integ- ritetstärkande åtgärder” där det framgår att alla uppgifter i en preci- sionsmedicinsk databas ska vara pseudonymiserade), utan det intres- santa är om en sökning över huvud taget leder till ett utfall.
Efter att sökningen är genomförd finns det två möjliga utfall; an- tingen finns det relevanta personuppgifter om andra patienter eller så finns det inte relevanta personuppgifter om andra patienter.
Om utfallet resulterar i att det finns relevant data om andra patienter behöver den som behandlande personalen som söker ta ställning till om informationen räcker för vården av den enskilde. Om informa- tionen är tillräcklig, kan informationen användas som beslutsstöd för att vårda patienten.
I vissa situationer är informationen dock inte tillräcklig. Det kan då finnas behov av kompletterande information till den informations- mängd som sökts fram. Denna del utgörs av steg 4 i den övergripande modellen i avsnitt 13.4. Detta är ett delmoment som inte sker som en sökfunktion i den precisionsmedicinska databasen utan är reglerat som en begäran om kompletterande personuppgifter från patient- journal, se avsnitt 14.9.
Varför kan inte de nationella kvalitetsregistren fylla behovet?
I kapitel 2 har utredningen redogjort för den begränsning som följer av utredningens direktiv i förhållande till nationella och regionala kva- litetsregister, att regeringen bedömt att behoven inte kan tillgodoses inom den befintliga regleringen i 7 kap. PDL. Anledningarna till att nationella och regionala kvalitetsregister inte kan ses som lämpliga underlag för vården av annan än den personuppgifterna avser är flera.
Ur ett medicinskt perspektiv bör det framhållas att regionala och nationella kvalitetsregister är systematiserade utifrån diagnos, vilket inte är ett ändamålsenligt sätt utifrån behoven som ovan beskrivits (se vidare avsnitt 13.3.2).
Ur ett juridiskt perspektiv bör det beaktas att nationella och regio- nala kvalitetsregister kan innehålla stora mängder direkt identifierbara personuppgifter (se 7 kap. 8 § stycke 2 PDL). Vid sökning för vidare- användning av uppgifter för vården av en annan patient än den som uppgifterna avser finns inte behov av direkt identifierbara uppgifter.
587
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
Det är enligt utredningens mening därför inte proportionerligt att få söka i dessa känsliga uppgifter med direkt identifierbara personupp- gifter när det inte behövs. En viktig skyddsåtgärd som utredningen föreslagit är pseudonymisering av de uppgifter som ska finnas i en precisionsmedicinsk databas.
Vidare kan det antas att flertalet människor inte har exakt kunskap om i vilka nationella eller regionala kvalitetsregister de förekommer i, eller i så fall exakt vilka personuppgifter som finns om dem däri. Att införa en reglering som skulle innebära sökning i dessa register utan att de enskilda som berörs har någon reell överblick om de påverkas eller inte kan ur integritetshänseende inte ses som något önskvärt.
En annan rättslig begränsning med de nationella och regionala kva- litetsregistren är att de inrättas för syftet att systematiskt och fort- löpande utveckla och säkra vårdens kvalitet (7 kap. 4 § PDL). Ytter- ligare en aspekt är att när en vårdgivare exempelvis vill ha ut uppgifter från ett nationellt kvalitetsregister görs detta genom ett utlämnande, såvida inte det är till vårdgivarens egna uppgifter då direktåtkomst är möjligt. Utlämnandeförfaranden med tillhörande sekretessprövningar kan inte ses som ändamålsenligt för den process utredningen anser behövs för vården av annan patient än den personuppgifterna avser. Andra skäl är av politisk och ekonomisk karaktär och redogörs för i kapitel 18.
Sammanfattningsvis anser utredningen att de nationella och regio- nala kvalitetsregistren inte kan eller bör utgöra de uppgiftssamlingar som fyller behoven av precisionsmedicin.
14.15.3Specifika integritetsrisker med förslaget om inrättande av precisionsmedicinska databaser
Risker utifrån inrättande och förande av en precisionsmedicinsk databas
Utredningens förslag går ut på att det ska finnas en möjlighet att inom den regionala hälso- och sjukvården att inrätta och föra precisions- medicinska databaser där det ska kunna samlas personuppgifter för vården av en annan patient än den uppgifterna avser. Det är endast regionala myndigheter inom hälso- och sjukvården som får inrätta och föra precisionsmedicinsk databas.
588
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
Uppgifter om hälsa och genetiska uppgifter utgör båda kategorier av känsliga personuppgifter enligt dataskyddsförordningens definition. De precisionsmedicinska databaserna kommer utgöra nya samman- ställningar av känsliga personuppgifter.
I kapitel 13 redogör utredningen för skälen till att utredningen ansett det lämpligt med möjligheten att införa precisionsmedicinska databaser inom samverkansregioner samt en inom NGP. NGP är en
Utredningen föreslår även att en förordning ansluter till de före- slagna bestämmelserna i 6 kap. PDL för att mer detaljerat kunna reglera vidareanvändning av personuppgifter i precisionsmedicinska databaser (se avsnitt 13.7.2). Bland annat framgår att endast en sådan regional myndighet inom hälso- och sjukvården som omfattas av en av de sex samverkansregioner får inrätta och föra en precisionsmedicinsk data- bas. Utöver dessa sex får även NGP inrätta och föra en precisions- medicinsk databas. I förordningen kommer det även att föreskrivas begränsningar kopplat till vilken eller vilka precisionsmedicinska data- baser som vårdgivare får göra urval och tillgängliggörandet till, samt till vilken eller vilka databaser som regionala myndigheter inom hälso- och sjukvården får ges tillgång. Urval och tillgängliggörande samt till- gången ska alltså följa den samverkansregionala indelningen (se vidare avsnitt 14.6.4). För den precisionsmedicinska databasen som får in- rättas inom NGP gäller att endast regionala myndigheter som ingår i GMS får tillgängliggöra uppgifter till den databasen och ges tillgång till den för sökning.
En särskild risk som aktualiseras med införandet av en precisions- medicinsk databas är att utredningen valt angreppssättet att tillgången till personuppgifterna ska följa med ändamålet och inte begränsas av organisationsgränser. I samband med det blir det alltid en risk att fler personer får tillgång till uppgifter de annars inte hade fått. Inom hälso- och sjukvården har det ansetts motiverat av integritetsskäl att även ha begränsningar av vårdpersonalens befogenheter (se avsnitt 7.5.5 för ytterligare beskrivning av inre sekretess). För att ett precisionsmedi-
589
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
cinskt arbetssätt ska kunna fungera som del av det dagliga arbetet behövs egna regler för inre sekretess avseende detta ändamål (se vidare under rubriken ”Föreslagna integritetsstärkande åtgärder”).
Beroende på om det rör sig om en samverkansregional databas eller den precisionsmedicinska databasen inom NGP, kommer omfatt- ningen av uppgiftssamlingen i realiteten att variera. Samtliga precisions- medicinska databaser kommer innehålla stora mängder personuppgif- ter av känslig natur som hålls potentiellt tillgängliga för aktörer som den enskilde inte har någon vårdrelation med, vilket kan uppfattas som ett integritetsintrång samt en integritetsrisk i sig.
En generell utgångspunkt är, att ju större informationsmängder som finns samlade elektroniskt så att personuppgifter kan sökas och sammanställas på ett allt enklare sätt, desto mer ökar möjligheterna till kontroll över och kartläggning av enskilda. Som en följd av detta ökar också risken för att enskild drabbas av oacceptabla intrång i sin personliga sfär.
För att möjliggöra en precisionsmedicinsmedicinsk databas ska ett urval av de personuppgifter som behövs göras, från de uppgifter en vårdgivare behandlarenligt 2 kap. 4 § första stycket
Sammanfattningsvis har förslagen avseende precisionsmedicinsk databas inte närmare preciserat vilka uppgifter som ska få finnas i en precisionsmedicinsk databas. I stället har utredningen ansett att ut- gångspunkten för vilka uppgifter som ska vara tillåtet att tillgäng- liggöra till en precisionsmedicinsk databas måste utgå ifrån behovet av uppgifter för vården av en annan patient än den som uppgifterna avser (se vidare avsnitt 14.6.3). En potentiell risk är att ändamålet inte är tillräckligt snävt angett för att skapa en tydlig reglering. I förläng- ningen skulle det kunna medföra att de vårdgivare som enligt förslagen är som personuppgiftsansvariga för den behandling som urval och till- gängliggörandet innebär kanske inte har klart för sig vilka uppgifter som får tillföras och tillför uppgifter som inte bör finnas i en pre- cisionsmedicinsk databas.
590
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
Risker utifrån att tillgång till en precisionsmedicinsk databas ges genom direktåtkomst
I förslaget om precisionsmedicinska databaser har utredningen ansett det nödvändigt att åtkomsten till den precisionsmedicinska databasen behöver göras i formen av direktåtkomst. För att precisionsmedicin ska kunna bli en integrerad del i vården, krävs att sökning kan ske inom ramen för det löpande arbetet inom hälso- och sjukvården. Det finns vidare behov av att kunna utföra upprepade sökningar. I akuta skeden finns inte tid för administrativa utlämnandeprocesser. Dessa behov kräver enligt utredningens bedömning att direktåtkomst till uppgifterna är tillåtet (se vidare avsnitt 13.3.1 och 14.8.2).
Möjligheten att införa ytterligare en direktåtkomst i vårdsyfte mellan olika personuppgiftsansvariga inom hälso- och vården innebär att informationen potentiellt kan förmedlas till en betydligt större krets av personer än tidigare, eftersom fler användare kommer att kunna ta del av patienternas personuppgifter. Därmed ökar också risken att personer som inte har rätt till det tar del av uppgifterna eller att upp- gifterna sprids utanför den tillåtna kretsen. I det hänseendet utgör för- slaget inte bara en integritetsrisk utan även ett potentiellt brott mot sekretessen.
Som anförts ovan utgör uppgifter om hälsa och genetiska uppgifter sådana kategorier av känsliga personuppgifter som avses i artikel 9.1 i dataskyddsförordningen. I sammanhanget med en ökad risk av obe- hörig åtkomst bör det därför särskilt beaktas att informationen i de precisionsmedicinska databaserna kommer bestå av känsliga person- uppgifter.
De sätt som finns att förhindra att personer som inte har rätt till det tar del av uppgifter är att begränsa tillgången på uppgifter och kon- trollera åtkomsten, till exempel genom loggning och tekniska åtgärder. Sådana åtgärder kan antas minska risken för att personer som inte har rätt till det tar del av uppgifter, men risken elimineras inte helt och hållet. Det är även viktigt att den personuppgiftsansvarige ger med- arbetarna instruktioner för behandlingen av personuppgifter.
Ytterligare en risk med direktåtkomst och annat elektroniskt utläm- nande som kan bli aktuell i dessa sammanhang är att personuppgifter kan få en större spridning. Det kan således skapas fler oförutsedda sammanställningar av känsliga personuppgifter som de enskilda inte kan överblicka.
591
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
Risker som följer av att en begäran om kompletterande personuppgifter från patientjournal möjliggörs
Som redogjorts för tidigare kan det i vissa situationer vara så att den information som kan erhållas genom sökning och utfall i en preci- sionsmedicinsk databas inte är tillräcklig utan kompletterande uppgif- ter behövs. En sådan situation leder till att steg 4 i den övergripande modellen i avsnitt 13.4 aktualiseras. Behovet i den situationen består i att behörig personal behöver kunna ta del av kompletterande upp- gifter. Sådan information kan fås efter begäran om kompletterande personuppgifter från patientjournal som kan antas ha betydelse för vården av en annan patient än den som uppgifterna avser. Detta är ett delmoment som inte sker som en sökfunktion i den precisionsmedi- cinska databasen utan således är reglerat som ett utlämnande efter en specifik begäran.
Den vanligaste situationen som utredningen fått till sig om när behovet av kompletterande uppgifter aktualiseras, är vid behandlingen av patienter som tillhör en liten patientgrupp. Vanligen rör det sig om sällsynta hälsotillstånd. I fallet av sällsynta hälsotillstånd kommer an- talet möjliga utfall i en precisionsmedicinsk databas oftast vara få. Till exempel består sällsynta hälsotillstånd av flera tusen olika sjuk- domar vilket gör det viktigt att söka ytterligare detaljerad information om vård, eventuella behandlingar och uppföljningar. Cancer är ett annat exempel som i sin tur består av hundratals olika diagnoser. Inom varje diagnos kan man sedan dela in i ytterligare undergrupper. Enbart lymfom består av över 80 olika diagnoser, vilket medför att det inte finns så mycket uppgifter inom varje undergrupp. Gemen- samt för dessa sällsynta hälsotillstånd är att patientgrupperna är små.
I steg 4 har utredningen gjort bedömningen att den personuppgifts- behandling som behöver regleras är den som sker vid ett tillgänglig- görande av dessa kompletterande personuppgifter från aktuella patient- journaler, samt den efterföljande behandlingen som sker hos den regio- nala myndigheten inom hälso- och sjukvården som begärt uppgifterna (se vidare avsnitt 14.9).
