Samordnat juridiskt stöd och vägledning för hälso- och sjukvårdens digitalisering
Delbetänkande av Utredningen om infrastruktur för hälsodata som nationellt intresse
Stockholm 2023
SOU 2023:83
SOU och Ds finns på regeringen.se under Rättsliga dokument.
Svara på remiss – hur och varför
Statsrådsberedningen, SB PM 2021:1.
Information för dem som ska svara på remiss finns tillgänglig på regeringen.se/remisser.
Layout: Kommittéservice, Regeringskansliet
Omslag: Elanders Sverige AB
Tryck och remisshantering: Elanders Sverige AB, Stockholm 2023
ISBN
ISBN
ISSN
Till statsrådet och chefen för Socialdepartementet
Regeringen beslutade den 30 juni 2022 att tillsätta en särskild utredare för att analysera och lämna förslag på ändamålsenliga och samhällsekonomiskt effektiva åtgärder som bedöms vara motiverade för att åstadkomma en bättre och säkrare informationsförsörjning av hälsodata mellan system och aktörer (dir. 2022:98). Till särskild utredare förordnades 30 juni 2022 Annemieke Ålenius. Den 15 december 2022 förordnades följande personer som experter i utredningen: Magnus Adolfsson (Försäkringskassan), Rosita Ahlstedt (Region Halland), Erik Borälv (Vinnova), Kristina Bränd Persson (Socialstyrelsen), Mathea Franzén (Myndigheten för digital förvaltning), Max Herulf
Arbetet har bedrivits i samråd med experter och sakkunniga, som har bidragit med värdefulla och konstruktiva synpunkter.
Utredningen, som antagit namnet Utredningen om infrastruktur för hälsodata som nationellt intresse, överlämnar härmed sitt delbetänkande Samordnat juridiskt stöd och vägledning för hälso- och sjukvårdens digitalisering (SOU 2023:83). Utredningen ska avsluta sitt arbete senast den 30 april 2024.
Stockholm november 2023
Annemieke Ålenius
/Bessam Saleh
Kristina Hedberg
Petter Wolff
Innehåll
Sammanfattning ................................................................ | 11 | |
1 | Författningsförslag..................................................... | 15 |
1.1Förslag till förordning om ändring i förordningen
3.1Kort om reglering av informationshantering inom
hälso- och sjukvården ............................................................. | 27 |
3.2Tidigare utredningar samt pågående arbete av betydelse
5
Innehåll | SOU 2023:83 |
3.2.3
4.1Behovet av stöd vid informationshantering inom hälso-
5.2Allmänna råd och andra frivilliga stöd utgivna
av statliga myndigheter .......................................................... | 40 |
5.3 Standarder som stöd för regelefterlevnad ............................. | 44 |
5.4Branschstandarder, branschnormer och andra
6
8.1Rättslig osäkerhet och upplevda rättsliga hinder
behöver prioriteras.................................................................. | 67 |
8.2 Det statliga ansvaret för stöd och vägledning | |
för hantering av information behöver tydliggöras ................ | 69 |
8.3Ett särskilt samordningsansvar för stöd och vägledning
på hälso- och sjukvårdens område behöver införas .............. | 71 |
8.5Ett samordningsansvar för juridiskt stöd
och vägledning för hantering av information införs
i |
75 |
8.5.1Identifiera problemområden och tillhanda
forum för aktörerna................................................. | 77 |
8.5.2Tydliggöra möjligheterna som befintlig
8.6Förvaltningsmyndigheternas fristående ställning utgör
inte ett hinder att lämna stöd och vägledning ....................... | 81 |
8.7Övriga statliga myndigheters instruktioner behöver
inte ändras................................................................................ | 83 |
8.8Några andra aspekter kring stöd och vägledningar från
statliga myndigheter ............................................................... | 85 |
7
Innehåll | SOU 2023:83 |
8.9Rättslig grund för
10.2.1Stödet bör ges i form av en branschstandard och inte uppförandekod enligt EU:s
dataskyddsförordning ........................................... | 104 |
10.2.2Stödet bör rikta sig mot aktörer inom hälso-
8
SOU 2023:83 | Innehåll | |
10.3.1 | Behovsdriven styrning........................................... | 109 |
10.3.2 | Styrgruppens sammansättning.............................. | 110 |
10.3.3Ett regeringsuppdrag för att bilda rådet samt de statliga myndigheternas rättsliga stöd
för att delta............................................................. | 110 |
10.3.4Arbetet bedrivs genom tillfälliga
arbetsgrupper ......................................................... | 112 |
10.4 Ett kansli som ska stödja utarbetandet | |
av en branschstandard bör inrättas....................................... | 112 |
10.4.1Kansliets organisation, rättsliga status
9
Sammanfattning
Hälso- och sjukvården är en informations- och kommunikationsintensiv verksamhet som behöver understödjas av effektiv digitalisering för att fungera ändamålsenligt. En grundläggande förutsättning för hälso- och sjukvårdens digitalisering är möjligheterna att behandla stora mängder uppgifter av känslig karaktär. Både uppgiftssamlingarnas storlek och antalet aktörer som delar information inom hälso- och sjukvårdens område har ökat väsentligt de senaste åren. För att bibehålla allmänhetens förtroende behöver denna information hanteras korrekt. Hur informationen ska hanteras och eventuellt kunna delas regleras i ett stort antal överlappande författningar och juridiken upplevs vara komplex, omfattande och svårnavigerad. Utredningen har i dialog med hälso- och sjukvårdens aktörer fått erfara att det råder rättslig osäkerhet vid hantering av information samt att regelverken tolkas olika bland aktörerna. Många gånger upplever hälso- och sjukvårdens aktörer också att det föreligger rättsliga hinder för en säker och effektiv digitalisering. Enligt utredningen är dock många upplevda rättsliga hinder i själva verket rättslig osäkerhet och rädsla att göra fel.
Den rättsliga osäkerheten leder till att hälso- och sjukvårdens aktörer avstår olika satsningar på digitalisering, eller att satsningarna inte blir ändamålsenliga, trots att digitalisering ofta beskrivs som en nödvändig omställning för att hantera många av utmaningarna som hälso- och sjukvården står inför. Digitalisering har stora möjligheter att förbättra för patienter och effektivisera vårdens processer genom att frigöra tid så att personal kan ägna större del av sin arbetsdag åt patientmötet och andra kvalificerade uppgifter som i sin tur kan höja verksamhetens kvalitet. Samtidigt pågår det en rad förberedelser och satsningar både i Sverige och på
11
Sammanfattning | SOU 2023:83 |
(COM (2022) 197 final av den 3 maj 2022), förkortat EHDS, vilket gör det ännu mer angeläget att åstadkomma en mer enhetlig tolkning av hur regelverken tillämpas.
Den rättsliga osäkerheten, de varierande bedömningarna och kommande förändringar på området aktualiserar behovet av att aktörerna på hälso- och sjukvårdens område erbjuds stöd för att tolka och tillämpa lagreglerna. De som tillämpar regelverken behöver erbjudas stöd och vägledning som ger förutsättningar att använda hela det juridiska utrymme som finns och som minskar risken att gå utanför lagens ramar. Det behövs ett mer systematiskt arbete med att identifiera de områden där det råder rättslig osäkerhet och någon som kan vara pådrivande för att möjligheterna som befintlig lagstiftning ger tydliggörs. På så sätt kan digitaliseringen på området utvecklas säkert, i en snabbare takt och åstadkomma en mer effektiv hälso- och sjukvård.
Utredningen har enligt direktiven haft i uppdrag att analysera och föreslå en myndighet, inom den befintliga myndighetsstrukturen, som ska bemyndigas att ta fram så kallade uppförandekoder för behandling av personuppgifter inom hälso- och sjukvårdens område. Uppförandekodernas syfte ska vara att specificera hur EU:s dataskyddsförordning ska tillämpas. Under utredningens gång har det visat sig att en statlig myndighet inte kan besluta om uppförandekoder i dataskyddsförordningens mening åt hälso- och sjukvårdens aktörer. Utredningen har därför analyserat hur en statlig myndighet skulle kunna stimulera och facilitera för hälso- och sjukvårdens aktörer att själva utarbeta sådana koder. Utredningen bedömer att de omfattande formaliakrav och krav på övervakningsorgan som följer med uppförandekoder riskerar att utgöra hinder för att uppförandekoder ska vara ett effektivt handlingsalternativ för staten. En uppförandekod är begränsad till att endast omfatta dataskydd vilket även bidrar till att det enligt utredningen är en mindre lämplig lösning. Utredningen menar att hälso- och sjukvårdens aktörer behöver ges stöd för rättstillämpningen för hela det regelverk som reglerar vårdens informationshantering, inte bara dataskyddsfrågor. Utredningen har därför övervägt om en statlig myndighet skulle kunna stimulera branschen att ta fram en så kallad branschstandard som skulle innehålla stöd och vägledning för hur olika rättsregler kan tillämpas. En branschstandard har inte samma formaliakrav eller begränsning gällande omfattning som en uppförandekod. I båda fallen skulle dock
12
SOU 2023:83 | Sammanfattning |
en statlig myndighet i huvudsak bara kunna samordna, koordinera och främja utarbetandet av en uppförandekod respektive branschstandard. En sådan ordning följer dock inte gängse myndighetsstruktur och skulle enligt utredningen därför riskera att bli otydlig och svårhanterlig för den myndighet som ges i uppdrag att hålla samman arbetet. Dessutom skulle en sådan ordning förutsätta ett frivilligt och ofinansierat engagemang av aktörerna som stödet vänder sig till, något som utredningen också bedömer kan utgöra ett hinder för framdriften av stödet.
Utredningen anser dessutom att staten kan och bör göra mer än att i huvudsak samordna, koordinera och främja hälso- och sjukvårdens aktörer att självmant och på frivillig basis utarbeta uppförandekoder eller branschstandarder. En statlig myndighet bör i stället få i uppdrag att prioritera och samordna de statliga myndigheternas stöd och vägledning till hälso- och sjukvårdens aktörer i juridiska frågor rörande hanteringen av information inom ramen för hälso- och sjukvårdens digitalisering. Myndighetens uppdrag bör riktas mot områden där störst nytta för systemet som helhet kan uppnås. Utredningen föreslår därför att
I
13
Sammanfattning | SOU 2023:83 |
regeringens förväntningar på samtliga statliga myndigheter med verksamhetsområden som påverkar hälso- och sjukvårdens digitalisering att ge stöd och vägledning. Vidare föreslår utredningen att
För de utökade uppgifterna behöver
14
1 Författningsförslag
1.1Förslag till förordning om ändring i förordningen (2013:1031) med instruktion för
Härigenom föreskrivs att det i förordningen (2013:1031) med instruktion för
Nuvarande lydelse | Föreslagen lydelse |
3 c § | |
ordna de statliga myndigheternas | |
stöd och vägledning i juridiska | |
frågor rörande hantering av infor- | |
mation inom ramen för hälso- och | |
sjukvårdens digitalisering. Myn- | |
digheten ska vara samlande, stöd- | |
jande och pådrivande i förhål- | |
lande till berörda parter. Inom | |
samordningsansvaret får |
|
myndigheten enskilt eller gemen- | |
samt med andra statliga myndig- | |
heter ge stöd och vägledning till | |
hälso- och sjukvårdens aktörer. |
Denna förordning träder i kraft den 1 januari 2025.
15
2Utredningens uppdrag och arbete
2.1Uppdraget och dess avgränsning
Regeringen beslutade den 30 juni 2022 att ge en särskild utredare i uppdrag att analysera och lämna förslag på ändamålsenliga och samhällsekonomiskt effektiva åtgärder som bedöms vara motiverade för att åstadkomma en bättre och säkrare informationsförsörjning av hälsodata mellan system och aktörer.1
Uppdraget kan sägas utgöras av två delar. Den första delen består av förslag på stöd för en mer enhetlig tolkning av juridiken för hälsodata bland aktörerna inom hälso- och sjukvårdens område, och den andra delen består av förslag som skapar ökad interoperabilitet genom standarder. I detta betänkande behandlas den första av dessa delar, det vill säga den om en mer enhetlig tolkning av juridiken.
Skillnaderna i tolkningen av lagstiftningen kan bero på flera saker, bland annat kan det finnas oklarheter eller hinder som kan behöva hanteras eller förtydligas. Skillnaderna som uppstår kan också bero på att kunskapsläget i de här frågorna varierar.
Den särskilda utredaren gavs därför i uppdrag att föreslå en myndighet, inom den befintliga myndighetsstrukturen, som ska bemyndigas att ta fram uppförandekoder för behandling av personuppgifter inom hälso- och sjukvårdens område med syfte att specificera hur EU:s dataskyddsförordning2 ska tillämpas. I direktiven har utredningens uppdrag avgränsats till hälso- och sjukvårdens område. Utredningen har uppmärksammats på att den delen av omsorgen som omfattas av den nya lagen (2022:913) om sammanhållen vård-
1Dir. 2022:98 Hälsodata som nationellt intresse – en lagstiftning för interoperabilitet.
2Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
17
Utredningens uppdrag och arbete | SOU 2023:83 |
och omsorgsdokumentation, förkortad SVOD, bör omfattas av utredningens uppdrag eftersom det även där råder stor osäkerhet och brist på enhetlighet i tolkningen av dataskydds- och informationssäkerhetsreglerna. Utredningen har övervägt detta och menar att mycket av det stöd som kan resultera av utredningens förslag också kan komma omsorgens aktörer till del. Ett skäl för utredningen att inte utvidga uppdraget är att såväl hälso- och sjukvårdens som omsorgens område omfattas av ett stort antal lagar som överlappar varandra och bildar komplexa samband och beroenden. Dessutom kännetecknas båda verksamhetsområdena av många olika typer av
2.2Tolkning av uppdraget
Enligt direktiven ska vi utreda och lämna förslag på en myndighet, inom den befintliga myndighetsstrukturen, som ska bemyndigas att ta fram uppförandekoder för behandling av personuppgifter inom hälso- och sjukvårdens område med syfte att specificera hur EU:s dataskyddsförordning ska tillämpas.
Det finns anledning att titta närmre på orden bemyndigande och uppförandekoder i strecksatsen i förhållande till syftet med uppdraget. Bemyndigande är en juridisk term och innebär en tilldelning av befogenhet. Normgivningsmakten, det vill säga rätten att besluta om rättsregler, regleras främst i 8 kapitlet i regeringsformen, förkortad RF. Enligt RF meddelas föreskrifter genom lag av riksdagen och av regeringen genom förordning. Föreskrifter kan också, efter bemyndigande av riksdagen eller regeringen, meddelas av statliga myndigheter och av kommuner. Endast dessa offentliga organ kan utöva normgivningsmakt i RF:s mening. Enligt RF kan det organ som anförtrotts normgivningskompetens inte delegera denna utan uttryckligt lagstöd eller stöd i bemyndiganden. Rättsregler karaktäriseras av att de är bindande för statliga myndigheter, kommuner, regioner och enskilda och av att de inte bara avser ett konkret fall utan har generell tillämpbarhet.
En uppförandekod i dataskyddsförordningens mening är enligt artikel 40 en möjlighet för sammanslutningar som företräder kate-
18
SOU 2023:83 | Utredningens uppdrag och arbete |
gorier av personuppgiftsansvariga eller personuppgiftsbiträden inom en viss bransch eller sektor, att frivilligt komma överens om hur man i praktiken ska tillämpa förordningen. Det är således inte myndigheter, utan (i det aktuella fallet) de som är personuppgiftsansvariga för behandling av personuppgifter inom hälso- och sjukvårdens område eller företrädare för dessa som enligt dataskyddsförordningen ska utarbeta förslag till uppförandekoder.
Uppförandekoder i strecksatsen i direktiven kan också vara en synonym för branschstandarder och andra frivilliga riktlinjer i syfte att klargöra hur en bransch ska handla, se vidare i kapitel 5.
Oavsett vilken av tolkningarna man utgår från är uppförandekoder frivilliga att upprätta och ansluta sig till, saknar rättsverkan och borde därför inte vara att betrakta som en rättsregel och därför inte heller kräva ett normgivningsbemyndigande i RF:s mening. Mycket talar därför för att ordet bemyndigande i strecksatsen inte ska tolkas som ett normgivningsbemyndigande.
En myndighet får enligt legalitetsprincipen endast vidta åtgärder som har stöd i rättsordningen. Myndigheternas verksamhet ska därför lyda under lag och andra författningar. Det som myndigheterna har stöd i rättsordningen att göra utgör myndighetens kompetensområde. Regleringen av de statliga myndigheternas kompetensområde sker främst genom myndighetens instruktion och av specialförfattningar som reglerar myndighetens verksamhet. Som ovan nämnts så är ett bemyndigande en tilldelning av befogenhet. En tilldelning av ansvar och uppgifter, genom exempelvis en myndighets instruktion, torde således också vara att betrakta som en form av bemyndigande som i sin tur utgör det rättsliga stödet för myndighetens kompetensområde.
Bemyndiga i strecksatsen ska enligt utredningen därför i förhållande till ordet uppförandekoder tolkas som ett sådant bemyndigande som mer generellt reglerar en myndighets kompetensområde. Som tidigare konstaterats initieras och beslutas uppförandekoder av de personuppgiftsansvariga och är frivilliga att ansluta sig till. En statlig myndighet kan därför inte bemyndigas att besluta om uppförandekoder. Däremot kan en myndighet tilldelas ansvaret och uppgiften att samordna, koordinera och utarbeta en uppförandekod åt hälso- och sjukvårdens aktörer.
Direktiven framhåller att det finns behov av stöd för hantering av personuppgiftsbehandling i flera situationer och för olika ändamål.
19
Utredningens uppdrag och arbete | SOU 2023:83 |
Utredningen bedömer att syftet med den här delen av utredningsuppdraget är att lämna förslag som ger det mest ändamålsenliga stödet och vägledningen för rättstillämpningen för hälso- och sjukvårdens aktörer. Utredningen har därför valt att inte begränsa analysen av lämplig form för stödet till enbart uppförandekoder i dataskyddsförordningens mening utan tittat brett på de uppgifter och uppdrag som en myndighet kan tilldelas i syfte att stödja hälso- och sjukvårdens aktörer i dess hantering av hälsodata. I och med utredningens ansats att tolka uppdraget bredare skulle ordet bemyndigande i direktivens strecksats kunna tolkas som ett normbemyndigande. Om syftet är att specificera hur EU:s dataskyddsförordning ska tillämpas kan man genom lag välja att ta fram väldigt detaljerade och specificerade regler och på så sätt undanröja tolkningsmöjligheter. Denna möjlighet finns redan genom exempelvis det bemyndigande Socialstyrelsen har att utfärda föreskrifter om journalhandlingars innehåll och utformning. Det ter sig inte heller ändamålsenligt att utforma rättsregler på det sättet. Det borde därför enligt utredningen inte vara den typen av bemyndigande som menas.
2.3Centrala begrepp utredningen använder
2.3.1Hälso- och sjukvård
Hälso- och sjukvård syftar enligt hälso- och sjukvårdslagen (2017:30), förkortad HSL, på åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador. Till hälso- och sjukvården hör även sjuktransporter samt att ta hand om avlidna (2 kap. 1 § HSL). Kommuner ansvarar för hälso- och sjukvård som ges i patientens bostad eller motsvarande. Hemsjukvård ges i såväl ordinärt som särskilt boende samt i daglig verksamhet och dagverksamhet. Tandvård omfattas inte av HSL utan regleras i stället av tandvårdslagen (1985:125). Tandvård syftar enligt tandvårdslagen på åtgärder för att förebygga, utreda och behandla sjukdomar och skador i munhålan
När utredningen i betänkandet skriver hälso- och sjukvård så avses all hälso- och sjukvård, inklusive den hälso- och sjukvård som kommuner ansvarar för, tandvård, elevhälsans medicinska insats samt statlig hälso- och sjukvård som bedrivs av myndigheter som exem-
20
SOU 2023:83 | Utredningens uppdrag och arbete |
pelvis Statens institutionsstyrelse och Kriminalvården, oavsett om vården är offentligt eller privat finansierad.
2.3.2Hälso- och sjukvårdens område
Enligt direktiven ska stödet tas fram för behandling av personuppgifter inom hälso- och sjukvårdens område. Det finns ingen vedertagen avgränsning för begreppet. All den verksamhet som ryms inom utredningens definition av hälso- och sjukvård ligger klart inom hälso- och sjukvårdens område. I det här sammanhanget, stöd för hantering av hälsodata, är det dock lämpligt att även andra närliggande verksamheter som exempelvis läkemedel och medicinteknisk utrustning omfattas. En förutsättning för att räknas som närliggande verksamheter bör dock vara att den informationshantering som sker i verksamheterna görs med det primära ändamålet hälso- och sjukvård samt uppföljning och utveckling av densamma, inte forskning eller andra ändamål.
När utredningen i betänkandet skriver hälso- och sjukvårdens område så avses all den verksamhet som bedrivs inom ramen för HSL och tandvårdslagen samt andra närliggande verksamheter som behandlar uppgifter primärt för ändamålet hälso- och sjukvård.
2.3.3Hälso- och sjukvårdens aktörer
När utredningen i betänkandet skriver hälso- och sjukvårdens aktörer så avses de aktörer (så som exempelvis regioner och kommuner i egenskap av huvudmän eller vårdgivare, eller andra vårdgivare) som verkar inom de verksamheteter som bedrivs inom ramen för HSL och tandvårdslagen samt andra närliggande verksamheter.
2.4Utredningens arbete med delbetänkandet
Utredningen påbörjade sitt arbete i september 2022. Utredningen har haft fem sammanträden med utredningens experter och sakkunniga. I föreliggande avsnitt redogör vi för den delen av arbetet som är hänförligt till detta betänkande.
21
Utredningens uppdrag och arbete | SOU 2023:83 |
Utredningens sekretariat har bland annat träffat olika representanter från regioner, kommuner och privata vårdgivare som utför offentligt finansierad
Sekretariatet har även närvarat vid en konferens i Norge för att få inblick i hur kommunikations- och utbildningsinsatser för att sprida kunskap om innehållet i deras branschstandard (kallad Normen) till målgruppen kan göras.
Utredningens sekretariat har även träffat kansliet för Normen, sekretariatet för eSamverkan och andra sammanslutningar av representanter från verksamheter som berörs av hur regelverken tolkas.
Utredningens sekretariat har dessutom anordnat två workshops för att inhämta synpunkter om vilka rättsliga frågor som upplevs mest angeläget att enas kring samt vilka aktörer som bör representera branschen. Den ena workshopen hölls med ett tiotal av Swedish Medtechs medlemmar och den andra med ungefär lika många av Vårdföretagarnas medlemmar.
Det pågår flera utredningar som på olika sätt är av betydelse för utredningens uppdrag. Sekretariatet har under arbetets gång haft återkommande avstämningar med Utredningen om sekundäranvändning av hälsodata (S 2022:04) samt Utredningen om interoperabilitet vid datadelning (I 2022:03).
2.5Delbetänkandets disposition
Betänkandet består av totalt elva kapitel. Utöver de två första kapitlen (författningsförslag och detta kapitel om utredningens uppdrag och arbete) följer ett kapitel som innehåller en beskrivning av informationshanteringen inom hälso- och sjukvården (kapitel 3). Kapitel 4 behandlar behovet av stöd för rättstillämpningen. I kapitel 5 redogör vi för olika typer av stöd som finns i syfte att underlätta rättstillämpningen. I kapitel 6 beskriver vi hur Norge valt att arbeta med stöd för rättstillämpningen eftersom det stödet har ansetts kunna utgöra en lämplig väg även för Sverige. I kapitel 7 redogör vi för våra utgångspunkter för de förslag vi lägger i kapitel 8. I kapitel 9 redovisar vi konsekvenserna av våra förslag.
22
SOU 2023:83 | Utredningens uppdrag och arbete |
Vi väljer också att presentera en alternativ lösning (kapitel 10) som utredningen bedömer ligger närmre lydelsen i strecksatsen i direktiven men som utredningen bedömer vara ett mindre lämpligt alternativ.
23
BAKGRUND
25
3Informationshantering inom hälso- och sjukvården
3.1Kort om reglering av informationshantering inom hälso- och sjukvården
Hälso- och sjukvården behandlar stor mängd information. Många av uppgifterna rör hälsa och personliga förhållanden och det är därför av stor vikt att skyddet för den personliga integriteten respekteras. Frågan om myndigheters behandling av personuppgifter på automatiserad väg innefattar avvägningar mellan skyddet för den personliga integriteten och andra viktiga samhällsintressen. I regeringsformen anges bland annat att det allmänna ska värna den enskildes privatliv och familjeliv (1 kap. 2 § fjärde stycket RF). Var och en är gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden (2 kap. 6 § andra stycket RF). Denna fri- och rättighet kan under vissa förutsättningar begränsas genom lag (2 kap. 20 och 21 §§ RF).
