I betänkandet behandlas regeringens proposition 1997/98:108 Hälsodata- och
vårdregister och tolv motionsyrkanden som väckts med anledning av
propositionen.
I propositionen föreslås två nya lagar som skall reglera IT-användningen inom
hälso- och sjukvården, nämligen lag om hälsodataregister och lag om
vårdregister. Den förstnämnda lagen innehåller bestämmelser om de
personregister som förs av centrala statliga förvaltningsmyndigheter inom
hälso- och sjukvårdens område, för närvarande Socialstyrelsen, Läkemedelsverket
och Smittskyddsinstitutet. Registren skall få föras för framställning av stati-
stik, för uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård
samt för forskning och epidemiologiska undersökningar. Lagen om vård-register
gäller automatiserad behandling av personuppgifter inom såväl den offentliga
som den privata vården. Vårdregister skall få föras i och för vården av
patienter och för den ekonomiadministration som föranleds av vård i enskilda
fall. Vårdregister skall även få föras för framställning av statistik, för
uppföljning, utvärdering, kvalitetssäkring och administration på
verksamhetsområdet samt för uppgiftslämnande som föreskrivs i lag eller
förordning. Lagarna innehåller bl.a. bestämmelser om vilka uppgifter som
registren får innehålla samt regler om samkörning, direktåtkomst, sekretess,
rättelse och skadestånd. Automatiserad behandling av personuppgifter i ett
hälso-dataregister eller vårdregister skall enligt propositionen få ske oavsett
den enskildes inställning därtill. Den enskilde skall inte heller ha rätt att
få uppgifter som behandlats på ett lagligt sätt strukna ur ett sådant register.
Lagarna föreslås träda i kraft den 24 oktober 1998.
Utskottet ställer sig bakom regeringens förslag och avstyrker samtliga
motioner. Till betänkandet har fogats tio reservationer (m, fp, v, mp).
Propositionen
I proposition 1997/98:108 Hälsodata- och vårdregister föreslår regeringen
(Socialdepartementet) - efter hörande av Lagrådet - att riksdagen antar i
propositionen framlagda förslag till
1. lag om hälsodataregister
2. lag om vårdregister
3. lag om upphävande av lagen (1991:425) om viss uppgiftsskyldighet inom
hälso- och sjukvården
4. lag om upphävande av kungörelsen (1957:632) om cancerregister.
Lagförslagen fogas till betänkandet som bilaga.
Motionerna
1997/98:So15 av Gullan Lindblad m.fl. (m) vari yrkas
1. att riksdagen som sin mening ger regeringen till känna vad i motionen
anförts om avvägning mellan det offentligas behov av register och den enskildes
rätt till integritet,
2. att riksdagen som sin mening ger regeringen till känna vad i motionen
anförts om samtycke att ingå i ett hälsodata- respektive vårdregister,
3. att riksdagen som sin mening ger regeringen till känna vad i motionen
anförts om rätten att få uppgifter strukna ur ett hälsodata- respektive
vårdregister,
4. att riksdagen som sin mening ger regeringen till känna vad i motionen
anförts om samtycke vid samkörning av register,
5. att riksdagen som sin mening ger regeringen till känna vad i motionen
anförts om avidentifiering av personuppgifter i hälsodata- respektive
vårdregister.
1997/98:So16 av Stig Sandström m.fl. (v) vari yrkas
1. att riksdagen som sin mening ger regeringen till känna vad i motionen
anförts om behovet av en särskild nivå när det gäller ansvaret för
personuppgifter,
2. att riksdagen som sin mening ger regeringen till känna vad i motionen
anförts om att den som efter delegation har ansvar för personuppgifter skall ha
utbildning i datalagstiftningen.
1997/98:So17 av Thomas Julin m.fl. (mp) vari yrkas
1. att riksdagen avslår proposition 1997/98:108,
2. att riksdagen begär att regeringen återkommer med nytt lagförslag som
stärker patientens rätt och integritet när det gäller hälsodata- och
vårdregister.
1997/98:So18 av Barbro Westerholm och Kerstin Heinemann (fp) vari yrkas
1. att riksdagen som sin mening ger regeringen till känna vad i motionen
anförts om begreppet informerat samtycke i stället för endast samtycke,
2. att riksdagen som sin mening ger regeringen till känna vad i motionen
anförts om lagreglering av alla hälsoregister,
3. att riksdagen som sin mening ger regeringen till känna vad i motionen
anförts om forskningsetisk granskning av projekt där individbaserade
hälsodataregister används.
Utskottet
Bakgrund och nuvarande förhållanden
Regeringen uttalade i proposition 1990/91:60 om offentlighet, integritet och
ADB att vissa register hos Socialstyrelsen, landstingen, kommunerna och
Riksförsäkringsverket på sikt borde regleras i särskilda registerlagar. En
sådan reglering skulle ses som ett led i en allmän strävan att stärka skyddet
för de registrerades integritet i samband med nödvändig registrering av
känsliga personuppgifter i vissa myndighetsregister. Konstitutionsutskottet
betonade i sitt betänkande 1990/91:KU11 vikten av att en sådan
författningsreglering kom till stånd. Riksdagen har därefter antagit
registerförfattningar på bl.a socialförsäkringsområdet.
För att fullfölja statsmakternas intentioner när det gäller personregister
inom hälso- och sjukvården tillsatte regeringen 1993 en kommitté med uppdrag
att utreda och lägga fram förslag till författningsreglering på området
(Hälsodatakommittén). Kommittén överlämnade i september 1995 betänkandet
Hälsodataregister Vårdregister (SOU 1995:95).
Personregister inom hälso- och sjukvården
Inom hälso- och sjukvården finns fyra kategorier personregister, dvs. register,
förteckning eller andra anteckningar som förs med hjälp av automatisk
databehandling och som innehåller personuppgift som kan hänföras till den som
avses med uppgiften.
Registrering av personuppgifter med IT (informationsteknik) används för det
första i det direkta vårdarbetet, dels för att skapa underlag för diagnostik
och behandling av enskilda patienter, dels för olika administrativa rutiner.
Den tekniska utvecklingen på informationsteknikområdet har lett till att hälso-
och sjukvården i växande omfattning utnyttjar IT i vårdarbetet samt i arbetet
med planering, utvärdering och uppföljning. I dag använder nästan samtliga
vårdenheter, vårdgivare och laboratorier datorer.
För det andra förs hos de centrala myndigheterna Socialstyrelsen,
Läkemedelsverket och Smittskyddsinstitutet rikstäckande register som är avsedda
för statistik och forskning.
De övriga två kategorierna av personregister utgörs dels av s.k.
kvalitetsregister, dvs. register som förs på regional eller lokal nivå i syfte
att underlätta kvalitetskontroll inom hälso- och sjukvården, dels av
forskningsregister som enskilda forskare eller institutioner inrättar eller för
inom ramen för särskilda forskningsprojekt.
Rättslig reglering till skydd för den personliga integriteten
Det grundläggande skyddet för den enskildes personliga integritet finns i
regeringsformen. I 1 kap. 2 § tredje stycket anges att det allmänna skall värna
den enskildes privatliv och familjeliv. Enligt 2 kap. 3 § skall varje
medborgare i den utsträckning som närmare anges i lag skyddas mot att hans
personliga integritet kränks genom att uppgifter om honom registreras med hjälp
av ADB. Den närmare reglering som åsyftas finns nu i datalagen (1973:289) och
fr.o.m. den 24 oktober 1998 i personuppgiftslagen (1998:000).
I 2 kap. tryckfrihetsförordningen finns bestämmelser om rätten att ta del av
allmänna handlingar (offentlighetsprincipen). ADB-upptagningar räknas till
handlingar i TF:s mening. En upptagning är allmän om den förvaras hos en
myndighet, dvs. om den är tillgänglig för myndigheten med tekniskt hjälpmedel
som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas,
avlyssnas eller uppfattas på annat sätt. Vidare krävs för att en upptagning
skall vara allmän att den enligt särskilda regler är att anse som inkommen till
eller upprättad hos myndigheten.
I sekretesslagen (1980:100) finns bestämmelser om tystnadsplikt i det allmännas
verksamhet och om förbud att lämna ut allmänna handlingar. Sekretessen innebär
ett förbud att röja en uppgift, oberoende av hur detta sker. Sekretess inom den
allmänna hälso- och sjukvården regleras i 7 kap. 1-3 §§. Huvudregeln är att
sekretess gäller för uppgift om en enskilds hälsotillstånd eller andra
personliga förhållanden, om det inte står klart att uppgiften kan röjas utan
att den enskilde eller hans närstående lider men. En landstingskommunal eller
kommunal myndighet som bedriver hälso- och sjukvårds- eller annan medicinsk
verksamhet får lämna uppgift till en annan sådan myndighet för forskning eller
framställning av statistik eller för administration på verksamhetsområdet,
förutom då det kan antas att ett röjande av uppgiften medför men för den
enskilde eller hans närstående.
Sekretess för uppgifter i personregister regleras i 7 kap. 16 §. Enligt
paragrafens lydelse fr.o.m. den 24 oktober 1998 gäller sekretess för
personuppgift om det kan antas att ett utlämnande skulle medföra att uppgiften
behandlas i strid med personuppgiftslagen.
