Patientdatalag

Till statsrådet med ansvar för hälso- och sjukvårdsfrågor

Regeringen beslutade den 3 april 2003 att tillkalla en särskild utre- dare med uppdrag att utarbeta förslag till en särskild författnings- reglering av nationella kvalitetsregister inom hälso- och sjukvården (dir. 2003:42). Utredaren skall enligt direktiven även överväga om särskild författningsreglering behövs för de regionala cancerregistren och för donations- och metadonregistren, samt för blodgivarregistret och vaccinationsregistret, som båda är under uppbyggnad. Om ut- redaren anser att en särskild författningsreglering är nödvändig, skall han utarbeta ett förslag till en sådan.

Till särskild utredare förordnades lagmannen Sigurd Heuman. Övriga medverkande i utredningens arbete anges nedan.

Utredningen antog inledningsvis namnet Kvalitetsregisterutred- ningen men har sedan, till följd av den slutliga utformningen av utredningens uppdrag, ändrat namnet till Patientdatautredningen (S 2003:03).

Den 23 juni 2004 beslutade regeringen om tilläggsdirektiv till utredningen (dir. 2004:95). Enligt tilläggsdirektivet skall den sär- skilde utredaren se över hur behandlingen av personuppgifter inom hälso- och sjukvården regleras samt lämna förslag till en väl funge- rande och sammanhängande reglering av området. I uppdraget ingår att analysera förutsättningarna för och nyttan av att skapa en för samtliga vårdgivare sammanhållen journal. Utredaren skall också utreda frågor kring den överföring och det utbyte av personupp- gifter som förekommer i det internationella samarbetet beträffande uppgifter i kvalitetsregister och vid behov lämna förslag till bestäm- melser om detta. I utredarens uppdrag ingår också att se över frågan om Läkemedelsverket skall få föra ett register för uppföljning av läkemedels ändamålsenlighet. Utredaren skall överväga hur ett sådant register skall regleras. Utredaren har vidare fått i uppdrag att göra en generell översyn av lagen (1996:1156) om receptregister och anpassa den till övrig lagstiftning inom området. Slutligen skall utredaren

göra en översyn av aktuella bestämmelser i lagen (1998:543) om hälsodataregister, sekretesslagen (1980:100) och andra bestämmelser på hälso- och sjukvårdens område som berörs av uppdraget, t.ex. lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område samt lämna förslag till nödvändiga ändringar i även dessa författningar.

Den 20 december 2005 beslutade regeringen om ytterligare tilläggsdirektiv (dir. 2005:150). Enligt dessa tilläggsdirektiv skall den särskilde utredaren utarbeta förslag till författningsreglering av det nationella register för vaccinationer som i dag förs i projektform av Läkemedelsverket, Smittskyddsinstitutet och Socialstyrelsen. I dessa tilläggsdirektiv fastställdes även att utredningen senast den 1 oktober 2006 skall redovisa den del av uppdraget som gäller frågan om en sammanhängande lagstiftning för all behandling av person- uppgifter inom hälso- och sjukvården, frågan om en sammanhängande patientjournal, kvalitetsregisterfrågor samt sekretessfrågor med an- ledning av dessa uppgifter. Utredningen skall redovisa resultatet av sitt arbete i övriga delar senast den 31 december 2006.

Utredningen får härmed överlämna sitt huvudbetänkande Patient- datalag (SOU 2006:82).

Till betänkandet fogas särskilda yttranden.

Arbetet i utredningen fortsätter nu med återstående frågor.

Malmö i september 2006

Sigurd Heuman

/Tomas Forenius

Ingegärd Lind

Anna Tansjö

Förteckning över vilka som har deltagit i denna del av utredningens arbete

(Om inte annat anges, har förordnandet gällt fr.o.m. den 12 maj 2003)

Experter

Docenten Jan Adolfsson, t.o.m. den 23 juni 2004 Professorn Anders Ekbom, fr.o.m. den 24 juni 2004 Rådmannen Ulrika Geijer, fr.o.m. den 27 mars 2006 Överläkaren Harald Heijbel, t.o.m. den 23 juni 2004 Rådmannen Lars Henriksson, t.o.m. den 26 mars 2006 Datarådet Katja Isberg Amnäs

Styrelseordföranden Gösta Jedberger, fr.o.m. den 24 juni 2004 Avdelningsdirektören Pia-Maria Jonsson, t.o.m. den 31 mars 2004 Sekreteraren Gabriella Kollander Fållby, fr.o.m. den 24 juni 2004 Juristen Ulla Lönnqvist Endre

Chefsjuristen Eva Nilsson, fr.o.m. den 24 juni 2004 Enhetschefen Petra Otterblad Olausson, fr.o.m. den 24 juni 2004 Professorn Elisabeth Rynning, fr.o.m. den 24 juni 2004 Biträdande landstingsdirektören Göran Stiernstedt, fr.o.m. den 27 mars 2006

Rådmannen Anna Tansjö, fr.o.m. den 1 juni 2006 Professorn Lars Wallentin

Sakkunniga

Departementssekreteraren Ulrika Axelsson Jonsson, fr.o.m. den 12 maj 2003 t.o.m. den 31 mars 2004 samt fr.o.m. den 25 maj 2005 Departementsrådet Anders Ekholm, fr.o.m. den 10 oktober 2005 Departementssekreteraren Daniel Forslund, fr.o.m. den 1 mars 2005

Rådmannen Petter Granqvist, fr.o.m. den 24 juni 2004 t.o.m. den 24 maj 2005

Rättssakkunnige Erik Hjulström, fr.o.m. den 25 maj 2005 Ämnesrådet Stefan Karlsson, t.o.m. den 30 juni 2006 Kanslirådet Eva Lenberg, fr.o.m. den 10 oktober 2005 Departementssekreteraren Anne Nilsson, fr.o.m. den 25 oktober 2004 t.o.m. den 24 maj 2005

Ämnessakkunniga Helena Rosén, fr.o.m. den 1 juli 2006

Innehåll

Sammanfattning ................................................................		17
Summary ..........................................................................		35
Författningsförslag .............................................................		55
1	Förslag till patientdatalag ........................................................	55
2	Förslag till lag om ändring i sekretesslagen (1980:100).........	74
3	Förslag till lag om ändring i lagen (2001:499) om
	omskärelse av pojkar................................................................	83
4	Förslag till lag om ändring i lagen (2002:297) om
	biobanker i hälso- och sjukvården m.m..................................	84
5	Förslag till lag om ändring i lagen (2005:225) om
	rättsintyg i anledning av brott.................................................	86
BAKGRUND
1	Vårt uppdrag och arbete..............................................	89
1.1	Vårt uppdrag.............................................................................	89
1.2	Arbetets bedrivande.................................................................	90
1.3	Betänkandets disposition.........................................................	92
2	Hälso- och sjukvård och IT ..........................................	93
2.1	Hälso- och sjukvårdens organisation......................................	93
	2.1.1 Ansvaret för hälso- och sjukvården.............................	93
	2.1.2 Driftsformer..................................................................	95
		7

Innehåll SOU 2006:82

	2.1.3 Ledningen av hälso- och sjukvården ............................		97
	2.1.4 Hälso- och sjukvård på tre nivåer ................................		98
2.2	En hälso- och sjukvård i förändring ......................................		100
2.3	IT-användning i hälso- och sjukvården.................................		103
3	Den nationella IT-strategin och några
	utvecklingsprojekt.....................................................		105
3.1	Inledning.................................................................................		105
3.2	Nationell IT-strategi för vård och omsorg ...........................		105
3.3	Landstingsdrivna projekt .......................................................		110
	3.3.1	Stockholms läns landsting ..........................................	110
	3.3.2 Landstinget i Uppsala län ...........................................		110
	3.3.3	Landstinget i Östergötland ........................................	112
	3.3.4	Region Skåne ...............................................................	113
	3.3.5	Norrbottens läns landsting.........................................	114
3.4	Nationella initiativ och projekt .............................................		115
	3.4.1	Carelink .......................................................................	115
	3.4.2	Socialstyrelsen .............................................................	117
	3.4.3	Smittskyddsinstitutet m.fl..........................................	119
4	Central lagstiftning för informationshanteringen inom
	hälso- och sjukvården................................................		121
4.1	Inledning.................................................................................		121
4.2	Hälso- och sjukvårdslagen.....................................................		121
4.3	Patientjournallagen.................................................................		122
4.4	Personuppgiftslagen...............................................................		123
4.5	Vårdregisterlagen....................................................................		130
4.6	Hälsodataregisterlagen...........................................................		132
4.7	Sekretesslagen.........................................................................		133

4.8Lagen om yrkesverksamhet på hälso- och sjukvårdens

område.....................................................................................

134

SOU 2006:82 Innehåll

5	En internationell utblick ...........................................		137
5.1	WHO	.....................................................................................	137
5.2	EU...........................................................................................		137
5.3	Internationella riktlinjer för persondataskydd.....................		138
5.4	Danmark.................................................................................		139
5.5	Norge	.....................................................................................	141
5.6	England...................................................................................		143
VÅRA ÖVERVÄGANDEN M.M.
6	Några allmänna utgångspunkter.................................		145
7	En ny lag.................................................................		151
7.1	Vårt uppdrag...........................................................................		151
7.2	Dagens splittrade lagstiftning ...............................................		151
7.3	Våra överväganden .................................................................		153
	7.3.1 En mer samlad reglering.............................................		153
	7.3.2	Lagens tillämpningsområde .......................................	155
	7.3.3 Patientdatalagens förhållande till annan
		lagstiftning ..................................................................	162
8	Grundläggande bestämmelser om personuppgifts-
	behandling ..............................................................		171
8.1	Inledning.................................................................................		171
8.2	Ändamål för personuppgiftsbehandlingen...........................		171
	8.2.1	Allmänt om ändamålsbestämning..............................	172
	8.2.2	Patientdatalagens ändamålsbestämning.....................	176
	8.2.3	De särskilda ändamålen ..............................................	178
	8.2.4	Samkörning m.m.........................................................	192
8.3	Personuppgiftsansvar.............................................................		194
8.4	Personuppgifter som får behandlas ......................................		198

Innehåll

SOU 2006:82

8.5Den enskildes inställning till personuppgifts-

	behandlingen...........................................................................		200
	8.5.1	Inledning......................................................................	200
	8.5.2	Vad gäller i dag? ..........................................................	201
	8.5.3	Våra överväganden ......................................................	205
8.6	Sökbegrepp .............................................................................		209
8.7	Elektroniskt utlämnande av personuppgifter .......................		215
	8.7.1	Allmänt om elektroniskt utlämnande........................	216
	8.7.2	Nuvarande reglering ...................................................	219
	8.7.3	Våra överväganden ......................................................	221
9	En sammanhållen journal ..........................................		225
9.1	Vårt uppdrag...........................................................................		225
9.2	Visionen ”En patient – en journal” .......................................		225
9.3	Nuvarande reglering och tidigare utredningar .....................		227
	9.3.1	Vad säger nu gällande reglering av patientjournal-
		föringen om sammanhållna patientjournaler?...........	227
	9.3.2	Några tidigare utredningar .........................................	229
9.4	Våra överväganden .................................................................		231
	9.4.1	Inledning......................................................................	231
	9.4.2	En journal knuten till patienten .................................	232
	9.4.3	En obligatorisk sammanhållen helhetsjournal ..........	235
	9.4.4	En obligatorisk sammanhållen journal av mer
		begränsat slag...............................................................	243
	9.4.5	Öppnade möjligheter till sammanhållen
		journalföring över vårdgivargränser...........................	244
10	En ny reglering av patientjournalföringen ....................		247
10.1	Vårt uppdrag...........................................................................		247
10.2	Nuvarande patientjournallag och vårdregisterlag.................		248
	10.2.1 Patientjournallagen .....................................................		248
	10.2.2 Vårdregisterlagen ........................................................		250
10.3	Våra utgångspunkter ..............................................................		251
10.4	Närmare om den nya regleringens innehåll ..........................		253
10

SOU 2006:82		Innehåll
	10.4.1 Allmänt........................................................................	253
	10.4.2 Patientjournalens syfte...............................................	253
	10.4.3 Skyldigheten att föra patientjournal och utfärda
	intyg.............................................................................	255
	10.4.4 Patientjournalens innehåll..........................................	259
	10.4.5 Språket i journalen......................................................	267
	10.4.6 Rättelse av journaluppgifter .......................................	273
	10.4.7 Bevarande av journalhandling ....................................	274
	10.4.8 Förstörande av journalen ...........................................	277
	10.4.9 Omhändertagande av patientjournaler inom den
	enskilda hälso- och sjukvården samt återlämnande
	av omhändertagna journaler.......................................	282
	10.4.10 Ytterligare föreskrifter .........................................	285
11	Närmare om sammanhållen journalföring....................	287
11.1	Inledning.................................................................................	287
11.2	Innebörden av sammanhållen journalföring.........................	289
11.3	Patientens inflytande m.m. vid sammanhållen
	journalföring...........................................................................	291
	11.3.1 Vad gäller i dag? ..........................................................	292
	11.3.2 Utgångspunkter..........................................................	294
	11.3.3 Skede 1 – Patientens möjlighet att ta ställning till
	om uppgifter skall vara tillgängliga via samman-
	hållen journalföring ....................................................	294
	11.3.4 Skede 2 – Patientens möjlighet att ta ställning till
	om direktåtkomsten skall få användas.......................	297
	11.3.5 Ytterligare förutsättningar .........................................	300
	11.3.6 För vilka syften skall den sammanhållna
	journalföringen få användas? .....................................	302
	11.3.7 Sammanfattning och avslutande synpunkter ............	305
11.4	Tryckfrihetsförordningen och sammanhållen
	journalföring...........................................................................	307
	11.4.1 Gällande rätt................................................................	308
	11.4.2 Vår bedömning ...........................................................	311
11.5	Sekretess och sammanhållen journalföring ..........................	317
	11.5.1 Den rättsliga regleringen............................................	318
	11.5.2 OSEK:s förslag ...........................................................	326
		11

Innehåll	SOU 2006:82
	11.5.3 Våra överväganden ......................................................	327
11.6	Personuppgiftsansvar vid sammanhållen journalföring .......	335
	11.6.1 Flera möjliga personuppgiftsansvariga ......................	336
	11.6.2 Våra överväganden ......................................................	339
11.7	Arkivlagstiftning och andra bevarandefrågor vid
	sammanhållen journalföring ..................................................	344
	11.7.1 Inledning......................................................................	344
	11.7.2 Gällande rätt ................................................................	345
	11.7.3 Aktuellt förslag ...........................................................	347
	11.7.4 Vår bedömning............................................................	348
11.8	Kraven på patientjournalföringen och sammanhållen
	journalföring...........................................................................	352
12	Inre sekretess...........................................................	355
12.1	Inledning.................................................................................	355
12.2	Nuvarande reglering...............................................................	357
12.3	Aktuella förslag ......................................................................	359
12.4	Våra överväganden .................................................................	361
13	Direktåtkomst för patienten .......................................	379
13.1	Inledning.................................................................................	379
13.2	Patientens rätt att ta del av sin journal..................................	379
13.3	Direktåtkomst för patienten..................................................	383
14	Överföring av personuppgifter i individinriktad
	verksamhet ..............................................................	391
14.1	Vårt uppdrag m.m. .................................................................	391
14.2	Vad gäller idag?.......................................................................	393
	14.2.1 Utbyte av uppgifter inom hälso- och sjukvården i
	vårdsyfte ......................................................................	393
	14.2.2 Särskilt om uppgiftsutbyte inom området vård
	och omsorg..................................................................	395

SOU 2006:82		Innehåll
14.3	OSEK:s förslag.......................................................................	399
14.4	Våra överväganden och förslag..............................................	400
	14.4.1 Sekretessfrågor............................................................	400
	14.4.2 Elektroniskt utlämnande av personuppgifter
	m.m..............................................................................	406
15	Verksamhetsuppföljning............................................	411
15.1	Vårt uppdrag m.m..................................................................	411
15.2	Om verksamhetsuppföljning.................................................	412
15.3	Problemområde......................................................................	415
15.4	Våra överväganden .................................................................	417
	15.4.1 Verksamhetsuppföljning inom en vårdgivares
	verksamhet ..................................................................	418
	15.4.2 Verksamhetsuppföljning på området vård och
	omsorg.........................................................................	421
	15.4.3 Annan verksamhetsuppföljning över vårdgivar-
	gränser .........................................................................	423
	15.4.4 Sammanfattning..........................................................	425
16	Kvalitetsregister .......................................................	427
16.1	Vårt uppdrag...........................................................................	427
16.2	Om kvalitetsregisterföring ....................................................	428
16.3	Dagens reglering ....................................................................	436
16.4	Våra överväganden .................................................................	438
	16.4.1 Behovet av särbestämmelser ......................................	438
	16.4.2 Kvalitetsregisters ändamål..........................................	442
	16.4.3 Personuppgiftsansvar .................................................	446
	16.4.4 Kvalitetsregisters innehåll ..........................................	450
	16.4.5 Den enskildes inställning ...........................................	452
	16.4.6 Information.................................................................	457
	16.4.7 Direktåtkomst.............................................................	459
	16.4.8 Bevarande och gallring................................................	460
	16.4.9 Övrigt ..........................................................................	462

Innehåll	SOU 2006:82
16.5	Sekretessfrågor .......................................................................	462
	16.5.1 Överföring av uppgifter i kvalitetsregister-
	rapporteringen.............................................................	463
	16.5.2 Kvalitetsregister och statistiksekretessen..................	469
16.6	Internationellt samarbete.......................................................	483
17	Patientuppgifter och forskning inom hälso- och
	sjukvårdsområdet......................................................	487
17.1	Inledning.................................................................................	487
17.2	Medicinsk forskning m.m......................................................	487
17.3	Dagens reglering.....................................................................	490
	17.3.1 Bestämmelser om personuppgiftsbehandling ...........	490
	17.3.2 Bestämmelser om sekretess och tystnadsplikt..........	492
17.4	Våra överväganden .................................................................	495
	17.4.1 Ändamål.......................................................................	495
	17.4.2 Direktåtkomst till uppgifter vid sammanhållen
	journalföring för forskningsändamål.........................	496
18	Allmänna frågor och bestämmelser.............................	499
18.1	Information till den registrerade ...........................................	499
18.2	Personuppgiftslagens regler om rättelse och skadestånd.....	506
	18.2.1 Rättelse ........................................................................	506
	18.2.2 Skadestånd ...................................................................	509
18.3	Bevarande och gallring ...........................................................	510
18.4	Säkerheten vid behandling och tillsynsmyndighetens
	befogenheter ...........................................................................	514
18.5	Ytterligare föreskrifter ...........................................................	517
18.6	Utlämnande av journalhandling som har samband med
	vävnadsprov i biobank............................................................	519
19	Ikraftträdande- och övergångsbestämmelser ................	521

SOU 2006:82		Innehåll
20	Konsekvenser av våra förslag .....................................	523
20.1	Ekonomiska konsekvenser....................................................	523
20.2	Konsekvenser för små företags villkor .................................	525
20.3	Andra konsekvenser ..............................................................	526
21	Författningskommentar .............................................	527
21.1	Förslaget till patientdatalag ...................................................	527
21.2	Förslaget till lag om ändring i sekretesslagen (1980:100) ...	591
21.3	Förslaget till lag om ändring i lagen (2001:499) om
	omskärelse av pojkar..............................................................	599
21.4	Förslaget till lag om ändring i lagen (2002:297) om
	biobanker i hälso- och sjukvården m.m................................	599
21.5	Förslaget till lag om ändring i lagen (2005:225) om
	rättsintyg i anledning av brott...............................................	600
Särskilda yttranden ..........................................................		603
BILAGOR
1	Kommittédirektiv 2003:42 ....................................................	609
2	Kommittédirektiv 2004:95 ....................................................	621
3	Kommittédirektiv 2005:150 ..................................................	637
4	Sammanfattning av vår attitydundersökning .......................	643
5	Lathund...................................................................................	645

Sammanfattning

Inledning

Våra förslag innefattar en sammanhängande reglering av personupp- giftsbehandlingen inom hälso- och sjukvården i en helt ny lag, patient- datalagen. Den föreslagna regleringen innebär att patientjournallagen (1985:562) och lagen (1998:544) om vårdregister (vårdregisterlagen) ersätts av den nya lagen. I denna lag, som gäller för alla vårdgivare oavsett huvudmannaskap, regleras bl.a. sådana frågor som skyldig- heten att föra patientjournal, inre sekretess och elektronisk åtkomst i en vårdgivares verksamhet, utlämnande av uppgifter och handlingar genom direktåtkomst eller på annat elektroniskt sätt samt natio- nella och regionala kvalitetsregister. Härutöver föreslår vi ändringar i bl.a. sekretesslagstiftningen på hälso- och sjukvårdens område.

Författningsförslagen har delvis karaktär av ramlagstiftning, som anger vilka grundläggande principer som skall gälla för informations- hanteringen avseende uppgifter om patienter inom all hälso- och sjuk- vård. Den närmare regleringen i vissa generella frågor skall således kunna meddelas i förordning eller, efter regeringens bemyndigande, i myndighetsföreskrifter. Förslagen kan ses som en del av den pro- cess som nu pågår för att med bl.a. hjälp av IT få till stånd en bättre samverkan mellan hälso- och sjukvårdens aktörer och en starkare patientorientering i verksamheten. Den centrala utgångspunkten för förslagen är att skapa en reglering som möjliggör både en ökad patientsäkerhet och ett starkt integritetsskydd. Detta förutsätter att man inte överger principen om att hälso- och sjukvård skall bygga på respekt för patientens självbestämmande och integritet. I förläng- ningen riskerar man annars att medborgarnas förtroende för hälso- och sjukvården minskar.

Sammanfattning

SOU 2006:82

Förslaget till patientdatalag

Lagens tillämpningsområde, m.m.

Patientdatalagen gäller i vårdgivares kärnverksamhet

Patientdatalagen skall tillämpas vid behandling av personuppgifter i vårdgivares kärnverksamhet som avser tillhandahållande av hälso- och sjukvård inklusive tandvård åt patienter. Med vårdgivare avses statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvård som myndigheten, landstinget eller kommunen har ansvar för samt annan juridisk eller fysisk person som yrkesmässigt bedriver hälso- och sjukvård.

All automatiserad behandling och viss manuell behandling av person- uppgifter omfattas

Tillämpningsområdet för patiendatalagen omfattar all helt eller delvis automatiserad behandling av personuppgifter samt manuell behand- ling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sök- ning eller sammanställning enligt särskilda kriterier. Regleringen är således inte begränsad till särskilda datoriserade register, databaser eller andra elektroniska uppgiftssamlingar inom hälso- och sjukvår- den. Vissa särbestämmelser finns dock beträffande nationella och regionala kvalitetsregister, se nedan. Patientdatalagen kompletterar personuppgiftslagen (1998:204), vilket innebär att när reglering sak- nas i patientdatalagen kommer personuppgiftslagens bestämmelser att vara tillämpliga. Vissa bestämmelser i lagen, bl.a. sådana som rör dokumentation m.m. i patientjournaler, gäller även om behandlingen sker helt manuellt utan att personuppgifterna ingår i eller avses ingå i någon strukturerad uppgiftssamling. I tillämpliga delar gäller lagen också vid behandling av uppgifter om avlidna.

Personuppgiftslagens regler gäller när verksamhet inte omfattas av patientdatalagen

Personuppgiftsbehandling i verksamhet som faller utanför patient- datalagens tillämpningsområde regleras precis som i dag av person- uppgiftslagen. Till sådan verksamhet hör t.ex. verksamhet vid patient-

SOU 2006:82

Sammanfattning

nämnder eller läkemedelskommittéer. Även hos en vårdgivare som omfattas av lagens tillämpningsområde förekommer personuppgifts- behandling som faller utanför lagens tillämpningsområde. Så är exem- pelvis fallet i den rent administrativa verksamheten som saknar direkt koppling till patientverksamheten. Sådan särskild personuppgifts- behandling som sker uteslutande för forskningsändamål eller ut- bildningsändamål faller också utanför patientdatalagens tillämpnings- område.

Ändamål för personuppgiftsbehandlingen, m.m.

Ändamål

De ändamål för vilka personuppgifter enligt den föreslagna lagen får samlas in och även i övrigt behandlas inom hälso- och sjukvår- den är:

1.patientjournalföring och annan dokumentation som behövs i och för vården av patienter eller som behövs för administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall (Vårddoku- mentation),

2.utförande av annan dokumentation som följer av lag, förord- ning eller annan författning,

3.systematisk och fortlöpande utveckling och säkring av hälso- och sjukvårdens kvalitet (Kvalitetssäkring),

4.administration, planering, uppföljning, utvärdering och tillsyn av hälso- och sjukvårdsverksamheten och

5.framställning av statistik rörande hälso- och sjukvård

Dessutom får personuppgifter som behandlas för ändamål enligt punkterna 1–5 behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller den s.k. finalitetsprincipen i 9 § första stycket d personuppgiftslagen. Det innebär att personuppgifter som redan finns i hälso- och sjukvårds- verksamheten får behandlas för andra ändamål än dem för vilka de har samlats in under förutsättning att de nya ändamålen är förenliga med de tidigare ändamålen.

Sammanfattning

SOU 2006:82

Samkörning

Några särskilda bestämmelser om samkörning föreslås inte. Sam- körning är alltså tillåten förutsatt bl.a. att den faller inom ramen för något eller några av de ändamål som anges i patientdatalagen.

Personuppgiftsansvar

I patientdatalagen anges att en vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som den utför. I landsting och kommuner är en myndighet personuppgiftsansvarig för den be- handling av personuppgifter som myndigheten utför. I lagen finns också vissa särskilda bestämmelser om personuppgiftsansvar vid sammanhållen journalföring och vid registerföring i nationella och regionala kvalitetsregister.

Personuppgifter som får behandlas

Endast sådana personuppgifter som behövs för det ändamål för vilket personuppgiftsbehandlingen utförs får behandlas enligt patientdata- lagen. I lagen klargörs att uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen får behandlas även i privata vård- givares verksamhet. I övrigt föreslås inga särbestämmelser om sådana personuppgiftskategorier som särregleras i personuppgiftslagen.

Den enskildes inställning till personuppgiftsbehandlingen

I patientdatalagen föreskrivs att personuppgiftsbehandling enligt lagen får ske även om den enskilde motsätter sig personuppgifts- behandlingen. Undantag från denna huvudregel kan gälla enligt lag eller förordning. Några sådana undantag följer av patientdatalagen. Dessa undantag avser situationer, förenklat uttryckt, då den enskilde ges möjlighet att förhindra att uppgifter om honom eller henne sprids inom hälso- och sjukvården. Vidare klargörs att även sådan personuppgiftsbehandling som går utöver vad patientdatalagen tillåter får utföras, om den enskilde uttryckligen samtycker till det och inte annat följer av andra bestämmelser i patientdatalagen eller av annan lag eller förordning.

SOU 2006:82

Sammanfattning

Begränsningar för sökbegrepp

Känsliga personuppgifter som avses i 13 § personuppgiftslagen samt personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får enligt patientdatalagen inte användas som sökbegrepp. Inte heller får uppgifter om att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgärder enligt utlännings- lagen (2005:716) användas som sökbegrepp.

Undantag från förbuden gäller dock i fråga om uppgifter som rör hälsa eller uppgifter om att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård. Sådana uppgifter får alltså an- vändas som sökbegrepp, om det behövs för något tillåtet ändamål. Vidare kan, om regeringen föreskriver om det, ett landsting eller en kommun få använda personuppgifter om etnicitet samt att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgärder enligt utlänningslagen som sökbegrepp för att göra vissa slags sammanställningar.

En ny reglering av patientjournalföringen

Vi föreslår att åtskilliga bestämmelser i patientjournallagen förs över i huvudsak oförändrade till patientdatalagen. Detta gäller bestäm- melserna om krav på journalföring, om vem som är skyldig att föra patientjournal, om skyldigheten att på begäran av patienten utfärda intyg om vården, om rättelse av journaluppgifter, om journalförstö- ring, om anteckning i journalen när en journalhandling lämnas ut, om omhändertagande av patientjournaler inom den enskilda hälso- och sjukvården, om återlämnande av omhändertagna journaler, om utlämnande av uppgifter ur omhändertagna journalhandlingar, om bevarande av journalhandling och om signeringskrav. Det föreslås dock en bestämmelse som bemyndigar regeringen, eller den myndig- het som regeringen bestämmer, att meddela föreskrifter om undantag från signeringskravet. Även vissa av bestämmelserna i patientjour- nallagen om vilka uppgifter en patientjournal skall innehålla föreslås föras över till patientdatalagen. Patientjournallagens bestämmelser om att journalhandlingar som upprättas inom hälso- och sjukvården som huvudregel skall vara skrivna på svenska språket förs över till patientdatalagen.

Sammanfattning

SOU 2006:82

Vi föreslår vidare att det i patientdatalagen införs en bestäm- melse om hur mycket information som en patientjournal får inne- hålla. Bestämmelsen motsvarar nuvarande reglering i vårdregister- lagen om vad ett vårdregister får innehålla. Vi föreslår också att det skall antecknas i patientjournalen, om en patient anser att en upp- gift i journalen är oriktig eller missvisande.

En bestämmelse som delvis motsvarar patientjournallagens bestäm- melse om att uppgifter i journalhandlingar som upprättas inom hälso- och sjukvården skall utformas så att patientens integritet respekteras finns också i patientdatalagen. I patientdatalagen har bestämmelsen dock fått ett vidare tillämpningsområde och gäller all utformning av personuppgifter, således inte bara vid journalföring.

En sammanhållen journal?

Vi har bl.a. haft i uppdrag att analysera förutsättningarna för och nyttan av en för samtliga vårdgivare – inom hela Sverige eller inom ett landstingsområde – sammanhållen patientjournal för varje patient. Enligt vår bedömning saknas i dag, trots den snabba utveckling som äger rum på IT-området, grundläggande förutsättningar att införa en för samtliga vårdgivare sammanhållen journal för varje patient. Någon lagstiftning om en skyldighet att journalföra i ett sammanhållet system är därför inte genomförbar och kan inte föreslås. Vi bedömer inte heller att det nu skulle vara lämpligt att införa ett sådant obli- gatoriskt totalsystem. Enligt vår bedömning är det även osäkert om och i så fall när en sammanhållen patientjournal av mera begränsat slag skulle kunna genomföras. I linje med detta föreslås inte att det skall införas någon skyldighet att på något område föra journal över vårdgivargränser.

Vi avvisar också en nyordning som skulle innebära att patienten äger sin journal eller att journalen inte längre skall vara knuten till den vårdgivare inom vars verksamhet journalföringen sker.

Sammanhållen journalföring

Direktåtkomst för vårdgivare – sammanhållen journalföring

Vi föreslår att det i patientdatalagen införs en reglering som innebär att vårdgivare – under vissa förutsättningar – kan få direktåtkomst till varandras elektroniska journalhandlingar och andra personuppgif-

SOU 2006:82

Sammanfattning

ter som behandlas för ändamål som rör vårddokumentation. Direkt- åtkomst innebär att uppgifter lämnas ut till en extern mottagare, i detta fall en annan vårdgivare, genom att behörig personal hos den senare vårdgivaren får en möjlighet att på eget initiativ elektroniskt bereda sig tillgång till och ta del av utlämnarens uppgifter. Denna reglering gör det möjligt för sjukvårdshuvudmännen och privata vårdgivare att på frivillig väg bygga upp olika slags system för sam- manhållen journalföring. Genom den sammanhållna journalföringen ges en tillgänglighet till patientuppgifter som i praktiken låter infor- mationen följa patienterna i olika vårdkedjor och vårdprocesser. Syftet med denna ordning är i första hand att genom utnyttjande av IT öka patientnyttan i form av ökad patientsäkerhet. Patientdata- lagen styr däremot inte över vilka slags tekniska lösningar eller vilken organisatorisk uppbyggnad som väljs för sammanhållen journalföring. Enligt vår bedömning hindrar inte tryckfrihetsförordningen att hälso- och sjukvårdens myndigheter deltar i sammanhållen journal- föring.

Patientens inflytande vid sammanhållen journalföring

Vi utgår från att patienten måste ges ett inflytande när det gäller andra vårdgivares möjlighet att få tillgång till uppgifter om patien- ten via sammanhållen journalföring. Två utgångspunkter har därvid gällt. Den ena är att inflytandet skall utformas med hänsyn till respek- ten för patientens självbestämmande och integritet och att vården och behandlingen så långt möjligt skall utformas och genomföras i samråd med patienten. Den andra utgångspunkten har varit att hitta lösningar som är praktiskt smidiga och enkla att tillämpa. De får inte föranleda en administrativ börda eller annat betydande merarbete i hälso- och sjukvårdspersonalens dagliga arbete.

Med dessa utgångspunkter ges patienten redan vid det aktuella vårdtillfället som journalförs eller då uppgifter annars dokumenteras (skede 1) en rätt att – efter att ha blivit informerad om vad samman- hållen journalföring innebär – motsätta sig att vårddokumentation rörande honom eller henne görs tillgänglig för andra vårdgivare. Om patienten motsätter sig att uppgifterna görs tillgängliga via sam- manhållen journalföring, skall uppgifterna spärras för tillgänglighet för hälso- och sjukvårdspersonal m.fl. hos andra vårdgivare. Direkt- åtkomst får således inte förekomma till spärrade uppgifter. Det sagda utesluter emellertid inte att uppgifter som finns om en patient i

Sammanfattning

SOU 2006:82

undantagsfall kan lämnas till en annan vårdgivare. Då är det emeller- tid inte fråga om att uppgifter görs tillgängliga genom direktåtkomst i ett sammanhållet journalföringssytem utan att uppgifter lämnas ut på annat sätt, exempelvis muntligen, se förslaget till 7 kap. 1 d § andra stycket sekretesslagen (1980:100). Ett system för sammanhållen journalföring får däremot innehålla information om att det finns spärrade uppgifter. Sådan information kan i enskilda vårdsituationer initiera en önskvärd dialog mellan patienten och läkaren eller annan vårdpersonal. En spärr kan när som helst hävas på begäran av patien- ten.

Patienten ges vidare en rätt att själv bestämma om en vårdgivares hälso- och sjukvårdspersonal skall få ta del av en annan vårdgivares vårddokumentation som finns tillgänglig i den sammanhållna jour- nalföringen (skede 2). Det handlar här om uppgifter som inte har spärrats av patienten. Normalt kommer patientens inställning i frågan att inhämtas i anslutning till att patienten har en inledande kontakt med en ny vårdgivare.

För att en vårdgivare i skede 2 skall få bereda sig tillgång till ospär- rade uppgifter genom sammanhållen journalföring krävs att uppgifter- na kan antas ha betydelse för vården av patienten och att patienten samtycker till det. Om patientens samtycke inte kan inhämtas, får uppgifterna tas fram genom direktåtkomst om uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver.

Att patientens samtycke inte kan inhämtas kan bero på att patien- ten är medvetslös eller alltför medtagen för att kunna ta ställning till frågan om vårdgivaren skall få bereda sig tillgång till uppgifterna. Vidare kan saken brådska så att det inte finns någon tid att inhämta samtycke. En patient som motsätter sig att vårdgivaren använder direktåtkomsten skall alltid respekteras.

Den sammanhållna journalföringen får i princip inte användas för andra syften än den individinriktade patientvården. Det innebär att direktåtkomsten till andra vårdgivares uppgifter inte får användas för exempelvis kvalitetssäkring och annan medicinsk eller ekonomisk uppföljning av hälso- och sjukvården samt forskning. För allmän- hetens förtroende för den nya ordningen med sammanhållen jour- nalföring är det av vikt att den gränsöverskridande direktåtkomsten bara används för syften och i situationer som den enskilde kan förutse och ha kontroll över.

Bestämmelserna om sammanhållen journalföring reglerar samman- fattningsvis bara ett visst sätt att göra patientjournaler elektroniskt tillgängliga över organisatoriska och formella gränser utan föregående

SOU 2006:82

Sammanfattning

sekretessprövning (se nedan) i varje enskilt fall då direktåtkomsten används. Uppgifterna kan alltid begäras ut på annat sätt, varvid en sedvanlig sekretessprövning måste göras.

Personuppgiftsansvar vid sammanhållen journalföring

Även vid sammanhållen journalföring skall patientdatalagens allmänna regel om personuppgiftsansvar gälla, dvs. att varje myndighet inom hälso- och sjukvården eller privat vårdgivare är personuppgiftsansva- rig för den behandling av personuppgifter som den utför. Regeringen får dock meddela föreskrifter om personuppgiftsansvar vid samman- hållen journalföring när det gäller övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder.

Inre sekretess m.m.

Hälso- och sjukvårdspersonalens rätt att ta del av uppgifter om patienter

Den som arbetar hos en vårdgivare får enligt patientdatalagen ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården. Bestämmelsen omfattar både manuellt och elektroniskt förda patientjournaler och annan dokumentation om patienter. I lagen föreskrivs också att dokumen- terade personuppgifter skall hanteras och förvaras så att obehöriga

– exempelvis befattningshavare inom hälso- och sjukvården som inte behöver uppgifterna för sitt arbete – inte får tillgång till dem. Med hantering och förvaring avses alla slags åtgärder som vidtas beträffan- de personuppgifterna.

Krav vid elektronisk patientjournalföring och övrig elektronisk patientdokumentation

När det gäller elektronisk patientjournalföring och övrig elektro- nisk patientdokumentation finns i patientdatalagen en bestämmelse om elektronisk åtkomst som delvis motsvarar nuvarande reglering i 8 § vårdregisterlagen men som ställer tydligare krav på vårdgivaren i fråga om behörighetssystem m.m. Vårdgivaren skall bestämma vill-

Sammanfattning

SOU 2006:82

koren för hur personalen skall tilldelas behörighet för elektronisk åtkomst till uppgifter om patienter i vårdgivarens verksamhet. Reg- lerna innebär att en vårdgivare skall göra aktiva och individuella behörighetstilldelningar utifrån analyser av vilken närmare informa- tion olika personalkategorier och olika slags verksamheter behöver. Särskild uppmärksamhet skall ägnas åt tillgängligheten till skyddade personuppgifter. Närmare bestämmelser får meddelas av regeringen eller den myndighet som regeringen bestämmer. Det är förutsatt att Socialstyrelsen skall meddela dessa föreskrifter efter samråd med Datainspektionen.

Skyldighet att dokumentera elektronisk åtkomst, m.m.

En skyldighet införs också för vårdgivaren att dokumentera och kontrollera elektronisk åtkomst. Genom att vårdgivaren är skyldig att dokumentera all elektronisk åtkomst (den s.k. behandlings- historiken eller loggen) blir det möjligt att göra kontroller i efter- hand. Det räcker emellertid inte att göra uppföljningskontroller i särskilda fall då misstanke kan finnas om obehörigt intrång. Upp- följningskontroller skall göras systematiskt och fortlöpande. När- mare bestämmelser får meddelas av regeringen eller den myndighet som regeringen bestämmer. Det är förutsatt att Socialstyrelsen skall meddela dessa föreskrifter efter samråd med Datainspektionen.

En rätt för patienten att få information om åtkomst

Den enskilde patienten ges rätt att på begäran få information om vilken direktåtkomst och elektroniska åtkomst som förekommit till elektroniskt behandlade uppgifter om honom eller henne. Närmare bestämmelser om den information som skall ges till patienten får med- delas av regeringen eller den myndighet som regeringen bestämmer. Det är förutsatt att Socialstyrelsen skall meddela dessa föreskrifter efter samråd med Datainspektionen.

En rätt för patienten att spärra tillgänglighet

Den enskilde patienten ges i patientdatalagen en rätt att begära att vårddokumentation spärras för elektronisk åtkomst från andra vård- enheter alternativt vårdprocesser utanför den till vilken uppgifterna

SOU 2006:82

Sammanfattning

hör. Patienten ges genom denna regel ett inflytande över tillgäng- ligheten till uppgifter om honom eller henne inom en vårdgivares gränser. Denna möjlighet skall ses som ett utflöde av principen om att hälso- och sjukvård skall bygga på respekt för patientens själv- bestämmande och integritet och så långt det är möjligt utföras och genomföras i samråd med patienten. Spärren skall med patientens samtycke kunna hävas helt eller delvis, t.ex. i en enstaka vårdsituation. Spärren skall också kunna forceras, om patientens samtycke inte kan inhämtas och om informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver. Spärrade uppgifter kan i och för sig göras tillgängliga för annan vårdenhet eller vårdprocess på annat sätt än genom elektronisk åtkomst. Om en patient har klargjort att han eller hon inte vill att uppgifter om honom eller henne lämnas från en vårdenhet till en annan, torde dock något sådant uppgifts- lämnande inte kunna förekomma annat än i nödliknande situationer. Uppgift om att det finns spärrade uppgifter får dock vara tillgänglig för andra vårdenheter eller vårdprocesser liksom även uppgift om vilken vårdenhet eller vårdprocess som spärrat uppgifterna. Informa- tion om att det finns spärrade uppgifter om barn kan ge anledning till extra vaksamhet samt övervägande om en anmälan enligt 14 kap. 1 § socialtjänstlagen (2001:453) skall göras till socialnämnden för att barnet skall få erforderligt skydd.

Direktåtkomst för patienten

Genom patientdatalagen får en vårdgivare medge en enskild direkt- åtkomst till sådana uppgifter om den enskilde själv som får lämnas ut till honom eller henne och som behandlas för ändamålet vårddoku- mentation. Direktåtkomsten innebär att den enskilde själv elektro- niskt kan bereda sig tillgång till informationen. Regleringen innebär inget åliggande för en vårdgivare att tillhandahålla enskilda direkt- åtkomst utan endast en möjlighet till detta. Det är förutsatt att den som begär och medges åtkomst till sina uppgifter också informeras om vart han eller hon kan vända sig för att få hjälp med att tyda dessa. En direktåtkomst behöver inte innebära en tillgång till samtliga upp- gifter om den enskilde. Den enskilde får också medges direktåtkomst till dokumentation avseende elektronisk åtkomst till uppgifter om den enskilde (den s.k. behandlingshistoriken eller loggen).

Regeringen, eller den myndighet som regeringen bestämmer, be- myndigas att meddela föreskrifter om de krav på säkerhetsåtgärder

Sammanfattning

SOU 2006:82

som skall gälla vid direktåtkomst. En direktåtkomst förutsätter att det finns tillräckligt säkra tekniska lösningar för att säkerställa identifieringen av den som efterfrågar uppgifter. Det är tänkt att Socialstyrelsen efter samråd med Datainspektionen skall meddela sådana föreskrifter.

Verksamhetsuppföljning

Verksamhetsuppföljning är av central betydelse för hälso- och sjuk- vårdens utveckling. Med verksamhetsuppföljning åsyftar vi i princip samma sak som avses med ”uppföljning, utvärdering och kvalitets- säkring” i 4 § 2 vårdregisterlagen. Verksamhetsuppföljning kan ta sikte på en mängd olika faktorer inom hälso- och sjukvården, t.ex. mätning av uppnådda behandlingsresultat och patienttillfredsställelse eller mätning av insatta resurser i form av kostnader för varje insats eller annan uppföljning av kostnadseffektivitet, produktivitet etc. Verksamhetsuppföljning kan vidare ske på olika nivåer i hälso- och sjukvården.

Våra förslag innebär sammantaget ökade möjligheter när det gäller medicinsk, ekonomisk och annan verksamhetsuppföljning inom hälso- och sjukvården jämfört med i dag. Verksamhetsuppföljning är enligt patientdatalagen ett primärt ändamål och olika uppgifter om patienter kan samköras så länge det sker inom de ramar som ges av patientdatalagen och sekretesslagstiftningen. Vidare innebär patient- datalagen att myndigheter som bedriver hälso- och sjukvård i samma landsting får ha direktåtkomst till varandras personuppgifter. Som framgår nedan föreslår vi också att hälso- och sjukvårdssekretessen inte skall hindra att uppgifter lämnas från en myndighet inom hälso- och sjukvården i en kommun eller ett landsting till en annan sådan myndighet i samma kommun eller landsting. Även uppföljning av hälso- och sjukvårdens samverkan med kommunernas omsorgs- verksamhet underlättas genom regleringen i patientdatalagen jämfört med den nuvarande regleringen i vårdregisterlagen. Vi föreslår också vissa bestämmelser om verksamhetsuppföljning genom nationella och regionala kvalitetsregister, se nedan.

SOU 2006:82

Sammanfattning

Nationella och regionala kvalitetsregister

Ändamål för behandling av personuppgifter i ett kvalitetsregister

Det är en central uppgift inom hälso- och sjukvården att systema- tiskt och fortlöpande utveckla och säkra verksamhetens kvalitet. Inom hälso- och sjukvården förekommer olika metoder att mäta och utveckla kvaliteten i verksamheten. En metod är att samla och analy- sera patientbundna data om diagnoser, åtgärder och behandlings- resultat m.m. i datoriserade kvalitetsregister. Vi har haft i uppdrag att föreslå en författningsreglering av personuppgiftsbehandlingen i nationella kvalitetsregister inom hälso- och sjukvården.

I patientdatalagen finns vissa särbestämmelser som gäller för kvali- tetsregister till vilka personuppgifter har samlats in från flera vårdgi- vare och som möjliggör jämförelser inom hälso- och sjukvården på nationell respektive regional nivå. I lagen regleras uttömmande för vilka ändamål som personuppgifter i sådana kvalitetsregister får behandlas. Personuppgifter får samlas in och behandlas för det över- gripande och primära syftet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Insamlade personuppgifter får därutöver även behandlas för vissa andra ändamål, nämligen bl.a. framställning av statistik eller forskning inom hälso- och sjukvårdsområdet.

Personuppgifter som får behandlas

I patientdatalagen förtydligas att det bara är sådana uppgifter som behövs för det primära ändamålet kvalitetssäkring av vård som får tas in i ett nationellt eller regionalt kvalitetsregister.

Vidare anges i lagen att den registrerades personnummer eller namn får behandlas i ett nationellt eller regionalt kvalitetsregister endast om det för kvalitetssäkringsändamålet inte är tillräckligt att behandla kodade personuppgifter eller personuppgifter som endast indirekt utpekar den registrerade.

Känsliga personuppgifter som avses i 13 § personuppgiftslagen och som inte rör hälsa samt personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får behandlas endast om regeringen, eller den myndighet som regeringen bestämmer, i enskilda fall med- ger det.

I patientdatalagen införs en bestämmelse som – till skillnad från vad som i dag gäller enligt personuppgiftslagen – ger den enskilde en rätt att slippa bli registrerad i ett nationellt eller regionalt kvali-

Sammanfattning

SOU 2006:82

tetsregister. Denna rätt gäller även efter det att personuppgifts- behandlingen har påbörjats. Om den enskilde motsätter sig person- uppgiftsbehandlingen sedan den påbörjats, skall uppgifter om den enskilde som registrerats utplånas ur registret.

Allmänna frågor och bestämmelser

Allmänna bestämmelser om information

Den som är personuppgiftsansvarig enligt patientdatalagen skall se till att den registrerade får information om personuppgiftsbehand- lingen. Personuppgiftslagens bestämmeler om information gäller även vid behandling av personuppgifter enligt patientdatalagen. I 25 § personuppgiftslagen anges vilken information som den personupp- giftsansvarige självmant skall lämna till den registrerade. Denna informationsskyldighet preciseras i patientdatalagen.

Informationen skall innehålla upplysningar om vem som är per- sonuppgiftsansvarig, ändamålet med behandlingen och vilka kate- gorier av uppgifter som behandlas. Informationen skall även innehålla upplysningar om den uppgiftsskyldighet som kan följa av lag eller förordning, de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen, rätten att i vissa fall begära att upp- gifter spärras, rätten att få information om den direktåtkomst och elektroniska åtkomst som förekommit till uppgifter, rätten att ta del av uppgifter enligt 26 § personuppgiftslagen, rätten enligt 28 § samma lag till rättelse av oriktiga eller missvisande uppgifter och rätten enligt 48 § samma lag till skadestånd. Vidare skall informationen innehålla upplysningar om vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automa- tiserad behandling samt vad som gäller i fråga om bevarande och gallring. Slutligen skall informationen innehålla upplysningar om huruvida behandlingen är frivillig eller inte.

Information vid sammanhållen journalföring

I det fall en vårdgivare deltar i ett sammanhållet journalförings- system skall den registrerade även informeras om vad den samman- hållna journalföringen innebär och om att han eller hon kan motsätta sig att hans eller hennes patientuppgifter görs tillgängliga för andra vårdgivare genom sammanhållen journalföring.

SOU 2006:82

Sammanfattning

Information om personuppgiftsbehandling i nationella och regionala kvalitetsregister

Den enskilde skall informeras om personuppgiftsbehandlingen i ett nationellt eller regionalt kvalitetsregister. Denna informationsskyl- dighet följer av patientdatalagens allmänna bestämmelse om infor- mation som skall lämnas den enskilde och av personuppgiftslagen. Därutöver föreslås att den registrerade särskilt skall upplysas om sin rätt att när som helst få uppgifter om sig själv utplånade från registret. Vidare skall den enskilde informeras om i vilken utsträckning per- sonuppgiftsbehandlingen avser uppgifter inhämtade från annan källa än patientjournalen eller patienten själv, t.ex. om uppgifter inhämtas genom samkörning med andra register. Dessutom föreslås att den registrerade särskilt skall informeras om till vilka kategorier av mot- tagare personuppgifter kan komma att lämnas ut, t.ex. att det kan bli aktuellt att uppgifterna lämnas ut för forskningsändamål. Infor- mationen skall lämnas innan personuppgiftsbehandlingen påbörjas eller, om det inte är möjligt, så snart det kan ske.

Rättelse

Personuppgiftslagens bestämmelser om rättelse gäller vid sådan be- handling av personuppgifter som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier och som sker enligt patient- datalagen. I sistnämnda lag görs en hänvisning till personuppgifts- lagens regler om rättelse.

När det gäller rättelse av uppgifter i journalhandlingar har patient- datalagens bestämmelser om rättelse av journaluppgifter företräde.

Skadestånd

Personuppgiftslagens bestämmelser om skadestånd gäller vid sådan behandling av personuppgifter som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sam- manställning enligt särskilda kriterier och som utförts i strid mot patientdatalagens bestämmelser om personuppgiftsbehandling. I sist-

Sammanfattning

SOU 2006:82

nämnda lag görs en hänvisning till personuppgiftslagens regler om skadestånd.

Säkerhet

Personuppgiftslagens bestämmelser om säkerheten vid behandling och tillsynsmyndighetens befogenheter gäller också när personupp- gifter behandlas enligt patientdatalagen. Därutöver anges i patient- datalagen vilka säkerhetsåtgärder som i vissa fall skall vidtas. Bestäm- melser av sistnämnt slag rör bl.a. tilldelningen av behörighet för elektronisk åtkomst och kontrollen av denna.

Tillsynsmyndigheter

Datainspektionen är tillsynsmyndighet även då personuppgifter be- handlas enligt patientdatalagen. Tillsynen över att journalföring sker på föreskrivet sätt skall dock alltjämt utövas av Socialstyrelsen.

Ikraftträdande- och övergångsbestämmelser

Patientdatalagen och de ändringar i andra författningar som före- slås skall träda i kraft den 1 januari 2008.

När patientdatalagen träder i kraft skall patientjournallagen och vårdregisterlagen upphöra att gälla.

Patientdatalagens bestämmelser om nationella och regionala kvali- tetsregister skall inte börja tillämpas förrän den 1 januari 2009 i fråga om sådana kvalitetsregister som börjat föras före patientdatalagens ikraftträdande. Vidare skall bestämmelserna om den enskildes rätt att motsätta sig personuppgiftsbehandling i sådana kvalitetsregister och om information om sådan personuppgiftsbehandling inte gälla be- träffande sådana personuppgifter som behandlats före den 1 januari 2009.

Förslaget till lag om ändring av sekretesslagen

Vi föreslår, som sagts ovan, att det införs en sekretessbrytande be- stämmelse som i praktiken undanröjer hälso- och sjukvårdssek- retessen mellan olika myndigheter inom hälso- och sjukvården i

SOU 2006:82

Sammanfattning

samma landsting eller kommun. Syftet med undantaget är att sekre- tesslagstiftningen inte skall hindra organisationsförändringar inom hälso- och sjukvården. Undantaget gör det möjligt för exempelvis ett landsting att fritt välja sin organisation utan hänsyn till att sek- retess i princip råder mellan myndigheter och kommer också att öka möjligheterna till verksamhetsuppföljning baserad på patientdata. Undantaget har tagits in i en ny paragraf, 7 kap. 1 d §, i sekretess- lagen (1980:100).

Sammanhållen journalföring innebär, som sagts ovan, att myndig- heter inom hälso- och sjukvården och privata vårdgivare under vissa förutsättningar kan få direktåtkomst till varandras elektroniska jour- nalhandlingar och andra personuppgifter som behandlas för ändamål som rör vårddokumentation. För att den vårdgivare som gör uppgif- ter tillgängliga för andra vårdgivare vid sammanhållen journalföring inte skall behöva göra någon sekretessprövning i varje enskilt fall, föreslås ett undantag i den nya paragrafen 7 kap. 1 d § sekretess- lagen från hälso- och sjukvårdssekretessen. Undantaget innebär att sekretessen inte hindrar att en uppgift lämnas till en myndighet inom hälso- och sjukvården eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen. Skyd- det för den enskildes personliga integritet vid sammanhållen jour- nalföring är tillgodosett genom patientdatalagens regler om bl.a. patientens inflytande vid sådan journalföring. Något motsvarande undantag som det i sekretesslagen behövs inte för den enskilda hälso- och sjukvården.

Ett undantag från hälso- och sjukvårdssekretessen föreslås också i 7 kap. 1 d § sekretesslagen som gör det möjligt att lämna uppgifter till ett nationellt eller regionalt kvalitetsregister enligt patientdata- lagen

Vi har gjort den bedömningen att det av patientsäkerhetsskäl be- hövs en bestämmelse om sekretessgenombrott inom vård- och om- sorgsområdet för att en enskild skall kunna få nödvändig vård, omsorg etc. Vi föreslår därför att det införs ett undantag från hälso- och sjukvårdssekretessen som innebär att sekretess inte hindrar att en uppgift om en enskild som behövs för att han eller hon skall få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller socialtjänsten eller till en enskild vård- givare eller en enskild verksamhet på socialtjänstens område. En för- utsättning för sådant uppgiftslämnande är att den enskilde på grund av sitt hälsotillstånd eller av annat skäl inte kan samtycka till att

Summary

Introduction

Our proposals involve the cohesive regulation of the processing of personal data within the health and medical care services in a com- pletely new act, the Patient Data Act. The proposed rules mean that the Patient Records Act (1985:562) and the Health Care Register Act (1998:544) are replaced by the new Act. The new Act, which applies to all care providers, regardless of who is the manager, regulates, among other things, such issues as the obligation to keep patient records, internal secrecy and electronic access within a care provider's operation, the disclosure of data and documents through direct access or by other electronic means, and national and regional quality registers. Moreover, we propose amendments to, among other things, the secrecy legislation within the area of the health and medical care services.

This statutory proposal partially has the character of framework legislation and specifies the fundamental principles to apply for in- formation management regarding data on patients within all health and medical care services. It should be possible to make more de- tailed regulations on certain general issues through ordinances or, following authorisation by the Government, through public authority regulation. These proposals may be viewed as part of the ongoing process to, with the aid of IT, establish better cooperation between the stakeholders in the health and medical care services and improve patient orientation in the operation. The central point of departure for the proposals is to establish regulation that facilitates both enhanced patient security and strong protection of privacy. A precondition for this is that we do not abandon the principle that health and medical care should be based on respect for the patients' self-determination and privacy. There would otherwise be a risk of citizens losing confidence in the health and medical care services over time.

Summary

SOU 2006:82

The proposed Patient Data Act

Scope of the Act, etc.

The Patient Data Act applies to the core operations of care providers

The Patient Data Act will be applied when processing personal data in the care provider's core operation, which means the provision of health and medical care for patients, including dental care. A 'care provider' refers to a government authority, county council and municipality as regards such health and medical care services that the authority, county council or municipality are responsible for and also other legal or natural persons who professionally conduct health and medical care.

All automated processing and certain manual processing of personal data is covered

The scope of the Patient Data Act completely or partially embraces the processing of personal data and the manual processing of per- sonal data that is included in, or is intended to be included in, a structured compilation of personal data that is available for searching or compilation according to special criteria. This regulation is con- sequently not limited to special computerised registers, databases or other electronic compilations of data within the health and medical care services. However, there are certain special provisions regarding national and regional quality registers; see below. The Patient Data Act supplements the Personal Data Act (1998:204), which means that when the Patient Data Act does not contain any relevant rules, the provision of the Personal Data Act will apply. Certain provisions of the Act, among other things, those relating to documentation etc. contained in patient records, also apply if the processing is con- ducted entirely manually without the personal data forming part or being intended to form part of any structured compilation of data. In appropriate parts, the Act shall also apply in relevant respects to the processing of data relating to deceased persons.

SOU 2006:82

Summary

The rules of the Personal Data Act apply when the operation is not covered by the Patient Data Act

The processing of personal data in operations that fall outside the scope of the Patient Data Act should be regulated in precisely the same way as they currently are by the Personal Data Act. Such ope- rations include, for example, operations conducted by patient boards and pharmaceutical committees. There are care providers within the scope of the Act who also process personal data that falls outside the scope of the Act. For instance, such data may relate to purely administrative operations that are not directly linked to the patient operation. Such special personal data processing that occurs ex- clusively for the purposes of research or education consequently falls outside the scope of the Patient Data Act

The purpose of the processing of personal data, etc.

Purpose

The purposes for which personal data, according to the proposed Act, may be gathered and also otherwise processed within health and medical care services are:

1.maintenance of patient records and other documentation that is necessary for the care of patients or that is necessary for admi- nistration relating to patients and aims to afford care in a parti- cular case or which otherwise results from care in an individual case (Care documentation),

2.preparation of other documentation, as prescribed by act, ordi- nance or other legislation,

3.systematic and ongoing development and assurance of the quality of the health and medical care services (Quality assurance),

4.administration, planning, follow-up, evaluation and supervision of the health and medical care operations, and

5.preparation of statistics relating to health and medical care.

In addition to this, personal data processed for purposes according to items 1–5 may be processed to satisfy the provision of data re- quired to comply with act or ordinance. Otherwise, the 'principle of finality' contained in Section 9, first paragraph, item d of the Personal Data Act applies. This means that personal data that al-

Summary

SOU 2006:82

ready exists in health and medical care service operations may be processed for purposes other than those for which they have been gathered, subject to the precondition that the new purposes are compatible with the previous purposes.

Combined runs

No special provisions on combined runs are proposed. Combined runs are consequently permitted provided, among other things, they fall within the frame of one or more of the purposes stated in the Patient Data Act.

Personal data liability

The Patient Data Act states that a care provider is the personal data controller for the processing of personal data conducted. At the county councils and municipalities, an authority is the personal data controller for the processing of personal data that the authority con- ducts. The Act also contains certain special provisions on personal data liability in the case of the maintenance of composite records and in the case of the maintenance of registers in the national and regional quality register.

Personal data that may be processed

Only such personal data as is necessary for the purpose for which the processing of personal data is conducted may be processed accor- ding to the Patient Data Act. It is made clear in the Act that data about legal offences etc., as referred to in Section 21 of the Personal Data Act, may also be processed in the operations of private care providers. Otherwise, no special provision is proposed regarding such personal data categories as are specially regulated by the Personal Data Act.

The position of the individual on the processing of personal data

It is prescribed in the Patient Data Act that the processing of personal data under the Act may also occur even if the individual opposes the processing of personal data. There may be exemptions to this

SOU 2006:82

Summary

main rule according to act or ordinance. The Patient Data Act pro- vides for some such exemptions. Put simply, these exemptions relate to situations where an individual is given an opportunity to impede data about them being disseminated within the health and medical care services. It is also made clear that processing of personal data extending beyond that allowed by the Patient Data Act may also be conducted, provided the individual has explicitly consented to such processing and unless otherwise prescribed by other provisions of the Patient Data Act or by another act or ordinance.

Restrictions on search terms

According to the Patient Data Act, sensitive personal data, as re- ferred to in Section 13 of the Personal Data Act, and personal data on legal offences, etc., as referred to in Section 21 of the same Act, may not be used as search terms. Nor may data about someone having received assistance or other measures within the social ser- vices or having been the subject of measures under the Aliens Act (2005:716) be used as search terms.

However, there are exemptions from this prohibition regarding data relating to health or data about someone having been the subject of compulsory intervention under the Compulsory Mental Care Act (1991:1128) or the Act on Forensic Psychiatric Care (1991:1129). Such data may consequently be used as search terms if this is necessary for any permitted purpose. Furthermore, provided the Government makes rules on the matter, a county council or municipality may use personal data on ethnicity and data on some- one having received assistance or other initiatives within the social services or been the subject of measures under the Aliens Act as a search term in order to effect certain kinds of compilations.

New regulation of the maintenance of patient records

We propose that the numerous provisions contained in the Patient Records Act are transferred basically unchanged to the Patient Data Act. This applies to provisions regarding: requirements to maintain records; on who is liable to keep patient records; on the obligation to issue a certificate concerning care on the request of the patient; on correction of record information; on the destruction of records;

Summary

SOU 2006:82

on notes in records where a record is disclosed and the taking into care of patient records within the private health and medical care services; on the return of records taken into care; on the preservation of records; and signing requirements. However, a provision is pro- posed authorising the Government, or the authority appointed by the Government, to make regulations on exemptions from the signing requirement. It is also proposed that some of the provisions con- tained in the Patient Records Act on what information a patient record should contain should be transferred to the Patient Data Act. The provisions of the Patient Records Act, providing for records drawn up within the health and medical care services to be, as a main rule, written in Swedish, are transferred to the Patient Data Act.

