Författningsreglering av personregister inom hälso- och sjukvårdens område

Innehåll

Dir. 1993:111

Beslut vid regeringssammanträde 1993-09-23

Statsrådet Könberg anför.

Mitt förslag

Jag föreslår att en kommitté tillkallas för att utreda och lägga fram förslag till författningsreglering av personregister inom hälso- och sjukvårdens område.

Bakgrund

Personregister behövs men också ett gott integritetsskydd

För diagnostik och behandling av den enskilde patienten behövs ett syste- matiskt och strukturerat beslutsunderlag. För att förbättra detta underlag har databaserade journaler utvecklats. Även för olika administrativa upp- gifter, som tidsbokning, in- och utskrivning av patienter och ekonomisk hantering används personregister. Personuppgifter inom hälso- och sjuk- vården kan ofta vara av känslig karaktär och kräver ett gott integritets- skydd.

För att förebygga ohälsa och sjukdom behövs kunskap om orsakssambanden mellan ohälsa och olika riskfaktorer. Genom det s.k. cancer-miljö- registret har det varit möjligt att öka kunskapen om vad som orsakar can- cer och att kartlägga vilka arbets- och samhällsmiljöer som innebär stora risker för hälsan.

Kunskap behövs även för att utvärdera effekter av olika behandlingsmetoder och för att bedöma kvaliteten i hälso- och sjukvården. De långsiktiga effekterna eller komplikationerna av farmakologisk och kirurgisk behand- ling är i många fall okända eller ofullständigt kartlagda. Genom det s.k. slutenvårdsregistret har väsentlig kunskap kunnat byggas upp om bl.a. risker med olika former av läkemedelsbehandling. Samtidigt grundar sig denna typ av forskning och epidemiologisk bevakning på registerdata som för den enskilde patienten kan vara av mycket känslig natur.

Nuvarande bestämmelser

I 1 kap. 2 § tredje stycket regeringsformen (RF) föreskrivs bl.a. att det allmänna skall värna den enskildes privatliv och familjeliv. I 2 kap. 3 § andra stycket RF anges vidare att varje medborgare i den utsträckning som närmare anges i lag skall skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling. I datalagen (1973:289) finns bestämmelser som syftar till att skydda den enskilde mot sådant otillbörligt intrång i den personliga integriteten som kan bli följden av dataregistrering av personuppgifter hos det allmänna eller hos enskilda.

För att inrätta och föra integritetskänsliga ADB-register, bl.a. person- register som innehåller ömtåliga uppgifter om enskilda personer, krävs i dag normalt tillstånd av Datainspektionen. Om inrättandet av ett register beslutas av riksdagen eller regeringen behövs inte tillstånd. Innan beslut fattas skall dock yttrande inhämtas från Datainspektionen.

Vissa register är undantagna från tillståndsplikt till följd av 2 a § tredje stycket datalagen. Det gäller bl.a. personregister som förs av myndigheter inom hälso- och sjukvården för vård- eller behandlingsändamål samt av läkare och tandläkare i deras yrkesverksamhet.

Internationell reglering

Europarådets ministerkommitté antog år 1980 en konvention till skydd för enskilda vid automatisk databehandling av personuppgifter, den s.k. datas- kyddskonventionen. Konventionen trädde i kraft år 1985 och har ratifice- rats av Sverige.

Utöver denna konvention har inom Europarådet också utarbetats ett flertal rekommendationer om dataskydd sektorsvis. Av särskilt intresse i detta sammanhang är rekommendationen om medicinska databanker, Recommendation No. R(81)1, och rekommendationen om skydd för personuppgifter inom vetenskaplig forskning och statistik, Recommendation No. R(83)10. Rekommendationen om medicinska databanker är för närvarande föremål för en översyn inom en expertgrupp inom Europarådet.

Även inom Organisationen för ekonomiskt samarbete och utveckling (OECD) har utarbetats vissa riktlinjer i fråga om integritetsskydd och persondataflöde över gränserna.

Sverige har åtagit sig att följa rekommendationerna och riktlinjerna och att alltså beakta dem i nationell lagstiftning.

EG-kommissionen har lagt fram ett förslag till direktiv om skydd för en- skilda vid behandling av personuppgifter och om det fria flödet av sådana uppgifter.