I 9 kap. 4 § regleras sekretess i sådan verksamhet hos myndighet som avser
framställning av statistik eller annan därmed jämförbar undersökning utan
samband med något enskilt ärende. Sekretessen gäller för uppgift som avser
enskilds personliga eller ekonomiska förhållanden och som kan hän-föras till
den enskilde. Bl.a. uppgifter som behövs för forsknings- och stati-stikändamål
och uppgift som inte är direkt hänförlig till den enskilde får dock lämnas ut
om det står klart att utlämnandet inte medför skada eller men för den som
uppgiften rör eller honom närstående.
I 14 kap. 1 § föreskrivs att sekretessen bryts om uppgiftsskyldighet följer
av lag eller annan författning.
Bestämmelser om tystnadsplikt för hälso- och sjukvårdspersonal inom den privata
hälso- och sjukvården finns i 8-10 §§ lagen (1994:953) om åligganden för
personal inom hälso- och sjukvården (åliggandelagen). Även i 6 § lagen
(1996:786) om tillsyn över hälso- och sjukvården ges bestämmelser om
tystnadsplikt. I proposition 1997/98:109 föreslår regeringen att bestämmelserna
i princip oförändrade förs över till en ny lag om yrkesverksamhet på hälso- och
sjukvårdens område.
I 15-16 §§ patientjournallagen (1985:562) regleras offentlighet och sekretess
för journalhandlingar inom den enskilda hälso- och sjukvården.
Datalagen (1973:289), som gäller fram till den 24 oktober 1998, har till syfte
att skydda den enskilde mot sådant otillbörligt intrång i den personliga inte-
griteten som kan bli följden av dataregistrering. Enligt nuvarande ordning får
ett personregister inrättas och föras av den som anmält sig till Datainspek-
tionen och erhållit licens. För register som skall innehålla känsliga uppgifter
krävs dessutom tillstånd från Datainspektionen. Undantagna från tillståndsplikt
är bl.a. register vars inrättande beslutats av riksdag eller regering samt,
under vissa förutsättningar, även register för vård- och behandlingsändamål.
Riksdagen antog den 16 april 1998 en ny personuppgiftslag (prop. 1997/98:44,
bet. KU18, rskr. 180). Lagen träder i kraft den 24 oktober 1998 och avser att
ersätta datalagen. Lagen genomför Europaparlamentets och rådets direktiv
95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på
behandling av personuppgifter och om det fria flödet av sådana uppgifter (nedan
kallat EG-direktivet). Lagen följer i huvudsak EG-direktivets text och
disposition och omfattar all automatiserad behandling av personuppgifter och
viss manuell behandling av personuppgifter. I lagen stadgas att om det i annan
lag eller förordning finns bestämmelser som avviker från lagen, skall dessa
bestämmelser gälla.
Lagen reglerar när behandling av personuppgifter är tillåten och i vilka fall
samtycke från den enskilde krävs. Lagen innehåller även bestämmelser om den
personuppgiftsansvariges ansvar för behandlingen, t.ex. att den sker på ett
lagligt och korrekt sätt, samt om behandling av personnummer, information till
den registrerade, rättelse av personuppgifter, säkerheten vid behandling,
anmälan till tillsynsmyndigheten, tillsynsmyndighetens befogenheter, skadestånd
och straff.
Internationell reglering rörande den personliga integriteten finns i det
ovannämnda EG-direktivet, vars principer och riktlinjer införlivats med svensk
rätt genom personuppgiftslagen. Europarådets ministerkommitté antog år 1980 en
konvention till skydd för enskilda vid automatisk databehandling av
personuppgifter, vilken tillträtts av Sverige. Europarådet har även antagit ett
flertal rekommendationer om dataskydd, bl.a. om medicinska databaser och om
skydd för personuppgifter som används för forskning och statistik. Sverige har
godtagit de båda rekommendationerna och därmed i princip åtagit sig att följa
dem.
Avslag på propositionen m.m.
Propositionen
I propositionen föreslås två nya lagar som skall reglera IT-användningen inom
hälso- och sjukvården, nämligen lag om hälsodataregister och lag om
vårdregister.
Regeringen föreslår att hälsodataregister även i fortsättningen skall få
föras av centrala förvaltningsmyndigheter inom hälso- och sjukvårdens område.
Hälsodataregister skall få föras för framställning av statistik, för
uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård samt för
forskning och epidemiologiska undersökningar.
Vårdregister skall enligt propositionen få föras av den som bedriver vård
enligt hälso- och sjukvårdslagen, tandvårdslagen, lagen om psykiatrisk
tvångsvård eller lagen om rättspsykiatrisk vård samt verksamhet som avser
smittskydd enligt smittskyddslagen. Lagen om vårdregister föreslås gälla såväl
offentlig som privat vård. Vårdregister får föras i och för vården av
patienter, för den ekonomiadministration som föranleds av vård i enskilda fall,
för framställning av statistik, för uppföljning, utvärdering, kvalitetssäkring
och administration på verksamhetsområdet samt för uppgiftslämnande som
föreskrivs i lag eller förordning.
I lagarna föreslås bl.a. bestämmelser om vad registren får innehålla samt om
samkörning, direktåtkomst och utlämnande på medium för automatiserad
databehandling. I lagförslagen stadgas även att om inget annat följer av de
föreslagna lagarna eller av föreskrifter som meddelats med stöd härav,
tillämpas personuppgiftslagen vid behandling av personuppgifter för hälsodata-
eller vårdregister.
Enligt regeringen skall personuppgifter få registreras i hälsodataregister
eller vårdregister oberoende av den enskildes samtycke. Inte heller skall den
enskilde ha rätt att få uppgifter strukna ur registren.
Regeringen anför att de flesta register inom hälso- och sjukvårdens område
innehåller uppgifter om enskilda personers hälsa som är av mycket känslig natur
och att den enskilde ibland kan uppfatta behandlingen av personuppgifter som
ett intrång i den personliga integriteten. Ett skydd för den personliga
integriteten kan innebära att ha rätt till exempelvis anonymitet och distans
till andra individer men även att kunna kontrollera spridningen av uppgifter
eller ha rätt att själv bestämma vilka uppgifter om sig själv som man vill dela
med sig till andra.
Enligt propositionen kan den personliga integriteten inte vara absolut i den
meningen att regler till skydd därför skall gälla och tillämpas undantagslöst
eller oavsett motstående intressen. Ett visst mått av intrång måste accepteras.
I stället får man bygga upp ett skydd mot sådant som bedöms utgöra ett
otillbörligt intrång, anförs det. Den enskilde måste tåla vissa ingrepp,
framför allt från samhällets sida, när andra intressen, som av samhället bedöms
som totalt sett viktigare, kräver det. Ingrepp får dock inte vara alltför
långtgående, alltför besvärande eller betungande i förhållande till de syften
som intrånget skall tjäna. Varje gång det blir aktuellt att utnyttja uppgifter
om en enskilds personliga förhållanden måste enligt regeringen således en
avvägning göras mellan den enskildes rätt till personlig integritet och det
allmännas behov av information.
Motionerna
I motion So17 av Thomas Julin m.fl. (mp) yrkas att riksdagen avslår proposition
1997/98:108 (yrkande 1) samt att riksdagen begär att regeringen skall återkomma
med ett nytt lagförslag som stärker patientens rätt och integritet när det
gäller hälsodata och vårdregister (yrkande 2). Hälsodataregister kan enligt
motionärerna användas på ett bra sätt även om materialet avidentifieras.
Personnummer skall endast få användas i ett hälsodataregister om patienten
samtycker därtill. Om lokal information flyttas till centrala register med
bibehållna möjligheter att identifiera patienten ökar enligt motionärerna
risken att information som så få som möjligt skall ta del av får en oacceptabel
spridning. När det gäller vårdregister anser motionärerna att den enskildes
samtycke skall krävas för att samkörning eller överföring av uppgifter till
annat register skall få ske. Kraven på ökad effektivitet och teknisk utveckling
får aldrig väga tynge än den enskildes rätt till en trygg och säker
läkarkontakt där patienten kan känna fullt förtroende för att känsliga
uppgifter inte sprids till obehöriga, anförs det. Regeringens förslag saknar
enligt motionärerna respekt och skydd för den enskildes integritet. Regeringen
bör därför återkomma med ett förslag som tar stor hänsyn till patientens bästa.
I motion So15 av Gullan Lindblad m.fl. (m) begärs ett tillkännagivande till
regeringen om en avvägning mellan det offentligas behov av register och den
enskildes rätt till integritet (yrkande 1). Enligt motionärerna måste den
personliga integriteten alltid värnas. Vid införandet av nya register, särskilt
sådana som innehåller känsliga uppgifter som sjukdomar och sjukdoms-
behandlingar, måste en noggrann avvägning ske mellan behovet av registret och
risken för att den enskildes integritet gröps ur. Enligt motionärerna tar
regeringen i propositionen alldeles för lätt på denna avvägning. Regeringen
underskattar också risken för att känsliga uppgifter i databaserade register
sprids, anförs det.