We further propose that a provision be introduced to the Patient Data Act regarding what a patient record may contain. This provision corresponds to the current rule contained in the Health Care Register Act about what a health care register may contain. We also propose that if a patient considers information in the record to be incorrect or misleading, that this should be noted in the patient record.

The Patient Data Act also contains a provision corresponding in part with the provision contained in the Patient Records Act about information in patient records drawn up by the health and medical care services being formulated so that the privacy of the patient is respected. However, in the Patient Data Act, the provision has been given a wider scope and applies to all formulation of personal data; that is to say not just in connection with maintaining records.

A composite record?

We have, among other things, been directed to analyse the con- ditions for and the benefit of all care providers – throughout Sweden or within a county council district – having a composite patient record for each patient. Notwithstanding the rapid development taking place within the IT sector, the fundamental preconditions do not currently prevail in our opinion for the introduction of a com- posite record for each patient for all care providers. Legislation on an obligation to maintain records in a composite system are there- fore not feasible and cannot be recommended. Nor do we consider that it would be appropriate at this moment in time to introduce such a mandatory comprehensive system. In our opinion, it is also

SOU 2006:82

Summary

uncertain whether, and in that case when, composite patient records of a more limited kind could possibly be arranged. In line with this, it is not proposed that any obligation should be introduced to main- tain records across care provider boundaries in any area.

We also reject a new system that would entail the patient owning their record or that the record should no longer be linked to the care provider in whose operation the maintenance of the records occurs.

Maintenance of composite records

Direct access for care provider – maintaining composite records

We propose that a rule be introduced into the Patient Data Act whereby care providers – subject to certain conditions – may gain direct access to each other's electronic records and other personal data that is processed for purposes relating to care documentation. 'Direct access' means that data is disclosed to an external recipient, in this case another care provider, by authorised personnel at the latter care provider being given the opportunity to, on their own initiative, make arrangements for and gain electronic access to data held by the releasing party. This regulation makes it possible for health care managers and private care providers to develop different kinds of systems for the maintenance of composite records. Through the maintenance of composite records, accessibility is provided to patient data that in practice allows the information to follow the patient in various care chains and care processes. The aim of this system is pri- marily to, through the use of IT, enhance patient benefit in the form of increased patient security. However, the Patient Data Act does not regulate the kinds of technical solutions or organisational structure chosen for the maintenance of composite records. In our opinion, the Freedom of the Press Act does not impede the authorities of the health and medical care services participating in the maintenance of composite records.

The patient's influence in the maintenance of composite records

Our point of departure is that the patient must be provided with influence regarding the possibility of other care providers gaining access to data through the maintenance of composite records. Two

Summary

SOU 2006:82

points of departure have applied in this connection. One was that influence should be formulated taking into consideration respect for the patient's self-determination and privacy and that the care and processing should, as far as possible, be formulated and implemen- ted in consultation with the patient. The other point of departure was to find solutions that are practically flexible and easy to apply. They should not give rise to administrative burdens or other signifi- cant additional work in the course of the daily work of the health and medical care services' personnel.

Applying these points of departure, the patient, already at the time of the relevant care regarding which a record is kept or when the data is otherwise documented (Phase 1), is afforded a right – after having been informed about what the maintenance of composite records means – to oppose care documentation relating to them being made available to other care providers. If the patient opposes the data being made available via the maintenance of composite records, access to the data shall be restricted for health and medical care per- sonnel and others at other care providers. Direct access may con- sequently not be gained to restricted data. However, this does not exclude data about a patient being disclosed to another care provider in exceptional cases. However, this issue does not involve data being made available through direct access in a system for the maintenance of composite records, but that data is disclosed in another way, for example, verbally; see proposal for Chapter 7, Section 1d, second paragraph of the Secrecy Act (1980:100). However, a system for the maintenance of composite records may contain information that there is restricted information. Such information may in individual care situations prompt appropriate dialogue between the patient and the physician or other care personnel. A restriction can be revoked at any time at the patient's request.

The patient is also given the right to personally determine whether a care provider's health and medical care personnel should be per- mitted to use their access to get data from the care documentation of another care provider that is available in the composite records kept (Phase 2). This involves data that has not been restricted by the patient. Normally the patient's position regarding the matter will be ascertained in conjunction with the patient's initial contact with a new care provider.

In order for a care provider at Phase 2 to be able to be afforded access to unrestricted data through the maintenance of composite records, it is necessary that the data may be assumed to be of signi-

SOU 2006:82

Summary

ficance for the care of the patient and that the patient consents to such access. If the patient's consent cannot be obtained, the data may be obtained through direct access if the data may be assumed to be of significance for the care that the patient necessarily needs.

The fact that the patient's consent cannot be obtained may result from the patient being unconscious or in far too serious a condition to adopt a position on whether the care provider should be afforded access to the data. Furthermore, the matter may be so urgent that there is no time to obtain consent. A patient who opposes the care provider using direct access should always be respected.

The maintenance of composite records may in principle not be used for purposes other than for individually oriented patient care. This means, for instance, that direct access to the data of other care providers may not be used for quality assurance and other medical and financial follow-up of health and medical care services and re- search. To maintain the confidence of the public in the new system for the maintenance of composite records, it is important that cross- border direct access is only used for purposes and in situations that the individual can anticipate and have control over.

In summary, the provisions on the maintenance of composite re- cords only regulate a certain way of making the patient records available electronically across formal organisational boundaries with- out preceding consideration of secrecy (see below) in each individual case when direct access is used. It can always be requested that the data is released in another way, in which connection the customary consideration of secrecy must be conducted.

Personal data liability regarding the maintenance of composite records

The general rules on personal data liability under the Patient Data Act, providing that every authority within the health and medical care ser- vices or private care provider is the personal data controller for the processing of personal data that it conducts, will also apply regarding the maintenance of composite records. However, the Government may make regulations on personal data liability regarding the main- tenance of composite records on overall issues concerning technical and organisational security measures.

Summary

SOU 2006:82

Internal secrecy, etc.

The right of health and medical care personnel to gain access to patient data

Someone working at a care provider may, according to the Patient Data Act, gain access to documented information about a patient only if they participate in the care of the patient or if they need the information for other reasons for their work within the health and medical care service. This provision comprises both manually and electronically produced patient records and other documentation about patients. The Act also prescribes that documented personal data should be handled and stored so that unauthorised parties – for example, officers within the health and medical care services who do not need the data for their work – are unable to gain access to it. 'Handled' and 'stored' refers to all kinds of measures that are imple- mented regarding personal data.

Requirements regarding the maintenance of patient records and other electronic patient documentation

As regards the maintenance of electronic patient records and other electronic patient documentation, the Patient Data Act contains a provision on electronic access that partially corresponds to the current rule in Section 8 of the Health Care Register Act, but which im- poses clearer requirements on the care provider as regards the authori- sation system, etc. The care provider should determine conditions regarding how personnel should be allocated authorisation for electro- nic access to data about patients within the care provider's operation. These rules mean that the allocation of authorisations by care pro- viders should be conducted on an active and individualised basis following analysis of what further information various categories of personnel and various kinds of operation need. Special attention should be devoted to the accessibility of protected personal data. More detailed provisions should be issued by the Government or the authority appointed by the Government. It is expected that the National Board of Health and Welfare will issue these regulations following consultation with the Data Inspection Board.

SOU 2006:82

Summary

Obligation to document electronic access, etc.

An obligation is also introduced for the care provider to document and check electronic access. By the care provider being liable to document all electronic access ('processing history' or 'log'), it will be possible to conduct retrospective checks. However, it is not sufficient to conduct follow-up checks in special cases where there may be a suspicion of unauthorised violation. Follow-up checks should be conducted systematically and on an ongoing basis. More detailed provisions should be issued by the Government or the authority appointed by the Government. It is expected that the National Board of Health and Welfare will issue these regulations following consultation with the Data Inspection Board.

The patient's right to get information about access

The individual patient is given the right to request to receive infor- mation about what direct access and electronic access has occurred regarding electronically processed data concerning them. More de- tailed provisions on the information to be provided to the patient may be issued by the Government or the authority appointed by the Government. It is expected that the National Board of Health and Welfare will issue these regulations following consultation with the Data Inspection Board.

The patient's right to restrict accessibility

The Patient Data Act affords the individual a right to request that the care documentation is restricted for electronic access from other care units, alternatively care processes, outside that to which the data belongs. Through this rule, the patient is provided with influence over access to data concerning them within a care provider's boundaries. This possibility should be regarded to be a result of the principle that health and medical care should be based on respect for the patient's self-determination and privacy and as far as possible should be performed and conducted in consultation with the patient. It should be possible for the restriction to be partially or completely lifted with the patient's consent, for example in a one-off care situa- tion. It should also be possible for the restriction to be overridden if the patient's consent cannot be obtained and provided the infor-

Summary

SOU 2006:82

mation may be deemed to be important for the care that the patient necessarily needs. Restricted data can as such be made accessible to another care unit or care process by a different means than electronic access. If a patient has explained that they do not wish the data about them to be disclosed from one care unit to another, it should not be possible for such disclosure of data to occur, except in emergency- type situations. Information about there being restricted data may be available to other care units or care processes, as is information about what care unit or care process restricted the data. Information about restricted data existing regarding a child may give cause to particular caution and deliberation regarding whether a report in accordance with Chapter 14, Section 1 of the Social Services Act (2001:453) should be made to the social welfare committee to ensure that the child gets the necessary protection.

Direct access for the patient

Through the Patient Data Act, a care provider may allow an indi- vidual direct access to such data about the individual personally that may be disclosed to them and which is processed for the purpose of care documentation. Direct access means that the individual can be afforded personal access to the information electronically. This rule does not constitute an obligation for a care provider to provide individuals with direct access, but only the opportunity to do so. It is expected that those requesting and those who have been granted access to their data can also be told who they may refer to in order to get help with understanding the data. Direct access does not need to involve access to all of the data about the individual. The indi- vidual may also be granted direct access to documentation regarding electronic access to data about the individual ('processing history' or 'log').

The Government, or the authority appointed by the Govern- ment, is authorised to make regulations on requirements for security measures that should apply for direct access. A precondition for direct access is that there are sufficiently secure technical solutions to verify the identification of the party requiring the data. It is intended that the National Board of Health and Welfare will issue such regulations, following consultation with the Data Inspection Board.

SOU 2006:82

Summary

Operational follow-up

Operational follow-up is a core issue for the development of the health and medical care services. By 'operational follow-up', we basically mean the same thing as 'follow-up, evaluation and quality assurance', referred to in Section 4, Item 2 of the Health Care Register Act. Operational follow-up can be aimed at a multitude of different factors within the health and medical care services, for example, the measurement of the treatment results achieved and patient satisfaction or the measurement of resources applied in the form of expense for each input or other follow-up of cost efficiency, productivity, etc. Follow-up may also be conducted at different levels within the health and medical care services.

Our proposals taken overall involve, compared with today, in- creased opportunities as regards medical, financial and other opera- tional follow-up within the health and medical care services. Opera- tional follow-up is a primary aim according to the Patient Data Act and different data about patients can be used for combined runs as long as this takes place within the frameworks prescribed by the Patient Data Act and secrecy legislation. Furthermore, the Patient Data Act means that authorities that conduct health and medical care services in the same county council may have direct access to each other's personal data. As indicated below, we also propose that health and medical care secrecy should not impede data being dis- closed by an authority within the health and medical care services within a municipality or a county council to another such authority in the same municipal or county council district. The follow-up of health and medical care cooperation with municipal home care opera- tions may also be aided by the rules contained in the Patient Data Act compared with the current rules in the Health Care Register Act. We also propose certain provisions on operational follow-up through national and regional quality registers; see below.

National and regional quality registers

The purpose of the processing of personal data in a quality register

One of the central tasks of the health and medical care services is to systematically and continuously develop and secure the quality of the operation. Different methods exist for measuring and developing operational quality within the health and medical care services. One

Summary

SOU 2006:82

method is to gather and analyse patient-related data about diagnosis, measures taken and the results of treatment, etc. in computerised quality registers. We have been assigned to propose a statutory rule on the processing of personal data in national quality registers within the health and medical care services.

Certain special provisions are contained in the Patient Data Act that apply to quality registers into which personal data has been gathered from several care providers and which facilitates compa- risons within the health and medical care services at a national or regional level. The Act comprehensively governs the purposes for which personal data contained in such quality registers may be pro- cessed. Personal data may be collected and processed for the overall and primary aim of systematic and continuous development and in order to ensure the quality of the care. Personal data gathered may in addition also be processed for certain other purposes, namely, among other things, the production of statistics or research within the field of health and medical care.

Personal data that may be processed

The Patient Data Act clarifies that only such data as is necessary for the primary purpose of quality assurance of care may be entered into a national or regional quality register.

Furthermore, the Act prescribes that the personal identity (ID) number or name of the person registered may only be processed in a national or regional quality register if it is insufficient for quality assurance purposes to process coded personal data or personal data that only indirectly identifies the person registered.

Sensitive personal data, as referred to in Section 13 of the Personal Data Act and which does not relate to health, and also personal data about legal offences, etc., as referred to in Section 21 of the same act, may only be processed if the Government, or the authority appointed by the Government, consents to this in the specific case.

A provision is introduced into the Patient Data Act that – in contrast to the provisions applicable today under the Personal Data Act – provides the individual with the right to avoid being registered in a national or regional quality register. This right even applies after the processing of personal data has commenced. If an individual opposes the processing of personal data after it has been commenced,

SOU 2006:82

Summary

the data about the individual that has been registered should be erased from the register.

General issues and provisions

General provisions on information

The party who is the personal data controller, in accordance with the Patient Data Act, must ensure that the person registered receives information about the processing of personal data. The provisions of the Personal Data Act on information also apply regarding the pro- cessing of personal data under the Patient Data Act. Section 25 of the Personal Data Act specifies which information the personal data controller can voluntarily disclose to the person registered. This in- formation obligation is defined in the Patient Data Act.

The information should contain details about who the personal data controller is, the purpose of the processing and what categories of data are being processed. The information should also contain an explanation about the information obligation that may ensue accor- ding to act or ordinance, the secrecy and security provisions appli- cable to data and processing, the right to request that the data is restricted in certain cases, the right to receive information about the direct access and electronic access to data that has taken place, the right to gain access to data, according to Section 26 of the Personal Data Act, the right, according to Section 28 of the same act, to have incorrect or misleading data corrected, and the right, under Sec- tion 48 of the same act, to damages. Furthermore, such information should contain details about the rules applicable with regard to search terms, direct access and the disclosure of data on media for auto- matic processing and the provisions applicable regarding storage and erasure. Finally, the information should contain details of whether or not the processing is voluntary.

Information in connection with the maintenance of composite records

In the event that a care provider participates in a system for main- taining composite records, the person registered should also be in- formed of what the maintenance of composite records involves and that they can oppose their patient data being made available to other care providers through the maintenance of composite records.

Summary

SOU 2006:82

Information about the processing of personal data in the national and regional quality registers

The individual should be informed about the processing of personal data in a national or regional quality register. This information obli- gation derives first from the general provisions of the Patient Data Act on information that must be provided to the individual and second from the Personal Data Act. It is proposed that the person registered should be specially informed about their right to at any time whatsoever have data about themselves erased from the register. Furthermore, the individual should be informed about the extent to which the processing of personal data relates to data collected from sources other than the patient record or the patient themselves, for example data gathered through combined runs with other registers. Furthermore, it is proposed that the person registered should be specially informed about the categories of recipient to whom per- sonal data can be disclosed, for example that data may sometimes be disclosed for research purposes. This information should be provided before the processing of personal data is started or, if this is not possible, as soon as it can be provided.

Rectification

The provisions of the Personal Data Act on rectification apply to the processing of personal data that is completely or partially auto- mated or where the data forms part of, or is intended to form part of, a structured compilation of personal data that is available for searching or compilation according to special criteria and which is conducted according to the Patient Data Act. The latter act refers to the Personal Data Act's rules on rectification.

As regards the rectification of data contained in records, the Patient Data Act's provisions on rectification of record data have priority.

Damages

The provisions of the Personal Data Act on damages apply to the processing of personal data that is completely or partially automated or where the data forms part of, or is intended to form part of, a structured compilation of personal data that is available for searching or compilation according to special criteria and which has been con-

SOU 2006:82

Summary

ducted in violation of the Patient Data Act's provisions on the pro- cessing of personal data. The latter act refers to the Personal Data Act's rules on damages.

Security

The provisions of the Personal Data Act on security when pro- cessing data and the powers of the supervisory authorities also apply when personal data is processed according to the Patient Data Act. In addition, the Patient Data Act states which security measures should be implemented in certain cases. The provisions of the latter kind relate, among other things, to the grant of authorisation for electronic access and the authentication of this authorisation.

Supervisory authorities

The Data Inspection Board is the supervisory authority even when the personal data is processed under the Patient Data Act. However, supervision of compliance with the rules on maintaining records will still be exercised by the National Board of Health and Welfare.

Entry into force and transitional provisions

The Patient Data Act and the proposed amendments to other legislation will enter into force on 1 January 2008.

When the Patient Data Act enters into force, the Patient Records Act and the Health Care Register Act will cease to apply.

The application of the provisions of the Patient Data Act on national and regional quality registers will not start before 1 January 2009 with regard to any quality records that were started to be kept prior to the entry into force of the Patient Data Act. Furthermore, the provisions on the rights of the individual to oppose the processing of personal data in such quality registers and regarding information about such processing of personal data do not apply regarding per- sonal data processed prior to 1 January 2009.

Summary

SOU 2006:82

Proposed act amending the Secrecy Act

We propose, as stated above, the introduction of a provision for the breaking of secrecy, which in practice will remove health and medical care secrecy between the different authorities within the health and medical care services in the same county council or municipality. The aim of this exemption is that the secrecy legislation should not impede organisational changes within the health and medical care services. This exemption makes it possible, for instance, for a county council to freely determine the structure it wishes to have without regard to secrecy applying in principle between authorities. It will also enhance the opportunities for operational follow-up based on patient data. This exemption has been included in a new paragraph, Chapter 7, Section 1d of the Secrecy Act (1980:100).

The maintenance of composite records means, as stated above, that the authorities within the health and medical care services and private care providers may under certain preconditions gain direct access to each other's electronic records and other personal data that is processed for purposes relating to care documentation. It is pro- posed that an exemption from health and medical care secrecy is introduced in the new paragraph, Chapter 7, Section 1d of the Secrecy Act to ensure that care providers who make data available to other care providers when maintaining composite records do not need to review the question of secrecy in every individual case. This exemp- tion means that secrecy does not impede the data being disclosed to an authority within the health and medical care services or to an individual care provider according to the provisions of the Patient Data Act on the maintenance of composite records. The protection of personal privacy in the case of maintenance of composite records is satisfied by the rules of the Patient Data Act on, among other things, the patient's influence in connection with the keeping of such records. No corresponding exemption as that contained in the Secrecy Act is required for private health and medical care services.

An exemption from health and medical care secrecy is also pro- posed by Chapter 7, Section 1d of the Secrecy Act, which makes it possible to disclose data to a national or regional quality register under the Patient Data Act

We have made the assessment that, for patient security reasons, a provision is required regarding the breaking of secrecy within the area of care and nursing services in order for an individual to be able to get the care, nursing, etc. that is necessary. We therefore propose

SOU 2006:82

Summary

the introduction of an exemption from health and medical care secrecy whereby secrecy will not impede data about an individual, that is required so that they will be able to get the necessary care, nursing or treatment or other support, being disclosed by an autho- rity within the health and medical care services to another authority within the health and medical care services or the social services or to a private care provider or a private operation within the area of social services. A precondition for the disclosure of such data is that the individual, owing to their health status or for other reasons, cannot consent to the disclosure of the data. The exemption may not be routinely applied. It should be applied with caution and dis- cretion in every individual case. The individual's consent should be obtained in the first instance. This exemption provision has been included in Chapter 7, Section 1d of the Secrecy Act.

In order to facilitate the long-term follow-up of care quality by the party keeping the quality register, an extension is proposed to the exemption from absolute statistical secrecy, contained in Chapter 9, Section 4 of the Secrecy Act, to also cover data about deceased persons and relating to the cause of death and the date of death. It is proposed that such data may be disclosed for the purpose of quality assurance within the health and medical care services con- ducted through national or regional quality registers, provided it is clear that disclosure can be effected without the individual or a per- son closely-related to the individual suffering any harm or incon- venience.

Some further amendments to the Secrecy Act of a basically edi- torial nature are proposed.

Other proposed amendments

Our proposal gives cause for a number of consequential amend- ments to the Act relating to the Circumcision of Boys (2001:499), the Biobanks in Medical Care Act (2002:297) and the Forensic Certificates owing to Crime Act (2005:225).

Författningsförslag SOU 2006:82

Beteckning	Betydelse
Hälso- och sjukvård	Verksamhet som avses i hälso- och
	sjukvårdslagen		(1982:763),		tand-
	vårdslagen	(1985:125),			lagen
	(1991:1128) om psykiatrisk tvångs-
	vård, lagen (1991:1129) om rätts-
	psykiatrisk	vård samt smittskydd
	enligt smittskyddslagen (2004:168).
Journalhandling	Framställning i skrift eller bild samt
	upptagning som kan läsas, avlyssnas
	eller på annat sätt uppfattas endast
	med tekniskt hjälpmedel, som upp-
	rättas eller inkommer i samband
	med vården av en patient och som
	innehåller uppgifter om patientens
	hälsotillstånd eller andra personliga
	förhållanden och om vårdåtgärder.
Patientjournal	En eller flera journalhandlingar som
	rör samma patient.
Sammanhållen journalföring	En gemensam databas eller ett annat
	elektroniskt system, som gör det
	möjligt för en vårdgivare att ge eller
	få direktåtkomst till personuppgifter
	hos en annan vårdgivare.
Vård	Vård, undersökning och behand-
	ling inom hälso- och sjukvården.
Vårdgivare	Statlig myndighet,			landsting och
	kommun i fråga om sådan hälso-
	och sjukvård		som	myndigheten,
	landstinget eller kommunen har an-
	svar för samt annan juridisk eller
	fysisk person som yrkesmässigt be-
	driver hälso- och sjukvård.

SOU 2006:82

Författningsförslag

Förhållandet till personuppgiftslagen

4 § Personuppgiftslagen (1998:204) gäller vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgäng- liga för sökning eller sammanställning enligt särskilda kriterier, om inte annat följer av denna lag eller föreskrifter som meddelas med stöd av denna lag.

2 kap. Grundläggande bestämmelser om behandling av personuppgifter

Kapitlets tillämpningsområde

1 § Bestämmelserna i detta kapitel tillämpas vid sådan behandling av personuppgifter som avses i 1 kap. 4 §.

Den enskildes inställning till personuppgiftsbehandling

2 § Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig den. Det gäller dock inte om annat framgår av denna lag, annan lag eller förordning.

I 4 kap. 4 §, 6 kap. och 7 kap. 2 § finns bestämmelser om att en personuppgiftsbehandling inte är tillåten om patienten motsätter sig den eller inte samtycker till den.

3 § En behandling av personuppgifter som inte är tillåten enligt denna lag får ändå utföras om den enskilde lämnat ett uttryckligt samtycke till behandlingen. Det gäller dock inte om annat framgår av denna lag, annan lag eller förordning.

Av 6 kap. 5 § framgår att den enskilde i ett visst fall inte kan sam- tycka till en behandling av personuppgifter som inte är tillåten enligt denna lag.

Regeringen får föreskriva att en behandling av personuppgifter som inte är tillåten enligt denna lag inte heller i andra fall får utföras trots att den enskilde lämnat samtycke till behandlingen.

Författningsförslag

SOU 2006:82

Ändamål för personuppgiftsbehandlingen

4 § Personuppgifter får behandlas inom hälso- och sjukvården om det behövs för

1.att fullgöra de skyldigheter som anges i 3 kap. och upprätta annan dokumentation som behövs i och för vården av patienter,

2.administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall,

3.att upprätta annan dokumentation som följer av lag, förord- ning eller annan författning,

4.att systematiskt och fortlöpande utveckla och säkra kvaliteten

iverksamheten,

5.administration, planering, uppföljning, utvärdering och tillsyn av verksamheten, eller

6.framställning av statistik rörande hälso- och sjukvård.

I 7 kap. 4 och 5 §§ finns särskilda bestämmelser om ändamålen för behandling av personuppgifter i nationella och regionala kvali- tetsregister.

5 § Personuppgifter som behandlas för ändamål som anges i 4 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).

Personuppgiftsansvar

6 § En vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som den utför. I landsting och kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansva- rig för den behandling av personuppgifter som myndigheten utför.

I 6 och 7 kap. finns särskilda bestämmelser om personuppgifts- ansvar.

Personuppgifter som får behandlas

7 § Endast sådana personuppgifter som behövs för ändamål som anges i 4 § får behandlas. Även en vårdgivare som inte är myndighet får behandla sådana uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204).

SOU 2006:82

Författningsförslag

Sökbegrepp

8 § Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) eller uppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får inte användas som sökbegrepp. Inte heller får uppgifter om att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgärder enligt utlänningslagen (2005:716) an- vändas som sökbegrepp.

Det är trots förbudet i första stycket tillåtet att som sökbegrepp använda uppgifter som rör hälsa samt uppgifter om att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård.

Regeringen får föreskriva att ett landsting eller en kommun, utan hinder av vad som anges i första stycket, får använda uppgifter om etnicitet samt att någon fått bistånd eller andra insatser inom social- tjänsten eller varit föremål för åtgärder enligt utlänningslagen som sökbegrepp för att göra vissa slags sammanställningar.

3 kap. Skyldigheten att föra patientjournal

Inledande bestämmelse

1 § Vid vård av patienter skall föras patientjournal. Patientjour- nal skall föras för varje patient och får inte vara gemensam för flera patienter.

I 6 kap. finns bestämmelser om direktåtkomst till andra vårdgi- vares uppgifter om patienter genom sammanhållen journalföring.

Personer som är skyldiga att föra patientjournal

2 § Skyldig att föra patientjournal är

1.den som enligt 3 kap. lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område har legitimation eller särskilt för- ordnande att utöva visst yrke,

2.den som, utan att ha legitimation för yrket, utför arbetsuppgifter som annars bara skall utföras av logoped, psykolog eller psykotera- peut inom den allmänna hälso- och sjukvården eller sådana arbets- uppgifter inom den enskilda hälso- och sjukvården som biträde åt legitimerad yrkesutövare,

Författningsförslag

SOU 2006:82

3. den som är verksam som kurator i den allmänna hälso- och sjukvården.

Ansvar för uppgifter i patientjournal

3 § Den som för patientjournal svarar för sina uppgifter i jour- nalen.

Patientjournalens innehåll

4 § En patientjournal får endast innehålla de uppgifter som behövs för de ändamål som anges i 2 kap. 4 § första stycket 1 och 2.

5 § En patientjournal skall innehålla de uppgifter som behövs för en god och säker vård av patienten.

Om uppgifterna föreligger, skall en patientjournal alltid innehålla

1.uppgift om patientens identitet,

2.väsentliga uppgifter om bakgrunden till vården,

3.uppgift om ställd diagnos och anledning till mera betydande åtgärder,

4.väsentliga uppgifter om vidtagna och planerade åtgärder, och

5.uppgift om den information som lämnats till patienten och om de ställningstaganden som gjorts om val av behandlingsalternativ och om möjligheten till en förnyad medicinsk bedömning.

Patientjournalen skall vidare innehålla uppgift om vem som har gjort en viss anteckning i journalen och när anteckningen gjordes.

6 § I lag eller förordning finns, för vissa fall, regler om att en patientjournal skall innehålla ytterligare uppgifter.

7 § Om patienten anser att en uppgift i patientjournalen är oriktig eller missvisande, skall det antecknas i journalen.

8 § Uppgifter som skall antecknas enligt 5–7 §§ skall föras in i journalen så snart det kan ske.

9 § En journalanteckning skall om inte synnerligt hinder möter signeras av den som svarar för uppgiften.

SOU 2006:82

Författningsförslag

10 § Om en journalhandling eller en avskrift eller kopia av hand- lingen har lämnats ut till någon, skall det dokumenteras i patient- journalen vem som har fått handlingen, avskriften eller kopian och när denna har lämnats ut. Detta gäller dock inte utlämnande genom direktåtkomst.

11 § Regeringen, eller den myndighet som regeringen bestämmer, får föreskriva undantag från bestämmelsen i 5 § andra stycket 1 så- vitt gäller provtagning för viss sjukdom och från bestämmelsen om signeringskrav i 9 §.

Regeringen, eller den myndighet som regeringen bestämmer, får också meddela ytterligare föreskrifter om en journalhandlings inne- håll och utformning.

Språket i patientjournaler

12 § De journalhandlingar som upprättas inom hälso- och sjuk- vården skall vara skrivna på svenska språket, vara tydligt utformade och så långt möjligt förståeliga för patienten.

Regeringen, eller den myndighet som regeringen bestämmer, får föreskriva att en sådan journalhandling får vara skriven på ett annat språk än svenska.

Hantering av journalhandlingar

13 § Uppgifter i en journalhandling får inte utplånas eller göras oläsliga i andra fall än som avses i 8 kap. 3 §.

Vid rättelse av en felaktighet skall det anges när rättelsen har skett och vem som har gjort den.

14 § Regeringen, eller den myndighet som regeringen bestämmer, får föreskriva hur journalhandlingar skall hanteras och förvaras.

Skyldighet att utfärda intyg om vården

15 § Den som enligt 2 § är skyldig att föra patientjournal skall på begäran av patienten utfärda intyg om vården.

Författningsförslag

SOU 2006:82

Bevarande av journalhandlingar

16 § En journalhandling skall bevaras minst tre år efter det att den sista uppgiften fördes in i handlingen. Regeringen, eller den myndig- het som regeringen bestämmer, får föreskriva att vissa slags jour- nalhandlingar skall bevaras minst tio år.

Om bevarande av journalhandlingar som tagits om hand efter beslut av Socialstyrelsen finns det särskilda föreskrifter i 9 kap. 4 §.

I lag finns, för vissa fall, regler om att journalhandlingar skall bevaras under en längre tid än minst tre år.

17 § För journalhandlingar som utgör allmän handling gäller, med de undantag som följer av 16 §, arkivlagen (1990:782) samt de bestäm- melser som meddelas med stöd av arkivlagen.

Patientjournaler i krig m.m.

18 § Regeringen får meddela särskilda föreskrifter om patientjour- naler i krig, vid krigsfara eller under sådana utomordentliga förhål- landen som är föranledda av att det är krig utanför Sveriges gränser eller av att Sverige har varit i krig eller krigsfara.

4 kap. Grundläggande bestämmelser om inre sekretess och elektronisk åtkomst i en vårdgivares verksamhet

Inre sekretess

1 § Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.

Tilldelning av behörighet för elektronisk åtkomst

2 § En vårdgivare skall bestämma villkor för tilldelning av behörig- het för åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat. Sådan behörighet skall begränsas till vad som behövs för att den enskilde skall kunna fullgöra sina arbetsupp- gifter inom hälso- och sjukvården.

SOU 2006:82

Författningsförslag

Regeringen, eller den myndighet som regeringen bestämmer, får meddela närmare föreskrifter om tilldelning av behörighet för åt- komst till uppgifter, som förs helt eller delvis automatiserat.

Kontroll av elektronisk åtkomst

3 § En vårdgivare skall genomföra åtgärder som innebär att åt- komst till sådana uppgifter om patienter som förs helt eller delvis automatiserat dokumenteras och kan kontrolleras. Vårdgivare skall genomföra systematiska och återkommande kontroller av om obe- hörig åtkomst till sådana uppgifter förekommer.

Regeringen, eller den myndighet som regeringen bestämmer, får meddela närmare föreskrifter om dokumentation och kontroll enligt första stycket.

Patientens möjlighet att begränsa elektronisk åtkomst för vårdsyfte

4 § Personuppgifter, som dokumenterats för ändamål som anges i 2 kap. 4 § första stycket 1 och 2 hos en vårdenhet eller inom en vårdprocess, får inte göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vård- process hos samma vårdgivare, om patienten motsätter sig det. I så- dana fall skall uppgiften genast spärras.

Uppgift om att det finns spärrade uppgifter får dock vara tillgäng- lig för andra vårdenheter eller vårdprocesser liksom även uppgift om vilken vårdenhet eller vårdprocess som spärrat uppgifterna.

5 § En spärr enligt 4 § får hävas av en behörig befattningshavare hos vårdgivaren, om

–patienten samtycker till det, eller

–patientens samtycke inte kan inhämtas och informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver.

Författningsförslag

SOU 2006:82

5 kap. Grundläggande bestämmelser om utlämnande av uppgifter och handlingar samt viss uppgiftsskyldighet

Bestämmelser i andra lagar

1 § Om rätten att ta del av handlingar och uppgifter inom den allmänna hälso- och sjukvården finns bestämmelser i tryckfrihets- förordningen och sekretesslagen (1980:100).

2 § I lagen (1998:531) om yrkesverksamhet på hälso- och sjuk- vårdens område finns bestämmelser som kan begränsa möjligheten att lämna ut uppgifter från den enskilda hälso- och sjukvården.

Myndighets uppgiftsskyldighet avseende journal upprättad inom enskild hälso- och sjukvård

3 § En myndighet som enligt 9 kap. har hand om en patientjour- nal upprättad inom enskild hälso- och sjukvård har, om uppgift ur journalen begärs för särskilt fall, samma skyldighet att lämna upp- giften som den haft som ansvarat för journalen före överlämnandet till myndigheten.

Utlämnande genom direktåtkomst

4 § Direktåtkomst till personuppgifter är tillåten endast i den ut- sträckning som anges i lag eller förordning.

Om ett landsting eller en kommun bedriver hälso- och sjukvård genom flera myndigheter, får en sådan myndighet ha direktåtkomst till personuppgifter som behandlas av annan sådan myndighet i samma landsting eller kommun. Ytterligare bestämmelser om direkt- åtkomst finns i denna lag i 5 §, 6 kap. och 7 kap. 9 §.

5 § En vårdgivare får medge en enskild direktåtkomst till sådana uppgifter om den enskilde själv som får lämnas ut till honom eller henne och som behandlas för ändamål som anges i 2 kap. 4 § första stycket 1 och 2. Den enskilde får under samma förutsättningar med- ges direktåtkomst till sådan dokumentation som avses i 4 kap. 3 § första stycket första meningen.

SOU 2006:82

Författningsförslag

Regeringen, eller den myndighet som regeringen bestämmer, får föreskriva de krav på säkerhetsåtgärder som skall gälla vid sådan direktåtkomst.

Utlämnande på medium för automatiserad behandling

6 § Får en personuppgift lämnas ut, kan det ske på medium för automatiserad behandling.

6 kap. Sammanhållen journalföring

Direktåtkomst till uppgifter hos en annan vårdgivare

1 § En vårdgivare får, under de förutsättningar som anges i 2 §, ha direktåtkomst till andra vårdgivares personuppgifter som behandlas för ändamål som anges i 2 kap. 4 § första stycket 1 och 2.

Patientens inflytande vid sammanhållen journalföring m.m.

2 § Om en patient motsätter sig det, får uppgifter om patienten inte göras tillgängliga för andra vårdgivare genom sammanhållen jour- nalföring. Uppgift om att det finns spärrade uppgifter får dock göras tillgänglig.

Innan uppgifter om en patient görs tillgängliga för andra vård- givare genom sammanhållen journalföring, skall patienten informe- ras om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig den.

Om en patient motsätter sig sammanhållen journalföring, skall uppgifterna genast spärras. En patient kan när som helst begära att den vårdgivare som har spärrat uppgifterna häver spärren.

3 § För att en vårdgivare skall få bereda sig tillgång till uppgifter som inte är spärrade enligt 2 § tredje stycket krävs att

1.uppgifterna rör en patient som det finns en aktuell patientrela- tion med,

2.uppgifterna kan antas ha betydelse för vården av patienten,

och

3.patienten samtycker till det.

Författningsförslag

SOU 2006:82

Vårdgivaren får även bereda sig tillgång till sådana uppgifter om

1.uppgifterna rör en patient som det finns eller har funnits en patientrelation med,

2.uppgifterna kan antas ha betydelse för att utfärda sådant intyg som avses i 3 kap. 15 §, och

3.patienten samtycker till det.

4 § En vårdgivare får bereda sig tillgång till en annan vårdgivares uppgifter om en patient, om patientens samtycke inte kan inhämtas och uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver. Detta gäller endast om uppgifterna inte är spärrade enligt 2 § tredje stycket.

5 § En vårdgivare får inte bereda sig tillgång till uppgifter som är tillgängliga genom sammanhållen journalföring under andra förut- sättningar än dem som anges i 3 och 4 §§ även om patienten uttryck- ligen samtycker till det.

Personuppgiftsansvar vid sammanhållen journalföring

6 § Regeringen får meddela föreskrifter om vem som skall ha per- sonuppgiftsansvar för övergripande frågor om tekniska och orga- nisatoriska säkerhetsåtgärder vid sammanhållen journalföring.

Behörighetstilldelning och åtkomstkontroll

7 § Vad som sägs i 4 kap. 2 och 3 §§ gäller även för behörighets- tilldelning och åtkomstkontroll vid sammanhållen journalföring.

Bevarande och gallring

8 § När patientjournaler är tillgängliga för flera vårdgivare genom sammanhållen journalföring gäller skyldigheten enligt 3 kap. 16 § att bevara en journalhandling endast den vårdgivare som ansvarar för handlingen.

Om en journalhandling eller annan handling är tillgänglig för en myndighet endast genom sammanhållen journalföring och myndig- heten inte ansvarar för den, får myndigheten gallra den från sitt arkiv.

SOU 2006:82

Författningsförslag

7 kap. Nationella och regionala kvalitetsregister

Inledande bestämmelse

1 § Bestämmelserna i detta kapitel gäller för nationella och regio- nala kvalitetsregister i vilka personuppgifter samlas in från flera vård- givare och vilka möjliggör jämförelser inom hälso- och sjukvården på nationell eller regional nivå. Med kvalitetsregister avses en auto- matiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet.

Den enskildes inställning till behandling i kvalitetsregister

2 § Personuppgifter får inte behandlas i ett nationellt eller regionalt kvalitetsregister, om den enskilde motsätter sig det.

Om den enskilde motsätter sig personuppgiftsbehandlingen sedan den påbörjats, skall uppgifterna utplånas ur registret så snart det kan ske.

Information

3 § Innan personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister skall den som är personuppgiftsansvarig se till att den enskilde, utöver den information som skall lämnas enligt 8 kap. 5 §, får information om

1.rätten att när som helst få uppgifter om sig själv utplånade ur registret,

2.i vilken utsträckning personuppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal, och

3.vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till.

Om det inte är möjligt att lämna informationen innan personupp- giftsbehandlingen påbörjas, skall den lämnas så snart det kan ske.

Författningsförslag

SOU 2006:82

Kvalitetsregisters ändamål

4 § I stället för vad som anges i 2 kap. 4 och 5 §§ gäller att per- sonuppgifter i nationella och regionala kvalitetsregister får behand- las för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet.

5 § Personuppgifter som behandlas för ändamål som anges i 4 § får också behandlas för

1.framställning av statistik,

2.forskning inom hälso- och sjukvårdsområdet,

3.utlämnande till den som skall använda uppgifterna för ändamål som anges i 4 § eller 1 och 2, och

4.fullgörande av annan uppgiftsskyldighet som följer av lag eller förordning än den enligt 15 kap. 5 § sekretesslagen (1980:100).

6 § Personuppgifter i nationella och regionala kvalitetsregister får inte behandlas för några andra ändamål än dem som anges i 4 och 5 §§.

Personuppgiftsansvar

7 § Endast myndigheter inom hälso- och sjukvården får vara per- sonuppgiftsansvariga för central organisering, lagring, bearbetning eller annan central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister.

Regeringen, eller den myndighet som regeringen bestämmer, får medge undantag från första stycket.

I 2 kap. 6 § finns allmänna bestämmelser om personuppgifts- ansvar.

Personuppgifter som får behandlas

8 § Endast sådana personuppgifter som behövs för ändamål som anges i 4 § får behandlas i ett nationellt eller regionalt kvalitets- register.

En enskilds personnummer eller namn får behandlas i ett natio- nellt eller regionalt kvalitetsregister endast om det inte är tillräck- ligt för ändamål som anges i 4 § att använda kodade personupp-

SOU 2006:82

Författningsförslag

gifter eller personuppgifter som endast indirekt kan hänföras till den enskilde.

Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) och som inte rör hälsa samt uppgifter om lag- överträdelser m.m. som avses i 21 § samma lag får behandlas endast om regeringen, eller den myndighet som regeringen bestämmer, i enskilda fall medger det.

Utlämnande genom direktåtkomst

9 § En vårdgivare får ha direktåtkomst till de uppgifter i ett natio- nellt eller regionalt kvalitetsregister som vårdgivaren lämnat till registret.

Bevarande och gallring

10 § Personuppgifter i ett nationellt eller regionalt kvalitetsregister skall gallras när de inte längre behövs för det ändamål som anges i 4 §.

En arkivmyndighet inom ett landsting eller en kommun får dock föreskriva att personuppgifter i ett nationellt eller regionalt kvali- tetsregister som förs inom landstinget eller kommunen får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Om regeringen meddelat föreskrifter enligt 7 § andra stycket, får den också föreskriva att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.

8 kap. Rättigheter för den enskilde

Rätt att ta del av uppgifter

1 § Att en myndighet inom allmän hälso- och sjukvård under vissa förutsättningar är skyldig att lämna ut journalhandlingar och andra handlingar och uppgifter till en patient, framgår av tryckfri- hetsförordningen och sekretesslagen (1980:100).

2 § En journalhandling inom enskild hälso- och sjukvård skall på begäran av patienten så snart som möjligt tillhandahållas honom eller henne för läsning eller avskrivning på stället eller i avskrift eller

Författningsförslag

SOU 2006:82

kopia, om inte annat följer av 2 kap. 8 § andra stycket eller 9 § första stycket lagen (1998:531) om yrkesverksamhet på hälso- och sjuk- vårdens område.

Frågor om utlämnande av en journalhandling enligt första stycket prövas av den som är ansvarig för journalhandlingen. Anser denne att journalhandlingen eller någon del av den inte bör lämnas ut, skall han eller hon genast med eget yttrande överlämna frågan till Social- styrelsen för prövning.

I fråga om överklagande av Socialstyrelsens beslut enligt andra stycket gäller i tillämpliga delar bestämmelserna i 15 kap. 7 § sekre- tesslagen (1980:100).

Förstörande av patientjournal

3 § På ansökan av patienten eller någon annan som omnämns i en patientjournal får Socialstyrelsen förordna att journalen helt eller delvis skall förstöras. Förutsättningarna för detta är att

–godtagbara skäl anförs för ansökan,

–patientjournalen eller den del därav som ansökan avser uppen- barligen inte behövs för patientens vård, och

–det från allmän synpunkt uppenbarligen inte finns skäl att be- vara journalen.

Innan ansökan slutligt prövas, skall den som ansvarar för en jour-

nalhandling som omfattas av ansökan beredas tillfälle att yttra sig. Om Socialstyrelsen har avslagit en ansökan om förstöring av en

patientjournal, får beslutet överklagas hos allmän förvaltningsdom- stol. Om Socialstyrelsens beslut innebär bifall till en sådan ansökan, får beslutet inte överklagas.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Information

4 § En vårdgivare skall på begäran av en patient lämna informa- tion om den direktåtkomst och elektroniska åtkomst som före- kommit till uppgifter om patienten.

Regeringen, eller den myndighet som regeringen bestämmer, får meddela närmare föreskrifter om den information som skall ges till patienten.

SOU 2006:82

Författningsförslag

5 § Den som är personuppgiftsansvarig enligt denna lag skall se till att den registrerade får information om personuppgiftsbehand- lingen.

Informationen skall innehålla upplysningar om

1.vem som är personuppgiftsansvarig,

2.ändamålet med behandlingen,

3.vilka kategorier av uppgifter som behandlas,

4.den uppgiftsskyldighet som kan följa av lag eller förordning,

5.de sekretess- och säkerhetsbestämmelser som gäller för upp- gifterna och behandlingen,

6.rätten enligt 4 kap. 4 § att i vissa fall begära att uppgifter spärras,

7.rätten enligt 4 § att få information om den direktåtkomst och elektroniska åtkomst som förekommit,

8.rätten att ta del av uppgifter enligt 26 § personuppgiftslagen (1998:204),

9.rätten enligt 28 § personuppgiftslagen till rättelse av oriktiga eller missvisande uppgifter,

10.rätten enligt 48 § personuppgiftslagen till skadestånd vid be- handling av personuppgifter i strid mot denna lag,

11.vad som gäller i fråga om sökbegrepp, direktåtkomst och ut- lämnande av uppgifter på medium för automatiserad behandling,

12.vad som gäller i fråga om bevarande och gallring, samt

13.huruvida personuppgiftsbehandlingen är frivillig eller inte.

I 6 kap. 2 § och 7 kap. 3 § finns ytterligare bestämmelser om vilken information som skall lämnas i vissa fall.

Rättelse

6 §	Vid sådan behandling av personuppgifter som avses i 1 kap.
4 §	gäller bestämmelserna om rättelse i 28 § personuppgiftslagen

(1998:204). Detta gäller dock inte om åtgärderna skulle strida mot bestämmelserna i 3 kap. 13 §.

Skadestånd

7 §	Vid sådan behandling av	personuppgifter som avses i 1 kap.
4 §	gäller bestämmelserna om	skadestånd i 48 § personuppgifts-

lagen (1998:204).

Författningsförslag

SOU 2006:82

Andra rättigheter enligt denna lag

8 § I denna lag finns föreskrifter om andra rättigheter för den enskilde i 3 kap. 7 §, 4 kap. 4 §, 6 kap. 2 § samt 7 kap. 2 och 3 §§.

9 kap. Omhändertagande och återlämnande av patientjournal

Förutsättningar för omhändertagande

1 § Om det på sannolika skäl kan antas att patientjournaler inom enskild hälso- och sjukvård inte kommer att handhas enligt före- skrifterna i denna lag eller enligt föreskrifter som meddelats med stöd av lagen, får Socialstyrelsen besluta att de skall tas om hand.

Socialstyrelsen får också besluta om omhändertagande av patient- journaler inom enskild hälso- och sjukvård, om

–den som ansvarar för hanteringen av journalerna ansöker om det, och

–det finns ett påtagligt behov av att journalerna tas om hand.

Förutsättningar för återlämnande

2 § En omhändertagen patientjournal skall återlämnas, om det är möjligt och det inte finns skäl för omhändertagande enligt 1 §. Be- slut i fråga om återlämnande meddelas av Socialstyrelsen efter an- sökan av den som vid beslutet om omhändertagande ansvarade för hanteringen av journalen.

Ansvaret för omhändertagna journaler

3 § Patientjournaler som omhändertagits enligt 1 § skall förvaras avskilda hos arkivmyndigheten i det landsting eller, i fråga om kom- mun som inte tillhör något landsting, den kommun där journalerna finns. Socialstyrelsen skall i varje beslut om omhändertagande ange hos vilken arkivmyndighet journalerna skall förvaras.

Bevarande av omhändertagna journaler

4 § Omhändertagna journalhandlingar skall bevaras minst tio år från det att de kom in till arkivmyndigheten.

SOU 2006:82

Författningsförslag

Verkställighet av beslut om omhändertagande

5 § Ett beslut om omhändertagande av patientjournaler får verk- ställas även om det inte vunnit laga kraft, om inte något annat före- skrivits i beslutet.

Polismyndigheten skall lämna den hjälp som behövs för att verk- ställa ett beslut om omhändertagande av patientjournaler.

Överklagande

6 § Socialstyrelsens beslut i fråga om omhändertagande eller åter- lämnande av patientjournaler får överklagas hos allmän förvaltnings- domstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Övergångsbestämmelser

1. Denna lag träder i kraft den 1 januari 2008, då patientjournal- lagen (1985:562) och lagen (1998:544) om vårdregister upphör att gälla.

2. Bestämmelserna i 7 kap. skall inte börja tillämpas förrän den 1 januari 2009 i fråga om nationella och regionala kvalitetsregister som börjat föras före denna lags ikraftträdande.

3. Bestämmelserna i 7 kap. 2 och 3 §§ gäller inte för personupp- gifter som behandlats i nationella och regionala kvalitetsregister före den 1 januari 2009.

Författningsförslag

SOU 2006:82

2Förslag till

lag om ändring i sekretesslagen (1980:100)

Härigenom föreskrivs i fråga om sekretesslagen (1980:100)

dels att 7 kap. 1 c, 2, 3 och 6 §§, 9 kap. 4 §, 14 kap. 2 § samt 16 kap. 1 § skall ha följande lydelse,

dels att det i lagen skall införas två nya paragrafer, 7 kap. 1 d och 1 e §§, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

7 kap.

1 c §

Sekretess gäller, om inte annat följer av 2 §, inom hälso- och sjuk- vården för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider men. Det- samma gäller i annan medicinsk verksamhet, såsom rättsmedicinsk och rättspsykiatrisk undersökning, insemination, befruktning utan- för kroppen, fastställande av könstillhörighet, abort, sterilisering, kastrering, omskärelse, åtgärder mot smittsamma sjukdomar och ären- den hos nämnd med uppgift att bedriva patientnämndsverksamhet.

Sekretess enligt första stycket gäller också i sådan verksamhet hos myndighet som innefattar omprövning av beslut i eller särskild tillsyn över allmän eller enskild hälso- och sjukvård.

Sekretess gäller i verksamhet som avser omhändertagande av patientjournal inom enskild hälso- och sjukvård för uppgift om en- skilds hälsotillstånd eller andra per- sonliga förhållanden. Utan hinder av sekretessen får uppgift lämnas till hälso- och sjukvårdspersonal om uppgiften behövs för vård eller behandling och det är av synner- lig vikt att uppgiften lämnas.

I fråga om uppgift i allmän handling gäller sekretessen i högst

sjuttio år.
En landstingskommunal eller	En myndighet inom en kom-
kommunal myndighet som bedri-	mun eller ett landsting som be-
ver verksamhet som avses i första	driver verksamhet som avses i
74

SOU 2006:82

Författningsförslag

stycket får lämna uppgift till an- nan sådan myndighet för forsk- ning och framställning av statistik eller för administration på verk- samhetsområdet, om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs. Vidare får utan hinder av sekretessen uppgift lämnas till enskild enligt vad som föreskrivs i lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brott- mål, lagen (1991:1129) om rätts- psykiatrisk vård, smittskyddslagen (2004:168) samt 6 och 7 kap. lagen (2006:351) om genetisk integritet m.m.

första stycket får lämna uppgift till annan sådan myndighet för forskning och framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs.

1 d §

Sekretess enligt 1 c § första stycket hindrar inte att en uppgift lämnas från en myndighet inom hälso- och sjukvården i en kom- mun eller ett landsting till en annan sådan myndighet i samma kommun eller landsting. Sådan sekretess hindrar inte heller att en uppgift lämnas till en myndighet inom hälso- och sjukvården eller till en enskild vårdgivare enligt vad som föreskrivs om samman- hållen journalföring i patient- datalagen (0000:00). Sekretessen hindrar inte heller att en uppgift lämnas till ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen.

Om den enskilde på grund av sitt hälsotillstånd eller av annat skäl inte kan samtycka till att en

Författningsförslag

SOU 2006:82

uppgift lämnas ut, hindrar sek- retess enligt 1 c § första stycket inte att en uppgift om honom eller henne som behövs för att han eller hon skall få nödvändig vård, om- sorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjuk- vården eller socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på social- tjänstens område.

Sekretess enligt 1 c § första stycket hindrar inte heller att en uppgift lämnas till enskild enligt vad som föreskrivs i lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brottmål, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168) samt 6 och 7 kap. lagen (2006:351) om genetisk integri- tet m.m.

1 e §

Sekretess gäller i verksamhet som avser omhändertagande av patientjournal inom enskild hälso- och sjukvård för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden. Utan hin- der av sekretessen får uppgift läm- nas till hälso- och sjukvårdsperso- nal om uppgiften behövs för vård eller behandling och det är av synnerlig vikt att uppgiften lämnas.

I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år.

SOU 2006:82 Författningsförslag

2 §

Sekretessen enligt 1 c § gäller	Sekretessen enligt 1 c eller
inte	1 e § gäller inte

1.beslut i ärende enligt lagstiftningen om psykiatrisk tvångsvård eller rättspsykiatrisk vård, om beslutet angår frihetsberövande åtgärd,

2.beslut enligt smittskyddslagen (2004:168), om beslutet angår frihetsberövande åtgärd,

3.beslut i ärende om ansvar eller behörighet för personal inom hälso- och sjukvården,

4.beslut i fråga om omhändertagande eller återlämnande av patientjournal.

Beträffande anmälan i ärende om ansvar eller behörighet för personal inom hälso- och sjuk- vården gäller sekretess för upp- gifter som avses i 1 c §, om det kan antas att den som uppgiften rör eller någon honom eller henne närstående lider betydan- de men om uppgiften röjs.

Beträffande anmälan i ärende om ansvar eller behörighet för personal inom hälso- och sjuk- vården gäller sekretess för upp- gifter som avses i 1 c eller 1 e §, om det kan antas att den som uppgiften rör eller någon honom eller henne närstående lider bety- dande men om uppgiften röjs.

3 §

Sekretessen enligt 1 c § gäller	Sekretessen enligt 1 c eller 1 e §
också i förhållande till den vård-	gäller också i förhållande till den
eller behandlingsbehövande själv	vård- eller behandlingsbehövande
i fråga om uppgift om hans eller	själv i fråga om uppgift om hans
hennes hälsotillstånd, om det	eller hennes hälsotillstånd, om det
med hänsyn till ändamålet med	med hänsyn till ändamålet med
vården eller behandlingen är av	vården eller behandlingen är av
synnerlig vikt att uppgiften inte	synnerlig vikt att uppgiften inte
lämnas till honom eller henne.	lämnas till honom eller henne.
6 §
Sekretess gäller inom hälso-	Sekretess gäller inom hälso-
och sjukvården och annan verk-	och sjukvården och annan verk-
samhet som avses i 1 c § samt	samhet som avses i 1 c eller 1 e §
inom socialtjänsten för anmälan	samt inom socialtjänsten för an-
eller annan utsaga av enskild om	mälan eller annan utsaga av en-
någons hälsotillstånd eller andra	skild om någons hälsotillstånd
personliga förhållanden, om det	eller andra personliga förhållan-
	77

Sekretess gäller i sådan sär- skild verksamhet hos myndighet som avser framställning av stati- stik för uppgift som avser en- skilds personliga eller ekono- miska förhållanden och som kan hänföras till den enskilde. Det- samma gäller annan jämförbar undersökning som utförs av Riksrevisionen eller, i den ut- sträckning regeringen föreskriver det, av någon annan myndighet. Uppgift som behövs för forsk- nings- eller statistikändamål och uppgift, som inte genom namn, annan identitetsbeteckning eller därmed jämförbart förhållande är direkt hänförlig till den en- skilde, får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider skada eller men. Detsamma gäller en uppgift som avser en av- liden och som rör dödsorsak eller dödsdatum, om uppgiften behövs i ett nationellt eller regionalt kva- litetsregister enligt patientdatalagen (0000:00).

Författningsförslag

SOU 2006:82

kan antas att fara uppkommer	den, om det kan antas att fara
för att den som har gjort an-	uppkommer för att den som har
mälan eller avgivit utsagan eller	gjort anmälan eller avgivit ut-
någon honom eller henne närstå-	sagan eller någon honom eller
ende utsätts för våld eller annat	henne närstående utsätts för våld
allvarligt men om uppgiften röjs.	eller annat allvarligt men om upp-
	giften röjs.

I fråga om uppgift i allmän handling gäller sekretessen i högst femtio år.

9kap.

4 §

Sekretess gäller i sådan särskild verksamhet hos myndighet som avser framställning av statistik för uppgift som avser enskilds per- sonliga eller ekonomiska förhål- landen och som kan hänföras till den enskilde. Detsamma gäller annan jämförbar undersökning som utförs av Riksrevisionen eller, i den utsträckning rege- ringen föreskriver det, av någon annan myndighet. Uppgift som behövs för forsknings- eller sta- tistikändamål och uppgift, som inte genom namn, annan identi- tetsbeteckning eller därmed jäm- förbart förhållande är direkt hän- förlig till den enskilde, får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon honom närstående lider skada eller men.

SOU 2006:82

Författningsförslag

I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år, såvitt angår uppgift om enskilds personliga förhållanden, och annars i högst tjugo år.

14 kap.

2 §

Sekretess hindrar inte att uppgift i annat fall än som avses i 1 § lämnas till myndighet, om uppgiften behövs där för

1.förundersökning, rättegång, ärende om disciplinansvar eller skiljande från anställning eller annat jämförbart rättsligt förfarande vid myndigheten mot någon rörande hans deltagande i verksam- heten vid den myndighet där uppgiften förekommer,

2.omprövning av beslut eller åtgärd av den myndighet där upp- giften förekommer, eller

3.tillsyn över eller revision hos den myndighet där uppgiften förekommer.

Sekretess hindrar inte att uppgift lämnas i muntligt eller skriftligt yttrande av sakkunnig till domstol eller myndighet som bedriver förundersökning i brottmål.

Sekretess hindrar inte att uppgift om enskilds adress, telefon- nummer och arbetsplats eller uppgift i form av fotografisk bild av enskild lämnas till en myndighet, om uppgiften behövs där för del- givning enligt delgivningslagen (1970:428). Uppgift hos myndighet som driver televerksamhet om enskilds telefonnummer får dock, om den enskilde hos myndigheten begärt att abonnemanget skall hållas hemligt och uppgiften omfattas av sekretess enligt 9 kap. 8 § tredje stycket, lämnas ut endast om den myndighet som begär upp- giften finner att det kan antas att den som söks för delgivning håller sig undan eller att det annars finns synnerliga skäl.

Sekretess hindrar inte att uppgift som angår misstanke om brott lämnas till åklagarmyndighet, polismyndighet eller annan myndig- het som har att ingripa mot brottet, om fängelse är föreskrivet för brottet och detta kan antas föranleda annan påföljd än böter.

För uppgift som omfattas av sekretess enligt 7 kap. 1 c–6 och 34 §§, 8 kap. 8 § första stycket, 9 eller 15 § eller 9 kap. 4 eller 7 §, 8 § första eller andra stycket eller 9 § gäller vad som föreskrivs i fjärde stycket endast såvitt angår misstanke om

1.brott för vilket inte är föreskrivet lindrigare straff än fängelse i ett år,

2.försök till brott för vilket inte är föreskrivet lindrigare straff än fängelse i två år eller

Författningsförslag SOU 2006:82

3. försök till brott för vilket inte är föreskrivet lindrigare straff än fängelse i ett år, om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskydds- lagen (2004:168),

om inte annat följer av sjätte–åttonde styckena.

Sekretess enligt 7 kap. 1 c §,	Sekretess enligt 7 kap. 1 c §,
4 § eller 34 § hindrar inte att	1 e §, 4 § eller 34 § hindrar inte
uppgift som angår misstanke om	att uppgift som angår misstanke
brott	om brott
1. enligt 3, 4 eller 6 kap. brotts-	1. enligt 3, 4 eller 6 kap. brotts-
balken eller	balken eller
2. som avses i lagen (1982:316)	2. som avses i lagen (1982:316)
med förbud mot könsstympning	med förbud mot könsstympning
av kvinnor,	av kvinnor,
mot någon som inte har fyllt	mot någon som inte har fyllt
arton år lämnas till åklagarmyn-	arton år lämnas till åklagarmyn-
dighet eller polismyndighet.	dighet eller polismyndighet.

Sekretess enligt 7 kap. 4 § första stycket eller andra stycket första meningen hindrar vidare inte att uppgift, som angår miss- tanke om

1.överlåtelse av narkotika i strid med narkotikastrafflagen (1968:64),

2.överlåtelse av dopningsmedel i strid med lagen (1991:1969) om förbud mot vissa dopningsmedel eller

3.icke ringa fall av olovlig försäljning eller anskaffning av alko- holdrycker enligt alkohollagen (1994:1738),

till den som inte fyllt arton år, lämnas till åklagarmyndighet eller polismyndighet.

Sekretess som avses i sjunde stycket hindrar vidare inte att uppgift som behövs för ett omedelbart polisiärt ingripande lämnas till polismyndighet när någon som kan antas vara under arton år påträffas av personal inom socialtjänsten under förhållanden som uppenbarligen innebär överhängande och allvarlig risk för den unges hälsa eller utveckling. Detsamma gäller om den unge påträffas när han eller hon begår brott.

Sekretess enligt 7 kap. 1 c § och 4 § första och tredje stycke- na hindrar inte att uppgift om enskild, som inte fyllt arton år eller som fortgående missbrukar alkohol, narkotika eller flyktiga

Sekretess enligt 7 kap.	1 c §,
1 e § och 4 § första och	tredje

styckena hindrar inte att uppgift om enskild, som inte fyllt arton år eller som fortgående miss- brukar alkohol, narkotika eller

SOU 2006:82

Författningsförslag

lösningsmedel, eller närstående till denne lämnas från myndig- het inom hälso- och sjukvården och socialtjänsten till annan så- dan myndighet, om det behövs för att den enskilde skall få nödvändig vård, behandling eller annat stöd. Detsamma gäller i fråga om lämnande av uppgift om gravid kvinna eller närstå- ende till henne, om det behövs för en nödvändig insats till skydd för det väntade barnet.