Riskerna som aktualiseras vid en begäran om kompletterande upp- gifter från patientjournal liknar de risker som i övrigt aktualiseras med att vidareanvändning för vården av en annan patient än den person- uppgifterna avser tillåts, och de specifika risker som följer av införandet av en precisionsmedicinsk databas. Det innebär att personal som den
592
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
enskilde inte har någon vårdrelation med får ta del av uppgifter om denne. Utredningen har föreslagit att ett utlämnande får ske efter en begäran om specifika uppgifter och att ett utlämnande får ske genom elektronisk utlämnande men inte genom direktåtkomst (se vidare av- snitt 14.9.2). För det fall att de kompletterande personuppgifterna finns inom samma regional myndighet, ska personalen inte kunna använda sin vanliga behörighet till patientjournalsystem för att ta del av dem utan detta ska följa intern ordning som motsvara de villkor som gäller för begäran mellan myndigheter (se vidare avsnitt 14.9.1).
Den främsta risken består i att eftersom det rör sig om små patient- grupper och den personal som har rätt att behandla kompletterande uppgifter kommer få tillgång till ytterligare uppgifter vilket kan resul- tera i en relativt omfattande mängd uppgifter om dessa patienter. Detta skulle även kunna medföra att dessa patienter, trots att samtliga upp- gifter som behörig personal får tillgång till är pseudonymiserade, kan identifieras.
14.15.4 Föreslagna integritetsstärkande åtgärder
För att begränsa de risker och det integritetsintrång som förslaget inne- bär för en enskild patient har utredningen föreslagit följande åtgärder:
–att personuppgifter som tillgängliggörs för ändamålet ska vara pseudonymiserade eller skyddade på likvärdigt sätt (avsnitt 14.6.5) det innebär att de personuppgifter som finns i en precisionsmedi- cinsk databas är pseudonymiserade eller skyddade på likvärdigt sätt,
–att en patient har rätt att motsätta sig att uppgifter tillgängliggörs till en precisionsmedicinsk databas (avsnitt 14.10),
–att innan personuppgifter tillgängliggörs till en precisionsmedi- cinsk databas ska särskild information lämnas till den enskilde (avsnitt 14.10.8),
–att endast sådana uppgifter som behövs för att kunna ge vård till annan patient än den personuppgifterna avser ska få finnas i data- basen (avsnitt 14.6.3),
–att finalitetsprincipen inte ska gälla för personuppgifter som be- handlas för ändamålet vården av en annan patient än den som per- sonuppgifterna avser (avsnitt 14.4.4), och
593
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
–att det finns särskilda bestämmelser om tilldelning av behörighet till precisionsmedicinsk databas och särskilda befogenhetsregler (inre sekretess) för respektive steg avseende urval och tillgänglig- görande, förande av precisionsmedicinsk databas och tillgång till precisionsmedicinsk databas för sökning samt vid begäran om kom- pletterande uppgifter från patientjournal (avsnitt 14.6.6, 14.7.4, 14.8.5 och 14.9.5).
Av stor betydelse ur ett dataskyddsperspektiv för hur ett integritets- intrång upplevs, har om den enskilde har möjlighet att få gehör för sin inställning till att dennes personuppgifter behandlas eller inte. Gene- rellt inom vården gäller att personuppgifter får behandlas av vårdgivare oavsett den enskildes inställning (2 kap. 2 § PDL), men det finns undantag. Det främsta integritetsskyddet i förslagen utgörs av att den enskilde patienten kan utnyttja sin rätt att motsätta sig behandlingen genom en så kallad
För att kunna göra det måste dock den enskilde få klar och tydlig information i enlighet med artikel 12 i dataskyddsförordningen om att dennes personuppgifter kan komma att ingå i databasen och dennes möjligheter att motsätta sig behandlingen. I enlighet med detta har därför utredningen föreslagit en särskild bestämmelse om information som ska lämnas innan personuppgifter om en patient görs tillgängliga till en precisionsmedicinsk databas. Av bestämmelsen framgår att pati- enten ska informeras av den personuppgiftsansvariga vårdgivaren om följande:
–vad personuppgiftsbehandling i precisionsmedicinsk databas inne- bär,
–vad behandling av kompletterande personuppgifter från patient- journal innebär, och
–möjligheten att motsätta sig att uppgifter görs tillgängliga till en precisionsmedicinsk databas.
Enligt utredningens förslag ska urval och tillgängliggörande vara be- gränsat till de personuppgifter som behövs för att skapa underlag för vården av en annan patient än den som uppgifterna avser. Det ska inte vara tillåtet att tillgängliggöra hela patientjournaler eller stora delar av en patientjournal. I stället ska ett urval av relevanta typer av uppgifter för sökning i precisionsmedicinsk databas göras. Detta moti-
594
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
veras dels av att utredningen inte ansett att behoven för att få tillgång till alla personuppgifter som finns tillgängliga hos olika vårdgivare har klarlagts, dels att en sådan omfattande tillgång därför skulle anses opro- portionerlig.
En gen- eller genomsekvensering är en avancerad och i dag för- hållandevis kostsam åtgärd som endast förekommer inom den regio- nalt bedrivna specialiserade vården. Detta kan ändras över tid allt eftersom precisionsmedicinen blir billigare och mer rutinartad. Utred- ningens bedömning är dock att vården av denna typ inte i närtid kommer bedrivas i exempelvis primärvården där allmänläkare på ett enkelt sätt kan fatta beslut baserat på genetiska data. Behovet av att få tillgång till den precisionsmedicinska databasen är mot denna bakgrund enligt utredningens bedömning starkast inom den regionalt bedrivna specialiserade sjukvården (se vidare avsnitt 14.8.1). Utred- ningen redogör i avsnitt 14.6.3 för ståndpunkten att utgångspunkten för vilka uppgifter som ska vara tillåtet att tillgängliggöra till en pre- cisionsmedicins databas, måste utgå ifrån behovet av uppgifter för ändamålet vården av en annan patient än den som uppgifterna avser. Utredningen föreslår alltså ett behovskriterium.
Utredningen föreslår vidare att personuppgifter som tillgängliggörs till en precisionsmedicinsk databas ska vara pseudonymiserade eller skyddade på likvärdigt sätt. Detta krav uppställs även vid det steg 4, tillgängliggörande av kompletterande personuppgifter från patient- journal. Kravet på att personuppgifter som tillgängliggörs till en preci- sionsmedicinsk databas ska vara pseudonymiserade eller skyddade på likvärdigt sätt, är ägnat att dels minska oron för integritetsrisker hos de enskilda vars personuppgifter tillgängliggörs, dels för att hjälpa de personuppgiftsansvariga att bedriva verksamheten med databaserna och fullgöra sina skyldigheter i fråga om dataskydd. Skyddsåtgärden minskar vidare risken för onödigt intrång i de registrerades integritet som annars skulle uppstå om det i stället var fråga om direkt identi- fierbara uppgifter.
För att motverka riskerna med ökad spridning och obehörig åt- komst har utredningen ansett att det i stället för de allmänna reglerna om behörighet och befogenhet som finns i 4 kap. PDL, finns behov av vissa särskilda behörighets- och befogenhetsregler. Den särskilda regeln gäller för åtkomsten till en precisionsmedicinsk databas för sökning. I stället för bestämmelsen om inre sekretess i 4 kap. 1 § PDL föreslår
595
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
utredningen specifika befogenhetsbestämmelser kopplade till respektive steg (se avsnitt 13.4 och 14.4.5 för redogörelse över de olika stegen).
Med behörighet för åtkomst avser en användares faktiska möjlig- heter att ta del av uppgifter i exempelvis vårdgivarens journalsystem. Behörighetsstyrning är samlingsbegreppet för de organisatoriska, admi- nistrativa och tekniska åtgärder som vidtas för att anpassa och begränsa behörigheten efter användarens behov för att kunna utföra sitt arbete.
Utredningens uppfattning är att det framför allt är i den speciali- serade hälso- och sjukvården som behovet av tillgång till en preci- sionsmedicinsk databas finns, och att regeln i 4 kap. 2 § första stycket PDL är för bred i detta sammanhang. Av det skälet har utredningen ansett att behörighet endast ska kunna tilldelas till den som arbetar inom den specialiserade vården. Utöver det, anser utredningen att det också behöver finnas kriterier som kopplar till vilka arbetsuppgifter personen har (se vidare under avsnitt 14.8.4). Det är även dessa per- soner som har rätt att ta del av eventuella kompletterande uppgifter från patientjournal (se vidare avsnitt 14.9.5).
För att minimera riskerna som följer av att uppgifterna i en pre- cisionsmedicinsk databas kan utgöra allmänna handlingar hos de regio- nala myndigheter som har tillgång till en precisionsmedicinsk data- bas, har utredningen föreslagit en bestämmelse om absolut sekretess (se vidare under 17.2.1).
Att finalitetsprincipen inte är tillämplig innebär att personuppgifter som behandlas för ändamål vården av en annan patient än den som upp- gifterna avser, inte får behandlas för andra ändamål, även om uppgif- terna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (se vidare överväganden i avsnitt 14.4.3).
14.15.5Den sammanvägda bedömningen av behoven och riskerna
Sammantaget finns ett antal omständigheter som gör att den nya upp- giftssamlingen är av mycket integritetskänslig art. Utredningen konsta- terar dock att en ny samling inte kommer att innehålla personuppgifter som inte redan finns lagrade hos vårdgivare. Det är alltså inte fråga om en ny insamling av känsliga personuppgifter, utan om vidareanvänd- ning av befintlig vårddokumentation, se vidare avsnitt 13.8 och 14.4.2.
Utredningen har identifierat ett antal fördelar med att skapa nya uppgiftssamlingar för vidareanvändning för vårdändamål. En fördel
596
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
är att den nya uppgiftssamlingen då skapas utifrån det behov som finns avseende vilka personuppgifter som behöver ingå i samlingen. Av detta följer att mängden personuppgifter lättare kan anpassas och minimeras. Utifrån att behoven är sådana att direktåtkomst behöver tillåtas för att sökningar ska kunna ske på ett praktiskt användbart sätt inom hälso- och sjukvården, anser utredningen att en avgräns- ning av den data som ska kunna ingå i en precisionsmedicinsk databas är en viktig faktor ur integritetshänseende.
Utredningen har i försök att skapa ökad tydlighet i lagstiftningen och minska riskerna med förandet av precisionsmedicinska databaser prövat ett antal olika sätt att närmre precisera de uppgifter som får tillgängliggöras. Utredningen har i detta arbete dock mött stora svårig- heter.
I avsnitt 14.6.3 har utredningen redogjort för de alternativ som utredningen utrett i detta avseende och redogör även där varför utred- ningen inte ansett att de olika alternativen utgjort en framkomlig väg. I sammanhanget kan dock beaktas att i utredningens direktiv anges exempel på uppgiftstyper. Där räknas kön, ålder, bakgrunden till att undersökningen utfördes, klinisk bedömning, andra bakomliggande hälsotillstånd hos patienten, klinik som utfört undersökning och tolk- ning av fynd upp.
Utredningen har vidare varit i kontakt med aktörer som arbetar med precisionsmedicin för att få kunskap om de uppgifter som pro- fessionen anser behövs för sökning i en precisionsmedicinsk databas. De exempel som framkommit i dessa kontakter har bland annat varit fenotypdata så som kön, ålder, diagnoser, men också andra data- mängder så som genvariant, virustyp och data avseende sekvensering av virus. Utredningen har gjort bedömningen att dessa uppgiftstyper utgör alla exempel och inte nödvändigtvis är det som behövs för att genomföra en sökning. Utredningens anser därför att personuppgifter som ska få tillgängliggöras till databasen bör vara mer avgränsat, men kommer inte kunna preciseras i lag eller förordning (se vidare 14.6.3). Utredningen har dock vidtagit andra angreppsvinklar för att begränsa omfattningen på precisionsmedicinska databaser och tillhörande risker.
Bland de sätt som övervägts återfinns att i lagtext försöka räkna upp typer eller kategorier av uppgifter som ska få tillgängliggöras. Uppräk- ningen skulle behöva innehålla ålder, kön, diagnos, virustyp och be- handlingsutfall. Vad som är svårare att ringa in är den typ av biologiska uppgifter som också behövs, de så kallade omikerna. Uppräkningen
597
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
tenderade bli väldigt lång och innehålla medicinska termer som utred- ningen inte anser vara lämpliga för lagtext och lagtolkning. Termerna skulle även ge lite nytta för att skapa förutsebarhet för en enskild som inte är inom professionen. Utredningen gör därmed bedömningen att den typ av uppräkning som skulle tjäna någon klargörande funktion, skulle vara så detaljerad att det är främmande att ha i lagtext. Det finns också en överhängande risk att uppräkningen inte blir uttömmande.
Vidare övervägdes en exemplifierande uppräkning. Ur transparens- hänseende får det dock anses vara av begränsat värde. En exemplifie- rande uppräkning är enligt utredningens uppfattning mer lämplig att ha i en författningskommentar.
En ytterligare aspekt som är av relevans är att behovet av vilka upp- gifter som behöver kunna tillgängliggöras kommer att variera över tid. Som utredningen förstått det utvecklas området med precisions- medicin mycket snabbt, vilket medför att behovet av uppgifter för- ändras förhållandevis snabbt. Utredningen har därför uppfattat det som att det inte är lämpligt att i lag reglera detta i detalj utan att uppräkningen snabbt skulle bli inaktuell.