Utskottets bedömning
Utskottet delar regeringens inställning att regler om automatiserad behandling
av personuppgifter bör ges i lag, såväl när det gäller den behandling som sker
hos centrala förvaltningsmyndigheter på hälso- och sjukvårdens område som den
behandling som vårdgivare utför i och för vården av enskilda patienter. Flera
omständigheter talar härför. Automatiserad behandling av per-sonuppgifter sker
i mycket stor omfattning på båda dessa nivåer. De flesta registren innehåller
uppgifter av mycket känslig natur och behandlingen av dessa kan av den enskilde
uppfattas som ett intrång i den personliga integriteten. Vidare bör
behandlingen få ske oavsett den enskildes inställning härtill och även för
andra ändamål än vården av den enskilde patienten. Bl.a. av hänsyn till den
enskildes integritet bör enligt utskottet användningen av IT inom hälso- och
sjukvården regleras generellt i författning i stället för att bestämmas från
fall till fall av en myndighet.
Den enskilde har rätt till största möjliga skydd för sin personliga
integritet. Integriteten kan dock inte skyddas undantagslöst och oavsett
motstående intressen. Den enskilde måste acceptera ett visst mått av intrång
när andra intressen, som av samhället bedöms som viktigare, kräver det.
Ingreppen får dock, såsom betonas i propositionen, inte vara alltför
långtgående, besvärande eller betungande för den enskilde i förhållande till de
syften som intrånget skall tjäna. Enligt utskottet utgör regeringens förslag en
lämplig avvägning mellan den enskildes rätt till personlig integritet och
samhällets behov av kunskap, information och en rationell hantering av
personuppgifter. För-slagen i propositionen och personuppgiftslagen tillsammans
ger enligt utskottets mening ett tillfredsställande skydd mot otillbörliga
intrång i den enskildes integritet. Utskottet, som återkommer till frågor om
samtycke m.m. i det följande, avstyrker därmed motion So17 (mp) yrkande 1.
Även motionerna So15 (m) yrkande 1 och So17 (mp) yrkande 2 avstyrks.
Avidentifiering av personuppgifter
Propositionen
Avgränsningen av de ändamål för vilka personuppgifter i ett hälsodataregister
eller vårdregister får behandlas är enligt regeringen av betydande vikt för
skyddet av den personliga integriteten. I propositionen föreslås att uppgifter
i ett hälsodataregister endast får behandlas för att framställa statistik, för
att följa upp, utvärdera och kvalitetssäkra hälso- och sjukvården samt för
forskning och epidemiologiska undersökningar (3 § förslaget till lag om hälso-
dataregister). Samtliga dessa ändamål är av ett högt samhälleligt intresse.
Ändamålsbestämmelsen anger den allmänna ramen för registrens innehåll och på
vilket sätt den personuppgiftsansvarige kan använda registren. Regeringen avser
att vid utfärdandet av föreskrifter för varje särskilt hälsodata-register ta
ställning till om ett register skall omfatta ett eller flera av dessa ändamål
och om ändamålet skall preciseras ytterligare. Enligt propositionen används
nuvarande register i mycket hög grad som underlag för olika
forskningsuppgifter. Registren används i detta syfte såväl av den myndighet som
för registret som av andra.
Personuppgifter i ett vårdregister får behandlas för dokumentation av
vården eller för sådan administration som rör patienter och som syftar till att
bereda vård i enskilda fall. I vårdregister får även behandlas personuppgifter
för den ekonomiadministration som föranleds av vård i enskilda fall. Uppgifter
som finns i ett vårdregister får dessutom behandlas för framställning av
statistik, för uppföljning, utvärdering, kvalitetssäkring och administration på
verksamhetsområdet samt för uppgiftslämnande som föreskrivs i lag eller
förordning. Detta framgår av 3 och 4 §§ i förslaget till lag om vårdregister.
Paragraferna omfattar emellertid inte användningen av vårdregister för
forskningsändamål. Skälet härtill är att regeringen anser att den princip som
annars gäller för vårdregister, nämligen att den personuppgiftsansvarige skall
få använda registret för de ändamål som anges i lagen oavsett den registrerades
inställning härtill, inte bör gälla avseende forskning. Nuvarande bestämmelser
innebär att det krävs tillstånd från Datainspektionen för att inrätta och föra
ett personregister för forskningsändamål. Datainspektionen föreskriver därvid
vanligtvis att registrering inte får ske utan den enskildes samtycke.
Erfarenheterna av denna reglering är, såvitt regeringen kunnat utröna, goda.
En reglering av innehållet i ett register har liksom bestämmelserna om
registerändamålen stor betydelse ur integritetssynpunkt.
Enligt förslaget till 4 § lagen om hälsodataregister får ett
hälsodataregister endast innehålla sådana uppgifter som behövs för att den
personuppgiftsansvarige skall kunna använda registret för de ändamål som anges
i 3 §. Enligt propositionen får det ankomma på regeringen att i respektive
registerförordning bestämma vad som får föras in i registret. Därvid bör
regeringen noggrant överväga behovet av varje särskild uppgift i registret.
Regeringen är av den uppfattningen att hälsodataregister inte generellt skall
föras med anonyma eller pseudonyma uppgifter. Regeringen anför som skäl härför
att innehållet i hälsodataregister måste vara av hög kvalitet med hänsyn till
att uppgifterna används för framställning av officiell och annan statistik,
utvärdering av vården och för forskning. Det måste t.ex. vara möjligt att
utesluta dubbelregistrering liksom att kunna gå tillbaka till ursprunget för en
enskild uppgift i syfte att kontrollera dess riktighet eller för komplettering.
Vidare är det betydelsefullt att kunna urskilja om ett antal vårdtillfällen
t.ex. avser en person vid flera tillfällen eller flera personer vid ett
tillfälle för var och en. Även om många projekt inom statistik och forskning i
princip kan utföras med anonyma uppgifter finns projekt när person-anknytning
är nödvändig, t.ex. när det gäller att koppla samman uppgifter i olika register
på individnivå. Den vinst som en anonymisering kan medföra för den enskildes
integritet uppväger enligt regeringens mening inte de försämringar som
uppkommer avseende kvaliteten på registren och användbarheten av registren för
olika ändamål.
Enligt regeringens mening kan något generellt förbud mot att använda
personnummer för att identifiera en person i ett hälsodataregister inte bli
aktuellt. Av 22 § personuppgiftslagen framgår dock att uppgift om personnummer
får behandlas utan samtycke bara när det är klart motiverat med hänsyn till
ändamålet med behandlingen, vikten av en säker identifiering eller något annat
beaktansvärt skäl. Regeringen avser att i samband med utfärdande av
förordningar för hälsodataregistren särskilt överväga om det föreligger behov
av att använda personnummer eller ej.
Ett vårdregister får enligt propositionen endast innehålla de uppgifter som
skall antecknas i en patientjournal, andra uppgifter som antecknas i och för
vården av patienter samt uppgifter som behövs för den ekonomiadministration som
föranleds av vård i enskilda fall (5 § förslaget till lag om vårdregister).
Regeringen påpekar att en förväxling av patienter kan få mycket allvarliga
konsekvenser och att det därför är av mycket stor vikt att patientens identitet
säkerställs på ett sådant sätt att det inte föreligger någon tvekan om vilken
patient en uppgift avser. Mot denna bakgrund måste registrering av personnummer
tillåtas i vårdregistren, anförs det.
Motionen
I motion So15 av Gullan Lindblad m.fl. (m) begärs ett tillkännagivande till
regeringen om avidentifiering av personuppgifter i hälsodata- respektive
vårdregister (yrkande 5). Motionärerna anser att samtliga uppgifter som inte
rör vård och behandling av en enskild patient skall avidentifieras innan de
används enligt 3 § i förslaget till lag om hälsodataregister eller enligt 4 § i
förslaget till lag om vårdregister. Direkta uppgifter som innebär att en
enskild individ lätt kan identifieras bör tas bort. Enligt motionärernas mening
behöver personer som arbetar med exempelvis forskning, utvärdering eller
kvalitetssäkring av vård eller behandling inte veta exakt vilka personerna i
ett register är.
Utskottets bedömning
Utskottet anser att det är av stor vikt för skyddet av den enskildes integritet
att en reglering nu sker av de ändamål för vilka hälsodataregister eller
vårdregister får föras och av de uppgifter som registren får innehålla.
Utskottet ställer sig bakom den avgränsning i dessa hänseenden som regeringen
föreslår och tillstyrker 3 och 4 §§ i förslaget till lag om hälsodataregister
och 3-5 §§ i förslaget till lag om vårdregister.