Nuvarande lydelse

flyktiga lösningsmedel, eller när- stående till denne lämnas från myndighet inom hälso- och sjuk- vården och socialtjänsten till annan sådan myndighet, om det behövs för att den enskilde skall få nödvändig vård, behandling eller annat stöd. Detsamma gäller i fråga om lämnande av uppgift om gravid kvinna eller närstå- ende till henne, om det behövs för en nödvändig insats till skydd för det väntade barnet.

16 kap.

1 §

Att friheten enligt 1 kap. 1 § tryckfrihetsförordningen och 1 kap. 2 § yttrandefrihetsgrundlagen att meddela och offentliggöra upp- gifter i vissa fall är begränsad framgår av 7 kap. 3 § första stycket 1 och 2, 4 § 1–8 samt 5 § 1 och 3 tryckfrihetsförordningen och av 5 kap. 1 § första stycket samt 3 § första stycket 1 och 2 yttrandefri- hetsgrundlagen. De fall av uppsåtligt åsidosättande av tystnadsplikt, i vilka nämnda frihet enligt 7 kap. 3 § första stycket 3 och 5 § 2 tryck- frihetsförordningen samt 5 kap. 1 § första stycket och 3 § första stycket 3 yttrandefrihetsgrundlagen i övrigt är begränsad, är de där tystnadsplikten följer av

–– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

3.denna lag enligt

–– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

7 kap. 1 c §	såvitt avser uppgift om annat
	än verkställigheten av beslut om
	omhändertagande eller beslut om
	vård utan samtycke

Författningsförslag

SOU 2006:82

Föreslagen lydelse

16 kap.

1 §

–– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

3.denna lag enligt

–– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

7 kap. 1 c eller 1 e §	såvitt avser uppgift om annat
	än verkställigheten av beslut om
	omhändertagande eller beslut om
	vård utan samtycke

Denna lag träder i kraft den 1 januari 2008.

SOU 2006:82

Författningsförslag

3Förslag till

lag om ändring i lagen (2001:499) om omskärelse av pojkar

Härigenom föreskrivs i fråga om lagen (2001:499) om omskä- relse av pojkar att 2 § skall ha följande lydelse.

Nuvarande lydelse		Föreslagen lydelse
	2 §
När läkare utför	omskärelse	När läkare utför	omskärelse
enligt denna lag eller när läkare		enligt denna lag eller när läkare
eller sjuksköterska	ombesörjer	eller sjuksköterska	ombesörjer
smärtlindring enligt	denna lag	smärtlindring enligt	denna lag
gäller lagen (1998:531) om yrkes-		gäller lagen (1998:531) om yrkes-
verksamhet på hälso- och sjuk-		verksamhet på hälso- och sjuk-
vårdens område, patientskade-		vårdens område, patientskade-
lagen (1996:799) och patient-		lagen (1996:799) och patient-
journallagen (1985:562).		datalagen (0000:00).

Denna lag träder i kraft den 1 januari 2008.

Författningsförslag

SOU 2006:82

4Förslag till

lag om ändring i lagen (2002:297) om biobanker i hälso- och sjukvården m.m.

Härigenom föreskrivs i fråga om lagen (2002:297) om biobanker i hälso- och sjukvården m.m.

dels att 3 kap. 7 § och rubriken närmast före 4 kap. 6 § skall ha följande lydelse,

dels att det i lagen skall införas nya paragrafer, 4 kap. 4 a och 6 a §§, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

3 kap.

7 §

Uppgifter om information och	Uppgifter om information och
samtycke m.m. enligt 1–6 §§ skall	samtycke m.m. enligt 1–6 §§ skall
dokumenteras på lämpligt sätt.	dokumenteras på lämpligt sätt i
Särskilda bestämmelser om så-	anslutning till biobanken samt i
dan dokumentation finns i 3 §	provgivarens patientjournal.
patientjournallagen (1985:562).

4 kap.

4 a §

En journalhandling inom en- skild hälso- och sjukvård som rör en viss patient skall lämnas ut på begäran av den som fått tillgång till kodat humanbiologiskt material från den patienten enligt 1 §, om patienten samtyckt till utlämnan- det av journalhandlingen. I fråga om vissa känsliga personuppgifter finns föreskrifter i personuppgifts- lagen (1998:204).

SOU 2006:82 Författningsförslag

Vägran att lämna ut	Vägran att lämna ut
vävnadsprover	vävnadsprover m.m.
	6 a §
	Frågor om utlämnande av en
	journalhandling enligt 4 a § prö-
	vas av den som är ansvarig för
	patientjournalen. Anser denne att
	journalhandlingen eller någon del
	av den inte bör lämnas ut, skall
	han eller hon genast med eget ytt-
	rande överlämna frågan till Social-
	styrelsen för prövning.
	Ifråga om överklagande av
	Socialstyrelsens beslut enligt första
	stycket gäller i tillämpliga delar
	bestämmelserna i 15 kap. 7 § sekre-
	tesslagen (1980:100).

Denna lag träder i kraft den 1 januari 2008.

Författningsförslag

SOU 2006:82

5Förslag till

lag om ändring i lagen (2005:225) om rättsintyg i anledning av brott

Härigenom föreskrivs i fråga om lagen (2005:225) om rättsintyg i anledning av brott att 5 och 7 §§ skall ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

5 §

Ett rättsintyg får inte utfärdas utan den enskildes samtycke, om inte annat följer av andra eller tredje stycket.

Ett rättsintyg som avser en målsägande får utfärdas utan samtycke

1.vid misstanke om brott för vilket inte är föreskrivet lindrigare straff än fängelse i ett år eller försök till brott för vilket inte är stadgat lindrigare straff än fängelse i två år,

2.vid misstanke om försök till brott för vilket inte är föreskrivet lindrigare straff än fängelse i ett år om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168),

3.vid misstanke om brott enligt 3, 4 eller 6 kap. brottsbalken eller brott som avses i lagen (1982:316) med förbud mot könsstymp- ning av kvinnor, mot någon som inte har fyllt arton år, eller

4. om uppgifter, för vilka				4. om uppgifter, för vilka
gäller sekretess enligt 7 kap. 1 c §				gäller sekretess enligt 7 kap. 1 c
sekretesslagen	(1980:100)		eller	eller	1 e §	sekretesslagen
tystnadsplikt	enligt 2 kap.		8 §	(1980:100) eller tystnadsplikt en-
lagen (1998:531) om yrkesverk-				ligt 2 kap. 8 § lagen (1998:531)
samhet på hälso- och sjukvår-				om yrkesverksamhet på hälso-
dens område, har lämnats ut till				och sjukvårdens område, har läm-
polismyndighet		eller åklagar-		nats ut till polismyndighet eller
myndighet efter		samtycke	från	åklagarmyndighet efter samtycke
målsäganden.				från målsäganden.

Ett rättsintyg som avser den som är misstänkt för brott får utfärdas utan samtycke

1.i samband med kroppsbesiktning enligt 28 kap. rättegångs- balken, eller

2.om annan undersökning än kroppsbesiktning har ägt rum och det föreligger misstanke om sådant brott som avses i andra stycket 1–3.

Från en verksamhet där sek- retess gäller enligt 7 kap. 1 c eller 1 e § sekretesslagen (1980:100) eller där personalen omfattas av tystnadsplikt enligt 2 kap. 8 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område skall det till Rättsmedicinalverket utan hin- der av sekretessen eller tystnads- plikten lämnas ut sådana upp- gifter som behövs för att utfärda ett rättsintyg om

SOU 2006:82

Författningsförslag

7 § Från en verksamhet där sek-

retess gäller enligt 7 kap. 1 c § sekretesslagen (1980:100) eller där personalen omfattas av tyst- nadsplikt enligt 2 kap. 8 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens om- råde skall det till Rättsmedicinal- verket utan hinder av sekretessen eller tystnadsplikten lämnas ut sådana uppgifter som behövs för att utfärda ett rättsintyg om

1.det begärs av Rättsmedicinalverket, och

2.uppgifterna angår misstanke om sådant brott som avses i 5 § andra stycket 1–3.

Bestämmelser om utlämnande av uppgifter till polismyndighet och åklagarmyndighet i vissa fall finns i 14 kap. 2 § sekretesslagen.

––––––––––––

Denna lag träder i kraft den 1 januari 2008.

1 Vårt uppdrag och arbete

1.1Vårt uppdrag

Enligt våra ursprungliga direktiv (dir. 2003:42) skall vi utarbeta förslag till en särskild författningsreglering av nationella kvalitets- register inom hälso- och sjukvården. Vi skall även överväga om sär- skild författningsreglering behövs för de regionala cancerregistren, Socialstyrelsens donationsregister och metadonregister samt de pla- nerade vaccinations- och blodgivarregistren.

I vårt arbete stötte vi på flera frågor som gäller gränsdragningen mellan en reglering av nationella kvalitetsregister och övrigt regle- ring, främst lagen (1998:544) om vårdregister (vårdregisterlagen). Eftersom det sedan tidigare fanns ett behov av en bredare översyn av personuppgiftsbehandlingen inom hälso- och sjukvården, utvidga- des vårt uppdrag genom tilläggsdirektiv (dir. 2004:95).

Genom tilläggsdirektiven fick vi det övergripande uppdraget att se över hur behandlingen av personuppgifter inom hälso- och sjukvården regleras samt lämna förslag till en väl fungerade och sammanhängan- de reglering av området. Regleringen skall omfatta behandlingen av personuppgifter i den medicinska vården, den kvalitetsförbättrande verksamheten, forskningen och den administrativa verksamheten inom hälso- och sjukvården. Vi skall vid utformningen av våra förslag utgå från hur personuppgifter bör hanteras i syfte att öka patient- säkerheten och möjligheterna till patientmedverkan, förbättra såväl den medicinska som den ekonomiska uppföljningen samt minska administrationen samtidigt som hanteringen av personuppgifterna säkras och den personliga integriteten skyddas.

I uppdraget ingår att analysera förutsättningarna för och nyttan av en för samtliga vårdgivare sammanhållen patientjournal för varje patient, på nationell eller regional nivå. Om vi finner att en samman- hållen journal inte bör skapas eller att den av tekniska skäl inte kan genomföras inom kort, skall vi granska och analysera förutsättningarna

Vårt uppdrag och arbete

SOU 2006:82

i övrigt för att överföra personuppgifter mellan verksamheter inom allmän och enskild hälso- och sjukvård.

I uppdraget ingår vidare en översyn av bestämmelserna i patient- journallagen (1985:562) och vårdregisterlagen samt ett antal frågor som rör läkemedelsområdet.

Enligt ytterligare tilläggsdirektiv (dir. 2005:150) skall den del av uppdraget som gäller frågan om en sammanhängande lagstiftning för all behandling av personuppgifter inom hälso- och sjukvården, frågan om en sammanhållen patientjournal, kvalitetsregisterfrågor samt sek- retessfrågor med anledning av dessa uppgifter redovisas genom del- betänkande.

I vårt slutbetänkande kommer övriga delar av vårt uppdrag att behandlas. Dessa delar innefattar bl.a. frågor om en särskild författ- ningsreglering av de regionala cancerregistren och det nationella vaccinationsregister som i dag förs av Läkemedelsverket, Smittskydds- institutet och Socialstyrelsen, en översyn av regleringen av Läke- medelsverkets uppföljning av läkemedels ändamålsenlighet, frågor om landstingens möjligheter att kunna bedriva uppföljning, utvär- dering och kvalitetssäkring av läkemedelsförskrivning inom vården samt en generell översyn av lagen (1996:1156) om receptregister.

Direktiven framgår i sin helhet av bilaga 1–3.

1.2Arbetets bedrivande

Vi hade vårt första sammanträde den 11 juni 2003 och har därefter haft ytterligare 30 sammanträden inom utredningen, inklusive ett två- dagars internatsammanträde.

För att informera oss om den behandling av personuppgifter som pågår i nationella kvalitetsregister inom hälso- och sjukvården och för att inhämta synpunkter i olika avseenden har vi gjort studiebesök vid Uppsala Clinical Research Center (UCR), Nationellt kompetens- centrum för ortopedi (NKO) vid Sahlgrenska sjukhuset i Göteborg, kompetenscentrumet Eyenet Sweden i Karlskrona och regionala onkologiska centrumet vid Karolinska sjukhuset i Stockholm.

Vidare har vi besökt Helsingborgs lasarett, Husläkarna i Österåker, Psykiatrin Nordvästra Skåne, Råcksta Husläkarmottagning, Uni- versitetssjukhuset i Lund, Sophiahemmet och Vårdcentralen Ramlösa för att informera oss om dagens patientjournalföring och för att inhämta synpunkter på bl.a. frågan om en sammanhållen journal. Vi

SOU 2006:82

Vårt uppdrag och arbete

har även gjort ett studiebesök vid Regionarkivet i Skåne län för att informera oss om arkivfrågor.

Vi har under arbetets gång informerats av företrädare för Carelink, Stockholms läns landsting, Landstinget i Uppsala län, Landstinget i Östergötland, Landstinget i Dalarna, Norrbottens läns landsting och Smittskyddsinstitutet om de utvecklingsprojekt som pågår på om- rådet.

Vi har även deltagit i studiebesök vid Department of Health och National Health Service i England, vilka båda arrangerats av Sveriges Kommuner och Landsting.

Vidare har vi deltagit i olika konferenser med anknytning till vårt uppdrag.

För att få en uppfattning om hur frågan om den registrerades samtycke hanteras i samband med registerföringen i nationella kvali- tetsregister och om vilken information om registerföringen som lämnas till de registrerade har vi under hösten 2003 genomfört en enkätundersökning bland ett knappt sextiotal registerhållare för nationella kvalitetsregister.

Vidare har vi under hösten 2005 låtit Statistiska centralbyrån genomföra en enkätundersökning. Syftet med undersökningen var att få fram allmänhetens inställning till skapandet av en enda elek- tronisk journal för varje patient och till andra frågor som rör patient- journaler. En kort sammanfattning av undersökningen återfinns i bilaga 4.

Vi har även anordnat hearingar till vilka företrädare för ett stort antal patient-, anhörig- och pensionärsorganisationer samt yrkes- förbund inom hälso- och sjukvården bjudits in.

Under arbetets gång har vi har mottagit skriftliga och muntliga synpunkter från allmänheten rörande vårt uppdrag.

I enlighet med direktiven har samråd ägt rum med InfoVU-pro- jektet, Carelink, Näringslivets Regelnämnd (NNR) och general- direktören Karin Lindell, som haft i uppdrag att biträda Justitie- departementet med en analys rörande försäkringsbolags tillgång till patientjournaler (Ju 2004:C). Vidare har under arbetets gång samråd skett med Nationell psykiatrisamordning (S 2003:09) och Utred- ningen om ett nationellt register över personer som utövar alternativ- eller komplementärmedicin (S 2004:03) samt – på sekretariatsnivå – med Ansvarskommittén (Fi 2003:02). Vi har även haft möten med företrädare för Socialstyrelsen och Sveriges Kommuner och Lands- ting.

Vårt uppdrag och arbete

SOU 2006:82

Slutligen har utredningen varit representerad i Referensgruppen till Nationella ledningsgruppen för IT i vård och omsorg.

1.3Betänkandets disposition

Efter de inledande bakgrundsavsnitten innehåller betänkandet i av- snitt 6 några allmänna utgångspunkter för våra överväganden. I avsnitt 7 och 8 behandlas våra förslag om en ny lag och dess grund- läggande bestämmelser om personuppgiftsbehandling. Frågan om det bör införas sammanhållna patientjournaler behandlas i avsnitt 9. I avsnitt 10 redogörs för våra överväganden i fråga en ny reglering av patientjournalföringen. Våra förslag om öppnade möjligheter till sammanhållen journalföring redovisas i avsnitt 11. (En lathund över hur patientuppgifter får göras tillgängliga vid sammanhållen journal- föring finns i bilaga 5). I avsnitt 12 och 13 behandlar vi frågor om inre sekretess och om vårdgivare skall kunna medge sina patienter direktåtkomst till deras vårddokumentation. Avsnitt 14–17 behand- lar frågor om överföring av personuppgifter i individinriktad verk- samhet, om möjligheter till personuppgiftsbehandling för verksam- hetsuppföljning, om kvalitetsregister och om patientuppgifter och forskning inom hälso- och sjukvården. I avsnitt 18 tas allmänna frågor och bestämmelser upp. Avsnitt 19 behandlar ikraftträdande- och övergångsbestämmelser. I avsnitt 20 beskrivs konsekvenserna av våra förslag. Avsnitt 21 innehåller en författningskommentar.

2 Hälso- och sjukvård och IT

2.1Hälso- och sjukvårdens organisation

2.1.1Ansvaret för hälso- och sjukvården

Hälso- och sjukvården är en central del av välfärden. De grundläg- gande principerna för den svenska hälso- och sjukvården är att den skall ges på lika villkor och efter behov, styras demokratiskt och vara solidariskt finansierad. I det svenska sjukvårdssystemet är ansva- ret för hälso- och sjukvården delat mellan staten, som fastslår målen för hälso- och sjukvården, respektive landstingen och kommunerna, som har verksamhets- och finansieringsansvaret. Det demokratiska inflytandet över hälso- och sjukvården utövas till stor del av kom- munala politiska församlingar med beskattningsrätt och självstän- dighet i förhållande till riksdag, regering och statliga myndigheter.

Staten ansvarar för den övergripande hälso- och sjukvårdspoli- tiken. Under regeringen lyder myndigheter med uppgifter inom hälso- och sjukvården. Den största myndigheten är Socialstyrelsen, som bl.a. svarar för utvecklingsaktiviteter kring vården, utfärdar rikt- linjer och föreskrifter samt ansvarar för tillsynen av hälso- och sjuk- vården och hälso- och sjukvårdspersonalen. Hälso- och sjukvårdens ansvarsnämnd (HSAN) utreder anmälningar mot hälso- och sjuk- vårdspersonal i samband med vård, undersökning och behandling av patienter. Statens Beredning för Medicinsk Utvärdering (SBU) granskar den vetenskapliga grunden för den medicinska vården. Läkemedelsverket svarar bl.a. för godkännande av läkemedel. Läke- förmånsnämnden beslutar om vilka läkemedel som skall ingå i läke- medelsförmånerna och sätter pris på dessa. Smittskyddsinstitutet bevakar det epidemiologiska läget i landet. Staten ansvarar också för och bedriver hälso- och sjukvård i viss begränsad omfattning med anknytning till annan myndighetsverksamhet, t.ex. inom kriminal- vården och försvaret.

Hälso- och sjukvård och IT

SOU 2006:82

Landstingens och kommunernas ansvar för hälso- och sjukvården regleras i hälso- och sjukvårdslagen (1982:763) och tandvårdslagen (1985:125).

I hälso- och sjukvårdslagen finns också grundläggande bestämmel- ser om mål och krav på hälso- och sjukvården. Dessa bestämmelser gäller all hälso- och sjukvård, dvs. inte bara sådan som bedrivs av landsting och kommuner. Målet för hälso- och sjukvården är enligt 2 § hälso- och sjukvårdslagen bl.a. en god hälsa. Vården skall ges med respekt för alla människors lika värde och för den enskilda människans värdighet. Hälso- och sjukvården skall enligt 2 a § hälso- och sjukvårdslagen bedrivas så att den uppfyller kraven på en god vård. Detta innebär bl.a. att vården skall vara av god kvalitet, vara trygg och säker för patienten, vara lätt tillgänglig, bygga på respekt för patientens självbestämmande och integritet samt främja goda kon- takter mellan patienten och hälso- och sjukvårdspersonalen. Vården och behandlingen skall så långt det är möjligt utformas och genom- föras i samråd med patienten. Från och med den 1 januari 2007 gäller vidare att vården skall tillgodose patientens behov av konti- nuitet och säkerhet i vården och att olika insatser för patienten skall samordnas på ett ändamålsenligt sätt.

När det mer specifikt gäller landstingens ansvar för hälso- och sjukvård framgår av 3 § hälso- och sjukvårdslagen att varje landstings huvuduppgift är att erbjuda en god hälso- och sjukvård åt befolk- ningen inom landstinget.

Det finns även ett särskilt planerings- och samverkansansvar för landstinget (se 7 och 8 §§ hälso- och sjukvårdslagen). Landstinget skall planera sin hälso- och sjukvård med utgångspunkt i befolk- ningens behov av sådan vård. Planeringen skall avse även den hälso- och sjukvård som erbjuds av privata och andra vårdgivare. I plane- ringen och utvecklingen av hälso- och sjukvården skall landstinget samverka med samhällsorgan, organisationer och privata vårdgivare.

Det kommunala ansvaret för hälso- och sjukvård är begränsat till vissa särskilda grupper, i huvudsak äldre personer och vissa grupper med fysiska eller psykiska funktionshinder. Kommunerna skall således erbjuda en god hälso- och sjukvård åt dem som bor i vissa särskilda boendeformer (se 5 kap. 5 § andra stycket, 5 kap. 7 § tredje stycket och 7 kap. 1 § första stycket 2 socialtjänstlagen [2001:453]) Varje kommun skall även erbjuda en god hälso- och sjukvård åt dem som vistas i sådan dagverksamhet som kommunerna har ansvar för enligt 3 kap. 6 § socialtjänstlagen.

SOU 2006:82

Hälso- och sjukvård och IT

När det gäller hälso- och sjukvård i hemmet (hemsjukvård) ligger det primära ansvaret i dag på landstinget även om kommunerna i 18 § andra stycket hälso- och sjukvårdslagen har getts befogenhet att er- bjuda dem som vistas i kommunen hemsjukvård. En skiljelinje mellan landstingens och kommunernas ansvarsområde är att kommuner- nas ansvar och befogenheter enligt 18 § hälso- och sjukvårdslagen inte omfattar sådan hälso- och sjukvård som meddelas av läkare.

Kommunen har på samma sätt som landstinget ett särskilt pla- nerings- och samverkansansvar för sin hälso- och sjukvård (20 och 21 §§ hälso- och sjukvårdslagen).

Enligt 5 § tandvårdslagen skall varje landsting erbjuda en god tand- vård åt bl.a. dem som är bosatta inom landstinget.

Det finns även i tandvårdslagen ett särskilt planerings- och sam- verkansansvar för landstinget (se 8 och 9 §§). Landstinget skall planera tandvården med utgångspunkt i befolkningens behov av tandvård. Landstinget skall se till att det finns tillräckliga resurser för patien- ter med särskilda behov av tandvårdsinsatser och att patientgrupper med behov av särskilt stöd erbjuds tandvård. Planeringen skall avse även den tandvård som erbjuds av annan än landstinget. I planeringen och utvecklingen av tandvården skall landstinget samverka med sam- hällsorgan, organisationer och enskilda.

Ansvarskommittén är en parlamentarisk kommitté som skall undersöka den nuvarande samhällsorganisationens förutsättningar att klara de offentliga välfärdsåtagandena (dir. 2003:10). En utgångs- punkt för kommittén är att en långtgående kommunal självstyrelse inom ramen för ett starkt nationellt ansvar för likvärdig välfärd i hela landet skall bibehållas. Kommitténs arbete omfattar en rad huvud- frågor såsom bl.a. omfattningen av det samlade kommunala upp- draget - vilka uppgifter den kommunala nivån skall ansvara för samt struktur- och uppgiftsfördelningen mellan staten, landstingen och kommunerna när det gäller hälso- och sjukvård.

Kommittén skall redovisa resultaten av sitt arbete senast den 28 februari 2007

2.1.2Driftsformer

Landstingets skyldighet att erbjuda en god hälso- och sjukvård enligt 3 § hälso- och sjukvårdslagen innebär inte att landstinget självt måste bedriva verksamheten (prop. 1981/82:97 s. 33). Detsamma gäller

Hälso- och sjukvård och IT

SOU 2006:82

kommuns skyldighet att erbjuda en god hälso- och sjukvård enligt 18 § samma lag.

Ett landsting har i 3 § tredje stycket hälso- och sjukvårdslagen uttryckligen medgetts rätt att sluta avtal med någon annan om att utföra de uppgifter som landstinget ansvarar för enligt hälso- och sjukvårdslagen. Motsvarande bestämmelse i fråga om tandvård finns i 5 § tredje stycket tandvårdslagen. I 18 § femte stycket hälso- och sjukvårdslagen har en kommun getts samma rätt att sluta avtal i fråga om de uppgifter som kommunen ansvarar för enligt hälso- och sjuk- vårdslagen. Sådana uppgifter som innefattar myndighetsutövning får dock inte med stöd av nämnda bestämmelser överlämnas till ett bo- lag, en förening, en samfällighet, en stiftelse eller en enskild individ.

Den 1 januari 2006 trädde nya bestämmelser i hälso- och sjuk- vårdslagen i kraft. Dessa innebär att uppgiften att bedriva hälso- och sjukvård som ges vid ett regionsjukhus eller en regionklinik inte får överlämnas till någon annan. Vidare föreskrivs att varje landsting skall driva minst ett sjukhus i det egna landstinget i egen regi. Över- lämnar landstinget driften av hälso- och sjukvård vid övriga sjukhus till någon annan, skall avtalet innehålla villkor om att verksamheten skall drivas utan syfte att ge vinst åt ägare eller motsvarande intressent, och att vården skall bedrivas uteslutande med offentlig finansiering och vårdavgifter. Lagändringarna gäller inte sådan hälso- och sjuk- vårdsverksamhet där avtal om drift har träffats före ikraftträdandet.

Större delen av den svenska hälso- och sjukvården bedrivs av kom- muner och landsting i egen regi, dvs. i förvaltningsform. Det har emellertid blivit mer vanligt förekommande att vårdverksamhet över- lämnas att utföras av privata vårdgivare såsom privatägda aktiebolag och stiftelser. Vidare har viss verksamhet överlämnats att utföras av kommun- eller landstingsägda aktiebolag. Verksamhet utförs även av enskilda privatpraktiserande läkare och sjukgymnaster som har samverkansavtal med ett landsting och som får ersättning enligt lagen (1993:1651) om läkarvårdsersättning respektive lagen (1993:1652) om ersättning för sjukgymnastik.

Även om ett landsting låter privata entreprenörer utföra vården, svarar landstinget fortfarande i egenskap av huvudman för den utlagda verksamhetens innehåll och har kvar sitt vårdansvar enligt hälso- och sjukvårdslagen (se prop. 2004/05:145 s. 10).

Hälso- och sjukvård kan även bedrivas helt i privat regi utan att något avtal föreligger med landstinget och utan inslag av offentlig finansiering. I dessa fall ansvarar inte landstinget eller kommunen i

SOU 2006:82

Hälso- och sjukvård och IT

egenskap av huvudman för verksamheten. Socialstyrelsen utövar dock tillsyn även över den helt privatfinansierade hälso- och sjukvården.

2.1.3Ledningen av hälso- och sjukvården

Ansvariga nämnder

I 10 § hälso- och sjukvårdslagen och 11 § tandvårdslagen sägs att ledningen av landstingens hälso- och sjukvård och av folktandvår- den skall utövas av en eller flera nämnder. För en sådan nämnd gäller vad som är föreskrivet om nämnder i kommunallagen (1991:900). I flertalet av landstingen utövas ledningen av hälso- och sjukvården av landstingsstyrelsen eller av hälso- och sjukvårdsnämnder. I Stockholms läns landsting har i stället inrättats en beställarorgani- sation med ett hälso- och sjukvårdsutskott (beställare) och ett ägar- utskott (producent).

Ledningen av kommunens hälso- och sjukvård utövas enligt 22 § hälso- och sjukvårdslagen av den eller de nämnder som kommunfull- mäktige enligt 2 kap. 4 § socialtjänstlagen bestämmer. I en kommun som inte ingår i ett landsting utövas ledningen av den hälso- och sjuk- vård som avses i 18 § första eller andra stycket hälso- och sjukvårds- lagen i enlighet med 10 § nämnda lag.

När det gäller frågan vilka organisatoriska enheter inom hälso- och sjukvården som utgör myndigheter anses varje nämnd med tillhö- rande förvaltningsorgan utgöra en egen myndighet.

Den 1 juli 2003 trädde lagen (2003:192) om gemensam nämnd inom vård- och omsorgsområdet i kraft. Lagen ger ett landsting och en eller flera kommuner som ingår i landstinget rätt att genom samver- kan i en gemensam nämnd gemensamt fullgöra landstingets uppgifter enligt bl.a. hälso- och sjukvårdslagen och tandvårdslagen och kom- munens uppgifter enligt bl.a. hälso- och sjukvårdslagen.

Privata vårdgivare

När det gäller den enskilda hälso- och sjukvården ger den associations- rättsliga lagstiftningen besked om vem som bär ansvaret för hur verk- samheten organiseras. Om vårdverksamheten bedrivs i exempelvis aktiebolagsform ansvarar bolagets styrelse (se prop. 1995/96:176 s. 57).

Hälso- och sjukvård och IT

SOU 2006:82

Verksamhetschef

Enligt 29 § första stycket hälso- och sjukvårdslagen skall det inom hälso- och sjukvård finnas någon som svarar för verksamheten (verk- samhetschef). Detta gäller oavsett om verksamheten är allmän eller enskild. Verksamhetschefen behöver inte tillhöra hälso- och sjukvårds- personalen utan kan tillhöra annan yrkeskategori (prop. 1995/96:176 s. 104). Verksamhetschefen får dock bestämma över diagnostik eller vård och behandling av enskilda patienter endast om han eller hon har tillräcklig kompetens och erfarenhet för detta.

Medicinskt ansvarig sjuksköterska

Av 24 § hälso- och sjukvårdslagen följer att det inom det verksam- hetsområde som kommunen bestämmer över skall finnas en medicinskt ansvarig sjuksköterska. Denna sjuksköterska skall svara för att det finns sådana rutiner att kontakt tas med läkare eller annan hälso- och sjukvårdspersonal när en patients tillstånd fordrar det samt att beslut om att delegera ansvar för vårduppgifter är förenliga med säkerheten för patienterna. Sjuksköterskan skall vidare svara för att anmälan görs till den nämnd som har ledningen av hälso- och sjuk- vårdsverksamheten, om en patient i samband med vård eller behand- ling drabbats av eller utsatts för risk att drabbas av allvarlig skada eller sjukdom.

Den medicinskt ansvariga sjuksköterskan är underställd verk- samhetschefen i de fall de båda uppdragen inte är förenade (prop. 1995/96:176 s. 104).

2.1.4Hälso- och sjukvård på tre nivåer

Hälso- och sjukvården inom landstingens ansvarsområde kan delas in i tre nivåer: 1) primärvård, 2) länssjukvård och 3) region- och riks- sjukvård.

SOU 2006:82

Hälso- och sjukvård och IT

Primärvård

Primärvården utgör basen för det svenska sjukvårdssystemet. Pri- märvård bedrivs vid drygt tusen vårdcentraler, distriktssköterske- mottagningar, familjeläkarenheter och privata läkarmottagningar med vilka landstingen har entreprenadavtal.

Primärvården skall kunna tillgodose de flesta patienters behov, och svarar för insatser där sjukhusens resurser inte krävs. Många patienter med kroniska åkommor går på regelbundna kontroller i primärvården. I de fall diagnostik och behandling behöver ske med ytterligare resursinsatser remitteras patienten till specialister inom länssjukvården.

Länssjukvård

När diagnostik eller behandling kräver resurser utöver primärvårds- nivån, remitteras patienter från primärvård till en specialistläkarmot- tagning utanför eller vid sjukhus. Många patienter söker sig direkt till sjukhusens mottagningar eller har fortlöpande kontakter med någon specialistläkarmottagning. Sjukhusen inom länssjukvården in- delas traditionellt i länsdels- och länssjukhus. Det finns över tjugo länssjukhus och ett fyrtiotal länsdelssjukhus i Sverige.

Region- och rikssjukvård

Enligt 9 § hälso- och sjukvårdslagen får regeringen föreskriva att landet skall delas in i regioner för den hälso- och sjukvård som berör flera landsting. Landstingen skall samverka i frågor som rör sådan hälso- och sjukvård. Enligt förordningen (1982:777) om rikets in- delning i regioner för hälso- och sjukvård som berör flera landstings- kommuner skall riket vara indelat i sex regioner. I varje sjukvårds- region har inrättats en samverkansnämnd, vars uppgift bl.a. är att inom regionen samordna den högspecialiserade vården. En samverkans- nämnd torde ha enbart en rådgivande funktion.

Det finns nio regionsjukhus i Sverige. Där behandlas sällsynta och komplicerade sjukdomar och skador efter remiss från länssjuk- vården. Landsting och regioner som inte har ett eget regionsjukhus har avtal med ett annat landsting eller annan region som kan ta emot patienter till den högspecialiserade vården.

Hälso- och sjukvård och IT

SOU 2006:82

Regionsjukhusens sjukhusverksamhet omfattar förutom region- sjukvården även länsdelssjukvård till närboende och länssjukvård för det egna landstinget.

Den 1 januari 2007 träder bestämmelser om rikssjukvård i kraft (9 a och b §§ hälso- och sjukvårdslagen). Med rikssjukvård avses hälso- och sjukvård som bedrivs av ett landsting och som samord- nas med landet som upptagningsområde. Socialstyrelsen beslutar vilken hälso- och sjukvård som skall utgöra rikssjukvård. Rikssjuk- vården skall samordnas till enheter där en hög vårdkvalitet och en ekonomiskt effektiv verksamhet kan säkerställas. För att bedriva rikssjukvård krävs tillstånd av Socialstyrelsen.

2.2En hälso- och sjukvård i förändring

Svensk hälso- och sjukvård genomgick under 1990-talet stora för- ändringar. Bland annat genomfördes tre omfattande huvudmanna- skapsreformer, Ädelreformen (år 1992), Handikappreformen (år 1994) och Psykiatrireformen (år 1995). Vid Ädelreformen, som närmare beskrivs i avsnitt 14.2.2, infördes de skyldigheter för kommunerna att tillhandahålla hälso- och sjukvård åt äldre och funktionshindrade som regleras i hälso- och sjukvårdslagen, se ovan i avsnitt 2.1.1.

Handikappreformen innebar framför allt att en ny lag, lagen (1993:387) om stöd och service till vissa funktionshindrade (LSS), trädde i kraft. LSS innehåller bestämmelser om särskilt stöd och sär- skild service till personer med funktionshinder som ger upphov till betydande svårigheter i det dagliga livet. LSS skall komplettera de rättigheter som den enskilde kan ha enligt annan lagstiftning. Genom ändringar i hälso- och sjukvårdslagen förtydligades vidare sjukvårds- huvudmännens ansvar för habilitering, rehabilitering, hjälpmedel samt för landstingens del även tolktjänst. Kommunerna blev genom ett tillägg i då gällande socialtjänstlagen skyldiga att bedriva uppsökan- de verksamhet bland äldre och funktionshindrade och planera sina insatser i samverkan med landstinget och andra berörda.

Syftet med Psykiatrireformen var att förbättra livsvillkoren för personer med psykiska funktionshinder. Genom en ändring i den då gällande socialtjänstlagen förtydligades att kommuners ansvar för uppsökande verksamhet, planering och samverkan även avsåg per- soner med psykiska funktionshinder. Vidare fick kommunerna genom en ändring i lagen (1990:1404) om kommunernas betalningsansvar för viss hälso- och sjukvård betalningsansvaret för medicinskt färdig-

100

SOU 2006:82

Hälso- och sjukvård och IT

behandlade patienter som vårdats sammanhängande i mer än tre måna- der inom psykiatrisk heldygnsvård och som av en specialist i psykiatri bedömts vara färdigbehandlad inom sådan vård. Psykiatrireformens målgrupp utgjordes främst av personer som har långvariga och all- varliga psykiska besvär och som har svårt att klara det dagliga livet och därför har behov av vård och omsorg.

En annan förändring under 1990-talet var införandet av den fria kommunala nämndorganisationen genom vilken det blev möjligt att organisera landstingens och kommunernas verksamheter tämligen fritt. Exempelvis kan hälso- och sjukvård delas upp mellan flera olika nämnder. Sedan några år har sjukvårdshuvudmännen, dvs. landsting- en och kommunerna, också möjlighet att samverka kring uppgifter enligt hälso- och sjukvårdslagen i gemensamma nämnder, se lagen (2003:192) om gemensam nämnd inom vård- och omsorgsområdet, eller i kommunalförbund, se 3 kap. 20 § kommunallagen (1991:900).

Under 1990-talet stärktes patientens ställning i hälso- och sjuk- vården genom olika reformer. I hälso- och sjukvårdslagen och lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område infördes bestämmelser som preciserar vårdgivarnas respektive hälso- och sjukvårdspersonalens skyldigheter att ge patienten en indivi- duellt anpassad information om sitt hälsotillstånd och om de olika metoder för undersökning, vård och behandling som finns. Vidare blev vårdgivarna respektive hälso- och sjukvårdspersonalen skyldiga att ta hänsyn till patientens val av behandling där två eller flera alter- nativ är möjliga och att i vissa situationer medverka till att patienten får möjlighet att diskutera sin sjukdom och behandling med ytter- ligare en läkare (s.k. second opinion). Andra reformer avsåg vård- garantin och möjligheten att välja vårdgivare.

Hälso- och sjukvården har under senare år genomgått stora struk- turförändringar och antalet driftsformer inom sjukvården är i dag fler än för bara några år sedan. I dag är det vidare allt mer vanligt att patienter vårdas och behandlas av olika vårdgivare, inte sällan i en vårdkedja. Ett stort antal privata vårdgivare ingår numera regelmässigt i vårdkedjan. Det blir alltså allt vanligare att patienter har kontakt med flera olika vård- och omsorgsgivare samtidigt eller flyttas mellan dem. Det sagda innebär att det antal yrkesutövare som direkt invol- veras i vården av en enskild patient ökar. Det allt friare vårdvalet innebär dessutom en möjlighet att geografisk vårdgivartillhörighet oftare kan komma att ersättas av individuellt vald tillhörighet utan- för det geografiska närområdet. Den fria rörligheten av personer inom EU innebär dessutom möjligheter till gränsöverskridande vård.

101

Hälso- och sjukvård och IT

SOU 2006:82

Vidare sker i dag en förskjutning av vård från traditionell sjukhus- miljö till hemmiljö, både i ordinärt och särskilt boende. Internet innebär en viktig förutsättning för utveckling av möjligheterna att ge allt mer vård i hemmiljö och för att kunna använda specialist- kompetens inom hälso- och sjukvården på ett sätt så att förutsätt- ningarna för att erhålla en lika god vård oavsett bosättningsort förbättras. De senaste årens utveckling mot kortare vårdtider och allt större rörlighet för både patienter och personal kommer av allt att döma att fortsätta framöver. Samtidigt har patienternas inflytande och kännedom om rätten till information m.m. ökat. Den ökade Internet-användningen innebär även att enskilda i allt större utsträck- ning kommer att på egen hand söka efter kvalitetssäkrad informa- tion om t.ex. sjukdomar, läkemedel och egenvård och efterfråga möjligheter att kontakta vården via Internet för att t.ex. boka tider, förnya recept eller få rådgivning. Sammantaget innebär dessa faktorer att de krav som samhället, patienterna och omvärlden ställer på patientdokumentation och annan informationshantering inom hälso- och sjukvården har ökat.

Svensk hälso- och sjukvård står nu inför en rad stora kvalitativa, strukturella och finansiella utmaningar. Den demografiska utveck- lingen framöver medför att andelen äldre personer i befolkningen ökar i förhållande till andelen personer i förvärvsaktiv ålder. Den medicinska och medicintekniska utvecklingen innebär samtidigt nya möjligheter till vård och behandling. Möjligheter som i största möj- liga utsträckning måste tas tillvara för att medborgarnas framtida behov av vård skall kunna tillgodoses. En utvecklad och samordnad användning av IT-stöd är också en viktig förutsättning för att höja vårdens kvalitet och att ytterligare förbättra patientsäkerheten och därmed bidra till en effektivisering av sjukvården. Genom IT-stöd kan även en effektivare resursanvändning komma till stånd genom en utvecklad analys- och uppföljningsverksamhet. Både EU och WHO har pekat ut e-hälsa som ett av de mest centrala verktygen för att vård- och omsorgssektorn skall kunna möta framtida utmaningar. E-hälsa är det internationella samlingsnamnet för användningen av informations- och kommunikationsteknik inom hälso- och sjukvår- den. Dessa faktorer är viktiga att beakta när det gäller såväl struktu- rella frågor som den organisatoriska utformningen av både ledningen och styrningen av hälso- och sjukvården och den direkt vårdande delen av verksamheten som mer individinriktade frågor som vårdens utformning i ett patientperspektiv, hantering av vårddokumenta- tion etc.

102

SOU 2006:82

Hälso- och sjukvård och IT

Som nämnts tidigare har Ansvarskommittén i uppdrag att bl.a. analysera och vid behov föreslå förändringar av hälso- och sjuk- vårdens struktur och nuvarande uppgiftsfördelning mellan staten, landstingen och kommunerna. Resultatet av kommitténs arbete, vilket skall redovisas senast den 28 februari 2007, kan komma att påverka hur vård- och omsorgssektorn skall organiseras och finansieras i framtiden.

2.3IT-användning i hälso- och sjukvården

Det finns ingen officiell statistik eller sammanställning av IT-an- vändningen inom den allmänna eller enskilda hälso- och sjukvården.

Landstingens IT-chefer gör dock via sin intresseförening SLIT (Sveriges Landstings IT-chefer) sedan flera år en egen inventering av- seende system, utveckling och kostnader för IT-stöd. Rapporten IT- stöd inom landstingen i Sverige, som publicerades i juni 2006, inne- håller en sammanfattning av resultaten från 2006 års systeminven- tering med fokus på IT-stöd i det direkta vårdarbetet. Av rapporten framgår att införandet av IT-stöd för vårddokumentation är i princip fullständigt genomfört inom primärvården. Sjukhus och psykiatri har datorstödd vårddokumentation till 69 respektive 75 procent. IT-stöd för tandvårdsjournal är i det närmaste helt införd i alla landsting.

I nämnda rapport anges vidare att de flesta landsting har eller kommer att ha samma IT-stöd för vårddokumentation för sjukhus, psykiatri och primärvård och att de flesta landsting också väljer att skapa en gemensam databas med åtkomst enligt konceptet ”en patient

– en journal ” inom landstinget.

I fråga om IT-stöd för patientadministration – varmed avses IT- stöd för kassa, tidbok, ekonomihantering m.m. – anges i rapporten att samtliga landsting har sådant IT-stöd sedan många år. Vidare anges att patientadministrationen i dag till stor del integreras i de journalsystem som införts i många landsting.

Enligt nämnda rapport har ungefär hälften av alla landsting helt elektronisk remiss- och svarshantering för röntgen och klinisk kemi. Det är dock inte i dag möjligt att skicka remisser mellan sjukvårds- huvudmännen på grund av avsaknad av en gemensam standard.

Landstingen erbjuder olika e-tjänster som service till patienter. Enligt rapporten är de mest förekommande receptförnyelse och bok- ning/avbokning av besök.

103

3Den nationella IT-strategin och några utvecklingsprojekt

3.1Inledning

Arbetet i den nationella ledningsgruppen för IT i vård och omsorg har utmynnat i en nationell IT-strategi för vård och omsorg som kan ligga till grund för det fortsatta utvecklingsarbetet på olika nivåer. I detta kapitel ges inledningsvis en översiktlig redovisning av denna strategi. Därefter redovisas ett antal utvecklingsprojekt kring elek- troniskt utbyte av patientinformation och kring patienters möjlighet att via Internet ta del av uppgifter som sig själva. I avsnitt 3.3 be- skriver vi några sådana landstingsdrivna projekt. I avsnitt 3.4 redo- visar vi några nationella initiativ och projekt på området. Urvalet av redovisade projekt har givetvis gjorts utifrån det fokus som följer av de olika frågeställningar som Patientdatautredningen har att beakta i arbetet.

3.2Nationell IT-strategi för vård och omsorg

IT-politiska strategigruppen

Sommaren 2003 beslutade regeringen att tillsätta en IT-politisk stra- tegigrupp med uppdrag att främja informationssamhällets fortsatta utveckling i Sverige. Arbetet leds av Näringsdepartementet.

Strategigruppen tillsatte i sin tur en särskild arbetsgrupp – Arbets- gruppen för IT inom vård och omsorg – med uppdrag att ta fram en nationell strategi för IT inom vård och omsorg. Arbetsgruppen be- stod av företrädare för departement och centrala aktörer inom vård- och omsorgsområdet. Vid årsskiftet 2004/05 lämnade arbetsgruppen en rapport till IT-politiska strategigruppen för vidare hantering internt inom Regeringskansliet.

Gruppen har fortsatt som en referensgrupp i Socialdepartementets regi. Alltsedan dess är den inte längre en undergrupp till IT-politiska

105

Den nationella IT-strategin och några utvecklingsprojekt

SOU 2006:82

strategigruppen utan fungerar som referensgrupp till ledningsgrup- pen för IT i vård och omsorg (se vidare nedan).

Nationella ledningsgruppen för IT i vård och omsorg

Regeringen och Sveriges Kommuner och Landsting tog i Dagmar- överenskommelsen för år 2005 ett gemensamt initiativ till fördjupad nationell samverkan kring IT-utvecklingen inom vård- och omsorg.

Socialdepartementet tillsatte i mars 2005 den nationella lednings- gruppen för IT i vård och omsorg. I gruppen ingår representanter för Socialdepartementet, Sveriges Kommuner och Landsting, Social- styrelsen, Läkemedelsverket, Apoteket AB och Carelink.

Vidare skapades en referensgrupp av experter och branschföre- trädare för att fungera som ett rådgivande beredningsorgan till led- ningsgruppen. Referensgruppen består av representanter från andra berörda departement, utredningar (bl.a. Patientdatautredningen) och statliga myndigheter, av representanter från forskarvärlden, före- trädare för privata vårdgivare, läkemedelsindustrin och vårdens IT- leverantörer samt företrädare för vårdpersonalens nationella orga- nisationer.

Ledningsgruppens arbete har utmynnat i en nationell IT-strategi för vård och omsorg som presenterades i mars 2006 (skr. 2005/06:139). Strategin är i första hand inriktad på insatser inom hälso- och sjukvården och den del av omsorgsverksamheterna som angränsar till hälso- och sjukvårdens verksamhet. Strategin ska fungera som ett stöd för det lokala och regionala arbetet och lägga grunden till en fördjupad samverkan på nationell nivå. Avsikten är att strategin skall godkännas och tillämpas av staten, landstingen, kommunerna samt övriga vårdgivare och intressenter inom vård- och omsorgssektorn. Den nationella ledningsgruppen har fått förlängt mandat för att under år 2006 säkerställa en bred förankring samt föra en strategisk diskussion kring de beslut som behöver fattas på olika nivåer för att målen i IT-strategin skall kunna realiseras.

I IT-strategin har följande vision formulerats:

Med hjälp av ändamålsenliga IT-stöd får alla patienter god och säker vård och bra service. Vårdpersonalen kan ägna mer tid åt patienterna och anpassa vården till varje patients behov. IT an- vänds som ett strategiskt verktyg i alla delar av vården och de sam- lade vårdresurserna utnyttjas på ett mer effektivt sätt:

106

SOU 2006:82

Den nationella IT-strategin och några utvecklingsprojekt

•Medborgare, patienter och anhöriga har enkel tillgång till allsidig information om vård och hälsa samt om sin egen hälsosituation. De erbjuds bra service och är delaktiga i vården utifrån indivi- duella förutsättningar.

•Personal inom vård och omsorg har tillgång till välfungerande och samverkande IT-stöd som garanterar patientsäkerheten och underlättar deras dagliga arbete.

•Ansvariga för vård och omsorg har ändamåls enliga IT-stöd för att följa upp patientsäkerheten och vårdens kvalitet samt för verksamhetsstyrning och resursfördelning.

Vidare har det i IT-strategin fastställts fem grundläggande och stra- tegiska frågor för vårdens fortsatta utveckling, effektivisering och förnyelse som sektorns aktörer behöver ta ställning till. Ställnings- tagandena i dessa fem frågor får enligt IT-strategin direkta kon- sekvenser för den fortsatta IT-användningen i vården:

1. Förstärka medborgarnas och patienternas ställning och inflytande

Medborgarnas och patienternas ställning och inflytande i vården har förstärkts, vilket avspeglas både i allmänna värderingar och i lagstiftningen. I detta ingår att patienter och deras närstående nu har bättre tillgång till information om vården. De praktiska förut- sättningarna för att kontakta och påverka vården har också förbätt- rats, och har därigenom ökat delaktigheten i vården. Denna för- stärkning av patienternas inflytande skall fortsätta och kommer att få direkta konsekvenser för utformningen av IT-stöden i vården och för patienternas och deras närståendes tillgång på information av olika slag.

2. Ge vård utan hinder av verksamhetsmässiga och administrativa gränser samt geografi ska avstånd

Det finns en rad faktorer som gör det allt viktigare att vården fun- gerar utan hinder av verksamhetsmässiga och administrativa gränser och geografi ska avstånd. De största vårdbehoven har starkt lokal karaktär, främst vården av äldre och psykiskt sjuka. Ansvaret för dessa verksamheter delas av landstingen och kommunerna och för- utsätter ett nära samarbete. Rörligheten i befolkningen ökar i sam- band med studier, byte av arbete, bostadsort eller olika sommar- och vinterboende. Detta gör det angeläget att vården kan fungera

107

Den nationella IT-strategin och några utvecklingsprojekt

SOU 2006:82

utan avbrott även när människor flyttar eller bor på flera ställen. Andra skäl för att vården måste kunna fungera över gränser av olika slag är att många typer av vård måste koncentreras till ett begränsat antal vårdenheter, i extremfallet till en plats i landet. Vidare har patienternas rätt och möjligheter att välja vård på annan ort sedan länge varit jämförelsevis stora och har ytterligare förbättrats sedan det fria vårdvalet infördes år 2003. Den nyligen införda vård- garantin kan komma att öka rörligheten inom vården än mer.

3. Ge vårdpersonalen effektiva kvalitets- och kompetenshöjande arbetsredskap

IT i den svenska vården utnyttjas ojämnt, och används totalt sett jämförelsevis lite. Det finns därför behov av en utbyggd och mer jämn tillgång till effektiva IT-stöd. De IT-stöd som finns skall vara användarvänliga och förenkla de vardagliga rutinerna för vårdper- sonalen. Helst skall alla IT-stöd kunna hanteras med samma an- vändargränssnitt och ha gemensamma funktioner för inloggning, säkerhet och kommunikation. På detta område finns behov av för- bättringar och samarbete i vården. Det finns stora möjligheter att förbättra tillgängligheten och servicen i vården med hjälp av IT. Det finns vidare stora möjligheter att med hjälp av olika kunskaps- baserade expert- och beslutsstödssystem förstärka personalens kom- petens och därmed vårdens kvalitet. Bland annat kan risken för felaktig eller olämplig behandlig, exempelvis felaktig läkemedels- ordination, därigenom minskas. Denna utveckling har just börjat. Nationellt samarbete krävs för att den bästa expertisen skall kunna anlitas.

4. Sträva efter god resurshushållning och ekonomisk effektivitet i verksamheten

IT används sedan länge för planering, styrning och uppföljning av vårdens verksamhet. Det är självfallet viktigt att IT-stöden för dessa uppgifter fortlöpande utvecklas och förbättras. Det är vidare angeläget att med hjälp av IT förkorta väntetider och samordna vården för patienterna samt minska det administrativa arbetet för personalen. IT erbjuder också en rad möjligheter till förbättrad re- surshushållning i ett strategiskt perspektiv. En är att köpa kvalifice- rade tjänster via elektronisk kommunikation, t.ex. för diagnostik inom radiologi och laboratoriemedicin. En annan möjlighet är att kvalificerad personal kan utnyttjas mer effektivt genom att profes-

108

SOU 2006:82

Den nationella IT-strategin och några utvecklingsprojekt

sionella nätverk skapas. Det är i dag tekniskt möjligt att exempelvis samordna jourtjänstgöringen för personal inom en rad specialiteter inom landstinget, i sjukvårdsregionerna och på nationell nivå. Möjligheterna att på dessa sätt effektivisera användningen av kva- lificerade och ofta knappa resurser växer snabbt. De förutsätter i många fall samarbete mellan flera huvudmän eller samarbete på nationell och internationell nivå.

5. Skapa goda förutsättningar för IT i vården

Användningen och utbyggnaden av IT i vården försvåras av en rad generella problem och brister i förutsättningarna för att använda IT på ett effektivt sätt. Dessa problem och brister kan i regel hänföras till tre områden: behov av lagändringar, krav på att informationen (termer och begrepp) ska vara entydigt definierad samt behov av bättre teknisk infrastruktur för IT. För att mer generellt skapa goda förutsättningar för IT i vården behöver vi därför:

•harmonisera lagar och andra regler med en ökad IT-använd- ning med bevarat integritetsskydd

•skapa en nationell informationsstruktur för vården

•vidareutveckla den nationella tekniska infrastrukturen i vår- den för att skapa en säker elektronisk kommunikation, både mellan olika vårdenheter och vid användning av avancerade medicintekniska produkter.

För att förverkliga de intentioner som redovisats ovan krävs gemen- samma och koordinerade insatser mellan hälso- och sjukvårdens samtliga aktörer. Det arbete som enligt strategin behöver uträttas är uppdelat på sex insatsområden: 1) harmonisera lagar och regel- verk med en ökad IT-användning, 2) skapa en gemensam informa- tionsstruktur, 3) skapa en gemensam teknisk infrastruktur, 4) skapa förutsättningar för samverkande och verksamhetsstödjande IT- system, 5) möjliggöra åtkomst till information över organisations- gränser, och 6) göra information och tjänster lättillgängliga för med- borgarna.

109

Den nationella IT-strategin och några utvecklingsprojekt

SOU 2006:82

3.3Landstingsdrivna projekt

3.3.1Stockholms läns landsting

I Stockholms läns landsting bedrivs projektet Gemensam vårddoku- mentation.

Genom projektet skapas ett vårdinformationsarkiv. Tanken är att patientinformation från länets offentliga och privata vårdgivare inom den landstingsfinansierade vården skall lagras i en gemensam vårddatabas (GVD).

För att behörig vårdpersonal skall få ta del av information om en patient krävs att det finns en vårdrelation med patienten. För till- gång till en annan vårdgivares patientinformation krävs dessutom att patienten har lämnat sitt samtycke till utlämnandet eller att en sekretessprövning har gjorts som utmynnat i att informationen kan lämnas ut.

En behörighetsadministrativ tjänst (BAT) hanterar bl.a. autenti- cering av användare, administration av rättigheter och åtkomst- kontroll.

3.3.2Landstinget i Uppsala län

Landstinget i Uppsala län drev projektet SustainsTPTF1FTPT hälso- och sjuk- vårdskonto under åren 1997–2001. I den första delen av projektet gavs 100 patienter på Akademiska sjukhuset i Uppsala tillgång till sina uppgifter ur sjukhusets vårdadministrativa system under tre månader. I den andra delen fick 100 patienter på tre vårdcentraler i Uppland och Dalarna tillgång till uppgifter ur sina primärvårdsjour- naler.

Utifrån de erfarenheter som projektet hade gett och patienter- nas önskemål utvecklades ett nytt hälso- och sjukvårdskonto. I september 2002 fick samtliga patienter (2 300) på en husläkarmot- tagning i Uppsala erbjudande om att öppna hälso- och sjukvårds- konto. Kontot sattes i drift den 1 januari 2003 för de patienter som hade anmält sig (ca 15 procent av de tillfrågade).

När patienten ansöker om ett hälso- och sjukvårdskonto gör läka- ren en sekretessprövning av om patienten kan få del av de uppgifter som finns lagrade i kontot. Läkaren gör även en sådan sekretess- prövning i samband med att journalföring sker. Journalanteckningar

1P P Sustains står för Support for Users to Access Information and Services.

110

SOU 2006:82

Den nationella IT-strategin och några utvecklingsprojekt

blir inte tillgängliga för patienten förrän de har signerats. Om upp- gifterna är känsliga, tar läkaren kontakt med patienten och förklarar betydelsen innan signering sker. Uppgifter som omfattas av sekretess gentemot patienten görs inte tillgängliga.

Hälso- och sjukvårdskontot innehåller en förteckning över möten med mottagningen som patienten haft, uppgift om planerade besök för patienten, förteckning över erlagda patientavgifter, uppgift om aktuella sjukskrivningar, de dokument som läkaren sänder och mot- tar rörande patienten, laboratoriesvar, förteckning över förskrivna läkemedel, journaltext, uppgift om diagnos och överkänslighet samt uppgifter om patientens sjukhusvård. Vidare kan läkare och patient utväxla meddelanden via hälso- och sjukvårdskontot.

För att patienten skall kunna ta del av sina uppgifter eller utväxla meddelanden med läkaren måste han eller hon först logga in sig med en PIN-kod och ett via sin mobiltelefon erhållet engångslösenord.

Datainspektionen inledde tillsyn mot landstingsstyrelsen och fann i beslut den 16 oktober 2003 att det inte är förenligt med bestäm- melserna i vårdregisterlagen att ge enskilda patienter direktåtkomst till uppgifter i vårdregister via Internet. Landstinget upphörde med att ge patienter direktåtkomst till vårduppgifter via Internet och överklagade Datainspektionens beslut. Landstinget gjorde bl.a. gällan- de att syftet med 8 § vårdregisterlagen är att förhindra att obehörig vårdpersonal ges tillgång till patientuppgifter och inte att förhindra att patienter får åtkomst till sina uppgifter.

Länsrätten i Stockholms län fann i dom den 12 oktober 2004 att Datainspektionen haft fog för sitt beslut, varför överklagandet av- slogs. Länsrätten hänvisade i sin dom till förarbeten vari regeringen uttalat att det av hänsyn till sekretessen för uppgifter behövs sär- skilda regler för i vilken utsträckning direktåtkomst skall få finnas samt att direktåtkomst endast skall få förekomma i den utsträck- ning som anges i lag eller förordning.

Våren 2005 startade landstinget ett forskningsprojekt om patien- ters åtkomst till sin egen vårddokumentation via Internet. Forsknings- projektet utgör en fortsättning av de tidigare projekten och avser enligt ansökan om etikprövning att verifiera och komplettera tidi- gare resultat.

111

Den nationella IT-strategin och några utvecklingsprojekt

SOU 2006:82

3.3.3Landstinget i Östergötland

Våren 2004 infördes Vårdgivarportalen i Landstinget i Östergötland. Information från olika enheter i landstinget samlas i ett gemensamt IT-system. I den gemensamma plattformen ingår moduler såsom IRIS Patientöversikt, Läkemedelsmodulen och LabRoS.

IRIS Patientöversikt är en funktion för att ge behörig vårdpersonal möjlighet att söka efter uppgifter registrerade i landstingets olika datoriserade vårdsystem. Patientöversikten innehåller ett urval av uppgifter om patientens tidigare vårdkontakter. Det är respektive systemägare som bestämmer vilka uppgifter som skall ingå i över- sikten. Digitala röntgenbilder finns inte med i patientöversikten, men däremot utlåtandet. Det är enbart uppgifter som bedöms vara icke sekretessbelagda i förhållande till patienten som görs tillgäng- liga i patientöversikten. Personer med skyddade personuppgifter finns inte med i patientöversikten.

I Läkemedelsmodulen är det möjligt att få uppgift om vilka läke- medel som har förskrivits patienten.

LabRoS är en databas som innehåller laboratorieremisser och remissvar.

För att någon i vårdpersonalen skall kunna ta del av information i Vårdgivarportalen krävs att denne loggar in sig. För att få ta del av informationen krävs vidare att han eller hon är behörig och har en vårdrelation till patienten i fråga.

Till varje användares behörighet knyts ett s.k. verksamhetsupp- drag. Härmed avses uppdrag att utföra arbetsuppgift inom ramen för en yrkestillhörighet vid en viss sjukvårdande enhet, t.ex. en läkare vid Ortopedicentrum. Av verksamhetsuppdraget följer en läsrätt som är kopplad till det uppdrag användaren har på Ortopedi- centrum. Om patienten inte har lämnat något samtycke till att vård- personal får ta del av uppgifter i Vårdgivarportalen, har användaren begränsad tillgång till vårdinformation. Han eller hon har då åtkomst till information enbart från Ortopedicentrum.

Om patienten har lämnat sitt samtycke, innebär det ett samtycke till att ta del av all information i Vårdgivarportalen. Samtycket gäller till dess det återkallas. Ett samtycke kan begränsas till att avse exem- pelvis enbart det aktuella vårdtillfället. Det krävs inte något skriftligt samtycke. I stället registrerar vårdpersonalen samtycket genom att kryssa i en ja-ruta i Vårdgivarportalen.

När det gäller medvetslösa patienter vars tillstånd kräver akut till- gång till tidigare vårdinformation kan behörig vårdpersonal få till-

112

SOU 2006:82

Den nationella IT-strategin och några utvecklingsprojekt

gång till denna information även om samtycke inte tidigare har lämnats. Remissmottagare har alltid rätt att få tillgång till de upp- gifter som behövs. Detta informeras patienterna om.