Utredningen övervägde även alternativet med att en precisering av uppgifter i stället skulle göras på en lägre normgivningsnivå än lag. Utredningen gjorde en jämförelse med regleringen av hälsodataregister, där uppgifter först räknas upp i förordning och sedan kompletteras med ytterligare detaljerade uppräkningar i föreskrifter. En fördel med lägre normgivningsnivå är att mer detaljerade uppräkningar är möjligt samt att en ändring av till exempel föreskrifter normalt sett går snabbare än en ändring av lagtext. En statlig myndighet, exempelvis Social- styrelsen, skulle behöva ha ansvaret för att uppdatera föreskrifterna. Detta skulle enligt utredningens bedömning behöva ske i samråd med den medicinska professionen. I praktiken skulle det därför ändå i stor utsträckning vara en bedömning från den medicinska profes- sionen som avgör vilka uppgifter som får tillgängliggöras, vilket även är fallet med hur förslagen utformats slutligen (för ytterligare redo- görelse se avsnitt 14.6.3).
Även om detta alternativ skulle kunna anses medföra ett visst ökat integritetsskydd i form av ökad förutsebarhet, anser utredningen inte att den eventuella nyttan skulle överväga den administrativa bördan och den extra tid det skulle ta att få sådana föreskrifter på plats. I samman- hanget skulle ett sådant förfarande medföra en trögrörlighet som inte gynnar de patienter som väntar på anpassad vård. Eftersom de preci-
598
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
sionsmedicinska databaserna enligt förslagen till en del, blir en sam- verkansregional angelägenhet (se avsnitt 14.7.3) ser utredningen fram- för sig att de aktuella regionerna inom ett sådant område kommer att få samverka fram vilka uppgifter mer precist som behövs för ändamålet och därmed vilka uppgifter som får tillgängliggörs. På samma sätt be- höver de regionala myndigheter som ingår i GMS samverka kring NGP.
Utredningen anser att det något bredare ändamålet och avsaknaden av en uttrycklig angivelse av vilka uppgifter som ska ingå i varje pre- cisionsmedicinsk databas i stället får snävas in utifrån vilka som ska få tillgång till uppgifterna, särskilda behörighet och befogenhetsregler samt möjligheten för den enskilde att motsätta sig behandlingen. Där- till kommer andra integritetshöjande åtgärder.
Som anförts i avsnitt 14.7.3 kommer precisionsmedicinska databaser endast få inrättas inom samverkansregionerna och inom NGP.
De vårdgivare som omfattas av en samverkansregion utgörs av de regioner eller kommuner som ingår i respektive samverkansregion enligt 3 kap. 1 § HSF. Vårdgivare som omfattas av en samverkans- region får tillgängliggöra personuppgifter till den precisionsmedicinska databas som förs inom den samverkansregion som vårdgivaren om- fattas av. Det är därmed inte tillåtet för vårdgivare att tillgängliggöra personuppgifter till en samverkansregional precisionsmedicinsk data- bas som finns i någon annan samverkansregion än den som vårdgivaren omfattas av. Tillgång till databasen får bara ges till de regionala myndig- heter som ingår i samverkansregionen. Genom att tillgängliggörande endast får ske till den samverkansregionala databas som finns i den samverkansregion som vårdgivaren ingår i, begränsas omfattningen av personuppgifter som ingår i databasen. Likaså blir antalet personer som kan tänkas få tillgång till databasen begränsad, jämfört med om samtliga precisionsmedicinska databaser skulle göras till nationella sådana. Utifrån samverkansregionernas sammantagna storlek kan ändå databaserna få en sådan volym av uppgifter att de är användbara för sitt syfte. Utredningen gör därför bedömningen att detta är en rimlig avvägning mellan behoven av större möjligheter till datadelning och intresset av integritetsskydd.
På samma sätt är det endast de regionala myndigheter som ingår i GMS som får ges tillgång till NGP och som även får tillföra upp- gifter till NGP.
Vidare har utredningen gjort bedömningen att pseudonymisering eller likvärdigt skydd är en praktiskt möjlig och lämplig skyddsåtgärd
599
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
utifrån de behov som finns avseende vidareanvändning för vårdända- mål. För att uppnå skyddet så behöver detta göras innan uppgifterna tillgängliggörs till en precisionsmedicinsk databas. Om det skulle göras efter tillgängliggörandet, skulle det innebära att den regionala myndig- heten inom hälso- och sjukvården som för den samverkansregionala precisionsmedicinska databasen hade tillgång till de direkt identifier- bara uppgifterna i databasen. Detta bedömer utredningen skulle inne- bära ett oproportionerligt intrång i den personliga integriteten som inte kan godtas.
Eftersom de regionala myndigheter inom hälso- och sjukvården som kan ges tillgång till en precisionsmedicinsk databas inte behöver direkta identifierare som exempelvis namn eller personnummer, be- döms ett krav på pseudonymisering eller likvärdigt skydd för de per- sonuppgifter som tillgängliggörs till en precisionsmedicinsk databas vara ändamålsenligt dels sett till syftet med en precisionsmedicinsk databas, dels sett till intresset av att skydda patienternas identitet.
Även om tillgängliggörande till en precisionsmedicinsk databas endast får ske av personuppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt kommer det finnas en risk att en regi- strerad ändå kan identifieras i vissa fall. Så kan vara fallet om det är fråga om en sällsynt sjukdom som några få patienter har. Huruvida någon kan identifieras eller inte, beror också på vad för annan infor- mation den regionala myndighet inom hälso- och sjukvården som har tillgång till den precisionsmedicinska databasen har. Utredningens uppfattning är att uppgifterna i sådana fall ändå är att ses som pseudo- nymiserade, men att det finns en sannolikhet att någon kan bli identi- fierbar trots detta (se vidare 14.6.5).
Denna risk vägs dock upp med att den enskilde har möjlighet att motsätta sig att dennes personuppgifter inte ska tillgängliggöras till en precisionsmedicinsk databas, så kallad
Som anförts ovan i 14.15.3 innebär utredningens förslag att känsliga personuppgifter kan komma att behandlas utanför den myndighet där personuppgifterna ursprungligen dokumenterades och medför därmed en spridning av personuppgifterna över vad som annars skulle skyddas av sekretessgränser. Detta medför att behandlingen kan upp-
600
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
fattas som särskilt integritetskänslig. Utredningen har härvid försökt beakta detta genom att den enskilde själv ska ha möjlighet att be- stämma över tillgängliggörandet till en precisionsmedicinsk databas (steg 1, se 14.4.5). Detta ligger också i linje med grundprincipen i hälso- och sjukvårdslagstiftningen för patientens självbestämmande och integritet.
Det integritetsintrång som inrättandet och användandet av pre- cisionsmedicinska databaser i vården medför behöver ställas emot data- basernas viktiga syfte; att kunna använda personuppgifterna för vården av någon annan. Nyttan som precisionsmedicinen bidrar med kan hjälpa patienter att få en diagnos eller rätt anpassad behandling och även rädda liv. För sällsynta diagnoser är möjligheten att få en diagnos en viktig förutsättning för att få tillgång till rätt vård. Att använda sig av till exempel helgenomsekvensering kan ha en avgörande roll för att fastställa sällsynta diagnoser. Rätt behandling kan i sin tur både rädda liv och minska lidande för patienterna (se även avsnitt 18.2.6). Här står två viktiga intressen emot varandra, rätten till integritet mot rätten till god vård.
Det finns också anledning att fundera över vad som ingår i sam- hällskontraktet. Vilken makt ska tillskrivas en enskild och vilken makt ska i stället ligga hos någon annan? Har den enskilde en moralisk skyldighet att bidra med sina personuppgifter? En ytterligare aspekt är att samma person som motsätter sig behandling av dennes person- uppgifter, kan få vård baserat på någon annans personuppgifter i en situation där denne behöver det. Något som kan tyckas orättvist. Utredningen har gjort bedömningen att förslagen som lämnas både ska kunna bidra till bättre anpassad vård och samtidigt tillförsäkra patienten ett gott skydd för den personliga integriteten.
Särskilt om barn och precisionsmedicinska databaser
Enligt skäl 38 och till dataskyddsförordningen förtjänar barns person- uppgifter särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter.
Barnkonventionen gäller sedan den 1 januari 2020 som svensk lag (lagen [2018:1197] om Förenta nationernas konvention om barnets rättigheter). Lagen innebär ett förtydligande av att rättstillämparna i
601
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
samtliga mål och ärenden ska tolka svenska bestämmelser i förhållande till barnkonventionen. Enligt artikel 12 ska konventionsstaterna till- försäkra det barn som är i stånd att bilda egna åsikter rätten att fritt uttrycka dessa i alla frågor som rör barnet. Barnets åsikter ska tillmätas betydelse i förhållande till barnets ålder och mognad.
Av artikel 5 följer att konventionsstaterna bland annat ska res- pektera det ansvar och de rättigheter och skyldigheter som tillkommer till exempel föräldrar eller vårdnadshavare eller andra personer som har juridiskt ansvar för barnet, att på ett sätt som står i överensstäm- melse med den fortlöpande utvecklingen av barnets förmåga ge lämplig ledning och råd då barnet utövar de rättigheter som erkänns i kon- ventionen.
Intresset av att ett barns uppgifter ingår i en precisionsmedicinsk databas handlar inte om att skydda barnet från missförhållanden som utövas av vårdnadshavaren eller att kunna fullgöra någon lagstadgad anmälningsplikt. För behandling i en precisionsmedicinsk databas handlar det i stället om ett allmänt intresse av att kunna använda personuppgifter i vården av någon annan. Patienten som behöver vård och förhoppningsvis ska bli hjälpt av att vårdpersonal kan behandla en annan patients personuppgifter, kan även vara ett barn. När det gäller barns uppgifter ställs frågan om två viktiga intressen på sin spets. Skyddet av barns integritet och skyddet av barns hälsa och ibland liv. I sammanhanget bör det noteras att barn generellt tillhör en mindre patientgrupp där det finns färre fall att ta ledning ifrån. Ju färre fall det finns att jämföra med desto viktigare blir de fallen som finns att kunna utgå ifrån.
Som framgår i avsnitt 14.15.5 konstaterar utredningen att det inte finns någon särreglering för barn när det gäller nationella och regionala kvalitetsregister (7 kap. PDL). Vid behandling av personuppgifter om barn i kvalitetsregister gäller allmänna principer om vårdnadshavares rätt och skyldighet att bestämma i frågor som rör barnets personliga angelägenheter, och att allt större hänsyn ska tas till barnets önskemål utifrån barnets ålder och mognad. Utredningen gör bedömningen att detsamma bör gälla för tillgängliggörande till precisionsmedicinsk databas och att det därmed inte ska finnas några särskilda bestäm- melser avseende barn.
Det innebär att barnets vårdnadshavare som regel kan motsätta sig att barnets personuppgifter görs tillgängliga till en precisions- medicinsk databas. I likhet med vad som gäller i övrigt inom hälso-
602
SOU 2023:76 |
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
och sjukvården ska allt större hänsyn ska tas till barnets önskemål utifrån barnets ålder och mognad. Utredningen har heller inte ansett att det finns skäl att införa någon specifik åldersgräns för när ett barn självt ska få motsätta sig att personuppgifter görs tillgängliga till pre- cisionsmedicinsk databas, utan att det framstår som mest lämpligt att barns självbestämmande respekteras på motsvarande sätt som i den övriga verksamheten inom hälso- och sjukvården. Det barn som har tillräcklig ålder och mognad kan självt motsätta sig ett tillgänglig- görande.
Utredningens bedömning står, enligt utredningens uppfattning, i överensstämmelse med det som anges i artikel 5 och artikel 12 i barn- konventionen om att i takt med barnets stigande ålder och mognad ska allt större hänsyn tas till barnets åsikter, önskemål och vilja. Bedöm- ningen får även anses uppfylla de krav som dataskyddsförordningen ställer. I sammanhanget kan vikten av att barn, vars inställning kan beaktas utifrån ålder och mognad, får informationen som omfattas av förslaget på ett sådant sätt att de kan tillgodogöra sig den, inte nog understrykas.
Slutsats
Utredningen gör den sammanvägda bedömningen att behovet av att kunna vårda en patient med stöd av en eller flera andra patienters per- sonuppgifter väger tyngre än de potentiella risker som förslagen inne- bär. Förutom nyttan för de patienter som nu kan få bättre eller rätt vård, är det en nytta för samhället att kunna erbjuda individuellt an- passad vård där det krävs. Utredningen anser att förslagen i största möjliga mån begränsar intrånget på enskildas integritet och är pro- portionerliga. I en situation där två viktiga intressen står mot varandra och bedömningarna om vad som är mest korrekt ur ett moraliskt per- spektiv kan falla olika ut beroende på vem som svarar, anser utred- ningen att möjligheten för den enskilde att utöva sitt inflytande är avgörande för att förslagen ska ses som genomförbara.
Utredningen vill även i detta sammanhang påminna om att pre- cisionsmedicin, så som den beskrivs i utredningen, är ett relativt nytt fenomen och att genomföra en sådan stor förändring inom hälso- och sjukvården som förslagen innebär utan en enskilds inflytande bör ses som främmande. Det innebär inte att det i framtiden inte kan
603
Nya regler om vidareanvändning av personuppgifter för vårdändamål |
SOU 2023:76 |
göras andra bedömningar utifrån hur den medicinska utvecklingen och synen på datadrivna arbetssätt inom hälso- och sjukvården ser ut då.