I motion So15 (m) yrkande 5 begärs ett tillkännagivande om avidentifiering av
personuppgifter vid behandling för vissa ändamål. När det gäller personnummer
får sådana uppgifter enligt 22 § personuppgiftslagen behandlas utan den
enskildes samtycke när det är klart motiverat med hänsyn till ändamålet med
behandlingen, vikten av en säker identifiering eller något annat beaktansvärt
skäl. Utskottet delar regeringens bedömning att det inte bör förordnas att
hälsodataregister generellt sett skall föras med anonyma eller pseudonyma
uppgifter. I vissa fall måste den enskildes identitet framgå för att inte
registrets kvalitet eller användbarhet skall försämras. Utskottet utgår från
att regeringen, vid beslut om respektive registerförordning, noga kommer att
överväga vad som får föras in i registret, bl.a. om det föreligger behov av att
använda personnummer. När det gäller vårdregister är det, såsom påpekas i
propositionen, av mycket stor vikt att kunna säkerställa patienternas identitet
för att undvika förväxlingar av patienter. Registrering av personnummer måste
därför tillåtas i vårdregistren. Vårdgivares behandling av personuppgifter för
forskningsändamål omfattas över huvud taget inte av lagen om vårdregister utan
av personuppgiftslagen. I personuppgiftslagen finns bestämmelser som syftar
till att hindra en otillbörlig hantering av personuppgifter och som skall gälla
även beträffande vårdregister och hälsodataregister. Personuppgiftsansvariga
skall bl.a. se till att personuppgifter behandlas på ett lagligt och korrekt
sätt och i enlighet med god sed, att de personuppgifter som behandlas är
adekvata och relevanta i förhållande till ändamålen med behandlingen samt att
inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till
ändamålen med behandlingen. Tillsynsmyndigheten har möjlighet att på olika sätt
ingripa om personuppgifter skulle behandlas på ett olagligt sätt. Den
personuppgiftsansvarige kan vidare åläggas att betala skadestånd till den
registrerade om lagstridig behandling av person-uppgifter orsakat skada och
kränkning. Utskottet vill i sammanhanget även erinra om att ett utlämnande av
uppgifter i ett hälsodataregister eller vård-register skall föregås av
sedvanlig prövning enligt bestämmelserna i bl.a. sekretesslagen och
åliggandelagen om sekretess och tystnadsplikt. Med det sagda avstyrker
utskottet motion So15 (m) yrkande 5.
Samtycke till registrering m.m.
Propositionen
Enligt den undersökning som genomfördes på uppdrag av Hälsodatakommittén är
allmänheten i stor utsträckning beredd att acceptera att patientjournaler och
annan dokumentation inom sjukvården sker med hjälp av data, under förutsättning
att den skyddas mot obehörig åtkomst. Överföring av patientuppgifter till
regionala och centrala myndigheter inom hälso- och sjukvården har ett ganska
stort stöd bland befolkningen. Omkring 20 % av befolkningen motsätter sig dock
bestämt att sådan överföring sker.
Enligt datalagen kan Datainspektionen förena ett tillstånd att inrätta och föra
personregister med villkor att uppgifter får registreras endast sedan den
enskilde samtyckt därtill.
Enligt EG-direktivet och personuppgiftslagen ställs i princip krav på samtycke
för behandling av personuppgifter i personregister. Behandling avser enligt
definitionen i 3 § personuppgiftslagen varje åtgärd eller serie av åtgärder som
vidtas i fråga om personuppgifter, t.ex. insamling, registrering, bearbetning,
sammanställning eller samkörning. Behandling får ske utan samtycke under vissa
förutsättningar, t.ex. om behandlingen är nödvändig för ändamål som rör ett
berättigat intresse hos den personuppgiftsansvarige, eller hos den till vilken
uppgifterna lämnas ut, om detta intresse väger tyngre än den registrerades
intresse av skydd mot kränkning av den personliga integriteten (10 § f
personuppgiftslagen). S.k. känsliga uppgifter (exempelvis uppgifter som rör
hälsa) får enligt 18 § utan samtycke från den registrerade behandlas för hälso-
och sjukvårdsändamål, om behandlingen är nödvändig för förebyggande hälso- och
sjukvård, medicinska diagnoser, vård eller behandling eller administration av
hälso- och sjukvård. Vidare får den som är yrkes-mässigt verksam inom hälso-
och sjukvårdsområdet och har tystnadsplikt alltid behandla känsliga
personuppgifter som omfattas av tystnadsplikten. Detsamma gäller den som är
underkastad en liknande tystnadsplikt och som har fått känsliga personuppgifter
från verksamhet inom hälso- och sjukvårdsområdet. Bestämmelser om tystnadsplikt
i nu berört hänseende finns i sekretesslagen, åliggandelagen och lagen om
tillsyn över hälso- och sjukvården. Av 19 § personuppgiftslagen framgår att
känsliga uppgifter får behandlas för forsknings- och statistikändamål om
behandlingen är nödvändig på sätt som sägs i 10 § och om samhällsintresset av
det projekt där behandlingen ingår klart väger över den risk för otillbörligt
intrång i enskildas personliga inte-gritet som behandlingen kan innebära. Ett
utlämnande får ske om inte något annat följer av regler om sekretess och
tystnadsplikt.
Uppgifter om enskildas hälsotillstånd och andra förhållanden kan tas bort ur
ett personregister inom hälso- och sjukvården enligt regler i 17 § patient-
journallagen. För att en patientjournal helt eller delvis skall förstöras krävs
att den enskilde anför godtagbara skäl, att journalen uppenbarligen inte behövs
för patientens vård och att det ur allmän synpunkt uppenbarligen inte finns
skäl att bevara journalen.
Regeringen anser att personuppgifter skall få registreras i hälsodataregister
eller vårdregister oberoende av den enskildes samtycke. Inte heller skall den
enskilde ha rätt att få uppgifter strukna ur registren.
Ett införande av krav på samtycke för automatiserad behandling eller en rätt
att få uppgifter strukna skulle få påtagliga konsekvenser för registerhållaren
genom att hanteringen av uppgifter skulle få ske med hjälp av två olika
förfaranden, ett byggt på IT för vissa patienter och ett på annan teknik än IT
för andra patienter. När det gäller hälsodataregister anförs att dessa måste
vara heltäckande eftersom bortfall av uppgifter beträffande vissa individer kan
äventyra hela registrets användbarhet. En hantering av uppgifter med IT anses
enligt regeringen ge ett betydligt bättre skydd mot åtkomst till upp-gifterna
än ett traditionellt pappersbaserat system. Exempelvis kan journaler som förs
manuellt i form av pappersjournaler vara lättare att komma åt och därmed mindre
säkra ur integritetssynpunkt än registerbaserade journaler. Vidare sker
utvecklingen av tillförlitliga behörighetskontrollsystem fort- löpande.
Det förekommer inte i någon större utsträckning att enskilda begär att
uppgifter tas bort ur registren och det kan därför enligt regeringen antas att
endast ett fåtal personer skulle komma att utnyttja en rätt till strykning ur
ett register. Teoretiskt sett kan det dock hända att en större grupp
registrerade efter t.ex. en ?larmrapport? bestämmer sig för att de inte längre
vill ingå i ett personregister. Konsekvensen av en strykningsrätt kan då bli
att den verksamhet som registret skall utnyttjas för inte längre kan utföras på
ett tillfredsställande sätt.
Motivet för att låta en enskild bestämma om uppgifter om honom eller henne
skall få ingå i ett hälsodataregister eller vårdregister är att skyddet för den
personliga integriteten därigenom skulle förstärkas. Ett visst mått av intrång
måste emellertid accepteras då det finns ett motstående intresse som väger
tyngre, anförs det. När det gäller hälsodataregister anser regeringen att det
samhälleliga intresset av att register grundas på ett tillförlitligt underlag
får anses väga tyngre än den enskildes intresse av att kunna få stå utanför
registret. Säkerhets- och integritetsaspekter kan dessutom, som nämnts, tvärtom
komma att försämras av en rätt att stå utanför IT-användningen.
Med samkörning menas en maskinell bearbetning av uppgifter i ett register
tillsammans med uppgifter i ett annat register eller annan direkt överföring av
uppgifter från ett personregister till ett annat. Genom samkörning av
hälsodataregister med andra register ökar bl.a. möjligheten att finna orsaker
till och förklara uppkomsten av ohälsoproblem. Enligt regeringens mening bör
det med hänsyn till de vidgade möjligheter som en samkörning kan medföra inte
införas något generellt förbud mot samkörning. Samkörning kan dock till följd
av de känsliga uppgifter som finns i hälsodataregister vara riskfyllt ur
integritetssynpunkt och rätten till samkörning bör därför regleras. Regeringen
föreslår i 5 § förslaget till lag om hälsodataregister att hälsodata-register
skall få tillföras personuppgifter från andra register genom samkörning endast
för de ändamål för vilka hälsodataregistret får användas.
Uppgifter om en patient som behövs för vård av denne samt uppgifter som
behövs för den ekonomiadministration som föranleds av den aktuella vården får
enligt 6 § förslaget till lag om vårdregister hämtas till ett vårdregister från
andra vårdregister genom samkörning. Dessutom får uppgifter om patientens
folkbokföringsadress hämtas till ett vårdregister genom samkörning även från
andra personregister än vårdregister. Förslaget innebär, enligt propositionen,
inte att vårdgivaren är fri att okontrollerat öka mängden uppgifter om
patienten. Det är i stället enbart fråga om att med viss teknik få inhämta de
uppgifter som under alla förhållanden skall tillställas vårdgivaren.