Landstinget i Östergötland driver även pilotprojektet PatientPortal. Projektet innebär att 100 patienter ges möjlighet att via Internet ta del av sina patientuppgifter. Patientportalen innehåller samma infor- mation om patienten som Vårdgivarportalen. Det är framförallt kroniskt sjuka som är intresserade av projektet.

Enligt landstingets uppfattning begär patienterna ett utlämnande enligt tryckfrihetsförordningen. De måste identifiera sig för att få tillgång till information. Enbart information som bedöms vara icke sekretessbelagd i förhållande till patienten görs tillgänglig. Patien- terna tilldelas ett elektroniskt ID-kort och får en kortläsare hem- skickad. Patienterna kan logga in sig från t.ex. sin hemdator och få tillgång till uppgifter om t.ex. laboratoriesvar, röntgensvar samt jour- nalanteckningar från sjukhus och vårdcentraler. Via patientportalen får patienterna även möjlighet att förnya recept och boka tider. Framöver kommer patienterna även ges möjlighet att ta del av logg- uppgifter. Det kommer dock inte att framgå vem som har varit inloggad, utan endast vilken befattning personen i fråga har.

3.3.4Region Skåne

Region Skåne driver sedan hösten 2002 projektet Klinisk Portal.

I den Kliniska Portalen finns ett antal s.k. sammanställningstjäns- ter tillgängliga såsom Vårdöversikten, VMI och Gemensam Läke- medelslista. Med sammanställningstjänster avses tjänster som hämtar, sammanställer och presenterar patientinformation från olika befint- liga datoriserade journalsystem. Användaren av Klinisk Portal kan gå in och söka information om en patient, men kan inte själv ändra eller lägga till något.

Vårdöversikten ger en översikt över patientens vårdkontakter och ger möjlighet att visa enskilda, utvalda journaldokument.

Gemensam Läkemedelslista utgör en förteckning över patientens aktuella läkemedel och vilka läkemedel som tidigare förskrivits patienten.

Tjänsten VMI (Viktig Medicinsk Information) innehåller i dags- läget endast information om vad patienten är överkänslig mot.

För att kunna få tillgång till någon av tjänsterna i den Kliniska Portalen krävs att personen i fråga har tilldelats behörighet därtill.

113

Den nationella IT-strategin och några utvecklingsprojekt

SOU 2006:82

Vidare krävs att han eller hon vid inloggning identifierar sig med ett smart kort som innehåller ett av Region Skåne utfärdat certifikat. All information som passerar den Kliniska Portalen loggas. Det är således möjligt att se vilken information som har skickats och till vem samt när i tiden det skett.

Projektet har under hösten 2004 startat en pilotverksamhet, där två vårdcentraler och två sjukhus i Region Skåne använder sig av Klinisk Portal. Dessa vårdenheter anses ingå i samma sekretessområde.

Inom ramen för projektet Klinisk Portal finns delprojektet Patient- liggaren. Patientliggaren skall användas framförallt av sjukhusens akutmottagningar. Genom patientliggaren uppnås en bättre kontroll av aktuellt patientflöde, de utredningar och behandlingar som igång- satts för varje patient samt patientens rumsliga förflyttningar.

3.3.5Norrbottens läns landsting

Norrbottens läns landsting har varit förhållandevis tidigt med att in- föra ett sammanhållet elektroniskt journalsystem inom landstinget. Redan år 1998 fattade landstinget på central politisk nivå ett beslut om att införa ett sådant och det är i drift sedan flera år. I Norrbotten sorterar all landstingets hälso- och sjukvård, inkl. tandvård, under samma nämnd, dvs. ingår i samma myndighet.

Basen i systemet är det patientadministrativa systemet (VAS) vari både journalföring och patientadministration hanteras. Alla vård- inrättningar inom den slutna och öppna vården är anslutna till det gemensamma systemet, även den landstingsdrivna tandvården. En- ligt uppgifter till utredningen har det gemensamma journalsystemet medfört en väsentlig minskning av hälso- och sjukvårdspersonalens administrativa arbete.

Inom landstinget är i princip alla journalanteckningar potentiellt tillgängliga via en patientöversikt som alla har tillgång till. Vissa be- gränsningar har dock lagts in vad gäller tillgång till särskilda jour- nalanteckningar eller journaltyper, t.ex. i fråga om psykiatrin. Särskilt känslig information kan alltid ”sekretessmarkeras”. Därmed avses att informationen inte är läsbar utanför en snäv krets av behörig personal. En funktion finns dock som innebär att sekretessmarke- ringar kan forceras av en del befattningshavare utanför kretsen men med särskild behörighet. Forceras spärrar, loggas detta och följs upp i särskild ordning.

114

SOU 2006:82

Den nationella IT-strategin och några utvecklingsprojekt

3.4Nationella initiativ och projekt

3.4.1Carelink

Carelink Intresseförening är en ideell förening. Enligt dess stadgar är föreningens ändamål att främja en effektiv användning av IT inom vård och omsorg och att medverka till den samverkan som krävs för detta syfte. Huvuddelen av verksamheten bedrivs i ett helägt aktiebolag, Carelink AB. Föreningen skall enligt stadgarna främst vara ett forum för information och utbyte av idéer om verksamhe- tens inriktning och former.

Föreningen bildades i december 2000 av Landstingsförbundet och Svenska kommunförbundet (numera Sveriges Kommuner och

2	och Apoteket AB.
Landsting), Föreningen VårdföretagarnaTPTF FTPT

Socialstyrelsen har ett samverkansavtal med föreningen. Landsting, regioner, kommuner och privata vårdföretag kan bli medlemmar i föreningen. För närvarande har föreningen samtliga landsting/regioner, 42 kommuner och 7 privata vårdgivare som medlemmar.

Carelink förvaltar och vidareutvecklar Sjunet, ett nationellt bred- bandsnät för säker kommunikation mellan aktörerna inom hälso- och sjukvården. Samtliga landsting, ett antal kommuner, ett antal privata vårdgivare inklusive Praktikertjänst och Capio, Skatteverket, Apoteket AB m.fl. är i dag anslutna till Sjunet.

Carelink förvaltar också den nationella katalogtjänsten HSA, hälso- och sjukvårdens adressregister. Tjänsten möjliggör snabb och säker identifiering av kontaktpersoner och olika funktioner i t.ex. landsting eller kommuner. Katalogen används bl.a. för att centralt lagra aktuella organisations-, enhets-, funktions- och användardata och att lagra och publicera publika nycklar för e-legitimation/certi- fikat (s.k. PKI).

Carelinks utvecklingsarbete sker främst i ett antal större projekt som formulerats gemensamt med medlemmar och andra intressen- ter.

Carelink har bl.a. drivit PLUS-projektetTPTF3FTPT. Avsikten med projektet var att få beställare och leverantörer av IT-stöd inom hälso- och sjukvården att komma överens om ett antal grundförutsättningar vad avser arkitektur, gränssnitt, termer och begrepp. Detta för att under- lätta framtida upphandling och integrering av befintliga IT-lösningar

2P P Föreningen Vårdföretagarna är en arbetsgivar- och intresseorganisation för vårdgivare som bedriver vård och omsorg i privat regi oavsett driftsform.

3P P PLUS står för PlattformsUtveckling i Sverige.

115

Den nationella IT-strategin och några utvecklingsprojekt

SOU 2006:82

och förenkla införandet av nya IT-lösningar. Projektet resulterade i att beställare och leverantörer enades om en gemensam referens- arkitektur och ett antal beskrivningar av det principiella innehållet i tjänster för hantering av bl.a. åtkomstkontroll och loggning.

SITHS – Säker IT i Hälso- och Sjukvård – är ett mångårigt projekt som bl.a. arbetar med en elektronisk modell för säker kom- munikation av medicinska data mellan informationssystem, i e-post- hanteringen m.m. Man har bl.a. tagit fram en gemensam standard för elektronisk identifiering och signering, en PKI för vård och omsorg.

RIV-projektetTPTF4FTPT syftar till att åstadkomma ett för vård och omsorg gemensamt regelverk för att säkerställa interoperabilitet mellan olika vård- och omsorgssystem, dvs. att underlätta ett strukturerat elek- troniskt informationsutbyte. Utbytet kan ske mellan olika vård- och omsorgsgivare eller mellan vård- och omsorgsgivare och apotek, myndigheter och motsvarande organisationer. I RIV ingår riktlinjer, s.k. vad-dokument, och anvisningar, s.k. hur-dokument. Regelverket omfattar regler för teknisk interoperabilitet, dvs. hur system kan an- passas, och semantisk interoperabilitet avseende innehåll och struktur av informationen. De tekniska anvisningarna skall bl.a. användas för att ge vägledning för beställare i upphandlings- och implemente- ringssituationer samt för journalsystemsleverantörer. Metodanvis- ningarna beskriver hur man tar fram informationsspecifikationer för varje meddelande.

År 2003 gav Sveriges landstingsdirektörer Carelink i uppdrag att ta fram förslag till strategi och insatser för att utveckla IT-infra- strukturen för vård och omsorg. I maj 2004 presenterade Carelink rapporten ”En nationell IT-infrastruktur för vård och omsorg – För- slag till strategi och handlingsplan”. I rapporten föreslås – som ett första steg – utvecklandet av en nationell samverkande patientöver- sikt.

Patientöversikten skall vara en sammanställning av fördefinierade uppgifter kring en enskild patient som en behörig vårdgivare med patientens samtycke skall kunna söka fram vid behov. I patient- översikten skall basal information kring patienten presenteras, oavsett var informationen finns dokumenterad. Tjänsten skall ge möjlighet att läsa informationen, inte att dokumentera i den. Informationen i patientöversikten skall inte lagras centralt, utan endast finnas lagrad i de lokala källorna. Om det av patientöversikten framgår att patien-

4P P RIV står för Regelverk för elektronisk Interoperabilitet inom Vård och omsorg.

116

SOU 2006:82

Den nationella IT-strategin och några utvecklingsprojekt

ten vårdats eller behandlats på en viss vårdenhet, får den vårdgivare som behöver ytterligare uppgifter vända sig till den vårdenheten och begära ut information på sedvanligt sätt.

Tanken är att samtliga vårdgivare, dvs. såväl offentliga som privata, skall ha tillgång till patientöversikten och att även patienten skall kunna ta del av informationen.

Samtliga landsting har ställt sig bakom förslaget och projektet

Nationell Patientöversikt har inletts.

Under år 2005 genomfördes steg ett av den Nationella patient- översikten. En pilotverksamhet med fyra landsting – Östergötland, Jönköping, Uppsala och Norrbotten – startades upp. Den informa- tion som fanns tillgänglig var patientens grunddata, patientens pri- märvårdskontakt på hemorten, laboratoriesvar, förskrivna läkemedel, diagnoser, slutenvårdsanteckningar (epikriser) och remissvar från röntgen. Syftet med piloten var att etablera och visa på möjligheten att kommunicera information mellan vårdgivare och patienten själv, samt att få praktisk erfarenhet av hur tjänsten bör användas och utformas, både avseende funktion och innehåll.

Steg två, som kallas Nationell patientöversikt 2006, innebär en utvidgning av patientöversikten i fråga om innehåll, funktion och arkitektur. Detta för att användningen skall kunna breddas och för att förväntad nytta av tjänsten ska kunna realiseras.

3.4.2Socialstyrelsen

InfoVU-projektet

År 2001 gav regeringen Socialstyrelsen i uppdrag att, i samverkan med Sveriges Kommuner och Landsting, svara för samordningen av arbetet med att förbättra informationsförsörjning och verksamhets- uppföljning. Uppdraget har utförts inom projektet InfoVU (Infor- mationsförsörjning och VerksamhetsUppföljning) som har arbetat i enlighet med den inriktning som framgår i propositionen Nationell handlingsplan för utveckling av hälso- och sjukvården (prop. 1999/2000:149).

InfoVU:s arbete har omfattat flera områden och har utförts i en rad olika delprojekt. Därutöver har man arbetat i s.k. kunskapsnät- verk. Bland annat har man arbetat med att utveckla generaliserbara system för informationsförsörjningen för att dels möjliggöra ökad samverkan mellan huvudmännen kring den enskilde patienten, dels

117

Den nationella IT-strategin och några utvecklingsprojekt

SOU 2006:82

kunna följa vårdens insatser genom hela sjukvårdsorganisationen, dvs. även över gränser mellan huvudmännen. Verksamhetsuppfölj- ning byggd på individdata har varit ett prioriterat område och man har tagit fram en modell för verksamhetsuppföljning. Under år 2005 hade InfoVU bl.a. i uppdrag att pröva modellen för verksam- hetsuppföljning.

I InfoVU-projektets huvudrapport Mäta och öppet redovisa resultaten i vård och omsorg redovisas kunskapsunderlag och förut- sättningar som är nödvändiga för att kunna genomföra en individ- baserad verksamhetsuppföljning och öppet redovisa resultat, kvalitet och kostnader. Enligt rapporten krävs bl.a. en ändamålsenlig och elektronisk dokumentation som följer patienten och där uppgifterna registreras med enhetlig informationsstruktur, enhetliga begrepp och termer, klassifikationer och kvalitetsindikatorer. Det behövs också metoder att ta fram resurs- och kostnadsdata och beskriva behov och sätta mål. I rapporten redovisas fem mätpunkter som är särskilt viktiga för individbaserad verksamhetsuppföljning. Dessa är: 1) kontaktorsak, 2) bedömning/diagnos, 3) behov, 4) åtgärder/in- satser, och 5) resultat.

Socialstyrelsen hade under år 2005 – den 30 juni 2006 i uppdrag att, i samverkan med Sveriges Kommuner och Landsting, driva och samordna implementering och fortsatt utveckling av InfoVU:s arbete. Uppdraget genomfördes i ett antal delprojekt som redovisas i tre rapporter. : 1) På väg mot öppna redovisningar. Nuläge och exempel på stödinsatser för ökad tillgänglighet och användbarhet, 2) Individ- baserad verksamhetsuppföljning för personer som insjuknat i stroke och personer med psykiska funktionshinder, och 3) Kostnad per brukare och per resultat. Pilotförsök inom vård och omsorg i Östersund.

I rapporterna konstateras att de resultat och slutsatser som lyfts fram i tidigare InfoVU-arbete stärks ytterligare. Det är möjligt att dokumentera information i anslutning till de fem mätpunkter som InfoVU tidigare identifierat som särskilt viktiga när man skall följa och avgöra vårdens resultat, kvalitet och kostnader. Viktig infor- mation dokumenteras dock inte systematiskt och enhetliga sätt att registrera informationen saknas. Det gäller t.ex. dokumentation av behov och tidsbestämda mål och de resultat man uppnår.

118

SOU 2006:82

Den nationella IT-strategin och några utvecklingsprojekt

Nationell informationsstruktur samt normerad användning av begrepp och termer

År 2005 gav regeringen Socialstyrelsen i uppdrag att normera an- vändningen av nationella termer och begrepp samt att ta fram en enhetlig informationsstruktur inom hälso- och sjukvård och omsorg, i syfte att skapa en tydlig information som stöder kommunikation och samverkan mellan huvudmän.

Uppdraget genomfördes i två samverkande projekt där dels förut- sättningarna för normering inom området begrepp och termer och informationsstruktur utreddes, dels förslag togs fram för metoder, rutiner och förvaltning av en enhetlig nationell informationsstruktur.

Uppdraget redovisas i rapporten Normerad användning av begrepp och termer och en enhetlig informationsstruktur inom vård och omsorg. I rapporten belyses de förutsättningar som Socialstyrelsen har att normera inom området begrepp och termer och informationsstruk- tur. Vidare beskrivs de överväganden och förslag som Socialstyrelsen bedömt viktiga inför ett beslut om normering av användningen av begrepp och termer och en enhetlig informationsstruktur. Social- styrelsen har som en del av uppdraget tagit fram en handbok för normering av begrepp och termer samt förslag till uppbyggnad och drift av Nationella Informationsstrukturens Bibliotek. Biblioteket innehåller beslutade specifikationer och regelverk.

I regleringsbrevet för år 2006 gav regeringen Socialstyrelsen i uppdrag att förbereda för att ta ett övergripande, nationellt och stra- tegiskt ansvar för att individbaserad patientinformation görs mer entydig, uppföljningsbar och tillgänglig. Arbetet bör under 2006 inriktas på att skapa förutsättningar för en gemensam nationell informationsstruktur och enhetliga begrepp och termer. Uppdra- get redovisades den 31 augusti 2006 i rapporten Handlingsplan för nationell informationsstruktur.

3.4.3Smittskyddsinstitutet m.fl.

Sedan några år bedrivs i samverkan mellan Smittskyddsinstitutet, Socialstyrelsen, Läkemedelsverket och företrädare för barnhälso- vården ett försöksprojekt om ett nationellt informationssystem för vaccinationer (SVEVAC). Barnavårdscentraler i Region Skåne och i landstingen i Östergötland, Blekinge, Västernorrland, Stockholm och Värmland deltar i projektet.

119

4Central lagstiftning för informationshanteringen inom hälso- och sjukvården

4.1Inledning

I detta kapitel redovisas den rättsliga reglering som har mer direkt betydelse för informationshanteringen inom hälso- och sjukvården. Informationshanteringen styrs naturligtvis av verksamhetens karak- tär och ramar. I viss utsträckning redovisas därför även vissa delar av den lagstiftning som reglerar dessa områden.

4.2Hälso- och sjukvårdslagen

Hälso- och sjukvårdslagen (1982:763) har karaktären av en ramlag som huvudsakligen innehåller mål och riktlinjer för hälso- och sjuk- vården.

Med hälso- och sjukvård avses enligt lagen åtgärder för att medi- cinskt förebygga, utreda och behandla sjukdomar och skador (1 §). Begreppet hälso- och sjukvård omfattar sålunda dels de sjukdomsföre- byggande åtgärderna, dels den egentliga sjukvården. Sjukdomsföre- byggande åtgärder kan avse både miljöinriktade och individinriktade åtgärder.

Till individinriktade förebyggande åtgärder räknas bl.a. åtgärder för att uppspåra hälsoproblem. Som exempel nämns i förarbetena all- männa och riktade hälsokontroller, vaccinationer, hälsoupplysning samt mödra- och barnhälsovård. Hälso- och sjukvård omfattar bl.a. åtgärder med anledning av kroppsfel och barnsbörd. Abort och ste- rilisering anses också inrymmas i begreppet hälso- och sjukvård (prop. 1981/82:97 s. 110 f.).

I lagen anges vidare att till hälso- och sjukvården hör även sjuk- transporter samt att ta hand om avlidna. I fråga om tandvård finns särskilda bestämmelser.

Hälso- och sjukvården skall enligt lagen bedrivas så att den upp- fyller kraven på en god vård. Detta innebär att den skall särskilt vara

121

Central lagstiftning för informationshanteringen inom hälso- och sjukvården

SOU 2006:82

av god kvalitet med god hygienisk standard och tillgodose patien- tens behov av trygghet i vården och behandlingen, vara lätt tillgäng- lig, bygga på respekt för patientens självbestämmande och integritet samt främja goda kontakter mellan patienten och hälso- och sjuk- vårdspersonalen. Vården och behandlingen skall så långt det är möjligt utformas och genomföras i samråd med patienten. (2 a §)

Patienten skall ges individuellt anpassad information om sitt hälso- tillstånd och om de metoder för undersökning, vård och behandling som finns. Om informationen inte kan lämnas till patienten, skall den i stället lämnas till en närstående till patienten (2 b §).

Lagen innehåller vidare bestämmelser om bl.a. landstingets och kommunens ansvar för hälso- och sjukvård och om ledningen av hälso- och sjukvård. För en redogörelse av dessa bestämmelser, se avsnitt 2.1.

4.3Patientjournallagen

I patientjournallagen (1985:562) finns de grundläggande bestämmel- serna om all patientjournalföring inom hälso- och sjukvården. Lagen gäller både inom allmän och enskild hälso- och sjukvård, inklusive tandvård. Lagen är s.k. teknikneutral och gäller således oberoende av huruvida journaler förs på papper eller elektroniskt.

I 1 § anges att det vid vård av patienter inom hälso- och sjuk- vården skall föras patientjournal. Med vård avses i lagen även under- sökning och behandling. En patientjournal är individuell och skall föras för varje enskild patient. Den får inte vara gemensam för flera patienter.

Journalen består, enligt 2 §, av de anteckningar som görs och de handlingar som upprättas eller inkommer i samband med vården och som innehåller uppgifter om patientens hälsotillstånd eller andra per- sonliga förhållanden och om vårdåtgärder. Varje enskild handling benämns journalhandling.

Patientjournallagen innehåller därutöver bestämmelser om patient- journalens innehåll, utformning och hantering (3–7 §§) och vilka yrkeskategorier som är skyldiga att föra journal och på begäran av patienten utfärda intyg om vården (9 och 10 §§). Vidare finns be- stämmelser om hur journalhandlingar skall bevaras (8 §), om om- händertagande och återlämnande av patientjournaler (11–14 §§) och om offentlighet och sekretess inom enskild hälso- och sjukvård (16 §). En utförlig redovisning av dessa bestämmelser finns i avsnitt 10.

122

SOU 2006:82

Central lagstiftning för informationshanteringen inom hälso- och sjukvården

4.4Personuppgiftslagen

Den 24 oktober 1995 antogs Europaparlamentets och rådets direk- tiv 95/46/EG om skydd för enskilda personer med avseende på be- handling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet).

Syftet med direktivet är att garantera dels en hög skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandlingen av personuppgifter, dels en likvärdig skyddsnivå i alla medlemsstater, så att staterna inte skall kunna hindra det fria flödet mellan dem av personuppgifter med hänvisning till enskilda perso- ners fri- och rättigheter.

Med anledning av att dataskyddsdirektivet skulle antas, tillsattes i juni 1995 Datalagskommittén. Kommitténs uppgift vara att göra en total revision av datalagen (1973:289) och utreda på vilket sätt direk- tivet skulle införlivas i svensk rätt. Uppdraget redovisades i betänkan- det Integritet – Offentlighet – Informationsteknik (SOU 1997:39).

Personuppgiftslagen (1998:204), som i stora delar trädde i kraft den 24 oktober 1998, bygger i allt väsentligt på det förslag som lades fram i Datalagskommitténs betänkande.

Lagen tillämpas på helt eller delvis automatiserad behandling av personuppgifter och dessutom på manuell behandling av personupp- gifter, om uppgifterna ingår i eller är avsedda att ingå i en struktu- rerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (5 §).

Tillämpningsområdet för personuppgiftslagen har begränsats genom en rad bestämmelser. Lagen omfattar inte sådan behandling som en fysisk person utför som ett led i en verksamhet av rent privat natur (6 §). Av förtydligande skäl anges också att lagen inte heller skall tillämpas i den utsträckning det skulle strida mot bestäm- melserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen att tillämpa lagens regler (7 § första stycket). Motsvarande gäller när en tillämpning av personuppgifts- lagen skulle strida mot en myndighets skyldighet att lämna ut person- uppgifter enligt 2 kap. tryckfrihetsförordningen (8 § första stycket). Andra undantag i fråga om personuppgiftslagens tillämpningsområde gäller behandling av personuppgifter för journalistiska ändamål eller konstnärligt eller litterärt skapande (7 § andra stycket). Slutligen gäller vissa undantag från tillämpning av personuppgiftslagen som tar sikte på arkivering av handlingar (8 § andra stycket). Person- uppgiftslagens tillämpningsområde kan dessutom inskränkas genom

123

Central lagstiftning för informationshanteringen inom hälso- och sjukvården

SOU 2006:82

särreglering i annan lag eller förordning, exempelvis registerlagstift- ningen. Lagen innehåller endast generella regler och det förutsattes vid dess tillkomst att behov av undantag och preciseringar för mer speciella områden skulle tillgodoses genom särskild registerlagstift- ning. Sådan särreglering får dock givetvis inte stå i strid med data- skyddsdirektivet eller Europarådets dataskyddskonvention.

Personuppgiftslagen innehåller i 3 § en rad definitioner av olika begrepp som används i lagen. Med behandling (av personuppgifter) avses varje åtgärd eller serie av åtgärder som vidtas i fråga om person- uppgifter vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, åter- vinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Personupp- gifter är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Personuppgiftslagen omfattar såle- des varken uppgifter om juridiska personer eller uppgifter om avlidna fysiska personer. I förarbetena har anförts att det endast krävs att en fysisk person kan identifieras med hjälp av informationen, inte att den personuppgiftsansvarige själv skall förfoga över samtliga upp- gifter som gör identifieringen möjlig (SOU 1997:39 s. 338). Även bild- och ljuduppgifter som kan hänföras till en person kan omfattas. Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av person- uppgifter. Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Den registrerade är den som en personuppgift avser. Med samtycke avses varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Tredje land är en stat som varken ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet.

I personuppgiftslagen åläggs den personuppgiftsansvarige att upp- rätthålla vissa grundläggande krav på behandlingen av personupp- gifter (9 §). Personuppgifter skall behandlas bara om det är lagligt. Behandlingen skall alltid ske på ett korrekt sätt och i enlighet med god sed.

Personuppgifter får endast samlas in för särskilda, uttryckligt an- givna och berättigade ändamål och inte behandlas för något ända- mål som är oförenligt med det ändamål för vilket de samlades in (finalitetsprincipen). En behandling för historiska, statistiska eller

124

SOU 2006:82

Central lagstiftning för informationshanteringen inom hälso- och sjukvården

vetenskapliga ändamål skall dock inte anses som oförenlig med de ändamål för vilka uppgifterna samlades in.

Personuppgifter som behandlas skall vara adekvata och relevanta i förhållande till ändamålet med behandlingen. Fler personuppgifter än som är nödvändigt med hänsyn till behandlingen får inte behand- las. De personuppgifter som behandlas skall vara riktiga och, om det är nödvändigt, aktuella.

Alla rimliga åtgärder skall vidtas för att rätta, blockera eller ut- plåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen.

Personuppgifter får inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till de ursprungliga ändamålen med behand- lingen, om det inte behövs för historiska, statistiska eller vetenskap- liga ändamål. Myndigheternas arkivering och bevarande av allmänna handlingar hindras dock inte av lagen.

Personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål får enligt huvudregeln användas för att vidta åtgärder i fråga om den registrerade bara om de registrerade har läm- nat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Denna begränsning gäller dock inte för en myndighets användning av personuppgifter i allmänna handlingar.

I personuppgiftslagen anges vidare vissa förutsättningar för när en behandling av personuppgifter över huvud taget är tillåten (10 §). Minst en av dessa förutsättningar måste föreligga för att en be- handling skall vara tillåten enligt lagen. Den inledande av de alterna- tiva förutsättningarna är att den registrerade har lämnat samtycke till behandlingen. Föreligger inget samtycke kan en behandling vara tillåten, om den är nödvändig för ett antal uppräknade syften.

Är en behandling nödvändig för att ett avtal med den registre- rade skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas, så kan den vara tillåten.

En behandling kan också vara tillåten om den är nödvändig för att den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldig- het, för att vitala intressen för den registrerade skall kunna skyddas eller för att en arbetsuppgift av allmänt intresse skall kunna utföras.

Vidare kan en behandling vara tillåten om den är nödvändig för att den personuppgiftsansvarige eller en tredje man till vilken person- uppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning.

Slutligen kan en behandling vara tillåten om den är nödvändig för att ett ändamål som rör ett berättigat intresse hos den personuppgifts-

125

Central lagstiftning för informationshanteringen inom hälso- och sjukvården

SOU 2006:82

ansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den person- liga integriteten.

För vissa slag av uppgifter gäller enligt personuppgiftslagen sär- skilda restriktioner. Huvudregeln i lagen innebär att det är förbjudet att behandla uppgifter som avslöjar ras eller etniskt ursprung, poli- tiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Det är också förbjudet att behandla sådana person- uppgifter som rör hälsa eller sexualliv (13 §). Dessa olika slag av uppgifter kallas med en samlingsbeteckning känsliga personuppgifter.

Det finns emellertid en rad undantag från förbudet mot behand- ling av känsliga personuppgifter angivna direkt i personuppgiftslagen. Sålunda får sådana uppgifter enligt lagen behandlas med den registre- rades uttryckliga samtycke eller när denne offentliggjort uppgifterna på ett tydligt sätt (15 §). Känsliga uppgifter får vidare i vissa fall behandlas om det är nödvändigt för att den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten, om det är nödvändigt för att den registrerades eller någon annans vitala intressen skall kunna skyddas och den registre- rade inte kan lämna sitt samtycke eller om det är nödvändigt för att rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras (16 §). Förbudet mot att behandla känsliga personuppgifter gäller inte heller när ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte inom ramen för sin verksamhet behandlar person- uppgifter om organisationens medlemmar och sådana andra personer som på grund av organisationens syfte har regelbunden kontakt med den. Endast om den registrerade uttryckligen har samtyckt till det får dock känsliga personuppgifter lämnas ut till tredje man från en sådan ideell organisation (17 §). Känsliga personuppgifter får vidare behandlas för hälso- och sjukvårdsändamål, om behandlingen är nöd- vändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård eller om uppgifterna omfattas av sjukvårdssekretess (18 §). Slutligen undantas viss behandling för forsknings- och statistikändamål från förbudet mot behandling av känsliga personuppgifter (19 §).

Regeringen, eller den myndighet som regeringens bestämmer, får om det behövs med hänsyn till ett viktigt allmänt intresse medge ytterligare undantag från förbudet att behandlad känsliga uppgifter (20 §).

126

SOU 2006:82

Central lagstiftning för informationshanteringen inom hälso- och sjukvården

Det är enligt personuppgiftslagen förbjudet för andra än myndig- heter att behandla personuppgifter om lagöverträdelser som inne- fattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (21 §). Regeringen eller den myndig- het som regeringen bestämmer (Datainspektionen) får dock besluta om undantag från förbudet.

Uppgifter om personnummer och samordningsnummer får enligt 22 § personuppgiftslagen behandlas bara om den registrerade sam- tycker till det eller när det är klart motiverat med hänsyn till ända- målet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

Om uppgifter om en person samlas in från personen själv, skall den personuppgiftsansvarige i samband därmed självmant lämna den registrerade information om behandlingen av uppgifterna (23 §). Har uppgifterna samlats in från en annan källa skall den registrerade informeras när uppgifterna registreras. Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen inte ges förrän upp- gifterna lämnas ut för första gången. I de fall uppgifter samlas in från någon annan än den registrerade krävs inte att information lämnas om det är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Om uppgifterna används för att vidta åtgärder som rör den registrerade, skall dock information lämnas senast i samband med att så sker 24 §). Finns det i lag eller annan författning särskilda be- stämmelser om registreringen eller utlämnandet av personuppgifter behöver inte heller information lämnas då uppgifter samlas in från annan källa än den registrerade.

När information skall lämnas skall den enligt 25 § omfatta uppgifter om vem den personuppgiftsansvarige är, ändamålet med behand- lingen samt all övrig information som den registrerade behöver för att kunna ta tillvara sina rättigheter i samband med behandlingen. Endast sådana uppgifter som den registrerade inte redan känner till behöver lämnas. Enligt 26 § är den personuppgiftsansvarige härutöver skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande be- handlas eller ej. Behandlas sådana uppgifter skall skriftlig information lämnas också om vilka uppgifter om den sökande som behandlas, varifrån dessa uppgifter har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare uppgifterna läm- nas ut, s.k. registerutdrag.

Under förutsättning att uppgifterna inte har lämnats ut till tredje man eller om uppgifterna behandlas enbart för historiska, statistiska

127

Central lagstiftning för informationshanteringen inom hälso- och sjukvården

SOU 2006:82

eller vetenskapliga ändamål behöver information dock inte lämnas beträffande personuppgifter som behandlas i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör min- nesanteckning eller liknande. Undantaget för löpande text som inte fått sin slutliga utformning gäller dock inte om personuppgifterna behandlats under längre tid än ett år. Bestämmelserna om informa- tionsskyldighet gäller inte om sekretess eller tystnadsplikt för upp- gifterna är föreskriven i förhållande till den registrerade.

Personuppgifter som är felaktiga eller ofullständiga eller som annars inte har behandlats i enlighet med personuppgiftslagen eller ankny- tande föreskrifter skall på begäran av den registrerade rättas, utplå- nas eller blockeras av den personuppgiftsansvarige (28 §). Den sist- nämnde kan också vara skyldig att underrätta tredje man till vilken uppgifterna har lämnats ut.

Ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning får be- handla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige (31 §). Om det i lag eller annan författning finns vissa särskilda bestämmelser om behandlingen av personupp- gifter i det allmännas verksamhet, t.ex. om tystnadsplikt och sekre- tess, skall dessa tillämpas.

Den personuppgiftsansvarige skall enligt 31 § vidta lämpliga tek- niska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna och hur pass känsliga de behandlade uppgifterna är.

Det är enligt 33 § förbjudet att utan samtycke från den registre- rade föra över personuppgifter till en stat utanför EU eller EES (tredje land) som inte har en adekvat nivå för skyddet av person- uppgifterna. Förbudet gäller också överföring av personuppgifter för behandling i tredje land. Frågan om ett land har en adekvat skydds- nivå skall bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. Särskild vikt skall läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen skall pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandlingen i det tredje landet.

Det finns en rad undantag från förbudet angivna direkt i per- sonuppgiftslagen (34 §). Har den registrerade samtyckt till det får personuppgifter överföras utan hinder av huvudregeln. Det är också

128

SOU 2006:82

Central lagstiftning för informationshanteringen inom hälso- och sjukvården

tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets dataskyddskonvention. Vidare får överföring ske om den är nödvändig för att ett avtal mellan den registrerade och den personuppgiftsansvarige skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas, för att ett sådant avtal mellan den personuppgiftsan- svarige och tredje man som är i den registrerades intresse skall kunna ingås eller fullgöras, för att rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras eller vitala intressen för den registrerade skall kunna skyddas.

Regeringen får meddela föreskrifter om undantag från förbudet för överföring till vissa stater och om att en överföring är tillåten, om överföringen regleras av ett avtal som ger tillräckliga garantier till skydd för de registrerades rättigheter. Regeringen, eller den myn- dighet som regeringen bestämmer, får vidare meddela föreskrifter om undantag från förbudet om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd för de registrerades rättigheter. Slutligen får regeringen och, efter dele- gation, Datainspektionen besluta om undantag från förbudet i vissa enskilda fall.

Behandling av personuppgifter som är helt eller delvis automatise- rad omfattas enligt 36 § personuppgiftslagen av anmälningsskyldig- het. Den personuppgiftsansvarige skall göra en skriftlig anmälan till tillsynsmyndigheten innan en sådan behandling eller serie av sådana behandlingar med samma eller liknande ändamål genomförs. Rege- ringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från anmälningsskyldigheten för sådana typer av behandlingar som sannolikt inte kommer att leda till otill- börligt intrång i den personliga integriteten. Anmälningsskyldighet för behandlingar föreligger inte heller om den personuppgiftsansva- rige tillsätter ett personuppgiftsombud som anmälts till tillsyns- myndigheten (37 §).

I Sverige har Datainspektionen tilldelats uppgiften att vara tillsyns- myndighet. Med rollen som tillsynsmyndighet följer vissa befogen- heter, såsom rätt att få tillgång till behandlade personuppgifter och tillträde till lokaler med anknytning till behandlingen (43 §). Data- inspektionen kan också vid vite förbjuda fortsatt behandling samt ansöka hos länsrätt om att personuppgifter som har behandlats på ett olagligt sätt skall utplånas (43–45 §§).

Den personuppgiftsansvarige skall enligt 48 § ersätta den registre- rade för skada och kränkning av den personliga integriteten som en

129

Central lagstiftning för informationshanteringen inom hälso- och sjukvården

SOU 2006:82

behandling av personuppgifter i strid med lagen har orsakat. Ersätt- ningsskyldigheten kan dock i den utsträckning det är skäligt jämkas om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.

Den som uppsåtligen eller av oaktsamhet gör sig skyldig till vissa förfaranden kan enligt personuppgiftslagen dömas till böter eller fängelse (49 §). Det gäller i vissa fall vid lämnande av osann uppgift i information till den registrerade eller i anmälan eller information till tillsynsmyndigheten. Vidare gäller straffansvaret den som behand- lar känsliga personuppgifter m.m. i strid med personuppgiftslagen, för över personuppgifter till tredje land i strid med lagen eller låter bli att göra föreskriven anmälan till tillsynsmyndigheten.

Den 1 januari 2007TPF1FPT träder nya bestämmelser i personuppgifts- lagen i kraft. De nya bestämmelserna innebär att sådan behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter (s.k. ostruk- turerat material) undantas från de flesta av personuppgiftslagens hanteringsregler. För sådant material gäller i stället att behandling inte får utföras, om den innebär en kränkning av den registrerades personliga integritet. Bestämmelserna innebär vidare att gärningar som begås av oaktsamhet av normalgraden inte längre är straffbara.

4.5Vårdregisterlagen

Lagen (1998:544) om vårdregister (vårdregisterlagen) reglerar auto- matiserad behandling av personuppgifter i vårdregister.

Vårdregisterlagen är en speciallag som kompletterar men inte er- sätter personuppgiftslagen. Personuppgiftslagen gäller därför i de delar som vårdregisterlagen saknar bestämmelser (2 §). Personupp- giftslagen gäller dock inte i den mån avvikande bestämmelser finns i annan lag eller förordning.

Enligt 1 § vårdregisterlagen får den som bedriver vård utföra auto- matiserad behandling av personuppgifter i vårdregister. Med vård av- ses vård enligt hälso- och sjukvårdslagen, tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård och lagen (1991:1129) om rättspsykiatrisk vård samt smittskydd enligt smittskyddslagen (2004:168).

1TP PT Se prop. 2005/06:173, bet. 2005/06:KU37, rskr. 2005/06:254 och SFS 2006:398.

130

SOU 2006:82

Central lagstiftning för informationshanteringen inom hälso- och sjukvården

Vårdregisterlagen omfattar register som förekommer inom vårdens individinriktade verksamhet. Inom hälso- och sjukvården förs även andra register med mer övergripande syften såsom framställning av statistik, uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvården. Ett exempel på sådana register är kvalitetsregister. Per- sonuppgiftslagen (1998:204) är tillämplig på behandling av person- uppgifter i sådana register. Personuppgifter i ett vårdregister får enligt lagen behandlas för dokumentation av vården av patienter eller för sådan administration som rör patienter och som syftar till att bereda vård i enskilda fall (3 § vårdregisterlagen). Behandling av personupp- gifter får även utföras för den ekonomiadministration som föranleds av vård i enskilda fall. Personuppgifter som härrör från det individ- inriktade vårdarbetet och som har registrerats i ett vårdregister får även behandlas för framställning av statistik, uppföljning, utvärdering, kvalitetssäkring och administration på verksamhetsområdet och upp- giftsutlämnande som föreskrivs i lag eller förordning (4 §).

Ett vårdregister får innehålla dels uppgifter som skall ingå i en patientjournal, dels andra uppgifter som antecknas i och för vården av patienter eller som behövs för den ekonomiadministration som föranleds av vård i enskilda fall (5 §).

Uppgifter om en patient som behövs för vård av denne samt upp- gifter som behövs för den ekonomiadministration som föranleds av den aktuella vården får hämtas till ett vårdregister från andra vård- register genom samkörning. Dessutom får patientens läkemedelsför- teckning samt uppgifter om patientens folkbokföringsadress hämtas till registret genom samkörning (6 §).

Personuppgifter som avses i 13 § eller 21 § personuppgiftslagen får inte användas som sökbegrepp i ett vårdregister. Inte heller får upp- gifter om att någon fått ekonomisk hjälp eller vård inom socialtjäns- ten eller varit föremål för åtgärd enligt utlänningslagen (2005:716) användas som sökbegrepp (7 §). Trots detta förbud är det tillåtet att som sökbegrepp använda uppgifter om sjukdom och hälsotillstånd samt uppgifter om att någon varit föremål för tvångsingripande enligt lagen om psykiatrisk tvångsvård eller lagen om rättspsykiatrisk vård.

Direktåtkomst till uppgifter i ett vårdregister får endast den ha som behöver tillgång till uppgifterna för att kunna utföra sitt arbete. Uppgifterna skall behövas för något av de ändamål för vilka ett vård- register får användas. Åtkomsten får endast avse de uppgifter som behövs för arbetets utförande (8 §).

Personuppgifter i ett vårdregister får lämnas ut på medium för automatiserad behandling, om de skall användas för ändamål för vilka

131

Central lagstiftning för informationshanteringen inom hälso- och sjukvården

SOU 2006:82

vårdregister får föras. Detsamma gäller om uppgifterna skall användas för framställning av statistik, administration på verksamhetsområdet, uppföljning, utvärdering eller kvalitetssäkring eller om uppgifterna skall lämnas på grund av uppgiftsutlämnande som föreskrivs i lag eller förordning (9 §).

I vårdregisterlagen finns därutöver bestämmelser om vilken in- formation om personuppgiftsbehandlingen som måste lämnas till en registrerad (11 §).

När det gäller patientjournalhandlingar som ingår i ett vårdregister finns hänvisningar till bestämmelser i patientjournallagen om beva- rande och gallring, om begränsningar i fråga om utlämnande av per- sonuppgifter och om begränsningar i skyldigheten att vidta rättelse m.m. Hänvisningar finns också till sekretesslagen och, i fråga om rättelse och skadestånd, till personuppgiftslagen.

4.6Hälsodataregisterlagen

Hälsodataregister är personregister som förs av central förvalt- ningsmyndighet inom hälso- och sjukvården för ändamål av mer övergripande karaktär som inte syftar till användning för den indi- vidinriktade vården. Genom lagen (1998:543) om hälsodataregister (hälsodataregisterlagen) ges en central förvaltningsmyndighet inom hälso- och sjukvården möjlighet att föra automatiserad behandling av personuppgifter i hälsodataregister (1 §). Med central förvalt- ningsmyndighet inom hälso- och sjukvården avses myndighet som enligt sin instruktion har ett ansvar för en eller flera verksamheter inom området.

Hälsodataregisterlagen är, liksom vårdregisterlagen, en speciallag som kompletterar men inte ersätter personuppgiftslagen.

Enligt 3 § hälsodataregisterlagen får personuppgifter i ett hälso- dataregister behandlas för framställning av statistik, uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård, samt forsk- ning och epidemiologiska undersökningar.

Ett hälsodataregister får endast innehålla uppgifter som behövs för de ändamål för vilka personuppgifter får behandlas (4 §).

Den som bedriver verksamhet inom hälso- och sjukvården åläggs i lagen en skyldighet att lämna uppgifter till ett hälsodataregister för de ändamål som registret har (6 §).

Hälsodataregisterlagen innebär att det under vissa förutsättningar är tillåtet att föra hälsodataregister. I lagen preciseras dock inte vissa

132

SOU 2006:82

Central lagstiftning för informationshanteringen inom hälso- och sjukvården

specifika ändamål för vilka behandling får ske. Detta sker i stället genom föreskrifter som regeringen meddelar med stöd av lagen. Enligt bemyndiganden i lagen får regeringen meddela föreskrifter om bl.a. vilka myndigheter som får föra hälsodataregister samt begränsningar av de angivna ändamålen och av de uppgifter som ett hälsodataregis- ter får innehålla. Regeringen har i anledning av dessa bemyndiganden utfärdat förordningen (2001:707) om patientregister hos Socialstyrel- sen, förordningen (2001:708) om medicinskt födelseregister hos Socialstyrelsen, förordningen (2001:709) om cancerregister hos Social- styrelsen förordningen (2005:363) om läkemedelsregister hos Social- styrelsen samt förordningen (2006:94) om register hos Socialstyrelsen över insatser inom den kommunala hälso- och sjukvården. Se även 4 kap. 4 § läkemedelsförordningen (2006:272).

4.7Sekretesslagen

Uppgifter inom den allmänna hälso- och sjukvården omfattas av sekretesslagens (1980:100) bestämmelser.

Sekretess gäller i förhållande till såväl enskilda (fysiska eller juri- diska personer) som andra myndigheter. Uppgifter som skyddas av sekretess får inte lämnas från en myndighet till en enskild eller annan myndighet utan stöd i sekretesslagen. Enligt 1 kap. 3 § första och andra styckena gäller sekretesslagen därutöver i vissa fall inom en myndighet. Enligt bestämmelsen får en sekretessbelagd uppgift inte röjas för en annan verksamhetsgren inom samma myndighet, om verksamhetsgrenarna är att betrakta som självständiga i förhållande till varandra.

Enligt 7 kap. 1 c § första stycket gäller sekretess inom hälso- och sjukvården och i annan medicinsk verksamhet för uppgift om en- skilds hälsotillstånd och andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom närstående lider men. Sekretessen gäller därmed med ett s.k. omvänt skaderekvisit och presumtionen är alltså för sekretess.

I 7 kap. 1 c § sista stycket första meningen finns ett undantag från den annars gällande presumtionen för sekretess. Där föreskrivs att en myndighet inom ett landsting eller en kommun som bedriver hälso- och sjukvård får lämna uppgifter till en annan sådan myndig- het för forskning och framställning av statistik eller för administra- tion på verksamhetsområdet med tillämpning av ett rakt skaderekvisit. Presumtionen är här för att uppgiften får lämnas ut. Sekretess gäller

133

Central lagstiftning för informationshanteringen inom hälso- och sjukvården

SOU 2006:82

endast om det kan antas att den enskilde eller dennes närstående lider men om uppgiften röjs.

Sekretessen enligt 1 c § gäller också i förhållande till den vård- och behandlingsbehövande själv i fråga om uppgift om hans eller hennes hälsotillstånd, om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne (7 kap. 3 §).

Sekretess gäller inom hälso- och sjukvården och i annan medi- cinsk verksamhet samt inom socialtjänsten för anmälan eller annan utsaga av enskild om någons hälsotillstånd eller andra personliga förhållanden, om det kan antas att fara uppkommer för att den som gjort anmälan eller avgivit utsagan eller någon honom eller henne närstående utsätts för våld eller annat allvarligt men om uppgiften röjs (7 kap. 6 §).

I sekretesslagen finns särskilda undantagsbestämmelser som inne- bär att en uppgift får lämnas ut trots att sekretess gäller för uppgiften. Dessa bestämmelser berörs närmare i avsnitt 11.5.1.

Offentlighets- och sekretesskommittén (OSEK) har i sitt huvud- betänkande Ny sekretesslag (SOU 2003:99) lämnat förslag till en ny sekretesslag. Flera av kommitténs förslag har betydelse för upp- giftsutbytet inom hälso- och sjukvården eller mellan hälso- och sjuk- vården och andra verksamheter. Dessa förslag redovisas senare i detta betänkande i anslutning till frågeställningar som rör vårt upp- drag, se t.ex. avsnitt 11.5.2, 12.3 och 14.3.

OSEK:s förslag bereds för närvarande inom Regeringskansliet.

4.8Lagen om yrkesverksamhet på hälso- och sjukvårdens område

Lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område innehåller bestämmelser om skyldigheter för hälso- och sjuk- vårdspersonal. Därutöver finns bl.a. behörighets- och legitimations- regler samt bestämmelser om disciplinpåföljd m.m., Hälso- och sjuk- vårdens ansvarsnämnd (HSAN) och Socialstyrelsens tillsyn. Hälso- och sjukvårdspersonal är en benämning på den personal som fullgör sjukvårdsuppgifter i allmän eller enskild hälso- och sjukvård och tandvård. Till hälso- och sjukvårdspersonalen hör enligt lagen alla som har legitimation för yrke inom hälso- och sjukvården. Dessa är bl.a. läkare, sjukgymnaster, tandläkare och tandhygienister. Lagen är alltså tillämplig inom såväl allmän som enskild hälso- och sjukvård.

134

SOU 2006:82

Central lagstiftning för informationshanteringen inom hälso- och sjukvården

Med hälso- och sjukvård enligt nämnda lag avses sådan verk- samhet som omfattas av hälso- och sjukvårdslagen, tandvårdslagen, lagen (2001:499) om omskärelse av pojkar samt verksamhet inom detaljhandel med läkemedel (1 kap. 2 §).

Med vårdgivare avses i lagen fysisk eller juridisk person som yrkesmässigt bedriver hälso- och sjukvård (1 kap. 3 §).

Med hälso- och sjukvårdspersonal avses bl.a. den som har legiti- mation för yrke inom hälso- och sjukvården, personal som är verk- sam vid sjukhus och andra vårdinrättningar och som medverkar i hälso- och sjukvård av patienter och den som i annat fall vid hälso- och sjukvård av patienter biträder en legitimerad yrkesutövare (1 kap. 4 §).

I 2 kap. finns bestämmelser om skyldigheter för hälso- och sjuk- vårdspersonal. Den som tillhör hälso- och sjukvårdspersonalen skall utföra sitt arbete i överensstämmelse med vetenskap och beprövad erfarenhet. En patient skall ges sakkunnig och omsorgsfull hälso- och sjukvård som uppfyller dessa krav. Vården skall så långt som möjligt utformas och genomföras i samråd med patienten. Patienten skall visas omtanke och respekt (1 §).

Vidare skall den som har ansvaret för hälso- och sjukvården av en patient se till att patienten ges individuellt anpassad information om sitt hälsotillstånd och om de metoder för undersökning, vård och behandling som finns. Om informationen inte kan lämnas till patien- ten skall den i stället lämnas till en närstående till patienten (2 §). När det finns flera behandlingsalternativ som står i överensstäm- melse med vetenskap och beprövad erfarenhet skall den som har ansvaret för hälso- och sjukvården av en patient medverka till att patienten ges möjlighet att välja det alternativ som han eller hon föredrar (2 a §).

Den som tillhör hälso- och sjukvårdspersonalen bär själv ansvaret för hur han eller hon fullgör sina arbetsuppgifter (5 §).

Den som tillhör hälso- och sjukvårdspersonalen får överlåta en arbetsuppgift till någon annan endast när det är förenligt med kravet på en god och säker vård. Den som överlåter en arbetsuppgift till någon annan svarar för att denne har förutsättningar att fullgöra uppgiften (6 §).

Lagen innehåller även särskilda bestämmelser om tystnadsplikt inom enskild hälso- och sjukvård. Enligt 2 kap. 8 § får den som till- hör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården inte obehörigen röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra

135

Central lagstiftning för informationshanteringen inom hälso- och sjukvården

SOU 2006:82

personliga förhållanden. Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning. Tystnadsplikt som gäller för en uppgift om en patients hälsotillstånd gäller även i förhållande till patienten själv, om det med hänsyn till ändamålet med hälso- och sjukvården är av synnerlig vikt att upp- giften inte lämnas till patienten.

Vidare får, enligt 2 kap. 9 §, den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården inte obehörigen röja en uppgift från en enskild om någon annan persons hälsotillstånd eller andra personliga förhållanden, om det kan antas att det finns en risk för att den som lämnat uppgiften eller någon annan närstående till uppgiftslämnaren utsätts för våld eller annat allvarligt men om uppgiften röjs. Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning.

Lagen innehåller även bestämmelser om Socialstyrelsens tillsyn över hälso- och sjukvården och dess personal (6 kap.). Tillsynen skall främst syfta till att förebygga skador och eliminera risker i hälso- och sjukvården. Socialstyrelsen skall genom sin tillsyn stödja och granska verksamheten och hälso- och sjukvårdspersonalens åt- gärder (3 §).

136

5 En internationell utblick

5.1WHO

WHO (World Health Assembly) har antagit en resolution om eHealth eller e-hälsa (WHA58.28, Maj 2005). E-hälsa är ett begrepp för informations- och kommunikationsteknikens tillämpning inom alla funktioner som påverkar hälso- och sjukvårdssektorn. Det kan handla om nätverk för hälso- och sjukvårdsinformation, elektroniska patientjournaler, telemedicin, kroppsburna och bärbara övervak- ningssystem samt hälso- och sjukvårdsportaler. I resolutionen noteras bl.a. den positiva inverkan som framsteg inom informationstekno- login kan få för hälso- och sjukvårdstjänster, folkhälsa, forskning och hälsofrämjande åtgärder i såväl länder med hög levnadsstandard som länder med låg levnadsstandard. Vidare fastslås att e-hälsa är ett kostnadseffektivt och säkert sätt att använda informationsteknologi för ändamål som hälso- och sjukvård, hälsoövervakning, kunskaps- utveckling och forskning. Medlemsstaterna uppmanas i resolutionen att överväga att utarbeta långsiktiga strategier för utveckling och implementering av e-hälsotjänster. Strategierna skall bl.a. omfatta uppbyggnad av lämplig legal reglering och infrastruktur.

5.2EU

Även inom EU bedrivs arbete på området eHealth eller e-hälsa. Den 30 april 2004 presenterade Europeiska kommissionen en

handlingsplan för ett europeiskt område för e-hälsa [E-hälsovård – bättre hälso- och sjukvård för Europas medborgare: Handlingsplan för ett europeiskt område för E-hälsovård SEK (2004:539)]. Denna inne- håller en tidsplan och pekar ut de områden som kräver medlemssta- ternas omedelbara uppmärksamhet. Ett exempel på en åtgärd som skall vidtas var att varje medlemsstat före utgången av år 2005 skall utarbeta en nationell eller regional plan för e-hälsa. Detta har Sverige

137

En internationell utblick

SOU 2006:82

gjort genom den i avsnitt 3.2 beskrivna nationella IT-strategin för vård och omsorg. Ett annat exempel är att medlemsstaterna före ut- gången av år 2006 i samarbete med kommissionen skulle fastställa en gemensam syn på patientidentifikation samt kartlägga och ange interoperabilitetsstandarder för hälso- och sjukvårdsuppgifter och elektroniska patientjournaler.

För att närmare studera potentiella vinster och konsekvenser av en ökad patientrörlighet inom Europa tog EU:s hälsoministrar initia- tiv till en högnivåprocess för reflektion kring dessa frågor. Bland annat etablerades en permanent högnivågrupp High Level Group on Health Services and Medical Care under kommissionens generaldirektorat för hälsofrågor (DG SANCO) för att stödja europeiskt samarbete på området. I anslutning till högnivågruppen har arbetsgruppen

Working Group on Information and eHealth inrättats. Huvudsyftet med gruppens arbete är att vara ett stöd i medlemsstaternas arbete med att implementera IT-lösningar i de nationella sjukvårdssystemen. Genom att föreslå en ökad koordinering av existerande samverkans- processer och forskning på området menar gruppen att det europeiska erfarenhetsutbytet på området kan ske mer kraftfullt och fokuserat än vad som hittills varit fallet. Från och med sommaren 2006 har Generaldirektoratet för informationssamhället (DG INFSO) över- tagit huvudmannaskapet för det europeiska samarbetet för eHealth genom bildandet av kommissionsarbetsgruppen i 2010 sub-group on eHealth i vilken Sverige representeras av Socialdepartementet.

Europeiska kommissionen har även tagit initiativet att tillsätta en utredning (Study in Legal and Regulatory Aspects of eHealth – Legally eHealth) med uppdrag att bidra till genomförandet av hand- lingsplanen genom klargörande av de rättsliga förutsättningarna för utvecklingen av e-hälsa. Arbetet i utredningen inleddes den 1 januari 2006 och skall pågå fram till kommande årsskifte.

5.3Internationella riktlinjer för persondataskydd

Europarådet utfärdade den 28 januari 1981 en konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (Con- vention for the protection of individuals with regard to automatic processing of personal data, European treaty Series no. 108). Till konventionen har utarbetats ett tilläggsprotokoll om tillsynsmyndig- heter och flödet av personuppgifter över gränserna. Konventionen får bl.a. betydelse i Sverige på så sätt att det enligt personuppgiftslagen

138

SOU 2006:82

En internationell utblick

är tillåtet att föra över personuppgifter för användning i en stat som godkänt konventionen. I anslutning till konventionen har Europa- rådets ministerkommitté antagit rekommendationer för behandling av personuppgifter på vissa områden. I fråga om hälso- och sjuk- vårdsområdet torde det främst vara Recommendation No. R (97) 5 of the Committe of Ministers to Member States on the protection of medical data som bör nämnas.

Även Organisationen för ekonomiskt samarbete och utveckling (OECD) har utarbetat riktlinjer för integritetsskydd och person- dataflöde.

Den s.k. Berlin-gruppen [International Working Group on Data Protection in Telecommunications (IWGDPT)] har sedan 1983 anta- git ett antal rekommendationer ("Common Positions" och "Working Papers") som syftar till att förbättra integritetsskyddet vid telekom- munikation. I gruppen finns representanter för myndigheter (Data Protection Authorities), internationella organisationer samt forskare från hela världen. Sedan början av 1990-talet har gruppen särskilt inriktat sitt arbete på integritetsskyddet på Internet. Gruppen har antagit en rekommendation som avser nätverksbaserad överföring av journaluppgifter m.m. [Online Availability of Electronic Health Records (Washington D.C., 06./07.04.2006)].

5.4Danmark

I Danmark finns sedan år 2003 en nationell IT-strategi för hälso- och sjukvården – National IT-strategi for sundhedsvæsenet 2003–2007. Denna ersatte den tidigare nationella strategin för IT i sjukhusverk- samheten 2000–2002. Den förstnämnda strategin innehåller ett antal visioner och målsättningar för informationsanvändningen i hälso- och sjukvården. Den beskriver även ett antal initiativ som måste tas.

Dessa initiativ rör bl.a. utveckling och införande av elektroniska patientjournaler (EPJ) inom den danska hälso- och sjukvården. Mål- sättningen anges vara en elektronisk enhetsjournal; en patientjournal där patientens all vårddokumentation samlas. Tanken är att inrätta en nationell databas med patientuppgifter. När patienten uppsöker hälso- och sjukvården tankar läkaren ned uppgifterna i det lokala systemet. Dokumentationen görs i det lokala systemet och tankas sedan tillbaka till den nationella databasen.

Få att uppnå detta mål bedrivs det nationella projektet Grund- struktur for Elektroniske PatientJournaler (G-EPJ). G-EPJ är en

139

En internationell utblick

SOU 2006:82

nationell standard för begrepp i elektroniska patientjournaler och syftar till att säkra en gemensam struktur för kommunikation mellan EPJ-system och mellan EPJ-system och andra informationssystem inom hälso- och sjukvården.. Projektet skall enligt IT-strategin skapa underlag för en koordinerad utveckling och implementering av elek- troniska patientjournaler baserade på denna nationella standard.

I enlighet med IT-strategin har Medicinprofilen inrättats. Medicin- profilen är en elektronisk översikt över patientens uthämtade recept- belagda läkemedel de senaste två åren. Patienten och den läkare som har en aktuell patientrelation med patienten har tillgång till denna, lik- som en farmaceut om patienten samtycker till det. Patienten får till- gång till sin medicinprofil via inloggning på hälsoportalen Sundhed.dk. Patienten har möjlighet att se vem som har sökt efter upplysningar i hans eller hennes medicinprofil.

Enskilda kan också sedan september 2005 via Internet ta del av vissa uppgifter om sina sjukhusbesök, t.ex. diagnoser och behandling. Uppgifterna finns registrerade i Sundhedsstyrelsens Landspatient- register. För att få tillgång till uppgifterna krävs att den enskilde har en digital signatur. Målsättningen enligt IT-strategin är att en- skilda även skall få möjlighet att få tillgång till sina egna journaler. Landspatientregistret innehåller uppgifter om slutenvård från år 1977 och om akutvård och öppenvård sedan år 1995.

I lov om patienters retsstilling, som trädde i kraft den 1 oktober 1998, finns grundläggande bestämmelser om förhållandet mellan patienten och hälso- och sjukvårdspersonalen. Lagen innehåller bl.a. bestämmelser om tystnadsplikt och om utlämnande av uppgifter om patienter. Enligt huvudregeln krävs patientens samtycke för att upp- gifter om hans eller hennes hälsotillstånd m.m. skall få lämnas ut till annan hälso- och sjukvårdspersonal i samband med vård av patien- ten. Uppgifter kan också lämnas ut utan patientens samtycke, t.ex. om det är nödvändigt för vård och behandling av patienten och ut- lämnandet sker med hänsyn till patientens intresse och behov. Patienten har dock rätt att motsätta sig utlämnandet. Bestämmelser- na anses inte hindra pågående utvecklingsarbete. Lov om patienters retsstilling ersätts den 1 januari 2007 av den nya sundhetsloven (Lov nr 546 af 24/06/2005), som då träder i kraft i sina huvuddelar. Sundhetsloven kan närmast beskrivas som en hälso- och sjukvårds- balk och innehåller följaktligen all på området aktuell lagstiftning. I stor utsträckning har sundhetsloven karaktär av ramlagstiftning. Avsikten är att regeringen och, i vissa fall, myndigheter inom hälso- och sjukvårdsområdet med stöd av lagen skall meddela föreskrifter

140

SOU 2006:82

En internationell utblick

som mer i detalj reglerar olika områden. I avsnitt XIV finns bestäm- melser om kvalitetsutveckling, forskning, inrapportering av uppgifter till centrala myndigheter och patientsäkerhet. I lagen anges vissa åligganden för offentliga vårdgivare att bedriva kvalitetsutveckling och medverka till bl.a. forskning. Även privata vårdgivare kan åläggas att bedriva sådan verksamhet. Vidare finns vissa bestämmelser om skyldighet för vårdgivare m.fl. att inrapportera uppgifter om verk- samheten till centrala hälso- och sjukvårdsmyndigheter. Inrikes- och hälsoministern kan utfärda föreskrifter om att vårdgivare m.fl. obe- roende av samtycke från den registrerade skall inrapportera vissa uppgifter om hälsa till kliniska kvalitetsdatabaser (kvalitetsregister) som en offentlig myndighet är ansvarig för. Med en patients munt- liga samtycke kan även uppgifter i det s.k. Landspatientregisteret om undersökningar, diagnoser och behandlingar vidarebefordras till den behandlande läkaren för ändamålet att behandla den aktuella patienten. I sammanhanget kan även nämnas att vårdgivare har skyl- dighet att inrapportera incidenter för ändamålet att förbättra patient- säkerheten.