Hälso- och sjukvårdens informationshantering regleras i ett stort antal olika regelverk. På en övergripande nivå har lagstiftning som offentlighets- och sekretesslagen (2009:400), förkortad OSL, arkivlagen (1990:782), tryckfrihetsförordningen (1949:105), förkortad TF, och patientsäkerhetslagen (2010:659), förkortad PSL, betydelse. EU:s dataskyddsförordning är det grundläggande regelverket för behandling av personuppgifter. Utöver dataskyddsförordningen finns kompletterande bestämmelser i nationell lagstiftning genom dataskyddslagen. Sektorsspecifikt för hälso- och sjukvården finns det ytterligare bestämmelser om personuppgiftsbehandling och journalföring i PDL, och lagen om sammanhållen vård- och omsorgsdokumentation. Kompletterande bestämmelser finns bland annat i patientdataförordningen (2008:360) och i Socialstyrelsens föreskrifter och all-
27
Informationshantering inom hälso- och sjukvården | SOU 2023:83 |
männa råd
3.2Tidigare utredningar samt pågående arbete av betydelse för uppdraget
3.2.1
Regeringen beslutade den 19 december 2013 att tillkalla en särskild utredare för att se över ändamålsenlighet och ansvarsfördelning när det gäller tillhandahållande och utformning av
1Enligt 2 och 3 §§ patientdataförordningen (2008:360) får Socialstyrelsen meddela föreskrifter om bland annat säkerhetsåtgärder efter att Socialstyrelsen har gett Integritetsskyddsmyndigheten tillfälle att yttra sig.
2Dir. 2013:125 Tillgänglig och säker information i hälso- och sjukvård och socialtjänst.
3SOU 2015:32 Nästa fas i
28
SOU 2023:83 | Informationshantering inom hälso- och sjukvården |
3.2.2Integritetskommittén
Regeringen beslutade den 8 maj 2014 att tillkalla en parlamentarisk kommitté med uppdrag att, utifrån ett individperspektiv, kartlägga och analysera sådana faktiska och potentiella risker för intrång i den personliga integriteten som kan uppkomma i samband med användning av informationsteknik i såväl privat som offentlig verksamhet.4 Kommittén, som antog namnet Integritetskommittén, föreslog att regeringen skulle uppdra åt vissa utpekade myndigheter att i samråd med Datainspektionen (nuvarande Integritetskyddsmyndigheten, förkortad IMY) stå för merparten av det arbete som en myndighet behöver utföra när det gäller uppförandekoder.5 Integritetskommittén konstaterade att skyldigheten att uppmuntra framtagandet av koder enligt dataskyddsförordningen ligger både på medlemsstaten och på tillsynsmyndigheten (artikel 40.1 i dataskyddsförordningen).
När det gällde hantering av personuppgifter i hälso- och sjukvården angav kommittén att allvarliga risker uppstår i samband med informationshantering, detta till följd av bristande ledning och bristande ansvarstagande över informationssystemen och de personuppgifter som hanteras i dessa. Andra problemområden som lyftes var komplexa miljöer med många olika system för hantering av information, gamla system, brist på gemensamma lösningar (till exempel gemensam infrastruktur), bristande regelefterlevnad, bristande kunskaper hos både personal och ledning samt bristande informationssäkerhet. För att komma till rätta med de utmaningar gällande hantering av personuppgifter i hälso- och sjukvården och socialtjänsten som hade identifierats föreslog kommittén att någon myndighet, förslagsvis
4Dir. 2014:65 Den personliga integriteten.
5SOU 2017:52 Så stärker vi den personliga integriteten.
29
Informationshantering inom hälso- och sjukvården | SOU 2023:83 |
arbetet med koden enligt kommittén bli mer strukturerat och utåtriktat.
Även Integritetskommittén ansåg att de uppförandekoder som tagits fram för hälso- och sjukvården i Norge (Normen) skulle kunna tjäna som förebild där en form av representativ styrelse skulle bildas för att fatta de formella besluten om koden och dess innehåll.6 Vidare ansåg de att uppförandekoderna borde kompletteras med stödjande insatser och dokument för att de verkligen skulle få genomslag och utgöra stöd i tillämpningen.
3.2.3
–i hela landet och av alla vårdgivare.7
6Normen inte en uppförandekod enligt dataskyddsförordningen, se vidare avsnitt 6.5.
7Regeringen (2021) Uppdrag att föreslå hur sammanhållen journalföring kan nyttjas i större utsträckning – S2021/03119.
8
30
SOU 2023:83 | Informationshantering inom hälso- och sjukvården |
3.2.4Diggs instruktionsenliga uppgift att ge rättsligt stöd till offentlig förvaltning avseende digitalisering
I Digitaliseringsrättsutredningens slutbetänkande bedömde utredningen att regeringen borde överväga att etablera en funktion med juridisk expertis inom Myndigheten för digital förvaltning, förkortad Digg.9 Även i Kommunutredningens slutbetänkande och i Öppna
För att svara mot behovet av rättsligt stöd gav regeringen i budgetpropositionen för 2021 Digg medel för att fortlöpande ge rättsligt stöd till offentlig förvaltning avseende digitalisering. I januari 2021 gavs Digg även ett särskilt regeringsuppdrag att påbörja arbetet.
Enligt uppdraget ska Digg tillhandahålla rättsligt stöd till den offentliga förvaltningen avseende förvaltningsgemensamma digitaliseringsfrågor. Det rättsliga stöd som ges ska utformas så att en hög grad av spridning och återanvändning kan åstadkommas och ska således inte riktas till enskild aktör, dvs. kommun, region eller statlig myndighet. I uppdraget ingår att etablera former för att på ett lättillgängligt sätt kommunicera och sprida kunskap till den offentliga förvaltningen om de råd, vägledningar, eller liknande som ges. Digg ska vidare identifiera och analysera behov av eventuella författningsändringar för att främja den fortsatta digitaliseringen. Arbetet ska bedrivas så att varaktig samverkan med myndigheter och andra aktörer som bistår offentlig förvaltning med rättsligt stöd inom digitaliseringsområdet etableras. Detta med avseende på hur synergier och tydlighet beträffande ansvarsfördelning kan skapas. Digg ska därför inhämta synpunkter och behov från relevanta myndigheter och andra aktörer, däribland Sveriges Kommuner och Regioner och Rådet för digitalisering av rättsväsendet. Under uppdragets genomförande ska
9SOU 2018:25 Juridik som stöd för förvaltningens digitalisering .
10SOU 2020:8 Starkare kommuner – med kapacitet att klara välfärdsuppdraget samt SOU 2020:55 Innovation genom information.
11Välfärdskommissionen (2021) Välfärdskommissionens slutredovisning till regeringen (Finansdepartementet).
31
Informationshantering inom hälso- och sjukvården | SOU 2023:83 |
särskilt beaktas den struktur som etableras inom ramen för Ena – Sveriges digitala infrastruktur.12
Uppdraget bestod av två delar som redovisades i en delrapport och en slutrapport.13 I delredovisningen för regeringsuppdraget beskriver Digg offentliga aktörers behov av rättsligt stöd och i slutredovisningen av uppdraget redogör myndigheten för etableringen av rättsligt stöd samt utgångspunkter för Diggs arbete med att ge rättsligt stöd. Uppgiften framgår numera genom 6 § 6 i förordningen (2018:1486) med instruktion för Myndigheten för digital förvaltning där det framgår att myndigheten ska ge vägledning till den offentliga förvaltningen i juridiska frågor inom ramen för den förvaltningsgemensamma digitaliseringen.
12Regeringen (2021) Uppdrag att tillhandahålla rättsligt stöd till offentlig förvaltning avseende digitalisering
13Digg (2021) Rättsligt stöd till offentlig förvaltning avseende digitalisering. Delrapport: Beskrivning av behovet samt Digg (2021) Rättsligt stöd till offentlig förvaltning avseende digitalisering. Slutrapport: Etablering av rättsligt stöd
32
4Behov av stöd
för rättstillämpningen
4.1Behovet av stöd vid informationshantering inom hälso- och sjukvården
Hälso- och sjukvården är en kommunikations- och informationsintensiv verksamhet som ställer höga krav på skyddet för den personliga integriteten. Att värna den personliga integriteten handlar inte bara om att skydda personuppgifter från otillåten behandling eller obehörig åtkomst, det handlar även om att säkerställa att relevant information kan användas när och där den behövs. I dagens system där vårdens information inte alltid samordnas över patientens hela resa genom vården tenderar informationen att bli centrerad kring olika enheters intressen.1 Inte sällan blir patienten informationsbärare vid organisatoriska övergångar.2 När viktig information inte följer patienten riskerar viktig information att tappas bort eller förvanskas och utgör därmed en patientsäkerhetsrisk.
Osäkerheten bland hälso- och sjukvårdens aktörer om tillämpningen av rättsreglerna på området har sannolikt bidragit till brister i dagens datadelning. Denna osäkerhet finns på olika organisatoriska nivåer, både hos beslutsfattare inom kommuner, regioner och privata vårdgivare samt hos enskilda medarbetare i vård och omsorg. Inte minst mindre aktörer uttrycker att det råder brist på juridisk kompetens inom området.3
1SWElife (2016) Från öar av data till kunskap för samhällsnytta – ett vägskäl för
2Se till exempel Barncancerfonden (2022) Vems ansvar är jag nu? Informationskontinuiteten i Sverige är generellt sämre än jämförbara länder, se Myndigheten för vård- och omsorgsanalys (2022) Vården ur befolkningens perspektiv, 65 år och äldre. Rapport 2022:2, s. 75.
3
33
Behov av stöd för rättstillämpningen | SOU 2023:83 |
Rättsreglerna som hälso- och sjukvårdens aktörer har att följa är många, och de finns på flera nivåer i form av
Det omfattande, komplexa och rörliga regelverk som reglerar hantering av information inom hälso- och sjukvården kännetecknas också av den relativt begränsade omfattningen på rättspraxis. Detta eftersom det är ett område som i hög grad består av så kallat faktiskt handlande och inte av myndighetsutövning som mynnar ut i överklagbara beslut. Enskilda som exempelvis är missnöjda med att deras journaluppgifter inte kan delas inom den egna regionen medan det är möjligt i en annan region har därför begränsade möjligheter att driva på regeltolkningen. Rättspraxis på området kommer främst via överklaganden efter tillsynsbeslut av IMY efter beslut som fattats av IMY efter dataskyddstillsyn enligt artikel 58 i dataskyddsförordningen. Sammantaget är området svårt att navigera och överblicka, och det är därför inte förvånande att aktörerna upplever svårigheter att tillämpa reglerna.
4.2Varierande bedömningar och rättslig osäkerhet
Utredningens sekretariat har genomfört två workshoppar med syftet att identifiera vilka rättsliga frågor som aktörerna upplever det råder mest osäkerhet kring och som är mest angeläget att prioritera. Utredningen har dessutom haft åtskilliga dialoger med representanter för aktörerna inom hälso- och sjukvården i samma syfte. Flera aktörer som utredningen varit i kontakt med framhåller att rädslan att göra fel ibland skapar ett restriktivt förhållningssätt hos dem som ska tolka reglerna, vilket i sin tur skapar ett mindre juridiskt utrymme än befintlig lagstiftning faktiskt ger. Samtidigt menar aktörerna att de som är
34
SOU 2023:83 | Behov av stöd för rättstillämpningen |
verksamma inom hälso- och sjukvården, på grund av både tids- och resursbrist, ibland tittar på lösningar eller tolkningar som gjorts av andra aktörer. Detta görs utan någon egen analys av frågan eller vetskap om det funnits unika förutsättningar för den organisation som tolkat frågan i första ledet. Aktörerna menar att det restriktiva förhållningssättet i kombination med förfarandet att osjälvständigt kopiera bedömningar riskerar att cementera uppfattningar om juridiska hinder som faktiskt inte finns. Aktörerna avstår ibland digitaliseringsinitiativ som skulle öka förutsättningarna för ett fungerande informationsflöde på grund av osäkerheten och rädslan att göra fel.
Osäkerhet kring tolkningar kan också innebära att verksamheterna går utanför det av lagstiftaren avsedda juridiska utrymmet.
Utredningen kan även konstatera att det förekommer skillnader i hur regioner tolkar de olika rättsreglerna, något som leder till svårigheter för aktörer inom hälso- och sjukvården med verksamhet i flera regioner. Till exempel kan en sådan aktör få behandla personuppgifter på ett sätt i en region, samtidigt som den inte får det i en annan. Detta skapar ofta både dyrare och mer otympliga lösningar för aktören med verksamhet i flera delar av landet.
Osäkerheten kring de juridiska bedömningarna handlar inte enbart om hur personuppgifter får behandlas utan även om informationssäkerhet i stort. Ett exempel som lyfts är hantering av uppgifter om vårdens kapacitet, brister och sårbarheter under pandemin, där aktörer på olika nivåer har gjort olika bedömningar kring lämpliga säkerhetsåtgärder för samma typ av uppgift.
Samtidigt pågår det en rad förberedelser och satsningar både i Sverige och på
Ett annat område som många aktörer anser tolkas på olika sätt är reglerna för samtycke när det gäller tillgång till journaler eller nationella läkemedelslistan. Vissa verksamheter kräver ett nytt samtycke vid varje vårdtillfälle medan andra har tolkat det som att samtycket kan ges för en viss period, exempelvis ett år. Samtidigt upplever flera
35
Behov av stöd för rättstillämpningen | SOU 2023:83 |
aktörer att just samtyckesinhämtningen kan kännas onödigt betungande vid exempelvis täta och regelbundna läkarkontakter som sker med en och samma patient. Om det finns ett legalt utrymme för en tolkning där samtycket kan ges för en viss tidsperiod skulle ett tydliggörande av detta kunna minska arbetsbördan för personalen.
Egenmonitorering, där patienter med hjälp av digital teknik kan mäta sina värden där de befinner sig, är en viktig del i omställningen mot nära vård. Frågan om vilka typer av egeninsamlade data som samlas in, samt hur dessa ska få behandlas är komplicerade juridiska frågeställningar. Gråzoner kan exempelvis uppstå mellan vad som utgör privat bruk eller hälso- och sjukvård och omfattningen av tjänsteleverantörens respektive hälso- och sjukvårdens personuppgiftsansvar. Verksamheterna ser ett stort behov av att råda bot på osäkerheten kring de juridiska frågeställningarna som är förknippade med egenmonitorering.
När det gäller den vård som kommuner ansvarar för kommer användningen av välfärdsteknik att öka. Välfärdstekniska produkter genererar en stor mängd data som ofta utgörs av känsliga personuppgifter. Även på detta område finns många tolkningssvårigheter i förhållande till personuppgiftsbehandling och informationssäkerhet.4 I andra sammanhang har det framkommit att kommunerna efterfrågar nationellt stöd bland annat avseende juridik, informationssäkerhet, standarder, termer och begrepp.5
En annan av aktörerna prioriterad fråga är behovet att förnya vårdens
Dagens regelverk upplevs också bestå av ett lapptäcke av olika regler som mer eller mindre går in i varandra och som ständigt genomgår förändringar, vilket gör dem svåra att överblicka och tolka. Verksamheterna upplever även att de ofta behöver värdera de olika regelverken mot varandra, inte minst patientsäkerhet i förhållande till
4Se mer utförligt om problematiken i SOU 2020:14 Framtidens teknik i omsorgens tjänst och Socialstyrelsen (2019) Säker personuppgiftsbehandling i socialtjänsten, s. 17.
5SOU 2020:14 Framtidens teknik i omsorgens tjänst, s. 506.
6Problematiken kring AI beskrivs mer i Statens
36
SOU 2023:83 | Behov av stöd för rättstillämpningen |
dataskydd. I takt med att nya regelverk tagits fram har även vissa grundläggande begrepp fått olika betydelse i olika regelverk – samtidigt som de ska tillämpas av samma aktörer. Exempelvis har begrepp som vårdgivare och hälso- och sjukvård olika betydelse i olika centrala lagar för de verksamma inom hälso- och sjukvården.7
Mycket har hänt med
Sammantaget skapar de varierande bedömningarna och den rättsliga osäkerheten frustration, onödiga kostnader och i vissa fall bristande följsamhet till lagstiftningen på området och patientsäkerhetsrisker. Det finns därför behov av stöd som möjliggör att regler tolkas och tillämpas på ett korrekt, ändamålsenligt, och effektivt sätt. För vidare redovisning av områden där tillämpningen av rättsreglerna upplevs svår som framhållits av hälso- och sjukvårdens aktörer, se bilaga 2.
7Båda begreppen har exempelvis olika omfattning i HSL, SVOD och PDL.
37
5Olika former av stöd för att underlätta rättstillämpningen
5.1Olika typer av stöd för juridisk tolkning
Det finns olika typer av stöd som kan bidra till att åstadkomma en mer ensad tolkning av juridiken, såsom allmänna råd, handböcker och andra vägledningar framtagna av statliga myndigheter samt branschstandarder, uppförandekoder och andra riktlinjer. Mer eller mindre formella nätverk och forum existerar också för att behandla frågor av detta slag. I kommande avsnitt redogörs kort för dessa olika former av stöd.
Det råder viss begreppsförvirring och/eller överlappande betydelse när det gäller användningen av begreppen uppförandekod, branschstandard, standard och branschstandard. De används ibland synonymt och ibland med olika betydelse. Exempelvis används begreppet uppförandekoder ibland synonymt med begreppet branschstandard och ibland menas sådana uppförandekoder som regleras av dataskyddsförordningen.
På samma sätt används begreppen som rör de statliga myndigheternas olika stödjande produkter, så som riktlinjer, vägledningar, rekommendationer och handböcker ibland synonymt och ibland med olika betydelse.
När utredningen framöver i delbetänkandet talar om uppförandekoder eller koder så avses sådana uppförandekoder som regleras genom EU:s dataskyddsförordning. När vi talar om standarder menas sådana standarder som antagits av något nationellt eller internationellt standardiseringsorgan. När vi i betänkandet talar om en branschstandard menas en sådan som tagits fram av
39
Olika former av stöd för att underlätta rättstillämpningen | SOU 2023:83 |
5.2Allmänna råd och andra frivilliga stöd utgivna av statliga myndigheter
Statliga myndigheter kan ge ut allmänna råd eller andra vägledningar som beskriver eller tolkar innehåll i lagar och förordningar. Allmänna råd skiljer sig från föreskrifter genom att de inte är bindande vare sig för statliga myndigheter, kommuner, regioner eller enskilda. I 1 § författningssamlingsförordningen (1976:725) definieras allmänna råd som sådana generella rekommendationer om tillämpningen av en författning som anger hur någon kan eller bör handla i ett visst hänseende. Det behövs inget särskilt bemyndigande för att en myndighet ska få besluta om allmänna råd på sitt område (prop. 1983/84:119 s. 24). Allmänna råd har en särställning från annat typ av stöd eftersom det ställs vissa krav på sådana i författningssamlingsförordningen. Allmänna råd ska tryckas eller på annat sätt mångfaldigas och tillhandahållas allmänheten. Enligt författningssamlingsförordningen kan de allmänna råden publiceras i en särskild serie eller tas in i en författningssamling, antingen fristående eller sammanförda med en författning
Det finns även andra vägledningar som har som syfte att underlätta för aktörerna vid rättstillämpningen.
Handböcker syftar ofta till att underlätta tillämpningen av det regelverk som gäller inom ett visst område. Innehållet bygger som regel på lagstiftning, förordning, myndighetsföreskrifter allmänna råd, förarbeten, rättsfall och beslut från Justitieombudsmannen. Flera statliga myndigheter har valt att ge ut handböcker inom sitt kompetensområde. Exempel på sådana handböcker är Myndigheten för samhällsskydd och beredskaps, förkortad MSB, Handbok i kommunal krisberedskap och Socialstyrelsens handbok, Journalföring och behandling av personuppgifter i hälso- och sjukvården.1 Socialstyrelsen ger också ut vägledningar med rubriken meddelandeblad som innehåller nyheter från myndigheten, ofta om juridiska frågor. De kan också innehålla information om ändringar i lagstiftningen. I meddelandebladen beskriver de ofta vad som gäller på ett mer lättillgängligt sätt än ren lagtext, meddelandebladen innehåller dock inga rekommendationer om handlingssätt.
1Journalföring och behandling av personuppgifter i hälso- och sjukvården, Handbok vid tillämpningen av Socialstyrelsens föreskrifter och allmänna råd
40
SOU 2023:83 | Olika former av stöd för att underlätta rättstillämpningen |
Det finns statliga myndigheter som har, eller har fått i uppdrag att ge stöd i förhållande till ett visst område eller i viss fråga och som har resulterat i olika vägledningar och annat stöd. Vägledningarna har ibland endast haft en avsändare men i vissa fall har det varit ett samarbete med andra statliga myndigheter och har då resulterat i myndighetsgemensamma vägledningar. Ett exempel på en sådan är Myndighetsgemensam vägledning vid hedersrelaterad brottslighet. Nationella kompetensteamet mot hedersrelaterat våld och förtryck (Nationella kompetensteamet) vid Länsstyrelsen Östergötland fick i uppdrag att samordna ett myndighetsgemensamt uppdrag om information och vägledning i arbetet mot hedersrelaterad brottslighet. Vägledning är framtagen av Nationella kompetensteamet i samverkan med Brottsoffermyndigheten, Nationellt kunskapscentrum Barnafrid vid Linköpings universitet, Skolverket, Socialstyrelsen, Polismyndigheten och Åklagarmyndigheten. Den ska både ge visst stöd i nämnda aktörers eget arbete och belysa samverkanskedjan mellan berörda aktörer avseende såväl den förebyggande som den transnationella dimensionen.
Digg har en instruktionsenlig uppgift att ge vägledning till den offentliga förvaltningen i juridiska frågor inom ramen för den förvaltningsgemensamma digitaliseringen (se avsnitt 3.2.4).
Digg har fått ett uppdrag att stödja regeringens arbete med fortsatt digitalisering i verksamheter inom skolan, hälso- och sjukvården och socialtjänsten genom att identifiera rättsliga hinder.2 I uppdraget, även kallat Välfärdsuppdraget, fokuserar Digg på två delar. Det handlar dels om att identifiera, utreda och regelbundet lämna förslag på anpassningar av regler och regelverk för att möjliggöra behovsbaserad och ändamålsenlig digitalisering, dels att utforska och pröva nya arbetssätt för att uppnå en mer dynamisk regelutveckling för att möta den snabba teknikutvecklingen.3
Digg har också i uppdrag att vara en stödjande myndighet i förhållande till lagen om tillgänglighet till digital offentlig service, förkortad
2Regeringen (2022) Uppdrag att stödja regeringens arbete med fortsatt digitalisering av välfärden genom att identifiera rättsliga hinder.
3Digg (2022) Uppdrag att stödja regeringens arbete med fortsatt digitalisering av välfärden genom att identifiera rättsliga hinder. Delredovisning 1 december 2022 (dnr
41
Olika former av stöd för att underlätta rättstillämpningen | SOU 2023:83 |
Vidare har Statskontoret regeringens uppdrag att främja arbetet mot korruption vid de statliga förvaltningsmyndigheterna. Detta innebär bland annat att de tar fram olika typer av stödmaterial, genomför utbildningar och seminarier och medverkar i olika sammanhang där de kan sprida kunskap. Statskontoret har tagit fram ett stöd de kallar Rapporteringskanaler enligt visselblåsarlagen – överväganden och praktiska råd i syfte att stödja de aktörer som träffas av reglerna i visselblåsarlagen.
Integritetsmyndigheten ger i Vägledning vid kamerabevakning övergripande information om vad som gäller vid kamerabevakning, vägledning med förslag på arbetsgång för verksamheter som planerar att kamerabevaka, samt 18 områdesbeskrivningar där ansökningar och beslut beskrivs mer i detalj för att ge vägledning till olika aktörer. På hälso- och sjukvårdens område har IMY tagit fram en vägledning för behovs- och riskanalys inom hälso- och sjukvården.4 IMY har i sitt innovationsarbete med att testa regulatorisk testverksamhet tagit fram en rapport om federerad maskininlärning mellan två vårdgivare.5 En del av IMY:s målbild är att underlätta för privata och offentliga verksamheter genom att ta tydlig ställning i rättsliga frågor och bidra till att utveckla praxis. Myndigheten tar därför fram vägledning för att ge stöd till verksamheter i ett systematiskt arbete med dataskydd och integritetsvänlig digitalisering. Rättsliga ställningstaganden är en ny form av vägledning från IMY där de redovisar sin uppfattning i rättsliga frågor när det saknas vägledande domstolspraxis eller vägledning från europeiska dataskyddsstyrelsen (European Data Protection Board), förkortad EDPB. Under 2022 publicerade de tre nya rättsliga ställningstaganden, ett om rätten till borttagande av sökträffar vid publiceringar i nyhetsmedier, ett klargör IMY:s tolkning av ett undantag för journalistiska ändamål som finns i dataskyddslagen. Det tredje rör möjligheten att behandla uppgift om förvaltarskap i kreditupplysningsverksamhet. Myndigheten har också startat en regulatorisk testverksamhet för innovationsaktörer, där IMY ger fördjupad vägledning i dialog. Pilotprojektet handlar om decentraliserad AI och hälsodata.6
Ett exempel på hur ett juridiskt stöd för just hanteringen av hälsodata kan vara utformat är den redovisning som Utredningen om rätt
4Datainspektionen (2020) Behovs- och riskanalys inom hälso- och sjukvården – en vägledning.