14.15.6 Reglering i lag
Övervägandena om varför det bör regleras i lag återfinns i avsnitt 13.7 och 14.3. För att inte skapa en alltför detaljrik reglering samt mindre anpassningsbar författningslösning har utredningen ansett det lämp- ligt med kompletterande bestämmelser avseende precisionsmedicinska databaser i förordning. I avsnitt 13.7.1 anges de överväganden som utredningen gjort för att denna lösning.
604
15Reglering av vidareanvändning för forskningsändamål
– utgångspunkter och inriktning
15.1Inledning
I detta kapitel redogörs för utgångspunkter och inriktning avseende utredningens författningsförslag avseende vidareanvändning av per- sonuppgifter för klinisk forskning.
Utredningens avgränsningar finns i kapitel 2.
Utredningen har övervägt olika typer av författningsförslag i syfte att underlätta tillgången till hälsodata för klinisk forskning. I avsnitt 15.2 redogörs för alternativ som utredningen har övervägt med av olika skäl valt att inte föreslå.
I avsnitt 15.3 redogörs övergripande för vilken typ av förslag som utredningen lämnar. Där redogörs också för befintliga regler om ut- lämnande för forskningsändamål och vilken skillnad som utredningens förslag innebär samt behoven av ändrade regler ur lagtekniskt perspek- tiv. För en beskrivning av de praktiska behoven, se kapitel 12.
Utredningens bedömning är att de regler om förenklad tillgång som föreslår är en del i en bredare kontext. Utredningen redogör för detta i avsnitt 15.4.
Utredningens överväganden kring lämplig normgivningsnivå samt den övergripande lagtekniska utformningen finns i avsnitt 15.5 och 15.6.
En aspekt som har aktualiseras inom ramen för utredningens arbete är gränsdragningsfrågor inom hälso- och sjukvården mellan vård och forskning, dels ur ett sekretessperspektiv, dels från ett dataskydds- perspektiv. Utredningens analys av dessa frågor berörs i avsnitt 15.7.
605
Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning SOU 2023:76
15.2Olika typer av författningsförslag
Utredningen har övervägt olika typer av författningsförslag i syfte att skapa utökade möjligheter till vidareanvändning av hälsodata för forskningsändamålet. Utredningen redogör i detta avsnitt för en fri- stående ändring av offentlighets- och sekretesslagen (2009:400), för- kortad OSL, införande av forskning som ändamål i PDL och pseudo- nymisering som skyddsåtgärd vid utlämnande till klinisk forskning.
15.2.1Fristående ändring i offentlighets- och sekretesslagen
Bedömning: Utredningen anser inte att en fristående ändring av sekretesskyddet i offentlighets- och sekretesslagen går att motivera ur integritetssynpunkt. En sådan ändring förutsätter möjlighet att motsätta sig att uppgifter lämnas ut till klinisk forskning. Detta kräver ny infrastruktur, till exempel inom ramen för en nationell datahubb.
Ett alternativ för att skapa utökade möjligheter till vidareanvändning av hälsodata för forskningsändamålet skulle kunna vara att införa en bredare bestämmelse om lägre sekretesskydd för uppgifter som om- fattas av hälso- och sjukvårdssekretess enligt 25 kap. 1 § OSL när dessa lämnas ut för ändamålet klinisk forskning.
Exempel på en sådan typ av bestämmelse, som har ett begränsat tillämpningsområde, finns i dag i 25 kap. 11 § 5 OSL. Bestämmelsens skaderekvisit – ”om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men” – medför en presumtion för att uppgifter ska lämnas ut till forskning. Bestämmelsen möjliggör ett mer schabloniserat utlämnande till bland annat forskning mellan myndigheter inom kommuner eller regioner.
Ett alternativ kan vara att införa en bestämmelse med presumtion för utlämnande med ett bredare tillämpningsområde än 25 kap. 11 § 5 OSL. Den skulle till exempel kunna omfatta all klinisk forskning som är godkänd enligt de etiska regelverk som finns för bedrivande av forskning. Dessa utgörs numera av lag (2003:460) om etikpröv- ning avseende människor, förkortad etikprövningslagen (EPL), Europa- parlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om upphävande
606
SOU 2023:76 Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
av direktiv 2001/20/EG, förkortad CTR, Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicin- tekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upp- hävande av rådets direktiv 90/385/EEG och 93/42/EEG, förkortad MDR, och Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitrodiagno- stik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU, förkortad IVDR. För att vara bredare i sitt tillämpningsområde avseende enklare tillgång till hälsodata för forsk- ning, skulle bestämmelsen omfatta både forskning som föregås av samtycke till att delta i forskning och forskning som sker utan sam- tycke, framför allt observationsstudier och registerstudier. En fördel med en sådan bestämmelse är att mer forskning omfattas av enklare möjligheter till tillgång till hälsodata från hälso- och sjukvården.
Någon form av integritetshöjande åtgärd krävs enligt utredningens mening för att kunna motivera ett sådant lägre sekretesskydd. Detta gäller framför allt forskning som den enskilde inte har vetskap om att hens uppgifter ingår i.
Nedan framgår att utredningens bedömning är att krav på pseudo- nymisering av uppgifter som lämnas ut till klinisk forskning inte är ett lämpligt krav på skyddsåtgärd.
Däremot anser utredningen att det faktum att den enskilde mot- sätter sig utlämnande till forskningen kunna vara en sådan skyddsåt- gärd. Vid en tolkning av sekretessbestämmelsen, skulle utrymmet för motsättande kunna ligga i att det då ”kan antas” att den enskilde lider men om ett utlämnande sker. För att denna skyddsåtgärd ska kunna vara verkningsfull i praktiken, särskilt i situationer där forsk- ning sker utan samtycke, krävs det enligt utredningens bedömning fungerande information till de registrerade och en infrastruktur som ger praktiska möjligheter att utöva rätten att motsätta sig. Utred- ningen gör bedömning att en sådan infrastruktur inte existerar i dag. I kapitel
Både kraven på godkännande enligt de etiska regelverken samt möjligheten att motsätta sig behöver enligt utredningens mening vara tydligt i lagstiftningen. Utredningen har svårt att se att kravet på
607
Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning SOU 2023:76
transparens är uppfyllt med mindre än att dessa villkor och möjlig- heter uttryckligen framgår av lagtexten. En sådan bestämmelse skulle skilja sig betydligt från utformningen av befintliga sekretessbestäm- melser i OSL. Från lagteknisk synvinkel anser utredningen att annan kompletterande lagstiftningen som tar sikte på integritetsskyddet är en lämpligare lösning. Det är i linje med detta som utredningen läm- nar sina förslag på enklare tillgång till hälsodata för klinisk forskning.
Det behöver också enligt utredningens mening noga övervägas om en regel med svagare sekretesskydd kan gälla i förhållande till privata aktörer och i så fall vilka ytterligare skyddsåtgärder som kan behövas för sådan vidareanvändning. I dag gäller att sekretessen enligt 25 kap. 1 § OSL följer med enligt 11 kap. 3 § OSL när uppgifter läm- nas till myndigheter och organ som omfattas av sekretess enligt OSL, alternativt att ett starkare sekretesskydd gäller på mottagarsidan, se avsnitt 17.3. Så är inte fallet vid utlämnande till privata företag. Ur detta perspektiv anser utredningen att Europaparlamentets och Rådets förordning om ett europeiskt hälsodataområde, COM(2022) 197 final av den 3 maj 2022, förkortad förslaget till EHDS, bör inväntas. Som en följd av detta kan infrastruktur som möjliggöra säkrare datadelning bli nödvändigt att etablera i Sverige. Det kan också övervägas om lag- stadgad tystnadsplikt kan och bör införas för aktörer som har etiskt godkännande enligt EPL eller motsvarande enligt CTR, MDR och IVDR, men som inte omfattas av sekretess enligt OSL.
15.2.2Införande av forskning som ändamål i patientdatalagen
Bedömning: Det är inte lämpligt att införa forskning som ett ända- mål i PDL.
PDL gäller vårdgivares behandling av personuppgifter inom hälso- och sjukvården (1 kap. 1 § PDL). Forskning som bedrivs inom hälso- och sjukvården omfattas inte av PDL:s tillämpningsområde och finns inte heller uppräknat som ändamål i lagen (jämför 2 kap. 4 § PDL). Utredningen har övervägt om det är lämpligt att införa forskning som ett ändamål i PDL. Utredningens uppfattning är att så inte är fallet.
Först det första skulle PDL:s tillämpningsområde enligt utred- ningens bedömning behöva utvidgas om forskning infördes som ända- mål i lagen på så sätt att även verksamhet inom forskning omfattades.
608
SOU 2023:76 Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
Detta skulle i sig vara en stor förändring av lagens grundläggande karaktär.
Frågan är vidare vilka aktörer som skulle omfattas. I dag ska PDL tillämpas av vårdgivare. PDL gäller över huvud taget inte universitet eller högskolor, vilka är centrala aktörer inom den kliniska forsk- ningen. Inom ramen för utredningens arbete med att ringa in en lämp- lig krets aktörer för utredningens förslag om enklare tillgång till hälso- data för klinisk forskning har utredningen förstått att det inte är lämpligt att skapa olika rättsliga förutsättningar för å ena sidan regio- ner som bedriver klinisk forskning och å andra sidan universitet och högskolor som bedriver klinisk forskning med avseende på tillgången till hälsodata för klinisk forskning. I linje med detta skulle även uni- versitet och högskolor som bedriver klinisk forskning behöva om- fattas av PDL med avseende på ändamålet klinisk forskning. PDL skulle då helt ändra karaktär och det skulle även framstå som främ- mande från de statliga myndigheternas sida.
En ytterligare fråga är vilka delar av övriga PDL som skulle till- lämpas på forskningen. Hela PDL är utformad utifrån hälso- och sjukvårdens behov och förutsättningar. Dessa skiljer sig i stora delar från forskningens förutsättningar och behov. Det skulle vara ett mycket omfattande arbete att anpassa PDL:s regler efter forskningen. Detta skulle snarare innebära att klinisk forskning får en kompletterande registerförfattning, något som saknas i dag. Detta anser utredningen är en mycket stor fråga som behöver övervägas i en egen utredning.
Utredningen vill framhålla att det från integritetsperspektiv inte är möjligt att motivera användande av samma behörighet och befogen- hetsregler för klinisk forskning som gäller för vård, vilket är något som är efterfrågat inom hälso- och sjukvården, se vidare avsnitt 15.5.1.
15.2.3Pseudonymisering som skyddsåtgärd
Bedömning: Utredningen gör bedömningen att ett krav på pseu- donymisering eller annat likvärdigt skydd inte är en lämplig skydds- åtgärd vid vidareanvändning för klinisk forskning kopplat till ut- redningens författningsförslag.
609
Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning SOU 2023:76
Utredningen har övervägt om ett krav på pseudonymisering kan vara en möjlig skyddsåtgärd kopplat till förslagen om regler om förenk- lade möjligheter för vidareanvändning av hälsodata för klinisk forsk- ning. Utredningen har lyft frågan med myndigheter och aktörer inom forskningen, som alla ser utmaningar med ett sådant krav. Det synes framför allt vara när hälsodata begärs ut eller behöver hanteras med utgångspunkt i enskilda individer. Utredningen anser att ett krav på pseudonymisering i sådana situationer inte är en lämplig skydds- åtgärd vid vidareanvändning för klinisk forskning. Utredningens över- vägande i denna fråga följer nedan.
Vissa utlämnande i dag sker på basis av att den som begär ut anger personnummer och det är det man söker på i sjukvårdens system. Inom den kliniska forskningen kan det också finnas behov av att ha direktidentifierbara uppgifter för att syftet med forskningen ska kunna uppfyllas. Utredningen noterar att i sammanhang där pseudonymi- sering övervägts kopplat till utlämnande för forskning har också för- slag lämnats på undantag, se promemoria i En långsiktig reglering av forskningsdatabaser, dnr U2022/04089. Enligt utredningens bedöm- ning riskerar ett undantag dock att urholka huvudregeln. Så har till exempel skett avseende regeln i 7 kap. 8 § andra stycket PDL avse- ende behandling av personnummer och namn i regionala eller natio- nella kvalitetsregister. Enligt bestämmelsen är utgångspunkten att kvalitetsregister inte ska innehålla namn eller personnummer, men i praktiken är detta mycket vanligt.
Utredningen anser mot denna bakgrund att det inte är lämpligt med ett formellt krav som förespeglar ett skydd som inte efterlevs i praktiken.
Ett krav på pseudonymisering behöver enligt utredningens mening vara verkningsfullt och endast föreskrivas där det kan tillämpas. De situa- tioner som utredningen lämnar förslag på är inte sådana situationer.
Däremot skulle pseudonymisering kunna övervägas i situationer där exempelvis den kliniska forskningen utgår ifrån hela patientgrupper eller på andra sätt avgränsade populationer. Utredningen konstaterar även att i förslaget till EHDS finns pseudonymisering av
610
SOU 2023:76 Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
15.3Förenklad tillgång till personuppgifter för klinisk forskning
Förslag: Författningsförslagen avseende ändamålet klinisk forsk- ning ska avse enklare tillgång till personuppgifter från hälso- och sjukvården.