Regeringen erinrar om att bestämmelserna om samkörning inte innebär att
utlämnande av uppgifter får ske utan att föregås av sedvanlig prövning av vilka
uppgifter som kan lämnas ut. Den enskildes integritet skyddas därvid av
bestämmelserna i bl.a. sekretesslagen och åliggandelagen (10 § i förslaget till
lag om hälsodataregister respektive 12 § i förslaget till lag om vårdregister).
Motionerna
I motion So15 av Gullan Lindblad m.fl. (m) begärs ett tillkännagivande av vad i
motionen anförts om samtycke att ingå i ett hälsodata- respektive vårdregister
(yrkande 2). Motionärernas utgångspunkt är att den enskilde patienten skall få
avgöra huruvida uppgifter om honom eller henne skall få finnas på data eller på
papper. Risken att den enskilde avstår från att ingå i ett dataregister måste
bedömas som ganska liten. Enligt motionärerna är det den behandlande läkaren
som i samtal med patienten skall komma fram till vilket alternativ som skall
användas och vad som är bäst för den enskilde patienten. Motionärerna begär
också ett tillkännagivande om att den enskilde skall ha rätt att i efterhand,
och oavsett ett tidigare samtycke, få uppgifter strukna ur ett hälsodata-
respektive vårdregister (yrkande 3). I motionen yrkas vidare ett
tillkännagivande om samtycke vid samkörning av register (yrkande 4). EG-
direktivet 95/46/EG förutsätter enligt motionärerna samtycke av den enskilde
vid samkörning med andra register. Eftersom direktivet skall införlivas i
svensk lagstiftning bör 5 § i förslaget till lag om hälsodataregister och 6 § i
förslaget till lag om vårdregister kompletteras med en bestämmelse om samtycke.
I motion So18 av Barbro Westerholm och Kerstin Heinemann (fp) yrkas att
riksdagen som sin mening ger regeringen till känna vad i motionen anförts om
begreppet informerat samtycke i stället för endast samtycke (yrkande 1). Enligt
motionärerna bör termen informerat samtycke användas när det gäller hälsodata-
och vårdregister eftersom den tydligt anger att medborgaren har haft tillgång
till fullständig information och även tagit del av denna information samt
därvid fått klart för sig rätten att inte behöva delta med personuppgifter.
Utskottets bedömning
Utskottet delar regeringens bedömning att behandling av personuppgifter skall
få ske i hälsodataregister och vårdregister oavsett den enskildes inställning
därtill. Den enskilde bör inte heller ha rätt att få uppgifter som behandlats
på ett lagligt sätt strukna ur ett sådant register. Dessa principer står enligt
utskottets mening i överensstämmelse med de undantag från kravet på samtycke
till behandling av personuppgifter som stadgas i EG-direktivet och i
personuppgiftslagen. Det skulle få omfattande praktiska och ekonomiska
konsekvenser för registerhållaren att behöva föra både manuella och IT-baserade
register, beroende av varje enskild individs vilja. Hälsodataregister skall
användas för officiell och annan statistik, för utvärdering av vården och för
forskning och måste vara heltäckande för att inte förlora i användbarhet.
Skyddet för den enskildes integritet får här, enligt utskottets mening, stå
tillbaka för samhällets intresse av kunskap och information. För övrigt ger en
hantering av uppgifter med IT ett betydligt bättre skydd mot obehörig åtkomst
till uppgifterna än om registrering sker manuellt. Utskottet vill erinra om att
den registrerade kommer att kunna begära rättelse eller utplåning av uppgifter
som behandlats i strid med de föreslagna lagarna, t.ex. felaktiga uppgifter.
Vidare kommer den enskilde även fortsättningsvis att ha möjlighet att begära
att en patientjournal helt eller delvis förstörs enligt bestämmelserna i
patientjournallagen. Utskottet avstyrker med det anförda motionerna So15 (m)
yrkandena 2 och 3 och So18 (fp) yrkande 1.
För att registren inom hälso- och sjukvården skall kunna fylla sina ändamål
krävs många gånger att innehållet kompletteras med uppgifter från andra
register. Samkörning av hälsodataregister med andra personregister ökar
möjligheten att finna orsaker till och förklara uppkomsten av ohälsoproblem.
Samkörning av vårdregister innebär bl.a. att uppgifter som är relevanta för ett
aktuellt vårdtillfälle, t.ex. analysresultat från laboratorier, remissvar och
uppgifter som finns i andra journaler, snabbt kan inhämtas. Utlämnandet av
uppgifter genom samkörning skall dock alltid föregås av en prövning enligt
bestämmelserna om sekretess och tystnadsplikt. Mot bakgrund av det anförda
anser utskottet att möjligheterna att samköra uppgifter i hälsodataregister och
vårdregister inte bör vara beroende av den enskildes samtycke.
Utskottet delar inte uppfattningen i motion So15 (m) yrkande 4 om att de
föreslagna bestämmelserna om samkörning strider mot EG-direktivet 95/46/EG,
vilket genomförs i Sverige genom att personuppgiftslagen träder i kraft den 24
oktober 1998. Direktivet och personuppgiftslagen tillåter under vissa
förutsättningar behandling av uppgifter för hälso- och sjukvårdsändamål och för
forsknings- och statistikändamål utan att den enskilde samtycker därtill.
Samkörning av uppgifter jämställs därvid med övriga former av behandling.
Utskottet avstyrker motion So15 (m) yrkande 4.
Utskottet tillstyrker 5 § i förslaget till lag om hälsodataregister och 6 § i
förslaget till lag om vårdregister.
Utskottet ser positivt på att det i lagtexten erinras om de sekretessregler som
skall beaktas vid en begäran om utlämnande av personuppgifter ur registren.
Utskottet tillstyrker även 10 § i förslaget till lag om hälsodataregister och
12 § förslaget till lag om vårdregister.
Ansvaret för personuppgifter
Propositionen
Regeringen anser att direktåtkomst, dvs. terminalåtkomst, till uppgifter i ett
hälsodataregister bör förbehållas den som är personuppgiftsansvarig för
registret, dvs. den centrala förvaltningsmyndighet som utför behandlingen av
personuppgifterna (1 och 8 §§ förslaget till lag om hälsodataregister). Det
behov som kan finnas av att flera myndigheter samutnyttjar vissa
hälsodataregister bör kunna tillgodoses genom reglerna om utlämnande av
uppgifter på medium för automatiserad behandling och samkörning, anförs det.
När det gäller vårdregister anför regeringen att det från integritetssynpunkt
är mycket angeläget att direktåtkomsten till uppgifterna inte är vidare än vad
som behövs med hänsyn till de ändamål för vilka uppgifterna behandlas.
Regeringen föreslår att endast den som behöver tillgång till uppgifter i ett
sådant register för att kunna utföra sitt arbete skall kunna ha direktåtkomst
till uppgifterna. Vidare skall uppgifterna behövas för något av de ändamål för
vilka ett vårdregister får användas. Åtkomsten får endast avse de uppgifter som
behövs för att arbetet skall kunna utföras (8 § förslaget till lag om
vårdregister).
Regeringen erinrar i propositionen om bestämmelsen i 7 § patientjournal-lagen
om s.k. inre sekretess. Enligt denna bestämmelse skall varje journalhandling
hanteras och förvaras så att ingen obehörig får tillgång till jour-nalen. Detta
uttrycks i förarbetena (prop. 1984/85:189 s. 43) på så sätt att det vid vården
av en patient på t.ex. en klinik endast är en begränsad del av personalen som
behöver tillgång till patientens journal och att respekten för patientens
integritet kräver att ingen utanför denna krets får tillgång till journalen.
Enligt 31 § personuppgiftslagen skall den personuppgiftsansvarige vidta
lämpliga tekniska och organisatoriska åtgärder för att skydda de uppgifter som
behandlas. Av 32 § samma lag framgår att tillsynsmyndigheten får besluta om
vilka säkerhetsåtgärder som skall vidtas. Datainspektionen har utfärdat
allmänna råd om ADB-säkerhet för personregister. Såvitt regeringen kunnat finna
bedriver vidare de myndigheter som handhar nuvarande register och som kommer
att ansvara för hälsodata- eller vårdregister ett aktivt arbete i syfte att
vidmakthålla en hög säkerhet., bl.a. genom att ta fram egna data-skyddsprogram.
Hanteringen av kontroll- och säkerhetsfrågor är enligt regeringen viktig för
att upprätthålla skyddet för integritetskänsliga uppgifter om enskildas
förhållanden. Ansvaret för säkerhetsfrågor åvilar främst den per-
sonuppgiftsansvarige, men även övriga som i arbetet använder registret har ett
ansvar för att säkerheten upprätthålls. Tillsynsmyndigheten bedriver ett mycket
aktivt arbete för att en så hög grad av säkerhet som möjligt skall kunna
upprätthållas. Särskilda föreskrifter om ADB-säkerhet bör enligt propositionen
liksom hittills hanteras på myndighetsnivå.