5IMY (2023) Federerad maskininlärning mellan två vårdgivare.
6Integritetsskyddsmyndigheten (2023) Årsredovisning 2022.
42
SOU 2023:83 | Olika former av stöd för att underlätta rättstillämpningen |
information i vård och omsorg (S 2011:13) lämnade. Utredningen fick i uppdrag att i en delredovisning beskriva de möjligheter som befintlig lagstiftning ger för att kunna utbyta uppgifter där så anses nödvändigt.7 I stället för en traditionell och mer teoretisk genomgång av gällande lagstiftning valde utredningen att utforma delredovisningen som ett verktyg anpassat för en verksamhetsnära nivå. Delredovisningen består framför allt av 80 frågor och svar om informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. För varje frågeställning finns ett mer utförligt resonemang i dokumentets anteckningssidor. Läsaren rekommenderas att ta del av dessa anteckningssidor för ett korrekt och mer nyanserat svar på respektive fråga. Därutöver lämnade utredningen i bilaga 4 till sitt slutbetänkande frågorna och svaren i skriftlig form tillsammans med tre promemorior som förklarar lite mer utförligt vad som gäller inom de tre områdena som respektive promemoria omfattade.8 Materialet togs fram av utredningen inklusive utredningens expertgrupp där bland annat myndigheter och organisationer som Datainspektionen (nuvarande IMY), Socialstyrelsen, Inspektionen för vård och omsorg, Sveriges Kommuner och Landsting (nuvarande Sveriges Kommuner och Regioner), Statens
7Dir. 2013:43 Tilläggsdirektiv till Utredningen om rätt information i vård och omsorg (S 2011:13).
8SOU 2014:23 Rätt information på rätt plats i rätt tid.
9
10Vetenskapsrådet (2022) Uppdrag om rådgivande funktion för bättre nyttjande av hälsodata.
43
Olika former av stöd för att underlätta rättstillämpningen | SOU 2023:83 |
5.3Standarder som stöd för regelefterlevnad
En standard är en gemensam lösning på ett återkommande problem. Syftet med standarder är att skapa enhetliga och transparenta rutiner som aktörerna kan enas kring. Det finns olika typer av standarder. En svensk standard är en standard som antagits av något av Sveriges tre nationella standardiseringsorgan, det vill säga Svenska institutet för standarder, SIS, Svensk Elstandard, SEK, eller Svenska Informations- och
En europisk standard är på motsvarande sätt en standard som antagits av någon av de europeiska standardiseringsorganisationerna, European Committee for Standardization, CEN, European Committee for Electrotechnical Standardization, CENELEC, eller European Telecommunications Standards Institute, ETSI.
Det finns exempelvis en omfattande svensk standard för kvalitet i omsorg, service, omvårdnad och rehabilitering för äldre med omfattande behov i ordinärt och särskilt boende. Standarden strukturerar och konkretiserar innehållet i nu gällande lagar, förordningar och föreskrifter samt riktlinjer, vägledningar, kunskapsstöd och liknande dokument av normerande karaktär. Ett primärt användningsområde för standarden är att den som ansvarar för verksamheten utifrån denna standard kan planera, leda och genomföra samt systematiskt utvärdera och förbättra verksamheten. Inför upphandling av utförare kan kommuner använda standarden som upphandlingsunderlag och därmed även som ett stöd vid uppföljning. Standarden är också tänkt att kunna användas som underlag vid utbildning och kompetensutveckling av personal inom omsorg, service, omvårdnad och rehabilitering av äldre.11
Enligt Socialstyrelsens allmänna råd bör vårdgivare använda svenska standarder för informationssäkerhet då ledningssystem byggs upp. Användningen av den svenska standardserien för informationssäkerhet
11Svenska institutet för standarder (2015). Kvalitet i omsorg, service, omvårdnad och rehabilitering för äldre med omfattande behov i ordinärt och särskilt boende SS 872500:2015.
12
44
SOU 2023:83 | Olika former av stöd för att underlätta rättstillämpningen |
5.4Branschstandarder, branschnormer och andra vägledningar
Ibland väljer olika
Branschstandarder hjälper till att skapa rutiner för hur man arbetar inom en viss bransch. Ett exempel är Rex – Svensk standard för redovisningsuppdrag som är normgivande för god sed vid utförandet av redovisningsuppdrag. Standarden har utvecklats av branschorganisationen Srf konsulterna och bygger på fastställda principer för 15 000 auktoriserade redovisningskonsulter i Norden. Ett annat exempel är branschstandarden för taksäkerhet som har utvecklats av Taksäkerhetskommittén, TSK, vilket är en gemensam satsning mellan branschpartners och organisationer som arbetar med att förebygga och minska risken för olycksfall vid takarbeten. Branschstandarden för taksäkerhet bygger på Boverkets regler, arbetsmiljölagen, Arbetsmiljöverkets föreskrifter AFS samt aktuella SIS- standarder och europeiska standarder.
En annan typ av stöd är de vägledningar och ställningstaganden som tas fram av eSamverkansprogrammet, eSam. eSam är ett medlemsdrivet program för samverkan mellan 36 statliga myndigheter. En stor del av verksamheten handlar om att samla kompetenser inom komplexa och gemensamma områden (till exempel juridiska frågor) för att ta fram vägledningar och rekommendationer eller checklistor som skapar nytta för medlemmarna. Exempel på sådant som publicerats är Vägledande principer för digital samverkan och checklista Juridik vid användning av AI.
I Norge finns den så kallade Normen som är en branschnorm för informationssäkerhet och dataskydd för vård- och omsorgssektorn. Normen är en sammanställning av lagstiftningens krav på informationssäkerhet, men ställer ibland också ytterligare krav. Det innebär att Normen ställer krav som specificerar och kompletterar gällande regelverk. Normen behandlas mer utförligt i kapitel 6.
45
Olika former av stöd för att underlätta rättstillämpningen | SOU 2023:83 |
5.5Uppförandekoder enligt dataskyddsförordningen
En uppförandekod är enligt artikel 40.1 0ch 40.2 i EU:s dataskyddsförordning en frivillig möjlighet för sammanslutningar som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden inom en viss bransch eller sektor, att specificera hur man i praktiken ska tillämpa dataskyddsförordningens bestämmelser.
Uppförandekoder är möjliga även om det finns nationella bestämmelser som med stöd i dataskyddsförordningen närmare reglerar hur uppgifter får behandlas inom en sektor. Uppförandekoder kan även omfatta verksamhet som bedrivs av myndigheter.
Europeiska dataskyddsstyrelsen som är ett oberoende europeiskt organ som bidrar till en enhetlig tillämpning av dataskyddsregler i hela EU, och bland annat består av företrädare för nationella dataskyddsmyndigheter, har tagit fram riktlinjer om uppförandekoder (Riktlinjer 1/2019 om uppförandekoder och övervakningsorgan enligt förordning (EU) 2016/679). Syftet med riktlinjerna är att ge praktisk rådgivning och tolkningsstöd vid tillämpningen av artiklarna 40 och 41 i dataskyddsförordningen.
5.5.1Företrädare för en uppförandekod
En uppförandekod kan enligt artikel 40.2 dataskyddsförordningen utarbetas av sammanslutningar av personuppgiftsansvariga eller andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden, (kodutfärdare). I EDPB:s riktlinjer nämns fackförenings- och intresseorganisationer, sektorsorganisationer, akademiska organisationer och intressegrupper som sådana organ som skulle kunna vara företrädare för en uppförandekod. Enligt samma riktlinjer måste kodutfärdare kunna bevisa för aktuell tillsynsmyndighet att de är ett representativt organ och att de kan sätta sig in i sina medlemmars behov. Vidare måste de tydligt ange vilken behandling eller sektor som uppförandekoden avser. Beroende på hur den berörda sektorn definieras och avgränsas kan representativiteten bedömas från bland annat följande faktorer:
•Antalet eller procentandelen potentiella kodmedlemmar från relevanta personuppgiftsansvariga eller personuppgiftsbiträden inom den sektorn.
46
SOU 2023:83 | Olika former av stöd för att underlätta rättstillämpningen |
•Det representativa organets erfarenhet av den sektor och behandling som uppförandekoden avser.
5.5.2Statliga myndigheters roll
Enligt artikel 40.1 EU:s dataskyddsförordning ska medlemsstaterna, de nationella tillsynsmyndigheterna (i vårt fall IMY), EDPB och
5.5.3Något om uppförandekodernas innehåll
Det står kodutfärdarna fritt att själva besluta vilka områden som de vill att koderna ska reglera, vilket gör att endast sådana områden som de personuppgiftsansvariga själva anser problematiska behöver utgöra innehållet i koden. Uppförandekoden måste emellertid innehålla bestämmelser om befogenheter för ett övervakningsorgan att övervaka om uppförandekoden följs av de personuppgiftsansvariga eller personuppgiftsbiträden som har åtagit sig att följa den.
I artikel 40.2 i dataskyddsförordningen räknas en icke uttömmande lista upp som exempel på områden där uppförandekoder kan specificera tillämpningen av dataskyddsförordningen.
Några av dessa är:
47
Olika former av stöd för att underlätta rättstillämpningen | SOU 2023:83 |
•Insamling av personuppgifter och pseudonymisering av personuppgifter.
•Information till allmänheten samt information till de registrerade och hur de kan utöva sina rättigheter.
•Information till och skydd av barn samt metoder för att erhålla föräldrarnas samtycke.
•Tekniska och organisatoriska åtgärder, såsom inbyggt dataskydd och dataskydd som standard samt säkerhetsåtgärder.
•Anmälan om överträdelser.
•Överföring av personuppgifter till tredjeländer.
Koden ska inte bara vara en omskrivning av dataskyddsförordningen, utan reglerna ska vara entydiga, konkreta och genomförbara. Den ska fastställa realistiska och genomförbara standarder för de som ska tillämpa den.13
5.5.4Syfte med uppförandekoder
En godkänd uppförandekod kan enligt dataskyddsförordningen användas av personuppgiftsansvariga och dess biträden för att visa att de fullgör sina skyldigheter och uppfyller kraven i förordningen. Att en personuppgiftsansvarig eller ett personuppgiftsbiträde har tillämpat en godkänd uppförandekod ska även beaktas vid beslut om en eventuell sanktionsavgift och storleken på sanktionsavgiften. Om tillsynsmyndigheten exempelvis anser att de åtgärder som kodens övervakningsorgan vidtar mot den som brustit i efterlevnaden är tillräckligt effektiva, proportionerliga eller avskräckande kan myndigheten avstå från sanktioner.
I EDPB:s riktlinjer framförs att uppförandekoder kan vara en praktisk, insynsvänlig och potentiellt kostnadseffektiv metod som underlättar den praktiska tillämpningen av dataskyddsprinciperna. De anför också att uppförandekoder kan skapa tillit och rättssäkerhet genom att praktiska lösningar ges på vissa sektorers problem med gemensam personuppgiftsbehandling Då en uppförandekod ut-
13
48
SOU 2023:83 | Olika former av stöd för att underlätta rättstillämpningen |
arbetas har personuppgiftsansvariga och personuppgiftsbiträden viss möjlighet att komma överens om och själva formulera bästa praxis för behandling av personuppgifter inom sin bransch. EDPB anser därför att de personuppgiftsansvariga, som har stor kunskap om vilka utmaningar och frågor kring den behandling av personuppgifter som är särskilt viktiga för branschen, har goda förutsättningar att hitta praktiska lösningar på även mer komplexa delar av personuppgiftsbehandlingen. Genom att gemensamt ta fram riktlinjer för alla aktörer i branschen skulle därför koderna bidra till ett kostnadseffektivt sätt att tolka och följa dataskyddsreglerna, framför allt för små och medelstora aktörer.
En annan nytta som nämns är att uppförandekod även skulle kunna bidra till enhetlighet i dataskyddet inom en bransch. Dessutom skulle det ge de registrerade bättre inblick i, och förståelse för, den behandling av personuppgifter som utförs. Personuppgiftsansvariga och personuppgiftsbiträden skulle i mindre utsträckning behöva förlita sig på tillsynsmyndigheter vid behov av mer utförliga anvisningar vid enstaka specifika behandlingar. Slutligen menar dataskyddsstyrelsen att en uppförandekod kan medföra nytta vid tredjelandsöverföring. Detta eftersom en tredje part i vissa fall kan använda en godkänd uppförandekod för att uppfylla de rättsliga kraven om att vidta lämpliga skyddsåtgärder vid internationella överföringar av personuppgifter till tredjeländer.
5.5.5Något om övervakningsorgan och uppföljning
Uppförandekoden ska innehålla bestämmelser som gör det möjligt för ett övervakningsorgan att övervaka om uppförandekoden följs. Övervakningsorganet ska ackrediteras av IMY, som även har tagit fram kriterier för ackrediteringen.14 Oavsett om en verksamhet omfattas av en uppförandekod har IMY fortsatt möjlighet att utöva tillsyn över verksamhetens behandling av personuppgifter enligt artikel 41.1 i dataskyddsförordningen.
Övervakningsorganet är enligt artikel 41.4 dataskyddsförordningen skyldiga att vidta lämpliga åtgärder om en personuppgiftsansvarig eller ett personuppgiftsbiträde överträder uppförandekoden.
14Integritetsskyddsmyndigheten (2023) Fastställande av krav för ackreditering av övervakningsorgan.
49
Olika former av stöd för att underlätta rättstillämpningen | SOU 2023:83 |
Det omfattar avstängning eller uteslutande av den personuppgiftsansvarige eller personuppgiftsbiträdet från uppförandekoden. Övervakningsorganet ska dessutom informera den behöriga tillsynsmyndigheten om åtgärderna och skälen för att åtgärderna vidtagits.
Ett övervakningsorgan kan enligt artikel 83.4 i dataskyddsförordningen bli föremål för administrativa sanktionsavgifter om det inte fullgör sina uppgifter i enlighet med förordningen.
För att ett övervakningsorgan ska kunna ackrediteras måste kodutförarna enligt artikel 41.2 i dataskyddsförordningen visa att organet har
•visat sitt oberoende och sin expertis i förhållande till uppförandekodens syfte,
•upprättat förfaranden som gör det möjligt att bedöma de berörda personuppgiftsansvarigas och personuppgiftsbiträdenas lämplighet att tillämpa uppförandekoden, övervaka att de efterlever dess bestämmelser och regelbundet se över hur den fungerar,
•upprättat förfaranden och strukturer för att hantera klagomål om överträdelser av uppförandekoden eller det sätt på vilket uppförandekoden har tillämpats, eller tillämpas, av en personuppgiftsansvarig eller ett personuppgiftsbiträde, och för att göra dessa förfaranden och strukturer synliga för registrerade och för allmänheten, och
•visat att dess uppgifter och uppdrag inte leder till en intressekonflikt.
Enligt riktlinjerna från EDPB kan oberoendet påvisas på flera olika sätt, till exempel genom hur övervakningsorganet finansieras, hur medlemmarna/personalen utses, hur beslutsfattandet går till och generellt hur organisationsstrukturen ser ut. För att uppfylla kravet på expertis bör dokumentationen som lämnas in som underlag för ackrediteringen innehålla uppgifter om organets kunskap och erfarenhet i fråga om dataskyddslagstiftningen samt den sektor eller behandling som avses. Detta krav kan enligt riktlinjerna till exempel uppfyllas om det kan visas att övervakningsorganet tidigare har haft en övervakande funktion för en viss sektor.
Vidare anges att organet även måste ha lämpliga strukturer och förfaranden för sin egen styrning så att det på ändamålsenligt sätt
50
SOU 2023:83 | Olika former av stöd för att underlätta rättstillämpningen |
kan bedöma personuppgiftsansvarigas och personuppgiftsbiträdens tillämpning av uppförandekoden, övervaka att bestämmelserna följs och att kontrollera att uppförandekoden fungerar. Som exempel på översynsmekanismer nämns bland annat omfattande prövningsförfaranden för lämplighet att ansluta sig till och följa uppförandekoden, slumpvisa eller oanmälda revisioner, årliga inspektioner och regelbunden rapportering.
Som exempel på ett befintligt förfarande för klagomålshantering ges i riktlinjerna en beskrivning av en process för att ta emot, bedöma, spåra, registrera och hantera klagomål. Detta förfarande kan beskrivas i en offentlig vägledning kopplad till uppförandekoden, genom vilken en klagande kan förstå och följa klagomålsprocessen. Dessutom menar dataskyddsstyrelsen att oberoendet i sådana processer skulle kunna främjas av att det finns separat operativ personal och separata ledningsfunktioner vid övervakningsorganet. I riktlinjerna anges även att organet ska kunna delge behörig tillsynsmyndighet alla de åtgärder som vidtas av övervakningsorganet med avseende på uppförandekoden.
Enligt artikel 41.2 i dataskyddsförordningen behöver offentliga myndigheter och organ som är anslutna till en uppförandekod inte övervakas av ett övervakningsorgan.
5.5.6Befintliga godkända uppförandekoder
Om de behöriga tillsynsmyndigheterna godkänner ett utkast till uppförandekod måste de enligt artikel 40.6 i dataskyddsförordningen registrera och offentliggöra uppförandekoden. Detta kan exempelvis göras genom publicering på tillsynsmyndighetens webbplats. Enligt artikel 40.11 måste dessutom EDPB offentliggöra alla inom EU godkända uppförandekoder. I dag finns det ännu inga i Sverige godkända uppförandekoder. På EDPB:s hemsida finns för närvarande sex uppförandekoder publicerade.15
15
51
Olika former av stöd för att underlätta rättstillämpningen | SOU 2023:83 |
5.6Råd, nätverk och forum
Det finns råd, nätverk och andra forum som stödjer aktörerna inom hälso- och sjukvården på olika sätt i förhållande till lagtillämpning, exempelvis med informationssäkerhetsarbete. Här nedan redovisar vi för några av dem.
Den nationella strategin för
Hos SKR finns Informationssäkerhetsnätverket Sveriges Kommuner (KIS)18 samt Hälso- och sjukvårdens informationssäkerhetsnätverk (HoSIS)19 som är nätverk för dem som har ett ansvar för arbetet med informationssäkerhet i kommuner respektive regioner och hos privata vårdgivare. Nätverkens syfte är att stärka informationssäkerhetsarbetet genom omvärldsbevakning, informationsdelning och erfarenhets- och kunskapsutbyte. Nätverken möts några gånger per år och har en digital samverkansyta för löpande erfarenhetsutbyte.
För att förenkla kommuners och regioners genomförande av informationsklassning har SKR tagit fram verktyget KLASSA20 som ska hjälpa verksamheten att välja rätt åtgärder för att skydda information.
16Regeringen och SKR (u.å.) En strategi för genomförande av Vision
17Regeringen och SKR (u.å.) En strategi för genomförande av Vision
18https://skr.se/naringslivarbetedigitalisering/digitalisering/arkitektursakerhet/informations sakerhet/natverketkis.26768.html
19https://skr.se/skr/naringslivarbetedigitalisering/digitalisering/arkitektursakerhet/informat ionssakerhet/natverkethosis.26834.html
20https://klassa.skr.se/
52
SOU 2023:83 | Olika former av stöd för att underlätta rättstillämpningen |
Vid Inera, kommunernas och regionernas digitaliseringsbolag med uppdrag att utveckla välfärden, finns Juridik- och informationssäkerhetsrådet, även kallat
53
6 Normen
6.1Bakgrund
I Norge har man i över 20 år arbetat med en branschnorm för informationssäkerhet för vård- och omsorgssektorn. Integritetskommittén,
Norsk Helsenett SF (statligt ägt bolag) är leverantör av en nationell infrastruktur för elektronisk kommunikation inom hälsosektorn, ”Helsenettet”. För att vara kopplad till och nyttja detta nätverk måste vårdgivaren ingå ett anslutningsavtal med företaget. Genom detta avtal är den enhet som anslutits till infrastrukturen skyldig att följa de fastställda principerna i Normen. Genom denna ordning säkerställs att hälso- och sjukvårdsleverantörerna kan vara förvissade om att även mottagarna av hälsorelaterade data inom nätverket, uppfyller kraven i Normen. Att inte uppfylla Normens informations-
1Se avsnitt 3.2 för mer utförlig beskrivning.
2
55
Normen | SOU 2023:83 |
säkerhetsstandarder kan leda till uteslutning av den avtalsbrytande enheten från Helsenettet.3
Normen riktar sig till alla företag som genom avtal åtagit sig att följa Normen – i praktiken de flesta av branschens drygt tiotusen företag och deras leverantörer.
Normen syftar till att bidra till tillfredsställande informationssäkerhet och integritet i det enskilda företaget, i gemensamma system och infrastruktur samt inom sektorn i allmänhet. Normen ska bidra till att säkerställa att ett företag som följer Normen har lämpliga tekniska och organisatoriska åtgärder för informationssäkerhet och integritet vid sin behandling av hälsodata.
6.2Förvaltning och styrning
Normen godkänns och förvaltas av en brett sammansatt styrgrupp av representanter från sektorn där berörda myndigheter, professionsorganisationer, Norsk Helsenett och representanter för regionala huvudmän ingår. Vid beslut kring principiellt viktiga frågor som behandlas av styrgruppen eftersträvas enhällighet. Vid sidan av styrgruppens medlemmar finns en sammansättning av observatörer bestående av bland annat representanter från patientorganisationer och Digtaliseringsdirektoratet. Observatörerna har samma möjlighet att vara med på möten, ta del av underlag och lägga fram förslag som medlemmarna i styrgruppen men har inte någon röst vid beslutfattandet.
Normens dagliga arbete koordineras genom ett kansli som är placerat på Direktoratet for
6.3Normens innehåll och uppbyggnad
Normen består av ett huvuddokument där de väsentliga bestämmelserna kommer till uttryck. Som bilagor till huvuddokumentet finns stödmaterial i form av bland annat riktlinjer och ett
3
56
SOU 2023:83 | Normen |
och stödmaterialet efter att täcka både de allmänna delarna av informationssäkerheten och dataskyddet samt de mer specifika sådana.
Normen är en sammanställning av lagstiftningens krav på informationssäkerhet och dataskydd men specificerar och kompletterar även gällande regelverk. Normen är dock inte heltäckande utan det finns exempelvis krav i olika lagstiftningar som gäller utöver de krav som finns i Normen.
Hittills har det kommit ut sex versioner av Normen, varav den senaste började gälla den 5 februari 2020. På Normens webbplats finns förutom själva Normen de olika stöddokument som riktar sig till olika verksamheter och ansvarsnivåer.4
Exempel på vägledningar som tagits fram är guide till digital patientkommunikation, guide till sekretess och informationssäkerhet för medicintekniska produkter, faktablad för test och testdata, och faktablad för åtgärder för konvertering och ersättning av elektroniska journaler.
6.4Framgångsfaktorer och svårigheter
Kansliet för Normen har vid samtal med utredningens sekretariat framfört framgångsfaktorer och svårigheter med Normens form och organisation som deras medlemmar lyft.
Framgångsfaktorer som lyfts är bland annat;
•Att beslut fattas genom konsensus. I Normen fastställs att enhällighet eftersträvas i de principfrågor som behandlas av styrkommittén.
•Att alla viktiga intressenter är representerade.
•Att det är en branschspecifik vägledning.
•Att den ger praktiska råd om bästa praxis.
•Att det utgör en arena för informationssäkerhet och integritetsfrågor.
•Att det är en samordningslänk med andra sektorer.
•Att den är bindande efter överenskommelse.
4
57
Normen | SOU 2023:83 |
•Att den tas fram i samarbete med lagstiftande myndigheter.
•Att den finansieras av regeringen.
•Att den har ”Låg budget – högt värde”.
•Att den förenklar och gör komplicerad lagstiftning tillgänglig.
Svårigheter som lyfts är bland annat;
•Att formen inte är lämplig för ensidig och "stark" kontroll.
•Att det är en fragmenterad och heterogen sektor som har olika behov.
•Att det är svårt att följa upp om kraven följs.
•Att det är många dokument som behöver uppdateras och revideras löpande.