Direktivförslaget innehåller särskilda bestämmelser om känsliga uppgifter. Med känsliga uppgifter avses bl.a. uppgifter som rör hälsotillståndet. Ut- gångspunkten är att sådana uppgifter inte får behandlas. Vissa undantag görs emellertid från huvudregeln. Den enskildes samtycke utgör ett viktigt sådant undantag. Vidare får medlemsstaterna, om viktiga allmänna intressen talar för det, tillåta behandling av de aktuella känsliga personuppgif- terna genom en särskild reglering i lag eller annan författning eller genom beslut av dataskyddsmyndigheten. En förutsättning är då att man anger vilken typ av uppgifter det gäller, till vem sådana uppgifter får lämnas ut och vem som får vara persondataansvarig. Lämpliga skyddsbestämmelser skall också ställas upp. Inom EG råder dock oenighet om hur ett framtida direktiv skall vara utformat. Ministerrådet kommer tro- ligen inte att ta slutlig ställning till förslaget förrän under år 1994.

Tidigare behandling av registerfrågor i regering och riksdag

I propositionen 1990/91:60 om offentlighet, integritet och ADB uttalas att vissa register hos Socialstyrelsen, landstingen, kommunerna och Riksför- säkringsverket på sikt bör regleras i särskilda registerlagar. En sådan reglering är ett led i en allmän strävan att stärka skyddet för de registrerades integritet i samband med nödvändig registrering av känsliga personuppgifter i vissa myndighetsregister.

Konstitutionsutskottet betonade i betänkandet 1990/91:KU11 vikten av att en författningsreglering kommer till stånd i syfte att stärka skyddet för de registrerades integritet i samband med nödvändig registrering av käns- liga uppgifter i myndighetsregister.

Riksdagen beslutade under våren 1991 lagen (1991:425) om viss uppgifts- skyldighet inom hälso- och sjukvården. Enligt lagen bemyndigas regeringen att meddela föreskrifter för kommuner och landsting att lämna uppgifter till Socialstyrelsen och Läkemedelsverket för forskning och statistikfram- ställning inom hälso- och sjukvårdens område.

I propositionen 1992/93:160 om husläkare m.m. anges att det pågående arbetet med att utveckla system för kvalitetssäkring och verksamhetsredo- visning bör intensifieras. På regional och lokal nivå bör man kunna följa upp och utvärdera olika åtgärder eller göra jämförelser mellan olika primärvårdsdistrikt och husläkarmottagningar. Mycket talar enligt proposi- tionen för att kvalitetssäkringen och informationsåterföringen skall ske i ADB-miljö. Vid riksdagsbehandlingen av lagstiftningen har de riktlinjer som förordats i propositionen antagits.

Utredning har sett på behovet av centrala register

Utredningen om informationsstrukturen för hälso- och sjukvården har avlämnat betänkandet Informationsstruktur för hälso- och sjukvården (SOU 1991:18). Betänkandet har remissbehandlats.

Utredningen konstaterar att centrala personregister medför integritets- problem. Utredningen uttalar att det måste göras en avvägning mellan individens intressen och samhällets behov av kunskap.

Utredningen konstaterar att ett framtida decentraliserat informations- system med kommunikation enligt standardiserade regler avsevärt minskar behovet av centrala databaser med personuppgifter. En första åtgärd måste därför enligt utredningen bli att noga identifiera vilket behov av individrelaterade uppgifter som finns på regional och central nivå. Utred- ningen konstaterar att uppgifter som kan hänföras till den enskilde bör lämnas ut från basenheten (kliniker m.m.) för annat än vård- och behand- lingsändamål endast när synnerligen starka skäl talar emot aviden- tifiering. Utredningen föreslår att de personregister som bedöms vara nödvändiga att föra på central nivå regleras i lag.

Remissinstanserna är eniga i frågan om behovet av en sådan reglering.

Datalagsutredningen m.m.

Datalagsutredningen har avlämnat betänkandet En ny datalag (SOU 1993:10). Utredningen föreslår bl.a. att personregisterbegreppet slopas och att den nya datalagen blir tillämplig på behandling av personuppgifter. Med behandling förstås varje åtgärd som vidtas med personuppgifter genom automatisk databehandling.

Förslaget innebär bl.a. att systemet med licens och tillstånd avskaffas. De resurser som därmed frigörs hos Datainspektionen skall användas för en intensifierad tillsyn, särskilt inspektioner ute på fältet. En förutsättning för detta är att datalagen så utförligt som möjligt reglerar de förutsättningar som gäller för ADB-hantering av personuppgifter. Regleringen skall kunna kompletteras med bestämmelser som utfärdas av Datainspektionen och som avser olika branscher eller sektorer. Ett system med anmälningsskyldighet för behandling av känsliga uppgifter föreslås. Anmälningarna skall ligga till grund för Datainspektionens tillsyn.