Motionen
I motion So16 av Stig Sandström m.fl. (v) begärs tillkännagivanden om be-hovet
av en särskild nivå när det gäller ansvaret för personuppgifter (yrkan-de 1)
samt om att den som efter delegation har ansvar för personuppgifter skall ha
utbildning i datalagstiftningen (yrkande 2). Motionärerna vill öka kontrollen
när det gäller åtkomsten av personuppgifter och föreslår därför två
kontrollnivåer, en med registeransvar och en med personuppgiftsansvar.
Registeransvarig kan, liksom i regeringens förslag, vara en myndighet.
Personuppgiftsansvaret skall vara förknippat med ett personligt ansvar och
fördelas genom delegation från styrelse eller motsvarande. De
personuppgiftsansvariga skall enligt motionärerna ha utbildning i
datalagstiftningen.
Utskottets bedömning
Utskottet anser att rätten till direktåtkomst till personuppgifter måste
begränsas av integritetsskäl. Förslaget i propositionen är enligt utskottet
välavvägt. Utskottet tillstyrker därför 8 § i förslaget till lag om
hälsodataregister och 8 § i förslaget till lag om vårdregister.
Ansvaret för att behandlingen av personuppgifter sker på ett lagligt och
korrekt sätt kommer enligt förslaget att ytterst ligga på de
personuppgiftsansvariga. De myndigheter som har hand om nuvarande register inom
hälso- och sjukvården bedriver enligt propositionen ett aktivt arbete för att
vidmakthålla en hög säkerhet. Utskottet förutsätter att de
personuppgiftsansvariga kommer att följa de bestämmelser om direktåtkomst som
stadgas i aktuella lagförslag, se till att regler om sekretess och
tystnadsplikt följs av anställd personal samt vidta kontroll- och
säkerhetsåtgärder för att skydda de uppgifter som behandlas.
Tillsynsmyndigheten kan enligt person-uppgiftslagen besluta om att den
personuppgiftsansvarige skall vidta vissa säkerhetsåtgärder. Utskottet vill i
detta sammanhang även erinra om tillsynsmyndighetens befogenheter att ingripa
mot olaglig behandling av per-sonuppgifter och om den enskildes möjlighet att
begära skadestånd. Lands-tingsförbundet kommer att anordna en konferens om
personuppgiftslagen och lagen om vårdregister i september 1998 med deltagare
från samtliga landsting. Utskottet förutsätter att utbildning om den nya
datalagstiftningen även kommer att äga rum på lokal nivå. Utskottet anser att
förslagen till lag om hälsodataregister och lag om vårdregister tillsammans med
personuppgiftslagen och gällande regler om sekretess och tystnadsplikt ger ett
tillräckligt skydd mot att obehöriga får direktåtkomst till register på hälso-
och sjukvårdens område. Motion So16 (v) yrkandena 1 och 2 avstyrks därmed.
Författningsreglering av hälsodataregister m.m.
Propositionen m.m.
Regeringen anser att särskilt viktiga och gemensamma frågor för samtliga
hälsodataregister bör regleras i lag. Det kan röra frågor som enligt grund-
lagen måste regleras i lag, såsom uppgiftsskyldighet till registren, samt
frågor som tar direkt sikte på skyddet för den personliga integriteten, t.ex.
ändamål, innehåll, inhämtande av uppgifter med hjälp av IT och gallring.
Närmare föreskrifter om enskilda hälsodataregister skall meddelas av regeringen
i en särskild förordning för respektive register inom de ramar som lagen
ställer upp. Med denna kombination av ramlag och kompletterande föreskrifter
tillgodoses enligt regeringens mening på ett tillfredsställande sätt kravet på
skydd för den personliga integriteten liksom kravet på flexibilitet i
regleringen av de särskilda hälsodataregistren. Av 12 § förslaget till lag om
hälsodataregister följer att regeringen får meddela föreskrifter om vilka
myndigheter som får föra hälsodataregister, begränsning av ändamålen,
begränsningar av de uppgifter som ett hälsodataregister får innehålla,
begränsningar av samkörning, uppgiftsskyldighet samt begränsningar i rätten att
bevara uppgifter.
Lagrådet har inte haft något att invända mot att normgivningen på det sätt
som regeringen föreslår fördelas mellan föreskrifter i lag och föreskrifter i
regeringsförordning.
Regeringen föreslår att personuppgifter i ett hälsodataregister bör få lämnas
ut på medium för automatiserad behandling endast om uppgifterna skall användas
för de ändamål som anges i 3 § (9 § förslaget till lag om hälsodataregister).
Bestämmelsen avser inte frågan om en upptagning får lämnas ut eller inte utan
endast formen för ett eventuellt utlämnande. Regeringen anför dock, vad gäller
forskning, att det är viktigt att begränsa utlämnande av uppgifter på medium
för automatiserad behandling till forskningsprojekt av viss kvalitet. Det
ankommer därvid på den personuppgiftsansvarige att göra denna prövning. Enligt
19 § personuppgiftslagen innebär ett godkännande av behandlingen från en
forskningsetisk kommitté att förutsättningar föreligger för att lämna ut
uppgifterna.
Kommittén för forskningsetik (U 1997:11) har fått regeringens uppdrag att
utreda etiska frågor i forskningen. I direktiven anges bl.a. att
Datalagskommittén i sitt betänkande SOU 1997:39 föreslagit att
Datainspektionens verksamhet skall koncentreras till tillsyn, information och
rådgivning och att detta kan få till följd att kraven på de forskningsetiska
kommittéerna ökar. Kommittén bör enligt direktiven därför undersöka och föreslå
åtgärder som avser den forskningsetiska granskningen av projekt som innefattar
användning av personnummer. Uppdraget skall redovisas senast den 1 februari
1999.
Motionen
I motion So18 av Barbro Westerholm och Kerstin Heinemann (fp) begärs ett
tillkännagivande av vad i motionen anförts om lagreglering av alla hälso-
register (yrkande 2). I propositionen föreslås att närmare föreskrifter om
enskilda hälsoregister skall meddelas av regeringen inom de ramar som lagen om
hälsodataregister ställer upp. Enligt motionärerna bör alla hälsoregister
regleras av riksdagen genom lag. I motionen begärs även ett tillkännagivande om
forskningsetisk granskning av projekt där individbaserade hälsodataregister
används (yrkande 3). Uppgifter i hälsodataregister får enligt propositionen
användas bl.a. för forskning och epidemiologiska undersökningar som den
personuppgiftsansvarige utför. Motionärerna påpekar att sådan forskning kan
vara mycket integritetskänslig och anser därför att det måste regleras vem som
har ansvar för den forskningsetiska granskningen av sådana projekt.
Motionärerna nämner det uppdrag som regeringen givit Kommittén om
forskningsetik.
Utskottets bedömning
Utskottet delar regeringens bedömning att särskilt viktiga gemensamma frågor
för samtliga hälsodataregister bör regleras i lag medan övriga frågor kan
regleras genom en särskild förordning för varje register inom de ramar som
lagen drar upp. I propositionen anges att ett inrättande av ett
hälsodataregister skall föregås av en noggrann prövning av regeringen av
ändamålet med registret och av vilka uppgifter som får behandlas i registret.
Utskottet anser att såväl kravet på skydd för den personliga integriteten som
kravet på flexibilitet i regleringen tillgodoses på ett tillfredsställande sätt
genom regeringens förslag och delar inte uppfattningen i motion So18 (fp)
yrkande 2 om att även de närmare bestämmelserna om varje hälsodataregister bör
ges i lag och beslutas av riksdagen. Utskottet avstyrker motion So18 yrkande 2.
Utskottet tillstyrker 12 § i förslaget till lag om hälsodataregister.
Kommittén för forskningsetik har i uppdrag att bl.a. undersöka och föreslå
utformningen av forskningsetisk granskning av projekt som innefattar användning
av personnummer. Enligt utskottets mening bör kommitténs arbete avvaktas innan
riksdagen överväger något initiativ i frågan om forskningsetisk granskning av
integritetskänsliga projekt. Motion So18 (fp) yrkande 3 avstyrks därför.
Övriga lagförslag
Utskottet tillstyrker förslagen till lag om hälsodataregister och lag om
vårdregister i övrigt samt förslaget till lag om upphävande av lagen om viss
uppgiftsskyldighet inom hälso- och sjukvården och förslaget till lag om
upphävande av kungörelsen om cancerregister.
Hemställan
Utskottet hemställer
1. beträffande avslag på propositionen
att riksdagen avslår motion 1997/98:So17 yrkande 1,
res. 1 (mp)
2. beträffande avvägningen mellan det offentligas behov och den
enskildes integritet
att riksdagen avslår motionerna 1997/98:So15 yrkande 1 och 1997/98:So17 yrkande
2
res. 2 (m)
res. 3 (mp) - villk.