6.5Normen är inte en uppförandekod
Normen är för närvarande inte en godkänd uppförandekod enligt reglerna om uppförandekoder i artiklarna 40 och 41 i dataskyddsförordningen. Styrgruppen för Normen har dock tidigare beslutat att Normens kansli ska verka för att Normen ska bli en godkänd uppförandekod. 2020 skickades därför Normversion 5.3 till den norska dataskyddsmyndigheten för godkännande. Ansökan avslogs då på grund av brist på ett identifierat och föreslaget övervakningsorgan. Frågan är för närvarande lagd på is.
58
UTGÅNGSPUNKTER
59
7Utgångspunkter för utredningens förslag
Digitalisering har stora möjligheter att förbättra för patienter och effektivisera vårdens processer. Införandet av digitala lösningar och automatisering kan frigöra tid så att personal kan ägna större del av sin arbetsdag åt patientmötet och andra kvalificerade uppgifter som i sin tur kan höja verksamhetens kvalitet. En grundläggande förutsättning för hälso- och sjukvårdens digitalisering är möjligheterna att behandla stora mängder uppgifter av känslig karaktär. Både uppgiftssamlingarnas storlek och antalet aktörer som delar information inom hälso- och sjukvårdens område har ökat väsentligt de senaste åren. För att bibehålla allmänhetens förtroende behöver denna information hanteras korrekt och inte hamna i orätta händer.
Flera aktörer som utredningen varit i kontakt med framhåller att det råder osäkerhet om de rättsliga förutsättningarna för hur man får hantera och dela information samt hur digitala tjänster får utformas. Osäkerheten finns på olika organisatoriska nivåer, både hos beslutsfattare inom kommuner, regioner och privata vårdgivare samt hos enskilda medarbetare Detta framkommer även i tidigare utredningar och myndighetsrapporter. Osäkerheten tycks leda till att regelverkens faktiska utrymme till effektiv informationshantering, inte alltid nyttjas till fullo. Att det råder osäkerhet kopplad till tillämpningen av rättsreglerna på området utgör hinder för en effektiv digitalisering av hälso- och sjukvården.
En annan utmaning som hindrar en effektiv utveckling av vårdens digitalisering är att patientuppgifter inte hanteras på ett enhetligt sätt i alla delar av landet. Regionerna, som är ansvariga för en stor del av hälso- och sjukvården, har stort inflytande när reglerna tolkas. Nätverket för Sveriges regioners
61
Utgångspunkter för utredningens förslag | SOU 2023:83 |
regeltolkning och en harmonisering. Privata vårdaktörer som verkar i flera regioner har till utredningen framfört att harmonisering skulle skapa bättre förutsättningar för dem att bedriva sin verksamhet. Aktörerna framhåller att de i dag måste hantera information och data på olika sätt i olika regioner på grund av regionernas varierande tillämpning av reglerna.
Det står i dag regionerna fritt att hantera hälsodata utifrån respektive regions egen tolkning och det ingår inte i regionernas uppdrag att agera samlat i syfte att adressera variationen. För de statliga myndigheterna, med nuvarande uppdrag och instruktioner, har harmonisering inte varit ett uttryckligt uppdrag. Harmoniserad tillämpning har därmed inte varit en uttalad prioriterad fråga vare sig för regionerna eller de statliga myndigheterna.
Ovan beskrivna utmaningar motiverar utredningen att överväga förändringar i hur staten styr i dessa frågor. Förslag om så kallad hård styrning i form av lag, förordning eller myndighetsföreskrift är dock inte förenligt med utredningens direktiv gällande den här delen av uppdraget (se avsnitt 2.2). Utredningen har därför analyserat och övervägt andra handlingsalternativ för staten.
Utredningen har övervägt om staten skulle kunna stimulera hälso- och sjukvårdens aktörer att utarbeta uppförandekoder i dataskyddsförordningens mening. Staten kan dock inte själv besluta sådana koder åt hälso- och sjukvårdens aktörer (se avsnitt 2.2). Utredningen bedömer att de omfattande formaliakrav och krav på övervakningsorgan som följer med uppförandekoder riskerar att utgöra hinder för att uppförandekoder ska vara ett effektivt handlingsalternativ för staten. En uppförandekod är dessutom begränsad till att omfatta dataskydd och är även därför enligt utredningen en mindre lämplig lösning eftersom hälso- och sjukvårdens aktörer har behov av stöd för rättstillämpningen för hela det regelverk som reglerar vårdens informationshantering. Utredningen har också övervägt om staten skulle kunna stimulera framtagandet av en branschstandard som ger stöd och vägledning för hur olika rättsregler kan tillämpas. En branschstandard har inte samma formaliakrav eller begränsning gällande omfattning som uppförandekoder. I båda fallen skulle dock en statlig myndighet i huvudsak bara kunna samordna, koordinera och främja utarbetandet av en uppförandekod respektive branschstandard.
En sådan ordning följer inte gängse myndighetsstruktur och skulle enligt utredningen riskera att bli otydlig och svårhanterlig för
62
SOU 2023:83 | Utgångspunkter för utredningens förslag |
den myndighet som ges i uppdrag att hålla samman arbetet (se avsnitt 10.5). Dessutom skulle en sådan ordning förutsätta frivilligt och ofinansierat engagemang av aktörerna som stödet vänder sig till, något som också kan utgöra ett hinder för framdriften av stödet.
Utredningen anser att staten kan och bör göra mer än att samordna, koordinera och främja hälso- och sjukvårdens aktörer att självmant och på frivillig basis utarbeta stöd. Enligt utredningen finns det ett outnyttjat utrymme för de statliga myndigheterna att inom sina verksamhetsområden ge stöd och vägledning i juridiska frågor om hantering av information för hälso- och sjukvårdens digitalisering. Orsakerna till det outnyttjade handlingsutrymmet kan bero på bristande finansiering, otydligt ansvar för uppgiften, osäkert rättsligt läge eller otydligheten kring allmänna rådens rättsliga status. En statlig myndighet bör därför få i uppdrag att prioritera frågorna och samordna de statliga myndigheternas stöd och vägledning till hälso- och sjukvårdens aktörer i juridiska frågor rörande hanteringen av information för hälso- och sjukvårdens digitalisering. Myndighetens uppdrag bör riktas mot områden där störst nytta för systemet som helhet kan uppnås.
Utredningen menar att de juridiska områdena kan överlappa vilket gör det angeläget att inte på förhand avgränsa arbetet till vissa områden. Arbetet bör därför kunna omfatta all reglering kring informationshantering inom hälso- och sjukvårdens digitalisering, inte bara dataskydd. Ett ändamålsenligt stöd till hälso- och sjukvårdens aktörer förutsätter att myndigheten samverkar med statliga myndigheter samt för dialog och samarbetar med hälso- och sjukvårdens aktörer.
63
ÖVERVÄGANDEN OCH FÖRSLAG
65
8Åtgärder för att underlätta hälso- och sjukvårdens digitalisering
8.1Rättslig osäkerhet och upplevda rättsliga hinder behöver prioriteras
Interoperabilitet handlar om förmågan och möjligheten hos system, organisationer eller verksamhetsprocesser att fungera tillsammans och kunna kommunicera med varandra genom att följa överenskomna regler. Det europeiska ramverket för interoperabilitet (European Interoperability Framework, EIF), som ligger till grund för Svenskt ramverk för digital samverkan, utgår från interoperabilitetens fyra lager; juridisk, organisatorisk, semantisk och teknisk. Ramverket tydliggör att alla fyra lager behöver hanteras för att uppnå önskad nivå av interoperabilitet.
Det juridiska lagret, juridisk interoperabilitet, tar ofta sikte på det som styr samarbetet och informationsutbytet i form av lagar, förordningar, myndighetsföreskrifter.1 En vanlig utgångspunkt är att juridisk interoperabilitet handlar om de rättsliga möjligheter och begränsningar som finns för att samarbeta och utbyta information mellan parter.2
En mer funktionell, och för utredningens uppdrag relevant, utgångspunkt är att säga att juridisk interoperabilitet uppnås genom att aktörer som samarbetar och som får utbyta information har en gemensam och entydig syn på vad som är tillåtet. Aktörerna har därmed samma förutsättningar att hantera information i en given situation eller kontext. På motsvarande sätt kan sägas att juridisk interoperabilitet inte föreligger när en part i ett samarbete tolkar regelverket annorlunda eller upplever rättslig osäkerhet och därför antar en försiktig inställning. En sådan si-
1
2Se till exempel eSam (2016) Vägledning för digital samverkan s. 12.
67
Åtgärder för att underlätta hälso- och sjukvårdens digitalisering | SOU 2023:83 |
tuation hämmar samarbete, informationsutbyte och digitalisering och därmed utvecklingen av hälso- och sjukvården. Enligt Nätverket för Sveriges regioners
Effektivt gränsöverskridande samarbete och digitalisering förutsätter även att begrepp i regelverken tolkas på ett likartat sätt. Om aktörerna har olika uppfattning av innebörden av begreppen kan det medföra att regelverken tillämpas olika i samma situation.4
Utredningen menar alltså att juridisk interoperabilitet inte bara handlar om vilka lagar, förordningar, myndighetsföreskrifter som (inte) reglerar hanteringen av information vid digitalisering, utan även om hur aktörerna tolkar och tillämpar dem.
Många gånger upplever hälso- och sjukvårdens aktörer att det föreligger rättsliga hinder när information ska hanteras eller utbytas i olika situationer. Utredningens uppfattning är att många, för aktörerna upplevda, rättsliga hinder i själva verket är rättslig osäkerhet och rädsla att göra fel. Enligt utredningen är befintliga lagar och regelverk mer tillåtande än vad de upplevs vara. En orsak till dessa utmaningar kan vara den begränsade omfattningen av rättspraxis. Det skulle även kunna vara att vissa föreskrifter är dåligt kända eller svåra att förstå utan mer kännedom om bakomliggande lagar eller annat material.
Utredningen menar därför att statliga myndigheternas stöd och vägledning till hälso- och sjukvårdens aktörer i juridiska frågor kopplade till hantering av information vid digitalisering behöver stärkas i syfte att undanröja rättslig osäkerhet och upplevda rättsliga hinder. De statliga myndigheterna kan sprida större klarhet om vad som gäller genom att i större utsträckning ge ut rättsliga ställningstaganden, uppmärksamma vägledande uttalanden i propositioner eller annat stöd i syfte att säkerställa juridisk interoperabilitet när information hanteras eller delas.
Utredningen noterar samtidigt att det råder osäkerhet hos de statliga myndigheterna huruvida det är lämpligt att ge rekommendationer om rättstillämpning. Detta beror, som utredningen förstår det, mycket på den osäkerhet som råder om de allmänna rådens rättsliga
3SLIT (2023) IT och digitalisering i hälso- och sjukvården 2023, s. 7.
4Ett exempel är begreppet patientrelation som är en förutsättning för att få ta del av en patients journaler. Om de olika aktörernas tolkning skiljer sig åt för när en patientrelation uppstår kommer tillgången till data i journalen som ett led av de olika tolkningarna bli olika för samma situation.
68
SOU 2023:83 | Åtgärder för att underlätta hälso- och sjukvårdens digitalisering |
status. Det behövs inget bemyndigande för en myndighet att ge ut allmänna råd inom sitt verksamhetsområde och allmänna råd är inte heller rättsligt bindande för den som ska tillämpa rättsregeln. Samtidigt har allmänna råd i realiteten fått viss normerande effekt och uppfattas många gånger som tvingande trots att de inte är rättsligt bindande.5 Detta har enligt utredning bidragit till en försiktighet hos de statliga myndigheterna att ge rekommendationer om rättstillämpningen. Den främsta orsaken tycks vara risken att underminera riksdagens lagstiftningskompetens och regeringens förordningskompetens.
En alternativ väg för att hantera osäkerhet kring hur olika regelverk ska tillämpas är att göra befintliga lagar, förordningar och myndighetsföreskrifter mer detaljerade, eller att ge behöriga myndigheter utökad föreskriftsrätt. En sådan väg behöver dock ställas i relation till hur funktionella och framtidssäkrade författningarna då blir. Att ta fram en ny lag kan ta upp till tio år, en förordning kan ta två till tre år att besluta och en myndighetsföreskrift kan tas fram på mellan sex månader och ett år.6 Mot bakgrund av den tid och de samhällsresurser som krävs för att ta fram eller ändra en författning, och med hänsyn till de negativa effekter som alltför detaljerade författningar kan ge upphov till, menar utredningen att det är av stor vikt att aktörerna ges stöd och vägledning att använda hela det rättsliga utrymme som finns i befintlig lagstiftning innan ny eller ändrad författning övervägs.
Utredningen anser därför att rättslig osäkerhet behöver belysas och prioriteras i större utsträckning och hanteras genom ett utpekat statligt åtagande.
8.2Det statliga ansvaret för stöd och vägledning för hantering av information behöver tydliggöras
Den svenska förvaltningsmodellen innebär att landets 20 regioner och 290 kommuner har en långtgående självstyrelse samt att regeringen i stor utsträckning delegerar mandat och befogenheter till en rad olika statliga myndigheter, som var och en självständigt ansvarar
5Se vidare SOU 2007:10 Hållbar samhällsorganisation med utvecklingskraft s. 95 ff.
6Digg (2022) Uppdrag att stödja regeringens arbete med fortsatt digitalisering av välfärden genom att identifiera rättsliga hinder (dnr
69
Åtgärder för att underlätta hälso- och sjukvårdens digitalisering | SOU 2023:83 |
för, verkar och agerar inom sina sakområden. Förvaltningsmodellen innebär att varje myndighet, inklusive kommunala myndigheter och andra offentliga aktörer, själva ska tolka lagstiftningen (12 kap. 2 § RF). Det kan därför vara en utmaning att försöka harmonisera aktörernas tillämpning där det råder osäkerhet genom att statliga myndigheter tillhandahåller stöd och vägledning. För att åstadkomma en substantiell förflyttning i önskad riktning genom frivilligt stöd från de statliga myndigheterna behöver aktörerna som stödet riktar sig till, inte minst regionerna, också förstå syftet och nyttan med en mer harmoniserad tillämpning av regelverken. Aktörerna behöver förstå hur de genom sina val kan vara en del av en gemensam, säker och effektiv lösning.
De statliga myndigheterna i sin tur behöver i större utsträckning bistå med stödjande och vägledande åtgärder för att underlätta för hälso- och sjukvårdens aktörer att tillämpa reglerna. Detta kan göras på olika sätt, exempelvis genom att tillhandahålla olika stöd och vägledningar eller genom att tillhandahålla arenor där aktörer kan mötas över organisatoriska gränser för att utbyta erfarenheter och diskutera gemensamma problem och lösningar. Ett sådant gemensamt arbete främjar den juridiska interoperabiliteten.
Utredningen bedömer därför att arbetet med att undanröja osäkerheter och hinder för hanteringen av information inom ramen för hälso- och sjukvårdens digitalisering behöver tydliggöras och prioriteras, och styras mot följande mål:
•Underlätta tillämpningen av regelverk
•Harmonisera tillämpning av regelverk
•Identifiera förändringsbehov av regelverk.
De statliga myndigheternas arbete ska syfta till ökad regelefterlevnad och en säker och effektiv digitalisering inom hälso- och sjukvårdens område. Det är viktigt att organiseringen av det statliga arbetet ges goda förutsättningar att kunna realisera målen. Utredningen menar att det behövs en långsiktig struktur för åtagandet och att en statlig myndighet ska ges ett tydligt mandat och ansvar att hålla ihop arbetet. Utredningen bedömer att det är ett bättre alternativ att lägga samordningsansvaret för hälso- och sjukvårdens område på en utpekad myndighet än att fördela det på flera myndigheter. Den statliga myndighet som får samordningsansvaret för stöd
70
SOU 2023:83 | Åtgärder för att underlätta hälso- och sjukvårdens digitalisering |
och vägledning i de aktuella frågorna behöver ha legitimitet inom sitt verksamhetsområde och ha kunskap om hälso- och sjukvårdens informationsflöden. Myndigheten kan då dra nytta av och bygga vidare på befintlig kompetens och erfarenhet.
8.3Ett särskilt samordningsansvar för stöd och vägledning på hälso- och sjukvårdens område behöver införas
Bedömning: Det behövs ett samordningsansvar för stöd och vägledning på hälso- och sjukvårdens område. Detta stöd bör omfatta juridiska frågor rörande hantering av information inom ramen för hälso- och sjukvårdens digitalisering. Stödet och vägledningen ska riktas till såväl offentliga som privata aktörer.
Myndigheten för digital förvaltning har i uppgift att stötta och driva på digitaliseringen av hela den offentliga sektorn genom juridisk vägledning. Myndighetens rättsliga stöd riktas mot förvaltningsgemensamma digitaliseringsfrågor och ska vara ett stöd för de offentliga aktörernas eget arbete. Enligt Digg är en av de viktigaste effekterna av stödet att minska den rättsliga osäkerheten som är ett av de största hindren för digitalisering. Det rättsliga stödet är en möjlighet att motverka och minska detta genom att höja kompetensen i offentlig förvaltning.
Det finns två yttre ramar för Diggs uppgift att tillhandahålla rättsligt stöd. Rättsligt stöd ska endast tillhandahållas i frågor som är förvaltningsgemensamma, dessutom ska rättsligt stöd endast tillhandahållas i digitaliseringsfrågor.
Utredningen bedömer att det behövs ett områdesspecifikt samordningsansvar för juridisk vägledning inom hälso- och sjukvårdens område hos en statlig myndighet. Hälso- och sjukvårdens område kännetecknas av att en stor mängd känsliga personuppgifter behandlas och att det är en stor skara aktörer som behöver utbyta uppgifter med varandra, inte minst i syfte att åstadkomma en effektiv hälso- och sjukvård och ge en säker vård.
Utredningen bedömer att ansvaret för juridisk vägledning bör begränsas till juridiska frågor rörande hantering av information inom ramen för hälso- och sjukvårdens digitalisering. Detta för att inte uppdraget ska bli alltför omfattande. Stödet bör dock riktas till både offentliga och privata aktörer, detta på grund av den flora av både
71
Åtgärder för att underlätta hälso- och sjukvårdens digitalisering | SOU 2023:83 |
privata och offentliga aktörer sektorn omfattar samt den höga graden av samverkan dessa aktörer har med varandra.
Den samordningsansvariga myndigheten behöver särskilt samverka med Digg och beakta den juridiska vägledning som Digg tillhandahåller. Samverkan med Digg ska ske för att säkerställa att stöden inte är i konflikt med varandra och att det inte uppstår dubbelarbete.
En del av det arbete som utredningen menar ska ingå i den samordningsansvariga myndighetens uppgift har regeringen och SKR försökt att hantera inom ramen för arbetet med Vision
Genom att ge en statlig myndighet ett uttryckligt samordningsansvar för stöd och vägledning för hantering av information förtydligas frågans relevans för en effektiv digitalisering av hälso- och sjukvården. Ett samordningsansvar hos en statlig myndighet förtydligar även regeringens förväntningar på samtliga statliga myndigheter med verksamhetsområden som påverkar hälso- och sjukvårdens digitalisering att aktivt stödja hälso- och sjukvårdens aktörer i sådana juridiska frågor.
8.4
att samordna juridiskt stöd och vägledning på hälso- och sjukvårdens område
Bedömning:
7Regeringen och SKR (u.å.) En strategi för genomförande av Vision
8Statskontoret (2021) Vision
72
SOU 2023:83 | Åtgärder för att underlätta hälso- och sjukvårdens digitalisering |
De statliga myndigheter som har uppdrag och verksamheter kopplade till information om personers hälsa och annan data som genereras inom hälso- och sjukvården är främst Socialstyrelsen och
Socialstyrelsen är den kunskapsstyrande myndigheten för vård och omsorg. Socialstyrelsen ansvarar för föreskrifter och allmänna råd inom sitt verksamhetsområde och har bland annat bemyndigats att meddela föreskrifter om journalhandlingars innehåll och utformning. En stor del av Socialstyrelsens uppdrag handlar om att samla, skapa och sprida kunskap. Socialstyrelsen har enligt sin instruktion bland annat ansvar för att verka för att hälso- och sjukvården och socialtjänsten bedrivs enligt vetenskap och beprövad erfarenhet, ansvar för kunskapsutveckling och kunskapsförmedling inom sitt verksamhetsområde, för att skapa och tillhandahålla enhetliga begrepp, termer och klassifikationer inom sitt
73
Åtgärder för att underlätta hälso- och sjukvårdens digitalisering | SOU 2023:83 |
2023 förtydligades
Socialstyrelsen har särskild expertis inom hälso- och sjukvårdsjuridik och har en lång erfarenhet av både samordning och att ta fram stöd och vägledning inom sitt område. Som ovan nämnt är osäkerheten kring juridiken vid hantering av information ett av de största hindren för en effektiv digitalisering. Ett samordningsansvar för att undanröja dessa hinder bör därför enligt utredningen, med hänsyn tagen till Socialstyrelsens särskilda kompetens, ändå lämpligast hanteras i nära anknytning till övriga satsningar på digitalisering och nationell digital infrastruktur. En ändamålsenlig hantering av information finns enligt utredningen redan som en implicit förutsättning i samordningen av regeringens satsningar på
9
10SOU 2023:13 Patientöversikter inom EES och Sverige.
74
SOU 2023:83 | Åtgärder för att underlätta hälso- och sjukvårdens digitalisering |
Utredningens sammantagna bedömning är att
8.5Ett samordningsansvar för juridiskt stöd och vägledning för hantering av information införs i
Förslag:
Författningsändringen i förordningen (2013:1031) med instruktion för
75
Åtgärder för att underlätta hälso- och sjukvårdens digitalisering | SOU 2023:83 |
Bedömning: Inom ramen för samordningsansvaret bör
Genom att tilldela
Genom att samla, stödja och agera pådrivande gentemot berörda parter, såväl de aktiva inom hälso- och sjukvårdens område som de statliga myndigheterna, kan problemområden identifieras och hanteras på ett ändamålsenligt sätt.
76
SOU 2023:83 | Åtgärder för att underlätta hälso- och sjukvårdens digitalisering |
8.5.1Identifiera problemområden och tillhanda forum för aktörerna
I samordningsansvaret ingår att identifiera rättslig osäkerhet samt upplevda och faktiska juridiska hinder för en säker och effektiv informationshantering. Dessutom ingår att samordna de olika myndigheternas arbete med att ta fram stöd. Som en del av samordningen behöver myndigheten tillhandhålla ett sammanhållet forum där aktörer inom hälso- och sjukvården, såväl privata som offentliga, kan samlas och utbyta erfarenheter av tolkningen av regelverken som rör hantering av information och identifiera prioriterade områden där osäkerheten kring rättstillämpningen ställer till störst problem. På detta sätt skapas en naturlig samlingsplats för dessa frågor. Att kunna identifiera de juridiska frågor som upplevs utgöra hinder för effektiva informationsflöden är det första steget för att kunna ta itu med problemen. Om aktörerna saknar forum för utbyte av erfarenheter finns risk att problemet aldrig identifieras och kan därför inte heller lösas.
Det kommer även finnas behov för
Forumet kan även utgöra en samlingspunkt för alla parter när frågor snabbt behöver diskuteras gällande reglerna för hantering av information, exempelvis vid en kris. Under coronapandemin blev det tydligt att det saknades ett etablerat samlat forum för sektorns alla aktörer på regional, kommunal och statlig nivå, att dela erfarenheter och lyfta nya problem kring hantering av data genererat av vården som behövde hanteras skyndsamt och nationellt enhetligt. Så som utredningen förstår det skedde samarbetet i stället genom fler olika grupper, både nya och gamla. Genom att
77
Åtgärder för att underlätta hälso- och sjukvårdens digitalisering | SOU 2023:83 |
får i uppdrag att vara en sådan kontaktpunkt kan det inför nästa kris redan finnas ett etablerat gemensamt forum för denna typ av frågor.