Liksom i dag skall personuppgifter få ADB-behandlas bara för bestämda ändamål. Ändamålen skall dock enligt utredningens förslag anges med större precision än enligt nuvarande datalag. Möjligheterna begränsas att använda personuppgifter för andra ändamål än det de samlats in för.

För känsliga personuppgifter, t.ex. sjukdom och hälsotillstånd, kommer enligt Datalagsutredningens förslag särskilda regler att gälla. Enligt dessa bestämmelser får de känsliga uppgifterna databehandlas enbart om det finns särskilt stöd i författning för behandlingen i de fall skriftligt samtycke saknas.

I den föreslagna datalagen ges sådant särskilt författningsstöd i fråga om behandling av känsliga uppgifter för bl.a. forsknings- och statistik- ändamål, vilket avses tillgodose bl.a. den viktiga registerforskningen. Det är enligt utredningen nödvändigt att i datalagen ta in bestämmelser om när undantag från kravet på informerat samtycke kan göras. Betänkandet har remissbehandlats.

En särskild utredare har tillkallats med uppdrag att utreda frågan om be- gränsning av användningen av personnummer (dir. 1993:7). Utredningen skall göras förutsättningslöst utifrån syftet att påtagligt begränsa använd- ningen av personnummer i olika sammanhang i samhället. Inriktningen bör vara att personnummer skall få användas bara där verkligt starka skäl motiverar det.

Utredaren skall noga överväga konsekvenserna av en särskild lag om be- gränsad användning av personnummer. Utredaren skall göra klart i vilken omfattning en särskild lagstiftning kan medföra en ökad risk för förväxling av uppgifter om personer. Utredaren bör även enligt utred- ningsdirektiven ta ställning till vad en särskild lag kan komma att få för konsekvenser för forskningens och statistikens behov av personregister och andra liknande intressen.

En särskild utredare har även tillkallats för att utreda frågor om integritetsskyddet för uppgifter i den statliga statistiken (dir. 1992:110). Utredaren skall bl.a. pröva möjligheten att reglera Statistiska centralbyråns register i en samlad lagstiftning.

Befintliga personregister inom hälso- och sjukvården

Vid Socialstyrelsen finns personregister för forskning och statistikfram- ställning inom hälso- och sjukvårdens område. Dessa är cancerregistret, cancer-miljö-registret och medicinska födelseregistret inklusive missbildningsregistret. Vidare kommer att finnas ett sjukvårdsregister med uppgifter från huvudsakligen den slutna vården. Vid Läkemedelsverket finns ett läkemedelsbiverkningsregister.

Inom landstingen finns register för bl.a. vårdadministration och medicinsk service. Registren för vårdadministration kan i vissa fall ersätta eller komplettera den vanliga journalföringen. Det finns även register för hälsokontroller och klinisk forskning.

Skrivelse

Landstingsförbundet och Socialstyrelsen har i en gemensam skrivelse den 24 juni 1993 ingivit ett förslag till ny lag om register för kontroll av medicinsk kvalitet och säkerhet i hälso- och sjukvården. Registren skall bilda underlag för kontroll av medicinsk kvalitet och utvärdering av medicinska metoder och andra åtgärder med inriktning mot patientsäkerhet och effektivitet.

Patient- eller personalkort (smart cards)

En utveckling pågår inom hälso- och sjukvården med bärbara elektroniska minnen, s.k. smart cards eller patientkort. Patientkort med s.k. chips som minnesmedium eller kort med laseroptiskt minne har en mycket stor minneskapacitet. Även för personalen utvecklas liknande kort för att bl.a. ange behörigheten.

Införandet av patient- och personalkort har medfört att det har uppstått en osäkerhet om bl.a. vem som ansvarar för att informationen på korten är korrekt och hur sekretesslagen skall tolkas i detta sammanhang.

Utredningsuppdraget

Bedöma behovet av centrala personregister

Utgångspunkten för kommitténs arbete bör vara att identifiera vilket behov som finns på central statlig nivå av personregister för forskning och statistik inom hälso- och sjukvården. I sistnämnda avseende skall särskilt uppmärksammas behovet av data för utvärdering av vården.