3. beträffande ändamål och innehåll
att riksdagen antar 3 och 4 §§ i regeringens förslag till lag om
hälsodataregister och 3-5 §§ i regeringens förslag till lag om
vårdregister,
4. beträffande avidentifiering av personuppgifter
att riksdagen avslår motion 1997/98:So15 yrkande 5,
res. 4 (m, mp)
5. beträffande samtycke till registrering m.m.
att riksdagen avslår motionerna 1997/98:So15 yrkandena 2 och 3 samt
1997/98:So18 yrkande 1,
res. 5 (m, mp)
res. 6 (fp)
6. beträffande samtycke till samkörning av register
att riksdagen avslår motion 1997/98:So15 yrkande 4,
res. 7 (m, mp)
7. beträffande samkörning
att riksdagen antar 5 § i regeringens förslag till lag om hälsodataregister och
6 § i regeringens förslag till lag om vårdregister,
8. beträffande sekretess
att riksdagen antar 10 § i regeringens förslag till lag om hälsodataregister
och 12 § i regeringens förslag till lag om vårdregister,
9. beträffande direktåtkomst
att riksdagen antar 8 § i regeringens förslag till lag om hälsodataregister och
8 § i regeringens förslag till lag om vårdregister,
10. beträffande ansvaret för personuppgifter
att riksdagen avslår motion 1997/98:So16 yrkandena 1 och 2
res. 8 (v)
11. beträffande författningsreglering av hälsodataregister
att riksdagen avslår motion 1997/98:So18 yrkande 2,
res. 9 (fp)
12. beträffande bemyndiganden
att riksdagen antar 12 § i regeringens förslag till lag om hälsodataregister,
13. beträffande forskningsetisk granskning
att riksdagen avslår motion 1997/98:So18 yrkande 3,
res. 10 (fp)
14. beträffande övriga lagförslag
att riksdagen antar regeringens förslag till
a) lag om hälsodataregister i den mån det inte omfattas av vad utskottet
anfört under tidigare moment,
b) lag om vårdregister i den mån det inte omfattas av vad utskottet anfört
under tidigare moment,
c) lag om upphävande av lagen (1991:425) om viss uppgiftsskyldighet inom
hälso- och sjukvården,
d) lag om upphävande av kungörelsen (1957:632) om cancerregister.
Stockholm den 7 maj 1998
På socialutskottets vägnar
Sten Svensson
I beslutet har deltagit: Sten Svensson (m), Ingrid Andersson (s), Rinaldo
Karlsson (s), Hans Karlsson (s), Christina Pettersson (s), Liselotte Wågö (m),
Marianne Jönsson (s), Roland Larsson (c), Leif Carlson (m), Barbro Westerholm
(fp), Mariann Ytterberg (s), Stig Sandström (v), Christin Nilsson (s), Birgitta
Wichne (m), Thomas Julin (mp), Chatrine Pålsson (kd) och Elisebeht Markström
(s).
Reservationer
1. Avslag på propositionen (mom. 1)
Thomas Julin (mp) anser
dels att den del av utskottets betänkande som på s. 8 börjar med ?Flera
omständigheter? och på s. 8 slutar med ?yrkande 1? bort ha följande lydelse:
Utskottet anser emellertid att det finns så många allvarliga brister i
regeringens förslag att riksdagen, med bifall till motion So17 (mp) yrkande 1,
bör avslå propositionen.
Genom att flytta lokal information från hälso- och sjukvården till centrala
register med bibehållna möjligheter att identifiera patienten, ökar enligt
utskottet risken för att känsliga uppgifter som så få som möjligt skall ta del
av får en oacceptabel spridning. Regeringen underskattar enligt utskottets
mening den enskildes oro för detta.
dels att utskottets hemställan under 1 bort ha följande lydelse:
1. beträffande avslag på propositionen
att riksdagen med bifall till motion 1997/98:So17 yrkande 1 avslår proposition
1997/98:108,
2. Avvägningen mellan det offentligas behov och den enskildes integritet
(mom. 2)
Sten Svensson, Liselotte Wågö, Leif Carlson och Birgitta Wichne (alla m) anser
dels att den del av utskottets betänkande som på s. 8 börjar med ?Även
motionerna? och slutar med ?yrkande 2 avstyrks? bort ha följande lydelse:
Den stora offentliga sektorn kräver en omfattande insamling av uppgifter om
enskilda individer. Intresset för allt fler och allt mer omfattande
kontrollregister har mer varit inriktat på det allmännas behov av
personuppgifter än på den enskildes behov av integritetsskydd. Varje enskilt
register har alltid kunnat försvaras med att det fyller en viktig uppgift och
funktion. Enligt utskottet behövs en helhetssyn när det gäller den samlade
mängden personregister och behovet av dessa samt en diskussion kring den
enskildes uppfattning om intrång i den personliga integriteten. Utskottet anser
att den personliga integriteten alltid måste värnas. Vid införandet av nya
register, särskilt sådana som innehåller känsliga uppgifter om sjukdomar och
sjukdomsbehandlingar, måste en noggrann avvägning ske mellan behovet av
registret och risken för att den enskildes integritet gröps ur. Enligt
utskottet tar regeringen i propositionen alldeles för lätt på denna avvägning.
I propositionen anförs exempelvis att den enskildes uppfattning inte skall
påverka vad som skall finnas i registret eller om samkörning skall få ske.
Utskottet anser också att regeringen underskattar risken för att obehöriga får
åtkomst till databaserade register med känsliga uppgifter, t.ex. att andra
personer än de som har att göra med behandlingen av en patient får tillgång
till dennes patientjournal på data.
Vad utskottet nu anfört bör riksdagen med anledning av motion So15 (m)
yrkande 1 som sin mening ge regeringen till känna. Motion So17 (mp) yrkande 2
avstyrks.
dels att utskottets hemställan under 2 bort ha följande lydelse:
2. beträffande avvägningen mellan det offentligas behov och den enskildes
integritet
att riksdagen med anledning av motion 1997/98:So15 yrkande 1 och med avslag på
motion 1997/98:So17 yrkande 2 som sin mening ger regeringen till känna vad
utskottet anfört,
3. Avvägningen mellan det offentligas behov och den enskildes integritet
(mom. 2)
Under förutsättning av avslag på reservation 1
Thomas Julin (mp) anser
dels att den del av utskottets betänkande som på s. 8 börjar med ?Även
motionerna? och slutar med ?yrkande 2 avstyrks? bort ha följande lydelse:
Enligt utskottets uppfattning kan hälsodataregister användas på ett bra sätt
även om materialet avidentifieras. För att personnummer skall få användas i ett
hälsodataregister bör krävas dels att det är av särskild vikt att patienten kan
identifieras, dels att patienten samtycker till registreringen. När det gäller
vårdregister bör den enskildes samtycke krävas för samkörning eller överföring
av uppgifter till annat register. Kraven på ökad effektivitet och teknisk
utveckling får enligt utskottet aldrig väga tyngre än den enskildes rätt till
en trygg och säker läkarkontakt där patienten kan känna fullt förtroende för
att känsliga uppgifter inte sprids till obehöriga. Utskottet anser att
regeringen bör återkomma till riksdagen med ett förslag rörande hälsodata- och
vårdregister som tar stor hänsyn till patientens bästa.
Vad utskottet nu anfört bör riksdagen med anledning av motion So17 (mp)
yrkande 2 ge regeringen till känna. Motion So15 (m) yrkande 1 bör avslås.
dels att utskottets hemställan under 2 bort ha följande lydelse:
2. beträffande avvägningen mellan det offentligas behov och den enskildes
integritet
att riksdagen med anledning av motion 1997/98:So17 yrkande 2 och med avslag på
motion 1997/98:So15 yrkande 1 som sin mening ger regeringen till känna vad
utskottet anfört,
4. Avidentifiering av personuppgifter (mom. 4)
Sten Svensson (m), Liselotte Wågö (m), Leif Carlson (m), Birgitta Wichne (m)
och Thomas Julin (mp) anser
dels att den del av utskottets betänkande som på s. 10 börjar med ?I motion?
och slutar med ?yrkande 5? bort ha följande lydelse:
Enligt utskottets mening är det inte nödvändigt för personer som arbetar med
forskning, utvärdering eller kvalitetssäkring av vård eller behandling att
känna till vilka de enskilda personerna i ett register är. Personuppgifter som
skall behandlas för de ändamål som anges i 3 § i förslaget till lag om
hälsodataregister eller enligt 4 § i förslaget till lag om vårdregister bör
därför avidentifieras före behandlingen. Enligt utskottet skall därvid
uppgifter som medför att en enskild individ lätt kan identifieras tas bort.
Bostadsort och andra allmänna uppgifter kan dock framgå.