Utredningens författningsförslag avser att förenkla tillgången till per- sonuppgifter från hälso- och sjukvården för ändamålet klinisk forsk- ning och minska den administrativa bördan för utlämnande myn- digheter.
Redan i dag sker omfattande utlämnande av hälsodata från hälso- och sjukvården för klinisk forskning. Detta sker enligt allmänna regler om begäran om att få ta del av allmänna handlingar eller reglerna om uppgiftsutlämnande mellan myndigheter (se 6 kap. 5 § OSL). Upp- gifter från hälso- och sjukvården omfattas som huvudregel av sekre- tess och en menprövning ska därför göras innan ett utlämnande kan ske. Enligt 25 kap. 1 § OSL gäller ett omvänt skaderekvisit, vilket ställer höga krav på menprövningen. Endast inom och mellan myndigheter inom samma region finns en presumtion för utlämnande (se 25 kap. 11 § 5 OSL). Avskiljande av uppgifter och menprövning är ett om- fattande arbete inom de myndigheter som lämnar ut mycket hälso- data till forskning, se kapitel 12. Vidare framstår tillgången till upp- gifterna för forskare, särskilt de som också är anställa inom hälso- och sjukvården, som onödigt krånglig.
15.3.1Befintliga regler avseende formerna för utlämnande
Enligt tryckfrihetsförordningen (1949:105), förkortad TF, har den som begär ut en allmän handling som får lämnas ut, rätt att få ta del av handlingen på stället på ett sådant sätt att den kan läsas, avlyssnas eller uppfattas på annat sätt (2 kap. 15 § första stycket TF). Det finns även bestämmelser om rätt att få en kopia av handlingen (2 kap. 16 § första stycket TF). TF innehåller inga bestämmelser om digitalt utlämnande. Inte heller 6 kap. 5 § OSL som reglerar uppgiftsskyldighet mellan myn- digheter innehåller några bestämmelser vad gäller formen för utläm- nandet. Det finns i dessa regelverk inget som i sig hindrar att ett ut- lämnande sker digitalt.
611
Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning SOU 2023:76
Av 5 kap. 6 § PDL framgår att om en personuppgift får lämnas ut, kan det ske på medium för automatiserad behandling, så kallat
Enligt 5 kap. 4 § PDL är utlämnande genom direktåtkomst till per- sonuppgifter endast tillåtet i den utsträckning som anges i lag eller för- ordning. Det finns i dag inga regler som tillåter utlämnande genom direktåtkomst från hälso- och sjukvården till klinisk forskning.
15.3.2Behovet av nya regler om tillgängliggörande
Det är alltså i dag i och för sig tillåtet för vårdgivare att göra andra elektroniska utlämnanden än utlämnande genom direktåtkomst till klinisk forskning. Detta görs också till forskning, bland annat genom att uppgifter laddas ner på ett usb och lämnas ut. Denna möjlighet tar dock inte bort det stora administrativa arbete som det manuella avskiljandet av uppgifter för varje registrerad som utlämnande myn- digheter gör i dag. Det innebär också informationssäkerhetsrisker att hantera känsliga data genom utlämnande på papper eller usb.
Befintlig regel i PDL om
Även om utvecklingen går framåt, uppfattar utredningen att de tekniska möjligheterna inte finns för att utifrån dagens patientjour- nalsystem avskilja exakt de personuppgifter som är relevanta för ett enskilt forskningsprojekt enbart eller ens i huvudsak på teknisk väg.
612
SOU 2023:76 Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
Beroende på vilka
Det behöver därför vara tillåtet att i digital form tillgängliggöra mer information om varje registrerad patient än vad som kommer behövas för det aktuella forskningsprojektet.
Tillgång till hälsodata genom en form av direktåtkomst eller annat elektroniskt utlämnande skulle enligt utredningens mening medföra både säkrare och enklare utlämnanden av hälsodata från hälso- och sjukvården till klinisk forskning. Åtkomst till hälsodata på detta sätt skulle också förenkla för forskare.
Ett regelverk som medför att menprövning inte heller behöver göras inför ett utlämnande skulle också innebära betydande förenk- lingar för utlämnande myndigheter. Borttagande av menprövning behöver kompenseras med andra skyddsåtgärder för den personliga integriteten. Utredningen föreslår ett antal villkor och skyddsåtgärder som ska gälla för den förenklade tillgången. I stället för att göra en menprövning inför utlämnande prövas om lagens villkor är uppfyllda, vilket utredningen bedömer är en enklare typ av prövning.
Utredningen anser därför att klinisk forskning ska omfattas av nya regler om tillgängliggörande. Dessa bör avse möjlighet att tillgäng- liggöra personuppgifter genom begränsad direktåtkomst eller annat elektroniskt utlämnande och vara förenat med en sekretessbrytande grund, kombinerat med villkor och skyddsåtgärder för den person- liga integriteten
15.3.3Vidareanvändning enligt utredningens förslag ska vara frivilligt
Förslag: Det ska vara frivilligt att tillämpa de föreslagna reglerna om tillgängliggörande för klinisk forskning.
Utredningen har övervägt om de föreslagna reglerna ska vara frivilliga att tillämpa eller om det ska vara en skyldighet. En skyldighet skulle inskränka det kommunala självstyret.
613
Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning SOU 2023:76
Utredningen anser att reglerna bör vara frivilliga för regionala myndigheter som bedriver hälso- och sjukvård. Det är främst aktö- rer inom hälso- och sjukvård som har efterfrågat enklare sätt att hantera utlämnande för forskning. Utredningen bedömer att det hos samtliga inblandade aktörer borde finnas ett starkt incitament att använda de föreslagna reglerna. Utredningen anser inte att det skulle vara en proportionerlig inskränkning i det kommunala självstyret att göra reglerna tvingande. En anledning till det är att det sannolikt skulle innebära ett allt för trubbigt system. Utredningens bedömning är be- hovet av ett förenklat utlämnande varierar mellan verksamheter inom hälso- och sjukvården. Utredningen bedömer därför att det är mer lämpligt att det blir upp till regionerna att själva göra en bedömning av när och för vilka verksamheter det förenklade utlämnande hade genererat besparingar. Reglerna bygger också på att de regionala myn- digheterna och lärosätena hittar praktiska lösningar inom både forsk- ningen och hälso- och sjukvården som fungerar för dem båda. Detta bedömer utredningen behöver få utvecklas under frivilliga former.
Det finns en risk att det uppstår lokala lösningar. Utredningen ser dock inte att det skulle leda till några betydande problem och be- dömer därför att en tvingande reglering och de negativa effekter de skulle föra med sig inte skulle stå i proportion till nyttan och inte heller motivera den inskränkning i det kommunala självstyret som det skulle innebära.
Det går att argumentera för att göra bestämmelserna i den nya lagen tvingande för att finansieringsprincipen inte ska bli tillämplig. Utredningen har inte vägt in detta i valet mellan frivillighet och tving- ande regler. Övervägandena som utredningen har tagit ställning till redogörs för ovan. Utredningen bedömer vidare att kostnaderna för att inrätta denna typ av system inte behöver vara kostsam och därför skulle det inte innebära några större kostnader för staten, vilket var ett av skälen till att utredningen inte bedömt att en eventuell vilja att undvika finansieringsprincipen var värd att beakta. Därutöver tillför regeringen miljarder till regionerna (prop. 2023/24:1 Utgiftsområde 9, s. 43) för att stötta regionernas ekonomi. Staten skulle då investera mindre om pengar skulle avsättas för att bekosta dessa system och få ut en större besparingseffekt i regionen än de medel som de avsatte. Det är dock enligt utredningen inte lämpligt att staten skulle bryta upp exempelvis sektorsbidraget och överpröva regionernas prioriteringar i så små frågor som denna. Mot bakgrund av detta har
614
SOU 2023:76 Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
utredningen bedömt att det inte funnits anledning att i denna del beakta finansieringsprincipen i valet av frivillig eller tvingande lag- stiftning.
Det kommer alltså att anges att bestämmelserna i den nya lagen ”får” tillämpas vid vidareanvändning. Vidareanvändning i generell mening kan även ske på andra sätt än genom tillämpning av den nya lagen. Utlämnande kan även ske enligt allmänna regler om begäran om allmänna handlingar eller uppgiftsutlämnande mellan myndig- heter. Sker tillgängliggörande enligt lagen, gäller dock lagens villkor för detta.
15.3.4Regler om förenklad tillgång är en del i en helhet
Utredningen är medveten om att förslagen som utredningen lämnar avseende klinisk forskning inte svarar upp mot alla de behov som finns (se kapitel 11 och
Förslagen går i linje med ambitionen att minska administrationen i vården
Regeringen har en uttalad ambition om att minska administrationen i vården (prop. 2023/24:1 Utgiftsområde 9, s. 45). Problemet med ökad administration har varit känd i många år och som utredningen beskrev i sin promemoria (se Bilaga 2) så har flera reformer snarare lett till ökad administration. Både föregående och nuvarande reger- ing har dock bara de senaste åren tillsatt en rad utredningar och tillfört reformmedel på hälsodata, vilka samtliga har goda möjligheter att minska administrationen i vården (se exempelvis Dir. 2022:98).
Vissa delar av administrationen är kopplade till vårdens system och processer, exempelvis utsökning av data, vilket framför allt är kopplat till primäranvändningen. Annan administration, så som menprövning är kopplad till vidareanvändning och kommer av juridiska krav. Admi- nistrationen som uppkommer i primäranvändningssteget utreds inom ramen för Utredningen om infrastruktur för hälsodata som natio-
615
Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning SOU 2023:76
nellt intresse (S 2022:10) och är inget som kommer beröras i denna utredning. Utredningen har därför fokuserat på det utredningen kunnat göra för att minska administrationen för vidareanvändningen. Utred- ningen har utöver behovet av att minska administrationen också för- sökt lämna förslag som går i linje med och har synergieffekter, dels med övriga satsningar som regeringen gör, dels med de bedömningar för fortsatt utredning som utredningen gör i kapitel
15.4På vilken normgivningsnivå ska regleringen ske?
Förslag: Reglering av enklare tillgång till personuppgifter från hälso- och sjukvården för ändamålet klinisk forskning ska ske i lag.
15.4.1Rättsliga utgångspunkter
Normgivningsmakten är enligt 8 kap. regeringsformen, förkortad RF, fördelad mellan riksdagen och regeringen. Med normgivnings- makten avses rätten att besluta rättsregler, det vill säga sådana regler som är bindande för enskilda och myndigheter och som gäller gene- rellt. Dessa regler kallas i RF för föreskrifter. Fördelningen av norm- givningsmakten mellan riksdagen och regeringen bygger på princi- pen att de centrala delarna av normgivningen ska ligga hos riksdagen (se Ds 2014:1 s. 9).
Riksdagens normgivningsområde
Det område där i första hand riksdagen har normgivningskompeten- sen kallas för riksdagens normgivningsområde eller det primära lag- området. Detta område regleras huvudsakligen i 8 kap. 2 § RF.
I 8 kap. 2 § första stycket 2 RF anges att föreskrifter ska med- delas genom lag om de avser förhållandet mellan enskilda och det all- männa under förutsättning att föreskrifterna gäller skyldigheter för enskilda eller i övrigt avser ingrepp i enskildas personliga eller ekono- miska förhållanden. Med ”ingrepp” åsyftas sådana åtgärder från norm- givarens sida som allmänt anses innebära inskränkningar i enskildas dittills varande handlingsfrihet, möjligheter att förfoga över egendom et cetera (prop. 1973:90 s. 210). Inrättande av personregister har inte
616
SOU 2023:76 Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
ansetts hänförligt till bestämmelser som kräver stöd i lag eller annan författning (se bland annat KU 1979/80:3y).
I 8 kap. 2 § första stycket 3 RF anges att föreskrifter ska med- delas genom lag om de avser grunderna för kommunernas organisa- tion och verksamhetsformer och för den kommunala beskattningen samt kommunernas befogenheter i övrigt och deras åligganden.
Den delen av det primära lagområdet där riksdagen inte kan be- myndiga regeringen att meddela föreskrifter, det vill säga inte kan delegera, brukar kallas det obligatoriska lagområdet. Den delen av det primära lagområdet där riksdagen genom delegering kan överlåta delar av sin normgivningskompetens till regeringen brukar kallas för det delegeringsbara området (se Ds 2014:1 s. 10). Detta område regle- ras i 8 kap.
I samband med att riksdagen bemyndigar regeringen att meddela föreskrifter i ett ämne kan riksdagen tillåta att regeringen i sin tur överlåter hela eller delar av denna normgivningskompetens till en förvaltningsmyndighet (se 8 kap. 10 § RF). Detta kallas subdeleger- ing (Ds 2014:1 s. 10).
Regeringens normgivningsområde
I 8 kap. 7 § RF finns de huvudsakliga bestämmelserna om det om- råde där regeringen utan delegering från riksdagen får meddela före- skrifter, det vill säga regeringens primärområde. Hit hör föreskrifter om verkställighet av lag samt föreskrifter som inte enligt grundlag ska meddelas av riksdagen, den så kallade restkompetensen.