Kommittén skall undersöka och analysera på vad sätt centrala personregis- ter i hälso- och sjukvården kan innebära risker för kränkning av indi- viders personliga integritet. Vidare skall kommittén väga vikten av att underlag med identifierbara data finns för forskning mot risken för data- intrång eller annat intrång i den personliga integriteten.

Om det för statistiska analyser och forskning är tillräckligt med individ- bundna uppgifter på lokal nivå bör kommittén föreslå krav på omfattning, innehåll, tillgänglighet och lagring av uppgifterna för att skapa möjlig- heter till sådan bearbetning över tiden samt till hur dessa krav skall författningsregleras.

Lämna förslag till författningsreglering av personregister inom hälso- och sjukvården

En allmän enighet finns om behovet av författningsreglering av person- register med integritetskänsliga uppgifter. Detta gäller personregister såväl på central som regional och lokal nivå. Kommittén bör lämna förslag till vilka slag av register som bör regleras. Kommittén bör närmare analysera vilka frågor som bör regleras i registerlagar, i registerförord- ningar och myndighetsföreskrifter.

Kommittén bör främst lämna förslag rörande reglering av frågor som direkt hänger samman med den personliga integriteteten. Hit hör frågor om de ändamål för vilka register skall få föras och t.ex. vilka personuppgifter som får ingå, de bearbetningar av personuppgifter som får ske, utlämnande eller annan användning av personuppgifter, bevarande och gallring av uppgifter, kontroll och säkerhet samt krav på krypteringssystem eller andra skyddsmekanismer. Givetvis måste kommittén härvid beakta existerande författningar som påverkar hanteringen av personuppgifter på området, såsom datalagen, sekretesslagen, patientjournallagen och hälso- och sjukvårdslagstiftningen i övrigt.

Kommittén bör vidare analysera konsekvenserna av att den enskilde skulle få rätt att anmäla att han inte önskar delta i olika register.

Kommittén bör särskilt analysera hur uppgifter bör lämnas och registreras för verksamhet som bedrivs i enskild regi, i bolagsform eller som personalkooperativ. Kommittén bör ange behovet av författningsreglering till följd av husläkarreformen. Även konsekvenserna av organisationsför- ändringar som kan bli resultatet av överväganden inom utredningen om hälso- och sjukvårdens framtida organisation om finansiering bör beak- tas.

Undersöka behovet av författningsreglering av patient- och personalkort

Kommittén bör undersöka dels om introduktionen av patient- och personal- kort ställer krav på ändring, komplettering eller förtydligande av existe- rande författningar, t.ex. patientjournallagen, sekretesslagen och data- lagen, dels om det behövs en särskild författningsreglering.

Ramar för arbetet

Utredningsarbetet bör bedrivas i nära samarbete med bl.a. Datainspektio- nen, Socialstyrelsen, Statistiska centralbyrån, Riksarkivet, Landstings- förbundet, Kommunförbundet, Spri samt forskningsföreträdare. Samråd bör även ske med Kommittén om Hälso- och sjukvårdens finansiering och organisation (HSU 2000), Socialtjänstkommittén, Utredningen om begränsning av personnummer samt Utredningen om integritetsskydd för uppgifter i statlig statistik, m.m. Kommittén bör även beakta den fortsatta bered- ningen av Datalagsutredningens betänkande samt det fortlöpande arbetet inom Europarådet och EG avseende integritetsskyddet för personuppgifter.

För arbetet gäller regeringens direktiv till samtliga kommittéer och sär- skilda utredare angående dels utredningsförslagens inriktning (dir. 1984:5), dels beaktande av EG-aspekter i utredningsverksamheten (dir. 1988:43).

Kommittén bör kunna redovisa sitt arbete i etapper och skall ha slutfört sitt arbete senast den 1 juli 1995.

Hemställan

Med hänvisning till vad jag nu har anfört hemställer jag att regeringen bemyndigar det statsråd som har till uppgift att föredra ärenden om hälso- och sjukvård

att tillkalla en kommitté - omfattad av kommittéförordningen (1976:119) - bestående av högst 9 ledamöter med uppdrag att genomföra en utredning om författningsreglering av personregister inom hälso- och sjukvårdens område,

att utse en av ledamöterna att vara ordförande,

att besluta om sakkunniga, experter, sekreterare och annat biträde åt kom- mittén.

Vidare hemställer jag att regeringen beslutar att kostnaderna skall be- lasta femte huvudtitelns anslag Utredningar m.m.

Beslut

Regeringen ansluter sig till föredragandens överväganden och bifaller hans hemställan.

                                   (Socialdepartementet)