8.5.2Tydliggöra möjligheterna som befintlig lagstiftning ger
Många gånger upplever aktörerna att rättsreglerna på området utgör ett hinder för en säker och effektiv digitalisering inom hälso- och sjukvården. Som tidigare nämnts är utredningens uppfattning att många rättsliga hinder som aktörerna upplever i själva verket är rättslig osäkerhet och en rädsla att göra fel. Befintliga regelverk är många gånger mer tillåtande än vad de upplevs vara och aktörerna behöver därför ges stöd och vägledning att kunna använda hela det rättsliga utrymme som finns i befintlig lagstiftning. När det gäller att tydliggöra möjligheterna som befintlig lagstiftning ger anser vi att det är och ska vara ett delat ansvar mellan de statliga myndigheterna. Det stöd och de vägledningar som åsyftas är sådant som riktas
Det är inte alltid tydligt vad som utgör ramen för den verksamhet en statlig myndighet ska ägna sig åt och det finns ibland överlapp mot andra statliga myndigheters område. Det kan därför uppstå oklarheter kring vilken myndighet som ska ge stöd för vilka frågor. Vi anser att denna fråga måste hanteras från fall till fall och i dialog mellan myndigheterna. Syftet med
Det kommer inte heller vara så att alla stöd kan tas fram av en myndighet enskilt. Vissa typer av stöd kan komma att behöva tas fram av
78
SOU 2023:83 | Åtgärder för att underlätta hälso- och sjukvårdens digitalisering |
det skulle uppstå ett område där det inte enkelt går att utröna vilken myndighet som ska ha huvudansvaret att ta fram ett stöd så har
Vilka statliga myndigheter och övriga aktörer det blir aktuellt för
Utredningen bedömer att den samverkan som kommer att ske inom ramen för arbetet att stödja hälso- och sjukvårdens aktörer i stor utsträckning ryms inom den skyldighet för statliga myndigheter att samarbeta och samverka som slås fast i förvaltningslagen (2017:900) och i myndighetsförordningen (2007:515). I förvaltningslagen slås, under rubriken samverkan, att en myndighet, inom sitt verksamhetsområde, ska samverka med andra myndigheter (8 §). Enligt förordningen ska myndigheterna hushålla väl med statens medel (3 §) och fortlöpande verka för att genom samarbete med myndigheter och andra ta till vara de fördelar som kan vinnas för enskilda samt för staten som helhet (6 §). Utredningen bedömer därför att det inte behövs någon särskild reglering i respektive myndighets instruktion för denna typ av samverkan.
79
Åtgärder för att underlätta hälso- och sjukvårdens digitalisering | SOU 2023:83 |
8.5.3Påtala behov av normering
Ibland kan slutsatsen bli att stödjande insatser inte är tillräckligt då befintlig lagstiftning hindrar effektiv datadelning eller digital utveckling.
8.5.4Samverkan med Digg
80
SOU 2023:83 | Åtgärder för att underlätta hälso- och sjukvårdens digitalisering |
myndigheten) särskilt samverka med Digg i arbetet med att samordna regeringens satsningar på
8.6Förvaltningsmyndigheternas fristående ställning utgör inte ett hinder att lämna stöd och vägledning
Bedömning: Förvaltningsmyndigheternas fristående ställning utgör inte något hinder för att tillhandahålla stöd för rättstillämpningen så länge stöden inte utformas så att de styr hur förvaltningsmyndigheterna ska agera i sin myndighetsutövning mot enskilda eller mot en kommun eller i tillämpningen av rättsregler.
De statliga myndigheterna kan tillhandahålla stöd och vägledning till hälso- och sjukvårdens aktörer i juridiska frågor gällande hantering av information så länge det ligger inom myndighetens kompetens och myndigheten genom den stödjande åtgärden inte överträder förvaltningsmyndigheternas fristående ställning.
Genom den svenska förvaltningsmodellen råder det en organisatorisk och ansvarsmässig uppdelning mellan regering och förvaltning. Principen om förvaltningsmyndigheternas fristående ställning kommer till uttryck i 12 kap. 2 § regeringsformen. Där slås fast att ingen myndighet, inte heller riksdagen eller en kommuns beslutande organ, får bestämma hur en förvaltningsmyndighet i ett särskilt fall ska besluta i ett ärende som rör myndighetsutövning mot enskild eller mot en kommun eller som rör tillämpningen av lag.
Det är inte helt enkelt att bestämma de yttersta ramarna för när en statlig myndighet genom att ge vägledning skulle anses ha inskränkt på förvaltningsmyndigheternas fristående ställning. Myndigheter får utan ett särskilt bemyndigande inom sitt verksamhetsområde ge ut stöd i form av allmänna råd, det vill säga sådana generella
81
Åtgärder för att underlätta hälso- och sjukvårdens digitalisering | SOU 2023:83 |
rekommendationer om tillämpningen av en författning som anger hur någon kan eller bör handla i ett visst hänseende. Att samla den information som finns på området inklusive förarbetsuttalanden som förklarar hur en rättsregel är tänkt att tillämpas, i en handbok eller i en vägledning, har inte ansetts vara problematiskt.
Ett stöd kan utformas på många olika sätt, bland annat genom praktiska exempel på olika lösningar, lathundar och checklistor. Handböcker och andra exempel ovan kan inte anses inskränka myndigheternas rätt att fatta självständiga beslut i ärenden som rör myndighetsutövning mot enskild eller som rör tillämpningen av lag.
Detaljerade vägledningar från en statlig myndighet för hur förvaltningsmyndigheter kan agera i förhållande till en rättsregel skulle kunna komma att påverka förvaltningsmyndigheternas agerande. Att vägledningar och annat stöd skulle kunna påverka förvaltningsmyndigheternas agerande är dock enligt utredningen inte detsamma som att en statlig myndighet genom en vägledning ska anses ha bestämt hur en förvaltningsmyndighet ska besluta i enskilda ärenden eller i sin rättstillämpning. Det är i slutändan förvaltningsmyndigheterna som ska bedöma om, och i så fall, på vilket sätt de vill använda sig av vägledningen vid sin rättstillämpning.
Det kommer att vara upp till de statliga myndigheter som ska ta fram stöden att hitta lämpliga gränser genom att göra en avvägning mellan att nyttja det handlingsutrymme som finns att ge stöd utan att överträda gränserna för myndigheternas fristående ställning. Utredningen ser inte någon överhängande risk att gränserna till myndigheternas fristående ställning i förhållande till myndighetsutövning skulle överskridas när de statliga myndigheterna utarbetar stöd. Detta eftersom den juridik som myndigheterna kan komma att ge stöd och vägledning kring inte i särskilt stor utsträckning utgör sådan juridik som består i myndighetsutövning. Osäkerheten kring juridiken gäller främst hantering av information i de delar som rör förvaltningsmyndigheternas faktiska handlande, det vill säga sådant som inte är ämnat att få verkningar för någon enskild. I den mån det skulle efterfrågas sådant stöd som skulle tangera myndighetsutövning mot enskild bör en försiktighetsprincip användas. Stöden får inte ha ett sådant innehåll att det vid en prövning mot enskilda får ett förutbestämt utfall.
82
SOU 2023:83 | Åtgärder för att underlätta hälso- och sjukvårdens digitalisering |
Så länge myndigheternas fristående ställning beaktas vid utformningen av stöden utgör den inte ett hinder för de statliga myndigheternas möjlighet att tillhandahålla stöd för rättstillämpningen.
8.7Övriga statliga myndigheters instruktioner behöver inte ändras
Bedömning: Utredningen bedömer att det inte är motiverat att ändra andra statliga myndigheters instruktioner avseende uppdrag att ta fram stöd och vägledning till hälso- och sjukvårdens aktörer i juridiska frågor rörande hantering av information.
En myndighet ska bedriva sin verksamhet inom det område som utgörs av myndighetens ansvar och uppdrag, myndighetens kompetens. Den svenska förvaltningsmodellen innebär att myndigheter inte får verka eller agera inom en annan myndighets uppdrag (och ansvarsområde). För att en myndighet ska kunna ta fram vägledningar i syfte att ge praktiska råd gällande hantering av information inom hälso- och sjukvården krävs därför att det ligger inom myndighetens kompetensområde.
Allt det stöd som efterfrågas, och i framtiden kommer efterfrågas, ligger inte och kommer inte att ligga under
Det är svårt att redan nu veta exakt vilket stöd som ska tas fram, och inom vilken myndighets verksamhetsområde frågan ligger. Ibland kommer det vara tydligt att det bör vara en viss myndighet, exempelvis om myndigheten i fråga har föreskriftsrätt på ett område eller om de har ett utpekat ansvar för en viss typ av fråga, andra gånger kommer det krävas samverkan. Frågan om vilken myndighet som
83
Åtgärder för att underlätta hälso- och sjukvårdens digitalisering | SOU 2023:83 |
bör ta fram stöd efter att ett behov har identifierats måste därför utredas från fall till fall i dialog med de olika myndigheterna.
Det är heller inte alltid tydligt vad som utgör ramen för den verksamhet en myndighet ska ägna sig åt, och det uppstår inte heller sällan överlapp mot andra statliga myndigheters område. Det finns då enligt utredningen rättsligt stöd för att gemensamt ta fram vägledning genom det generella kravet på att samverka i myndighetsförordningen som redovisats under avsnitt 8.5.2. Varje myndighet kan i ett sådant arbete bidra utifrån sin kompetens.
Socialstyrelsen och IMY är de myndigheter som utredningen bedömer i första skedet kan komma att bli aktuella att ta fram stöd. Detta i förhållande till dataskyddsförordningen och patientdatalagen, vilket är de juridiska områden som preciseras i direktivet och som hälso- och sjukvårdens aktörerna upplever skapar störst rättslig osäkerhet. Socialstyrelsen har redan en bred kompetens enligt myndighetens instruktion i dessa frågor. Socialstyrelsen är förvaltningsmyndighet för verksamhet som rör hälso- och sjukvård och annan medicinsk verksamhet, tandvård, socialtjänst, stöd och service till vissa personer med funktionsnedsättning samt frågor om alkohol och missbruksmedel. Socialstyrelsens ansvar gäller i den utsträckning sådana frågor inte ska handläggas av någon annan myndighet (1 § förordningen (2015:284) med instruktion för Socialstyrelsen). Socialstyrelsen ska ansvara för kunskapsutveckling och kunskapsförmedling inom sitt verksamhetsområde (4 § 2 förordningen med instruktion för Socialstyrelsen). Vidare finns i 2 och 3 §§ patientdataförordningen (2008:360) bemyndiganden för Socialstyrelsen att meddela föreskrifter om verkställigheten av patientdatalagen (2008:355) och lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation.
I sin tur har Integritetsskyddsmyndighetens en bred instruktionsenlig uppgift att arbeta för att människors grundläggande fri- och rättigheter skyddas i samband med behandling av personuppgifter, att underlätta det fria flödet av sådana uppgifter inom Europeiska unionen och att verka för att god sed iakttas i kreditupplysnings- och inkassoverksamhet (1 § förordning (2007:975) med instruktion för Integritetsskyddsmyndigheten). Vidare är myndigheten Sveriges nationella tillsynsmyndighet för behandling av personuppgifter (2 a § förordning med instruktion för Integritetsskyddsmyndigheten). Det följer av artikel 57 i dataskyddsförordningen att tillsynsmyndigheten ska övervaka och verkställa tillämpningen av förord-
84
SOU 2023:83 | Åtgärder för att underlätta hälso- och sjukvårdens digitalisering |
ningen. Av artikeln följer även uppgifter som att öka allmänhetens medvetenhet om och förståelse för risker, regler, skyddsåtgärder och rättigheter i fråga om behandling samt öka personuppgiftsansvarigas och personuppgiftsbiträdens medvetenhet om sina skyldigheter enligt dataskyddsförordningen. Dessutom följer av artikeln att tillsynsmyndigheten ska ge råd åt det nationella parlamentet, regeringen och andra institutioner och organ om lagstiftningsåtgärder och administrativa åtgärder rörande skyddet av fysiska personers rättigheter och friheter när det gäller behandling av personuppgifter.
De myndigheter som utredningen bedömer initialt kan komma att bli aktuella att ta fram stöd har redan en sådan kompetens genom sina respektive instruktioner. Utredningen föreslår därför ingen ytterligare reglering som stöd för uppgiften.
8.8Några andra aspekter kring stöd
och vägledningar från statliga myndigheter
Som redan konstaterats är det utredningens uppfattning att det finns utrymme för de statliga myndigheterna att ge mer, och tydligare stöd gällande hantering av information inom hälso- och sjukvårdens område.
En typ av stöd som efterfrågas särskilt är rättsliga ställningstaganden. Kännetecknande för rättsliga ställningstaganden från statliga myndigheter är att de ofta är bindande för den myndighet som tar fram ställningstagandet och vägledande för övriga. Den myndighet som tar fram ett rättsligt ställningstagande tar i dessa fall ställning till hur de tolkar en rättsregel i rollen som tillämpare av reglerna. Rättsliga ställningstaganden är därför en form av stöd som främst kommer att tas fram av de statliga myndigheter som ska utöva tillsyn av tillämpningen av lagreglerna. Som exempel kan nämnas IMY och IVO som bedömer tillämpningen av regler i sin tillsyn eller andra myndigheter inom ramen för sin ärendehandläggning. Det är också en lämplig ordning att det är myndigheter som ska utöva tillsyn och besluta om eventuella sanktioner som i första hand uttalar sig om hur de ser på de regler de ska utföra tillsyn över. IMYs framåtlutade förhållningsätt med rättsliga ställningstaganden är enligt utredningen ett bra exempel och ett stort steg i rätt riktning.
85
Åtgärder för att underlätta hälso- och sjukvårdens digitalisering | SOU 2023:83 |
I de fall rättsliga ställningstaganden skulle komma att beslutas av andra myndigheter än tillsynsmyndigheterna bör risken att det uppstår skillnad i tolkningar gå att undvika genom ett samråd med tillsynsmyndigheten (i de delar de rör tillsynsmyndighetens område) innan beslut om det rättsliga ställningstagandet tas. Detta så det inte uppstår situationer där en myndighet beslutar rättsliga ställningstaganden som tillsynsmyndigheten vid tillsynen inte delar.
Det finns vissa vägledande uttalanden om att myndigheter som har normgivningsbemyndiganden ska iaktta försiktighet när de vägleder om handlingssätt som rör lagstiftning eftersom reglerna har en extra stor risk att missuppfattas som bindande. Det betyder inte, enligt utredningen, att det saknas utrymme för sådana myndigheter att ge ut vägledningar, utan det betyder att sådana myndigheter bör vara särskilt noggranna med vilken form av stöd som ges, hur de formulerar sig och hur stödet presenteras. Som nämnts i avsnitt 8.1 finns också en försiktighet hos de statliga myndigheterna att ge rekommendationer på grund av risken att underminera riksdagens lagstiftningskompetens och regeringens förordningskompetens. Utredningen menar dock att de statliga myndigheterna bör kunna använda befintliga verktyg i större utsträckning för att ge stöd och vägledning. I en handbok i författningsskrivning som utarbetats av Statsrådsberedningen uttalas att det ofta är det bäst att kungöra allmänna råd i en författningssamling. Detta för att minska risken att de allmänna råden förlorar sin karaktär av råd om tillämpningen av en författning och i stället blir svåröverskådliga redogörelser för rättsläget på området.11
Sedan handboken skrevs har, som utredningen förstår det, den gemensamma publiceringen av föreskrifter och allmänna råd dock medfört att allmänna råd i högre grad uppfattas som bindande.12 En möjlig lösning för att i större utsträckning kunna använda sig av allmänna råd och samtidigt minska risken att dessa ska tolkas som bindande kan vara att rekommendationer i den här sektorn publiceras i en separat serie i enlighet med
11Ds 1998:43 Myndigheternas föreskrifter. Handbok i författningsskrivning. s. 27.
12Se utförligare resonemang om osäkerheten kring allmänna råds rättsliga ställning i SOU 2007:10 Hållbar samhällsorganisation med utvecklingskraft s. 96 ff.
86
SOU 2023:83 | Åtgärder för att underlätta hälso- och sjukvårdens digitalisering |
I fråga om vad som händer om ett stöd från en myndighet visar strida mot vad tillsynsmyndigheten eller i slutändan en domstol beslutar bör åter igen förvaltningsmyndigheternas självständiga rätt och skyldighet att tolka lagen nämnas. I förhållande till dataskydd är det även av vikt att komma ihåg att det är de personuppgiftsansvariga som enligt dataskyddsförordningen ansvarar för vilka ändamål personuppgifterna ska behandlas och hur behandlingen ska gå till. Ett stöd kan därför inte ersätta de enskilda aktörernas eget arbete eller ansvar.
I sammanhanget kan 3 kap. 3 § skadeståndslagen (1972:207) nämnas. I paragrafen fastställs att staten eller en kommun ska ersätta ren förmögenhetsskada som vållas av att en myndighet genom fel eller försummelse lämnar felaktiga upplysningar eller råd, om det med hänsyn till omständigheterna finns särskilda skäl. Upplysningarnas eller rådens art, deras samband med myndighetens verksamhetsområde och omständigheterna när de lämnades ska då särskilt beaktas. Enligt utredningens bedömning är det dock sällan generella vägledningar och stöd skulle kunna utgöra sådana fel som skulle kunna omfattas av bestämmelsen i skadeståndslagen.
8.9Rättslig grund för
Utredningens bedömning: Den rättsliga grunden i dataskyddsförordningen för behandlingen av personuppgifter enligt den föreslagna bestämmelsen i förordningen (2013:1031) med instruktion för
87
Åtgärder för att underlätta hälso- och sjukvårdens digitalisering | SOU 2023:83 |
vårdgivare och andra som myndigheten behöver samverka och samarbeta med.
Vid anordnande av eventuella konferenser eller vid informationsinsatser kan även deltagarlistor eller utskickslistor komma att förekomma. EU:s dataskyddsförordning utgör sedan den 25 maj 2018 den generella regleringen av personuppgiftsbehandling inom EU. Enligt artikel 1 punkten 2 dataskyddsförordningen skyddar förordningen fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Vid all behandling av personuppgifter ska de särskilda principer för behandling av personuppgifter som framgår av artikel 5 dataskyddsförordningen följas. Principerna omfattar bland annat regler om laglighet, korrekthet och öppenhet, ändamålsbegränsning och ansvarsskyldighet. Personuppgifter får, med stöd av artikel 6.1 e i EU:s dataskyddsförordning, behandlas om behandlingen är nödvändig bland annat för att utföra en uppgift av allmänt intresse. Enligt artikel 6.3 ska den rättsliga grunden för den behandling som avses i punkt e fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
Utredningen bedömer att hanteringen av personuppgifterna är nödvändig som ett led i myndighetens uppgift av allmänt intresse. Utredningen bedömer vidare att den rättsliga grunden för behandlingen fastställs genom att uppgiften framgår av myndighetens instruktion. Den personuppgiftsbehandling som kommer att ske motiverar inte införande av specifika dataskyddsbestämmelser.
88
9 Konsekvenser
9.1Inledning
I utredningens uppdrag ingår att analysera konsekvenserna av utredningens förslag i enlighet med
Enligt kommittéförordningen (1998:1474),
89
Konsekvenser | SOU 2023:83 |
9.2Förslaget i korthet
Utredningen föreslår att
Stödet som de statliga myndigheterna tar fram för hälso- och sjukvårdens aktörer ska vara frivilligt att använda och att följa, och medför inga krav på varken kommuner, regioner eller någon annan. En viktig uppgift för myndigheterna blir att tydliggöra möjligheterna som befintlig lagstiftning ger. Genom att tydliggöra möjligheterna i befintlig lagstiftning kan aktörernas tillämpning underlättas och harmoniseras. Myndigheternas stöd och vägledning ska riktas mot områden där störst nytta för systemet som helhet kan uppnås. För att det frivilliga stödet ska leda till ökad harmonisering behöver aktörerna som stödet riktar sig till, inte minst regionerna, också förstå syftet och nyttan med en mer harmoniserad tillämpning av regelverken. Aktörerna behöver förstå hur de genom sina val kan vara en del av en gemensam, säker och effektiv lösning.
Som en del av samordningen ska
90
SOU 2023:83 | Konsekvenser |
Utredningens förslag medför ändringar i
9.3Nyttorna med förslaget
Vårdpersonal registrerar i dag en stor mängd uppgifter som redan finns dokumenterade någon annanstans i vårdsystemet. Dubbel- och trippeldokumentationen av detta slag är en välkänd påfrestning för såväl vårdpersonal som patienter. Ett av de största hindren till digitalisering och att all den data som faktiskt får delas inte delas är rättslig osäkerhet. Samtidigt är digitalisering är en av de viktigaste komponenterna för att hantera de utmaningar som hälso- och sjukvården står inför. Genom att identifiera de områden där det råder osäkerhet och försöka tydliggöra möjligheterna som befintlig lagstiftning ger kan relevant data i större utsträckning delas mellan olika vårdgivare, digitaliseringen på området utvecklas i en snabbare takt och därmed åstadkomma en mer säker och effektiv hälso- och sjukvård.
En grundläggande förutsättning för hälso- och sjukvårdens digitalisering är möjligheterna att behandla stora mängder data av känslig karaktär. För att bibehålla allmänhetens förtroende behöver denna information hanteras korrekt och inte hamna i orätta händer. Genom att stödja och vägleda aktörerna i tillämpningen av dataskyddreglerna ökar förutsättningarna för att allmänhetens förtroende bibehålls samtidigt som det sker en nödvändig digitalisering inom vården.
En del i
Sammantaget bedömer utredningen att de ökade kostnaderna för de statliga myndigheterna skapar en ekonomisk vinst på samhälls-
91
Konsekvenser | SOU 2023:83 |
nivå genom att mindre resurser, totalt sett, behöver läggas på att hantera rättsliga osäkerheter.
9.4Konsekvenser för alternativa lösningar
9.4.1Nollalternativet
Dagens variation i hur rättsreglerna tillämpas hindrar effektiva flöden för datadelning och digitala tjänster. När data, som får delas, inte delas uppstår effektivitetsförluster. För patientens del innebär det att han eller hon kan behöva genomgå samma undersökning igen eller ta om prover när resultaten inte är åtkomliga. Vårdens kostnader för dubbeldokumentation och dubbelarbete, som är ett direkt resultat av bristande datadelning, är svåra att uppskatta i ekonomiska termer men är räknas med största sannolikhet i miljontals kronor per år.
Dagens variation i hur rättsreglerna tillämpas innebär svårigheter att skala upp tjänster över organisatoriska gränser eftersom regelverken sällan tillämpas lika av nästa aktör. Ett dataflöde eller en funktion i en tjänst, som är tillåten hos en aktör, kan hos en annan vara otillåten. Den omotiverade skillnaden i rättstillämpningen och osäkerheten kring vad som är tillåtet bidrar till bristande förutsägbarhet för leverantörer och hämmar såväl investeringar som innovation. Effektivitetsförluster av detta slag som orsakas av juridisk interoperabilitet är svåra att kostnadsberäkna.
9.4.2Branschstandard – en alternativ lösning
Utredningen väljer att i kapitel 10 presentera en fullständig alternativ lösning i form av en branschstandard som skulle kunna utarbetas av branschens aktörer med samordningsstöd från en statlig myndighet. Utredningen bedömer sammantaget att utarbetandet av en branschstandard, under ledning av en statlig myndighet, inte ger samma nyttor eller följsamhet till stödet och att det skapar utmaningar för den myndigheten som får i uppdrag att facilitera arbetet. Vi redogör ändå för den alternativa lösningen i syfte att ge remissinstanserna möjlighet att yttra sig såväl om utredningens förslag (kapitel 8) som den alternativa lösningen (kapitel 10).
92
SOU 2023:83 | Konsekvenser |
9.5Konsekvenser för de statliga myndigheterna
Utredningens förslag innebär ett nytt åtagande för
Utredningen menar att frågan om juridisk interoperabilitet för hälsodata kommer att få en allt större betydelse för hälso- och sjukvårdens utveckling och att frågan därför behöver ett särskilt statligt åtagande och en långsiktighet. Myndigheternas förutsättningar att lyckas med uppdraget står i proportion till hur mycket medel som tillförs myndigheternas förvaltningsanslag.
9.5.1
Utredningen bedömer att instruktionsändringen som vi föreslår kommer att påverka
Uppdraget att identifiera problemområden och genom samverkan tydliggöra möjligheterna som befintlig lagstiftning ger
Utredningen föreslår att
93
Konsekvenser | SOU 2023:83 |
Kostnaden för
På sikt kan
94
SOU 2023:83 | Konsekvenser |
Påtala behov av stöd och identifiera nödvändig utveckling av regelverken
Utredningen föreslår också att
Kostnader för
Utredningen bedömer att myndigheten kommer behöva olika kompetenser för de föreslagna uppgifterna. En viktig del i samordningsansvaret handlar om att i samverkan med berörda statliga myndigheter stödja hälso- och sjukvårdens aktörer att nyttja möjligheterna som befintlig lagstiftning ger. I samordningsansvaret kan också ligga att koordinera och tillsammans med andra statliga myndigheterna anordna utbildningar och konferenser. Utredningen menar att
95
Konsekvenser | SOU 2023:83 |
dighetens verksamhet initialt till stor del kommer att bestå av att föra dialog med aktörerna som har behov av stöd och vägledning samt samverka med de ansvariga myndigheterna.
Vi bedömer att
Utredningen bedömer att
Därutöver tillkommer övriga kostnader för att förvalta stöden, anordna konferenser och utbildningar m.m. (övriga kostnader i tabell 9.1.).
Tabell 9.1 Kostnadsuppskattning för
Årsarbetskrafter och miljoner kronor. 2022 års priser och löner.