Med verkställighetsföreskrifter avses i första hand tillämpnings- föreskrifter av administrativt slag. Dessutom avses föreskrifter som i materiellt hänseende ”fyller ut” en lag, även om lagen i och för sig skulle befinna sig inom det obligatoriska lagområdet. En förutsätt- ning är att den lagbestämmelse som ska kompletteras är så detaljerad att regleringen inte tillförs något väsentligt nytt genom den av reger- ingen beslutade föreskriften. I verkställighetsföreskrifter får det inte ingå sådant som kan uppfattas som en ny skyldighet för enskilda eller som ett nytt ingrepp i enskildas personliga eller ekonomiska för- hållanden (se Ds 2014:1 s. 11 och prop. 1973:90 s. 211).
617
Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning SOU 2023:76
Till restkompetensen hör sådana offentligrättsliga föreskrifter som inte rör förhållandet mellan enskilda och det allmänna utan avser de statliga myndigheternas organisation, arbetsuppgifter och inre verk- samhetsformer. Till restkompetensen hör också sådana föreskrifter som visserligen rör förhållandet mellan enskilda och det allmänna men som ur den enskildes synpunkt inte är betungande utan gynnande eller neutrala.
Av 8 kap. 11 § RF framgår att regeringen får delegera normgivnings- makten inom sitt primärområde till en myndighet under regeringen.
Grundläggande fri- och rättigheter
I 8 kap. 2 § andra stycket RF anges att det av andra bestämmelser i RF och av annan grundlag följer att föreskrifter av visst innehåll ska meddelas genom lag. En sådan bestämmelse finns i 2 kap. RF.
Enligt 2 kap. 6 § andra stycket RF är var och en gentemot det all- männa skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartlägg- ning av den enskildes personliga förhållanden.
Det skydd för den personliga integriteten som grundlagsbestäm- melsen innebär är inte absolut, utan kan under vissa förutsättningar begränsas med hänsyn till andra motstående intressen. En sådan begränsning får dock endast ske genom lag (se 2 kap. 20 § första stycket 2 RF). En närmare beskrivning av dessa bestämmelser finns i av- snitt 7.1.2 (Integritetsskydd som en grundläggande mänsklig rättighet).
15.4.2Regleringen bör ske i lag
Utredningens förslag om enklare tillgång till personuppgifter för kli- nisk forskning innebär att personuppgifter får göras tillgängliga genom begränsad direktåtkomst eller annat elektroniskt utlämnande. Ut- redningen föreslår att tillgången till personuppgifter enligt de nya reglerna får ske först efter att den registrerade har samtyckt till detta, se avsnitt 16.8.3. För barn gäller att vårdnadshavare lämnar samtycke till tillgången om vårdnadshavare också lämnar samtycke till att forsk- ning sker på barnet. För personer som inte endast tillfälligt saknar förmåga att ta ställning gäller att lagligen utsedd ställföreträdare läm- nar samtycke om denne även lämnar samtycke till forskningen. För
618
SOU 2023:76 Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
utrednings överväganden och förslag personer som inte kan samtycka, se avsnitt 16.8.4.
Utredning gör bedömningen att de föreslagna reglerna om enklare tillgång inte kan anses vara sådan art att de utgör ett ingrepp i en- skildas personliga eller ekonomiska förhållanden i den mening som avses i 8 kap. 2 § första stycket 2 RF. Utredningen föreslår att det ska vara frivilligt för regionala myndigheter inom hälso- och sjuk- vården att tillämpa de nya reglerna. De föreslagna reglerna utgör enligt utredningens bedömning därför inte ett åliggande i den mening som avses i 8 kap. 2 § första stycket 3 RF. Reglerna utgör inte heller en befogenhet enligt nämnda bestämmelse.
Med avseende på 2 kap. 6 § andra stycket RF gör utredningen följande överväganden. Den förenklade tillgången till personuppgif- ter för klinisk forskning medför ett intrång i den personliga integ- riteten. Utifrån att de uppgifter som tillgängliggörs utgörs av jour- nalinformation eller andra personuppgifter om den enskilde som finns inom hälso- och sjukvården och därmed kan vara av mycket känslig karaktär anser utredningen att intrånget kan vara betydande. Effekten av tillgängliggörandet är att regionala myndigheter och lärosäten som bedriver forskning får ett underlag med personuppgifter om enskilda som kan användas i forskningen. Detta kan medföra möjligheter till kartläggning av den enskildes personliga förhållanden. Intrånget sker dock inte utan den registrerades vetskap och föregås av samtycke. För personer som inte kan samtycka ges samtycke av vårdnadshavare eller lagligen utredda ställföreträdare. Utifrån detta kan det enligt ut- redningens mening diskuteras om de föreslagna reglerna innebär ett sådant intrång i den personliga integriteten att det faller under 2 kap. 6 andra stycket RF. Oavsett detta anser utredningen att de nya re- glerna bör införas i lag enligt vad som framgår nedan.
Utredningen noterar att konstitutionsutskottet i flera lagstift- ningsärenden som rört myndigheters behandling av personuppgifter framhållit att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag och att regeringen vid åtskilliga tillfällen har instämt i denna bedömning (prop. 2009/10 s. 183). Utredningen gör bedöm- ningen att förslagen avseende förenklad tillgång till personuppgifter för klinisk forskning inte avser tillskapande av register i en traditio- nell mening. De uttalande som regering och riksdag har gjort behöver
619
Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning SOU 2023:76
enligt utredningens mening dock kunna överföras till andra tekniska lösningar och kunna tjäna till ledning även där.
Utredningens förslag innebär att en avgränsad uppgiftsmängd som innehåller direkt identifierbara personuppgifter får göras tillgänglig under en begränsad tidsperiod. Uppgiftsmängden kan innehålla ett mer eller mindre stort antal individer, beroende på omfattningen av forskningsprojektet och hur många som har samtyckt till att person- uppgifter tillgängliggörs enligt det förenklade sättet. Tillgängliggör- andet enligt utredningens förslag kan ske samtidigt för flera forsknings- projekt och kan därmed för en regional myndighet inom hälso- och sjukvården som tillämpar reglerna omfatta ett inte obetydligt antal individer. Under den tidsperiod som uppgifterna är tillgängliga kom- mer det vara möjligt att logga in, läsa och ladda ner de uppgifter som kan antas behövas för forskningen. En tillämpning av reglerna med- för enligt utredningens uppfattning att en ny tillfällig uppgiftsmängd skapas och ges tillgång till på ett sätt som inte är tillåtet i dag. För uppgiftsmängden gäller en sekretessbrytande grund. Utredningen konstaterar vidare att det rör som känsliga personuppgifter om hälsa. I vissa fall kan det röra sig om mycket integritetskänslig information. För vissa personkategorier är det inte den registrerade själv som samtycker till tillgängliggörandet. Utredningen anser att det ligger i linje med vad regering och riksdag har uttalat att föreslagna regler införs i lag. Utredningen anser även att det är lämpligt utifrån ett förutsebarhetsperspektiv. Utredningen har även jämfört med en regler- ing i PDL som begränsar användandet av direktåtkomst till person- uppgifter som behandlas inom hälso- och sjukvården. I bestämmel- sen anges att utlämnanden genom direktåtkomst till personuppgifter endast är tillåten i den utsträckning som anges i lag eller förordning (5 kap. 4 § PDL). Bestämmelsen måste läsas i sitt sammanhang och gäller för utlämnanden av personuppgifter som görs inom PDL:s tillämpningsområde (för ytterligare beskrivning av tillämpningsom- rådet se avsnitt 15.6.1 och avsnitt 16.5.3). Skälet till att begränsningen fördes in var att direktåtkomst ansågs utgöra en särskild integri- tetskänslig form av elektroniskt utlämnande och det var därför önsk- värt att det klargjordes i vilka fall direktåtkomst kunde vara tillåtet (prop. 2007/08:126 s. 76 och 244). Utredningen konstaterar att be- dömningen går i linje med utredningens uppfattning om att föreslagna regler införs i lag.
620
SOU 2023:76 Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
15.5Den övergripande lagtekniska utformningen
Förslag: Förenklad tillgång till personuppgifter från hälso- och sjukvården för ändamålet klinisk forskning ska regleras i en ny lag.
Ovan har framgått att reglering av förenklad tillgång till personupp- gifter för ändamålet klinisk forskning ska ske i lag. Frågan är hur den lagtekniska utformningen av de nya reglerna ska se ut. Det finns olika alternativ för detta. Ett alternativ är att komplettera någon befintlig lag. Den lag som utredningen i så fall bedömer kan vara aktuell är PDL. Utredningen noterar att det för forskning inte finns någon motsvarande generell kompletterande lagstiftning till EU:s dataskyddförordning Ett annat alternativ är en helt ny lag. Utred- ningens överväganden kring den övergripande lagtekniska utform- ningen redogörs för nedan.
15.5.1Ändring av patientdatalagen
Utredningen resonerar i avsnitt 15.2.2 generellt kring införandet av forskning som ändamål i PDL. Utredningen anser inte att det skulle vara lämpligt. Övervägandena kring PDL i detta avsnitt är kopplade till utredningens specifika författningsförslag och är mer av lagtek- nisk karaktär. Vissa aspekter som belyses i avsnitt 15.2.2 återkom- mer även nedan.
Övervägandena om lämpligheten i att placera utredningens för- slag om förenklade regler för vidareanvändning för klinisk forskning i PDL behöver utgå ifrån vad som är PDL:s nuvarande tillämpnings- område.
PDL är tillämplig på vårdgivares behandling av personuppgifter inom hälso- och sjukvården (1 kap. 1 § PDL).
Med vårdgivare avses statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare).
Med hälso- och sjukvård avses verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk
621
Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning SOU 2023:76
vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integ- ritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patien- ter, lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska in- jektionsbehandlingar samt den upphävda lagen (1944:133) om kastre- ring. PDL omfattar inte i dag verksamhet enligt EPL, CTR, MDR och IVDR.
PDL reglerar inte personuppgiftsbehandling inom forskning, annat än när forskningen är ett led i vården, se vidare avsnitt 15.6. Den per- sonuppgiftsbehandling som sker enligt PDL, när forskning är ett led i vården, utförs för vårdändamålet och av den personuppgiftsansvarige i egenskap av vårdgivare, inte av den personuppgiftsansvarige i egenskap av ansvarig för forskningen eller för forskningsändamålet. Personupp- giftsbehandling som endast sker i forskningssyfte regleras inte av PDL. Det är dessutom utredningens bedömning att den stora merparten av den kliniska forskning som förekommer inom samma myndighet som bedriver hälso- och sjukvård, inte är ett led i vården, se avsnitt 15.6.
Utredningens förslag om vidareanvändning för klinisk forskning avser enklare tillgång till personuppgifter som finns inom hälso- och sjukvården och som där omfattas av PDL. Utredningen föreslår att tillgång till personuppgifter kan ges genom så kallad begränsad direkt- åtkomst eller genom att elektroniskt utlämnande, se avsnitt 16.7.2. I PDL finns i dag vissa bestämmelser om direktåtkomst. Utredningen har övervägt om det skulle vara lämpligt att införa bestämmelserna om begränsad direktåtkomst eller annat elektroniskt utlämnande av personuppgifter och tillämpningsområdet på datahållarsidan, se av- snitt 16.4, i PDL. Från datahållarperspektiv skulle det kunna finnas en viss logik i detta. Utredningen konstaterar dock att ändamålet för befintliga regler i PDL om direktåtkomst är vård. Det finns även redan i dag regler om direktåtkomst i annan lag än PDL. Enligt SVOD får vård- och omsorgsgivare, genom direktåtkomst eller annat elek- troniskt utlämnande, göra personuppgifter tillgängliga för varandra. Se vidare om utredningens bedömning om den nya lagens förhål- lande till PDL, avsnitt 16.5.3.
Vidareanvändning enligt utredningens förslag innebär, enkelt ut- tryckt, att det utförs personuppgiftsbehandling för ändamålet klinisk forskning av forskare i stället för ändamålet vård av hälso- och sjuk- vården. På dataanvändarsidan enligt utredningens förslag finns regio-
622
SOU 2023:76 Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
nala myndigheter som bedriver forskning samt lärosäten som bedriver forskning. Utredningen föreslår också vissa regler som gäller för dessa aktörer när de behandlar personuppgifter som tillgängliggörs av regio- nala myndigheter som bedriver hälso- och sjukvård. Att införa dessa regler i PDL skulle enligt utredningens bedömning innebära att PDL:s tillämpningsområde behöver utökas. PDL skulle behöva omfatta viss personuppgiftsbehandling som utförs av andra än vårdgivare, i annan verksamhet än hälso- och sjukvård. Utredningen anser av flera skäl att detta inte är lämpligt.
För det första skulle helt nya aktörer i form av statliga universitet, statliga högskolor och enskilda utbildningsanordnare behöva börja tillämpa regler i PDL. Utredningen gör bedömning att detta skulle framstå som främmande för dessa aktörer. Att reglera personupp- giftsbehandling inom andra självständiga verksamhetsgrenar hos en vårdgivare ligger inte heller i linje med det grundläggande syftet med lagen som är att reglera behandling av personuppgifter i vårdgivares kärnverksamhet som avser tillhandahållande av hälso- och sjukvård inklusive tandvård åt patienter (se prop. 2007/08:126, s. 46).