5.5Norge

I Norge har det funnits nationella IT-strategier för vård och omsorg sedan år 1997 – Mer helse for hver bIT, handlingsplan 1997–2000 och Si@!, statlig tiltaksplan 2001–2003. Sistnämnda strategi fokuserade på elektronisk kommunikation inom vård och omsorg, telemedicin, ett nationellt hälso- och sjukvårdsnät och offentlig information. Det nationella hälso- och sjukvårdsnätet infördes år 2003.

Strategin för år 2004–2007, S@mspill 2007 – Elektronisk samarbeid i helse- och socialsektoren, har koncentrerats till satsningar på två om- råden. Den första satsningen gäller förbättring av informations- överföringen inom vård och omsorg. Det förutsätter enligt strategin arbete med bl.a. infrastruktur, informationsstruktur, elektroniska patientjournaler och utväxlande av meddelanden. Den andra sats- ningen avser inkludering av nya aktörer, t.ex. kommunerna, i det elektroniska samarbetet inom sektorn. I strategin anges att det behövs en genomgång av gällande rätt för att beskriva olika alternativa lös- ningar, båda sådana som kan genomföras inom ramen för gällande rätt och sådana som kräver lagändringar.

Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter

141

En internationell utblick

SOU 2006:82

och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) omfattas av EES-avtalet och Norge har genomfört direktivet ge- nom personopplysningsloven, som liksom personuppgiftslagen (1998:204) även gäller behandling av personuppgifter om hälsa.

Vid sidan av personupplysningsloven finns dock även en särlag- stiftning för hälso- och sjukvårdsområdet i lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger (helseregister- loven). Denna lag reglerar liksom personuppgiftslagen såväl automa- tiserad som viss manuell behandling av "helseopplysninger" (uppgifter om hälsa) inom ”helseforvaltningen og helsetjenesten” (hälso- och sjukvården) i de fall ändamålen med behandlingen är att ge effektiv och relevant hälsovård eller att uppnå kunskaper med anknytning till administration eller forskning. Om uppgifter om hälsa behandlas för andra ändamål, regleras detta inte av helseregisterloven, men väl av personopplysningsloven. Utrycket "helseforvaltningen og helse- tjenesten" omfattar alla de institutioner som har uppgifter enligt hälso- och sjukvårdslagstiftningen, både offentliga och privata ak- törer.

I lagen finns bl.a. regler om insamling av uppgifter om hälsa och regler om upprättande av hälsoregister. Vidare innehåller lagen all- männa bestämmelser om behandling av uppgifter om hälsa, be- stämmelser om bl.a. datasäkerhet, samkörning och internkontroll, bestämmelser om utlämnande samt bestämmelser om de registre- rades rättigheter såsom rätt till insyn, information, rättelse och ut- plåning.

Lagen begränsar möjligheterna att inrätta nya lokala, regionala eller nationella hälsoregister. För att ett sådant register skall få in- rättas krävs bestämmelser om detta i lag eller i en föreskrift som meddelas av regeringen.

Det krävs som huvudregel samtycke från den registrerade för att sådan automatiserad behandling av personuppgifter om henne eller honom skall få äga rum, om inte registren endast skall innehålla av- identifierade uppgifter eller pseudonymer. I lagen anges dock vissa re- gister i vilka uppgifter såsom namn, födelsenummer och andra identi- fieringsuppgifter kan behandlas utan samtycke från den registrerade, om det är nödvändigt med hänsyn till ändamålen för registren.

I lagen ges regeringen rätt att meddela föreskrifter på en rad om- råden. I anslutning till lagen har det även meddelats föreskrifter om åtta särskilda hälsoregister som är nationella och av vilka vissa är motsvarigheter till de svenska hälsodataregistren, t.ex. Dødsårsaks- registeret, Kreftregisteret eller Medisinsk fødselsregister, medan

142

SOU 2006:82

En internationell utblick

andra register saknar motsvarighet i Sverige, t.ex. Tuberkulose- registeret, System for vaksinasjonskontroll (SYSVAK) eller Norsk overvåkingssystem for antibiotikaresistens hos mikrober (NORM). En föreskrift avser det norska Reseptregisteret och en föreskrift avser Meldingssystem for smittsomme sykdommer og om varsling om smittsomme sykdommer (MSIS); det sistnämnda systemet kan sägas vara en motsvarighet till det i avsnitt 3.4.3 nämnda projektet SmiNet.

När det gäller informationshanteringen i den individinriktade patientverksamheten inom hälso- och sjukvården regleras den i Norge även av lov 2 juli 1999 nr. 64 om helsepersonell m.v. (helse- personelloven). Helsepersonelloven innehåller bl.a. bestämmelser om hälso- och sjukvårdspersonalens tystnadsplikt och olika slags undan- tag från denna plikt. Undantagen avser dels bestämmelser om ett flertal skyldigheter att lämna uppgifter för vissa ändamål eller till vissa mottagare, dels bestämmelser om när uppgifter om patienter m.fl. får lämnas till medarbetare eller andra mottagare inom eller utom den egna organisationen. Helsepersonelloven innehåller även bestäm- melser om skyldighet att föra patientjournal; bestämmelser som i huvudsak motsvarar den svenska patientjournallagen (1985:562). Helsepersonelloven fylls ut av ett stort antal föreskrifter som när- mare reglerar olika förhållanden inom hälso- och sjukvården. En central föreskrift är foreskrift av 21 december 2000 nr. 1385 om pasientjournal. I den regleras bl.a. frågor om journalsystem, journal- ansvar, journalens innehåll, skydd för personlig integritet m.m.

Slutligen skall nämnas att liksom i Danmark finns i Norge en lag om patienters rättigheter, lov av 2 juli 1999 nr. 63 om pasientrettig- heter (patientrettighetsloven). Sistnämnd lag reglerar bl.a. frågor om rätt till sjukvård, rätt att ta del av sin journal, rätt att få infor- mation och att skyddas mot spridning av personuppgifter. Av öv- riga frågor kan nämnas att lagen också innehåller bestämmelser om hantering av inhämtande av samtycke i hälso- och sjukvården, t.ex. i fråga om barn och ungdomar.

5.6England

National Health Service (NHS) i England satsar stora summor på att skapa en nationell, enhetlig IT-infrastruktur för hälso- och sjuk- vården utifrån strategin NHS Connecting for Health. Strategin är inriktad på livslång, elektronisk vårddokumentation för alla, med

143

6 Några allmänna utgångspunkter

6.1Generell lagstiftning eller speciallösningar?

Vi har fått det övergripande uppdraget att se över hur behandlingen av personuppgifter inom hälso- och sjukvården regleras samt lämna förslag till en väl fungerande och sammanhängande reglering av om- rådet. Häri ingår bl.a. en översyn av patientjournallagen (1985:562) och lagen (1998:544) om vårdregister samt frågor om en för flera vårdgivare sammanhållen patientjournal för varje patient och om nationella kvalitetsregister. Även sekretessfrågor med anledning av dessa uppgifter ingår i vårt uppdrag.

Som framgått av avsnitt 2 är ansvaret för hälso- och sjukvården delat mellan staten som står för den övergripande hälso- och sjuk- vårdspolitiken och landstingen som ansvarar för och organiserar hälso- och sjukvården, inklusive tandvården, inom sina respektive geogra- fiska områden. Kommunerna har dock ett huvudmannaansvar för viss hälso- och sjukvård till äldre och funktionshindrade. Detsamma gäller staten som ansvarar för och bedriver hälso- och sjukvård i viss begränsad omfattning och med anknytning till annan verksam- het, t.ex. inom kriminalvården, högskolan och försvaret. Skolhuvud- männen, normalt en kommun eller en fristående skola, ansvarar för hälso- och sjukvård inom skolhälsovården.

Vid sidan om dessa huvudmän har andelen privata vårdgivare inom den offentligt finansierade hälso- och sjukvården stadigt ökat under de senare decennierna och står nu för ca tio procent av de totala vårdkostnaderna. Vissa privata vårdgivare bedriver hälso- och sjukvård som är helt privatfinansierad, t.ex. en del psykoterapeuter, optiker, plastikkirurger m.fl.

Vårt uppdrag är inte begränsat till visst slags hälso- och sjukvård eller vissa av de nämnda huvudmännens eller andra vårdgivares verk- samhet.

Det säger sig därmed självt att en nödvändig utgångspunkt för vårt arbete är att våra författningsförslag måste ha en generell inrikt-

145

Några allmänna utgångspunkter

SOU 2006:82

ning för att kunna tillämpas inom hela den stora och brokiga sektor som utgör hälso- och sjukvård. Samma regler skall kunna tillämpas både i den komplexa informationshanteringen vid ett stort region- sjukhus och i den mer småskaliga dito hos en privatpraktiserande tandläkare med bara en anställd tandsköterska.

Det är också en utgångspunkt att våra förslag skall vara flexibla så till vida att de i möjligaste mån kommer att vara oberoende av förändringar på grund av sådana nya faktiska, organisatoriska eller rättsliga förutsättningar som ständigt påverkar hälso- och sjukvår- dens utveckling. Likaså är det vår ambition att våra förslag inte skall vara beroende av att vissa tekniska lösningar används.

Det sagda innebär att våra författningsförslag i huvudsak har karaktär av ramlagstiftning, som anger vilka grundläggande princi- per som skall gälla för informationshanteringen avseende uppgifter om patienter inom all hälso- och sjukvård. Som kommer att framgå av våra lagförslag i det följande föreslår vi att närmare reglering i vissa generella frågor skall kunna meddelas i förordning eller, efter regeringens bemyndigande, i myndighetsföreskrifter. En sådan för- fattningsteknik är fördelaktig i det avseendet att detaljregler, som sannolikt behöver ändras emellanåt, inte måste underställas riksdagens prövning. De från patientsäkerhets- och integritetssynpunkt vikti- gaste principerna bör dock regleras i lag.

Med den generella och övergripande inriktning som vårt uppdrag getts, har vi inte haft möjlighet att närmare granska och beakta de särskilda förhållanden och behov som kan finnas inom varje medi- cinsk specialitet eller liknande avgränsade specialområden inom hälso- och sjukvården. Detsamma gäller behov av särlösningar för särskilda patientgrupper. Vi utesluter dock inte att det på något eller några områden kan visa sig uppstå behov av att se över och överväga reg- lering som avviker från våra generella förslag i ett eller annat avseende. Det bör enligt vår mening dock ske i särskild ordning.

6.2Vårt arbete och parallellt arbete rörande hälso- och sjukvårdens framtida IT-användning

Parallellt med vårt arbete bedrivs på olika nivåer ett intensivt arbete med att finna lämpliga former att hantera de kvalitativa, strukturella och finansiella utmaningar som hälso- och sjukvården totalt sett står inför. Delar av detta arbete har beskrivits kortfattat i avsnitt 2 och 3.

146

SOU 2006:82

Några allmänna utgångspunkter

En utvecklad och samordnad användning av IT-stöd har i detta arbete alltmer betonats som ett kraftfullt verktyg att möta allmän- hetens krav och förväntningar på en hälso- och sjukvård som är till- gänglig, av hög kvalitet, patientsäker och effektiv. I den Nationella IT-strategin för vård och omsorg, se avsnitt 3.2, har Socialdeparte- mentet, Sveriges Kommuner och landsting, Socialstyrelsen, Läke- medelsverket, Apoteket AB och Carelink formulerat ett antal mål och visioner för framtidens IT i vård och omsorg, dvs. inte bara inom hälso- och sjukvården utan även i viss socialtjänst rörande bl.a. äldre och funktionshindrade. Ett centralt mål är att dokumenterade uppgifter om en patient, patientdata, skall kunna följa patienten och vara elektroniskt tillgängliga över organisationsgränser. Visionen är att patientdata skall finnas åtkomlig med hjälp av IT oavsett när och var inom hälso- och sjukvården dokumentationen skett och oavsett när och var en senare vårdkontakt uppstår.

Vi ser vårt arbete som en del av den process som nu pågår för att med bl.a. hjälp av IT få till stånd en bättre samverkan mellan hälso- och sjukvårdens aktörer och en starkare patientorientering i verk- samheten. Vi är också i huvudsak positiva till strävandena för hälso- och sjukvårdens IT-utveckling. Samtidigt konstaterar vi att mycket av det som nu diskuteras är just mål och visioner. Även om våra förslag syftar till att vara framåtblickande och öppna för nya sätt att arbeta och hantera information, har vi fått anpassa våra förslag till dagens konkreta strukturer och förutsättningar för informationshan- teringen vilka vi bedömer kommer att gälla under en överblickbar framtid.

Förutom att vara en nödvändighet ser vi även ett egenvärde i att den sedan länge gällande rättsliga ordningen för dokumentering och hantering av uppgifter om patienter inte tvärt och genomgripande förändras i en omfattning som avser hela den komplexa hälso- och sjukvården och som därmed berör så gott som hela landets befolk- ning. En av våra utgångspunkter är alltså att det är viktigt att gå steg- vis fram. Våra förslag skall därvid ses som ett eller några steg i den riktning som bl.a. pekats ut i våra direktiv och i den nyss nämnda Nationella IT-strategin. Enligt vår mening är det av största vikt att ytterligare steg övervägs först efter utvärderingar och analyser av de erfarenheter som vinns efter en tids full drift av sådana mer stor- skaliga informationssystem som är i startgroparna men som i dag drivs bara i begränsade projektformer. Först då kan förändringar motiveras utifrån närmare kunskap om vilka konsekvenser som olika slags lösningar och system genererat för patientsäkerhet, integritet,

147

Några allmänna utgångspunkter

SOU 2006:82

effektivitet och andra viktiga intressen för hälso- och sjukvårdens informationshantering.

6.3Patientsäkerhet kontra patientintegritet?

Under vårt arbete har flera centrala aktörer på området gjort gällande att vi i dag har en lagstiftning som låter patientintegriteten väga tyngre än patientsäkerheten. Enligt denna uppfattning tycks patientsäkerhet och patientintegritet befinna sig i ett statiskt motsatsförhållande enligt en linjär skala som innebär att vi får mer patientsäkerhet med mindre integritetsskydd och, omvänt, mindre patientsäkerhet med mer integritetsskydd. Konsekvensen av den uppfattningen torde vara att det nu handlar om att flytta den rättspolitiska positionen mellan de motstående intressena i en mer patientsäker riktning. Detta skulle i så fall ske genom att undanröja en mängd rättsliga hinder för breddad elektronisk tillgänglighet till uppgifter om patienter mellan olika vård- givare inom hälso- och sjukvården, hinder som syftar till att garan- tera enskilda ett skydd för den personliga integriteten. Ibland hävdas också att detta är vad patienterna förväntar sig och önskar.

Självklart kan integritetsskydd och patientsäkerhet ibland hamna i ett motsatsförhållande. Samtidigt anser vi att den uppmålade bilden av ett statiskt motsatsförhållande är en vilseledande förenkling, som vi inte velat ta som utgångspunkt för vårt arbete. Vi har alltså inte tolkat vårt uppdrag som att i huvudsak handla om att undanröja en rad rättsliga hinder.

Den centrala utgångspunkten för vårt arbete är i stället att skapa en reglering som möjliggör både en ökad patientsäkerhet och ett starkt integritetsskydd. Detta förutsätter, menar vi, att man inte överger principen om att hälso- och sjukvård skall bygga på respekt för patientens självbestämmande och integritet bara därför att tek- niken medger nya sätt att hantera uppgifter. I förlängningen riskerar man annars att medborgarnas förtroende för hälso- och sjukvården minskar.

Allmänhetens förtroende för hälso- och sjukvårdens informa- tionshantering är i dag generellt sett starkt. Det framgår av bl.a. en större enkätundersökning som vi låtit Statistiska centralbyrån utföra år 2005. Samtidigt visar enkätundersökningen upp en ganska splitt- rad bild av förväntningarna hos allmänheten inför förändringar i hälso- och sjukvårdens informationshantering. För vissa är ett strikt integritetsskydd av största vikt och de är oroade över tanken på en ökad elektronisk tillgänglighet bland hälso- och sjukvårdspersonal

148

SOU 2006:82

Några allmänna utgångspunkter

till uppgifter om dem medan andra inte känner någon oro över en sådan utveckling. Vi har sett det som oerhört väsentligt för för- troendet för hälso- och sjukvården att den mer eller mindre starka oro som vissa känner inför förändringar i informationshantering tas på allvar.

Vad utredningsarbetet konkret handlar om är därför att skapa rättsliga garantier för att nya möjligheter att använda IT inom hälso- och sjukvården – bl.a. i fråga om breddad elektronisk tillgänglighet till information om patienten inom hälso- och sjukvården – inte på ett oacceptabelt sätt inkräktar på patientens personliga integritet. En utgångspunkt i det arbetet är att den enskilda patientens inställ- ning i fråga om spridningen av uppgifter om honom eller henne inom hälso- och sjukvårdssektorn så långt möjligt skall respekteras. Att allmänheten kräver ett sådant inflytande för patienten framgår av den nyss nämnda enkätundersökningen. Denna bild bekräftas också av hearingar som vi haft med olika patientorganisationer. Ett patient- inflytande över spridningen i förening med andra integritetsskyd- dande åtgärder behövs för att det goda förtroendet för hälso- och sjukvården skall bestå och helst förstärkas.

Samtidigt är det vår utgångspunkt att det är ett viktigt allmän- intresse att vårdgivare på ett rationellt och effektivt sätt kan an- vända IT för att fullgöra de uppgifter som åligger dem. Våra förslag avspeglar således den avvägning som vi funnit rimlig i de fall en kon- flikt uppstår mellan samhällets behov eller andra intressen kontra patientens berättigade anspråk på skydd för sin personliga integritet.

6.4Några avgränsningsfrågor

Våra direktiv är vida och allmänt hållna. De frågor som vi skall ta upp är ofta inte närmare avgränsade. Vi har därför när det gäller mer specifika frågor, som inte har så nära beröring med kärnfrågorna i vårt utredningsuppdrag, avstått från djupare analys av dessa. Det innebär att några frågor – som vi i och för sig tycker är förtjänta av en mer ingående analys – berörs ganska översiktligt. En sådan fråga är barns och ungdomars ställning i hälso- och sjukvården. Av sär- skilt intresse i det sammanhanget är underårigas självbestämmande och integritetsskydd vid kontakter med hälso- och sjukvården. Under- årigas eget inflytande över journalhanteringen i takt med tilltagande mognad kan ge upphov till svåra avvägningsproblem. Hur skall den unges mognadsgrad bedömas och vilken betydelse i sammanhanget har karaktären på uppgifterna om den unge? Även om frågor av

149

7 En ny lag

7.1Vårt uppdrag

Vi har fått det övergripande uppdraget att se över den nuvarande regleringen av behandlingen av personuppgifter inom hälso- och sjuk- vården och lämna förslag till en väl fungerande och sammanhängan- de reglering av området.

7.2Dagens splittrade lagstiftning

Bestämmelser av betydelse för hälso- och sjukvårdssektorns hante- ring av personuppgifter om patienter finns i dag i ett flertal författ- ningar. De som är av direkt betydelse för hanteringen är framförallt patientjournallagen (1985:562), lagen (1998:544) om vårdregister (vårdregisterlagen) och personuppgiftslagen (1998:204). För den all- männa hälso- och sjukvården gäller vidare tryckfrihetsförordningens bestämmelser om allmänna handlingar och handlingsoffentlighet, arkivlagens (1990:782) bestämmelser om bevarande och gallring av allmänna handlingar och sekretesslagens (1980:100) bestämmelser om sekretess och tystnadsplikt. Delvis motsvarande bestämmelser om tystnadsplikt inom den enskilda hälso- och sjukvården finns i lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Även hälso- och sjukvårdslagen (1982:763) innehåller be- stämmelser av viss betydelse för informationshanteringen. Därutöver finns bestämmelser i speciallagstiftning, förordningar och myndig- hetsföreskrifter som måste beaktas vid informationshanteringen på vissa områden inom hälso- och sjukvården.

Det har i olika sammanhang anförts att det nuvarande regelver- ket är alltför splittrat och att det leder till otydlighet och problem i den praktiska tillämpningen. I våra kontakter med företrädare för hälso- och sjukvården har framkommit att det är en utbredd upp- fattning inom hälso- och sjukvården att den splittrade lagstiftningen

151

En ny lag

SOU 2006:82

i sig skapar en osäkerhet om vad som egentligen gäller för hante- ringen av personuppgifter. Detta har bl.a. fått till följd att skillnader i hur lagarna tolkas och tillämpas inte är ovanliga inom hälso- och sjukvårdsområdet. Inte minst gäller detta tolkning av regelverket kring inre och yttre sekretess i samband med befattningshavares till- gång till elektronisk information och elektroniskt utbyte av patient- uppgifter mellan olika vårdenheter. Omfattningen av vårdregister- lagens tillämpningsområde är en annan fråga som det ofta uppstår osäkerhet kring liksom frågan om vad personuppgiftslagen egentligen tillåter eller ställer för krav på personuppgiftsbehandlingen.

Över huvud taget kan sägas att regleringen av hälso- och sjukvårds- sektorn är uppdelad på en mycket stor mängd författningar. Att sektorn genererat många lagar är knappast ägnat att förvåna redan med tanke på sektorns omfattning (samhällets kostnader för hälso- och sjukvårdssektorn uppgick år 2004 till 9,1 procent av brutto- nationalprodukten), komplexiteten i verksamheten och de många förändringar i sektorn som utvecklingen i olika avseenden påkallat eller som annars genomförts. Den splittrade lagstiftningen har i flera sammanhang kommenterats och kritiserats för att vara svårtillgäng- lig, oöverblickbar och för att leda till tillämpningsproblem i olika avseenden.

Kommittén om hälso- och sjukvårdens finansiering och organi- sation (HSU 2000) behandlade frågan om en mer samlad hälso- och sjukvårdslagstiftning i betänkandet Patienten har rätt (SOU 1997:154 s. 115 f.). Kommittén anförde bl.a. att hälso- och sjukvårdslagstift- ningen behöver ses över. Enligt kommittén borde en av utgångspunk- terna vid översynen vara att de bestämmelser som har betydelse för patientens ställning samlas i en lag i stället för att som nu vara spridda på flera lagar. Den uppenbara fördelen med detta skulle, enligt kom- mittén, vara att bestämmelserna blir tillgängliga och överskådliga för såväl patienter och personal som allmänheten. Det skulle därmed bli lättare att sprida kunskap om vad som faktiskt gäller på området. Kommittén ansåg det vidare viktigt för rättssäkerheten med en klar och lättillgänglig lagstiftning, särskilt på områden där bestämmelser- na i första hand skall tolkas och tillämpas av personer utan juridisk utbildning. Lagtekniskt skulle detta kunna åstadkommas på olika sätt, t.ex. genom en patientlag som reglerar patientens ställning eller som ett eget kapitel i en hälso- och sjukvårdsbalk. Kommittén fann emellertid att frågan har lagstiftningstekniska komplikationer som föll utanför kommitténs uppdrag och föreslog regeringen att den skulle ta initiativ till en samlad översyn av hälso- och sjukvårds-

152

SOU 2006:82

En ny lag

lagstiftningen i syfte att åstadkomma en patientfokuserad och tydlig reglering av patientens ställning.

Någon sådan bred översyn som kommittén föreslog har hittills inte kommit till stånd. I förarbetena till lagen om yrkesverksamhet på hälso- och sjukvårdens område anförde dock regeringen att lagen var ett första steg i den riktning som förespråkats av kommittén (prop. 1997/98:109 s. 78 f.). Beträffande regleringen av yrkesverk- samhet på hälso- och sjukvårdens område uttalade regeringen bl.a. att patienterna har ett befogat intresse av att lagstiftningen är effektiv, lättillgänglig och tydlig. Ur patientens synvinkel är det av särskilt värde att samla bestämmelserna i en lag. Eftersom lagstiftningen konkret tillämpas på yrkesutövarna inom hälso- och sjukvården, har dessa yrkesutövare ett särskilt intresse av att lagstiftningen är klar, konsekvent och överskådlig. Myndigheter som skall tillämpa lagstift- ningen, främst Socialstyrelsen och Hälso- och sjukvårdens ansvars- nämnd, har självfallet också ett intresse av att lagstiftningen är lätt att överblicka och att tillämpa. Sammanfattningsvis ansåg regeringen att en bättre samordning borde ske vad gäller de då fem lagar som bl.a. reglerade de olika yrkesgruppernas skyldigheter inom hälso- och sjukvården. Enligt regeringen torde tillämpningen av lagstiftningen, liksom dess överblickbarhet, avsevärt underlättas om reglerna samlas i ett mer enhetligt regelsystem. Om man i en lag tydligt särskiljer de olika delfrågorna, genom att dela in lagen i flera kapitel, förbätt- ras överblickbarheten avsevärt även om den föreslagna lagen blir omfångsrik.

7.3Våra överväganden

7.3.1En mer samlad reglering

Vårt förslag: Bestämmelserna i patientjournallagen och vård- registerlagen sammanförs i en ny lag, patientdatalagen.

Vi har förståelse för att det splittrade regelverket kring personupp- giftsbehandling inom hälso- och sjukvården kan innebära problem. På motsvarande sätt som anförts i samband med införandet av lagen om yrkesverksamhet på hälso- och sjukvårdens område anser vi att tillämpningen av lagstiftningen avsevärt skulle underlättas och bli mer enhetlig med en mer sammanhållen reglering än den nuvarande. En samlad reglering vinner i tydlighet, konsekvens och överblickbar-

153

En ny lag

SOU 2006:82

het; nog så viktiga komponenter för enskilda patienters integritets- skydd.

Som tidigare nämnts är det framför allt bestämmelserna i patient- journallagen, vårdregisterlagen och personuppgiftslagen som är av betydelse för hälso- och sjukvårdssektorns hantering av personupp- gifter om patienter. Det är alltså i första hand bestämmelserna i de två förstnämnda lagarna som bör föras samman i en ny lag. (Vi åter- kommer till frågan hur en ny sådan lag skulle förhålla sig till bestäm- melserna i personuppgiftslagen.)

Patientjournallagen innehåller de grundläggande bestämmelserna om patientjournaler inom hälso- och sjukvården. Lagen ställer krav på journalernas utformning, innehåll och hantering. Den innehåller därutöver bestämmelser om bl.a. hur journalerna skall bevaras, vilka yrkeskategorier som är skyldiga att föra journal och omhänder- tagande av journaler. Lagen är teknikneutral, dvs. den gäller oavsett om journaler förs på papper eller elektroniskt.

Vårdregisterlagen reglerar automatiserad behandling av personupp- gifter i vårdregister och gäller utöver personuppgiftslagens bestäm- melser. Vårdregister förekommer inom hälso- och sjukvårdens indi- vidinriktade verksamhet och används för dokumentation av vården av patienter, för sådan administration som rör enskilda patienter och som syftar till att bereda vård i enskilda fall samt för den ekonomiadministration som föranleds av vård i enskilda fall. I lagen finns bestämmelser om bl.a. vilka uppgifter som får finnas i ett vård- register, för vilka ändamål personuppgifter i vårdregister får behand- las, i vad mån uppgifter får hämtas till ett vårdregister från andra register genom samkörning, i vad mån direktåtkomst till uppgifter i ett vårdregister får medges och i vad mån uppgifter får lämnas ut från ett vårdregister på medium för automatiserad behandling.

Vårdregisterlagen är en registerförfattning och reglerar vilken personuppgiftsbehandling som får utföras. Patientjournallagen är däremot inte någon registerförfattning, utan innehåller regler om vad som måste göras i fråga om patientjournaler. En annan skillnad är att vårdregisterlagens bestämmelser avser behandling av person- uppgifter, medan patientjournallagens bestämmelser avser såväl infor- mationshantering som bedrivande av verksamheten.

För att uppnå en mer sammanhållen lagstiftning bör, enligt vår uppfattning, utgångspunkten vara att samtliga bestämmelser i patient- journallagen och vårdregisterlagen skall föras över till den nya lagen. Det innebär att den nya lagen kommer att innehålla bestämmelser som reglerar såväl verksamheten som behandling av personupp-

154

SOU 2006:82

En ny lag

gifter. Med tanke på att praktiskt taget all patientdatahantering i framtiden kommer att vara elektronisk framstår det enligt vår mening som mest ändamålsenligt med en sådan ordning. Sådan ”blandad” lag- stiftning förekommer för övrigt redan i dag. Ett exempel härpå är kreditupplysningslagen (1973:1173).

Andra alternativ skulle vara att behålla de verksamhetsstyrande reglerna i patientjournallagen eller att föra över dem till någon annan författning, t.ex. hälso- och sjukvårdslagen eller lagen om yrkes- verksamhet på hälso- och sjukvårdens område. Då skulle emellertid regelverket kring patientdatahantering vara fortsatt splittrat och tillämpningen av lagstiftningen skulle inte underlättas på det sätt som vi eftersträvar.

Vi föreslår alltså att bestämmelserna i patientjournallagen och vårdregisterlagen sammanförs i en ny lag. Denna bör ges namnet patientdatalagen.

För att den nya lagen skall bli överblickbar föreslår vi att den delas in i flera kapitel. I ett inledande kapitel bör lagens tillämpnings- område, vissa begrepp, m.m. beskrivas. Ett kapitel bör innehålla grundläggande bestämmelser om behandling av personuppgifter. Ett annat kapitel bör innehålla bestämmelser om skyldigheten att föra patientjournal, vilka bestämmelser hämtas från patientjournallagen. Den föreslagna lagen bör även innehålla särskilda kapitel med be- stämmelser om inre sekretess och elektronisk åtkomst i en vårdgiva- res verksamhet, utlämnande av uppgifter och handlingar, nationella och regionala kvalitetsregister samt rättigheter för den enskilde.

7.3.2Lagens tillämpningsområde

Vårt förslag: Patientdatalagen skall tillämpas vid behandling av personuppgifter i vårdgivares kärnverksamhet som avser tillhanda- hållande av hälso- och sjukvård inklusive tandvård åt patienter. Verksamhet hos t.ex. patientnämnder och läkemedelskommittéer eller verksamhet hos t.ex. Smittskyddsinstitutet eller Social- styrelsen omfattas inte av lagen.

Med vårdgivare avses statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvård som myndigheten, lands- tinget eller kommunen har ansvar för samt annan juridisk eller fysisk person som yrkesmässigt bedriver hälso- och sjukvård.

Tillämpningsområdet omfattar all helt eller delvis automatise- rad behandling av personuppgifter samt manuell behandling av

155

En ny lag

SOU 2006:82

personuppgifter som ingår i eller är avsedda att ingå i en struk- turerad samling av personuppgifter som är tillgängliga för sök- ning eller sammanställning enligt särskilda kriterier. Regleringen är således inte begränsad till särskilda datoriserade register, data- baser eller andra elektroniska uppgiftssamlingar.

Därutöver gäller vissa särskilda bestämmelser om dokumenta- tion m.m. i patientjournaler. Dessa bestämmelser är tillämpliga även om behandlingen sker manuellt utan att personuppgifterna ingår i eller avses ingå i någon strukturerad uppgiftssamling. I tillämpliga delar gäller lagen också vid behandling av uppgifter om avlidna.

Personuppgiftsbehandling i verksamhet som faller utanför pa- tientdatalagens tillämpningsområde regleras precis som i dag av personuppgiftslagen. Till sådan verksamhet hör t.ex. verksamhet vid patientnämnder eller läkemedelskommittéer. Även hos en vård- givare som omfattas av lagens tillämpningsområde förekommer personuppgiftsbehandling som faller utanför lagens tillämpnings- område. Så är exempelvis fallet i internadministrativ verksamhet vid personuppgiftsbehandling rörande anställda eller rörande leverantörer av varor och tjänster.

Sådan särskild personuppgiftsbehandling som sker för forsk- ningsändamål eller utbildningsändamål faller utanför lagens tillämp- ningsområde.

Vårt uppdrag

Enligt våra första tilläggsdirektiv (dir. 2004:95) skall vårt förslag till reglering omfatta behandlingen av personuppgifter i den medicinska vården, den kvalitetsförbättrande verksamheten, forskningen och den administrativa verksamheten inom hälso- och sjukvården. När- mare än så preciseras inte det tänkta tillämpningsområdet för en kommande reglering. Efter en sammanfattande beskrivning av gällan- de rätt på området redovisar vi våra överväganden när det gäller så- väl vems som vilken personuppgiftsbehandling som bör regleras av patientdatalagen.

156

SOU 2006:82

En ny lag

Dagens reglering

Personuppgiftslagen har ett vidsträckt tillämpningsområde och reg- lerar i princip all hantering inom hälso- och sjukvårdssektorn av information om patienter, anhöriga, personal, fysiska uppdragstagare och andra enskilda så länge som uppgifterna direkt eller indirekt kan hänföras till en fysisk person som är i livet. Även vid hantering av t.ex. kodade uppgifter eller pseudonymer är personuppgiftslagens bestämmelser således tillämpliga. Däremot är personuppgiftslagen inte tillämplig när det handlar om behandling av uppgifter om avlidna. Vidare skall hanteringen, dvs. personuppgiftsbehandlingen, ske helt eller delvis automatiserat eller manuellt i register för att omfattas av personuppgiftslagen. Personuppgiftslagen är alltså teknikoberoende.

Vid elektronisk behandling av personuppgifter i vårdregister gäller därutöver vårdregisterlagen. Tillämpningsområdet för vårdregisterlagen är knutet till särskilda datoriserade samlingar av personuppgifter som inrättats för att användas i hälso- och sjukvårdens individinriktade vårdverksamhet.

Med vård enligt vårdregisterlagen avses vård enligt hälso- och sjukvårdslagen, tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård och lagen (1991:1129) om rättspsykiatrisk vård samt smittskydd enligt smittskyddslagen (2004:168). Enligt förarbetena till vårdregisterlagen avses denna hänvisning till upp- räknade lagar skapa tydlighet i fråga om vilken vårdverksamhet som omfattas av vårdregisterlagens tillämpningsområde. All elektronisk patientjournalföring – oavsett om den grundar sig på patientjournal- lagen eller annan författning – regleras av vårdregisterlagen (prop. 1997/98:108 s. 68 f.).

Vad som utgör ett vårdregister bestäms i hög grad av vårdregister- lagens ändamålsreglering i kombination med en bestämmelse om vad ett vårdregister får innehålla. Personuppgifter i ett vårdregister får behandlas för ändamålen dokumentation av vården av patienter eller för sådan administration som rör patienter och som syftar till att bereda vård i enskilda fall. Dessutom får personuppgifter be- handlas för den ekonomiadministration som föranleds av vård i en- skilda fall (3 §). De nämnda ändamålen kan kallas primära. Endast sådana personuppgifter som behövs för dessa primära ändamål får finnas i ett vårdregister. Vårdregisterlagen reglerar, liksom person- uppgiftslagen, bara behandling av uppgifter om levande personer.

Personuppgifter i vårdregister får emellertid även användas för framställning av statistik, för uppföljning, utvärdering, kvalitetssäk-

157

En ny lag

SOU 2006:82

ring och administration på verksamhetsområdet samt för uppgifts- utlämnande som föreskrivs i lag eller förordning (4 §). Dessa ända- mål kan sägas vara sekundära ändamål. Personuppgiftsbehandling som sker särskilt för något eller flera av dessa sekundära ändamål omfattas dock inte av vårdregisterlagens tillämpningsområde. Per- sonuppgiftsbehandling i register eller liknande elektroniska uppgifts- samlingar som inrättats för andra ändamål än vårdregisterlagens primära ändamål – t.ex. kvalitetsregister eller elektroniska system för avvikelserapportering – regleras således bara av personuppgifts- lagen.

Patientdatalagens tillämpningsområde

Hälso- och sjukvård är en omfattande sektor i samhället som inbegri- per många myndigheter, företag och andra aktörer med verksamhet av betydelse för sektorn. Förutom landstingen och kommunerna – som ansvarar för organiserandet av hälso- och sjukvården inom sina områden och som dessutom i egen regi bedriver hälso- och sjukvård

– finns det ett växande antal privata vårdgivare som tillhandahåller hälso- och sjukvård åt patienter. En del statliga myndigheter, såsom t.ex. Kriminalvården och Totalförsvarets pliktverk, tillhandahåller viss hälso- och sjukvård. Till hälso- och sjukvården hör även före- tagshälsovården och skolhälsovården; verksamheter som kan ha en rad olika huvudmän. Därutöver finns flera statliga myndigheter med uppgifter inom hälso- och sjukvårdssektorn. Den största är Social- styrelsen som bl.a. utövar tillsyn över hälso- och sjukvården samt över hälso- och sjukvårdspersonalen. Hälso- och sjukvårdens ansvars- nämnd är en annan statlig myndighet som prövar anmälningar mot hälso- och sjukvårdspersonal i samband med undersökning, vård och behandling av patienter. Både Socialstyrelsen och ansvarsnämnden hanterar integritetskänsliga uppgifter om patienter i sina verksam- heter. Även vid andra statliga myndigheter, t.ex. universitet och andra forskningshuvudmän, förekommer behandling av personuppgifter om patienter i en inte obetydlig omfattning. En fråga är hur omfat- tande patientdatalagens tillämpningsområde skall vara i fråga om vems personuppgiftsbehandling som regleras av lagen. Härmed samman- hänger också frågan om vilken eller vilka slags verksamheter som skall regleras av patientdatalagens bestämmelser om personuppgifts- behandling.

158

SOU 2006:82

En ny lag

Utgångspunkten här bör enligt vår uppfattning vara att patient- datalagen skall koncentreras till att omfatta personuppgiftsbehand- ling i den individinriktade patientvården inom hälso- och sjukvården. Till denna kärnverksamhet hör åtgärder för att förebygga, utreda och behandla sjukdomar och skador hos enskilda oberoende av om den verksamheten sker enligt hälso- och sjukvårdslagen, tandvårds- lagen, lagen om psykiatrisk tvångsvård, lagen om rättspsykiatrisk vård, smittskyddslagen eller någon annan lagstiftning. Hit hör t.ex. även insemination, abort, sterilisering, kastrering, omskärelse och transplantationsingrepp på givare, blodgivning och annan liknande patientverksamhet som innefattar vård, undersökning eller behand- ling. Härigenom avgränsas tillämpningsområdet i förhållande till personuppgiftsbehandling hos sådana andra myndigheter m.fl. som agerar inom hälso- och sjukvårdssektorn men som inte bedriver patientvård, såsom Socialstyrelsen, Läkemedelsverket, Smittskydds- institutet och Hälso- och sjukvårdens ansvarsnämnd för att ta några exempel. Även verksamhet vid sjukvårdhuvudmännens läkemedels- kommittéer och patientnämnder faller utanför patientdatalagens tillämpningsområde.

Det sagda innebär att det är vårdgivares personuppgiftsbehandling som regleras av lagen. Vi föreslår att begreppet vårdgivare definieras i patientdatalagen. Med vårdgivare avses – med ett undantag – i patientdatalagen en fysisk eller juridisk person som yrkesmässigt bedriver hälso- och sjukvård. En vårdgivare kan vara en fysisk person som bedriver hälso- och sjukvård i en enskild firma eller ett aktie- bolag, en stiftelse, ett handelsbolag eller liknande. Sådana kommu- nala företag som avses i 1 kap. 9 § sekretesslagen är egna juridiska personer och utgör självständiga vårdgivare. Inom den allmänna hälso- och sjukvården hos sjukvårdshuvudmännen är det den juri- diska personen landstinget eller kommunen som är vårdgivare. Hos dessa vårdgivare är det dock personuppgiftsbehandlingen hos den nämnd eller annan myndighet som utövar ledningen av eller utför den faktiska hälso- och sjukvården som regleras av lagen. Härmed avses exempelvis både s.k. beställar- och utförarnämnder i ett lands- ting eller en kommun.

Undantaget i patientdatalagen från huvudregeln om att vårdgivaren skall vara en juridisk eller fysisk person avser individinriktad hälso- och sjukvård som tillhandahålls av statliga myndigheter. Sådan hälso- och sjukvård bedrivs parallellt med annan verksamhet som utgör myndighetens huvuduppgift, t.ex. hos universitet och högskolor, Statens institutionsstyrelse, Kriminalvården eller Totalförsvarets plikt-

159

En ny lag

SOU 2006:82

verk. Vi menar därför att det är naturligt att behandla dessa statliga myndigheter som separata vårdgivare i patientdatalagens mening.

Till den ovan beskrivna kärnverksamheten – individinriktad patient- vård – hör ett ansvar att administrera och att i olika avseenden ut- veckla verksamheten. Även i den verksamheten behöver vårdgivare behandla personuppgifter, oftast samma uppgifter som samlats in i patientvården. Även denna personuppgiftsbehandling bör regleras av patientdatalagen. Däremot anser vi att personuppgiftsbehand- lingen i den rent administrativa verksamheten utan nära koppling till patientverksamheten – t.ex. i personaladministrationen, material- försörjningen m.m. – bör falla utanför patientdatalagens tillämpnings- område.

I våra direktiv anges att regleringen också skall omfatta forskning inom hälso- och sjukvården. Genom våra förslag ovan om att det bara är vårdgivares personuppgiftsbehandling som skall regleras av patientdatalagen, faller delar av den medicinska forskningen och annan vårdrelaterad forskning utanför tillämpningsområdet, nämli- gen i den mån denna bedrivs av andra huvudmän än vårdgivare. Sjuk- vårdshuvudmännen bedriver emellertid själva i betydande omfattning medicinsk och annan forskning inom hälso- och sjukvården. I 26 b § hälso- och sjukvårdslagen åläggs sjukvårdshuvudmännen ett ansvar för att medverka vid genomförande av kliniskt forskningsarbete på hälso- och sjukvårdens område samt av folkhälsovetenskapligt forsk- ningsarbete. När det gäller den s.k. patientnära eller kliniska forsk- ningen som förekommer hos vårdgivare, bedrivs den inte sällan in- tegrerat med patientvården. Såsom närmare beskrivs i avsnitt 17 utgör forskning respektive patientvård emellertid självständiga verksam- hetsgrenar i förhållande till varandra. Förutsättningarna för behand- ling av bl.a. känsliga personuppgifter för forskningsändamål är föremål för särreglering i lagen (2003:460) om etikprövning av forskning som avser människor.

Den särskilda personuppgiftsbehandling som föranleds av forsk- ningen i den patientnära forskningen bör enligt vår uppfattning inte regleras av patientdatalagen. Härmed avses dokumentation som en- bart sker i forskningssyfte och heller inte har någon betydelse för vården. Sådan personuppgiftsbehandling kommer även fortsättnings- vis att regleras av personuppgiftslagen. Till den del den patientnära forskningen innefattar patientjournalföring eller annan dokumen- tation som hör till vården, regleras den informationshanteringen dock av patientdatalagen.

160

SOU 2006:82

En ny lag

Motsvarande bör gälla för den kliniska utbildningen av t.ex. bli- vande läkare och sjuksköterskor. Det har inte varit möjligt att inom ramen för vårt uppdrag närmare granska förutsättningarna för att använda uppgifter om patienter i teoretisk eller praktisk hälso- och sjukvårdsutbildning. Vi vill emellertid framhålla att utbildningsverk- samhet i allt väsentligt är en egen verksamhetsgren också då den bedrivs inom en och samma myndighet som bedriver hälso- och sjukvård. Utbildningsverksamheten som sådan ingår alltså inte i patientdatalagens tillämpningsområde. I den utsträckning studenter emellertid deltar i den faktiska patientvården såsom praktikanter, omfattas deras arbete, om än i utbildningssyfte, av patientdatalagens tillämpningsområde. Det innebär bl.a. att vårdgivare i sådana fall skall kunna låta studenterna få ta del av och även kunna föra anteck- ningar i elektroniska patientjournaler i nödvändig omfattning. Nor- malt torde detta förutsätta såväl patientens samtycke som att prakti- kantens åtgärder sker under en handledares uppsikt och ledning.

När det därefter gäller vilken slags personuppgiftsbehandling som skall regleras av patientdatalagen gör vi följande överväganden.

Vid behandling av personuppgifter i vårdgivarnas verksamhet före- kommer en i det närmaste oöverblickbar mängd olika slags datori- serade register. Det förekommer vidare andra elektroniska system för hantering av personuppgifter som inte kan sägas ha organiserats och systematiserats på sätt som gör att man kan tala om register. Utvecklingen går alltmer mot att olika funktioner integreras i stora elektroniska system för hantering av både ett flertal strukturerade uppgiftssamlingar och annan mer ostrukturerad information. På grund av denna informationstekniska utveckling har det blivit allt svårare att fastställa såväl när ett register inrättats som vad som är ett register i förhållande till ett annat. Det har också vid tillämpning av vårdregisterlagen uppstått en hel del oklarheter om vad som kan sägas ingå i ett vårdregister eller inte. Det har i sin tur medfört svårig- heter att bedöma dels hur personuppgifter som finns elektroniskt lagrade i verksamheten får användas, dels vilken lag – personupp- giftslagen eller vårdregisterlagen – som är tillämplig på en enskild personuppgiftsbehandling. Problemen gäller framför allt när individ- bunden information om patienter används för sådana sekundära ändamål som avses i 4 § vårdregisterlagen.

Genom personuppgiftslagens införande har begreppet register kommit att spela en underordnad roll vid elektronisk behandling av personuppgifter. All elektronisk behandling av personuppgifter omfattas av personuppgiftslagens bestämmelser alldeles oavsett om

161

En ny lag

SOU 2006:82

personuppgifterna ingår i register eller inte. I stället har det blivit av avgörande betydelse att personuppgifter skall samlas in för uttryck- ligt angivna ändamål och sedan inte användas för något annat ända- mål som är oförenligt med det ändamål för vilket uppgifterna samlades in. Mot bakgrund av den komplexa IT-struktur som vuxit fram inom hälso- och sjukvården menar vi att övervägande skäl talar för att patientdatalagens reglering av personuppgiftsbehandling skall omfatta inte bara personuppgiftsbehandling i särskilda register eller databaser utan på samma sätt som personuppgiftslagen omfatta all helt eller delvis automatiserad behandling av personuppgifter i kärn- verksamheten. Vidare bör även manuell behandling i register eller för registerföring omfattas. Ledning för bedömning av vilken manuell hantering som omfattas kan sökas i förarbeten, doktrin och praxis rörande personuppgiftslagens bestämmelser, se t.ex. RÅ 2001 ref. 35. Såsom framgått av föregående avsnitt kommer även patientjournal- lagens bestämmelser om dokumentation m.m. i patientjournaler att föras in i patientdatalagen. I denna del kommer patientdatalagen att bli tillämplig även på manuell behandling av personuppgifter som inte ingår eller är avsedda att ingå i register. Detta skall uttryckligen framgå av lagen.

I hälso- och sjukvårdens verksamhet förekommer en mängd upp- gifter om avlidna. Som redovisats i det föregående är varken person- uppgiftslagen eller vårdregisterlagen tillämpliga på dessa uppgifter. Däremot gäller patientjournallagens bestämmelser i tillämpliga delar, t.ex. skall skyldigheten att föra patientjournal även i fortsättningen omfatta patient som avlider. Vi menar därutöver att uppgifter om avlidna patienter kan vara integritetskänsliga och att därför även sådana uppgifter bör omfattas av lagens bestämmelser om person- uppgiftsbehandling i tillämpliga delar, t.ex. när det gäller för vilka ändamål uppgifter om avlidna får användas eller när det gäller vilken elektronisk åtkomst som får förekomma till uppgifter om avlidna.

7.3.3Patientdatalagens förhållande till annan lagstiftning

Förhållandet till personuppgiftslagen

Personuppgiftslagen gäller vid helt eller delvis automatiserad be- handling av personuppgifter och vid manuell behandling av person- uppgifter, om uppgifterna ingår i eller är avsedda att ingå i en struk-

162

SOU 2006:82

En ny lag

turerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Lagen innehåller vissa definitioner och grundläggande förutsätt- ningar för när behandling av personuppgifter är tillåten. I lagen finns vidare bl.a. bestämmelser om information till den registrerade, om säkerhet vid behandlingen, om rättelse av uppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen och om skadestånd.

Personuppgiftslagen är generellt tillämplig på behandling av per- sonuppgifter. Det är emellertid möjligt att meddela avvikande bes- tämmelser i lag eller förordning som gäller i stället för personupp- giftslagens bestämmelser. En förutsättning är dock att de avvikande bestämmelserna inte strider mot bestämmelserna i Europaparlamen- tets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet).

Avseende de bestämmelser som inte skall avvika från personupp- giftslagen har det förekommit olika lösningar i tidigare lagstiftnings- ärenden.

En metod är att konstruera den särskilda författningen så att den genom särreglering endast kompletterar personuppgiftslagen. Den särskilda författningen kommer då att gälla utöver personuppgifts- lagen, vilket innebär att när reglering saknas i den särskilda författ- ningen kommer personuppgiftslagens bestämmelser att vara tillämp- liga. Nackdelen med denna lösning är att lagtillämparen kan ha svårt att få en överblick över vilka bestämmelser i personuppgiftslagen som är tillämpliga. Metoden används bl.a. i vårdregisterlagen.

En annan metod är att reglera de bestämmelser som avviker från personuppgiftslagen särskilt i specialförfattningen och uttryckligen hänvisa till de lagrum i personuppgiftslagen som skall vara tillämp- liga. Fördelarna med denna metod är att lagstiftningen blir mer över- skådlig, tydlig och lättillämpad än om inga hänvisningar görs till personuppgiftslagen. Metoden har emellertid fått kritik av Lagrådet som bl.a. ansett att lagstiftningstekniken är riskfylld, med hänsyn såväl till svårigheten att överblicka om dataskyddsdirektivet blir till fullo genomfört i registerlagarna som till möjligheten att vid kom- mande lagändringar hänvisningarna till personuppgiftslagen blir fel- aktiga eller ofullständiga (prop. 2000/01:33 s. 345). Metoden används dock i lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Som skäl härför anförde regeringen att denna lagstiftningsteknik redan användes i regleringen av Tull-

163

En ny lag

SOU 2006:82

verkets fiskala verksamhet och att det fanns ett inte obetydligt värde i att använda samma typ av lagstiftningsteknik för behandling av personuppgifter i myndighetens hela verksamhet, utom i den rent administrativa verksamhet som i princip regleras av enbart person- uppgiftslagen. Regeringen menade vidare att risken att inte kunna överblicka att dataskyddsdirektivet till fullo blir genomfört i prin- cip inte gjorde sig gällande på det aktuella ärendet eftersom Tull- verkets brottsbekämpande verksamhet delvis ligger utanför direktivets tillämpningsområde (prop. 2004/05:164 s. 48).

Dessa skäl gör sig emellertid inte gällande i fråga om den före- slagna patientdatalagen. Som framgått tidigare används den först- nämnda lagstiftningstekniken i bl.a. vårdregisterlagen. Vidare omfattas hälso- och sjukvård av dataskyddsdirektivets tillämpningsområde. Mot bakgrund av de påtalade riskerna med den senare lagstiftnings- tekniken anser vi att patientdatalagen i förhållande till personuppgifts- lagen bör enbart omfatta de särbestämmelser och förtydliganden som det bedöms föreligga behov av när det gäller sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Detta innebär t.ex. att de begrepp som används i patientdatalagen, t.ex. ”behandling” (av personuppgifter) och ”personuppgifter” har den innebörd som framgår av definitioner i 3 § personuppgiftslagen utan att detta särskilt behöver anges. Även 9 § personuppgiftslagen om grundläggande krav på den personuppgiftsansvariges behandling av personuppgifter gäller också då personuppgifter behandlas enligt patientdatalagen. Vi återkommer i det följande till vilka ytterligare bestämmelser i personuppgiftslagen som skall tillämpas vid behand- ling som regleras i patientdatalagen.

Förhållandet till biobankslagen

I lagen (2002:297) om biobanker i hälso- och sjukvården m.m. (bio- bankslagen) regleras hur humanbiologiskt material, med respekt för den enskilda människans integritet, skall få samlas in, förvaras och användas för vissa ändamål.

Med biobank avses i lagen biologiskt material från en eller flera människor som samlas och bevaras tills vidare eller för en bestämd

164

SOU 2006:82

En ny lag

tid och vars ursprung kan härledas till den eller de människor från vilka materialet härrör.

Lagen är tillämplig på en biobank som inrättats i Sverige i en vårdgivares hälso- och sjukvårdsverksamhet, oavsett var materialet i biobanken förvaras. Lagen gäller också för vävnadsprover från en biobank som inrättats i en vårdgivares hälso- och sjukvårdsverk- samhet men som har lämnats ut för att förvaras och användas hos en annan vårdgivare, en enhet för forskning eller diagnostik, en offentlig forskningsinstitution, ett läkemedelsbolag eller en annan juridisk person och som även efter utlämnandet kan härledas till den eller de människor från vilka de härrör. Lagen är däremot inte tillämplig på prover som rutinmässigt tas i vården för analys och som uteslutande är avsedda som underlag för diagnos och löpande vård och behandling av provgivaren och som inte sparas en längre tid än cirka två månader. Sparas proverna längre tid är lagen emeller- tid tillämplig även på dessa prover (prop. 2001/02:44 s. 68 f.).

I biobankslagen regleras även den s.k. PKU-biobanken, vilken innehåller vävnadsprover från nyfödda barn. Regleringen innebär bl.a. att den vårdgivare som regeringen bestämmer (Stockholms läns landsting) får med hjälp av automatiserad behandling eller annan behandling av personuppgifter föra ett särskilt register för screening av prover från nyfödda barn för vissa ämnesomsättningsrubbningar (PKU-registret).

Biobankslagen är subsidiär i förhållande till andra lagar. Bestäm- melserna om PKU-registret har dock företräde framför bestämmel- ser i annan lag (1 kap. 4 §).

I förarbetena till biobankslagen behandlas frågan om vävnads- prover i biobanker och förhållandet till personuppgiftslagen (a. prop. s. 31). Av personuppgiftslagen följer att all information som kan hänföras till en levande individ är personuppgifter. Det som krävs är att en fysisk person kan identifieras med hjälp av informationen. Regeringen gör bedömningen att med den definition av en biobank som anges i lagen – att en biobank utgörs av mänskligt material vars ursprung skall kunna spåras till en viss individ – är en biobank med material från levande personer att anse som personuppgifter enligt personuppgiftslagen.

Regeringen övergår därefter till frågan huruvida själva förvaringen av vävnadsprover i en biobank utgör en sådan delvis automatiserad eller manuell behandling av personuppgifter som regleras i person- uppgiftslagen. Vävnadsprover förvaras t.ex. i parafinklossar vilka har ett identifieringsnummer. Övriga uppgifter om provgivarna såsom

165

En ny lag

SOU 2006:82

personnummer m.m. förvaras i anslutning till vävnadsproverna i register eller patientjournaler. Identifieringsnumret är nödvändigt för att vävnadsproverna skall kunna härledas till personuppgifterna i registren. Mot bakgrund av hur vävnadsprover och patientupp- gifter förvaras gör regeringen bedömningen att själva förvaringen av vävnadsproverna i en biobank inte kan anses utgöra en delvis automatiserad behandling. Vidare gör regeringen bedömningen att eftersom det endast finns ett kriterium för sökning (identifierings- numret) kan vävnadsprover i en biobank inte anses tillgängliga för sökning på ett sådant sätt att vävnadsproverna omfattas av person- uppgiftslagens bestämmelser om manuell behandling av personupp- gifter.

De personuppgifter om provgivarna som finns i register eller annan form i anslutning till proverna utgör inte en del av biobanken (a. prop. s. 34 f.). För dessa uppgifter gäller i stället bl.a. personupp- giftslagen. Om uppgifterna behandlas i ett vårdregister, gäller även vårdregisterlagens bestämmelser.

Våra förslag innebär att patientdatalagens bestämmelser skall tillämpas vid personuppgiftsbehandling som sker i en vårdgivares hälso- och sjukvårdsverksamhet och som avser personuppgifter som förvaras i anslutning till vävnadsprover i en biobank. När det gäller behandling av personuppgifter i PKU-registret så kommer dock denna alltjämt att regleras av biobankslagen.

Förhållandet till lagen om läkemedelsförteckning

I lagen (2005:258) om läkemedelsförteckning anges att Apoteket AB skall för vissa i lagen angivna ändamål utföra automatiserad be- handling av personuppgifter i ett särskilt register över köp av för- skrivna läkemedel (läkemedelsförteckning).

Själva registreringen av uppgifter i förteckningen sker utan patien- tens medgivande. Tillgång till uppgifterna får däremot ges till för- skrivare och farmaceut endast efter uttryckligt samtycke från den registrerade. Om samtycke inte kan lämnas, får uppgifterna i för- teckningen lämnas ut till förskrivare om det är nödvändigt för att den registrerade skall kunna få vård eller behandling som han eller hon oundgängligen behöver.

Förskrivare av läkemedel får använda förteckningen för att åstad- komma en säker framtida förskrivning av läkemedel för den regi- strerade och för att bereda den registrerade vård och behandling.

166

SOU 2006:82

En ny lag

Förskrivare får även använda uppgifterna för att komplettera den registrerades patientjournal. Vidare får förteckningen användas av farmaceut på apotek för att underlätta den kontroll som skall genomföras innan ett läkemedel lämnas ut till den registrerade från apotek. Förteckningen får även användas av de registrerade för att underlätta deras läkemedelsanvändning.

Uppgifterna i läkemedelsförteckningen får lämnas till förskrivare, farmaceut och den registrerade på medium för automatiserad behand- ling. Förskrivare och farmaceut får ha direktåtkomst till uppgifter i läkemedelsförteckningen. Den registrerade får ha direktåtkomst till uppgifter om sig själv. Utlämnandet av uppgifter i en läkemedels- förteckning till förskrivare inom hälso- och sjukvården skall även fortsättningsvis regleras av lagen av läkemedelsförteckning och alltså inte av patientdatalagen. Den fortsatta behandlingen av uppgifterna inom hälso- och sjukvården kommer däremot att regleras av patient- datalagen.

I 6 § vårdregisterlagen anges att patientens läkemedelsförteckning får hämtas till ett vårdregister genom samkörning. Bestämmelsen reglerar hur (genom samkörning) uppgifterna i patientens läkemedels- förteckning får tillföras patientens journal när det är tillåtet för för- skrivaren att ta del av läkemedelsförteckningen. Denna fråga kommer fortsättningsvis att regleras av patientdatalagen (se avsnitt 8.2.4). Frågan om när det är tillåtet att ta del av läkemedelsförteckningen regleras däremot i lagen om läkemedelsförteckning.

Förhållandet till lagen om genetisk integritet m.m.

Lagen (2006:351) om genetisk integritet m.m., som trädde i kraft den 1 juli 2006, är en samlad lag för genetisk undersökning och in- formation inom hälso- och sjukvården och medicinsk forskning samt genterapi m.m. Den reglerar även befruktning utanför kroppen, insemination och kommersialisering av humanbiologiskt material.

När en genetisk undersökning görs på begäran av en enskild eller i samband med en allmän hälsoundersökning är patientjournallagen tillämplig. Sådana undersökningar kommer således att omfattas av patientdatalagens bestämmelser.

Lagen om genetisk integritet m.m. ersätter bl.a. lagen (1984:1140) om insemination och lagen (1988:711) om befruktning utanför kroppen. De tidigare bestämmelserna i 3 § lagen om insemination och 6 § lagen om befruktning utanför kroppen om att uppgifter om

167

En ny lag

SOU 2006:82

givaren skall antecknas i en särskild journal, som skall bevaras i minst 70 år, har förts över till 6 kap. 4 § respektive 7 kap. 6 § lagen om genetisk integritet m.m. Dessa bestämmelser utgör särregler i för- hållande till patientjournallagen och gäller alltså utöver sistnämnda lags grundläggande bestämmelser om journalföring. På motsvarande sätt skall dessa särregler gälla utöver patientdatalagens bestämmelser.

Förhållandet till lagen om blodsäkerhet

Lagen (2006:496) om blodsäkerhet (blodsäkerhetslagen), som trädde i kraft den 1 juli 2006, grundar sig på Europaparlamentets och rådet direktiv 2002/98/EG av den 27 januari 2003 om fastställande av kvali- tets- och säkerhetsnormer för insamling, kontroll, framställning, förvaring och distribution av humanblod och blodkomponenter och ändring av direktiv 2001/83/EG.

Lagen är tillämplig på blodverksamhet som bedrivs vid blod- centraler. Med blodverksamhet avses i lagen insamling och kontroll av blod och blodkomponenter avsedda att användas vid transfusion eller läkemedelstillverkning, samt framställning, förvaring och distri- bution av blod och blodkomponenter när de är avsedda att användas vid transfusion.

Enligt blodsäkerhetslagen skall blodcentraler föra ett register med uppgifter om den verksamhet som bedrivs vid blodcentralen, blod- givare och gjorda kontroller av blod och blodkomponenter. Registret får ha till ändamål endast att göra det möjligt att spåra blod och blodkomponenter och att förhindra att smittat blod och blodkom- ponenter överförs till människor. Registret får föras med hjälp av automatiserad behandling. Registret får i fråga om personuppgifter innehålla uppgift bara om blodgivares identitet och uppgiven sjuk- domshistoria samt uppgift om resultatet av gjorda kontroller av blod och blodkomponenter. Uppgifterna i registret skall gallras 30 år efter införandet.