2025 | 2026 | 2027 | |
Årsarbetskrafter, antal | 3 | 5 | 5 |
Årsarbetskrafter, mkr | 4,2 | 7,0 | 7,0 |
Övriga kostnader, mkr | 1 | 2 | 3 |
Total kostnad, mkr | 5,2 | 9,0 | 10,0 |
Källa: Egen beräkning.
9.5.2Socialstyrelsen
En stor del av det stöd som efterfrågas av hälso- och sjukvårdens aktörer kommer sannolikt Socialstyrelsen, enskilt eller tillsammans med andra myndigheter, att ansvara för. På samma sätt som för
96
SOU 2023:83 | Konsekvenser |
kan innebära att behov som hittills inte av de statliga myndigheterna inte uppfattats som utmanande för aktörerna nu identifieras och fler riktade stöd tas fram, exempelvis genom fler allmänna råd.
Socialstyrelsens kostnader för att ge ut stöd till hälso- och sjukvårdens aktörer kommer vara beroende av frågans karaktär och komplexitet samt hur stödet kommer att utformas och om stödet tas fram tillsammans med andra myndigheter eller inte. Kostnader för samarbete och dialog med hälso- och sjukvårdens aktörer innebär också kostnader för myndigheten. Därutöver tillkommer kostnader för förvaltning och revidering av stöden när sådana har tagits fram.
Det är svårt att bedöma antalet frågor som Socialstyrelsen kan stödja aktörerna med, såväl inledningsvis som på sikt. Myndigheten kommer sannolikt inledningsvis att tillsammans med aktörerna behöva prioritera mellan olika frågor som stödet ska avse. Karaktären och komplexiteten på frågorna som ska prioriteras kommer att variera. Utredningen menar dock att antalet frågor som aktörerna kan tänkas behöva stöd med alltid kommer att överstiga den kapacitet som en resursförstärkning till myndigheten klarar av. Utredningen menar därför att Socialstyrelsen inledningsvis ska identifiera och prioritera bland de frågor som myndigheten anser ligger inom deras kompetensområde att ge stöd för. Därefter bör stödet riktas mot områden där störst nytta för systemet som helhet kan uppnås. Efter den initiala inventeringen och prioritering kan myndighetens stödjande arbete intensifieras. Därför bedömer vi att Socialstyrelsens anslag successivt ska utökas.
Arbetet med att ge stöd som tydliggör möjligheterna som befintlig lagstiftning ger kommer att i huvudsak att genomföras av jurister.
Itabell 9.2 utgår vi från att löner och
97
KonsekvenserSOU 2023:83
Tabell 9.2 | Kostnadsuppskattning för Socialstyrelsen | |||
Årsarbetskrafter och miljoner kronor. 2022 års priser och löner. | ||||
2025 | 2026 | 2027 | ||
Årsarbetskrafter, antal | 2 | 5 | 6 | |
Årsarbetskrafter, mkr | 2,8 | 7,0 | 8,4 | |
Övriga kostnader, mkr | 0 | 1 | 1 | |
Total kostnad, mkr | 2,8 | 8,0 | 9,4 |
Källa: Egen beräkning.
9.5.3Integritetsskyddsmyndigheten
En viktig del av IMY:s befintliga uppdrag är att inom alla samhällssektorer öka personuppgiftsansvarigas och personuppgiftsbiträdens medvetenhet om sina skyldigheter enligt dataskyddsförordningen. Från och med 2023 har IMY en permanent höjning av ramanslaget. En del av medlen ska enligt IMY användas för att ge stöd och vägledning till verksamheter. Myndigheten har dessutom uttryckt att man har för avsikt att utveckla myndighetens egen förmåga att följa och analysera den tekniska utvecklingen samt tillhandahålla vägledning och stöd. IMY bedriver därmed redan ett utåtriktat och vägledande arbete i syfte att stödja och vägleda alla samhällssektorer. IMY har dock inget särskilt uppdrag att tillhandahålla stöd och vägledning till hälso- och sjukvårdens aktörer men myndigheten har tagit fram en rad stöd och rapporter kopplade till hanteringen av hälsodata. Dessutom bedriver IMY telefonrådgivning som redan i dag kan användas av hälso- och sjukvårdens aktörer, liksom informationen på IMY:s webbplats som är tillgänglig för alla. Utredningen bedömer att myndigheten i nuläget inte behöver tillskjutas mer medel.
9.5.4Myndigheten för digital förvaltning
Utredningen föreslår att i
98
SOU 2023:83 | Konsekvenser |
mellan Digg och
Det är svårt att på förhand avgöra om, och i så fall hur mycket, Diggs arbete kan komma att påverkas av
9.5.5Övriga statliga myndigheter
Vi bedömer att övriga statliga myndigheterna inom hälso- och sjukvårdens område får prioritera den föreslagna verksamheten inom ramen för befintlig budget.
9.6Konsekvenser för kommunala självstyrelsen
Stödet som de statliga myndigheterna ska ta fram för hälso- och sjukvårdens aktörer ska vara frivilligt att använda och att följa, och medför inga krav på varken kommuner, regioner eller någon annan. Utredningen bedömer därför att förslaget inte får konsekvenser för den kommunala självstyrelsen.
Utredningen bedömer att kommuner och regioner kommer få stor nytta de statliga myndigheterna stöd och vägledning i dessa frågor. Det kommer höja kompetensen inom området och bland annat underlätta upphandling eller anpassning av
99
Konsekvenser | SOU 2023:83 |
9.7Konsekvenser för den personliga integriteten
Även om stöd och vägledning som de statliga myndigheternas ska ta fram för hälso- och sjukvårdens aktörer står aktörerna fritt att använda och att följa är det rimligt att tro att aktörer kommer att vilja luta sig mot de vägledningar som myndigheterna ger. Mycket av stödet kan komma att avse personuppgiftsbehandling och vi bedömer därför att dataskyddet och den personliga integriteten på detta sätt kommer att stärkas.
9.8Konsekvenser för små företag
Vi bedömer att små företag inom hälso- och sjukvårdens område ser ett stort värde i att det ges stöd för tillämningen av rättsreglerna på området. Ökad harmonisering av rättsreglerna bland hälso- och sjukvårdens aktörer innebär förbättrade förutsättningar för mindre
9.9Övriga konsekvenser
Utredningen bedömer att förslaget inte medför några andra konsekvenser.
100
ALTERNATIV LÖSNING
101
10Alternativ lösning
– en branschstandard
10.1Sammanfattning av den alternativa lösningen
Sammanfattning:
Styrgruppen och kansliet ska ha rättslig status som ett osjälvständigt organ i förhållande till
Branschstandarden ska vara frivillig för kommuner, regioner och privata aktörer att tillämpa.
10.2Inledning
Utredningen har i föregående kapitel redogjort för de förslag som utredningen bedömer är de mest ändamålsenliga i förhållande till syftet med denna del av utredningsuppdraget, nämligen att underlätta och harmoniseringen rörande hantering av information inom ramen för hälso- och sjukvårdens digitalisering. I detta kapitel beskriver utredningen hur en alternativ lösning, i form av en branschstandard, skulle kunna utformas med stöd av en statlig myndighet.
103
Alternativ lösning – en branschstandard | SOU 2023:83 |
Om en statlig myndighet ska ges i uppdrag att facilitera hälso- och sjukvårdens aktörer att frivilligt ta fram och följa ett stöd för rättstillämpningen bedömer utredningen att en branschstandard är en lämpligare form än uppförandekoder. Utredningen bedömer dock att förutsättningarna för styrningen av stödet är i övrigt snarlika oavsett om det är en branschstandard eller en uppförandekod.
10.2.1Stödet bör ges i form av en branschstandard och inte uppförandekod enligt EU:s dataskyddsförordning
Utredningen har haft i uppdrag att utreda och föreslå en statlig myndighet, inom den befintliga myndighetsstrukturen, som ska bemyndigas att ta fram uppförandekoder för behandling av personuppgifter inom hälso- och sjukvårdens område med syfte att specificera hur EU:s dataskyddsförordning ska tillämpas. Enligt utredningen finns det dock många fördelar med att inte begränsa uppdraget till att endast omfatta uppförandekoder enligt EU:s dataskyddsförordning. Vi bedömer att de riktlinjer som ges genom en branschstandard i mångt och mycket ger samma effekter som uppförandekoder är tänkta att åstadkomma, utan samma betungande krav på formalia, administrativa börda eller kostnad. Dessutom finns det fördelar med att inte begränsa sig till koder som endast gäller för personuppgiftsbehandling. En branschstandard är enligt vår bedömning en mer flexibel och ändamålsenlig form eftersom en sådan inte är begränsad till ett visst juridiskt område eller ställer krav på viss representativitet för att bli godkänd. Det finns inte heller något som hindrar att den branschstandard som tas fram, eller delar av denna, i framtiden kan antas som uppförandekoder – om det är det aktörerna inom hälso- och sjukvårdsområdet vill.1
Enligt vår bedömning kan en branschstandard på motsvarande sätt som en uppförandekod vara ett praktiskt och insynsvänligt sätt som underlättar den praktiska tillämpningen av dataskyddsprinciperna. Arbetet med Normen har visat att en branschstandard, på samma sätt som en godkänd uppförandekod är tänkt att ge, kan skapa tillit och rättssäkerhet genom att det ges praktiska lösningar på sektorsspecifika problem kring gemensam personuppgiftsbehandling. Eftersom branschstandarden, vid en styrning som den som finns för
1I Norge övervägs det för närvarande om Normen ska anta formen av uppförandekoder. Se mer i avsnitt 6.5.
104
SOU 2023:83 | Alternativ lösning – en branschstandard |
Normen, utarbetas av personuppgiftsansvariga och personuppgiftsbiträden så har en möjlighet skapats för branschens aktörer att komma överens om och själva formulera bästa praxis. En branschstandard borde enligt utredningen även kunna användas som en metod att visa att den personuppgiftsansvariga och dess biträden fullgör sina skyldigheter och uppfyller de krav som finns i dataskyddsförordningen.
De av utredningen identifierade positiva effekter som enbart kan åstadkommas genom en godkänd uppförandekod är
•att ett godkännande av IMY skulle kunna utgöra en viss typ av garanti för de personuppgiftsansvariga att fullt ut våga lita på att koden är rätt och riktig att följa,
•att koden i viss mån kan minska ”risken” för sanktionsavgifter genom att övervakningsorganets åtgärder efter en granskning skulle anses tillräckliga av IMY,
•att uppförandekoder kan vara en viktig och användbar mekanism när det gäller internationella överföringar till tredjeland.
Utredningen bedömer dock att avsaknaden av ett godkännande från IMY, som följer av att man väljer en branschstandard i stället för en godkänd uppförandekod, i viss mån borde kunna kompenseras genom att IMY i stället har en (pro)aktiv roll när branschstandarden och de tillhörande vägledningarna tas fram. Denna uppgift skulle IMY kunna åstadkomma i egenskap av observatör eller samrådspartner (i likhet med förfarandet i Norge). Fördelarna som enbart kan åstadkommas genom en godkänd uppförandekod är därmed begränsade och behöver vägas mot de nackdelar som uppförandekoder medför, samt mot alternativa former av stöd för enhetlig juridisk tolkning.
Enligt utredningen finns det i stället risk att praktiska frågor och tolkningssvårigheter skulle kunna uppstå på grund av de formella krav som ställs upp för uppförandekoder. Dessa skulle kunna riskera utgöra onödiga hinder för att smidigt och ändamålsenligt åstadkomma det avsedda syftet att stödja aktörerna. Ett troligt hinder är frågan om vilken aktör som skulle kunna utses till oberoende övervakningsorgan. Regeringen har nyligen omprövat sin tidigare bedömning av värdet av uppförandekoder för skolväsendets behandling av personuppgifter. Regeringen ansåg att uppförandekoder inte är en
105
Alternativ lösning – en branschstandard | SOU 2023:83 |
lämplig form för att vägleda och stödja de personuppgiftsansvariga inom skolväsendet, och anförde följande i propositionen:2
Eftersom en kod för skolväsendet skulle omfatta inte bara offentliga huvudmän utan även enskilda utbildningsanordnare innebär vägledningen från Integritetsskyddsmyndigheten att det skulle behöva utses ett övervakningsorgan för koden och att detta skulle ackrediteras av Integritetsskyddsmyndigheten. Om Integritetsskyddsmyndigheten ska ackreditera organet kan myndigheten inte vara övervakningsorgan. Samtidigt förutsätts att övervakningsorganet har lämplig expertis. Det är inte givet vem som lämpligen skulle kunna ha rollen som övervakningsorgan på skolområdet eller fortsättningsvis administrera koden, uppgifter som även skulle medföra kostnader. Mot bakgrund av den beskrivna utvecklingen bedömer regeringen att en uppförandekod inte längre kan anses utgöra en lämplig form för vägledande och stödjande dokument för behandling av personuppgifter i skolväsendet. Under sådana förhållanden finns det inte längre skäl att ge en lämplig myndighet i uppdrag att vidta åtgärder för att initiera och stödja utarbetandet av en uppförandekod för skolväsendet
På samma sätt som för skolväsendet skulle en uppförandekod för hälso- och sjukvårdssektorn omfatta såväl offentliga som privata aktörer. Detta skulle medföra att det även för denna sektor skulle behöva utses ett övervakningsorgan som skulle behöva ackrediteras av IMY. Det finns enligt utredningen inget självklart organ som kan pekas ut som lämplig kandidat för ett sådant åtagande. Det finns inte heller något mandat för en regering eller någon myndighet att besluta om vem som skulle kunna få uppgiften eftersom det enligt dataskyddsförordningen är personuppgiftsansvariga själva som har att besluta det.
De svårigheter som beskrivits i förhållande till övervakningsorgan och representativitet för en uppförandekod ökar om uppförandekoden i framtiden ska omfatta fler aktörer. Detta är ytterligare ett skäl till att utredningen anser det vara mindre lämpligt med formen uppförandekoder, särskilt om stödet senare ska kunna utökas till att även omfatta socialtjänsten (så som i Norge).
Genom att begränsa formen till uppförandekoder skapas dessutom en avgränsning som enligt utredningen inte är önskvärd. Det är inte bara dataskyddsförordningen som aktörerna har behov av stöd att tolka. Genom att välja en annan form än en uppförandekod går det att öppna upp för att andra relevanta problemområden kan omfattas. Sådana frågor skulle kunna vara informationssäkerhet för
2Prop. 2020/21:152 Vissa insatser för ökad lärarkompetens. s. 53.
106
SOU 2023:83 | Alternativ lösning – en branschstandard |
uppgifter som inte är i form av personuppgifter men som ändå är skyddsvärda, exempelvis sådana om vårdens kapacitet eller andra uppgifter eller sammanställningar som skulle kunna vara känsliga ur ett totalförsvarsperspektiv. Utredningen bedömer att informationssäkerhet och dataskydd är så tätt sammankopplade att det är ändamålsenligt att hålla ihop de båda områdena. Andra områden som branschstandarden i framtiden skulle kunna omfatta är cybersäkerhet och säkerhetsskydd. Utredningen ser också att en branschstandard i förlängningen även skulle kunna utökas till att omfatta andra aktörer eller sådana som behandlar uppgifter för andra ändamål än hälso- och sjukvård. För att inte redan från början sätta upp hinder för en sådan utveckling bör ramarna vara så flexibla som möjligt.
För statens del skulle uppförandekoder medföra något högre kostnader än en branschstandard. Framför allt skulle IMY få ökade kostnader för att yttra sig om utkast till, ändring eller utökning av uppförandekod överensstämmer med EU:s dataskyddsförordning samt godkänna förslaget om myndigheten bedömer att utkastet lever upp till kriterierna för en uppförandekod. Utöver det skulle IMY ha i uppdrag att ackreditera de övervakningsorgan som har att övervaka kodens efterlevnad. För hälso- och sjukvårdens aktörer uppstår förutom kostnaden för utarbetandet av själva uppförandekoden, som också föreligger för en branschstandard, även kostnader för övervakningsorganet (se avsnitt 5.5.5). Aktörerna som vill upprätta en uppförandekod behöver för IMY visa övervakningsorganets oberoende, vilket medför initiala kostnader i form av utredning om vem som kan utgöra ett sådant oberoende organ. Därutöver ska organet upprätta rutiner och processer för att hantera klagomål om överträdelser. Kostnaden för att säkerställa övervakningsorganets oberoende och verksamhet är svår att uppskatta eftersom det inte finns några godkända uppförandekoder i Sverige som kan användas som referens. Vidare kommer övervakningen från det oberoende organet att medföra ekonomiska och administrativa konsekvenser när en verksamhet blir föremål för övervakning.
Utredningen kan konstatera att kostnaderna som skulle följa av att utarbeta en uppförandekod är desamma som för en branschstandard. Däremot tillkommer för uppförandekoder unika merkostnader, bland annat för ackreditering och övervakning, som är svåra att uppskatta men som utredningen bedömer sammantaget blir ansenliga för de aktörer som ansluter sig till koden.
107
Alternativ lösning – en branschstandard | SOU 2023:83 |
En branschstandard innebär möjligheter, inte skyldigheter, för aktörerna inom hälso- och sjukvården att delta i framtagandet och användningen av den och medför inga konsekvenser för den kommunala självstyrelsen.
10.2.2Stödet bör rikta sig mot aktörer inom hälso- och sjukvårdens område
Syftet med utredningens uppdrag är enligt direktiven att ge stöd till aktörerna inom hälso- och sjukvårdens område för att klargöra hur EU:s dataskyddsförordning ska tillämpas. Det finns ingen vedertagen avgränsning för vilka aktörer som anses innefattas av begreppet inom hälso- och sjukvårdens område. Hälso- och sjukvård syftar enligt hälso- och sjukvårdslagen (2017:30), förkortad HSL, på åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador. Till hälso- och sjukvården hör även sjuktransporter samt att ta hand om avlidna (2 kap. 1 § HSL). Kommunal hälso- och sjukvård ges i patientens bostad eller motsvarande. Hemsjukvård ges i såväl ordinärt som särskilt boende samt i daglig verksamhet och dagverksamhet. Tandvården omfattas inte av HSL utan regleras i stället av tandvårdslagen (1985:125). Tandvård syftar enligt tandvårdslagen på åtgärder för att förebygga, utreda och behandla sjukdomar och skador i munhålan
Personuppgiftsbehandling inom hälso- och sjukvården regleras av i huvudsak av patientdatalagen (2008:355), förkortad PDL, och där ingår både de aktörer som omfattas av HSL och tandvårdslagen. Det ter sig därför lämpligt att i sammanhanget inledningsvis rikta stödet till hälso- och sjukvårdens område till de aktörer som omfattas av PDL, och i förlängningen även deras personuppgiftsbiträden och leverantörer för sådana system där personuppgifterna ska behandlas.
När utredningen i den alternativa lösningen skriver hälso- och sjukvård så avses all hälso- och sjukvård, inklusive hälso- och sjukvård som kommuner ansvarar för, tandvård, elevhälsans medicinska insats samt hälso- och sjukvård som bedrivs av statliga myndigheter som exempelvis Statens institutionsstyrelse och Kriminalvården, oavsett om vården är offentligt eller privat finansierad.
108
SOU 2023:83 | Alternativ lösning – en branschstandard |
10.3Arbetet med en branschstandard bör ledas av en styrgrupp
10.3.1Behovsdriven styrning
Utredningen bedömer att det styrsätt och den form för stöd som tagits fram i Norge genom Normen kan tjäna som förebild för arbetet i Sverige – men med några modifikationer. Den av utredningen tänkta styrmodellen är behovsdriven och där aktörer som behandlar personuppgifter inom hälso- och sjukvården själva beslutar om vad som ska ingå i branschstandarden och vilken detaljnivå den ska ha. Det möjliggör för verksamheterna att driva frågorna i den takt som bäst fungerar för dem själva. Arbetet med frågor som aktörerna ser stort behov av att enas kring kommer därför också att prioriteras. Styrgruppen ser då till att bemanna arbetsgrupper som får i uppdrag att ta fram ändamålsenliga produkter. Behovet av stöd och engagemang från de aktörer som stödet ska hjälpa är drivkraften i den föreslagna styrmodellen. Utan behov behövs inget stöd och utan engagemang uteblir nyttan. För ett lyckat utfall är det därför av stor vikt att hälso- och sjukvårdens aktörer engagerar sig i processen. Bland annat genom att identifiera förslag på problemområden samt genom att ställa upp med kunskap, tid och andra resurser. Arbetssättet kräver aktivt och frivilligt deltagande i arbetsgrupper, men där engagemanget från de olika aktörerna varierar beroende på vilket sakområde som behandlas. En viktig förutsättning för att den frivilliga samverkan ska lyckas är att det finns en tydlig samsyn om vad samverkan ska avse och vilken nytta den ska ge. En tydligt formulerad och dokumenterad målbild är därför viktigt för framgång. Upprättandet av en roll- och ansvarsfördelning som tydliggör styrgruppens ansvar i förhållande till kansliet kan vara ett viktigt inslag för ett effektivt arbete.3
3Som förebild kan Digisams roll- och ansvarsfördelning (dnr RA
109
Alternativ lösning – en branschstandard | SOU 2023:83 |
10.3.2Styrgruppens sammansättning
För att branschstandarden ska få så hög legitimitet hos aktörerna som möjligt föreslår vi att ett det bildas ett råd med representanter för hälso- och sjukvårdens aktörer. I ett råd med representanter på hög nivå kan gemensamma tolkningar och åtgärder diskuteras samt gemensamt utredas, beslutas och tillämpas. I rådet bör lämpligen åtminstone representanter från regioner, kommuner, privata vårdgivare och statliga vårdgivare finnas med. Jämte rådet bör i likhet med den norska modellen en observatörsgrupp inrättas.
Utredningen har genom dialoger med representanter från bland annat kommuner och regioner, Swedish Medtech, Vårdföretagarna och statliga myndigheter fått ta del av förslag på tänkbara kandidater som skulle kunna ingå i ett råd eller en observatörsgrupp. Kommunsektorns representation är en utmaning eftersom de är så många till antalet och har varierande förutsättningar att delta i arbetet. En redogörelse för tänkbara kandidater som aktörerna framfört redovisas i bilaga 3.
Representation i såväl rådet som observatörsgruppen är en utmaning. Flera av aktörerna utredningen varit i kontakt med har framfört att styrgruppen bör vara liten nog för att möten ska innehålla produktiva diskussioner och säkerställa framdrift, men stor nog för att ha tillräcklig representativitet. En möjlig form är att det för styrgruppen definieras ett antal grupperingar som bör ha representation, och att dessa grupperingar sedan i en intern dialog själva avgör hur de bäst är representerade för det antal platser som finns att tillgå för grupperingen.
Aktörerna som ska ingå i observationsgruppen bör bedömas och bestämmas närmare av rådet. Till utredningen har det bland annat framförts förslag på statliga myndigheter, professionsföreningar och patientorganisationer.
10.3.3Ett regeringsuppdrag för att bilda rådet samt de statliga myndigheternas rättsliga stöd för att delta
En statlig myndighet får enligt legalitetsprincipen endast vidta åtgärder som har stöd i rättsordningen. Myndigheternas verksamhet ska därför lyda under lag och andra författningar. Det som myndigheterna har stöd i rättsordningen att göra utgör myndighetens kompetensom-
110
SOU 2023:83 | Alternativ lösning – en branschstandard |
råde. Regleringen av en myndighets kompetensområde sker främst genom myndighetens instruktion och av specialförfattningar som reglerar myndighetens verksamhet. Det finns en generell plikt för myndigheter att samarbeta och samverka som är förordningsstyrd. Myndighetsförordningen (2007:515) slår fast att myndighetsledningen ansvarar inför regeringen för verksamheten och ska se till att den bedrivs effektivt och enligt gällande rätt och förpliktelser, att den redovisas på ett tillförlitligt och rättvisande sätt samt att myndigheten hushållar väl med statens medel (3 §). Myndigheten ska vidare fortlöpande verka för att genom samarbete med myndigheter och andra ta till vara de fördelar som kan vinnas för enskilda samt för staten som helhet (6 §). I förvaltningslagen (2017:900) slås vidare, under rubriken samverkan mellan myndigheter, fast att en myndighet ska inom sitt verksamhetsområde samverka med andra myndigheter (8 §). Utredningen bedömer att det arbete som de myndigheter inom hälso- och sjukvårdens område utför inom ramen för deltagande i styrgruppen (eller i arbetsgrupper) har stöd i rättsordningen genom respektive myndighets instruktion tillsammans, ensamt eller i kombination, med myndighetsförordningen eller förvaltningslagen. Vi bedömer att arbetsuppgiften att samordna och facilitera en branschstandard åt hälso- och sjukvårdens aktörer tydliggörs i den ansvariga myndighetens instruktion.