Vad som nu anförts bör riksdagen med anledning av motion So15 (m) yrkande 5
som sin mening ge regeringen till känna.
dels att utskottets hemställan under 4 bort ha följande lydelse:
4. beträffande avidentifiering av personuppgifter
att riksdagen med anledning av motion 1997/98:So15 yrkande 5 som sin mening ger
regeringen till känna vad utskottet anfört,
5. Samtycke till registrering m.m. (mom. 5)
Sten Svensson (m), Liselotte Wågö (m), Leif Carlson (m), Birgitta Wichne (m)
och Thomas Julin (mp) anser
dels att den del av utskottets betänkande som på s. 13 börjar med ?Utskottet
delar? och på s. 14 slutar med ?yrkande 1? bort ha följande lydelse:
Utskottet anser att det är den enskilde patienten som skall avgöra huruvida
uppgifter om honom eller henne skall registreras manuellt eller med hjälp av IT
i ett vårdregister. Den behandlande läkaren bör hjälpa patienten att komma fram
till det alternativ som är bäst i det enskilda fallet. Risken att patienten
avstår från att ingå i ett dataregister är liten eftersom det trots allt kan
underlätta vården. Enligt utskottet skall vidare samtycke krävas från den
enskilde för att personuppgifter om honom eller henne skall få ingå i ett
hälsodataregister. Ett sådant förbehåll torde inte få den följden att
underlaget för hälsodataregistret blir för litet och även om så vore fallet
väger integri-tetsaspekten tyngre än behovet av registret. Även i detta
sammanhang skall läkaren ha en viktig och central roll vid den enskildes
ställningstagande. Utskottet anser även att den enskilde skall ha rätt att
kräva att uppgifter i ett register raderas, trots att han eller hon tidigare
har givit sitt samtycke till registrering.
Vad utskottet nu anfört med anledning av motion So15 (m) yrkandena 2 och 3
bör ges regeringen till känna. Motion So18 (fp) yrkande 1 avslås.
dels att utskottets hemställan under 5 bort ha följande lydelse:
5. beträffande samtycke till registrering m.m.
att riksdagen med anledning av motion 1997/98:So15 yrkandena 2 och 3 samt med
avslag på motion 1997/98:So18 yrkande 1 som sin mening ger regeringen till
känna vad utskottet anfört,
6. Samtycke till registrering m.m. (mom. 5)
Barbro Westerholm (fp) anser
dels att den del av utskottets betänkande som på s. 13 börjar med ?Utskottet
delar? och på s. 14 slutar med ?yrkande 1? bort ha följande lydelse:
Utskottet anser att personuppgifter i ett hälsodata- eller vårdregister får
användas för annat ändamål än de som de ursprungligen var avsedda för endast om
den enskilde ger sitt samtycke härtill. Den enskilde skall ha haft tillgång
till och tagit del av fullständig information och därvid erinrats om sin rätt
att inte behöva delta med personuppgifter. Ett sådant s.k. informerat samtycke
innebär enligt utskottets mening att den enskilde får en större insikt i vad
han eller hon ger sitt samtycke till. Utskottet anser att frågan om informerat
samtycke borde ha tagits upp i propositionen.
Vad utskottet anfört bör med anledning av motion So18 (fp) yrkande 1 ges
regeringen till känna. Motion So15 (m) yrkandena 2 och 3 avstyrks.
dels att utskottets hemställan under 5 bort ha följande lydelse:
5. beträffande samtycke till registrering m.m.
att riksdagen med anledning av motion 1997/98:So18 yrkande 1 och med avslag på
motion 1997/98:So15 yrkandena 2 och 3 som sin mening ger regeringen till
känna vad utskottet anfört,
7. Samtycke till samkörning av register (mom. 6)
Sten Svensson (m), Liselotte Wågö (m), Leif Carlson (m), Birgitta Wichne (m)
och Thomas Julin (mp) anser
dels att den del av utskottets betänkande som på s. 14 börjar med ?För att? och
slutar med ?yrkande 4? bort ha följande lydelse:
Enligt Europaparlamentets och rådets direktiv 95/46/EG krävs samtycke av den
enskilde för att samkörning av register skall få ske. Direktivet skall enligt
proposition 1997/98:44 Personuppgiftslag genomföras i svensk rätt. Mot denna
bakgrund anser utskottet att 5 § i förslaget till lag om hälsodataregister och
6 § i förslaget till lag om vårdregister bör kompletteras med bestämmelser om
att samkörning av register kräver den enskildes samtycke. Regeringen bör
snarast återkomma till riksdagen med förslag till en sådan lagreglering.
Vad utskottet nu anfört bör med anledning av motion So15 (m) yrkande 4 ges
regeringen till känna.
dels att utskottets hemställan under 6 bort ha följande lydelse:
6. beträffande samtycke till samkörning av register
att riksdagen med anledning av motion 1997/98:15 yrkande 4 som sin mening ger
regeringen till känna vad utskottet anfört,
8. Ansvaret för personuppgifter (mom. 10)
Stig Sandström (v) anser
dels att den del av utskottets betänkande som på s. 16 börjar med ?Ansvaret för
att? och slutar med ?avstyrks därmed? bort ha följande lydelse:
Enligt utskottet måste dock kontrollen öka när det gäller direktåtkomst till
personuppgifter. Två kontrollnivåer bör införas, varav en med registeransvar
och en med personuppgiftsansvar. Den registeransvarige kan vara en myndighet.
Personuppgiftsansvaret skall vara förknippat med ett personligt ansvar och
fördelas genom delegation från styrelse eller motsvarande. Person-
uppgiftsansvar skall enligt utskottet endast kunna tilldelas den som har
genomgått utbildning om datalagstiftningen.
Detta bör riksdagen med anledning av motion So16 (v) yrkandena 1 och 2 som
sin mening ge regeringen till känna.
dels att utskottets hemställan under 10 bort ha följande lydelse:
10. beträffande ansvaret för personuppgifter
att riksdagen med anledning av motion 1997/98:So16 yrkandena 1 och 2 som sin
mening ger regeringen till känna vad utskottet anfört,
9. Författningsreglering av hälsodataregister (mom. 11)
Barbro Westerholm (fp) anser
dels att den del av utskottets betänkande som på s. 18 börjar med ?Utskottet
delar? och slutar med ?yrkande 2? bort ha följande lydelse:
Utskottet ser positivt på att de frågor som är gemensamma för alla
hälsodataregister skall regleras i lagen om hälsodataregister. Däremot kan
utskottet inte ställa sig bakom förslaget att de närmare föreskrifterna om de
enskilda hälsodataregistren skall beslutas av regeringen genom förordningar
inom de ramar som lagen ställer upp. Enligt utskottets mening bör även dessa
bestämmelser ges i lag och beslutas av riksdagen. Regeringen bör snarast
återkomma till riksdagen med förslag till en sådan lagreglering.
Vad utskottet nu anfört bör med anledning av motion So18 (fp) yrkande 2 ges
regeringen till känna.
dels att utskottets hemställan under 11 bort ha följande lydelse:
11. beträffande författningsreglering av hälsodataregister
att riksdagen med anledning av motion 1997/98:So18 yrkande 2 som sin mening ger
regeringen till känna vad utskottet anfört,
10. Forskningsetisk granskning (mom. 13)
Barbro Westerholm (fp) anser
dels att den del av utskottets betänkande som på s. 18 börjar med ?Kommittén?
och slutar med ?avstyrks därför? bort ha följande lydelse:
Uppgifterna i hälsodataregistren får enligt propositionen användas för
framställning av statistik och för att följa upp, utvärdera och kvalitetssäkra
hälso- och sjukvården. Uppgifterna får även användas för forskning och
epidemiologiska undersökningar. Den forskning som avses kan vara av mycket
integritetskänslig karaktär. Förslaget i propositionen innebär att de centrala
förvaltningsmyndigheterna själva avgör hur de egna hälsodataregistren skall
användas i forskningssammanhang och till vilka projekt utlämning av uppgifter
skall ske. Utskottet anser att det måste regleras vem som har ansvar för den
forskningsetiska granskningen av integritetskänsliga forskningsprojekt.
Regeringen har givit Kommittén för forskningsetik i uppdrag att bl.a. ge
förslag rörande forskningsetisk granskning av projekt som innefattar användning
av personnummer. Enligt utskottets mening borde regeringen ha avvaktat
kommitténs redovisning av uppdraget innan propositionen lades fram.
Vad utskottet anfört bör riksdagen med anledning av motion So18 (fp) yrkande
3 som sin mening ge regeringen till känna.
dels att utskottets hemställan under 13 bort ha följande lydelse:
13. beträffande forskningsetisk granskning
att riksdagen med anledning av motion 1997/98:So18 yrkande 3 som sin mening ger
regeringen till känna vad utskottet anfört,
I propositionen framlagda lagförslag
1 Förslag till lag om hälsodataregister
2 Förslag till lag om vårdregister
3 Förslag till lag om upphävande av lagen (1991:425)
om viss uppgiftsskyldighet inom hälso- och sjukvården
4 Förslag till lag om upphävande av kungörelsen
(1957:632) om cancerregister
Innehållsförteckning
Sammanfattning......................................0
Propositionen.......................................0
Motionerna..........................................0
Utskottet...........................................0
Bakgrund och nuvarande förhållanden 0
Personregister inom hälso- och sjukvården 0
Rättslig reglering till skydd för den personliga integriteten 0
Avslag på propositionen m.m. 0
Utskottets bedömning 0
Avidentifiering av personuppgifter 0
Utskottets bedömning 0
Samtycke till registrering m.m. 0
Utskottets bedömning 0
Ansvaret för personuppgifter 0
Utskottets bedömning 0
Författningsreglering av hälsodataregister m.m. 0
Utskottets bedömning 0
Övriga lagförslag 0
Hemställan 0
Reservationer.......................................0