Att dessutom införa detaljerade regler för en viss typ av utläm- nande ligger inte heller i linje med hur PDL i dag är utformad. Det finns regler om för vilka ändamål utlämnande får ske. Regler som direktåtkomst finns mellan myndigheter inom en region eller kom- mun som bedriver hälso- och sjukvård (jämför 5 kap. 4 § PDL) och i förhållande till enskild med avseende på vårddokumentation (5 kap. 5 § PDL). Direktåtkomst inom vårdgivare hör enligt utredningens uppfattning till primäranvändning. Det vore enligt utredningens mening väsensskilt att i PDL lägga in de detaljerade regler för utlämnande till klinisk forskning som utredningen föreslår. Det skulle också göra det ännu otydligare för forskare när PDL är tillämplig och inte, vilket redan i dag kan uppfattas som svårt i praktiken. Ett alternativ skulle då vara att ha vissa bestämmelser i PDL och andra i en ny lag. Utred- ningen anser inte att det är ett lämpligt alternativ, eftersom det är en klar fördel ur ett tillämparperspektiv att ha bestämmelserna samlade.
Utredningens anser att det finns starka skäl som talar för att det ska vara så tydligt som möjligt. Utredningen tar också en ansats att förtydliga forskning som ett led i vården för att ytterligare skapa en tydlighet, se nedan avsnitt 15.7.
Enligt utredningens bedömning finns i dag ingen lämplig lag för att placera utredningens förslag i, avseende vidareanvändning för klinisk
623
Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning SOU 2023:76
forskning. Även i beaktande av intresset att använda befintliga lagar i så stor utsträckning som möjligt, då ytterligare författningar i sig bidrar till ökad komplexitet, ser utredningen ingen sådan lämplig möjlighet.
Ändamålen vård och forskning behöver hållas isär
Utredningen har fått till sig önskemålet om att vårdpersonal som också forskar ska kunna använda den elektroniska åtkomsten eller direktåtkomst som finns till patientuppgifter för vårdändamål också för forskningsändamålet. Från vårdpersonalens perspektiv kan det framstå som ologiskt att ena stunden kunna logga in i patientjournal- systemet och ta del av uppgifter för vården av patienten, men andra stunden inte få göra det för forskning, trots att det handlar om samma patient och samma uppgifter.
Utredningen har förståelse för att detta, från ett praktiskt per- spektiv, framstår som orimligt och onödigt krångligt. Utredningen lämnar också förslag som är avsedda att förenkla tillgången för forsk- ning. Dessa förslag bygger dock inte på att vårdpersonal får använda den elektroniska åtkomsten de har för vårdändamålet även för åt- komst i forskningssyfte. Utredningen har gjort följande övervägan- den kopplat till detta.
Den interna behörigheten enligt 4 kap. 2 § PDL samt regelverket för sammanhållen vård- och omsorgsdokumentation är utformat för ändamålet vård. Det skulle enligt utredningens bedömning vara helt andra hänsyn som behöver beaktas om dessa regelverk också skulle användas för forskning. Det innebär att villkor för till exempel till- gängliggörande och behörighetsstyrning skulle behöva anpassas spe- cifikt utifrån forskningsändamålet. Utredningen ser inte att det är proportionerligt att ur integritetshänseende motivera en så pass bred behörighet för forskningsändamålet som går att göra för vårdända- målet. Dessutom finns en yttre sekretessgräns mellan hälso- och sjukvårdsverksamheten och forskningsverksamheten, se avsnitt 15.7.
En ytterligare aspekt är att utredningen inte anser det lämpligt att införa ändamålet forskning som ett ändamål i PDL, se avsnitt 15.2.2. Lagens tillämpningsområde är ”hälso- och sjukvården” och lagen är utformad utifrån den verksamheten. Forskning bedrivs inte på ett sätt som gör att PDL:s bestämmelser är ändamålsenliga.
624
SOU 2023:76 Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
Sammanfattningsvis, det som från ett praktiskt perspektiv kanske kan framstå som en ”bra och enkel” lösning på fråga om tillgång till personuppgifter för forskning, är dels enligt utredningens mening juridiskt sett inte möjligt, dels inte heller ur ett bredare perspektiv lämpligt ur ett forskningsperspektiv.
15.5.2En ny lag
Utredningens bedömning är att det inte finns någon befintlig lag som är lämplig för de nya regler om vidareanvändning av person- uppgifter för klinisk forskning som utredningen föreslår. Utredningen anser därför att det behövs en ny lag för de regler som utredningen föreslår. En fördel med ny lag är också att den kan utformas för just vidareanvändning och skulle kunna byggas på. Utgångspunkten för utredningens förslag till ny lag är vidareanvändningen och ändamålet klinisk forskning. Utredningen har gjort avgränsningar avseende vilka aktörer och ändamål som författningsförslag nu lämnas på, se avsnitt 2.6. Syftet är dock att det ska kunna gå att bygga vidare med exempelvis fler aktörer och datamängder på datahållarsidan, såsom omsorgsgivare. Utredningen ser även en möjlighet att utreda om även annan klinisk forskning än sådan som bygger på samtycke till att delta i forskningen kan få någon typ av förenklade regler. Utred- ningen ser då att lagstiftningen bör ta utgångspunkt i vidareanvänd- ningen, snarare än datahållarna och dataanvändarna och deras befintliga kompletterande regelverk för personuppgiftsbehandling. En ny författ- ning ger lagteknisk struktur som utgår från vidareanvändning. Ur detta perspektiv framstår det som mest ändamålsenligt att placera regler som rör vidareanvändning för en del av forskningen i en separat författ- ning, som kan byggas på.
Vid en sammantagen bedömning har utredningen landat i att det mest ändamålsenliga är att placera regler om vidareanvändning av per- sonuppgifter för ändamålet klinisk forskning i en ny författning.
625
Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning SOU 2023:76
15.6Forskning som ett led i vården och patientnära forskning
Bedömning: Med forskning som ett led i vården avses forskning som utgör en del av hälso- och sjukvården eller annan medicinsk verksamhet enligt 25 kap. 1 § OSL. Forskning är ett led i vården till den del den bedrivs organisatoriskt integrerat med hälso- och sjukvårdsverksamhet och dokumentation för både vård- och forsk- ningsändamålen sker samtidigt.
Med patientnära forskning avses forskning som sker parallellt med hälso- och sjukvårdsverksamheten utan att vara organisato- riskt integrerade med varandra. Dokumentation sker vid olika till- fällen.
Utredningens förslag om nya regler för förenklad tillgång till per- sonuppgifter för klinisk forskning avser bland annat att överbrygga de yttre sekretessgränser som finns. Yttre sekretessgränser finns mellan myndigheter både inom och mellan vårdgivare. Inom en myndighet som bedriver hälso- och sjukvård finns också en yttre sekretessgräns mellan hälso- och sjukvård och forskning, om forskningen är en självständig verksamhetsgren. Frågan om forskningen är en själv- ständig verksamhetsgren har alltså betydelse för i vilka situationer det blir aktuellt att tillämpa de regler som utredningen lämnar förslag på. Utredningen har från aktörer också blivit uppmärksammad på att detta är en oklar rättslig fråga och att det medför tillämpningspro- blem i praktiken. Utredningen har mot denna bakgrund utrett frå- gan närmare.
En närliggande, men enligt utredningen, formellt sett annan fråga, är PDL:s tillämplighet vid så kallad patientnära forskning. Vad som menas med patientnära forskning och hur detta begrepp förhåller sig till ”forskning som ett led i vården” är också frågor som utretts.
15.6.1De övergripande rättsliga frågeställningarna
Utredningen uppfattar att det finns två huvudsakliga rättsliga per- spektiv när det handlar om vård och forskning inom en myndighet. Det ena är sekretessperspektivet som innefattar frågan om när vård och forskning är självständiga verksamhetsgrenar. Mellan självstän-
626
SOU 2023:76 Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
diga verksamhetsgrenar finns en ”yttre” sekretessgräns inom myn- digheten. Om sekretessreglerade uppgifter ska från den ena självstän- diga verksamhetsgrenen till den andra, krävs ett formellt utlämnande som föregås av en sekretessprövning. Om sekretessreglerade upp- gifter ska från hälso- och sjukvårdsverksamhet inom en vårdgivande myndighet till forskningsverksamhet inom samma myndighet, och dessa verksamheter utgör självständiga verksamhetsgrenar i förhål- lande till varandra, ska alltså en sekretessprövning göras innan ett utlämnande kan ske. Om forskningen däremot inte är en självstän- digverksamhetsgren i förhållande till vården, behövs inte det. Den sekretessprövning som görs när uppgifter ska lämnas från vård till forskning som är en självständig verksamhetsgren går typiskt sett ut på att pröva om ett utlämnade innebär men enligt 25 kap. 1 § OSL.
Det andra huvudsakliga rättsliga perspektivet är det dataskydds- rättsliga. Från dataskyddsperspektiv gäller bland annat att en myndighet behöver hålla reda på för vilket ändamål personuppgifter behandlas. Detta gäller oavsett inom vilken eventuell självständig verksamhets- gren som behandlingen sker.
Inom en vårdgivare gäller PDL som kompletterande lagstiftning till EU:s dataskyddsförordning vid vårdgivares personuppgiftsbehand- ling inom hälso- och sjukvården. PDL gäller inte för personuppgifts- behandling inom forskning.
15.6.2Vård och forskning som självständiga verksamhetsgrenar enligt sekretesslagstiftningen
Utgångspunkten är alltså att sekretess gäller mellan olika verksam- hetsgrenar inom en myndighet när de är att betrakta som självstän- diga i förhållande till varandra (8 kap. 2 § OSL).
I propositionen till PDL uttalas att den så kallade patientnära eller kliniska forskningen (se vidare nedan om dessa begrepp) hos vård- givare inte sällan bedrivs integrerat med patientvården. Forskning respektive patientvård kan emellertid också utgöra självständiga verk- samhetsgrenar i förhållande till varandra (prop. 2007/08:126, s. 50).
När frågan om självständiga verksamhetsgrenar utvecklas i pro- positionen används formuleringen forskning som ett led i vården. Med detta avses forskning som ingår i samma verksamhetsgren som hälso- och sjukvårdsverksamheten, nedan benämnd hälso- och sjukvårds-
627
Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning SOU 2023:76
grenen. Forskning som inte är ett led i vården är att betrakta som en annan verksamhetsgren, nedan benämnd forskningsgrenen.
Forskning som ingår i hälso- och sjukvårdsgrenen omfattas av hälso- och sjukvårdssekretessen (se prop. 2007/08:126, s. 202). Om forskningen utgör en självständig verksamhetsgren följer sekretes- sen med vid ett utlämnande från hälso- och sjukvårdsgrenen till forsk- ningsgrenen (se 8 kap. 2 § OSL och 11 kap. 3 § första stycket OSL.1 Om det finns en primär sekretessbestämmelse i forskningsverksam- heten tar den över, se avsnitt
En jämförelse kan göras med sekretessen i verksamhet som endast utgör hälso- och sjukvård eller annan medicinsk verksamhet. Samt- liga verksamheter, som utgör hälso- och sjukvård eller annan medicinsk verksamhet, inom den offentliga sektorn har att tillämpa sekretessen enligt 25 kap. 1 § OSL. Härav följer att all hälso- och sjukvård som lyder under samma nämnd inom en region eller en kommun utgör en och samma verksamhetsgren i sekretesslagstiftningens mening (jäm- för prop. 2007/08:126, s. 163). I propositionen räknas ett antal lag- stiftningsärenden upp. Sedan uttalas att ”Av nämnda lagstiftnings- ärenden framgår att om olika delar av en myndighets verksamhet har att tillämpa olika sekretessbestämmelser får de anses utgöra olika verk- samhetsgrenar i sekretesslagens mening” (prop. 2007/ 08:126, s. 162). ”Först om olika delar av en myndighets verksamhet har att tillämpa olika sekretessbestämmelser finns det skäl att även ta ställning till om de olika verksamhetsgrenarna är att betrakta som självständiga i förhållande till varandra.” (Prop. 2007/08:126, s. 163.)
Uttalandena i propositionen om vad som menas med forskning som ett led i vården är dock knapphändiga. De anges att när ”det gäller forskning som bedrivs inom en hälso- och sjukvårdsmyndig- het måste man skilja mellan sådan forskning, som sker som ett led i vården och behandlingen av en patient, och annan forskning som bedrivs med myndigheten som huvudman. Med annan forskning avses dokumentation som enbart sker i forskningssyfte och som inte heller har någon betydelse för vården”. Vidare uttalas att ”[h]uruvida [verk- samhetsgrenarna] är att betrakta som självständiga i förhållande till varandra beror dock på hur verksamheten hos myndigheten i fråga har organiserats” (prop. 2007/08:126, s. 202).
1I propositionen hänvisas till 1 kap. 3 § andra stycket respektive 13 kap. 3 § sekretesslagen (1980:100).
628
SOU 2023:76 Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
I den statliga utredning som låg till grund för propositionen till PDL anges att det ”krävs att en sekretessprövning har gjorts innan uppgifterna lämnas ut och används för forskning. Detta gäller oav- sett om forskningen bedrivs inom vårdgivarens egna verksamhet eller inte” (se SOU 2006:82, s.