Insamling, kontroll, framställning, förvaring och distribution av blod och blodkomponenter avsedda att användas vid transfusion är att betrakta som hälso- och sjukvård i den mening som avses i hälso- och sjukvårdslagen. Insamling och kontroll av blod och blodkom- ponenter avsedda att användas som råvara vid läkemedelstillverk- ning omfattas också av bestämmelserna i blodsäkerhetslagen. Sådan verksamhet har emellertid inte primärt vård- eller behandlingssyfte och är därför inte att betrakta som hälso- och sjukvård i den mening

168

8Grundläggande bestämmelser om personuppgiftsbehandling

8.1Inledning

I detta avsnitt behandlas några övergripande frågeställningar och för- slag till grundläggande bestämmelser om personuppgiftsbehandling som avses gälla generellt inom patientdatalagens tillämpningsområde vid sådan behandling av personuppgifter som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (se avsnitt 7). Tanken är att dessa skall, tillsammans med personuppgiftslagens (1998:204) bestämmelser, formera en yttersta ram för det tillåtna när det gäller behandling av personuppgifter inom hälso- och sjukvården.

8.2Ändamål för personuppgiftsbehandlingen

Våra förslag: I patientdatalagen anges ändamål för vilka person- uppgifter får samlas in och även i övrigt behandlas inom hälso- och sjukvården. Ändamålen är följande.

1.patientjournalföring och annan dokumentation som behövs i och för vården av patienter eller som behövs för administra- tion som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall (Vårddokumentation),

2.utförande av annan dokumentation som följer av lag, förord- ning eller annan författning,

3.systematisk och fortlöpande utveckling och säkring av hälso- och sjukvårdens kvalitet (Kvalitetssäkring),

4.administration, planering, uppföljning, utvärdering och tillsyn av hälso- och sjukvårdsverksamheten och

5.framställning av statistik rörande hälso- och sjukvård

171

Grundläggande bestämmelser om personuppgiftsbehandling

SOU 2006:82

Några särskilda bestämmelser om samkörning föreslås inte.

8.2.1Allmänt om ändamålsbestämning

Bestämning av ändamålen med behandling av personuppgifter är av central betydelse för personuppgiftslagens regelverk till skydd för enskilda registrerades personliga integritet. I 9 § personuppgiftslagen finns bestämmelser om grundläggande krav på behandling av per- sonuppgifter som en personuppgiftsansvarig alltid måste följa. När det gäller ändamål anges i 9 § första stycket att personuppgifter får samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål (punkt c). De insamlade personuppgifterna får inte senare behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (punkt d). Denna sistnämnda bestämmelse kallas för finalitetsprincipen. Finalitetsprincipen medför att det är väsentligt att alla de ändamål för vilka man kan tänkas behöva använda de insamlade personuppgifterna finns angivna redan då uppgifterna samlas in. Något hinder mot att ange flera ändamål vid insamlingen finns alltså inte. Enligt 9 § andra stycket personuppgiftslagen skall senare behandling av uppgifter för historiska, statistiska eller veten- skapliga ändamål dock inte anses som oförenliga med de ändamål för vilka uppgifterna samlades in. Med behandling avses i detta samman- hang varje typ av åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatiserad väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller för- störing (3 § personuppgiftslagen).

När det gäller registerförfattningar anges oftast uttryckligen för vilka ändamål personuppgifter får behandlas. Det är en omdisku- terad fråga i vad mån ändamålsbestämningar i registerförfattningar skall anses vara uttömmande eller inte, dvs. huruvida andra med ända-

172

SOU 2006:82

Grundläggande bestämmelser om personuppgiftsbehandling

målsbestämningen inte oförenliga ändamål skall anses vara tillåtna eller inte vid sidan av de uttryckliga ändamålen, då det handlar om en behandling av redan insamlade personuppgifter. Framgår det inte av den aktuella registerförfattningen att ändamålsbestämmelsen syf- tar till att vara uttömmande och personuppgiftslagen gäller utöver den särskilda registerförfattningen torde, enligt vår uppfattning, även andra icke angivna ändamål vara tillåtna, om dessa andra ändamål är förenliga med de i författningen angivna ändamålen eller om det är fråga om behandling för historiska, statistiska eller vetenskapliga ändamål. Detta följer av de nyss nämnda bestämmelserna i 9 § första stycket d och andra stycket personuppgiftslagen. I avsnitt 8.2.3 åter- kommer vi till frågan om innebörden av rekvisitet ”oförenligt” i be- stämmelsen.

Vad gäller i dag?

Lagen (1998:544) om vårdregister (vårdregisterlagen) reglerar per- sonuppgiftsbehandlingen i ett visst slag av personuppgiftssamlingar, vårdregister. Vårdregisterlagens ändamålsreglering är, som berörts i avsnitt 7.3.2, konstruerad så att det finns några primära ändamål som bestämmer vårdregistrens innehåll och huvudsakliga användnings- område samt några sekundära ändamål för vilka de för ett eller flera primära ändamål insamlade uppgifterna också får användas.

Enligt 3 § vårdregisterlagen är de primära ändamålen dokumenta- tion av vården av patienter, sådan administration som rör patienter och som syftar till att bereda vård i enskilda fall samt den ekonomi- administration som föranleds av vård i enskilda fall.

I 4 § vårdregisterlagen anges de sekundära ändamålen vara 1) framställning av statistik, 2) uppföljning, utvärdering, kvalitetssäk- ring och administration på verksamhetsområdet samt 3) uppgifts- utlämnande som föreskrivs i lag eller förordning.

Att vårdregisterlagens ändamålsreglering inte är avsedd att vara helt uttömmande framgår bl.a. av 9 § enligt vilken personuppgifter i vårdregister får lämnas ut på medium för automatiserad behandling

– förutom för att användas för primära eller sekundära ändamål en- ligt 3 och 4 §§ – för forskningsändamål.

Av förarbetena till vårdregisterlagen framgår att lagen inte är avsedd att reglera i vad mån personuppgifter i ett vårdregister över huvud taget får lämnas ut till en extern mottagare. Den frågan avgörs efter en prövning enligt sekretesslagen (1980:100) eller, avseende enskild

173

Grundläggande bestämmelser om personuppgiftsbehandling

SOU 2006:82

vård, lagen (1998:531) om yrkesverksamhet på hälso- och sjukvår- dens område. Vad vårdregisterlagen reglerar är på vilket sätt per- sonuppgifter får lämnas ut (prop. 1997/98:108 s. 77 f. och 88). Det sagda torde innebära att behandling av personuppgifter som finns i ett vårdregister får ske så snart en fråga uppkommer om att lämna ut en uppgift och alldeles oberoende av ändamålet med utlämnandet. Exempelvis kräver normalt redan en sekretessprövning att en per- sonuppgiftsbehandling utförs. Däremot får ett utlämnande inte ske elektroniskt utan bara på t.ex. en papperskopia, om förutsättningarna enligt 9 § vårdregisterlagen inte är uppfyllda.

I vårdgivarnas hälso- och sjukvårdsverksamhet finns vid sidan av vårdregister ett stort antal andra elektroniska register eller andra slags personuppgiftssamlingar. Många har inrättats för ändamål som avses i 4 § vårdregisterlagen, såsom nationella kvalitetsregister eller lokala uppföljningssystem för att ta några exempel. Dessa register omfattas i dag av personuppgiftslagens generella bestämmelser. Så gör även vissa manuellt behandlade patientjournaler, patientkortsystem m.m. så länge som de strukturerats på det sätt som krävs i 5 § personupp- giftslagen. Huruvida elektronisk personuppgiftsbehandling i t.ex. löpande text i ordbehandlingsprogram eller i e-post och liknande, som inte är strukturerad eller kompatibel med något journal- eller patientadministrativt informationssystem, regleras av vårdregister- lagen eller enbart av personuppgiftslagen kan inte besvaras generellt. Vi bedömer emellertid att det kan förekomma en del elektronisk per- sonuppgiftsbehandling som inte regleras av vårdregisterlagen, t.ex. då en läkare kommunicerar via e-post med en patient i ett program som inte särskilt eller huvudsakligen installerats för ändamål som anges i 3 § vårdregisterlagen. Då är det inte helt klart vilken lag som är tillämplig.

Enligt vårdregisterlagen finns vidare inte något hinder mot att lämna ut uppgifter elektroniskt för ändamål som enligt 4 § vårdre- gisterlagen är sekundära. Hos mottagaren, t.ex. en annan vårdgivare, torde den fortsatta behandlingen av de mottagna personuppgifterna i ett sådant fall inte alls regleras av vårdregisterlagen utan av per- sonuppgiftslagen, eftersom mottagaren inte har vårdregisterlagens primära ändamål som sitt syfte med personuppgiftsbehandlingen. Det kan i sammanhanget noteras att det finns en särskild lättnad i hälso- och sjukvårdssekretessen i 7 kap. 1 c § femte stycket sekre- tesslagen just för att underlätta personuppgiftsbehandling genom utlämnande för administration och statistikändamål på hälso- och sjukvårdsområdet.

174

SOU 2006:82

Grundläggande bestämmelser om personuppgiftsbehandling

När personuppgiftslagen reglerar personuppgiftsbehandlingen är det – till skillnad från vårdregisterlagen – vårdgivaren som bestäm- mer alla de ändamål för vilka personuppgifterna skall behandlas. I 18 § första stycket personuppgiftslagen sätts emellertid en ram för det tillåtna när det gäller behandling av känsliga personuppgifter, t.ex. om hälsa, utan patientens eller annan registrerads uttryckliga samtycke. Då måste personuppgiftsbehandlingen, för att vara tillå- ten, ske för hälso- och sjukvårdsändamål och vara nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård. Enligt en kom- mentar till personuppgiftslagen täcker redan 18 § första stycket in i princip all personuppgiftsbehandling som förekommer inom hälso- och sjukvårdsområdet (Öman och Lindblom, Personuppgiftslagen

– En kommentar, andra uppl., 2001, s. 148).

Till detta kommer enligt 18 § andra stycket personuppgiftslagen att hälso- och sjukvårdspersonal eller annan som omfattas av tyst- nadsplikt enligt sekretesslagen eller lagen om yrkesverksamhet på hälso- och sjukvårdens område får behandla känsliga personupp- gifter som omfattas av tystnadsplikten. Enligt andra stycket krävs så- ledes inte att personuppgiftsbehandlingen skall ske för något i 18 § första stycket angivet ändamål för att vara tillåten utan den registre- rades samtycke. Dock måste personuppgiftsbehandlingen vara nöd- vändig för något av de fall som anges i 10 § a–f personuppgiftslagen. Det sistnämnda gäller för övrigt all personuppgiftsbehandling utan den registrerades samtycke som sker med stöd av personuppgifts- lagen.

Parentetiskt kan här nämnas att 18 § andra stycket personuppgifts- lagen torde innebära en väsentlig utvidgning i förhållande till det bakomliggande Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med av- seende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) som enligt sina engelsk- och franskspråkiga versioner uppställer krav på tystnadsplikt utöver krav på särskilda ändamål. Enligt dataskyddsdirektivet måste således båda kraven vara uppfyllda i stället för vad som följer av personuppgifts- lagen enligt vilken de är alternativa grunder.

175

Grundläggande bestämmelser om personuppgiftsbehandling

SOU 2006:82

8.2.2Patientdatalagens ändamålsbestämning

Ändamålsbestämningens centrala betydelse för integritetsskyddet har medfört att det redan i dag finns en lagreglering i fråga om den personuppgiftsbehandling som sker i vårdregister. Som framgått i det föregående faller emellertid en hel del av hälso- och sjukvårdens be- handling av integritetskänslig information om enskilda patienter utan- för vårdregisterlagens tillämpningsområde. Från integritetssynpunkt är det enligt vår uppfattning inte tillfredsställande att det finns ett område där det är vårdgivaren som själv bestämmer för vilka ändamål personuppgiftsbehandling skall utföras. Inte minst gäller det sagda med tanke på att 18 § personuppgiftslagen tillsammans med den lagens övriga bestämmelser ger tämligen vida ramar för aktörer inom hälso- och sjukvården att utan den enskildes samtycke behandla känsliga personuppgifter för olika syften. Principiella skäl talar alltså med styrka för att lagstiftaren i patientdatalagen uttryckligen och så ut- tömmande som möjligt bestämmer ändamålen för all personuppgifts- behandling som regleras i lagen, dvs. inte bara, som nu, när det gäller vårdregister. Vi föreslår därför en sådan reglering. Patientdatalagens ändamålsreglering blir därmed uttömmande i den meningen att vård- givarna inte själva får besluta om ytterligare ändamål för vilket eller vilka personuppgifter skall samlas in i verksamheten, i vart fall inte utan den registrerades samtycke, se nedan i avsnitt 8.5.

Genom en uttrycklig reglering av för vilka ändamål personupp- gifter får behandlas i verksamheten åstadkoms vidare en ökad tyd- lighet i regleringen, nog så viktigt i integritetshänseende. Dagens konstruktion med särreglering bara av viss personuppgiftshantering i vårdregister har, som bl.a. framhålls i våra första tilläggsdirektiv (dir. 2004:95), inneburit en del praktiska tillämpningssvårigheter och osäkerhet vid tolkningen av vårdregisterlagens ändamålsbestämmel- ser i förhållande till annan personuppgiftsbehandling inom hälso- och sjukvården för olika ändamål samt även, menar vi, i förhållande till 18 § personuppgiftslagen.

Vårt förslag till ändamålsbestämning innebär preciseringar i för- hållande till bestämmelsen i 9 § första stycket c personuppgiftslagen. Inom ramen för patientdatalagens tillämpningsområde när det gäller vems personuppgiftsbehandling som regleras, se avsnitt 7.3.2, ersätter patientdatalagen 18 § personuppgiftslagen i fråga om behandling av känsliga personuppgifter utan patientens eller annan registrerads ut- tryckliga samtycke.

176

SOU 2006:82

Grundläggande bestämmelser om personuppgiftsbehandling

Genom förslaget att ge patientdatalagen ett väsentligen mera vidsträckt tillämpningsområde i förhållande till vårdregisterlagens tillämpningsområde, har vi, med ett undantag, funnit det olämpligt att dela in ändamålen i primära och sekundära ändamål. Båda slagen av ändamål handlar om personuppgiftsbehandlingar som, mer eller mindre integrerat, normalt äger rum i varje vårdgivares egen verk- samhet. Som framgått i det föregående finns det i dag ganska stora möjligheter att med stöd av personuppgiftslagen samla in och be- handla personuppgifter för ändamål som inte är primära enligt vård- registerlagens kategorisering. En inskränkning av dagens möjligheter genom att göra vissa ändamål tillåtna enbart om de innebär en efter- kommande behandling av redan insamlade personuppgifter, torde kunna medföra tillämpningssvårigheter som riskerar att hämma hälso- och sjukvårdens informationshantering på ett icke önskvärt sätt.

Vi menar vidare att det inte innebär ett försämrat integritetsskydd att även sådana ändamål som i dag faller vid sidan av den individ- inriktade verksamheten får vara primära. I allt väsentligt kommer det att även framgent handla om en efterkommande användning av upp- gifter som härrör från den individinriktade verksamheten. Detta överensstämmer helt med strävandena inom hälso- och sjukvården att förbättra och effektivisera verksamheten bl.a. genom att skapa en ändamålsenlig och enhetlig vårddokumentation som minskar det administrativa merarbetet inom hälso- och sjukvården.

Viktigt för våra överväganden är emellertid att den föreslagna lösningen i förhållande till gällande rätt inte innebär någon utvidg- ning av för vilka ändamål vårdgivare över huvud taget får behandla personuppgifter utan enskildas samtycke. Skillnaden gentemot gäl- lande rätt är att även personuppgiftsbehandling som sker särskilt för ändamålen övergripande administration, planering, kvalitetssäk- ring, verksamhetsuppföljning, statistikframställning m.m. regleras i en särlag och inte bara av personuppgiftslagen. Därmed kommer även sådan personuppgiftsbehandling att bli kringgärdad av de ytterligare bestämmelserna i patientdatalagen som vi kommer att föreslå i det följande och som syftar till att ge ett gott integritetsskydd. Här- igenom ökar integritetsskyddet i förhållande till vad som i dag gäller. I sammanhanget kan erinras om de stora möjligheter vårdgivare i dag har att utan den enskildes samtycke behandla känsliga person- uppgifter med stöd av bestämmelsen i 18 § första respektive andra stycket personuppgiftslagen, se föregående avsnitt.

177

Grundläggande bestämmelser om personuppgiftsbehandling

SOU 2006:82

8.2.3De särskilda ändamålen

Av personuppgiftslagen (och det bakomliggande dataskyddsdirek- tivet) följer ett krav på att ändamålen skall vara särskilda. Det ligger emellertid i sakens natur att ändamålsbestämmelser måste formule- ras tämligen generellt när det som i detta fall gäller en särlag som reglerar flera olika slags vårdgivares behandling av personuppgifter i en så komplex, omfattande och mångskiftande verksamhet som här är i fråga. En detaljerad uppräkning av alla tänkbara personuppgifts- behandlingar på området låter sig knappast göras och riskerar även att hämma utvecklingen av hälso- och sjukvårdens informationsförsörj- ning. I sammanhanget bör man hålla i åtanke att hälso- och sjukvår- den är en dynamisk verksamhet som ständigt förändras parallellt med att informationstekniken ständigt utvecklas och genererar nya möjlig- heter att förbättra verksamheten. Vi bedömer dock att de föreslagna ändamålen uppfyller direktivets krav på att vara särskilda, genom att de ger tillämparen ledning för bedömningen av vilka personuppgifter som är adekvata och relevanta i förhållande till ändamålen med behandlingen.

Lagens ändamålsbestämmelser föreslås vara fakultativa i den be- märkelsen att de reglerar vad vårdgivare får göra. Syftet med ända- målsbestämningen är alltså att ange en yttersta ram för när person- uppgifter får samlas in och fortsättningsvis behandlas med stöd av patientdatalagen och personuppgiftslagen. Inom denna ram måste vårdgivaren i allmänhet bestämma mer konkreta och preciserade ändamål för olika delar av sin personuppgiftsbehandling. Hur stora krav på ändamålsbestämningen som kan ställas går inte att ange gene- rellt. Samma krav kan exempelvis självfallet inte ställas då ett enda gemensamt journal- och patientadministrativt system införs i ett stort landsting som då ett nytt tillfälligt elektroniskt uppföljningsregister inrättas. I det senare fallet måste vårdgivaren bestämma avsevärt mer preciserade ändamål än vad patientdatalagens yttre ram tillåter. Exem- pelvis bör det i sistnämnt fall uttryckligen bestämmas att registret endast används som underlag för en viss avgränsad uppföljning.

Nedan följer en närmare beskrivning av de ändamål för vilka per- sonuppgifter skall få behandlas enligt våra förslag. I praktiken flyter ändamålen ibland in i varandra; gränsdragningarna är inte skarpa. En och samma behandling av personuppgifter kan vidare ske för mer än ett ändamål. Särskilt gäller detta i sådana stora elektroniska informationssystem som integrerar en mängd olika funktioner.

178

SOU 2006:82

Grundläggande bestämmelser om personuppgiftsbehandling

•Patientjournalföring och annan dokumentation som behövs i och för vården av patienter eller som behövs för administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall – Vårddokumentation

Den individinriktade patientverksamheten kräver en omfattande han- tering av personuppgifter för att fungera ändamålsenligt så att en hög patientsäkerhet, god kvalitet och effektivitet i verksamheten kan upprätthållas. Det är därför en självklarhet att patientdatalagens ändamålsbestämning skall täcka in detta behov.

Att i detalj beskriva vilka olika typer av personuppgiftsbehand- lingar och funktioner som behövs i patientverksamheten är emeller- tid inte möjligt. Grunden för informationshanteringen är visserligen ett direkt dokumentationskrav från lagstiftarens sida i form av en skyldighet för särskilda yrkeskategorier att föra patientjournal vid vård av patienter. Men att hänvisa till denna dokumentationsskyl- dighet är långt ifrån tillräckligt för att täcka in behoven av person- uppgiftsbehandling i den individinriktade verksamheten. Det beror bl.a. på svårigheterna att formellt sett dra upp gränsen för vilken dokumentation som är respektive inte är en del av patientjournalen.

Noteringar om hälsotillstånd och vårdåtgärder m.m. görs ibland av befattningshavare som inte har en skyldighet att föra patientjour- nal, t.ex. undersköterskor eller viss ambulanspersonal. Ibland doku- menterar patienten själv, eller en anhörig, uppgifter i elektroniska system som ingår i eller kan kopplas till vårdgivarens elektroniska journalsystem. Något heltäckande svar på huruvida sådan dokumen- tation formellt sett är en del av patientjournalen eller inte kan inte ges utan torde bero närmast på hur dokumentationen hanteras i stort. Oftast ingår dokumentationen som journalhandlingar i patient- journalen. En hel del personuppgifter kan emellertid behandlas helt separat från den ordinära journalföringen, t.ex. vid medicinska ser- viceenheter, på sätt som kan leda till tveksamheter om huruvida de utgör journalhandlingar eller inte. Även sådan dokumentation som nu nämnts och som faller vid sidan av skyldigheten att föra journal bör omfattas av ett ändamål som rör den individinriktade patient- verksamheten alldeles oavsett dess formella status.

När det gäller t.ex. elektroniska patientjournaler handlar därutöver hälso- och sjukvårdens informationsbehov inte bara om själva doku- mentationen i journalerna – journalföringen eller journaluppgifterna

– utan också om hur uppgifterna skall behandlas i informations-

179

Grundläggande bestämmelser om personuppgiftsbehandling

SOU 2006:82

system för att vara tillgängliga och sökbara på ett ändamålsenligt sätt. Utvecklingen går mot att vårdgivarna introducerar allt bredare elektroniska informationssystem som integrerar patientjournalföring med annan dokumentation och med uppgifter som behövs i admini- strationen av patientvården m.m. I sådana system finns ibland behov av att sammanställa s.k. patientöversikter vari viss medicinsk bas- information och kontaktuppgifter kan finnas noterad tillsammans med sammanfattande uppgifter om tidigare vårdtillfällen, köplace- ringar m.m. Sådana översikter, portaler och liknande är knappast något som omfattas av förpliktelsen att föra patientjournal. Person- uppgiftsbehandling av denna typ bör emellertid omfattas av patient- datalagens reglering och det ändamål som avser den individinriktade patientverksamheten.

Såsom framförts redan i vårdregisterlagens förarbeten, är det ofta svårt att i praktiken göra en åtskillnad mellan dokumentation för ändamålet patientadministration och dokumentation för ändamålet patientjournalföring (prop. 1997/98:108 s. 64 f.). Inte heller går det, som nyss sagts, att dra en knivskarp gräns mellan journalföring på grund av en författningsenlig skyldighet och andra anteckningar om hälsotillstånd och vårdåtgärder m.m. Vi menar att detta inte heller är nödvändigt vid ändamålsbestämningen utan att det är mera lämp- ligt med en formulering för det individinriktade arbetet som kan täcka in samtliga de primära ändamål som i dag finns angivna i 3 § vårdregisterlagen. För enkelhetens skull kallar vi personuppgifts- behandling för detta ändamål för vårddokumentation.

Tanken är således att ändamålet vårddokumentation i patientdata- lagen inte skall innebära någon avvikelse från vad 3 § vårdregister- lagen omfattar när det gäller syftet med personuppgiftsbehandlingen. Det sagda gäller t.ex. innebörden av patientbegreppet samt vårdbe- greppet. I förarbetena till vårdregisterlagen anges att med patient ”… avses den enskilde i hans kontakt med hälso- och sjukvården”. Denna innebörd är hämtad från patientjournallagens (1985:562) för- arbeten (se prop. 1997/98:108 s. 95 och prop. 1984/85:189 s. 37). Det innebär t.ex. att en blodgivare är patient. Den individinriktade verksamheten kan avse såväl sjukdomsförbyggande åtgärder, t.ex. allmänna och riktade hälsokontroller, som egentlig sjukvård, t.ex. undersökning och behandling vid ohälsa samt omvårdnad. Det saknar betydelse vem som tagit initiativ till vården. Eftersom även undersökning utan egentligt vård- eller behandlingssyfte ingår i vårdbegreppet, omfattas även personuppgiftsbehandling t.ex. i sam- band med hälsoundersökning av personer som söker körkortstill-

180

SOU 2006:82

Grundläggande bestämmelser om personuppgiftsbehandling

stånd eller vid blodprovstagning på polisens begäran vid misstänkt rattonykterhet av patientdatalagens tillämpningsområde.

En skillnad gentemot vårdregisterlagen är dock att med admini- stration i den för patientdatalagen föreslagna ändamålsbestämmel- sen avses såväl patientrelaterad ekonomiadministration som annan administration som behövs för eller föranleds av vård i enskilda fall. En av anledningarna till vårdregisterlagens åtskillnad mellan de båda slagen av administration är den lagens användning av begreppet per- sonregister. I hälso- och sjukvården förekommer eller förekom i vart fall vid tiden för vårdregisterlagens införande särskilda personregister avsedda för patientrelaterad ekonomiadministration. Även sistnämnda register ansågs böra regleras av vårdregisterlagen. Den åsyftade eko- nomiadministrationen kan avse dels ekonomiska regleringar mellan vårdgivare och patienter, dels olika slags interndebiteringar eller regleringar mellan sjukvårdshuvudmän och privata vårdgivare, faktu- reringar av externa myndigheter m.fl. (t.ex. Migrationsverket för vård av enskilda asylsökande m.fl.) och liknande ekonomiska mellan- havanden i anledning av utförd vård. Vi menar att en motsvarande åtskillnad mellan ekonomiadministration och patientadministration inte behövs i patientdatalagen och att all patientrelaterad admini- stration, oavsett om den avser ekonomiska förhållanden eller andra förhållanden, bör omfattas av samma ändamål.

Med ändamålet vårddokumentation avses inte bara själva insam- lingen och registreringen av personuppgifterna utan även senare an- vändning av de registrerade uppgifterna i den omfattning som be- hövs i patientvården eller patientadministrationen (se definitionen av personuppgiftsbehandling i 3 § personuppgiftslagen).

•Utförande av annan dokumentation som följer av lag, förordning eller annan författning

Hälso- och sjukvård är en mångfacetterad sektor som involverar en stor mängd olika slags aktörer, inrättningar och aktiviteter. Detta avspeglas i att det finns en flora av lagar och förordningar samt en mängd föreskrifter och allmänna råd från myndigheter som hand- lingsdirigerar hälso- och sjukvården på specifika områden. I en del fall ställs särskilda krav på att viss dokumentation i olika slags verk- samheter skall ske. I andra fall medför de handlingsdirigerande kraven behov av särskild dokumentation. Mycket av det sagda innefattar behandling av personuppgifter om enskilda patienter som omfattas

181

Grundläggande bestämmelser om personuppgiftsbehandling

SOU 2006:82

av det tidigare nämnda ändamålet vårddokumentation eller av t.ex. ändamålet intern tillsyn eller uppföljning, se nedan. Men det kan också uppstå tveksamheter angående om och i så fall vilket ändamål som är tillämpligt. En heltäckande redovisning av de olika slags spe- cialförfattningar som här avses är inte möjlig att ge. Det sagda får i stället åskådliggöras genom några exempel i det följande.

Enligt lagen (1985:12) om kontroll av berusningsmedel på sjukhus åligger det verksamhetschefer på vissa sjukhusenheter att vidta vissa åtgärder. En åtgärd är att ställa som villkor för intagning på sjukhus att patienten går med på kroppsvisitation eller kontroll av försän- delser. Vidare får berusningsmedel m.m. omhändertas och förstöras eller försäljas. Den sistnämnda åtgärden torde innefatta myndighets- utövning som skall dokumenteras enligt förvaltningslagens (1986:223) bestämmelser. Även föregående frivillig kroppsvisitation kan behöva dokumenteras i sammanhanget. Enligt vår uppfattning bör doku- mentationen och personuppgiftsbehandlingen kunna anses falla in under ändamålet vårddokumentation, men den är ändå ett exempel på att tveksamheter kan uppstå.

Ett annat exempel på dokumentation som faller något vid sidan av ändamålet vårddokumentation är den interna avvikelserapporte- ring som sker till följd av de s.k. Lex Maria-bestämmelserna i 2 kap. 7 § lagen om yrkesverksamhet på hälso- och sjukvårdens område. Bestämmelserna föreskriver att hälso- och sjukvårdspersonal skall rapportera till vårdgivaren om en patient drabbats eller utsatts för risk att drabbas av allvarlig skada eller sjukdom i samband med hälso- och sjukvård. Vidare är vårdgivare enligt Socialstyrelsens föreskrifter (SOSFS 2005:12) om ledningssystem för kvalitet och patientsäker- het i hälso- och sjukvården ålagda ett ansvar för att det finns ett antal preciserade rutiner för denna avvikelsehantering. Den person- uppgiftsbehandling som avvikelsehanteringen föranleder befinner sig enligt vår uppfattning i en gränszon mellan ändamål såsom vårddo- kumentation respektive kvalitetssäkring samt ändamål som intern tillsyn och uppföljning, se nedan.

Ytterligare ett exempel är den personuppgiftsbehandling som sker på grund av Socialstyrelsens krav på anteckningar som behövs för smittspårning (smittspårningshandlingar) beträffande personer som en patient kan ha smittat, se 5 kap. Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2005:23) om smittspårning.

Det finns en rad olika författningar som föreskriver att hälso- och sjukvården skall lämna ut uppgifter till olika myndigheter. Några

182

SOU 2006:82

Grundläggande bestämmelser om personuppgiftsbehandling

exempel på sådana specifika bestämmelser om uppgiftsskyldighet skall här nämnas.

I 2 kap. 11 § lagen om yrkesverksamhet på hälso- och sjukvårdens område regleras hälso- och sjukvårdspersonals skyldighet att på begäran lämna uppgifter till domstolar, polismyndighet, kronofogde- myndigheter, Vägverket m.fl. myndigheter. Enligt 6 kap. 4 § samma lag är vårdgivare skyldig att till Socialstyrelsen anmäla om en patient drabbats av eller utsatts för risk att drabbas av allvarlig skada eller sjukdom (Lex-Maria). En sådan anmälan innebär i allmänhet utläm- nande av personuppgifter.

En annan uppgiftsskyldighet slås fast i 14 kap. 1 § socialtjänstlagen (2001:453). Där föreskrivs att både allmän och enskild hälso- och sjukvård samt varje enskild yrkesutövare inom hälso- och sjukvården har en skyldighet att till socialnämnd anmäla om de i sin verksam- het får kännedom om något som kan innebära att en socialnämnd behöver ingripa till ett barns skydd. Uppgiftsskyldigheten omfattar alla uppgifter som kan vara av betydelse för utredning av ett barns behov av skydd. Ytterligare ett exempel på författningsenlig upp- giftsskyldighet är förordningen (1996:1357) om statlig ersättning för hälso- och sjukvård till asylsökande enligt vilken landsting och kommuner är skyldiga att lämna Migrationsverket de uppgifter som behövs för bedömningen av deras rätt till ersättning för hälso- och sjukvård till asylsökande m.fl. utlänningar. Slutligen kan nämnas lagen (1991:2041) om särskild personundersökning i brottmål vari föreskrivs en skyldighet för hälso- och sjukvården att lämna ut så- dana uppgifter om en misstänkt som behövs i ett läkarintyg enligt samma lag.

Uppgiftsskyldighet av det slag som här nämnts kräver behandling av personuppgifter för utlämnandeändamål. Såvitt vi kan bedöma rör det sig i allt väsentligt om att uppgifter som redan finns i verksam- heten lämnas ut. I allmänhet är det fråga om utlämnande av upp- gifter som primärt samlats in som vårddokumentation. Ett exempel är handlingar m.m. som lämnas till Socialstyrelsen i samband med styrelsens tillsyn enligt 6 kap. lagen om yrkesverksamhet på hälso- och sjukvårdens område. I viss mindre utsträckning – t.ex. vid full- görande av uppgiftsskyldighet enligt 14 kap. 1 § socialtjänstlagen eller enligt 4 och 6 §§ förordningen (2001:707) om patientregister hos Socialstyrelsen – torde det dock vara nödvändigt med en viss särskild personuppgiftsbehandling där dokumentationen utformas utifrån hur uppgiftsskyldigheten skall fullgöras och där man inte

183

Grundläggande bestämmelser om personuppgiftsbehandling

SOU 2006:82

kan tala om en ren ”återanvändning” av för andra ändamål redan in- samlade personuppgifter.

De nämnda exemplen visar enligt vår mening att det kan uppstå tveksamheter angående vad som anses falla in under ändamålet indi- vidinriktad vårddokumentation eller något annat ändamål som i dag anges i vårdregisterlagen när dokumentationen sker enligt sådana specialförfattningar som här avses. Samtidigt är det fråga om person- uppgiftsbehandling som sker av hälso- och sjukvårdspersonal i nära anslutning till det individinriktade patientarbetet. Vi menar därför att det kan behövas ett särskilt ändamål som uttryckligen klargör att personuppgiftsbehandling som behövs för ändamålet utförande av annan dokumentation som direkt eller indirekt följer av lag, för- ordning eller annan författning är tillåten. Att ändamålen ibland är överlappande är som tidigare anförts inget problem i detta samman- hang.

Det kan noteras att det av tydlighetsskäl behövs en referens inte bara till dokumentation som följer av lag och förordning utan även till dokumentation som följer av myndighetsföreskrifter. Referensen i patientdatalagens ändamålsbestämmelse innebär givetvis inget be- myndigande för någon myndighet att meddela föreskrifter om doku- mentation. Det decentraliserade ansvaret för hälso- och sjukvården har emellertid medfört att det finns en omfattande mängd närmare riktlinjer och föreskrifter från centrala förvaltningsmyndigheter såsom Socialstyrelsen, Läkemedelsverket och Smittskyddsinstitutet. Dessa myndighetsföreskrifter meddelas med stöd av vidaredelega- tion i förordning utfärdad av regeringen, vars normgivningskompe- tens i sin tur härleds till regeringsformen eller lag.

•Systematisk och fortlöpande utveckling och säkring av hälso- och sjukvårdens kvalitet – Kvalitetssäkring

Inom hälso- och sjukvården är begreppet kvalitet centralt. Att verk- samheten skall vara av god kvalitet uppställs i hälso- och sjukvårds- lagen (1982:763) som ett av de grundläggande kraven på all hälso- och sjukvård. Härmed avses bl.a. att vården skall hålla en god personell och materiell standard och ges i enlighet med vetenskap och beprövad erfarenhet (se prop. 1995/96:176 s. 27). Att vårdens resultat skall medföra förbättrad hälsa och hög patienttillfredsställel- se är ett annat sätt att uttrycka kärnan i begreppet god vårdkvalitet

184

SOU 2006:82

Grundläggande bestämmelser om personuppgiftsbehandling

I 31 § hälso- och sjukvårdslagen föreskrivs att kvaliteten inom verksamheten systematiskt och fortlöpande skall utvecklas och säkras. Motsvarande bestämmelser finns även i tandvårdslagen (1985:125). Genom dessa bestämmelser finns det således ett författningsreglerat krav på vårdgivare inom hälso- och sjukvården att bedriva såväl kvalitetssäkring som kvalitetsutveckling. I det följande kallas denna verksamhet enbart kvalitetssäkring. Lagregleringen av kravet på kva- litetssäkring infördes år 1997 och innebär, enligt förarbetena, en förpliktelse för vårdgivare, såväl offentliga som privata, att utveckla metoder för att noga följa upp och analysera utvecklingen vad gäller kvalitet och säkerhet (a. prop. s. 53).

I sin tillsynsverksamhet följer Socialstyrelsen upp att hälso- och sjukvården samt tandvården har ändamålsenliga kvalitetssystem för egenkontroll i sin verksamhet. I tidigare nämnda föreskrifter om led- ningssystem för kvalitet och patientsäkerhet i hälso- och sjukvården har Socialstyrelsen utfärdat närmare föreskrifter för det systematiska kvalitetssäkringsarbetet.

Kvalitetssäkringsarbete kan ske i många former och med olika metoder. I viss utsträckning kan hälso- och sjukvårdens kvalitet och resultat följas upp och utvärderas utan användning av uppgifter som direkt eller indirekt kan hänföras till en enskild person. Genom att behandla personuppgifter om patienter med användning av modern informationsteknik förbättras dock möjligheterna att bedriva kvali- tetssäkringsarbete enormt. Ett särskilt ändamål som tillåter denna behandling bör därför införas i patientdatalagen.

I huvudsak rör det sig om att personuppgifter som samlats in och behandlas för det primära ändamålet vårddokumentation också be- handlas för ändamålet kvalitetssäkring, som ett slags sekundärt ända- mål. Men det förekommer också personuppgiftsbehandling särskilt för kvalitetssäkringsändamål, dvs. som inte innebär användning av vårddokumentation utan handlar om personuppgifter som på olika sätt inhämtas och analyseras i det särskilda syftet kvalitetssäkring. Ibland är denna uppgiftsinsamling integrerad med det individinrik- tade arbetet. Det kan därför vara svårt att i praktiken avgöra vad som är det övergripande syftet med en viss personuppgiftsbehandling, t.ex. när patienter besvarar enkäter om tillfredsställelse i olika avseen- den med vården och behandlingen. Som tidigare nämnts utgör det dock inget problem att ändamålen ibland är överlappande så länge som den personuppgiftsansvarige är klar över och tydlig med för vilka olika ändamål personuppgiftsbehandlingen genom insamling

185

Grundläggande bestämmelser om personuppgiftsbehandling

SOU 2006:82

sker, t.ex. i den information som patienter får om personuppgifts- behandlingen.

En speciell form av kvalitetssäkringsarbete där särskild person- uppgiftsinsamling inte sällan förekommer är hälso- och sjukvårdens kvalitetsregister. Dessa är elektroniska uppgiftssamlingar som används för jämförelser på olika nivåer av vårdens kvalitet m.m. I avsnitt 16 kommer vi att närmare beröra den form av kvalitetssäkringsarbete som sker gemensamt för mer än en vårdgivare i nationella eller regionala kvalitetsregister. Det kan här noteras att kvalitetssäkring utgör en form av verksamhetsuppföljning som är specialinriktad på kvalitetsfrågor. Verksamhetsuppföljning i stort omfattas av nästa ändamål. Vi har emellertid ansett att kvalitetssäkring bör anges i lagen som ett särskilt ändamål med tanke på den centrala roll som kvalitetssäkringsarbetet kommit att få inom hälso- och sjukvården. Dessutom kommer vi att i det följande föreslå särreglering i patient- datalagen för personuppgiftsbehandling i nationella och regionala kvalitetsregister, se avsnitt 16, vilket gör det lämpligt med kvalitets- säkring som ett särskilt ändamål. Redan här kan emellertid nämnas att vi kommer att föreslå särskilda bestämmelser om ändamål för de nationella och regionala kvalitetsregistren.

•Administration, planering, uppföljning, utvärdering och tillsyn av hälso- och sjukvårdsverksamheten

Personuppgifter i en verksamhet bör få behandlas för att den person- uppgiftsansvarige skall kunna fortlöpande eller vid särskilda tillfällen granska, utvärdera och utveckla sin verksamhet på olika nivåer. Vi föreslår därför ett generellt ändamål som tillåter detta. Som kom- mer att framgå i det följande avser ändamålet inte alltid bara interna angelägenheter hos en personuppgiftsansvarig, vilket understryker behovet av en särskild ändamålsbestämmelse.

Den individinriktade kärnverksamheten föranleder administration och planering på ett mer övergripande plan än vad som avses med den patientadministration som omfattas av ändamålet vårddokumen- tation. Sjukvårdshuvudmännen måste t.ex. planera och dimensionera antalet vårdplatser, fördela anslag och liknande inom sina geografiska ansvarsområden. Även privata vårdgivare behöver effektiva redskap för att administrera och planera sin verksamhet. I detta arbete behövs inte sällan tillgång till individbaserade personuppgifter som framför allt härrör från verksamhetens vårddokumentation. I personuppgifts-

186

SOU 2006:82

Grundläggande bestämmelser om personuppgiftsbehandling

behandlingar som görs för att framställa sammanställningar, som används som underlag för analyser på olika nivåer av avidentifierade uppgifter, räcker det ofta med att använda uppgifter som bara in- direkt är hänförliga till en person, t.ex. utesluts namn, bostadsadress och fullständigt personnummer. Likväl är det fråga om personupp- giftsbehandling.

Ett ytterligare område som alltmer kommit i fokus bl.a. som en följd av InfoVU-projektets arbete, se avsnitt 3.4.2, är kravet på att hälso- och sjukvården skall förbättra verksamhetsuppföljningen. Enligt regeringen bör denna bygga på individuppgifter och kunna beskriva vårdprocesser och verksamheter samt dess resultat (prop. 1999/2000:149 s. 52 f.). De senaste åren har präglats av en ökad medborgarorientering i verksamhetsuppföljningen som syftar till att stärka patienters, allmänhetens samt politiska eller administra- tiva beslutsfattares tillgång till information om vårdens resultat i olika avseenden. Tidigare var verksamhetsuppföljningen, inklusive kvalitetsregistren, i huvudsak inriktad på producenternas intresse av information om verksamhetens medicinska kvalitet, effektivitet och ekonomiska kostnader eller resultat. Som framgått av det sagda finns det ett påtagligt och enligt vår mening befogat behov av att kunna behandla personuppgifter för att få fram information om hälso- och sjukvårdsverksamheten. I allmänhet är det fullt tillräckligt att bara använda uppgifter från den individbaserade vårddokumenta- tionen, med andra ord uppgifter som samlats in därför att de behövts i den individinriktade hälso- och sjukvården. Men det förekommer också att man följer upp resursanvändningen på individnivå genom att koppla samman vårddokumentation med andra uppgifter, t.ex. genom användning av metoden Kostnad Per Patient (KPP) som be- räknar kostnader för olika insatser som utförs. I och med samman- kopplingen mellan vårddokumentation och kostnadsinformation blir det fråga om något mer än enbart sekundär användning av redan insamlade personuppgifter.

I detta sammanhang bör noteras att vi använder begreppet verk- samhetsuppföljning med en tämligen vidsträckt innebörd. Häri ingår det som i dag anges i 4 § 2 vårdregisterlagen om uppföljning, utvär- dering och kvalitetssäkring på verksamhetsområdet. Eftersom kvali- tetssäkring redan angetts som ett särskilt ändamål, se ovan, har vi valt att i den nu aktuella ändamålsbestämmelsen enbart använda begreppen uppföljning och utvärdering. I förarbetena till vårdregisterlagen anges att med uppföljning avses att fortlöpande och regelbundet mäta och beskriva sina behov, verksamheter och resursåtgången angivet i ter-

187

Grundläggande bestämmelser om personuppgiftsbehandling

SOU 2006:82

mer av t.ex. behovstäckning, produktivitet och nyckeltal. Uppfölj- ningen tjänar till att ge en översiktlig bild av verksamhetens utveck- ling och att tjäna som en signal för avvikelser som bör beaktas. Med utvärdering avses analys och värdering av kvalitet, effektivitet och resultat av en verksamhet i förhållande till de mål som bestäms för denna (prop. 1997/98:108 s. 66). Begreppen har i grunden samma betydelse i patientdatalagen. Det hindrar emellertid inte en mer med- borgarorienterad verksamhetsuppföljning i linje med strävandena på senare år. I avsnitt 15 kommer vi att närmare beröra olika former av verksamhetsuppföljning som sker gemensamt för mer än en vårdgi- vare, främst avseende uppföljning på området vård och omsorg.

Ett annat område som bör få innefatta personuppgiftsbehandling är vårdgivarens interna tillsyn av sin verksamhet. Att kontinuerligt eller på förekommen anledning granska och kontrollera att den egna verksamheten uppfyller samhällets krav och i övrigt bedrivs enligt vårdgivarens riktlinjer ingår i det ansvar som en vårdgivare har för verksamheten. Utan rättsliga möjligheter att behandla personupp- gifter från den individinriktade patientvården ter det sig knappast möjligt att närmare granska verksamheten. Det gäller särskilt om till- synen rör individuella vårdfall. Men även mer övergripande granskning kan kräva tillgång till och möjligheter att behandla personuppgifter om patienter. Av avsnitt 7.3.2 framgår att den tillsyn som utövas av Socialstyrelsen eller annan statlig myndighet inte avses med detta ändamål.

•Framställning av statistik rörande hälso- och sjukvård

I hälso- och sjukvården framställs statistik om en mängd faktorer. Delvis är det fråga om s.k. verksamhetsstatistik som kan anses in- rymmas inom ändamålen administration och verksamhetsuppfölj- ning m.m. därför att det är för dessa ändamål som statistiken skall användas. Särskilt landstingen torde dock framställa statistik som inte utan vidare kan hänföras till något annat ändamål, t.ex. då statistik tas fram för att informera befolkningen om verksamheten. Framställning av statistik bör därför anges som ett särskilt ändamål i patientdatalagen.

188

SOU 2006:82

Grundläggande bestämmelser om personuppgiftsbehandling

•Uppgiftsutlämnande och finalitetsprincipen

Personuppgifter som behandlas i hälso- och sjukvården lämnas i olika sammanhang ut till en myndighet eller en enskild. Sker det för syften som gäller den utlämnande vårdgivarens verksamhet, omfattas personuppgiftsbehandlingen genom utlämnande av ett ändamål som angetts i det föregående. Inte sällan sker utlämnandet däremot för mottagarens räkning. Ofta handlar det om att mottagaren är en annan vårdgivare som behöver uppgifter om en patient för sin vård av samma patient. Många andra skäl till att uppgifter lämnas ut för mottagarens räkning finns naturligtvis, skäl som inte inryms i de ändamålsbestäm- melser som hittills behandlats.

Utöver det utlämnande av personuppgifter som behandlats ovan i anslutning till ändamålet utförande av annan dokumentation som följer av lag, förordning eller annan författning och som sker till följd av sådana särskilt reglerade uppgiftsskyldigheter som avses i 14 kap. 1 § sekretesslagen eller 2 kap. 8–11 §§ lagen om yrkesverksamhet på hälso- och sjukvårdens område förekommer givetvis att uppgifter om enskilda lämnas ut till en rad olika organ för en mängd olika syften. Att heltäckande beskriva denna hantering låter sig knappast göras på det stora område som hälso- och sjukvården utgör. I detta fall rör det sig dock, såvitt vi kan bedöma, enbart om utlämnande av personuppgifter som redan finns i verksamheten insamlade för primära ändamål såsom vårddokumentation för att ta det vanligaste exemplet. I den mån personuppgifterna behandlas helt eller delvis automatiserat eller ingår i manuella register, innebär ett utlämnande en efterkommande, sekundär personuppgiftsbehandling som i sig måste vara laglig.

När det gäller den allmänna hälso- och sjukvården inklusive sådan hälso- och sjukvård som bedrivs av kommunala företag som avses i 1 kap. 9 § sekretesslagen gäller att utlämnande av personuppgifter i allmänna handlingar i enlighet med tryckfrihetsförordningen alltid kan ske utan att sådant utlämnande behöver anges som ett särskilt ändamål för vilket personuppgiftsbehandling är tillåten. Detta följer av principen om grundlags företräde framför vanlig lag och av 8 § personuppgiftslagen som gäller även vid personuppgiftsbehandling enligt patientdatalagen. Eftersom sekretess i allmänhet gäller för upp- gifter i hälso- och sjukvårdens allmänna handlingar som rör patien- ter, krävs givetvis också att sekretessen inte hindrar ett utlämnande.

Beträffande den allmänna hälso- och sjukvården följer vidare av 15 kap. 5 § sekretesslagen att en myndighet skall på begäran av annan

189

Grundläggande bestämmelser om personuppgiftsbehandling

SOU 2006:82

myndighet lämna ut uppgift som den förfogar över i den mån hin- der inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. Bestämmelsen kan ses som en precise- ring av den allmänna samverkansskyldighet myndigheter emellan som gäller enligt 6 § förvaltningslagen. Bestämmelsen i 15 kap. 5 § sekretesslagen nämns i en kommentar till personuppgiftslagen som exempel på en sådan avvikande bestämmelse som gäller före person- uppgiftslagen till följd av 2 § personuppgiftslagen (se Öman och Lindblom, Personuppgiftslagen – En kommentar, andra uppl., 2001, s. 45).

Det finns även bestämmelser som tillåter eller medger att uppgifter lämnas ut utan hinder av sekretess. I sekretesslagen finns exempel- vis bestämmelser i 14 kap. 2 § som anger att sekretess inte hindrar att myndigheter inom hälso- och sjukvården på eget initiativ lämnar ut personuppgifter i vissa fall. Sekretesslagen innehåller vidare bestäm- melser om att uppgifter utan hinder av sekretess får lämnas till en- skild.

Gemensamt för allt detta uppgiftslämnande är att det sker med stöd av författningar som påbjuder eller tillåter utlämnande; alltså ett annat slags uppgiftslämnande än det som grundar sig på den särskilt reglerade uppgiftsskyldighet som avses i 14 kap. 1 § sekretesslagen och 2 kap. 8–11 §§ lagen om yrkesverksamhet på hälso- och sjukvår- dens område. När bestämmelser om sådant annat uppgiftsutlämnande har införts, får det förutsättas att det har gjorts en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda en- skilda personers integritet, vid vilken man funnit att uppgiften skall eller får lämnas ut. Det saknas därför anledning att i en integritets- skyddslagstiftning, som den nu föreslagna, generellt förhindra att personuppgifter som finns i hälso- och sjukvården lämnas ut i dessa fall bara därför att dessa numera hanteras med modern informations- teknik i stället för som tidigare på papper. Enligt vår uppfattning bör därför patientdatalagen inte hindra sådant uppgiftslämnade som här avses.

Det har, när det gäller personuppgiftsbehandling genom utläm- nande, i olika sammanhang uppstått rättslig osäkerhet kring frågan om förhållandet mellan ändamålsbestämmelser i registerlagar, per- sonuppgiftslagens finalitetsprincip, sekretesslagen och andra bestäm- melser som påbjuder utlämnande eller tillåter att uppgifter lämnas ut utan hinder av sekretess. Förhållandet har bl.a. uppmärksammats av Offentlighets- och sekretesskommittén (OSEK) som i sitt huvud- betänkande med förslag till ny sekretesslag förordat ett klargörande

190

SOU 2006:82

Grundläggande bestämmelser om personuppgiftsbehandling

av rättsläget (SOU 2003:99 s. 230). För att undanröja motsvarande osäkerhet på hälso- och sjukvårdens område bör det i patientdatalagen finnas med en ändamålsbestämmelse som medger att personupp- gifter – som behandlas med stöd av något eller några i det föregående behandlade ändamålen – också får behandlas för sådant uppgiftsut- lämnande som sker i överensstämmelse med lag eller förordning. En sådan bestämmelse föreslås således.

Vidare föreslås, i samma klargörande syfte, en uttrycklig hänvisning till finalitetsprincipens giltighet även vid personuppgiftsbehandling enligt patientdatalagen. Härigenom tydliggörs att patientdatalagens ändamålsreglering inte är helt uttömmande. Som sagts i förra avsnittet går det inte – på det stora tillämpningsområde som patientdatalagen kommer att ha – att helt överblicka alla de ändamål som redan insam- lade personuppgifter kan komma att användas för. Genom hänvis- ningen till finalitetsprincipen i 9 § första stycket d och andra stycket personuppgiftslagen, framgår att personuppgifter som redan finns i verksamheten får behandlas för andra ändamål än de som uttryck- ligen anges i patientdatalagen, om de nya ändamålen är förenliga med de tidigare ändamålen. Att eventuella nytillkomna ändamål inte får vara oförenliga med de i lagen angivna ändamålen ger enligt vår mening, tillsammans med bestämmelser om sekretess och tystnads- plikt, ett tillfredsställande integritetsskydd. I sammanhanget kan note- ras att en motsvarande hänvisning till finalitetsprincipen finns i lagen (2003:763) om personuppgiftsbehandling inom socialförsäkringens administration.

Det finns alltså ett visst, begränsat utrymme att behandla person- uppgifter för ett nytt ändamål som inte angetts vid insamlingen, nämligen om det nya ändamålet inte är oförenligt med de ursprung- liga ändamålen. Datalagskommittén har i betänkandet Integritet – Offentlighet – Informationsteknik (SOU 1997:39 s. 351) uttalat att vad som är oförenligt med de ursprungliga ändamålen får bestäm- mas genom praxis och de mer preciserade regler som regeringen eller Datainspektionen kan utfärda. Någon utvecklad praxis eller närmare föreskrifter i denna fråga finns emellertid inte ännu.

Vad som kan anses förenligt med ett ursprungligt ändamål har diskuterats i tidigare lagstiftningsärenden av främst Socialdatautred- ningen i dess betänkande Behandling av personuppgifter inom social- tjänsten (SOU 1999:109 s. 160). Enligt Socialdatautredningen bör man vid denna “oförenlighetsprövning” hypotetiskt utgå från hur en registrerad typiskt sett – inte den registrerade i det enskilda fallet

– skulle se på saken. Kommer man vid en sådan bedömning fram

191

Grundläggande bestämmelser om personuppgiftsbehandling

SOU 2006:82

till att den registrerade rimligen har att räkna med att de insamlade personuppgifterna också får behandlas för det nya ändamålet, kan det nya ändamålet inte anses vara oförenligt med det ursprungliga ändamålet.

Insamlade personuppgifter får också behandlas för historiska, statistiska eller vetenskapliga ändamål; det följer av finalitetsprinci- pen. Behandling för forskningsändamål av tidigare insamlade person- uppgifter får således ske enligt patientdatalagen utan att det behöver anges som ett särskilt ändamål. I avsnitt 17 återkommer vi till frågor om användning av personuppgifter, som behandlas enligt patient- datalagen, i medicinsk forskning och annan forskning inom hälso- och sjukvården. Där kommer bl.a. framgå att det krävs ytterligare förutsättningar för att personuppgiftsbehandling för forsknings- ändamål skall vara tillåten, t.ex. patientens uttryckliga samtycke eller etikprövning.

8.2.4Samkörning m.m.

I 6 § vårdregisterlagen finns en bestämmelse om samkörning. En- ligt bestämmelsen får uppgifter om en patient som behövs för vård av denne samt uppgifter som behövs för den ekonomiadministration som föranleds av den aktuella vården hämtas till ett vårdregister genom samkörning. Dessutom får patientens läkemedelsförteckning, som förs enligt lagen (2005:258) om läkemedelsförteckning, samt uppgifter om patientens folkbokföringsadress hämtas till ett vård- register genom samkörning. När en förskrivare med direktåtkomst till uppgifter i Apoteket AB:s läkemedelsförteckning hämtar hem uppgifter från förteckningen för att komplettera patientens elektro- niska journal, är det alltså fråga om en samkörning. Vid samkörning med ett vårdregister som förs av en annan vårdgivare måste självklart även bestämmelserna om sekretess och tystnadsplikt i sekretesslagen och lagen om yrkesverksamhet på hälso- och sjukvårdens område iakttas.

Vilka förfaranden som omfattas av begreppet samkörning är inte preciserat i lagstiftningen. Samkörning anges i 3 § personuppgifts- lagen som ett av flera exempel på åtgärd som enligt den lagen är att anse som personuppgiftsbehandling. I vissa andra lagar, t.ex. i 5 § lagen (1996:1156) om receptregister, används begreppet sambearbet- ning.

192

SOU 2006:82

Grundläggande bestämmelser om personuppgiftsbehandling

Innebörden av de båda begreppen beskrivs i propositionen Be- handling av personuppgifter inom socialförsäkringens administration (prop. 2002/03:135) enligt det följande (s. 58 f.).

Med sambearbetning (ofta används begreppet samkörning som syno- nymt med sambearbetning) avses maskinell bearbetning av uppgifter i ett personregister tillsammans med uppgifter i ett annat personregister hos den registeransvarige eller hos annan registeransvarig. Även annan direkt överföring av uppgifter från ett personregister till ett annat om- fattas av bestämmelsen. Ett enklare sätt att uttrycka saken är att med sambearbetning avses att ett personregister tillförs personuppgifter från andra personregister (se Datalagen med kommentarer, Claes Kring och Sten Wahlqvist, Norstedts, 1989, s. 20 och 76).

Det bör noteras i sammanhanget att begreppen samkörning och sambearbetning närmast knyter an till den nu upphävda datalagens (1973:289) struktur för reglering av integritetsskyddet. Som huvud- regel krävdes enligt datalagen tillstånd från Datainspektionen, för- fattningsstöd eller den enskildes samtycke till samkörning av olika personregister. Personuppgiftslagen, som ersatt datalagen, innehåller däremot inte några särskilda bestämmelser om sambearbetning av personuppgifter från olika register eller databaser. En sådan person- uppgiftsbehandling särskiljs alltså inte från annan behandling.

Enligt personuppgiftslagen är en sambearbetning tillåten så länge den håller sig inom personuppgiftslagens ramar, bl.a. med avseende på att sambearbetningen inte sker för något ändamål som är ofören- ligt med det för vilket uppgifterna samlades in. Finalitetsprincipen i 9 § första stycket d personuppgiftslagen kan alltså sägas ha ersatt särskilda bestämmelser om sambearbetning. Detta har haft till följd att sådana bestämmelser inte ansetts motiverade i nyare lagstiftning, t.ex. i lagen om behandling av personuppgifter inom socialförsäk- ringens administration eller lagen (2002:546) om behandling av per- sonuppgifter i den arbetsmarknadspolitiska verksamheten. Båda de nämnda lagarna saknar motsvarigheter till sina föregående register- lagars bestämmelser om sambearbetning.

Ibland har det dock ansetts befogat med sådana bestämmelser även i registerlagstiftning som är anpassad till personuppgiftslagens reglering. I 10 och 21 §§ förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten finns bestämmelser som för- bjuder hem som drivs av Statens institutionsstyrelse att hämta person- uppgifter från ett annat sådant hem genom samkörning. Motsvarande förbud mot samkörning finns när det gäller boende, en öppen verk- samhet eller annan enhet i privat verksamhet. Någon begränsning

193

Grundläggande bestämmelser om personuppgiftsbehandling

SOU 2006:82

när det gäller annan samkörning eller samkörning över huvud taget inom kommunal socialtjänst finns inte.

Vårdregisterlagens bestämmelse om samkörning är inte formule- rad som ett förbud mot viss samkörning eller mot annan samkörning än den i lagen angivna. Huruvida all annan samkörning är förbjuden eller inte är en tolkningsfråga.

Vår bedömning

När det gäller hälso- och sjukvård torde det inte sällan finnas behov av att samköra personuppgifter i olika register eller datasystem. Det saknas enligt vår mening anledning att befara att behandling i form av samkörning av uppgiftssamlingar kommer att ske för ändamål som inte anges i patientdatalagen eller är oförenliga med dessa ändamål. I stället framstår möjligheten till samkörning som en rimlig metod att höja effektiviteten och patientsäkerheten inom hälso- och sjuk- vården. Samkörning kommer dock bara att vara tillåten inom de ramar som ges av patientdatalagen samt sekretesslagen respektive be- stämmelserna om tystnadsplikt i lagen om yrkesverksamhet på hälso- och sjukvårdens område. Sammantaget finns det enligt vår mening inte skäl att införa någon särbestämmelse i patientdatalagen som för- bjuder eller annars begränsar möjligheterna att samköra eller sam- bearbeta personuppgifter som finns inom verksamheten. Inte heller i övrigt ser vi anledning att införa några begränsningar när det gäller sättet att samla in uppgifter i verksamhet som omfattas av patientdata- lagens tillämpningsområde. Får uppgifter behandlas i verksamheten genom att samlas in för något eller några primära ändamål, får insamlandet ske i elektronisk form. Vi lämnar alltså inte något förslag i dessa avseenden.

8.3Personuppgiftsansvar

Vårt förslag: I patientdatalagen införs en bestämmelse som anger att en vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som den utför. Med vårdgivare avses även stat- liga myndigheter som bedriver hälso- och sjukvård. I landsting och kommuner är en myndighet personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

194

SOU 2006:82

Grundläggande bestämmelser om personuppgiftsbehandling

Enligt definitionen i 3 § personuppgiftslagen är den personuppgifts- ansvarig som ensam eller tillsammans med andra bestämmer ända- målen med och medlen för behandlingen av personuppgifter. Av definitionen följer att personuppgiftsansvaret kan delas eller vara gemensamt för flera.

Personuppgiftsansvaret innebär bl.a. en skyldighet att se till att de i 9 § personuppgiftslagen angivna grundläggande kraven på be- handling av personuppgifter iakttas. Vidare innebär personuppgifts- ansvaret en skyldighet att lämna information till den registrerade (23–27 §§ personuppgiftslagen), att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter som inte behandlats i enlighet med personuppgiftslagen (28 §), att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas (31 §), att – enligt huvudregeln – anmäla all automatiserad behandling av personuppgifter till Datainspektionen (36 §) samt att ersätta den registrerade för den skada en lagstridig behandling av personuppgifter för med sig (48 §).

I lag eller förordning kan bestämmas vem som är personuppgifts- ansvarig. En sådan bestämmelse tar nämligen över regleringen i per- sonuppgiftslagen (2 § personuppgiftslagen). I s.k. registerförfattningar om personuppgiftsbehandling i olika slags verksamheter har det ofta ansetts lämpligt från integritetssynpunkt att på ett tydligt sätt peka ut vem som är personuppgiftsansvarig för den behandling som regleras i de särskilda lagarna. Ibland har detta också ansetts nöd- vändigt med tanke på att ändamålen anges i lagen i stället för att be- stämmas av den ifrågavarande myndigheten, bolaget eller liknande. Som exempel på registerförfattningar vari personuppgiftsansvaret anges kan nämnas bl.a. lagen (1998:543) om hälsodataregister, lagen om behandling av personuppgifter i socialförsäkringens administra- tion och lagen om läkemedelsförteckning.