Vid bildandet av Normen i Norge (se kapitel 6) bjöd
Det föreslagna rådet ska fastställa stöden i eget namn men styrgruppen (rådet och observatörsgruppen) tillsammans med kansliet bör ha formen av ett osjälvständigt organ i förhållande till den ansvariga myndigheten (se avsnitt10.3.1).
111
Alternativ lösning – en branschstandard | SOU 2023:83 |
10.3.4Arbetet bedrivs genom tillfälliga arbetsgrupper
Utredningen föreslår att arbetet med att ta fram underlag för beslut utförs i tillfälliga arbetsgrupper för de olika frågeställningarna som ska utredas. Dessa arbetsgrupper ska resurssättas av styrgruppen. Utredningen anser att det föreslagna stödkansliet ska ha en neutral, samordnande och stöttande roll i roll i framtagandet av underlagen. För att skapa en bred förankring av arbetet bland de berörda aktörerna bör framtagning av vägledningarna i stället ske genom arbetsgrupper i vilka de berörda aktörerna inom hälso- och sjukvården deltar. På så sätt får kommuner, regioner och privata aktörerna som ingår i styrgruppen ännu en kanal att föra fram både kunskap och synpunkter om hur de uppfattar att problemen ska hanteras. Detta kommer enligt utredningen skapa en känsla av delaktighet och gemensamt ägandeskap av frågorna.
Till varje arbetsgrupp kan också tillföras en referensgrupp. Syftet med referensgruppen är att kontinuerligt inhämta synpunkter från en bredare skara redan i utarbetandet av stödet. Detta för att få ett så förankrat beslutsunderlag som möjligt. Referensgruppen sammansättning bestäms av styrgruppen från fall till fall. Den kan lämpligen besättas bland annat av representanter från
10.4Ett kansli som ska stödja utarbetandet av en branschstandard bör inrättas
Utredningen bedömer att det finns fördelar med att samordna funktioner och samla kompetens genom att skapa ett kansli4. Det behövs en sammankallande nationell aktör med kunskap om hälso- och sjukvårdens informationsflöden och denna aktör bör ha ett tydligt mandat för det stödjande arbetet. För att dra nytta av och bygga vidare på befintlig kompetens och erfarenhet bör kansliet placeras hos en myndighet med närliggande uppdrag och verksamheter.
De statliga myndigheter som har uppdrag och verksamheter kopplade till data om personers hälsa och annan känslig information som genereras inom hälso- och sjukvården är främst Socialstyrelsen och
4 Med kansli avses inte ett sådant kansli som avses i 17 § myndighetsförordningen (2007:515).
112
SOU 2023:83 | Alternativ lösning – en branschstandard |
Socialstyrelsen
Socialstyrelsen är den kunskapsstyrande myndigheten för vård och omsorg. Socialstyrelsen ansvarar för föreskrifter och allmänna råd inom sitt verksamhetsområde och har bland annat bemyndigats att meddela föreskrifter om journalhandlingars innehåll och utformning. En stor del av Socialstyrelsen uppdrag handlar om att samla, skapa och sprida kunskap. Socialstyrelsen har enligt sin instruktion bland annat ansvar för att verka för att hälso- och sjukvården och socialtjänsten bedrivs enligt vetenskap och beprövad erfarenhet, ansvar för kunskapsutveckling och kunskapsförmedling inom sitt verksamhetsområde samt för att skapa och tillhandahålla enhetliga begrepp, termer och klassifikationer inom sitt
113
Alternativ lösning – en branschstandard | SOU 2023:83 |
Mycket tyder på att myndigheten kommer att få en allt större roll kopplat till infrastrukturen för hälsodata. Regeringen har senaste åren gett myndigheten en rad olika uppdrag med syfte att reformera den digitala infrastrukturen för hälso- och sjukvård, tandvård och socialtjänst.5
Placeringen av kansliet
I utredningens direktiv framhåller regeringen att enhetligare tolkning av lagstiftningen bland annat kan minska de hinder som finns för datadelning.6
Utredningen, i likhet med
5
6Dir. 2022:98 Hälsodata som nationellt intresse – en lagstiftning för interoperabilitet.
114
SOU 2023:83 | Alternativ lösning – en branschstandard |
10.4.1Kansliets organisation, rättsliga status och finansiering
Uppgiften att upprätta ett stödjande kansli skulle antingen kunna ges genom regeringsuppdrag eller som en arbetsuppgift i myndighetens instruktion.
Utredningen bedömer att det är mest ändamålsenligt att det av
Enligt uppdraget ska utredningen föreslå en myndighet inom den befintliga myndighetsstrukturen. Vår avsikt är därför inte att skapa ett sådant självständigt organ som organisatoriskt skulle räknas som en egen myndighet med egna rättigheter och skyldigheter. Förslaget är inte heller att likna vid ett särskilt beslutsorgan eftersom besluten endast kommer omfatta frivilliga, stödjande och vägledande produkter. Avsikten är att kansliet (i förlängningen även tillhörande styrgrupp och arbetsgrupper) rent organisatoriskt ska ses som ett osjälvständigt organ i förhållande till
I februari 2011 gav regeringen i uppdrag till Riksarkivet att inrätta ett samordningssekretariat för digitalisering, digitalt bevarande och digitalt tillgängliggörande (Digisam). Den form som utredningen föreslår för det nya kansliet har stora likheter med hur Digisam såg ut. En skillnad är dock att regeringen i regeringsuppdraget till Riksarkivet pekade ut vissa aktörer som skulle sitta i det styrråd som
115
Alternativ lösning – en branschstandard | SOU 2023:83 |
Riksarkivet fick i uppdrag att inrätta (gruppens övriga storlek och organisation fick bestämmas av de medverkande myndigheterna och institutionerna).78
Konstitutionsutskottet har (i förhållande till Regeringskansliet) uttalat att det är viktigt att det finns en tydlig grund för att betrakta ett organ med utomstående deltagare som en del av myndigheten. Detta inte minst för att möjliggöra en korrekt tillämpning av reglerna om allmänna handlingars offentlighet (bet. 2017/18:KU20 och bet. 2018/19:KU10). Det utskottet ger uttryck för bör enligt utredningen även gälla osjälvständiga organ med utomstående deltagare vid andra myndigheter än Regeringskansliet.
Regeringskansliet har i en promemoria om osjälvständiga organ vid myndigheten uttalat att osjälvständiga organ med utomstående deltagare lämpligen bör tillsättas genom särskilda beslut. På så sätt blir grunden för att betrakta organet som osjälvständigt tydlig. Genom att uppdraget tas in i instruktionen uppfylls enligt utredningen kravet att på en tydlig rättslig grund för organens osjälvständighet. Detta innebär enligt utredningen bland annat att förfrågningar om allmänna handlingar bör prövas utifrån myndighetens skyldigheter att hantera sådan begäran.
Även om kansliet och i förlängningen styrgruppen ska ses som ett osjälvständigt organ i bemärkelsen i 2 kap. 8 § TF så bör det även framgå av instruktionen att de, för aktörerna frivilliga och stödjande, produkter som tas fram fastställs av rådet och inte av
Omfattningen av kansliets bemanning kommer att vara beroende av den framdrift och tempo som de av styrgruppen tillsatta arbetsgrupperna har. Det är svårt att bedöma hur intensivt arbetet kommer att bedrivas och om intensiteten, och därmed arbetet för kansliet, över tid kommer att förändras. Kansliets verksamhet och finansiering bör därför särredovisas i
7Regeringen (2011) Uppdrag till Riksarkivet att inrätta ett samordningssekretariat för digitalisering, digitalt bevarande och digital förmedling av kulturarvet. (dnr Ku2011/242/KA).
8Formen har även likheter med den form som finns för statens
116
SOU 2023:83 | Alternativ lösning – en branschstandard |
storlek kan komma att skifta i takt med att verksamheten går från en uppbyggnadsfas till en förvaltande fas. I uppbyggnadsfasen kan vissa initiala kostnader för bland annat rekrytering av personal samt upprättande av en grafisk profil och en webbplats föreligga. Det är svårt att bedöma hur omfattande verksamheten, och därmed
En grov uppskattning ger vid handen att kansliet initialt kommer att behöva fyra heltidsanställda. Det är aktörernas engagemang att utarbeta branschstandarden som ytterst sätter ramarna för arbetets framdrift. I takt med att alltmer stödmaterial utvecklas kan andra kostnader, till exempel för att göra materialet digitalt lättillgängligt, tillkomma. Om det skulle bli aktuellt med kommunikations- och utbildningsinsatser för att sprida stödet till målgruppen genom konferenser, seminarier eller webbinarier (i likhet med Normen i Norge) behövs ytterligare resurser.
10.4.2Kansliets arbetsuppgifter
Kansliets huvudsakliga uppgifter ska vara att bistå styrgruppen med underlag med förslag för arbetsområden och förslag till sammansättning av arbetsgrupper för dessa. Kansliet ska vara kontaktpunkt mellan rådet, observatörerna, arbetsgrupper, referensgrupper och andra myndigheter eller aktörer samt samordna det arbete som utförs av arbetsgrupper som tillsätts efter beslut av styrgruppen.
Vidare ska kansliet tillgängliggöra och förvalta de stödjande produkter som beslutats av rådet.
En ytterligare uppgift skulle kunna vara att bistå med utbildningsinsatser och konferenser. Sådana uppgifter har utförts i Norge genom Normens kansli med positiva resultat.
10.4.3Utvärdering
En extern oberoende part bör få i uppdrag att följa upp och utvärdera arbetet. Utvärderingen syftar huvudsakligen till att bedöma om det arbete som bedrivs och de produkter som utarbetas inom ramen för branschstandarden är en effektiv metod att stödja och underlätta hälso- och sjukvårdens aktörer att tillämpa rättsreglerna på området.
117
Alternativ lösning – en branschstandard | SOU 2023:83 |
I uppdraget bör ingå att utvärdera arbetets organisering, rollfördelningen mellan kansliet och rådet samt bedöma kostnadseffektiviteten och nyttan med uppnådda resultat.
Utvärderingen bör ske tidigast tre år efter att kansliet inrättas.
10.5Konsekvenser för den alternativa lösningen
Som utredningen redogör för i kapitel 4 och i bilaga 2 finns ett behov av stöd för att tillämpa rättsreglerna relaterade informationshantering och digitalisering. Utarbetandet av en branschstandard för dataskydd och informationssäkerhet förväntas underlätta rättstillämpningen, göra den mer enhetlig och kostnadseffektiv samt riva vissa hinder för datadelning och digitalisering som föreligger i dag. Utredningen bedömer att det finns ett värde av att utveckla en branschstandard för dataskydd och informationssäkerhet. En branschstandard som tillämpas av två eller flera parter skapar tillit mellan parterna med avseende på de frågor som branschstandarden täcker. Tillit sänker transaktionskostnader som annars uppstår för att säkerställa att den andra parten i informationsutbytet lever upp till olika krav. Utredningen menar att små företag och vårdaktörer som frivilligt tillämpar branschstandarden har goda förutsättningar att minska administrationen och osäkerheten gällande regelverket som standarden täcker. En branschstandard som underlättar rättstillämpningen och gör den mer enhetlig bör därmed särskilt sänka kostnaderna för små företag att fullgöra olika krav. En branschstandard förväntas även underlätta för yrkesverksamma inom hälso- och sjukvården som gör rättsliga bedömningar och har möjlighet att påverka utformningen av olika digitala system, hjälpmedel och tjänster, att tillämpa rättsreglerna. Ytterst handlar det om att värna den personliga integriteten och samtidigt stärka patientsäkerheten och patienters delaktighet i vården. Regionerna, som är ansvariga för en stor del av hälso- och sjukvården, har stort inflytande när reglerna tolkas. En mer enhetlig tolkning av reglerna bland regionerna kan skapa bättre förutsättningar för de aktörer som har verksamhet i flera regioner och möter den varierade tillämpningen. Den varierande tillämpningen har stor påverkan på de mindre systemleverantörerna och privata vårdaktörer som agerar i flera regioner. Genom en mer enhetlig tillämpning av reglerna blir det sannolikt lättare för mindre leverantörer att skala upp befintliga lösningar och sälja produkterna till nya kunder.
118
SOU 2023:83 | Alternativ lösning – en branschstandard |
Som vi redogjort för i kapitel 7 står det regionerna fritt att hantera hälsodata utifrån respektive regions egen tolkning. Det ingår inte i regionernas uppdrag att agera samlat i syfte att adressera variationen. För att åstadkomma en substantiell förflyttning i önskad riktning genom ett frivilligt stöd, i form av en branschstandard, blir regionernas deltagande, engagemang och vilja till förändring central. Trots att behoven länge varit kända och möjligheten till branschsammanslutningar av detta slag varit möjliga har aktörerna själva inte tagit initiativ till att utarbeta en branschstandard eller annat liknande stöd för att harmonisera tillämpningen. Det samlade ekonomiska värdet som följer av en branschstandard är i stor utsträckning beroende av standardens omfattning och anslutningsgrad och därför svåra att beräkna. Stödet kan täcka teoretiskt täcka många rättsfrågor och komma många aktörer till del. En sådan bedömning förutsätter dock att aktörerna på frivillig och ofinansierad basis engagerar sig, något som aktörerna hitintills inte åstadkommit självmant. Den potentiella nyttan med en branschstandard står också i proportion till hur många, inte minst regioner, som väljer att använda stödet i sin tillämpning.
En branschstandard medför vissa kostnader för
Om
119
Bilaga 1
Kommittédirektiv 2022:98
Hälsodata som nationellt intresse – en lagstiftning för interoperabilitet
Beslut vid regeringssammanträde den 30 juni 2022.
Sammanfattning
En särskild utredare ska analysera och lämna förslag på ändamålsenliga och samhällsekonomiskt effektiva åtgärder som bedöms vara motiverade för att åstadkomma en bättre och säkrare informationsförsörjning av hälsodata mellan system och aktörer. Syftet är att öka patientsäkerheten, bedriva mer patientcentrerad vård och minska administrativt dubbelarbete för hälso- och sjukvårdspersonalen samt ge bättre förutsättningar för att utveckla och förbättra medicinska behandlingar, arbetssätt och hälsofrämjande preventiva insatser. Förbättrad informationsförsörjning av hälsodata kan också bidra till att öka samhällets förmåga att möta olika utmaningar och kriser.
Utredaren ska bl.a.
•analysera de rättsliga, organisatoriska, ekonomiska och tekniska förutsättningarna för att förbättra interoperabiliteten när uppgifter om hälsa överförs mellan olika system, aktörer och huvudmän, såväl kommuner och regioner som privata sådana, och lämna ändamålsenliga och samhällsekonomiskt effektiva förslag som bedöms vara nödvändiga med syfte att bl.a. bidra till en effektivare och säkrare tillgång till patienters hälsodata för såväl primärsom sekundäranvändning,
121
Bilaga 1 | SOU 2023:83 |
•redovisa hur lämnade förslag förhåller sig till relevant dataskydds- och sekretessreglering inom hälso- och sjukvårdsområdet samt relevant reglering inom informations- och cybersäkerhetsområdet,
•utreda och lämna förslag på vilken eller vilka myndigheter som ska ansvara för att utfärda föreskrifter, utöva tillsyn och ta fram andra stödjande eller styrande dokument om val och tillämpning av tekniska och semantiska standarder, och
•på samtliga områden lämna de författningsförslag som utredningen bedömer är motiverade.
Uppdraget ska redovisas senast den 30 april 2024.
Uppdraget att förbättra interoperabiliteten på hälsodataområdet
Data blir en allt viktigare resurs i samhället, och den digitala omställningen i hälso- och sjukvården är avgörande för att utveckla och förbättra medicinska behandlingar, arbetssätt och hälsofrämjande preventiva insatser. En mer heltäckande tillgång till patienters sjukdomshistorik skulle ge hälso- och sjukvården bättre underlag för diagnos och beslut om behandling samt bidra till en mer effektiv verksamhet. Hälso- och sjukvårdspersonalen skulle inte behöva samla in uppgifter från flera källor och skulle kunna undvika dubbeldokumentation och att behöva ta om samma prover. Patienterna å sin sida skulle inte behöva upprepa sin sjukdomshistoria för flera vårdgivare och inte behöva genomgå samma undersökningar flera gånger. Sammantaget skulle effektivare tillgång till patienters hälsodata minska den administrativa bördan för hälso- och sjukvården och bidra till en mer patientsäker och mer patientcentrerad vård.
Möjligheter att behandla stora mängder hälsodata är i många fall avgörande för forskning och utveckling, vilket är en förutsättning för nya och säkrare behandlingar och mer effektiva preventiva åtgärder. Förbättrade möjligheter till informationsdelning av data på hälso- och sjukvårdens område bedöms också ha stor potential att bidra till en bättre och säkrare vård, ökad och mer jämlik tillgänglighet och en stärkt patientcentrerad vård.
Det finns också ett växande behov av hälsodata för att mer effektivt kunna möta komplexa samhällsutmaningar såsom pandemier,
122
SOU 2023:83 | Bilaga 1 |
för att kunna bedriva tillsyn och uppföljning mer effektivt eller för effektutvärdering av läkemedel. Samlade och uppdaterade hälsodata skulle öka vår förmåga att möta samhällsutmaningar och kriser, bl.a. med hjälp av datadrivna analyser och lägesbilder i realtid.
Bristande digital infrastruktur för hälsodata
Utredningen om ökade förutsättningar för hållbara investeringsprojekt i framtidens hälso- och sjukvård anger i betänkandet Riksintressen i hälso- och sjukvården (SOU 2021:71) att investeringar som genomförs i regionerna måste vara ändamålsenliga och bidra till samhällsekonomisk effektivitet, vilket förutsätter att de svarar mot nationella målsättningar och reformer. Enligt hälso- och sjukvårdslagen (2017:30) är en sådan målsättning en god hälsa och vård på lika villkor för hela befolkningen. Utredningen pekar också på andra behov som behöver uppfyllas för att säkerställa en långsiktigt hållbar utveckling av hälso- och sjukvården i hela landet, till exempel hälso- och sjukvårdens beredskap, kompetensförsörjning, forskning och utbildning samt digital kommunikation.
Vidare understryker utredningen att den fragmenterade digitala infrastruktur som finns i dag skapar hinder för vårdens utveckling. Inte minst skapar bristen på gemensamma standarder för de digitala strukturer och system som byggts upp i regionerna hinder för en effektiv digital kommunikation. Förbättrade möjligheter till informationsdelning av data på hälso- och sjukvårdens område bedöms ha stor potential att bidra till vårdens utveckling. Gemensamma standarder för hälsodata kan därmed anses vara ett nationellt intresse för att uppnå målet om en god och jämlik vård, ge förutsättningar för realtidsuppdateringar av skeenden under hälsokriser, bidra till uppdaterade underlag i beredskapsarbetet och ge förutsättningar för forskning och innovation.
Myndigheten för vård- och omsorgsanalys har i rapporten Ökad precision i Europa (PM 2021:3) slagit fast att de länder som kommit längst med infrastruktur för primär- och sekundäranvändning har gemensamt att de har fokuserade satsningar från staten på teknisk och organisatorisk infrastruktur som kompletteras med lagstiftning. Rapporten går igenom sju europeiska länders satsningar på precisionsmedicin och hälsodata och gör bedömningen att Danmark,
123
Bilaga 1 | SOU 2023:83 |
Finland och Island har kommit längst i utvecklingen av en nationell infrastruktur för hälsodata och att Finland har kommit längst med satsningar på infrastruktur för sekundär användning. Sverige bedöms ligga efter i utvecklingen eftersom det finns svårigheter att dela data mellan olika vårdgivare och över regiongränser. Sverige saknar också en sammanhållen infrastruktur för sekundäranvändning av hälsodata.
För att kunna dela hälsodata för en effektivare, säkrare och mer individanpassad vård krävs gemensamma standarder. Nationella standarder öppnar också för möjligheter till koordinering och samordning med motsvarande standarder i våra nordiska grannländer och internationellt, vilket är en viktig förutsättning för många gränsöverskridande initiativ som till exempel Nordic Commons, samförståndsavtal med Storbritannien om life science (N2022/01372) och förslag till Europaparlamentets och rådets förordning om ett europeiskt hälsodataområde (COM(2022) 197 final), förkortad EHDS.
I dag saknas det reglering som säkerställer att samtliga aktörer som berörs av hälso- och sjukvårdslagen ska kunna omfattas av en nationell digital infrastruktur. Exempelvis ingår inte privata vårdgivare i den nationella digitala infrastrukturen, vilket kan skapa skillnader i förutsättningarna för att bedriva vård mellan privata och offentliga aktörer, försvåra vård och behandling av patienter som möter flera olika vårdgivare och försvåra möjligheterna till uppföljning och forskning.
Även den hälso- och sjukvård som bedrivs av kommunerna saknas i den nationella digitala infrastrukturen, vilket bidrar till en fragmenterad helhetsbild och andra svårigheter. Coronakommissionen lyfter i sitt första delbetänkande Äldreomsorgen under pandemin (SOU 2020:80) bl.a. fram att svårigheter att utbyta patientinformation mellan regional och kommunal hälso- och sjukvård utgör ett allvarligt patientsäkerhetsproblem. Den nya lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation har förbättrat de legala förutsättningarna för sådant informationsutbyte. Men för att ytterligare förbättra förutsättningarna för nödvändigt informationsutbyte behöver även de tekniska hindren undanröjas. Coronakommissionen lyfter även fram att det finns svårigheter att få en nationell överblick över situationen inom äldreomsorgen under pandemin.
Den nationella life sciencestrategin (N2019/03157) har uppmärksammat att den reglering som rör hur hälsodata får användas i forsk-
124
SOU 2023:83 | Bilaga 1 |
ningssammanhang eller för innovation finns i flera olika författningar, vilket i vissa fall bidragit till att det uppstår olika tolkningar hos olika aktörer. Skillnaderna i tolkningen av lagstiftningen kan bero på flera saker, bl.a. kan det finnas oklarheter eller hinder som kan behöva hanteras eller förtydligas. Skillnaderna som uppstår kan också bero på att kunskapsläget i de här frågorna varierar. Enhetligare tolkning av lagstiftningen kan bidra till minskad ojämlikhet men också minska de hinder som finns för datadelning. Gemensamma uppförandekoder för behandling av personuppgifter inom hälso- och sjukvårdens område med syfte att specificera hur EU:s dataskyddsförordning ska tillämpas, skulle också bidra till att underlätta för dem som ska tillämpa reglerna.
Pågående arbete för att stärka hälsodataområdet
Regeringen har tagit flera steg för att Sverige återigen ska kunna vara en av de ledande länderna inom hälsodata. Ett av dessa steg är det pågående arbetet med Vision
Flera myndigheter har pågående uppdrag inom delning och nyttjande av hälsodata. Exempelvis har
125
Bilaga 1 | SOU 2023:83 |
läkemedelslistan som syftar till att ge hälso- och sjukvården, öppenvårdsapoteken och patienten samma bild av patientens förskrivna och uthämtade läkemedel (lagen [2018:1212] om nationell läkemedelslista).
Vidare har flera myndigheter uppdrag som har beröringspunkter med det nu aktuella uppdraget. Socialstyrelsen har uppdraget att skapa och tillhandahålla enhetliga begrepp, termer och klassifikationer inom sitt verksamhetsområde samt skapa, beskriva och tillhandahålla en ändamålsenlig informationsstruktur inom sitt verksamhetsområde (förordningen [2015:284] med instruktion för Socialstyrelsen).
Det pågår även ett omfattande arbete inom EU för att underlätta delning av hälsodata. Europeiska kommissionen har lämnat ett förslag till förordning om EHDS. För att stödja delning av data mellan vårdgivare planerar man inom ramen för EHDS att införa obligatoriska krav för interoperabilitet, säkerhet, trygghet och integritet samt obligatorisk egencertifiering av elektroniska patientjournaler, vilket omfattar interoperabilitet och säkerhet. Oavsett hur EHDS slutligt kommer att utformas, finns det behov av att Sveriges utvecklar en effektivare och säkrare tillgång till patienters hälsodata för såväl primär- som sekundäranvändning. I enlighet med den europeiska datastrategin ska EHDS och övriga framväxande dataområden vara sinsemellan interoperabla.
126
SOU 2023:83 | Bilaga 1 |
Utgångspunkter för uppdraget
Sammanfattningsvis kan god informationsförsörjning av hälsodata ses som en nationell resurs, och de rättsliga, organisatoriska, ekonomiska och tekniska förutsättningarna behöver närmare analyseras för att möjliggöra att hälsodata på ett effektivare sätt ska kunna komma till nytta för att stärka hälso- och sjukvården. Det behövs bättre förutsättningar för att kunna lagra, dela och nyttja hälsodata för olika ändamål på ett säkert och kostnadseffektivt sätt. Många av de uppgifter som är aktuella i sammanhanget är känsliga personuppgifter som rör hälsa och personliga förhållanden. Det är därför samtidigt av stor vikt att skyddet för den personliga integriteten värnas och att informationssäkerheten säkras.