Det som enligt utredningens tolkning går att utläsa ur förarbe- tena är att frågan om självständiga verksamhetsgrenar dels har med dokumentationen att göra, dels även hur verksamheten är organiserad. Om detta är alternativa eller kumulativa faktorer anges inte. Inte heller hur de förhåller sig till varandra. På vilket sätt verksamheten ska vara organiserad för att forskningsgrenen ska anses vara själv- ständig anges inte heller. Viss konkretisering ges i utredningen som talar om forskning som bedrivs integrerat med vården.
Vilka situationer som detta konkret kan vara aktuellt i och vad det i så fall har för praktisk betydelse för informationsöverföringen från vård till forskning ger dock inte förarbetena något svar på. Ut- redningen delar därför den bedömning som många aktörer har lyft, att det får betraktas som rättsligt oklart vilken forskning som är ”ett led” i vården och i vilka situationer som en sekretessgräns inte finns mellan vård och forskning.
Utredningens syn på forskning som ett led i vården
Avseende frågan i vilka situationer som forskning kan vara ett led i vården, bör enligt utredningens mening utgångspunkten vara att hälso- och sjukvård och klinisk forskning (inklusive patientnära forskning) är aktiviteter som lyder under olika rättsliga regleringar. Skillnaderna i rättslig reglering finns i flera regelverk. Även i OSL görs en skillnad på sekretess inom hälso- och sjukvård och sekretess som gäller i forskningsverksamhet.
Forskning som ett led i vården innebär att forsknings- och vård- verksamheten bedrivs på ett sådant sätt att forskningen ingår i hälso- och sjukvården enligt 25 kap. 1 § OSL. Den bestämmelsen reglerar sek- retess till skydd för enskild i verksamhet som avser hälso- och sjukvård.
629
Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning SOU 2023:76
För att forskning ska kunna anses ingå i en hälso- och sjukvårdsverk- samhet enligt 25 kap. 1 § OSL krävs enligt utredningens mening, vilket också antyds i propositionen till PDL, att vården och forskning i dessa fall bedrivs integrerat hos vårdgivaren (se SOU 2006:82, s. 496).
En aspekt av detta är det organisatoriska sambandet mellan vår- den och forskningen. För att forskning ska kunna ses som ett led i vården behöver den bedrivas inom exempelvis en klinik eller annan organisatorisk enhet (avdelning, mottagning eller dylikt) som erbjuder hälso- och sjukvård och vara en integrerad del i vårdverksamheten (jämför prop. 1979/80:2 Del A, s. 121). Det bör också vara samma personal som är inblandad i vården och forskningen.
Utredningen anser dock inte att den organisatoriska integrer- ingen kan vara en tillräcklig förutsättning för att forskningen ska ses som ett led i vården. En ytterligare aspekt på integreringen är hur dokumentationen sker.
Dokumentation som enbart sker i forskningssyfte, och inte sam- tidigt för vård, kan inte vara ett ”led i vården”, även om forskningen organisatoriskt är integrerad i vården. För att forskningen ska kunna ses som ett led vården krävs enligt utredningens mening att dokumen- tation sker både för vård- och forskningsändamålet parallellt och i direkt anslutning till varandra. Det är i den del som dokumentation sker för både forskning och vård som forskningen kan anses vara ett led i vården. Detta kan enligt utredningens mening rent praktiskt ske endast i situationer där dokumentation utförs för båda ändamålen samtidigt, det vill säga när vård och forskning sker momentant.
I ett forskningsprojekt kan vissa delar av forskningen utgöra ett led i vården. I en interventionsstudie kan till exempel moment som provtagning och vissa analyser vara en del även i vården av patienten. Andra delar av forskningsprojektet kan ligga utanför vården. Det är bara de delar av ett forskningsprojekt som ingår på ett integrerat sätt i vården som enligt utredningens mening kan utgöra ett ”led i vården”.
Vidare anser utredningen att forskning inte ”blir” ett led i vården endast av det skäl att information överförs från ett forskningsprojekt till patientjournalen. Det brister då i det organisatoriska sambandet och att forskningen inte var integrerad i den vård som gavs patienten.
630
SOU 2023:76 Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
Figur 15.1 Översiktsbild av när forskning kan anses vara ett led i vården
Forskning
Ja
Bedrivs forskningen integrerat med hälso- och sjukvården och sker dokumentationen momentant?
Nej
Forskning som |
Patientnära |
led i vården |
forskning |
Källa: Utredningens illustration.
Följden av att forskning är ett led i vården
–rättsligt och praktiskt
När forskning är ett led i vården behövs det formellt sett inte göras någon
Frågan som inställer sig är om de rättsliga följderna har någon större praktisk betydelse. Utredning bedömer att så inte är fallet. Anled- ningarna till detta är följande.
När forskningen är integrerad både organisatoriskt och doku- mentationsmässigt, finns inget behov av att överföra information från
631
Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning SOU 2023:76
den ena verksamheten till den andra. Dokumentationen sker momen- tant och i den utsträckning som behövs för respektive ändamål. Det blir alltså i praktiken inte något behov av att överföra information från hälso- och sjukvårdsgrenen till forskningsgrenen. Ett praktiskt exempel kan vara att en individs BMI mäts och konstateras till en viss siffra. Personalen för då, direkt efter mätningen, in siffran i både journalen för vårdändamålet och i systemet eCRF (electronic Case Report Form), där forskningsuppgifter dokumenteras, för forsknings- ändamålet.
När integreringen inte finns och forskning alltså inte är ett led i vården, blir det fråga om ett utlämnande och en sekretessprövning. Utredningen gör bedömningen att när behov uppstår av att ta del av patientinformation från hälso- och sjukvården till ett forskningspro- jekt, är det ett uttryck för att det inte handlar om en integrerad situa- tion, utan då handlar det om forskning som en självständig verk- samhetsgren. Utredningen menar därför att det som utgångspunkt bör vara fråga om ett utlämnande som ska föregås av en sekretess- prövning när patientuppgifter ska från hälso- och sjukvårdsgrenen, till exempel från patientjournalen, för att användas i forsknings- grenen. Utifrån detta menar utredningen vidare att det sällan aktuali- seras att det är behörighets- och befogenhetsreglerna i PDL som i sig hindrar en enklare tillgång av patientuppgifter till forskning. Det skulle inte heller göra någon nämnvärd praktisk skillnad för en enklare tillgång om PDL kompletterades med regler som tillät elek- tronisk åtkomst i forskningssyfte, eftersom sekretessgränsen mellan vård och forskning finns. Enligt utredningens mening finns även andra skäl som talar emot att reglera forskning i PDL, se ovan av- snitt 15.2.2 och 15.5.1.
Utredningens syn på patientnära forskning
Utredningen konstaterar ovan att utgångspunkten är att hälso- och sjukvård och klinisk forskning är aktiviteter som lyder under olika rättsliga regleringar. Skillnaderna i rättslig reglering finns i flera regel- verk. Även i OSL görs en skillnad på sekretess inom hälso- och sjuk- vård och sekretess som gäller i forskningsverksamhet. Forskning som ett led i vården innebär att forsknings- och vårdverksamheten
632
16En ny lag om viss vidare- användning av personuppgifter för klinisk forskning
16.1En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
16.1.1Inledning
Utredningen lämnar förslag på en ny reglering som avser vidare- användning av personuppgifter för klinisk forskning. Utredningens förslag avser att adressera de problem som redogörs för i avsnitt 12.3. I avsnitt 15.3 redogörs för befintliga regler som avser utlämnande till forskning och behovet av förenklade regler. Utredningen ser förslagen på nya regler för vidareanvändning av personuppgifter för klinisk forskning som en del i en helhet av förändringar som behövs för att adressera de problem som finns kopplat till utlämnande för forsk- ningsändamål, se vidare avsnitt 15.3.4. Utredningen gör bedömningen att den nya regleringen bör ske i lag och att det är lämpligast att reg- lerna placeras i en ny lag, se avsnitt 15.4 och 15.5.
Den föreslagna lagen har två övergripande syften. Det ena är att skapa förenklade möjligheter till vidareanvändning av personuppgifter från hälso- och sjukvården för ändamålet klinisk forskning. Det andra är att säkerställa att registrerades personliga integritet skyddas vid vidareanvändning av personuppgifter som görs med stöd av lagen. Det finns ingen rangordning mellan syftena. Däremot uppkommer behovet av särskilda skyddsåtgärder för den personliga integriteten som en följd av de enklare åtkomstmöjligheter som föreslås enligt lagen.
De förenklade möjligheterna till vidareanvändning avser regler som möjliggör en enklare tillgång till personuppgifter som finns inom hälso- och sjukvården för ändamålet klinisk forskning. Utredningens
639
17 Ändring av sekretessregler
Av principen om handlingsoffentlighet följer att var och en har rätt att ta del av allmänna handlingar. Begränsning av handlingsoffent- ligheten får som utgångspunkt endast ske i särskild lag och med hänsyn till vissa angivna intressen (se 2 kap. 2 § Tryckfrihetsför- ordningen 1949:105, förkortad TF). Offentlighets och sekretess- lagen (2009:400), förkortad OSL, utgör en sådan särskild lag. I kapitel 8 redogör utredningen för relevant gällande rätt avseende offentlighet, sekretess och tystnadsplikt.
I OSL finns regler om sekretess till skydd för enskildas personliga och ekonomiska förhållanden. Inom hälso- och sjukvård gäller sekre- tess enligt 25 kap. 1 § OSL för uppgifter som rör enskildas person- liga förhållanden. Sekretess innebär både handlingssekretess och tyst- nadsplikt. Regler om tystnadsplikt finns även i hälso- och sjukvård som bedrivs av privata aktörer, så kallad enskild hälso- och sjukvård (se 6 kap. 12 § patientsäkerhetslagen (2010:659), förkortad PSL. Sek- retess och tystnadsplikt för personliga förhållanden är även en viktig del i integritetsskyddet.
Sekretess och tystnadsplikt hindrar dock vidareanvändning av per- sonuppgifter för angelägna ändamål. Utredningens förslag om en ny lag om vidareanvändning av personuppgifter för klinisk forskning samt utredningens förslag om ändringar i patientdatalagen (2008:335), förkortad PDL, avser tillgängliggörande av sekretessreglerade upp- gifter över yttre sekretessgränser inom och mellan myndigheter som bedriver hälso- och sjukvård och från privata vårdgivare. För att till- gängliggörande ska kunna ske enligt de föreslagna reglerna krävs ändringar i OSL. Särskilda aspekter från sekretessynpunkt aktua- liseras i de delar förslagen avser direktåtkomst. En bedömning behöver även göras i förhållande till regler om tystnadsplikt i PSL. I detta kapitel finns utredningens förslag och bedömningar av frågor
745
18 Konsekvensutredning
18.1Inledning
Utredningen kommer i detta kapitel enbart redogöra för de konse- kvenser som följer av utredningens författningsförslag. I detta kapitel redogörs primärt för mer övergripande konsekvenser. Mer direkta konsekvenser kopplat till specifika bedömningar och val som ligger till grund för utredningens förslag redogörs för i kapitel
18.2Konsekvenser av förslaget som rör ändamålet vården av annan patient än den som personuppgifterna avser
I korthet innebär förslaget som rör vidareanvändning av hälsodata för ändamålet vården av en annan patient än den som personuppgifterna avser, att regionerna får inrätta en precisionsmedicinsk databas per samverkansregion samt en inom Nationella genomikplattformen, för- kortad, NGP. I detta avsnitt kommer utredningen redogöra för exem- pelvis ekonomiska konsekvenser, påverkan på det kommunala själv- styret med mera.
18.2.1Ekonomiska konsekvenser av förslagen
Utredningens bedömning är att förslagen kommer ha en svagt positiv effekt på den ekonomiska effektiviteten. I dag läggs förhållandevis stora resurser på att hitta lösningar som är juridiskt gångbara. Om data-
803
70.Ordning och reda – förstärkt och tillförlitlig byggkontroll. LI.
71.Speciallivsmedel till barn inom öppen hälso- och sjukvård. S.
72.En enklare hantering av vattenfrågor vid planläggning och byggande. LI.
73.Genomförandet av vaccineringen mot sjukdomen
74.Förenklade förutsättningar för ett hållbart vattenbruk. LI.
75.Stärkt konstitutionell beredskap. Ju.
76.Vidareanvändning av hälsodata för vård och klinisk forskning. S.
Vi kan bättre!
Kunskapsbaserad narkotikapolitik med liv och hälsa i fokus. [62]
För barn och unga i samhällsvård. [66]
Speciallivsmedel till barn inom öppen hälso- och sjukvård. [71]
Genomförandet av vaccineringen mot sjukdomen
Vidareanvändning av hälsodata för vård och klinisk forskning. [76]
Utbildningsdepartementet
Statlig forskningsfinansiering. Underlagsrapporter. [19]
Informationsförsörjning på skolområdet. Skolverkets ansvar. [21]
Samhället mot skolattacker. [28]
Framtidens yrkeshögskola
– stabil, effektiv och hållbar. [31]
Ny myndighetsstruktur för finansiering av forskning och innovation. [59]
Utrikesdepartementet
Ett modernare regelverk för legaliseringar, apostille och andra former av intygan- den. [42]