När det gäller personuppgiftsbehandling inom hälso- och sjuk- vårdens kärnverksamhet finns dock ingen generell särbestämmelse om personuppgiftsansvar – varken i vårdregisterlagen eller i någon annan författning – som tar över personuppgiftslagens bestämmelser. I stället gäller den allmänna principen att det efter en bedömning av de faktiska omständigheterna i varje enskilt fall får avgöras vem eller vilka som har personuppgiftsansvaret för en viss behandling. Det torde därvid stå klart att det inom den enskilda hälso- och sjuk- vården är vårdgivaren – t.ex. ett aktiebolag eller en stiftelse som driver en hälso- och sjukvårdsverksamhet eller en företagare som bedriver hälso- och sjukvård i en enskild firma – som är person-

195

Grundläggande bestämmelser om personuppgiftsbehandling

SOU 2006:82

uppgiftsansvarig för den personuppgiftsbehandling som sker hos vårdgivaren.

I allmän verksamhet anses det i praxis normalt vara en myndighet som är personuppgiftsansvarig för personuppgiftsbehandlingen, för- utsatt att organet är så självständigt att det är en förvaltningsmyn- dighet. I flertalet registerförfattningar på det statliga och det kom- munala området som reglerar personuppgiftsansvaret – se t.ex. 11 § förordningen om behandling av personuppgifter inom socialtjänsten

– har myndigheter i stället för den juridiska personen staten eller kommunen pekats ut som personuppgiftsansvarig.

Vi menar att det är den mest lämpliga ordningen att personupp- giftsansvaret inom den allmänna hälso- och sjukvården förläggs på myndighetsnivå. Därmed uppnås en samordning mellan personupp- giftsansvaret och ansvaret för allmänna handlingar enligt tryckfri- hetsförordningen, sekretesslagen och arkivlagen (1990:782).

Vilka myndigheter i landsting eller kommuner som är person- uppgiftsansvariga för personuppgiftsbehandling i landstings eller kommuners hälso- och sjukvård kan inte anges generellt utan beror framför allt på hur ansvaret för hälso- och sjukvårdens verksamhet organiserats i respektive landsting eller kommun, se 10 och 18 §§ hälso- och sjukvårdslagen samt 11 § tandvårdslagen. I en kommun kan exempelvis självständiga distriktsnämnder var och en ansvara för verk- samheten i sitt distrikt. Ansvaret kan vidare vara uppdelat mellan beställar- och utförarnämnder. Verksamhetsansvaret kan också vara samlat under en enda nämnd t.ex. en landstingsstyrelse. Även en gemensam nämnd enligt 3 kap. 3 a § kommunallagen (1991:900) eller lagen (2003:192) om gemensam nämnd inom vård- och omsorgsom- rådet kan i princip vara personuppgiftsansvarig (prop. 1996/97:105 s. 59). Drivs verksamheten i ett sådant primär- eller landstingskom- munalt aktiebolag, handelsbolag eller sådan ekonomisk förening eller stiftelse som avses i 1 kap. 9 § sekretesslagen, är det den juridiska personen – dvs. bolaget, föreningen eller stiftelsen – som är person- uppgiftsansvarig. En statlig myndighet som bedriver viss hälso- och sjukvårdsverksamhet vid sidan av sin huvudsakliga verksamhet kan förstås också vara personuppgiftsansvarig, t.ex. Kriminalvården eller Statens institutionsstyrelse.

Väsentligt för alla de nämnda organen är att det inte är någon an- ställd eller personlig företrädare för vårdgivaren eller myndigheten som är personuppgiftsansvarig; ansvaret har organet som sådant. Detsamma gäller även om organet (myndigheten eller den privata

196

SOU 2006:82

Grundläggande bestämmelser om personuppgiftsbehandling

vårdgivaren) bedriver verksamhet i flera skilda vårdinrättningar eller liknande fristående enheter.

I och med att ramen för tillåten personuppgiftsbehandling sätts av lagstiftaren genom ändamålsbestämningen i stället för att de över- gripande ändamålen bestäms av vårdgivaren, se avsnitt 8.2, kan man hävda att det finns ett behov av en generell och uttrycklig bestäm- melse om vem som skall vara personuppgiftsansvarig vid behandling av personuppgifter (och uppgifter om avlidna) enligt patientdatalagen. De av oss föreslagna ändamålen skall emellertid ses som övergripan- de ramar. Inom dessa ramar har varje vårdgivare stora möjligheter och krav på sig att närmare precisera eller inskränka ändamålen för olika slags personuppgiftsbehandlingar som sker i den egna verksam- heten. Förhållandena är alltså inte helt desamma som när det gäller t.ex. hälsodataregistren beträffande vilka regeringen detaljreglerat varje hälsodataregisters användningsområde och innehåll.

Ett skäl att ändå föreslå en uttrycklig bestämmelse är att det i vårt arbete framkommit att det inom hälso- och sjukvården finns en relativt utbredd osäkerhet om hur det förhåller sig med person- uppgiftsansvar för främst vissa typer av personuppgiftsbehandlingar som inte faller in under vårdregisterlagens tillämpningsområde. Exem- pelvis förekommer i informationsblanketter till patienter att en per- son, t.ex. en verksamhetschef, ibland anges vara personuppgiftsan- svarig för vissa personuppgiftsbehandlingar i en verksamhet trots att verksamheten som sådan helt klart faller under vårdgivarens formella ansvar. Genom en uttrycklig bestämmelse om vem som skall vara personuppgiftsansvarig vid behandling av personuppgifter kan man i framtiden undvika dylika oklarheter och missförstånd. Vi föreslår därför en sådan bestämmelse.

Enligt den föreslagna bestämmelsen skall en vårdgivare vara per- sonuppgiftsansvarig för den behandling av personuppgifter som den utför. Med detta menas den personuppgiftsbehandling som sker inom ramen för vårdgivarens verksamhet och som vårdgivaren ansvarar för. I avsnitt 7.3.2 har vi föreslagit att begreppet vårdgivare definieras i lagen. Genom definitionen klargörs bl.a. att med begreppet vård- givare avses inte den enskilde yrkesutövaren utan den juridiska eller fysiska person som bedriver och ansvarar för hälso- och sjukvårds- verksamheten. Häri ingår bl.a. sådana kommunala företag som avses i 1 kap 9 § sekretesslagen. Vidare har vi föreslagit att det klargörs i definitionen att med en vårdgivare i den statliga vården avses i patientdatalagen inte den juridiska personen staten utan den statliga myndighet som bedriver hälso- och sjukvården. På övriga nivåer är

197

Grundläggande bestämmelser om personuppgiftsbehandling

SOU 2006:82

det dock de juridiska personerna, landstingen och kommunerna, som är vårdgivare. Som framgått ovan anser vi emellertid att personupp- giftsansvaret bör förläggas på myndighetsnivå. Vi föreslår därför att i landsting och kommuner skall den myndighet som utför en per- sonuppgiftsbehandling vara personuppgiftsansvarig för den.

På några områden, då personuppgiftsbehandling sker gemensamt eller för flera vårdgivares gemensamma räkning vid s.k. samman- hållen journalföring och i nationella eller regionala kvalitetsregister, återkommer vi till frågor om personuppgiftsansvar, se avsnitt 11.6 och 16.4.3.

8.4Personuppgifter som får behandlas

Vårt förslag: Endast sådana personuppgifter som behövs för det ändamål för vilket personuppgiftsbehandlingen utförs, får be- handlas enligt patientdatalagen. I lagen klargörs att uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen får behandlas även inom privata vårdgivares verksamhet. I övrigt före- slås inga särbestämmelser om speciella personuppgiftskategorier.

Från integritetssynpunkt är det väsentligt att inte andra personupp- gifter behandlas inom hälso- och sjukvården än vad som är befogat utifrån verksamhetens behov och krav. Som tidigare framgått behand- las en mycket stor mängd personuppgifter av alla slag inom patient- datalagens tillämpningsområde. Behoven skiftar givetvis i hög grad beroende på en mängd olika förhållanden, såsom t.ex. vad det är för slags hälso- och sjukvård som bedrivs och hur omfattande vårdgiva- rens verksamhet är. Att närmare specificera vilka personuppgifter som generellt får behandlas i verksamheten ter sig mindre lämpligt.

Vi föreslår således inga bestämmelser som konkret anger vilka personuppgifter som får eller inte får behandlas enligt patientdata- lagen. I stället föreslås att ändamålsbestämningen skall styra över vilka personuppgifter som får samlas in och fortsättningsvis behandlas. Alla personuppgifter som behövs för det ändamål för vilket en be- handling utförs får därmed behandlas. Det gäller även sådana person- uppgiftskategorier som särregleras i personuppgiftslagen, dvs. känsliga personuppgifter (13 §), personuppgifter om lagöverträdelser m.m. (21 §) och uppgifter om personnummer (22 §). Vi bedömer nämligen att det skulle innebära tillämpningsproblem och försvåra ett ratio- nellt utnyttjande av IT inom hälso- och sjukvården att föreskriva

198

SOU 2006:82

Grundläggande bestämmelser om personuppgiftsbehandling

särskilda förutsättningar för att få behandla dessa slags personupp- giftskategorier. Den föreslagna ordningen är, menar vi, godtagbar från integritetssynpunkt, inte minst mot bakgrund av att de integri- tetskänsliga uppgifterna kringgärdas av en sträng sekretess som är ägnad att förhindra obehörig insyn och spridning.

Det bör noteras att personuppgiftslagens grundläggande krav på att personuppgifterna skall vara adekvata och relevanta i förhållande till ändamålen med behandlingen, att inte fler personuppgifter be- handlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen samt att personuppgifter som behandlas skall vara riktiga och, om nödvändigt, aktuella gäller även vid behandling enligt patientdatalagen (9 § e–g personuppgiftslagen). Ovidkom- mande eller onödigt många personuppgifter i förhållande till ända- målen får alltså inte behandlas. Dessa krav innebär en såväl kvalitativ som kvantitativ begränsning i fråga om vilka personuppgifter som får behandlas. Kan en arbetsuppgift inom hälso- och sjukvården ut- föras på ett tillfredsställande sätt även om en personuppgift utelämnas, t.ex. personnummer, eller avidentifieras, är kraven enligt patientdata- lagen och 9 § e och f personuppgiftslagen inte uppfyllda; person- uppgiften behövs inte. Prövning av om en personuppgift behövs för en viss behandling eller inte måste göras kontinuerligt och inte bara då den samlas in och registreras. Även vid en senare hantering skall personuppgiften behövas för ändamålet med just den senare hante- ringen. Det sagda innebär t.ex. att även om en uppgift om en patients namn eller fullständiga personnummer behövs för ändamålet vård- dokumentation, så kanske just dessa uppgifter inte behövs vid en senare behandling för ett annat ändamål.

Beträffande en personuppgiftskategori föreslår vi dock en uttryck- lig bestämmelse i patientdatalagen, nämligen i fråga om personupp- gifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövan- den. Enligt 21 § personuppgiftslagen får bara myndigheter behandla sådana uppgifter. Det sagda gäller även om en enskild registrerad skulle samtycka till att annan än myndighet behandlar uppgiften.

Hos privata vårdgivare måste en journalförare kunna notera t.ex. att en patient, som vårdas för sitt alkoholmissbruk, har dömts för rattfylleri. Det kan vidare vara viktigt för privata vårdgivare att för olika ändamål kunna behandla en personuppgift om att en patient tvångsvårdats med stöd av särskild lagstiftning eller omfattas av ett beslut om förvar enligt utlänningslagen (2005:716) etc. Så torde anses gälla redan nu i fråga om vårdregister hos privata vårdgivare.

199

Grundläggande bestämmelser om personuppgiftsbehandling

SOU 2006:82

Vi menar emellertid att lagstiftningen vinner i tydlighet med ett klar- görande i fråga om vad som gäller för just denna personuppgifts- kategori.

I avsnitt 10.4.4 och i avsnitt 16.4.4 återkommer vi till frågor om vilka personuppgifter som får behandlas när det gäller vissa specifika uppgiftssamlingar, nämligen patientjournaler och kvalitetsregister.

8.5Den enskildes inställning till personuppgiftsbehandlingen

Våra förslag: I patientdatalagen förtydligas att personuppgifts- behandling enligt lagen får ske även om den enskilde motsätter sig personuppgiftsbehandlingen. Undantag från denna huvud- regel kan gälla enligt lag eller förordning. Vissa undantag följer av patientdatalagen.

Vidare föreskrivs att även sådan personuppgiftsbehandling som går utöver vad patientdatalagen tillåter får utföras, om den en- skilde registrerade uttryckligen samtycker till det och inte annat följer av andra bestämmelser i patientdatalagen eller av annan lag eller förordning. Ett undantag följer av patientdatalagen, se av- snitt 11.3.6. Vidare föreslås att regeringen får meddela ytterligare undantag.

8.5.1Inledning

Både i personuppgiftslagen och i dataskyddsdirektivet – som Sverige genom sitt medlemskap i EU är förpliktat att rätta sig efter – tillmäts den enskilde registrerades inställning till personuppgiftsbehandling som regel en central och avgörande betydelse. Båda regelverken innehåller bestämmelser som berör frågor om verkan av att den en- skilde registrerade dels samtycker till, dels motsätter sig en person- uppgiftsbehandling. Vårdregisterlagen saknar uttryckliga bestäm- melser i dessa frågor.

Under vårt arbete har det i olika sammanhang framförts från aktörer inom hälso- och sjukvården att avsaknaden av tydliga be- stämmelser i vårdregisterlagen leder till en hel del osäkerhet i den parallella tillämpningen av vårdregisterlagen och personuppgiftslagen. Den sistnämnda lagen gäller i den mån vårdregisterlagen saknar särbestämmelser. Särskilt osäker är man i fråga om vilket utrymme

200

SOU 2006:82

Grundläggande bestämmelser om personuppgiftsbehandling

som finns att behandla personuppgifter med den enskilde registre- rades uttryckliga samtycke till personuppgiftsbehandlingen.

En reglering av förutsättningarna för personuppgiftsbehandling inom hälso- och sjukvården bör, menar vi, så långt möjligt vara klar- görande i fråga om vad som gäller i dessa avseenden. Efter en redo- görelse för den nuvarande regleringen, redovisar vi vår analys av gällande rätt och våra överväganden om hur frågeställningarna bör behandlas i patientdatalagen. Redan här kan framhållas att det inte finns något hinder mot att lämna förslag till bestämmelser som av- viker från personuppgiftslagen, så länge som förslagen är förenliga med dataskyddsdirektivet. Det följer bl.a. av den uttryckliga bestäm- melsen i 2 § personuppgiftslagen om att avvikande bestämmelser i annan lag eller förordning gäller före personuppgiftslagen.

8.5.2Vad gäller i dag?

Personuppgiftslagen

Behandling av personuppgifter är enligt personuppgiftslagen tillåten, om den enskilde registrerade har lämnat sitt samtycke till behand- lingen (10 § personuppgiftslagen). Samtycke definieras i 3 § person- uppgiftslagen såsom ”varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått informa- tion, godtar behandling av personuppgifter som rör honom eller henne”. Kravet på att samtycket skall vara särskilt innebär t.ex. att en registrerad inte kan lämna ett giltigt generellt samtycke till per- sonuppgiftsbehandling som inte är preciserad till något eller några ändamål. Dessutom krävs att den registrerade först har informerats om behandlingen. Att samtycket skall vara en otvetydig viljeyttring anses innebära att det inte får råda någon tvekan om att den registre- rade godtar personuppgiftsbehandlingen. Datalagskommittén framhöll angående detta rekvisit att s.k. hypotetiskt samtycke inte kan godtas hur välgrundad gissningen (hypotesen) än är (SOU 1997:39 s. 342). Inte heller kan en registrerad som inte utnyttjar en rätt att motsätta sig en personuppgiftsbehandling anses ha genom sin passivitet sam- tyckt till behandlingen. Däremot torde s.k. konkludent handlande kunna grunda ett giltigt samtycke enligt personuppgiftslagen (se bl.a. bet. 2000/01:KU19 s. 19). Konkludent handlande kan t.ex. innebära att en registrerad lämnar efterfrågade personuppgifter efter att ha fått information om den tilltänkta behandlingen och om att

201

Grundläggande bestämmelser om personuppgiftsbehandling

SOU 2006:82

uppgiftslämnandet är frivilligt. Om personuppgiftslagens krav på samtyckets utformning är uppfyllt, följer det av personuppgifts- lagens huvudregel i 10 § att personuppgiftsbehandlingen är tillåten.

Även känsliga personuppgifter får behandlas med den enskilde registrerades samtycke till personuppgiftsbehandlingen. Samtycket skall dock vara uttryckligt. (15 § personuppgiftslagen). I annat fall gäller det generella förbudet i 13 § personuppgiftslagen mot att be- handla känsliga personuppgifter. Att samtycket skall vara uttryckligt innebär dock inget krav på att det skall vara skriftligt eller att det skall dokumenteras. Muntligt samtycke är tillräckligt. Huruvida kon- kludent handlande i vissa fall kan anses utgöra ett uttryckligt sam- tycke är en omdiskuterad fråga. Enligt uppgift från Datainspektionen accepteras konkludent samtycke av inspektionen då en enskild, efter att ha fått tydlig information om personuppgiftsbehandlingen, fri- villigt lämnar känsliga personuppgifter i enkätsvar.

När det gäller övriga personuppgiftskategorier kan nämnas att samtycke utan vidare gör behandling av personnummer eller över- föring av personuppgifter till land utanför EU eller EES, dvs. till tredje land, tillåten (22 § respektive 34 § personuppgiftslagen). Undantag för samtycke finns dock inte från förbudet för andra än myndig- heter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller admi- nistrativa frihetsberövanden (21 § personuppgiftslagen).

Återkallar den registrerade ett lämnat samtycke, får ytterligare per- sonuppgifter om denne inte behandlas såvida inte någon annan be- stämmelse som tillåter behandlingen är tillämplig. Behandlingen av redan insamlade uppgifter får trots återkallelsen fortsätta i enlighet med det ursprungligen lämnade samtycket (12 § första stycket per- sonuppgiftslagen).

Som redan framgått av tidigare avsnitt finns emellertid tämligen stora möjligheter att även utan samtycke behandla personuppgifter inom hälso- och sjukvården. Flera av de rekvisit som gör personupp- giftsbehandling utan samtycke tillåten enligt 10 § personuppgiftslagen är ofta för handen, t.ex. punkten b) att den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet (patientjournalföring) eller punkten d) att en arbetsuppgift av allmänt intresse skall kunna ut- föras. När det gäller känsliga personuppgifter följer dessutom av 18 § första stycket personuppgiftslagen att sådana uppgifter får behandlas utan den registrerades samtycke för hälso- och sjukvårdsändamål, om behandlingen är nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av

202

SOU 2006:82

Grundläggande bestämmelser om personuppgiftsbehandling

hälso- och sjukvård. Enligt andra stycket samma paragraf gäller dessutom att den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt får behandla känsliga per- sonuppgifter som omfattas av tystnadsplikten. Detsamma gäller den som är underkastad en liknande tystnadsplikt och som har fått käns- liga uppgifter från verksamhet inom hälso- och sjukvården.

I de fall personuppgiftslagen tillåter personuppgiftsbehandling utan den registrerades samtycke, har den registrerade ingen rätt att med rättslig verkan motsätta sig personuppgiftsbehandlingen. Det följer av 12 § andra stycket personuppgiftslagen.

Dataskyddsdirektivet

Personuppgiftslagen är den lag varigenom dataskyddsdirektivet genomförts i vår nationella lagstiftning. I allt väsentligt överens- stämmer således regleringen i dataskyddsdirektivet med den nyss redovisade regleringen i personuppgiftslagen, bl.a. när det gäller verkan av att en enskild registrerad samtycker till en personuppgifts- behandling, kraven på samtyckets utformning samt utrymmet till personuppgiftsbehandling utan den registrerades samtycke. Några bestämmelser i dataskyddsdirektivet har emellertid inte sin direkta motsvarighet i personuppgiftslagen. De bestämmelser som är av sär- skilt intresse i detta sammanhang är främst de som återfinns i direktivets artikel 8.2 a och artikel 14 a.

I artikel 8.2 a föreskrivs i princip detsamma som i 15 § person- uppgiftslagen, nämligen att det generella förbudet mot att behandla känsliga personuppgifter inte gäller om den registrerade uttryckligen samtycker till personuppgiftsbehandlingen. Enligt artikeln får dock medlemsstater i sin nationella lagstiftning föreskriva att förbudet mot att behandla känsliga personuppgifter inte kan upphävas genom den registrerades samtycke.

Enligt artikel 14 a i dataskyddsdirektivet skall den registrerade tillförsäkras rätten att – i vart fall då personuppgifter får behandlas utan samtycke därför att en arbetsuppgift av allmänt intresse skall kunna utföras eller i samband med myndighetsutövning eller efter en intresseavvägning (artikel 7 e och f, jämför 10 § d–f personupp- giftslagen) – ”när som helst av avgörande och berättigade skäl som rör hans personliga situation motsätta sig behandling av uppgifter som rör honom, utom när den nationella lagstiftningen föreskriver något annat. När invändningen är berättigad får den behandling som

203

Grundläggande bestämmelser om personuppgiftsbehandling

SOU 2006:82

påbörjats av den registeransvarige inte längre avse dessa uppgifter”. Genom den tidigare berörda bestämmelsen i 12 § andra stycket personuppgiftslagen har registrerade uttryckligen fråntagits denna rätt såvitt gäller personuppgiftsbehandling med stöd av personupp- giftslagen. Den enskilde kan alltså inte med rättslig verkan motsätta sig personuppgiftsbehandling som är tillåten enligt personuppgifts- lagen, t.ex. i fråga om hälso- och sjukvårdens behandling av käns- liga personuppgifter utan den registrerades samtycke med stöd av 18 § och 10 § personuppgiftslagen.

Vårdregisterlagen

Vårdregister får föras oberoende av patientens inställning till per- sonuppgiftsbehandlingen. Den enskilde registrerades samtycke till personuppgiftsbehandlingen krävs alltså inte. Något uttryckligt klar- görande av detta förhållande finns dock inte i vårdregisterlagen. Det anses följa av lagens bestämmelser om förutsättningarna för att be- handla personuppgifter i vårdregister. Regeringen uttalade i lagens förarbeten att en enskilds samtycke inte krävs för att personuppgifter skall få registreras i ett vårdregister. Vidare angavs att den enskilde inte heller skall ha rätt att få uppgifter strukna ur ett vårdregister (se prop. 1997/98:108 s. 82 f.).

Uttalandena ger vid handen att avsikten varit att den enskilde inte med rättslig verkan skall kunna motsätta sig någon personuppgifts- behandling enligt vårdregisterlagen, inte heller t.ex. att uppgifter i elektroniska journaler används för ändamålet uppföljning eller över- gripande administration.

Man kan fråga sig om det har någon rättslig betydelse att vård- registerlagen saknar en uttrycklig reglering om att den enskilde inte med rättslig verkan kan motsätta sig personuppgiftsbehandling enligt vårdregisterlagen. Möjligen kan redan lagens ordalydelse anses

– mot bakgrund av förarbetsuttalandena – innebära att den enskilde inte har någon sådan rätt.

204

SOU 2006:82

Grundläggande bestämmelser om personuppgiftsbehandling

8.5.3Våra överväganden

Vad skall gälla om den enskilde motsätter sig personuppgiftsbehandlingen?

Lagrådet har i några lagstiftningsärenden rörande särlagar för myn- digheters behandling av personuppgifter förordat att bestämmelser intas i lagarna som uttryckligen anger att den registrerade inte har rätt att motsätta sig personuppgiftsbehandlingen enligt särlagarna, se t.ex. prop. 2000/01:33 s. 346 och lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet eller lagen om behandling av personuppgifter inom socialförsäkringens administra- tion. Lagrådet, och senare även regeringen, har därvid åberopat ett behov av en uttrycklig reglering mot bakgrund av vad artikel 14 a i dataskyddsdirektivet föreskriver om att den enskilde åtminstone i vissa fall skall garanteras en rätt att motsätta sig en personuppgifts- behandling, om inte annat föreskrivs i nationell lagstiftning, se ovan.

I de fall sådana bestämmelser finns i särlagar kan det emellertid noteras att dessa särlagar avviker från personuppgiftslagen genom att tillåta ytterligare möjligheter att utan samtycke behandla person- uppgifter, t.ex. känsliga sådana, än vad som ges i personuppgiftslagen. Så är enligt vår bedömning inte fallet när det gäller personuppgifts- behandling enligt vårdregisterlagen vid en jämförelse med vad 10, 18 och 22 §§ personuppgiftslagen möjliggör på hälso- och sjukvår- dens område. Förhållandet på vårdregisterlagens tillämpningsområde avviker alltså från de nämnda särlagarna. Eftersom personuppgifts- lagen gäller i den mån vårdregisterlagen saknar bestämmelser, torde det sagda innebära att bestämmelsen i 12 § andra stycket person- uppgiftslagen – om att den enskilde inte har rätt att motsätta sig en personuppgiftsbehandling som är tillåten enligt personuppgiftslagen

– gälla också vid personuppgiftsbehandling enligt vårdregisterlagen. Klart utläsbart hur det förhåller sig med denna sak är det förvisso inte, vilket är otillfredsställande från såväl lagteknisk som integritets- mässig synpunkt.

Enligt vår uppfattning bör lagtexten vara klargörande på denna punkt. Vi föreslår därför en uttrycklig bestämmelse i patientdatalagen som anger att personuppgiftsbehandling, som är tillåten enligt lagen, som huvudregel får utföras även om den enskilde registrerade mot- sätter sig den. I det följande kommer vi emellertid att föreslå att patienter i vissa fall skall kunna motsätta sig en personuppgiftsbe- handling eller att ett samtycke krävs. Detta bör framgå redan i

205

Grundläggande bestämmelser om personuppgiftsbehandling

SOU 2006:82

patientdatalagens grundläggande bestämmelser om personuppgifts- behandling.

Regleringen av hälso- och sjukvårdens verksamhet är omfattande och komplex. Det kan därför inte uteslutas att bestämmelser i annan lag eller förordning direkt eller indirekt ger enskilda en möjlighet att med rättslig verkan motsätta sig en personuppgiftsbehandling som i och för sig regleras av patientdatalagen. Även sådana bestämmelser bör gälla före patientdatalagens huvudregel. En sådan bestämmelse är förordningen (1986:198) om provtagning för infektion av HIV enligt vilken en patient kan begära att få vara anonym vid prov- tagning. I sådant fall gäller ingen skyldighet att föra in uppgift om patientens identitet i patientjournalen, se 3 § andra stycket 1 patient- journallagen. Förordningen ger alltså indirekt patienten en möjlighet att motsätta sig personuppgiftsbehandling av namn och person- nummer.

Vad skall gälla om den enskilde samtycker till en personuppgifts- behandling?

En fråga som över huvud taget inte behandlats i vårdregisterlagens förarbeten eller uttryckligen reglerats i den lagen är i vad mån per- sonuppgiftsbehandling som inte klart stöds av vårdregisterlagens bestämmelser är förbjuden även om den enskilde lämnar sitt uttryck- liga samtycke till personuppgiftsbehandlingen. Ett samtycke gör i princip alltid personuppgiftsbehandling tillåten enligt såväl person- uppgiftslagen som dataskyddsdirektivet (här bortses från vad som gäller uppgifter om lagöverträdelser m.m. som avses i 21 § person- uppgiftslagen). Som framgått ovan är dock EU-medlemsstaterna oförhindrade att åtminstone i fråga om känsliga personuppgifter upp- häva verkan av den enskildes samtycke i detta avseende (artikel 8.2 a i dataskyddsdirektivet). Personuppgiftslagen – vars övergripande syfte är att skydda enskilda mot kränkningar av deras personliga integritet (1 §) – gäller som tidigare sagts om inget annat följer av vårdregisterlagen.

Frågan är då vad som kan anses följa av vårdregisterlagen. Enligt vår uppfattning är det av avgörande betydelse huruvida vårdregister- lagen anses utgöra ett sådant upphävande som avses i artikel 8.2 a dataskyddsdirektivet.

Flera gånger under utredningsarbetet har frågor uppkommit om vilken betydelse det kan ha om den enskilde uttryckligen samtycker

206

SOU 2006:82

Grundläggande bestämmelser om personuppgiftsbehandling

till en personuppgiftsbehandling inom hälso- och sjukvården. Många av de projektverksamheter avseende IT-användning som i dag drivs på olika nivåer inom hälso- och sjukvården, baseras på att patienter uttryckligen samtycker till personuppgiftsbehandlingen inom pro- jekten. I dessa fall åberopas i allmänhet personuppgiftslagen till stöd för personuppgiftsbehandlingen när vårdregisterlagen inte ger direkt stöd för informationshanteringen. En fråga som ofta ställs är i vad mån den enskilde kan samtycka till att personuppgifter om honom eller henne i ett vårdregister samkörs med andra register än sådana som vårdregister enligt 6 § vårdregisterlagen får samköras med.

En annan fråga som i ett fall prövats rättsligt är om vårdgivare får ge en patient elektronisk tillgång, direktåtkomst, till personuppgifter om sig själv i ett vårdregister. Fallet rörde ett landsting som avsåg ge de patienter som ansökte om det elektronisk tillgång till vissa patientjournaluppgifter m.m. De närmare omständigheterna kring fallet behandlas i avsnitt 3.3.2. Här skall bara anges att länsrätten fann detta stå i strid mot vårdregisterlagen, eftersom den lagen föreskriver att endast den som behöver det för att kunna utföra sitt arbete får ha direktåtkomst till ett vårdregister, se 8 § vårdregister- lagen. Vi är emellertid tveksamma till om 8 § vårdregisterlagen bör tolkas som en sådan bestämmelse i nationell lagstiftning som upp- häver verkan av att den enskilde registrerade samtycker till en person- uppgiftsbehandling; att ge enskilda registrerade direktåtkomst till personuppgifter om sig själva är nämligen att se som en personupp- giftsbehandling i sig. Det är, menar vi, en alltför vidsträckt tolkning av vårdregisterlagen i förhållande till vad som följer av person- uppgiftslagens och dataskyddsdirektivets bestämmelser om när personuppgiftsbehandling är tillåten. I sammanhanget kan noteras att frågan inte berördes i vårdregisterlagens förarbeten. Däremot poängterades i förarbetena betydelsen från integritetssynpunkt med bestämmelsen om direktåtkomst. Särskilt angavs att bestämmelsen kan sägas motsvara 7 § patientjournallagen om inre sekretess och 2 a § hälso- och sjukvårdslagen om att vården skall bygga på respekt för patientens självbestämmande och integritet (prop. 1997/98:108 s. 76 och 99).

Enligt vår uppfattning kan ifrågasättas om det är rimligt att tolka lagstiftning – som syftar till att skydda enskildas personliga integritet

– såsom in dubio innebärande ett absolut förbud mot sådan person- uppgiftsbehandling som den enskilde registrerade uttryckligen sam- tycker till eller önskar, ja kanske t.o.m. ställer krav på. Särskilt

207

Grundläggande bestämmelser om personuppgiftsbehandling

SOU 2006:82

gäller detta i sådan lagstiftning som, i avsaknad av särbestämmelser, kompletteras av personuppgiftslagens bestämmelser enligt vilka ut- tryckligt samtycke med något undantag utgör laglig grund för per- sonuppgiftsbehandling. Det sagda menar vi inte bara gäller i fråga om direktåtkomst utan även i fråga om andra bestämmelser i vårdregisterlagen.

I förarbetena till personuppgiftslagen berördes frågan om arti- kel 8.2 a i dataskyddsdirektivet och möjligheterna att i lagstiftning bestämma att förbudet mot behandling av känsliga personuppgifter inte kan upphävas genom den registrerades samtycke. Frågan upp- kom med anledning av att en remissinstans, Arbetarskyddsstyrelsen, föreslagit att regeringen eller Datainspektionen skulle få möjlighet att i särskilda fall förbjuda behandling även om det finns samtycke. Enligt regeringens uppfattning finns det, när någon har lämnat ett frivilligt samtycke till en viss personuppgiftsbehandling, inte något integritetsskyddsintresse som gör det befogat att förbjuda den behandling som den registrerade och den personuppgiftsansvarige är överens om. Därför föreslogs inte någon sådan möjlighet som Arbetarskyddsstyrelsen föreslagit (prop. 1997/98:44 s. 69).

Vi menar att regeringens resonemang – som får anses ha principiell karaktär – har bäring även på personuppgiftsbehandling inom hälso- och sjukvården och att det alltså finns anledning att tillåta även så- dan personuppgiftsbehandling som avviker från patientdatalagens bestämmelser, om den registrerade lämnar sitt uttryckliga samtycke till personuppgiftsbehandlingen, se avsnitt 8.5.2 ovan angående vilka krav som ställs på ett giltigt samtycke. Med ett uttryckligt samtycke kan t.ex. personuppgifter samlas in och behandlas för ett ändamål som inte anges i patientdatalagens ändamålsbestämning.

Visserligen kan som ett skäl emot förslaget anföras att en enskild patient ofta befinner sig i ett utsatt läge eller annars i en svag posi- tion i sina kontakter med hälso- och sjukvården. Han eller hon kan därför komma att samtycka till en personuppgiftsbehandling utan att vara helt på det klara med konsekvenserna. Vi har dock inget fog för antagandet att möjligheten att inhämta patienters uttryckliga sam- tycke till särskilda personuppgiftsbehandlingar skulle missbrukas av vårdgivare. Vi föreslår därför den huvudregeln att även sådan per- sonuppgiftsbehandling som går utöver vad patientdatalagen tillåter får utföras, om den enskilde registrerade uttryckligen samtycker till det. Vi har övervägt om det även bör införas ett krav på att samtycket skall vara skriftligt. Ett sådant krav skulle vara ägnat att inskärpa betydelsen av att den enskilde noga informeras om att den tilltänkta

208

SOU 2006:82

Grundläggande bestämmelser om personuppgiftsbehandling

personuppgiftsbehandlingen avviker från patientdatalagens bestäm- melser. Vidare skulle framtida bevissvårigheter för vårdgivare minska, för det fall tvist senare uppstår huruvida ett uttryckligt samtycke från en patient förelegat eller inte. Dessa skäl talar dock inte med övervägande styrka för att införa ett skriftlighetskrav enligt vår mening. Ett sådant krav skulle vidare avvika från annan lagstiftning på området eller på näraliggande områden där samtycke uppställs som en legal förutsättning för en åtgärd. Vi föreslår därför inte ett sådant formkrav. Det hindrar naturligtvis inte att skriftligt samtycke ändå används i praktiken.

Liksom när det gäller frågan om verkan av att den enskilde mot- sätter sig personuppgiftsbehandlingen, bör förbehåll göras för att annat kan följa av patientdatalagen eller av annan lag eller förordning. I avsnitt 11.3 kommer vi att föreslå en bestämmelse som uttryckligen anger att en patient inte kan samtycka till en personuppgiftsbehand- ling i strid mot vissa av patientdatalagens bestämmelser. Vidare före- slår vi att regeringen ges en generell befogenhet att närmare kunna föreskriva ytterligare undantag som upphäver verkan av den enskilde registrerades samtycke till personuppgiftsbehandling. Utgångspunk- ten för att meddela sådana föreskrifter, bör vara att skydda enskilda från kränkningar av deras personliga integritet.

Avslutningsvis bör poängteras att den enskilde enligt vårt förslag naturligtvis bara kan uttryckligt samtycka till avvikelser från patient- datalagen rörande uppgifter om sig själv. Ett samtycke från patien- ten gör det således inte tillåtet att behandla även t.ex. uppgifter om patientens anhöriga i strid mot lagen eller att använda annars otillåtna sökbegrepp (se nästa avsnitt) i fråga om sökning bland andra per- sonuppgifter än sådana som enbart rör patienten.

8.6Sökbegrepp

Vårt förslag: Samma sökbegränsningar som i dag gäller enligt 7 § vårdregisterlagen skall gälla även vid behandling av personupp- gifter enligt patientdatalagen. Det innebär att känsliga personupp- gifter, som avses i 13 § personuppgiftslagen, samt personuppgifter om lagöverträdelser m.m., som avses i 21 § personuppgiftslagen, med vissa undantag inte får användas som sökbegrepp.

Undantagen, som fortfarande skall gälla, avser uppgifter som rör hälsa eller uppgifter om att någon varit föremål för tvångs- ingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård

209

Grundläggande bestämmelser om personuppgiftsbehandling

SOU 2006:82

eller lagen (1991:1129) om rättspsykiatrisk vård. Dessa uppgifter får användas som sökbegrepp.

Härutöver gäller att uppgifter om att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgärder enligt utlänningslagen inte får användas som sökbegrepp.

Utan hinder av sistnämnda begränsningar får myndighet inom landsting och kommuner använda personuppgifter om etnicitet, bistånd eller andra insatser inom socialtjänsten eller åtgärder enligt utlänningslagen som sökbegrepp för att göra vissa slags sammanställningar, om regeringen meddelar föreskrifter om det.

Frågan om på vilket sätt personuppgifter kan sammanställas anses ofta som en av de viktigare frågorna från integritetssynpunkt. Ju större möjligheter det finns att i olika konstellationer sammanställa uppgifter om enskilda, desto större blir riskerna för otillbörliga in- trång i enskildas integritet. Vilka sök- och sammanställningsmöjlig- heter som finns har vidare betydelse för frågan om vilka handlingar som anses förvarade hos en myndighet och vad som därmed kan bli tillgängligt för allmänheten i enlighet med 2 kap. tryckfrihetsför- ordningen. Varje sammanställning av elektroniskt lagrade uppgifter som myndigheten kan göra med hjälp av tillgängliga program är i princip att anse som en allmän handling hos myndigheten. Detta gäller även om det aldrig tidigare har existerat en sådan sammanställning och även om sammanställningen inte alls behövs för myndighetens egen verksamhet. Förutom redan existerande handlingar brukar man därför tala om s.k. potentiella handlingar. Tekniska begränsningar kan dock innebära att en tänkt sammanställning inte kan göras; en sådan är ingen allmän handling. Vidare kan en myndighets – och därmed också allmänhetens – möjligheter att få tillgång till samman- ställningar av uppgifter som finns i myndighetens informationssystem underkastas rättsliga begränsningar. Denna regel, begränsningsregeln, syftar till att allmänheten inte med stöd av offentlighetsprincipen skall kunna göra anspråk på att få del av sådana sammanställningar hos myndigheten som myndigheten av hänsyn till skyddet för den personliga integriteten själv är förhindrad att ta fram, se 2 kap. 3 § andra stycket tryckfrihetsförordningen.

Den rättsliga metoden att åstadkomma sökbegränsningar och för- bud för en myndighet att göra vissa sammanställningar av uppgifter som normalt används är att i registerförfattningar reglera vilka personuppgifter som får eller inte får användas som sökbegrepp.

210

SOU 2006:82

Grundläggande bestämmelser om personuppgiftsbehandling

Med sökbegrepp brukar förstås bokstäver, koder eller siffror med vars hjälp man, tillsammans med en sökmotor eller liknande funk- tion, kan ta fram ett önskat urval lagrade personuppgifter om en eller flera personer ur en samlad informationsmängd som man har tillgång till. Om exempelvis namnet på en viss sjukdom används för att söka fram eller sammanställa alla handlingar som innehåller detta ord, är namnet på sjukdomen ett sökbegrepp. Frågan om sökbegrepp är i princip intressant endast när det gäller information som be- handlas elektroniskt, dvs. som finns lagrad på medium för automa- tiserad behandling. Informationsteknikens utveckling har medfört att sökmöjligheterna är i det närmaste obegränsade när det gäller elektroniskt lagrad information. Sammanställningar av uppgifter kan teoretiskt göras utifrån alla tänkbara sökkriterier som korresponde- rar med den lagrade informationen. Motsvarande sammanställnings- möjligheter saknas i praktiken helt när det gäller manuellt behandlad information som vanligen är sökbar endast utifrån ett fåtal kriterier.

Vårdregisterlagen – som reglerar både allmän och enskild hälso- och sjukvård – innehåller bestämmelser om sökbegrepp. Enligt 7 § vårdregisterlagen får inte sökbegrepp användas som utgör känsliga personuppgifter enligt 13 § personuppgiftslagen, dvs. som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller personuppgifter som rör hälsa eller sexualliv. Inte heller får personuppgifter som avses i 21 § personuppgiftslagen användas som sökbegrepp, dvs. personupp- gifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Vidare är det förbjudet att som sökbegrepp använda uppgifter om att någon fått ekonomisk hjälp eller vård inom socialtjänsten eller varit föremål för åtgärd enligt utlänningslagen. Från förbudet finns några undantag. Uppgifter om sjukdom och hälsotillstånd samt upp- gifter om att någon varit föremål för tvångsingripande enligt lagen om psykiatrisk tvångsvård eller lagen om rättspsykiatrisk vård får användas som sökbegrepp.

I förarbetena till vårdregisterlagen motiverades undantaget för sökbegreppen sjukdom och hälsotillstånd med att det är en värdefull tillgång hos datoriserad journalföring att genom sökning på begrepp som beskriver sjukdom och hälsotillstånd snabbt och effektivt finna relevanta journalanteckningar från patientens tidigare vårdtillfällen. Fördelarna med att tillåta sökning på dessa från integritetssynpunkt känsliga begrepp är så stora, menade regeringen, att intresset av en begränsning av sökmöjligheterna bör få vika. Vidare ansåg regeringen

211

Grundläggande bestämmelser om personuppgiftsbehandling

SOU 2006:82

att uppgifter om att patienten varit föremål för psykiatrisk tvångs- vård eller rättspsykiatrisk vård är av särskilt intresse när det gäller användningen av ett vårdregister för andra ändamål än i och för patientens vård såsom uppföljning, utvärdering och kvalitetssäkring av psykiatrisk tvångsvård och rättspsykiatrisk vård. När det gäller sökbegränsningarna i fråga om insatser enligt socialtjänsten och åt- gärder enligt utlänningslagen motiverades dessa endast med att de överensstämde med den då fortfarande gällande 4 § datalagen. I sam- manhanget kan nämnas att även uttrycket ”sjukdom och hälsotill- stånd” är hämtat från datalagen. Någon begreppsmässig skillnad gentemot 13 § personuppgiftslagen i vad avser uppgifter som rör hälsa synes inte ha varit avsedd (prop. 1997/98:108 s. 75).

Utan sökbegränsningar kan, som framgått av det föregående, vilka sökningar och sammanställningar som helst göras, t.ex. i fråga om patientuppgifter av mycket känslig art i hälso- och sjukvårdens informationssystem. Vårdgivare måste dock utforma datasystemen så att endast behörig personal kan utföra sökningar. Behörighets- system som gör att det i efterhand går att fastställa vilka personer som har tagit del av information (loggning) ger också ett skydd vid elektronisk personuppgiftsbehandling (se avsnitt 12). Hälso- och sjukvårdssekretessen enligt 7 kap. 1 c § sekretesslagen förhindrar också som regel allmänhetens möjligheter att med stöd av offentlig- hetsprincipen få ut sammanställningar av integritetskänslig informa- tion. Den starka sekretessen innebär därmed i sig ett skydd mot just sådana integritetsintrång som obegränsade sökmöjligheter kan innebära på grund av tryckfrihetsförordningens bestämmelser om vad som utgör allmänna handlingar.

Vikten av att minimera risken för otillbörliga integritetsintrång medför emellertid, enligt vår uppfattning, att de sökbegränsningar som finns i vårdregisterlagen bör behållas. Därutöver bör sökbe- gränsningarna göras tillämpliga inte bara vid behandling av person- uppgifter för vårdändamål etc. utan vid all behandling av personupp- gifter som regleras i patientdatalagen.

Det sagda innebär att följande uppgifter inte får användas som sökbegrepp.

1.Uppgifter som avslöjar ras eller etniskt ursprung, politiska åsik- ter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör sexualliv (13 § personuppgiftslagen).

212

SOU 2006:82

Grundläggande bestämmelser om personuppgiftsbehandling

2.Uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa fri- hetsberövanden (21 § personuppgiftslagen).

3.Uppgifter om att någon får eller fått bistånd eller andra insatser inom socialtjänsten.

4.Uppgifter om att någon är eller varit föremål för åtgärder enligt utlänningslagen.

I likhet med vad nuvarande bestämmelser i vårdregisterlagen slår fast, föreslår vi att uppgifter om sjukdom och hälsotillstånd bör få an- vändas som sökbegrepp. I patientdatalagen bör detta undantag från förbudet mot att använda känsliga personuppgifter som sökbegrepp dock anpassas till personuppgiftslagens vokabulär genom att undan- taget anges till uppgifter ”som rör hälsa”. Skälen för att tillåta upp- gifter om hälsa som sökbegrepp är i princip desamma som angavs i vårdregisterlagens förarbeten, se ovan. Förutom i det individinriktade arbetet är det dessutom väsentligt att vid t.ex. verksamhetsuppfölj- ningar kunna göra sammanställningar utifrån sökkriterier såsom diagnoser och liknande. Även vid t.ex. verksamhetsplanering behövs möjligheter att identifiera tendenser som är av betydelse för verk- samheten, t.ex. i fråga om förväntningar på ökande tillströmning av olika patientkategorier. Patientdatalagen bör inte hindra sådan per- sonuppgiftsbehandling. Vi förutsätter härvid att sammanställningar som används i dessa sammanhang snarast möjligt avidentifieras, eftersom individuppgifterna som sådana torde sakna betydelse för ändamålet med den fortsatta behandlingen.

Liksom enligt vårdregisterlagen bör vidare uppgifter om vissa ad- ministrativa frihetsberövanden inom psykiatrin och rättspsykiatrin få användas som sökbegrepp.

När det gäller sökbegränsningarna i fråga om insatser inom social- tjänsten och åtgärder enligt utlänningslagen är det i dessa fall fråga om uppgifter som inte generellt särbehandlas i personuppgiftslagen såsom särskilt integritetskänsliga, såvida de inte omfattas av 13 § eller 21 § personuppgiftslagen. Att en person vårdas eller tidigare har vårdats enligt lagen (1990:52) med särskilda bestämmelser om vård av unga eller lagen (1988:870) om vård av missbrukare i vissa fall är exempel på uppgifter som är både en insats inom socialtjänsten och en uppgift som omfattas av 21 § personuppgiftslagens bestämmelse om administrativa frihetsberövanden. Det sistnämnda fallet torde vidare utgöra en uppgift som rör hälsa. Insatser inom socialtjänsten är emellertid ett långt vidare begrepp än uppgifter om vissa admini-

213

Grundläggande bestämmelser om personuppgiftsbehandling

SOU 2006:82

strativa frihetsberövanden som anknyter till socialtjänsten. Det kan t.ex. handla om en uppgift om att en äldre eller funktionshindrad patient får insatser inom socialtjänsten i form av särskilt boende. En sådan uppgift får inte användas som sökbegrepp, vare sig för att söka fram en enskild uppgift eller för att kunna göra en sammanställning rörande flera patienter.

Att en person tagits i förvar enligt utlänningslagen är, förutom en uppgift om en åtgärd enligt utlänningslagen, även en uppgift som avses i 21 § personuppgiftslagen. Åtgärder enligt utlänningslagen kan dock avse betydligt fler åtgärder än så. Det kan t.ex. röra en uppgift om att någon är inskriven hos Migrationsverket som asylsökande eller har ett tillfälligt eller permanent uppehållstillstånd, ett arbets- tillstånd, en visering etc.

I utredningsarbetet har det framkommit att det i vissa fall finns behov av att kunna använda etnicitet som sökbegrepp för att kunna göra sammanställningar som landstingen behöver för att planera, ut- föra och följa upp hälso- och sjukvård som en del invandrargrupper behöver. Ett exempel är gravida kvinnor från vissa geografiska om- råden i andra länder som löper särskilda hälsorisker, t.ex. att få diabetes, just på grund av sin bakgrund i dessa områden. Ett annat exempel är personuppgifter om etnicitet i anslutning till den natio- nella biobank för stamceller från navelsträngsblod som skall byggas upp vid Sahlgrenska universitetssjukhuset i Västra Götalandsregionen.

Vidare har Stockholms läns landsting till utredningen framfört att sökbegränsningen i fråga om åtgärder enligt utlänningslagen innebär svårigheter för landstinget att genom användning av modern infor- mationsteknik få fram information om vårdinsatser åt asylsökande m.fl. som krävs för att landstinget skall kunna begära ersättning från staten enligt förordningen om statlig ersättning för hälso- och sjukvård till asylsökande eller förordningen (2002:1118) om statlig ersättning för asylsökande m.fl. Enligt dessa förordningar är lands- ting skyldiga att lämna Migrationsverket de uppgifter som krävs för bedömningen av deras rätt till ersättning. Vi utesluter inte att även andra landsting kan ha motsvarande svårigheter att göra samman- ställningar av information. Vidare är det inte heller otänkbart att det kan innebära vissa obefogade begränsningar för landsting och kom- muner att kunna ta fram sammanställningar med personuppgifter avseende kommunal omsorg som utgör socialtjänst.

Vi har emellertid bedömt att det sagda inte utgör tillräckliga skäl att i patientdatalagen avskaffa de nuvarande sökbegränsningarna i fråga om etnicitet, insatser m.m. inom socialtjänsten och åtgärder

214

SOU 2006:82

Grundläggande bestämmelser om personuppgiftsbehandling

enligt utlänningslagen. Dessa uppgiftskategorier är av ömtålig art från integritetssynpunkt.

Däremot menar vi, i enlighet med det nyss sagda, att det bör vara möjligt för regeringen att närmare föreskriva sådana undantag från sökbegränsningarna som medger att landsting och kommuner kan göra vissa slags sammanställningar. En sådan föreskrift kan t.ex. av- se sökningar på etnicitet för sammanställningar som behövs för att landstingen skall kunna planera eller göra riktade och uppsökande hälsovårdsinsatser till en viss flyktinggrupp. Ett annat exempel är sammanställningar som behövs för att landstingen skall kunna be- gära ersättning enligt förordningen om statlig ersättning för asyl- sökande m.fl. Något motsvarande undantag för privata vårdgivare finns det enligt vår mening inte behov av.

Det bör noteras att regleringen i fråga om sökbegrepp inte inne- bär begränsningar i fråga om vilka personuppgifter som får behandlas enligt patientdatalagen. Självfallet bör givetvis ändå iakttas sträng återhållsamhet när det handlar om att registrera och även i övrigt be- handla sådana personuppgiftskategorier som inte får användas som sökbegrepp. Här kan erinras om den kontinuerliga prövning som skall göras av om uppgifterna behövs för ändamålen med varje be- handling, se avsnitt 8.4.

8.7Elektroniskt utlämnande av personuppgifter

Våra förslag: Med direktåtkomst avses i patientdatalagen – till skillnad från i vårdregisterlagen – en speciell form av elektroniskt utlämnande av personuppgifter till mottagare utanför en vårdgiva- res organisation. Direktåtkomst till personuppgifter som behandlas enligt patientdatalagen får bara förekomma i den utsträckning som anges i lag eller förordning. I patientdatalagen regleras vissa fall av tillåten direktåtkomst. Dessutom tas en uttrycklig bestäm- melse in i patientdatalagen som förtydligar att personuppgifter får lämnas ut i annan elektronisk form än genom direktåtkomst, om utlämnandet som sådant är en tillåten personuppgiftsbehandling.

215

Grundläggande bestämmelser om personuppgiftsbehandling

SOU 2006:82

8.7.1Allmänt om elektroniskt utlämnande

I avsnitt 8.2 har vi föreslagit ändamål för vilka personuppgifter skall få behandlas hos vårdgivare. Inom ramen för dessa ändamål kommer det ofta att bli aktuellt att behandla personuppgifter om patienter genom att uppgifterna lämnas ut till en extern mottagare, dvs. till en mottagare som finns utanför den utlämnande vårdgivarens egen verk- samhet. Utlämnandet kan t.ex. avse personuppgifter som begärts utifrån av en annan vårdgivare eller som annars skall överföras till en extern mottagare enligt någon särskilt reglerad uppgiftsskyldig- het. Men det kan också handla om att uppgifter lämnas ut vid full- görande av den egna verksamheten, t.ex. i samband med remisser, utskrivningar, kvalitetsregisterrapportering m.m.

Personuppgifter kan lämnas ut på olika sätt, t.ex. via pappersut- skrifter från dator som postas eller sänds per telefax. Utlämnande kan också göras i elektronisk form, dvs. på medium för automatise- rad behandling. Den elektroniska formen inrymmer i sig ett stort antal variationer, t.ex. användning av e-post, lagring på diskett eller cd-rom, direkt överföring från ett datorsystem till ett annat via tele- nätet eller att en mottagare ges elektronisk tillgång till det utläm- nande organets datorsystem. Alla varianter – elektroniska eller inte

– utgör behandling av personuppgifter enligt begreppets definition i 3 § personuppgiftslagen.

Personuppgiftslagen, och det underliggande dataskyddsdirektivet, saknar särskilda bestämmelser som reglerar om eller under vilka för- utsättningar uppgifter får lämnas ut i elektronisk form. Någon åtskill- nad mellan elektroniskt utlämnande av personuppgifter och utläm- nande som sker manuellt på papper görs således inte.

I många registerförfattningar och andra författningar som reglerar personuppgiftsbehandling finns emellertid bestämmelser varav fram- går inte bara i vad mån personuppgifter får behandlas genom att läm- nas ut till en extern mottagare utanför myndigheten eller det person- uppgiftsansvariga organet utan även när det får göras i elektronisk form till andra myndigheter eller till enskilda. Motivet för denna särreglering av sättet eller den särskilda tekniken för utlämnandet är att själva den elektroniska formen anses kunna medföra risker för otillbörliga integritetsintrång. Normalt innebär nämligen just den elektroniska formen att mottagaren efter utlämnandet har större möjligheter att bearbeta informationen än om utlämnandet sker på papper.

216

SOU 2006:82

Grundläggande bestämmelser om personuppgiftsbehandling

I denna typ av lagstiftning används ofta begreppen direktåtkomst och utlämnande på medium för automatiserad behandling.

Det finns inte någon legaldefinition av begreppet direktåtkomst. Enligt en vedertagen uppfattning, som också lyfts fram i flera lag- förarbeten, innebär direktåtkomst att en mottagare har elektronisk tillgång till någon annans informationssystem eller databas, t.ex. via Internet eller annat nätverk, och på egen hand kan söka efter infor- mation.

Vanligtvis innebär direktåtkomst ingen möjlighet att kunna be- arbeta eller på annat sätt påverka innehållet i det system, register eller databas som åtkomsten avser (se t.ex. prop. 2000/01:33 s. 110 f.). Ibland har mottagaren emellertid en möjlighet att kopiera eller ladda ner och så att säga ”hämta hem” informationen till sitt eget system och bearbeta den där (se t.ex. prop. 2001/02:144 s. 35 eller Dom- stolsdatautredningen, SOU 2001:100 s. 149).

I begreppet direktåtkomst ligger också att den som är ansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av. Det innebär t.ex. att om vårdgivare A har direktåtkomst till samtliga uppgifter i ett re- gister eller en databas hos vårdgivare B, så kan A själv välja vilka uppgifter den vill ta del av vid ett visst tillfälle, utan att B, dvs. den som är ansvarig för registret eller databasen, först fattar ett beslut om att just dessa uppgifter skall överföras till A. Beslutet om varje överföring fattas i stället av mottagaren.

Direktåtkomst innebär att någon egentlig sekretessprövning hos B inte sker varje gång någon hos A använder direktåtkomsten för att ta del av en uppgift. Sekretessprövningen sker i stället då B bestämmer vilka uppgifter som skall vara möjliga för A att ta fram via direkt- åtkomsten. Direktåtkomst kan därvid avse all information som finns samlad i ett datasystem eller endast en på förhand bestämd del av denna.

Direktåtkomst till personuppgifter som behandlas i datoriserade register eller andra uppgiftssamlingar av en annan myndighet har sedan lång tid betraktats som en särskilt integritetskänslig person- uppgiftsbehandling. I än högre grad har utlämnande till andra än myndigheter, dvs. till enskilda, genom direktåtkomst ansetts med- föra särskilda risker för de registrerade. Det förhållandet att den ut- lämnande myndigheten inte har kontroll över vilka uppgifter som mottagaren vid varje enskilt tillfälle tar del av, har genomgående åberopats som grund för att utifrån integritetssynpunkt särskilt reglera direktåtkomst (se t.ex. prop. 2001/02:144 s. 35 f. ).

217

Grundläggande bestämmelser om personuppgiftsbehandling

SOU 2006:82

Ett ytterligare skäl till särreglering och återhållsamhet när det gäller myndigheters direktåtkomst till andra myndigheter eller enskilda organs datoriserade personuppgiftssamlingar har varit att de upptag- ningar som direktåtkomsten avser normalt blir allmänna handlingar hos en mottagande myndighet redan i och med mottagarens tek- niska möjlighet att ta fram informationen. Ju fler myndigheter som har direktåtkomst till uppgifter i ett datasystem, desto större blir således allmänhetens möjlighet att få tillgång till dessa uppgifter. Av- ser direktåtkomsten sekretessbelagda uppgifter hos den utlämnande myndigheten, måste inte bara sekretesslagen medge att uppgifterna lämnas ut till mottagaren. Av avgörande betydelse för integritets- skyddet är också att uppgifterna har ett godtagbart sekretesskydd även hos mottagande myndigheter (se prop. 2000/01:33 s. 111). Det kan här anmärkas att sekretess för personuppgifter enligt någon materiell bestämmelse i sekretesslagen i normalfallet inte automa- tiskt följer med då uppgifterna sprids utanför det verksamhetsom- råde vari uppgifterna sekretesskyddas, t.ex. genom direktåtkomst. Problematiken kring frågor om direktåtkomst och sekretess m.m. kommer att behandlas i avsnitt 11.4 och 11.5.

Annat utlämnande på medium för automatiserad behandling inne- bär, förenklat uttryckt, elektroniskt utlämnande utan möjlighet för mottagaren att själv bereda sig tillgång till uppgifterna t.ex. genom användning av e-post, utlämnande på diskett eller cd-rom eller genom filöverföring från ett datorsystem till ett annat via telenätet där be- slut om överföringen fattas av den som lämnar ut uppgifterna. Som regel innefattar begreppet att informationen lämnas ut i en form som medför att mottagaren kan bearbeta informationen. Bearbetnings- möjligheterna torde dock inte vara avgörande för huruvida det är fråga om ett utlämnande på automatiserat medium. Då en låst elek- tronisk handling skickas som bilaga i e-post eller om en cd-rom lämnas ut varpå lagrats information med kvalificerat kopieringsskydd etc. är det enligt vår uppfattning fråga om ett utlämnande på medium för automatiserad behandling. Till skillnad från vid direktåtkomst kan emellertid vid annat utlämnande på medium för automatiserad behandling en prövning ske i varje enskilt fall av huruvida uppgif- terna kan lämnas ut eller om exempelvis sekretessbestämmelser utgör hinder för utlämnande.

Det har i tidigare lagstiftningsärenden påtalats att det i vissa fall kan vara svårt att dra en gräns mellan direktåtkomst och annat ut- lämnande i elektronisk form samt att skillnaderna på grund av den

218

SOU 2006:82

Grundläggande bestämmelser om personuppgiftsbehandling

tekniska utvecklingen kan vara på väg att bli försumbara (se t.ex. prop. 2000/01:33 s. 111 eller prop. 2004/05:164 s. 82).

Nämnden för elektronisk förvaltning, e-nämnden (numera VERVA, Verket för förvaltningsutveckling) har tagit fram en väg- ledning för elektroniskt informationsutbyte mellan myndigheter samt mellan myndigheter och företag. De myndighetsgemensamma principer som presenteras i vägledningen togs fram parallellt med en rättsutredning inom ramen för SAMSET-projektet. SAMSET-pro- jektet har haft regeringens uppdrag att under ett inledningsskede ha ansvar för administrationen av elektroniska ID-handlingar, e-legiti- mationer, för elektronisk identifiering och elektroniska underskrifter inom statsförvaltningen. I projektet som leddes av Skatteverket deltog även Bolagsverket, Centrala studiestödsnämnden, Försäkringskassan, Riksarkivet och Statskontoret.

Resultatet av den nämnda rättsutredningen har presenterats i rap- porten Elektroniskt informationsutbyte – myndighetsgemensamma frågor (Samsetrapport 2005:1). I rapporten beskrivs svårigheterna med gränsdragningen mellan direktåtkomst och utlämnande på me- dium för automatiserad behandling, vilken i dag bygger på närmast tekniska skillnader. I rapporten förordas att gränsdragningen i stället skall utgå från funktionella skillnader och att en annan terminologi skall användas. I den ovan nämnda vägledningen görs – med hänvis- ning till att vi och ytterligare en utredning (2005 års informations- utbytesutredning, Fi 2005:08) för närvarande överväger elektroniskt informationsutbyte genom bl.a. direktåtkomst – bedömningen att en lösning på avgränsningsfrågorna bör kunna förväntas inom kort.