Ett viktigt steg för att hälsodata ska komma till nytta för att stärka hälso- och sjukvården är att hälsodata blir interoperabla, det vill säga att olika system kan samarbeta genom att få tillgång till och använda varandras information. Interoperabla data kan läsas av maskiner utan att speciallösningar behöver nyttjas. Med gemensamma nationella standarder finns förutsättningar för att mer effektivt ställa krav vid upphandlingar av exempelvis journalsystem, underlätta för människor att ta del av sina hälsodatauppgifter över hela landet, bidra till en mer effektiv och patientsäker vård samt för att samla hälsodata för forskning och innovation. Samtliga av dessa förutsättningar kan ses som nödvändiga för att utveckla framtidens hälso- och sjukvård. Lärdomar från arbetet med interoperabla system från hälso- och sjukvårdsområdet kan senare komma att användas på andra områden.
Utredaren ska därför
•analysera de rättsliga, organisatoriska, ekonomiska och tekniska förutsättningarna för att förbättra interoperabiliteten när uppgifter om hälsa överförs mellan olika system, aktörer och huvudmän, såväl kommuner och regioner som privata sådana, och lämna ändamålsenliga och samhällsekonomiskt effektiva förslag som bedöms vara nödvändiga med syfte att bl.a. bidra till en effektivare och säkrare tillgång till patienters hälsodata för såväl primärsom sekundär användning,
127
Bilaga 1 | SOU 2023:83 |
•redovisa hur lämnade förslag förhåller sig till relevant dataskydds- och sekretessreglering inom hälso- och sjukvårdsområdet samt relevant reglering inom informations- och cybersäkerhetsområdet,
•beakta behovet av skydd för den personliga integriteten och under arbetets gång göra en integritetsanalys,
•utreda och lämna förslag på vilken eller vilka myndigheter som ska ansvara för att utfärda föreskrifter, utöva tillsyn och ta fram andra stödjande eller styrande dokument om val och tillämpning av tekniska och semantiska standarder,
•utreda och lämna förslag på en myndighet, inom den befintliga myndighetsstrukturen, som ska bemyndigas att ta fram uppförandekoder för behandling av personuppgifter inom hälso- och sjukvårdens område med syfte att specificera hur EU:s dataskyddsförordning ska tillämpas,
•på samtliga områden lämna de författningsförslag som utredningen bedömer är motiverade,
•redovisa hur förslagen kan användas för att minska arbetet med dubbeldokumentation och öka förutsättningarna för automatisering av datahantering, samt lämna förslag på ytterligare åtgärder i syfte att minska dubbeldokumentationen och öka automatiseringsgraden,
•redovisa hur förslagen kan underlätta samarbeten på nordisk, europeisk och internationell nivå, och
•i övrigt föreslå ändringar som utredaren anser ha direkt beröring med uppdraget.
Utredarens samlade förslag ska vara så kostnadseffektiva som möjligt och inte medföra påtagligt ökade kostnader för staten jämfört med dagens system.
Konsekvensbeskrivningar
Konsekvenser ska analyseras och redovisas enligt
128
SOU 2023:83 | Bilaga 1 |
utöver vad som är nödvändigt med hänsyn till ändamålen. Det innebär att en proportionalitetsprövning ska göras. Om något av förslagen påverkar den kommunala självstyrelsen, ska därför, utöver förslagets konsekvenser, de särskilda avvägningar som lett fram till förslaget särskilt redovisas.
Konsekvensbeskrivningen ska särskilt beskriva de effekter eventuella förslag har på statens, regioners, kommuners och privata vårdgivares kostnader.
Kontakter och redovisning av uppdraget
Utredaren ska föra en dialog med kommuner, regioner, Sveriges Kommuner och Regioner, företrädare för professionen, branschföreträdare, Sveriges Standardiseringsförbund, Kommittén för teknologisk innovation & etik (N 2018:04) och Utredningen om hälsodata som nationell resurs för framtidens hälso- och sjukvård (S 2022:04). Utredaren ska även föra dialog med berörda myndigheter, t.ex.
Utredaren ska också beakta det pågående arbetet med EHDS, Nordic Commons samt dataförvaltningsakten, COM(2020) 767 final, och dataakten, COM(2022) 68 final.
Uppdraget ska redovisas senast den 30 april 2024.
(Socialdepartementet)
129
Bilaga 2
Juridiska områden som behöver tydliggöras och ensas
Under arbetet med uppdraget har utredningen fått ta del av en mängd juridiska problemområden där hälso- och sjukvårdens aktörer upplever att det föreligger hinder i form av osäkerhet kring tolkningen av reglerna eller att lagstiftning tolkas olika. I avsnitt 4.2 i betänkandet redogör vi för de områden som aktörerna menar skulle ge störst nytta och där det finns goda förutsättningar att enas. Nedan redovisar utredningen kortfattat andra frågor som aktörerna lyft som problematiska och där det finns önskemål om förtydliganden eller att tolkningarna ensas.
Frågan om hur och var känsliga personuppgifter får lagras har lyfts av flera aktörer. Osäkerheten omfattar även tredjelandsöverföringar – inte minst i förhållande till USA som anses särskilt problematisk. Den varierande tolkningen snedvrider enligt aktörerna konkurrensen och gynnar de som har en extensiv tolkning av dataskyddsförordningen.
Från
Det finns även flera begrepp, såsom egenmonitorering, egenvård och självhjälp som aktörerna ser ett behov av att sektorn gemensamt enades om. Begreppet patientrelation är något som flera aktörer upplever tolkas olika. Variationen i tolkningen leder till att, allt annat lika, olika aktörer får tillgång till olika mycket information i patientmötet vilket ytterst påverkar vårdkvalitén. Även begreppet journal, som används i PDL, upplevs vara svårtolkat. Det råder även osäkerhet om vilka uppgifter i kringliggande system utanför det huvudsakliga journalsystemet som ska anses ingå i patientens journal. Så kallad dubbellagring av data i olika stödsystem för ändamål som inte
131
Bilaga 2 | SOU 2023:83 |
bara är vårdändamål men som kan vara det, ses också som en gråzon i förhållande till journalbegreppet.
Flera privata vårdgivare har till utredningen angett att de, för att bedriva vård i uppdrag av en region, behöver använda vissa av regionen anvisade
Till utredningen har det också framförts att det finns ett behov av en samlad branschgemensam lägstanivå för tekniska säkerhetsåtgärder gällande delning av data i olika sammanhang. Ett konkret exempel som nämnts är leveransmetoder där man i dag tillämpar väldigt olika säkerhetsnivåer (okrypterade mejl och
Ett område som lyfts som ett möjligt framtida problemområde är vad som gäller vid fjärråtkomst av medicintekniska produkter. Osäkerhet råder även kring informationsdelning till närstående om vilka uppgifter får delas och under vilka premisser.
Utöver EHDS, som redovisas i avsnitt 4.2, råder osäkerhet kring ny lagstiftning på flera områden, såsom förordningen om medicintekniska produkter, förkortad MDR, och förordningen om medicintekniska produkter för in
132
Bilaga 3
Föreslagna kandidater till styrgrupp för en branschstandard inom hälso- och sjukvårdens område
Att åstadkomma en god representativitet i styrgruppen (med råd- och observatörsgrupp) och samtidigt hålla gruppens medlemmar till ett antal som möjliggör en effektiv arbetsgång är en utmaning. Principerna och de formella mekanismerna för deltagande i styrgruppen (exempelvis eventuella valberedningar och om rullande/roterande representation ska användas) behöver tas fram av kansliet och hälso- och sjukvårdens aktörer.
Utredningen har haft dialoger och arbetsmöten med aktörer där olika förslag på representation har kommit upp och följande redovisning bör betraktas som ett medskick till det fortsatta arbetet.
Aktörerna menar att representanter åtminstone från regioner, kommuner, privata vårdgivare och statliga vårdgivare bör finnas i rådet. Med förslagsvis fyra representanter från regioner och kommuner, och tre från de privata vårdgivarna, uppstår en balans mellan storlek på aktörer och behovet av stöd i tolkning av regelverk. Representanterna från region- och kommunsidan kan nomineras från SKR, från
133
Bilaga 3 | SOU 2023:83 |
Från den privata hälso- och sjukvården och näringslivet har organisationerna Vårdföretagarna, Swedish Medtech, Lif och Tech Sverige ingått ett samarbete, vilket enligt aktörerna kan skapa en bra grund för representation från detta håll. Här representeras också leverantörerna för
Tabell 1 Föreslagna aktörer att ingå i styrgruppen för en branschstandard
Från regioner och kommuner
Kunskapsstyr- | Nätverket för | Socialchefs- | Inera | |
ningen inom SKR | hälso- och sjuk- | nätverket | ||
vårdens direktörer | ||||
Riksföreningen | ||||
för medicinskt | ||||
ansvariga sjuk- | ||||
sköterskor | ||||
Från privata aktörer | ||||
Swedish Medtech | Vårdföretagarna | Lif – de forskande | Cambio | |
läkemedelsföre- | ||||
tagen | ||||
Swedish Labtech | Tech Sverige | OracleCerner | ||
Från intresseföreningar | ||||
Patientföreningar | Professions- | FAMNA | Forska Sverige | |
(många olika) | föreningar (många | |||
olika) | ||||
Från statliga myndigheter | ||||
Socialstyrelsen | Integritetsskydds- | Myndigheten för | Myndigheten för | |
myndigheten | samhällsskydd | digital förvaltning | ||
och beredskap | ||||
Statens insti- | Tandvårds- och | Konkurrensverket | ||
myndigheten | tutionsstyrelse | läkemedels- | ||
förmånsverket | ||||
Inspektionen för | Upphandlings- | Kriminalvården | Läkemedelsverket | |
vård- och omsorg | myndigheten | |||
Övriga aktörer | ||||
Kundgrupp | Sussa Samverkan | |||
Cosmic | ||||
Källa: Utredningens egna material.
134
Statens offentliga utredningar 2023
Kronologisk förteckning
1.Skärpta straff för flerfaldig brottslighet. Ju.
2.En inre marknad för digitala tjänster
–ansvarsfördelning mellan myndigheter. Fi.
3.Nya regler om nödlidande kreditavtal och inkassoverksamhet. Ju.
4.Posttjänst för hela slanten. Finansieringsmodeller för framtidens samhällsomfattande posttjänst. Fi.
5.Från delar till helhet. Tvångsvården som en del av en sammanhållen och personcentrerad vårdkedja. S.
6.En lag om tilläggsskatt för företag i stora koncerner. Fi.
7.På egna ben.
Utvecklad samverkan för individers etablering på arbetsmarknaden. A.
8.Arbetslivskriminalitet – arbetet
i Sverige, en bedömning av omfattningen, lärdomar från Danmark och Finland. A.
9.Ett statligt huvudmannaskap för personlig assistans.
Ökad likvärdighet, långsiktighet och kvalitet. S.
10.Tandvårdens stöd till våldsutsatta patienter. S.
11.Tillfälligt miljötillstånd för samhällsviktig verksamhet
–för ökad försörjningsberedskap. KN.
12.Förstärkt skydd för demokratin och domstolarnas oberoende. Ju.
13.Patientöversikter inom EES och Sverige. S.
14.Organisera för hållbar utveckling. KN.
15.Förnybart i tanken. Ett styrmedelsförslag för en stärkt bioekonomi. LI.
16.Staten och betalningarna. Del 1 och 2. Fi.
17.En tydligare bestämmelse om hets mot folkgrupp. Ju.
18.Värdet av vinden. Kompensation, incitament och planering för
en hållbar fortsatt utbyggnad av vindkraften. Del 1 och 2. KN.
19.Statlig forskningsfinansiering. Underlagsrapporter. U.
20.Förbud mot bottentrålning i marina skyddade områden. LI.
21.Informationsförsörjning på skolområdet. Skolverkets ansvar. U.
22.Datalagring och åtkomst till elektronisk information. Ju.
23.Ett modernare socialförsäkringsskydd för gravida. S.
24.Etablering för fler – jämställda möjligheter till integration. A.
25.Kunskapskrav för permanent uppehållstillstånd. Ju.
26.Översyn av entreprenörsansvaret. A.
27.Kamerabevakning för ett bättre djurskydd. LI.
28.Samhället mot skolattacker. U.
29.Varje rörelse räknas – hur skapar vi ett samhälle som främjar fysisk aktivitet? S.
30.Ett trygghetssystem för alla. Nytt regelverk för sjukpenninggrundande inkomst. S.
31.Framtidens yrkeshögskola
– stabil, effektiv och hållbar. U.
32.Biometri – för en effektivare brottsbekämpning. Ju.
33.Ett förbättrat resegarantisystem. Fi.
34.Bolag och brott – några åtgärder mot oseriösa företag. Ju.
35.Nya regler om hållbarhetsredovisning. Ju.
36.Genomförande av minimilönedirektivet. A.
37.Förstärkt skydd för den personliga integriteten. Behovet av åtgärder mot oskuldskontroller, oskuldsintyg och oskuldsingrepp samt omvändelseförsök. Ju.
38.Ett förstärkt konsumentskydd mot riskfylld kreditgivning och överskuldsättning. Fi.
39.En inre marknad för digitala tjänster
–kompletteringar och ändringar i svensk rätt. Fi.
40.Förbättrade möjligheter för barn att utkräva sina rättigheter enligt barnkonventionen. S.
41.Förutsättningarna för en ny kollektivavtalad arbetslöshetsförsäkring. A.
42.Ett modernare regelverk för legaliseringar, apostille och andra former av intyganden. UD.
43.En samordnad registerkontroll för upphandlande myndigheter och enheter. Fi.
44.En översyn av regleringen om frihetsberövande påföljder för unga. Ju.
45.Övergångsrestriktioner
–ökat förtroende för offentlig verksamhet. Fi.
46.Jakt och fiske i renbetesland. LI.
47.En utvecklad arbetsgivardeklaration
–åtgärder mot missbruk av välfärdssystemen. Fi.
48.Rätt förutsättningar för sjukskrivning. S.
49.Skyddet för EU:s finansiella intressen. Ändringar och kompletteringar i svensk rätt. Fi.
50.En modell för svensk försörjningsberedskap. Fö.
51.Signalspaning i försvarsunderrättelseverksamhet
–frågor med anledning
av Europadomstolens dom. Fö.
52.Ett stärkt och samlat skydd av välfärdssystemen. S.
53.En ändamålsenlig arbetsskadeförsäkring – för bättre ekonomisk trygghet, kunskap och rättssäkerhet. Volym 1 och 2. S.
54.Centraliseringen av administrativa tjänster till Statens servicecenter
–en utvärdering. Fi.
55.Vem äger fastigheten. Ju.
56.Några smittskyddsfrågor inom socialtjänsten och socialförsäkringen. S.
57.Åtgärder för tryggare bostadsområden. Ju.
58.Kultursamhället – utvecklad samverkan mellan stat, region och kommun. Ku.
59.Ny myndighetsstruktur för finansiering av forskning och innovation. U.
60.Utökade möjligheter att använda preventiva tvångsmedel 2. Ju.
61.En säker och tillgänglig statlig
62.Vi kan bättre!
Kunskapsbaserad narkotikapolitik med liv och hälsa i fokus. S.
63.Sveriges säkerhet i etern. Ku.
64.Ett förändrat regelverk för framtidens el- och gasnät. KN.
65.Bättre information om hyresbostäder. Kartläggning av andrahandsmarknaden och ett förbättrat lägenhetsregister. LI.
66.För barn och unga i samhällsvård. S.
67.Anonyma vittnen. Ju.
68.Som om vi aldrig funnits
–exkludering och assimilering av
tornedalingar,kväner och lantalaiset. Aivan ko meitä ei olis ollukhaan
–eksklyteerinki ja assimileerinki tornionlaaksolaisista, kväänistä ja lantalaisista. Slutbetänkande.
Som om vi aldrig funnits. Vår sanning och verklighet. Aivan ko meitä ei olis ollukhaan. Meän tottuus ja toelisuus. Intervjuberättelser.
Som om vi aldrig funnits.
Tolv tematiska forskarrapporter. Aivan ko meitä ei olis ollukhaan. Kakstoista temattista tutkintoraporttia. Forskarrapporter. Ku.
69.Ökat informationsflöde till brottsbekämpningen. En ny huvudregel. Ju.
70.Ordning och reda – förstärkt och tillförlitlig byggkontroll. LI.
71.Speciallivsmedel till barn inom öppen hälso- och sjukvård. S.
72.En enklare hantering av vattenfrågor vid planläggning och byggande. LI.
73.Genomförandet av vaccineringen mot sjukdomen
74.Förenklade förutsättningar för ett hållbart vattenbruk. LI.
75.Stärkt konstitutionell beredskap. Ju.
76.Vidareanvändning av hälsodata för vård och klinisk forskning. S.
77.Behörig myndighet enligt EU:s avskogningsförordning. LI.
78.Hemlig dataavläsning – utvärdering och permanent lagstiftning. Ju.
79.Arbetsrätten under krig och krigsfara. A.
80.Ett starkare straffrättsligt skydd– mot sexuella kränkningar, bedrägerier
i vissa fall och brott med hatmotiv avseende kön. Ju.
81.Ett enklare bilstöd. S.
82.Ökad kontroll över tandvårdssektorn. S.
83.Samordnat juridiskt stöd och vägledning för hälso-
och sjukvårdens digitalisering. S.
Statens offentliga utredningar 2023
Systematisk förteckning
Arbetsmarknadsdepartementet
På egna ben.
Utvecklad samverkan för individers etablering på arbetsmarknaden. [7]
Arbetslivskriminalitet – arbetet i Sverige, en bedömning av omfattningen, lärdomar från Danmark och Finland. [8]
Etablering för fler – jämställda möjligheter till integration. [24]
Översyn av entreprenörsansvaret. [26]
Genomförande av minimilönedirektivet. [36]
Förutsättningarna för en ny kollektiv avtalad arbetslöshetsförsäkring. [41]
Arbetsrätten under krig och krigsfara. [79]
Finansdepartementet
En inre marknad för digitala tjänster
–ansvarsfördelning mellan myndigheter. [2]
Posttjänst för hela slanten. Finansieringsmodeller för framtidens samhällsomfattande posttjänst. [4]
En lag om tilläggsskatt för företag i stora koncerner. [6]
Staten och betalningarna. Del 1 och 2. [16] Ett förbättrat resegarantisystem. [33]
Ett förstärkt konsumentskydd mot riskfylld kreditgivning och överskuldsättning. [38]
En inre marknad för digitala tjänster - kompletteringar och ändringar
i svensk rätt. [39]
En samordnad registerkontroll för upphandlande myndigheter och enheter. [43]
Övergångsrestriktioner – ökat förtroende för offentlig verksamhet. [45]
En utvecklad arbetsgivardeklaration
–åtgärder mot missbruk av välfärdssystemen. [47].
Skyddet för EU:s finansiella intressen. Ändringar och kompletteringar
i svensk rätt. [49]
Centraliseringen av administrativa tjänster till Statens servicecenter
– en utvärdering. [54]
En säker och tillgänglig statlig
Försvarsdepartementet
En modell för svensk försörjningsberedskap. [50]
Signalspaning i försvarsunderrättelseverksamhet
– frågor med anledning
av Europadomstolens dom. [51]
Justitiedepartementet
Skärpta straff för flerfaldig brottslighet. [1]
Nya regler om nödlidande kreditavtal och inkassoverksamhet. [3]
Förstärkt skydd för demokratin och domstolarnas oberoende. [12]
En tydligare bestämmelse om hets mot folkgrupp. [17]
Datalagring och åtkomst till elektronisk information. [22]
Kunskapskrav för permanent uppehållstillstånd. [25]
Biometri – för en effektivare brottsbekämpning. [32]
Bolag och brott – några åtgärder mot oseriösa företag. [34]
Nya regler om hållbarhetsredovisning. [35]
Förstärkt skydd för den personliga integriteten. Behovet av åtgärder mot oskuldskontroller, oskuldsintyg och oskuldsingrepp samt omvändelseförsök. [37]
En översyn av regleringen om frihetsberövande påföljder för unga. [44]
Vem äger fastigheten. [55]
Åtgärder för tryggare bostadsområden. [57]
Utökade möjligheter att använda preventiva tvångsmedel 2. [60]
Anonyma vittnen. [67]
Ökat informationsflöde till brottsbekämpningen. En ny huvudregel. [69]
Stärkt konstitutionell beredskap. [75]
Hemlig dataavläsning – utvärdering och permanent lagstiftning. [78]
Ett starkare straffrättsligt skydd– mot sexuella kränkningar, bedrägerier i vissa fall och brott med hatmotiv avseende kön. [80]
Klimat- och näringslivsdepartementet
Tillfälligt miljötillstånd för samhällsviktig verksamhet
–för ökad försörjningsberedskap. [11] Organisera för hållbar utveckling. [14]
Värdet av vinden. Kompensation, incitament och planering för en hållbar fortsatt utbyggnad av vindkraften. Del 1 och 2. [18]
Ett förändrat regelverk för framtidens el- och gasnät. [64]
Kulturdepartementet
Kultursamhället – utvecklad samverkan mellan stat, region och kommun. [58]
Sveriges säkerhet i etern. [63] Som om vi aldrig funnits
–exkludering och assimilering av
tornedalingar,kväner och lantalaiset. Aivan ko meitä ei olis ollukhaan
–eksklyteerinki ja assimileerinki tornionlaaksolaisista, kväänistä ja lantalaisista. Slutbetänkande.
Som om vi aldrig funnits. Vår sanning och verklighet. Aivan ko meitä ei olis ollukhaan. Meän tottuus ja toelisuus.
Intervjuberättelser.
Som om vi aldrig funnits.
Tolv tematiska forskarrapporter. Aivan ko meitä ei olis ollukhaan.
Kakstoista temattista tutkintoraporttia. Forskarrapporter. [68]
Landsbygds- och infrastrukturdepartementet
Förnybart i tanken. Ett styrmedelsförslag för en stärkt bioekonomi. [15]
Förbud mot bottentrålning i marina skyddade områden. [20]
Kamerabevakning för ett bättre djurskydd. [27]
Jakt och fiske i renbetesland. [46]
Bättre information om hyresbostäder. Kartläggning av andrahandsmarknaden och ett förbättrat lägenhetsregister. [65]
Ordning och reda – förstärkt och tillförlitlig byggkontroll. [70]
En enklare hantering av vattenfrågor vid planläggning och byggande. [72]
Förenklade förutsättningar
för ett hållbart vattenbruk. [74]
Behörig myndighet enligt EU:s avskogningsförordning. [77]
Socialdepartementet
Från delar till helhet. Tvångsvården som en del av en sammanhållen och personcentrerad vårdkedja. [5]
Ett statligt huvudmannaskap för personlig assistans.
Ökad likvärdighet, långsiktighet och kvalitet. [9]
Tandvårdens stöd till våldsutsatta patienter. [10]
Patientöversikter inom EES och Sverige. [13]
Ett modernare socialförsäkringsskydd för gravida. [23]
Varje rörelse räknas – hur skapar vi ett samhälle som främjar fysisk aktivitet? [29]
Ett trygghetssystem för alla. Nytt regelverk för sjukpenninggrundande inkomst. [30]
Förbättrade möjligheter för barn att utkräva sina rättigheter enligt barnkonventionen. [40]
Rätt förutsättningar för sjukskrivning. [48]
Ett stärkt och samlat skydd av välfärdssystemen. [52]
En ändamålsenlig arbetsskadeförsäkring
–för bättre ekonomisk trygghet, kunskap och rättssäkerhet. Volym 1 och 2. [53]
Några smittskyddsfrågor inom social tjänsten och socialförsäkringen. [56]
Vi kan bättre!
Kunskapsbaserad narkotikapolitik med liv och hälsa i fokus. [62]
För barn och unga i samhällsvård. [66]
Speciallivsmedel till barn inom öppen hälso- och sjukvård. [71]
Genomförandet av vaccineringen mot sjukdomen
Vidareanvändning av hälsodata för vård och klinisk forskning. [76]
Ett enklare bilstöd. [81]
Ökad kontroll över tandvårdssektorn. [82]
Samordnat juridiskt stöd och vägledning för hälso-
och sjukvårdens digitalisering. [83]
Utbildningsdepartementet
Statlig forskningsfinansiering. Underlagsrapporter. [19]
Informationsförsörjning på skolområdet. Skolverkets ansvar. [21]
Samhället mot skolattacker. [28]
Framtidens yrkeshögskola
– stabil, effektiv och hållbar. [31]
Ny myndighetsstruktur för finansiering av forskning och innovation. [59]
Utrikesdepartementet
Ett modernare regelverk för legaliseringar, apostille och andra former av intyganden. [42]