8.7.2Nuvarande reglering

Som framgått i det föregående saknar personuppgiftslagen särskilda bestämmelser som reglerar om eller under vilka förutsättningar upp- gifter får lämnas ut i elektronisk form i stället för på papper. Någon åtskillnad mellan elektroniskt utlämnande av personuppgifter och utlämnande som sker manuellt på papper görs inte heller i sekretess- lagen, lagen om yrkesverksamhet på hälso- och sjukvårdens område eller i patientjournallagen (1985:562); centrala lagar för hälso- och sjukvårdens informationshantering.

Vårdregisterlagen innehåller däremot bestämmelser både om direkt- åtkomst och om annat utlämnande på medium för automatiserad be- handling. I 8 § vårdregisterlagen föreskrivs att endast den som för

219

Grundläggande bestämmelser om personuppgiftsbehandling

SOU 2006:82

ändamål som anges i lagen behöver tillgång till uppgifterna för att kunna utföra sitt arbete får ha direktåtkomst till uppgifter i ett vård- register. Åtkomsten får endast avse de uppgifter som behövs för arbe- tets utförande. Som framgått redan i avsnitt 8.5 är bestämmelsen närmast en reglering av inre sekretess i form av en behörighetsreg- lering av tillåten elektronisk åtkomst inom en vårdgivares verksamhet och inte en bestämmelse om ett speciellt sätt att elektroniskt lämna ut personuppgifter till en extern mottagare.

I 9 § anges när uppgifter i ett vårdregister får lämnas ut på medium för automatiserad behandling. Så får ske om de skall användas för ändamål för vilka vårdregister får föras, vilka motsvarar ändamålet vårddokumentation, se avsnitt 8.2. Detsamma gäller om uppgifterna skall användas för framställning av statistik, administration på verk- samhetsområdet, uppföljning, utvärdering eller kvalitetssäkring eller om uppgifterna skall lämnas på grund av att uppgiftsutlämnande som föreskrivs i lag eller förordning. Slutligen får uppgifter lämnas på medium för automatiserad behandling om de skall användas för forskning. Möjligheterna att elektroniskt lämna ut uppgifter som finns i ett vårdregister på annat sätt än genom direktåtkomst och som kan lämnas ut utan hinder av sekretess är alltså ganska stora. Någon skyldighet att lämna ut personuppgifter på medium för auto- matiserad behandling finns dock inte föreskriven, varken i vård- registerlagen eller i någon annan lag av intresse i sammanhanget.

När det gäller annan elektronisk personuppgiftsbehandling än så- dan som regleras i vårdregisterlagen gäller varken något förbud mot eller en skyldighet att lämna ut uppgifter elektroniskt. Inom den allmänna hälso- och sjukvården gäller det s.k. utskriftsundantaget i 2 kap. 13 § tryckfrihetsförordningen varav följer att en myndighet inom hälso- och sjukvården själv bestämmer i fråga om sättet att lämna ut en allmän handling som myndigheten förvarar i elektronisk form. Det beslutet bör tas med beaktande av syftet med utskrifts- undantaget som är att skydda enskildas integritet vid s.k. massuttag. Kan utlämnandeformen användas utan otillbörliga integritetsintrång, finns det alltså inget som hindrar ett elektroniskt utlämnande.

Självklart gäller vid allt elektroniskt utlämnande inom hälso- och sjukvården – via direktåtkomst eller på annat sätt – höga krav på att det sker under säkerhetsmässigt godtagbara former.

220

SOU 2006:82

Grundläggande bestämmelser om personuppgiftsbehandling

8.7.3Våra överväganden

Direktåtkomst

Som framgått förekommer i registerförfattningar att begreppet direkt- åtkomst används för att beskriva dels en speciell form av elektroniskt utlämnande till en extern mottagare, dels personalens elektroniska tillgång till personuppgifter som behandlas inom en organisation. Sådan ”intern” tillgång – som i dag regleras i vårdregisterlagen med begreppet direktåtkomst – benämns i fortsättningen för elektronisk åtkomst. Även sådan åtkomst kommer att behandlas i det följande, främst i avsnitt 12. Med begreppet direktåtkomst avser vi alltså endast en speciell form av elektroniskt utlämnande.

Vi delar uppfattningen som nämnts i det föregående om att det kan vara svårt att finna ett entydigt svar på frågan om vad som är direktåtkomst respektive utlämnande på medium för automatiserad behandling. Vi instämmer också i att det finns ett behov att se över dessa frågor. En sådan översyn måste emellertid anses falla utanför vårt uppdrag. Dessutom används dessa begrepp i ett antal författ- ningar, varför det enligt vår uppfattning framstår som lämpligt att frågorna utreds i särskild ordning.

Enligt vår uppfattning är emellertid direktåtkomst och annat ut- lämnande på medium för automatiserad behandling i avvaktan på en sådan översyn användbara begrepp för reglering av olika sätt att lämna ut personuppgifter. Vi kommer därför att använda dessa begrepp i patientdatalagen.

När det gäller den närmare åtskillnaden mellan direktåtkomst och annat elektroniskt utlämnande anser vi att utgångspunkten inte bör vara hur en informationsöverföring tekniskt arrangeras.

Avgörande för åtskillnaden bör i stället vara huruvida den som an- svarar för förvaringen och det formella utlämnandet av en viss elek- tronisk informationsmängd vid varje givet överföringstillfälle vidtar någon manuell aktivitet som kan jämställas med ett beslut om över- föring och en sekretessprövning avseende den information som mot- tagaren i det enskilda fallet får del av. Förutsatt således att dessa aktiviteter inte sker genom något slags teknisk automatik, anser vi att det är fråga om annat elektroniskt utlämnande än direktåtkomst även om utlämnandet måhända sker rutinmässigt.

Är det i stället mottagaren som vidtar dessa manuella åtgärder vid ett givet överföringstillfälle i anslutning till att denne elektroniskt bereder sig tillgång till information, handlar det om direktåtkomst.

221

Grundläggande bestämmelser om personuppgiftsbehandling

SOU 2006:82

Det kan men behöver således alls inte vara fråga om att mottagaren har helt ”fri” tillgång till hela eller delar av utlämnarens uppgiftssam- ling för att det skall vara fråga om direktåtkomst. Exempelvis är det enligt vår uppfattning fråga om direktåtkomst även vid system för elektroniskt informationsutbyte som bygger på att den som vill ha information skickar en förfrågan till systemet och utifrån vissa för- utsättningar kan få svar med den begärda informationen utan att någon person hos utlämnaren tar emot och effektuerar förfrågan.

Med direktåtkomst i patientdatalagens mening kan alltså avses olika slags system med varierande tekniska och organisatoriska lösningar för tillgång till personuppgifter.

Carelinks projekt Nationell Patientöversikt är ett exempel på ett system som inte innebär ”klassisk” direktåtkomst till alla uppgifter i ett register eller en databas. I detta system görs lokalt lagrad vård- dokumentation – med patientens samtycke – potentiellt sett tillgäng- lig för andra vårdgivare som är anslutna till systemet. När en behörig befattningshavare hos en annan vårdgivare vill ta del av information om en patient, intygar befattningshavaren elektroniskt, genom en knapptryckning, att han eller hon har patientens samtycke. Här- igenom samt genom en automatiserad behörighetskontroll m.m., ”beviljas” åtkomsten och befattningshavaren kan söka sig fram till och ta del av så pass mycket information som han eller hon väljer att ta fram av den totalt tillgängliga informationsmängden. I systemet finns vidare en särskild loggningsfunktion för nödlägen via vilken uppgifter kan bli elektroniskt tillgängliga utan att man anger att man har patientens samtycke. Inte heller i dessa fall görs någon manuell bedömning hos utlämnaren. Även den Nationella patientöversikten bygger alltså på att uppgifter lämnas ut genom direktåtkomst.

Vi menar att direktåtkomst är en särskilt integritetskänslig form av elektroniskt utlämnande av personuppgifter som hanteras inom hälso- och sjukvården. Det finns därför anledning att genom regle- ring i patientdatalagen uttömmande klargöra i vilka fall direktåtkomst får förekomma till personuppgifter som behandlas enligt lagen. Så- dant utlämnande bör bara få ske i den utsträckning som anges i lag eller förordning.

Vi kommer längre fram i detta betänkande att lämna vissa förslag på direktåtkomst som vi funnit bör införas. Även sekretessproblem som är förknippade med direktåtkomst behandlas i det följande lik- som direktåtkomstens förhållande till bestämmelser i tryckfrihets- förordningen och arkivlagen.

222

SOU 2006:82

Grundläggande bestämmelser om personuppgiftsbehandling

Vi utesluter dock inte att det på vissa specialområden inom hälso- och sjukvården kan finnas skäl att tillåta ytterligare direktåtkomst än de vi föreslår. Det får emellertid utredas och övervägas i särskild ordning.

Annat utlämnande på medium för automatiserad behandling

De skäl som från integritetssynpunkt gör det befogat att särreglera direktåtkomst väger enligt vår uppfattning avsevärt lättare när det handlar om annat elektroniskt utlämnande. Den stränga hälso- och sjukvårdssekretessen, som närmare kommer att behandlas i bl.a. av- snitt 11.5, och motsvarande bestämmelser för den privata hälso- och sjukvården i lagen om yrkesverksamhet på hälso- och sjukvårdens område utgör enligt vår uppfattning ett starkt integritetsskydd. Exem- pelvis förekommer inte massuttag av stora mängder personuppgifter till mottagare utanför hälso- och sjukvårdssektorn vars fortsatta elek- troniska bearbetning av uppgifterna inte bör underlättas. Man kan inte heller bortse från dagens möjligheter för en mottagare att skanna in och därefter bearbeta även uppgifter som lämnats ut på papper. Att generellt begränsa hur uppgifter får lämnas ut, riskerar vidare att hämma effektiviteten i hälso- och sjukvårdens informations- hantering på ett sätt som inte står i proportion till de vinster som kan finnas ur integritetssynpunkt.

Enligt vår uppfattning är tiden alltså mogen för att avskaffa den begränsning som i dag finns i 9 § vårdregisterlagen när det gäller an- vändning av modern IT för utlämnande av uppgifter som finns i vård- register. Det kan påminnas om att det sagda självfallet bara gäller sättet för utlämnande. Huruvida uppgifterna alls får lämnas ut bestäms som tidigare av andra regler, bl.a. i sekretesslagen. Vidare krävs givet- vis även att elektronisk kommunikation m.m. sker under former som garanterar en hög säkerhetsnivå.

Vi föreslår således inte några ytterligare begränsningar som reg- lerar själva sättet för utlämnande än de som gäller direktåtkomst. I stället bör det ankomma på vårdgivarna själva att efter en lämplig- hetsprövning avgöra valet mellan en automatiserad överföring, t.ex. via e-post, och annan överföring, t.ex. via post eller telefax. Den prövningen måste givetvis ta hänsyn till vilka risker ur säkerhets- och integritetssynpunkt som finns och väga dessa mot eventuella vinster från t.ex. effektivitetssynpunkt. Det är dock inte givet att ett utläm- nande på papper via post, bud eller telefax alltid garanterar en högre

223

9 En sammanhållen journal

9.1Vårt uppdrag

Större delen av den personuppgiftsbehandling som äger rum inom hälso- och sjukvården avser personuppgifter som primärt samlas in för att dokumenteras i en patientjournal. Hur patientjournalföringen regleras är därför av avgörande betydelse för utformningen av lag- stiftningen om personuppgiftsbehandlingen inom hälso- och sjuk- vården i stort.

Frågor om den närmare regleringen av patientjournalföringen be- handlas i nästföljande avsnitt, avsnitt 10. I detta avsnitt behandlas enbart frågan om det bör införas sammanhållna patientjournaler, dvs. journaler som förs av alla eller flera vårdgivare i ett gemensamt elek- troniskt system, t.ex. i form av en gemensam patientdatabas.

Enligt våra första tilläggsdirektiv (dir. 2004:95) skall vi analysera förutsättningarna för och nyttan av en för samtliga vårdgivare – inom hela Sverige eller inom ett landstingsområde – sammanhållen patient- journal för varje patient. Om vi finner att en för alla vårdgivare sam- manhållen journal är ändamålsenlig utifrån patientsäkerhet, förbätt- rad uppföljning, begränsad administration samt dessutom förenlig med skyddet av den personliga integriteten, skall vi lämna nödvän- diga författningsförslag. Om vi finner att en sammanhållen journal inte bör skapas eller att den av tekniska skäl inte kan genomföras inom kort, skall vi granska och analysera förutsättningarna i övrigt för informationsöverföring inom hälso- och sjukvården m.m.

9.2Visionen ”En patient – en journal”

Idén om en framtida elektronisk sammanhållen journal för varje patient som är gemensam för samtliga vårdgivare, på nationell eller regional nivå, har under de senaste åren blivit en vision som succes- sivt fått en bredare uppslutning i den allmänna debatten om hälso-

225

En sammanhållen journal

SOU 2006:82

och sjukvården. Som exempel härpå kan anföras att vid de hearingar med företrädare för patientorganisationer som vi anordnat, har fler- talet förklarat att de ställer sig positiva till införandet av för flera vårdgivare sammanhållna patientjournaler i en eller annan form.

En uttalad målsättning för mycket av det utvecklingsarbete som nu pågår på olika håll och på olika nivåer är att all dokumentation i form av patientjournalföring skall kunna ske i en och samma journal som följer patienten i livets alla vårdkontakter med olika vårdgivare. I t.ex. Socialstyrelsens och Sveriges Kommuner och Landstings InfoVU-projekt har man formulerat visionen på följande tvåfaldiga sätt. ”En patient – en journal” och ”En journaluppgift – en journal- plats”. Det långsiktiga målet är att skapa en ändamålsenlig vård- dokumentation som ger tillförlitlig och användbar information för olika aktörer och som följer patienten hela livet (framfört munt- ligen exempelvis på konferensen Ändamålsenlig vårddokumentation den 2 december 2003).

I den allmänna debatten framförs då och då ståndpunkten att jour- nalen bör frikopplas från vårdgivaren och i stället vara knuten till och följa patienten. I förarbetena till lagen (2005:258) om läkeme- delsförteckning anförs bl.a. att en tänkbar väg att öka patientsäker- heten på läkemedelsområdet skulle vara att inrätta ett system med journalföring knuten till patienten och inte till den vårdenhet som patienten besöker (prop. 2004/05:70 s. 20). Ett sådant system skulle, enligt propositionen, kunna innebära en möjlighet att samla all infor- mation om den enskilde på ett ställe. Informationen skulle med patientens medgivande göras tillgänglig för senare förskrivare och även för farmaceuter. Detta kräver emellertid omfattande och del- vis omvälvande lagändringar som bl.a. berör patientjournallagen (1985:652). I propositionen påpekas att de utredningar och analyser som är nödvändiga för att överväga lagändringar saknas i dagsläget men ingår i den redan tillsatta Patientdatautredningens uppdrag. Vid utskottsbehandlingen av propositionen väcktes ett antal motioner med förslag i linje med denna tanke (bet. 2004/05:SoU13 s. 8 f.). Bl.a. föreslogs ett nationellt elektroniskt system för patientjournaler som är knuten till patienten och inte till vårdenheten (motion So7) och om patientknutna smartkort (motion So8).

Det framförs också ibland åsikter om att det är patienten som bör äga eller ha förfoganderätten till uppgifterna i sin journal och att vårdgivaren närmast bör ha rollen som en förvaltare av uppgifterna åt patienten. I dessa sammanhang brukar anföras att det främst är tryckfrihetsförordningen och dess regler om allmänna handlingar

226

SOU 2006:82

En sammanhållen journal

samt sekretesslagens (1980:100) krav på menprövning som utgör juridiska hinder mot den föreslagna ordningen. Vidare anförs att det är olyckligt att olika regler gäller för journaler i allmän respektive enskild hälso- och sjukvård. Det bör därför övervägas, menar man, att undanta patientjournaler i den allmänna hälso- och sjukvården från tryckfrihetsförordningens tillämpningsområde (se t.ex. Social- styrelsens remissyttrande den 31 augusti 2004 över Offentlighets- och sekretesskommitténs huvudbetänkande Ny sekretesslag [SOU 2003:99] och InfoVU-projektets rapport Rättsfrågor med anknytning till IT i vård och omsorg, Socialstyrelsen november 2005, s. 55 f.).

9.3Nuvarande reglering och tidigare utredningar

9.3.1Vad säger nu gällande reglering av patientjournal- föringen om sammanhållna patientjournaler?

Dokumentationen och den fortsatta hanteringen av personuppgifter i patientjournaler omfattas av en mosaik av rättsregler. Grundläggan- de bestämmelser om all patientjournalföring inom hälso- och sjuk- vården finns i patientjournallagen. Lagen ställer bl.a. krav på jour- nalernas utformning, innehåll och hantering. Den gäller både inom allmän och enskild hälso- och sjukvård, inklusive tandvård. Lagen är s.k. teknikneutral och gäller alldeles oberoende av huruvida journaler förs på papper eller elektroniskt.

I 1 § patientjournallagen slås det fast att det vid vård av patienter inom hälso- och sjukvården skall föras patientjournal. En patient- journal är individuell och skall föras för varje enskild patient. Den får alltså inte vara gemensam för flera patienter, något som framgår direkt av lagens lydelse. Däremot kan det finnas flera journaler för en och samma patient. Enligt lagens förarbeten finns det dock inget hinder mot att de som deltar i vården av en patient för en gemensam patientjournal för patienten (prop. 1984/85:189 s. 37). Enligt en all- män uppfattning bland företrädare för hälso- och sjukvården medger patientjournallagen emellertid inte att personal hos olika vårdgivare, eller för den delen olika myndigheter som tillhör samma vårdgivare (t.ex. ett landsting), för patientjournal tillsammans. Något uttryck- ligt förbud häremot finns dock inte i patientjournallagen.

Patientjournallagen är som tidigare sagts teknikoberoende. Till den del journalföring sker elektroniskt, är även bestämmelserna i lagen (1998:544) om vårdregister (vårdregisterlagen) och personupp-

227

En sammanhållen journal

SOU 2006:82

giftslagen (1998:204) tillämpliga på den personuppgiftsbehandling som patientjournalföringen innebär.

Förs en patientjournal elektroniskt, innebär det att den ingår i ett vårdregister. Begreppet vårdregister definieras inte närmare i vård- registerlagen. Det är därför svårt att utläsa huruvida en vårdgivare kan ha flera eller bara ett vårdregister i lagens mening. I praktiken är det dock vanligt att stora vårdgivare såsom landstingen inom sitt område har flera från varandra helt separata journalsystem som vart och ett skulle kunna betraktas som ett register. Landsting eller kom- muner som bedriver hälso- och sjukvårdsverksamhet inom ramen för flera nämnder som var och en utgör en självständig förvaltnings- myndighet har normalt flera vårdregister. Även inom en och samma myndighet torde det kunna finnas flera vårdregister, exempelvis då folktandvården har journal- och patientadministrativa system som tekniskt och administrativt är helt åtskilda från system som används på ett sjukhus som ingår i samma myndighet.

Allmänt tolkas vårdregisterlagen på så sätt att den hindrar att flera vårdgivare delar på ett vårdregister (se t.ex. Landstingsförbundets skrift Sekretess och integritetsskydd för samverkande elektroniska patientjournaler – ett diskussionsunderlag till pågående utvecklings- arbete, Stockholm 2001, s. 8 f. eller InfoVU-projektets rapport Rätts- frågor med anknytning till IT i vård och omsorg, Socialstyrelsen november 2005, s. 72 f.). Detta framgår dock inte uttryckligen av lagen eller dess förarbeten.

I personuppgiftslagen finns flera bestämmelser av betydelse för hanteringen av elektroniska patientjournaler. En viktig bestämmelse är att det alltid skall finnas en personuppgiftsansvarig, vilken torde vara identisk med vårdgivaren, som bl.a. ansvarar för att personupp- giftsbehandlingen i elektroniska patientjournaler sker lagenligt och att personuppgifterna som finns i ett vårdregister skyddas av lämp- liga tekniska och organisatoriska åtgärder.

Enligt personuppgiftslagen kan personuppgiftsansvar mycket väl vara delat mellan flera fysiska eller juridiska personer. Flera kan alltså vara personuppgiftsansvariga för samma personuppgiftsbehandling.

Mot bakgrund av det sagda kan sägas att regleringen av patient- journalföringen i och för sig inte hindrar sammanhållna journaler gemensamma för flera vårdgivare, i vart fall inte uttryckligen. Där-

228

SOU 2006:82

En sammanhållen journal

emot är, som kommer att framgå i det följande, den sekretess som i allmänhet gäller för uppgifter i patientjournaler ett rättsligt hinder i sammanhanget. Bestämmelser om sekretess finns i sekretesslagen och i lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.

9.3.2Några tidigare utredningar

Frågan om för flera vårdgivare sammanhållna journaler har berörts av ett par tidigare utredningar, som här kort refereras.

Såsom nämnts i utredningens första tilläggsdirektiv har Social- styrelsen på regeringens uppdrag gjort en översyn av patientjournal- lagen. Översynen resulterade i en skrivelse till regeringen som pub- licerades i december 2001, Patientjournallagen – En översyn med förslag till författningsändringar. I skrivelsen har Socialstyrelsen lämnat förslag till ett flertal sakliga ändringar i patientjournallagen av vilka merparten redovisas i avsnitt 10. Ett av förslagen bör emel- lertid nämnas här, nämligen en helt ny bestämmelse vari anges att dokumentation bör göras i en sammanhållen patientjournal, om inte särskilda skäl talar mot det. Vidare föreslogs en uttrycklig bestäm- melse om att uppgifter i ett visst hänseende endast bör förekomma en gång i journalen. Enligt förslaget skall det ankomma på verksamhets- chefen att ge riktlinjer som behövs i dessa avseenden. I motiveringen angavs den föreslagna bestämmelsen vara en målparagraf vars främsta syfte är att förhindra onödig dokumentation och dubbelarbete. Med särskilda skäl som talar mot en sammanhållen journal pekades i första hand på integritets- och sekretesskäl. Härvid åsyftades problem som kan finnas när det gäller såväl den inre sekretessen mellan t.ex. olika kliniker inom ett landsting som yttre sekretess (a.a. s. 29 f.).

Socialstyrelsen tog vidare upp frågan om en journal skulle kunna följa patienten genom vårdkedjan alldeles oavsett om denna inbegri- per flera vårdgivare eller inte. När det gäller patientjournaler inom den allmänna hälso- och sjukvården fann styrelsen emellertid detta vara omöjligt med tanke på att journalerna utgör allmänna handlingar enligt tryckfrihetsförordningen som myndigheten måste bevara och inte får avhända sig till nästa vårdgivare som kan vara en annan myn- dighet eller en enskild. Socialstyrelsen pekade också på risken för att uppgifter som behövs vid ett senare vårdtillfälle inte skulle kunna återfinnas. Enligt Socialstyrelsen kan man vid elektronisk journal- föring uppnå en journal som följer patienten genom att en kopia av

229

En sammanhållen journal

SOU 2006:82

journalen överlämnas till nästa vårdenhet där den läggs in som en inledning i den nya journalen (a.a. s. 32).

Samverkansutredningen hade i uppdrag att lämna förslag till för- bättringar av möjligheterna till samverkan mellan landstingens hälso- och sjukvård och kommunernas vård och omsorg. Deras arbete ledde bl.a. till lagstiftning om gemensamma nämnder inom vård och omsorgsområdet. I sitt betänkande Samverkan – Om gemensamma nämnder på vård- och omsorgsområdet, m.m. redovisade utred- ningen sina överväganden i sekretessfrågor och dokumentations- frågor med anknytning till den nämnda samverkan (SOU 2000:114 s. 235 f. och 253 f.). Några författningsförslag lämnades dock inte. Visserligen framkom vissa bekymmer angående tillämpningen av sekretessbestämmelserna i den praktiska hanteringen. Samverkans- utredningen hänvisade dock till att frågorna lämpligen borde över- vägas av Offentlighets- och sekretesskommittén.

I fråga om dokumentation övervägde Samverkansutredningen om den skulle kunna få ske i en gemensam journal alldeles oavsett vem som svarar för insatsen. Särskilt uppmärksammades frågan om gemen- sam dokumentation inom vård och omsorg om äldre i särskilda bo- endeformer och inom hemsjukvården.

Samverkansutredningen bedömde emellertid att en gemensam dokumentation över huvudmannagränser är svår att förena med tryckfrihetsförordningens bestämmelser om allmänna handlingar och att den dessutom skulle strida mot gällande sekretessbestämmelser. När det gäller frågan om tryckfrihetsförordningen anfördes bl.a. som ett problem att frågan om när en handling skall anses allmän utgår från begreppen upprättad och förvarad, när det gäller handlingar som myndigheten själv producerar. Om någon annan upprättat, dvs. pro- ducerat handlingen, blir den i stället att anse som inkommen till myn- digheten. Enligt utredningen är det tveksamt om det är förenligt med dessa regler att en myndighetsperson från en myndighet i den myndighetens verksamhet upprättar en handling hos en annan myn- dighet. I vilken myndighets verksamhet är då handlingen upprättad och var skall den anses förvarad? Blir handlingen att anse som upp- rättad hos den första myndigheten och inkommen till den senare? I så fall måste handlingen också bevaras av den första myndigheten. Samverkansutredningen fann mot bakgrund av det anförda att frågan med dithörande problem låg utanför dess direktiv.

230

SOU 2006:82

En sammanhållen journal

9.4Våra överväganden

9.4.1Inledning

Som angetts i avsnitt 9.1 ingår det i uppdraget att analysera förut- sättningarna för och nyttan av en för alla vårdgivare sammanhållen patientjournal för varje patient. I detta avsnitt redovisar vi våra be- dömningar i dessa hänseenden.

När vi i det följande talar om en sammanhållen patientjournal bör man hålla i åtanke att begreppet patientjournal på en gång är både ett klart avgränsat och ett diffust begrepp. Enligt 2 § patientjour- nallagen avses i lagen med begreppet patientjournal; ”…de anteck- ningar som görs och de handlingar som upprättas eller inkommer i samband med vården och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden och om vårdåtgär- der (journalhandlingar).”

Begreppet är klart avgränsat i den mening att det avser en viss form av vårddokumentation som utförs till följd av en rättslig för- pliktelse att dokumentera informationen. I den bemärkelsen har be- greppet juridisk relevans. Det är också klart avgränsat såtillvida att en journal endast kan avse en viss patient.

Mer diffust blir det när man skall ange var en journal börjar och slutar och vad som är en eller flera fristående journaler beträffande en patient. Inte minst gäller det vid elektronisk patientjournalföring i ett informationssystem som är gemensamt för alla vårdenheter och alla journalföringspliktiga yrkeskategorier inom en vårdgivares verksamhet. Så är t.ex. fallet i Norrbottens läns landsting där även folktandvården sedan en tid är ansluten till det gemensamma journal- och vårdadministrativa systemet. Begreppet patientjournal blir som vi ser det i denna bemärkelse snarast en bekväm samlingsbeteckning för alla de olika slags journalhandlingar som, helt och hållet beroen- de på hur journalföringen är organiserad, med tiden samlas kring en patient.

231

En sammanhållen journal

SOU 2006:82

9.4.2En journal knuten till patienten

Vår bedömning: Vi avvisar en nyordning som skulle innebära att patienten äger sin journal eller att den inte längre skall vara knuten till den vårdgivare inom vars verksamhet journalföringen sker.

Vi har till en början tagit ställning till de tankar som i dag framförs från flera håll om dels att patienten skall äga eller ha förfogande- rätten över sin journal, dels att patientjournalen skall vara knuten till patienten och inte till vårdinrättningen eller vårdgivaren.

En diskussion om äganderätten till journaler och till vem den är knuten ger upphov till en rad frågeställningar av juridiskt kompli- cerad natur. Exempelvis är begreppet äganderätt i sig tämligen diffust och beskrivs i allmänhet genom en uppräkning av de olika slags rättigheter och inte sällan även skyldigheter som är förenade med just en ifrågavarande äganderätt. För att ta något exempel kan en privatpraktiserande tandläkare med mottagning i egen regi anses i viss utsträckning ha en äganderätt till de patientjournaler som upp- rättats i mottagningens verksamhet. Tandläkaren kan, t.ex. i samband med att en vårdgivarverksamhet överlåts till annan och med patien- ternas samtycke överlämna journalerna till en ny vårdgivare, dvs. en ny ägare av mottagningen. I någon mån kan journaler således i vissa fall sägas ha ett förmögenhetsvärde och vara en del i rent affärs- mässiga överlåtelsekontrakt.

Handhavandet av journalerna är emellertid kringgärdat av en mängd författningsregler som inkräktar på äganderätten. Exempelvis får läkaren inte förstöra eller förfoga över journalerna på ett sätt som strider mot patientjournallagen eller mot tystnadsplikten enligt lagen om yrkesverksamhet på hälso- och sjukvårdens område. Vi anser det emellertid inte meningsfullt att närmare gå in på de frågor som gäller huruvida man över huvud taget kan tala om äganderätt när det gäller patientjournaler ens i enskild verksamhet. I det föl- jande anges dock några principiella ståndpunkter som vi menar gör det olämpligt att införa en lagstiftning som ger patienterna ett slags äganderätt till journalen eller som innebär att journalen inte längre skall vara knuten till vårdgivaren.

Vår uppfattning är att patientjournaler även fortsättningsvis i första hand skall vara ett arbetsinstrument för hälso- och sjukvårds- personalen med en god och säker vård som främsta ändamål. Patient- säkerhetsskäl talar också för att de nuvarande grundläggande regler-

232

SOU 2006:82

En sammanhållen journal

na om bl.a. en skyldighet att föra journal som en del av hälso- och sjukvårdspersonalens medicinska yrkesansvar behålls. Vi finner det uteslutet med en s.k. äganderätt för patienterna som skulle inne- fatta bestämmanderätt över huruvida journal skall föras eller inte och vad den skall innehålla, främst eftersom det skulle innebära oacceptabla risker för patientsäkerheten och försvåra för hälso- och sjukvårdspersonalen att utföra sitt arbete på ett professionellt och ansvarsfullt sätt. Även i fortsättningen bör det i vårdgivarnas och verksamhetschefernas övergripande ansvar för patientsäkerheten i verksamheten ingå ett ansvar för att journalföring kan ske på ett lag- enligt sätt och att journalerna hanteras och bevaras under betryg- gande former. En ordning som innebär att patienten själv förvarar och administrerar sin journal eller sina journaler i dess originalform (på elektroniskt medium eller på papper) går knappast att förena med vårdgivarnas ansvar i detta avseende.

Till detta kommer att journalen även fortsatt kommer att ha be- tydelse inte bara för patienten själv utan även som underlag vid verksamhetsuppföljning, kontroll och tillsyn eller i rättsliga samman- hang samt som källmaterial vid forskning och kvalitetssäkring för att ta några viktiga exempel på det allmännas intresse av patientjour- nalerna. I dessa avseenden menar vi att det nu inte finns och inte heller bör finnas någon skillnad mellan allmän och enskild hälso- och sjukvård. Det saknar därför relevans att diskutera en ändring av tryckfrihetsförordningen för att tillförsäkra patienten en äganderätt till sin journal i de bemärkelser som här berörts.

Ett annat sätt att frikoppla journalen från vårdgivaren och i stället låta den följa patienten genom vårdapparaten skulle vara att patien- tens alla tidigare vårdgivare kan eller måste avhända sig sina jour- naluppgifter och överlämna dem direkt till nästa vårdgivare som i sin tur förvaltar journalen och fyller på den med nya uppgifter.

Vi menar dock att det inte är lämpligt med en ordning som inne- bär att vårdgivare endast förvaltar patientjournaler under begränsade perioder. Bl.a. skulle det försvåra olika slags uppföljning av vård. Vidare kan olika slags problem uppstå då patienten har flera samti- digt pågående vårdkontakter med olika vårdgivare, t.ex. en privat- tandläkare och diabeteskliniken på ett landstingssjukhus. Vi avvisar därför en journalföring enligt den skissade ordningen.

Det kan emellertid påpekas att den beskrivna ordningen skulle i fråga om patientjournaler hos offentliga vårdgivare kräva vissa för- fattningsändringar och undantag från de generella bestämmelserna om allmänna handlingar i t.ex. arkivlagen (1990:782). Det skulle även

233

En sammanhållen journal

SOU 2006:82

kräva författningsändringar för de privata vårdgivarnas verksamhet, eftersom gällande rätt inte heller tillåter dem att avhända sig patient- journaler på det skisserade sättet. Liksom i fråga om äganderätten till journalen är det inte någon avgörande skillnad mellan den allmänna eller enskilda hälso- och sjukvården när det gäller till vem journalen är knuten. Att undanta patientjournaler från tryckfrihetsförord- ningens tillämpningsområde skulle alltså inte heller i detta avseende skapa en större likhet med den enskilda hälso- och sjukvården.

Däremot syftar våra förslag i det följande till att öppna möjlighe- terna till att i praktiken få den ordning som motsvarar det som vi tror att man i huvudsak eftersträvar när man talar om att journalen skall följa patienten genom vårdapparaten. Hur detta närmare skall utformas och hur våra förslag närmare förhåller sig till tryckfrihets- förordningen m.fl. författningar utvecklas i avsnitt 9.4.4 och av- snitt 11.

Avslutningsvis kan påpekas att ett alternativ är att de patienter som så vill utrustas med elektroniska journalkopior, i de delar som inte är hemliga i förhållande till patienten själv, exempelvis på ett s.k. smart kort eller minneskort eller annat medium som efter hand kan fyllas på med ny information av nya vårdgivare. I praktiken, men inte i formell mening, uppnår man härigenom en journal som kan följa patienten. Enligt vår uppfattning hindrar dagens reglering

– exempelvis vårdregisterlagens reglering om när personuppgifter i ett vårdregister får lämnas ut elektroniskt – inte en sådan ordning, särskilt inte när syftet med den elektroniska kopian är att utgöra ett vårdrelaterat komplement till patientjournalen. Att så inte skett i någon större utsträckning synes bero på andra faktorer, t.ex. tek- niska eller administrativa problem, än rent juridiska hinder. I av- snitt 13 kommer vi närmare att behandla frågor om möjligheterna att elektroniskt lämna ut journaluppgifter till patienten själv.

Utredningen om uppföljning inom läkemedelsområdet övervägde om individuella minneskort (smarta kort eller smartcards) skulle kunna fylla funktionen att samla information om patientens läke- medelsförskrivning vid sidan av patientjournalen. Utredningen be- dömde emellertid att en skyldighet för förskrivare att påföra kortet uppgifter skulle medföra dubbelarbete för en redan belastad och ofta tidspressad förskrivarkår. Inte heller finns det några garantier för att patienter alltid skulle förete sitt kort vid förskrivning alternativt då läkemedel hämtas ut på apotek, vilket i sig minskar tillförlitlig- heten till ett i och för sig företett minneskort (SOU 2003:52 s. 89 f.).

234

SOU 2006:82

En sammanhållen journal

Vi instämmer i den nyss nämnda utredningens bedömning i fråga om brister med minneskort eller liknande elektroniska kopior av journalanteckningar som patienten själv handhar. Modellen är alltså inte någon lämplig generell lösning för att åstadkomma högre patient- säkerhet genom bättre informationsförsörjning för vårdgivare som involveras i vården av en enskild patient. Däremot menar vi att mo- dellen med elektroniska kopior kan vara praktisk och till nytta för patientsäkerheten i några sammanhang, exempelvis för personer som reser mycket i sitt arbete eller för kroniker som vill på ett smidigt sätt medta viss medicinsk basinformation vid en utlandsresa. Såsom nyss sagts återkommer vi till frågor om elektroniskt utlämnande till patienter i avsnitt 13. Här kan emellertid erinras om vårt förslag i avsnitt 8.7 om att patientdatalagen skall vara tydligt tillåtande i fråga om utlämnande på medium för automatiserad behandling.

9.4.3En obligatorisk sammanhållen helhetsjournal

Vår bedömning: I dag saknas grundläggande förutsättningar att inom överskådlig tid införa en för samtliga vårdgivare samman- hållen journal för varje patient. Någon lagstiftning om en skyl- dighet att journalföra i ett sammanhållet system är därför inte genomförbar och kan inte föreslås. Vi bedömer inte heller att det nu skulle vara lämpligt att införa ett sådant obligatoriskt total- system.

Nyttan

En utgångspunkt i våra överväganden är att det i första hand är för- bättrad patientsäkerhet som bör motivera omfattande ändringar i den nuvarande rättsliga regleringen av patientjournalföringen. Ett problem när det gäller att värdera nyttan för patientsäkerheten med en sammanhållen patientjournal är att det saknas breda studier som

– avseende den svenska hälso- och sjukvården i stort – storleks- mässigt uppskattat vilken inverkan på patientsäkerheten som följer av den nuvarande avsaknaden av sammanhållen, för flera vårdgivare gemensam journalföring eller bristande tillgång på andra vårdgivares tidigare eller samtida vårddokumentation. I debatten om IT i vården påstås ibland att tusentals patienter dör varje år till följd av bristerna i informationsöverföringen. Något underlag för att ta ställning till

235

En sammanhållen journal

SOU 2006:82

sådana påståenden och till i vad mån dödsfallen orsakas av det nu- varande systemet för patientjournalföring har vi inte haft tillgång till. På vissa områden, t.ex. i fråga läkemedelsförskrivningen till äldre, finns emellertid studier som indikerar att förbättrad informations- tillgång kan ge en väsentligen bättre vård för den enskilde (se t.ex. Socialstyrelsens publikation Uppföljning av äldres läkemedelsan- vändning, 2004-103-19 s. 10). För hälso- och sjukvården totalt sett saknas emellertid riktvärden. De projekt som för närvarande pågår med att knyta samman journalföringen inom ett landstings verksam- het är i huvudsak ännu under utveckling och några närmare utvär- deringar i fråga om konkreta effekter på patientsäkerheten saknas än så länge. Någon analys av hur mycket patientsäkerheten kan antas öka med en för alla vårdgivare sammanhållen journal för varje patient är mot denna bakgrund inte möjlig att göra.

Vi menar emellertid att man kan göra vissa antaganden i fråga om nyttan för bl.a. patientsäkerheten med en sammanhållen journal.

Enligt vår uppfattning kan man utgå från att ett väl fungerande in- formationssystem vari alla journalanteckningar om en patient samlas i strukturerad form har en stor nyttopotential. Nytta kan antas upp- stå både på det individuella planet i bemärkelsen nytta för patienten och på ett mer allmänt plan i bemärkelsen nytta för verksamheten som sådan och därmed nytta för samhället i stort. Med en journal som läggs upp för en individ i samband med hans eller hennes födelse, alternativt vid annan första kontakt med svensk sjukvård, och sedan fylls på fram till dess patienten avlider, blir den potentiella tillgången till journalinformation optimal.

Förutsatt att uppgifterna är korrekta och lätt åtkomliga torde patientsäkerheten generellt sett öka vid alla kommande vårdtillfällen. Exempelvis skulle felbehandlingar som har sitt upphov i bristande tillgång till information, t.ex. om svåra allergier eller kroniska sjuk- domar, som faktiskt finns dokumenterad hos en annan vårdgivare i princip inte behöva förekomma. Samtidigt måste understrykas att det sagda verkligen kräver ett exakt och gemensamt journalspråk samt gemensamma rutiner och strukturer som alla håller sig till. Som kom- mer att beröras nedan kan annars befaras att nya risker för patient- säkerheten uppstår.

Olika vårdgivares eller vårdenheters samarbete kring vården av en patient skulle kunna underlättas och effektiviseras betydligt med en gemensam journal. Många patienter skulle kunna slippa onödiga undersökningar, medicineringar och omtagningar av prover för att ta några exempel. Samma sjukdomshistorik skulle inte behöva upp-

236

SOU 2006:82

En sammanhållen journal

repas igen och igen på varje ny vårdenhet, något som det i dag ofta framförs klagomål på från patienter eller deras anhöriga. Vi vill här dock erinra om att dessa upprepade frågor, som av lekmannen kan uppfattas som onödiga, är en viktig metod för läkare att under sitt medicinska yrkesansvar själv bilda sig en uppfattning och få olika antaganden bekräftade. Att helt förlita sig på dokumenterade upp- gifter är inte förenligt med de krav som ställs på de legitimerade yrkes- utövarna.

En gemensam journal ger vidare ett mångt bättre verktyg att följa upp och analysera de samlade vårdinsatserna för patienten än en patientjournal som är begränsad till den egna vårdenhetens insatser.

En sammanhållen journal torde vidare – om den administreras och organiseras väl – avlasta hälso- och sjukvårdspersonalen från mycket onödigt administrativt arbete. Exempelvis läggs i dag mycket tid och resurser på ”dubbeldokumentation” och omständligt informations- utbyte med personal hos andra vårdgivare, resurser som man skulle kunna spara in på. Hälso- och sjukvården skulle därmed kunna möta de krav på effektivisering av verksamheten som redan ställs och som av allt att döma kommer att accentueras i framtiden. Nyttan för sam- hället och i förlängningen för kvaliteten i vården torde således kunna bli stor.

En nationell, eller en regional, livslång patientjournal i ett samman- hållet informationssystem med strukturerade journalanteckningar enligt en enhetlig begrepps- och terminologiapparat skulle därut- över vara mycket värdefull som basmaterial för all slags forskning, kvalitetssäkring av hälso- och sjukvården, ekonomisk uppföljning och liknande sekundära ändamål, dvs. ändamål som inte direkt syftar till vård av den enskilda patienten. Informationssystemet skulle ju omfatta uppgifter om praktiskt taget hela befolkningen. Det är inte en orimlig tanke att de nuvarande hälsodataregistren hos Social- styrelsen och Läkemedelsverket samt de nationella kvalitetsregistren skulle tappa något i betydelse, eftersom så mycket information redan skulle finns samlad i ett heltäckande journalsystem där den är poten- tiellt tillgänglig för olika slags sammanställningar som behövs för analyser m.m. Det sagda gäller oberoende av huruvida informations- systemet tekniskt sett upprättas som en gemensam databas eller som decentraliserat, hos varje vårdgivare lagrade journalanteckningar så länge som uppgifterna totalt sett är kompatibla och sammanställ- ningsbara. Ökade möjligheter till sekundär användning av journal- uppgifterna torde i förlängningen kunna bidra till en ökad kvalitet

237

En sammanhållen journal

SOU 2006:82

och effektivitet i hälso- och sjukvården som i sig ökar patientsäker- heten vid det enskilda vårdtillfället.

Förutsättningar

Även om antagandena ovan om nyttan med en för samtliga vård- givare sammanhållen journal för varje patient skulle vara korrekta, krävs enligt vår mening att en rad förutsättningar är uppfyllda för att det skall vara lämpligt och rimligt med en författningsreglering som föreskriver en sådan sammanhållen journalföring som en obli- gatorisk ordning eller som huvudregel.

Man måste i sammanhanget betänka att hälso- och sjukvården har en organisatoriskt komplicerad och splittrad struktur. Huvudmanna- skapet delas mellan landsting och kommuner som var och en är en självständig vårdgivare. Därutöver finns privata vårdgivare med i sin tur mer eller mindre komplexa strukturer. Vissa privata vårdgivare är relativt stora organisationer. Ett exempel är Praktikertjänst AB som i formell mening är en vårdgivare vari ingår drygt 2 000 separata mottagningar/vårdenheter spridda över landet. Andra privata vård- givare är mycket små, t.ex. en deltidsarbetande psykoterapeut som i enskild firma bedriver hälso- och sjukvård endast med en handfull patienter. När man talar om en för alla vårdgivare gemensam journal, är det alltså fråga om väldigt många vårdgivare med sinsemellan vitt skilda omfattning och verksamhetsinriktning; från Stockholms läns landsting med omkring 40 000 anställda inom hälso- och sjukvår- den, inklusive tandvården, till en privatpraktiserande specialistläkare eller kiropraktor i mindre skala utan någon anställd personal.

Hur stort antal vårdgivare inom vars verksamhet patientjournaler måste föras har visat sig vara en omöjlig uppgift att ta fram. Social- styrelsen för visserligen enligt 6 kap. 20 § lagen om yrkesverksam- het på hälso- och sjukvårdens område ett automatiserat register över hälso- och sjukvårdsverksamheter som står under Socialstyrelsens tillsyn och som anmälts enligt bestämmelserna i 6 kap. 6–8 §§ samma lag. Kvaliteten i registret är emellertid enligt uppgift från Social- styrelsen mycket bristfällig. Den dåliga kvaliteten beror på att många vårdgivare brister såväl i att göra anmälningar som i att avanmäla upphörda verksamheter. För närvarande innehåller registret drygt 9 200 vårdgivare med unika organisationsnummer eller personnum- mer. Som framgår av det nyss sagda finns det dock ett okänt antal vårdgivare som inte har anmält sin verksamhet. Likaså torde ett okänt

238

SOU 2006:82

En sammanhållen journal

antal av de anmälda firmorna inte längre bedriva någon verksamhet, exempelvis på grund av pensionering eller fusion med annan juri- disk person. Men även om det inte går att närmare precisera hur många vårdgivare i vars verksamhet yrkesutövare för patientjournal, kan man dra slutsatsen att det är ett mycket stort antal privata vård- givare som måste knytas samman i ett med landstingen och kom- munerna gemensamt journalföringssystem för att man skall kunna tala om en för samtliga vårdgivare gemensam journal.

En grundläggande förutsättning för ett gemensamt system är att all journalföring sker elektroniskt. I dag är datoriseringen av hälso- och sjukvården långt ifrån heltäckande. Inom såväl allmän som enskild hälso- och sjukvård är det primärvården som kommit längst i fråga om elektronisk journalföring. Den är i princip fullständigt genom- förd. I övrigt skiftar datoriseringsgraden mellan olika slags verksam- heter och dokumentationsslag. En jämförelse mellan landstingen visar även på regionala skillnader i hur långt framme man är när det gäller IT-stöd i verksamheten. Utvecklingen går emellertid mycket snabbt och man bör kunna förutsätta att i huvudsak all journalföring kom- mer att ske elektroniskt inom en snar framtid.

Det sagda innebär dock inte att vi anser att tiden är mogen för att nu lagstiftningsvägen tvinga vårdgivarna till en gemensam elektro- nisk journalföring, vare sig på nationell nivå eller på landstingsnivå. Skälen härför är flera.

Ett tungt vägande skäl är att det för närvarande saknas tekniska förutsättningar för att knyta samman vårdgivarnas befintliga journal- föringssystem i ett informationssystem eller att ersätta dem med ett helt nytt gemensamt elektroniskt system. Bara inom landstingen sägs det finnas över 300 olika datoriserade journalsystem som inte är kompatibla med varandra. Visserligen pågår på sina håll, t.ex. i Stockholms läns landsting och i Landstinget i Uppsala län, ett inten- sivt arbete med att knyta samman olika journalsystem i ett lands- tingsgemensamt journalföringssystem med en enhetlig informations- struktur. Det skall också nämnas att i Norrbottens läns landsting har man praktiskt taget redan genomfört en enhetlig och sammanhållen elektronisk journalföring i hela landstinget. Troligen skulle man lagstiftningsvägen i viss utsträckning kunna påskynda utvecklingen, men det är ändå högst osäkert när det tekniskt blir möjligt att, med rimliga ekonomiska investeringar, på bred front samla ens lands- tingens totala journalföring i ett system för sammanhållna journaler som uppfyller de säkerhetskrav m.m. som måste ställas på hante-

239

En sammanhållen journal

SOU 2006:82

ringen. Än längre tid kommer det att ta innan det blir möjligt att också infoga kommunerna och alla tusentals privata vårdgivare häri.

Bristen på enhetlighet i informationsstrukturen är ett annat pro- blem i sammanhanget. Även här bedrivs ett arbete, sedan en tid på nationell nivå, med att ta fram en enhetlig informationsstruktur för hälso- och sjukvården med bl.a. gemensamma standarder. Sådana gemensamma standarder kan t.ex. röra till synes enkla saker som hur man skriver ett datum på ett enhetligt sätt. Även om detta arbete intensifierats och konsoliderats parallellt med vårt arbete, se avsnitt 3.4.2, är det vår bedömning att det arbetet inte inom de när- maste åren kan ge resultat som är heltäckande för all journalföring inom hälso- och sjukvården.

Ett annat tungt vägande skäl mot en tvångslagstiftning i dag är att det ännu saknas ett för hälso- och sjukvården enhetligt journal- språk. En unison begrepps- och terminologiapparat finns inte. Vidare saknas en gemensam metod för hur uppgifterna skall dokumenteras i en journal på ett strukturerat och konsekvent sätt. Utan enhetlig- het i dessa avseenden är det i hög grad tveksamt om en sammanhållen journal ger någon nämnvärd nytta. Tvärtom kan bristande enhetlig- het befaras medföra nya risker för patientsäkerheten genom att tidigare dokumentation missförstås vid en senare vårdkontakt i den mån personalen vid det senare tillfället alls vågar lägga tidigare upp- gifter till grund för egna bedömningar och beslut. Liksom i fråga om informationsstruktur pågår visserligen arbete inom Socialstyrelsen med att normera begrepp och termer. Men även detta arbete kom- mer att ta tid. Det går inte nu att bedöma när detta arbete blir hel- täckande så att det omfattar all slags information som journalförs inom landet.

Effektivitetsvinsterna av en sammanhållen journal är vidare bero- ende av att det finns sofistikerade sök- och sammanställningsmöjlig- heter som vid varje specifikt vårdtillfälle automatiskt skiljer ut vad som är relevant information i det givna ögonblicket. I annat fall är risken stor för att vårdpersonalen drunknar i en oöverblickbar infor- mationsmängd avseende en enda patients samtliga vårdtillfällen som tar sin början i dokumentationen från förlossnings- och barnavården. Det i sin tur kan leda till nya problem med onödigt administrativt arbete bl.a. på grund av att det kan uppstå osäkerhet kring hur mycket arbete man måste lägga ner på att gå igenom tidigare dokumentation för att inte anses brista i sitt medicinska yrkesansvar. Om man inte snabbt hittar den information man letar efter, finns det också risk för dubbeldokumentation.

240

SOU 2006:82

En sammanhållen journal

Någon lösning på de problem som här påtalats finns inte framtagen ännu. Utan en sådan lösning menar vi att behovet av en för alla vård- givare gemensam journal inte överväger de nackdelar som de nämnda bristerna genererar.

Med tanke på alla de olösta problemen som berörts i det före- gående ter det sig som en omöjlig uppgift att närmare beräkna vilka ekonomiska resurser som krävs för att man skall kunna införa för samtliga vårdgivare sammanhållna journaler. Vi avstår därför från att framföra tankar om storleken på nödvändiga investeringar och om hur en finansiering skulle kunna ske eller vilka ekonomiska kon- sekvenser som kan uppstå för små och stora vårdgivare.

Slutsatser

Såsom framgår av det föregående saknas i dag de grundläggande för- utsättningarna för att inom överskådlig tid införa en för samtliga vårdgivare sammanhållen journal. Redan mot den bakgrunden finner vi det omöjligt att genom lagstiftning ställa krav på att patientjour- naler generellt sett skall föras sammanhållet för varje patient. Vårt förslag är således att det inte införs någon författningsreglering som utgår från en för alla vårdgivare sammanhållen journal, vare sig som obligatorium eller som huvudregel. Det sagda gäller såväl samman- hållen journal på nationell nivå som på landstingsnivå.

Vi menar därutöver att det alldeles bortsett från de bristfälliga förutsättningarna inte heller framstår som klart ändamålsenligt att nu skapa en för alla vårdgivare sammanhållen journal, i vart fall inte för ändamålet vård av patienter. En omständighet som vi därvid be- aktat är att man vid våra kontakter med företrädare för hälso- och sjukvårdens journalförare många gånger framhållit att det i första hand inte är gemensam journalföring i sig som efterfrågas utan snarare en möjlighet att vid behov kunna elektroniskt få tillgång till (och eventuellt på ett smidigt sätt får kopior av) andra vårdgivares infor- mation som man bedömer kunna vara till nytta i det egna arbetet. Förutom vissa medicinska basfakta såsom uppgifter om allvarliga allergier, kroniska sjukdomar, pågående behandlingar, aktuella prov- tagningar m.m. synes behovet i vardagssjukvården i allmänhet klinga av ju äldre informationen blir. Givetvis förekommer det att även gamla eller till synes perifera journalanteckningar har betydelse vid ett senare vårdtillfälle, men antalet fall torde volymmässigt vara i sammanhanget litet.

241

En sammanhållen journal

SOU 2006:82

Den breda enkätundersökning bland allmänheten som vi låtit Statistiska Centralbyrån utföra under år 2005, ger visserligen vid handen att det hos allmänheten finns en i huvudsak positiv attityd till införandet av en enda sammanhållen patientjournal. Vi menar dock att det finns betydande risker med att i ett slag införa ett om- välvande systemskifte och en lagstiftning som innebär att all hälso- och sjukvårdsinformation om i princip hela befolkningen samlas i en enda livstidsjournal för varje enskild individ; en journal som i princip och tekniskt sett är sök- och sammanställningsbar och till vilken alla vårdgivare är, i vart fall potentiellt sett, anslutna. Även om informationen kringgärdas av säkerhetssystem och tillförlitliga behörighetssystem, kan man inte utesluta att förtroendet för hälso- och sjukvården naggas i kanten, i vart fall hos vissa patientkatego- rier. I dag finns det patienter som vid vissa särskilda tillfällen väljer en privat vårdgivare just av den anledningen att man ställer krav på i det närmaste total diskretion och därför inte vill förekomma i de stora vårdgivarnas informationssystem. Den möjligheten skulle försvinna med en för alla vårdgivare sammanhållen journal. Det kan här nämnas att vår enkätundersökning visar att omkring 50 procent känner viss oro och att omkring 18 procent anser att integritetsriskerna över- väger och är därför negativa till en enda journal.

Man kan också förvänta sig att de heltäckande livstidsjournalerna genererar en radikalt ökad efterfrågan på journaluppgifter från externa intressenter såsom försäkringsbolag, presumtiva arbetsgivare m.fl., vilket i sig kan skapa oro hos enskilda. I värsta fall kan ett försämrat förtroende hos allmänheten få allvarliga följder för patientsäkerheten, nämligen om patienter undanhåller integritetskänsliga men viktiga uppgifter vid kontakter med hälso- och sjukvården eller t.o.m. avstår från vård. Det finns även en risk för att enskilda yrkesutövare av hänsyn till patienter blir alltför återhållsamma i sin journalföring, vilket även det kan få negativ återverkan på patientsäkerheten.

Vi tror att allmänhetens förtroende för hälso- och sjukvården be- varas och kanske till och med ökar med en mer successiv utveckling där lagstiftningsreformer om obligatorisk sammanhållen journalföring kan föregås av noggranna utvärderingar – bl.a. utifrån integritets-, effektivitets- och patientsäkerhetsaspekter – av t.ex. sådana stora landstingsgemensamma journalsystem som nu planeras eller enbart har varit i drift under kortare tid. Redan nu finns det erfarenheter att ta till vara från sådana arbeten. Dessa erfarenheter visar att det handlar om ett mycket komplext arbete som inte alltid är problem- fritt. Införandet har t.ex. ibland medfört nya slags risker för patient-

242

SOU 2006:82

En sammanhållen journal

säkerheten och har ibland också varit förenat med mycket administra- tivt merarbete för personalen. Som framgår av följande avsnitt, ingår i våra förslag en öppnad möjlighet för flera vårdgivare att skapa elektroniska system för sammanhållen journalföring som innebär åtkomlighet till information över administrativa och formella gränser. Den möjligheten kommer troligen att medföra att vårdgivare inom en ganska snar framtid kan bygga upp gemensamma journalförings- system. Det är vår bedömning att så kommer att ske stegvis inom vissa områden, geografiskt eller verksamhetsmässigt. Även dessa gemensamma journalföringssystem får givetvis följas upp och utvär- deras utifrån olika aspekter innan det bör bli aktuellt att överväga en lagstiftning om en enda patientjournal per individ men gemen- sam för alla vårdgivare.

9.4.4En obligatorisk sammanhållen journal av mer begränsat slag

Vår bedömning: Det är osäkert om och i så fall när en samman- hållen patientjournal av mera begränsat slag skulle kunna genom- föras. Vi föreslår därför ingen skyldighet att på något område föra journal över vårdgivargränser.

Vi har övervägt om det finns anledning att föreslå en mer begränsad obligatorisk patientjournal baserad på något befintligt projekt eller register, t.ex. Carelinks Nationella Patientöversikt eller den databas för elektronisk vaccinationsjournalföring och patientadministration som bedrivs i projektet SVEVAC, lett av Smittskyddsinstitutet. Ett ytterligare alternativ som diskuterats är en obligatorisk och heltäckan- de läkemedelsjournal för både förskrivningar och ordinationer. Även dessa alternativ kräver vissa tekniska, organisatoriska och andra för- utsättningar som gör dem svåra att införa som en obligatorisk ord- ning inom överskådlig tid. Som anfördes i förra avsnittet bör, menar vi, också de projekt som nu pågår och även resultaten av den nya läkemedelsförteckning som Apoteket AB för enligt lagen om läke- medelsförteckning följas upp och utvärderas, innan en obligatorisk och sammanhållen patientjournal av mer begränsat slag bör införas. Vi lämnar alltså inget förslag om en sådan.

243

En sammanhållen journal

SOU 2006:82

9.4.5Öppnade möjligheter till sammanhållen journalföring över vårdgivargränser

Vårt förslag: Vi öppnar en möjlighet för vårdgivare att på fri- villig basis föra journal i en gemensam databas eller i annat gräns- överskridande elektroniskt system, som gör det möjligt för hälso- och sjukvården att ge och få direktåtkomst till patientuppgifter som journalförts hos annan vårdgivare.

Avvisandet i det föregående av en författningsreglering som före- skriver att bara en sammanhållen journal per patient skall föras, inne- bär inte att vi kastar ut barnet med badvattnet. Tvärt om ställer vi oss i huvudsak positiva till mycket av det utvecklingsarbete som nu pågår med att skapa förutsättningar för bredare journalsystem och effektivare informationsutbyte inom hälso- och sjukvården. Vi be- dömer emellertid att utvecklingen gagnas av att detta arbete sker utan statlig styrning i form av tvingande lagstiftning om att bara en enda journal skall föras inom hela eller delar av hälso- och sjukvården. Att genom lagstiftning initiera en sammanhållen journalföring med olika slags rättsliga krav, riskerar att låsa fast utvecklingen vid lös- ningar för en sammanhållen journalföring som inte är hållbara på sikt eller som inte smidigt kan anpassas till skilda slag av verksamheter eller till förändringar i dessa.

En bättre väg att gå är, enligt vår mening, att lagstiftaren öppnar möjligheter till sammanhållen journalföring baserad på frivillig sam- verkan mellan sjukvårdshuvudmännen och övriga vårdgivare. I vart fall menar vi, som framgått redan i det förra avsnittet, att den vägen framstår som det enda på kortare sikt realistiskt möjliga och lämp- liga alternativet. Med sammanhållen journalföring menar vi system som möjliggör att vårdgivare kan ge och få direktåkomst till varan- dras journaluppgifter och till andra patientuppgifter som behandlas för ändamålet vårddokumentation. Vad direktåkomst innebär har berörts i avsnitt 8.7.

Vi föreslår således en författningsreglering som uttryckligen tillåter att journalföring sker sammanhållet även över vårdgivargränser. Vårt förslag innebär vidare att regleringen ger ett tydligt stöd för fortsatt uppbyggnad av informationssystem varigenom smidigt elektroniskt informationsutbyte mellan vårdgivare kan äga rum. Samtidigt är det vår uppfattning att regleringen inte skall styra över vilka slags tek- niska lösningar eller organisatorisk uppbyggnad som väljs för sam- manhållen journalföring. Vår utgångspunkt för regleringen i dessa

244

SOU 2006:82

En sammanhållen journal

avseenden är i stället att skapa rättsliga garantier för att informa- tionshanteringen vid sammanhållen journalföring inte inkräktar på de berättigade krav på hög patientsäkerhet och ett tillfredsställande skydd för personlig integritet som enskilda och samhället ställer. Vidare är det vår utgångspunkt att regleringen utformas så att inget nytt administrativt merarbete uppstår som helt förtar den nytta man i övrigt får av förbättrade möjligheter till IT-användning vid kom- munikation mellan hälso- och sjukvårdens olika aktörer.

En annan viktig del i våra förslag är att en sammanhållen journal- föring inte behöver avse all journalföring utan kan alternativt avse delar av det som skall dokumenteras i en patientjournal. En sådan partiell sammanhållen patientjournalföring torde i många fall vara i hög grad ändamålsenlig. I de kontakter som utredningen haft med företrädare för hälso- och sjukvården har bl.a. framkommit att det framförallt är viss information som man återkommande har behov av att få kännedom om, såsom aktuella läkemedelsordinationer, prov- svar m.m. Våra förslag syftar till att ge vårdgivarna möjlighet att bygga upp system i vilket kanske bara medicinska basfakta är gemensamt tillgängliga, t.ex. i en för ett landstingsområde eller en sjukvårds- region sammanhållen läkemedelslista eller portal. Ett annat exempel är det nationella informationssystemet för patientjournalföring m.m. av vaccinationer som för närvarande utvecklas i Smittskyddsinstitutets projekt SVEVAC. Även sådana gränsöverskridande patientöversikter som innehåller både journalinformation och mer administrativa per- sonuppgifter kommer att kunna byggas upp med stöd av patient- datalagens bestämmelser om sammanhållen journalföring.

Mot bakgrund av det sagda framgår således att det med en för flera vårdgivare sammanhållen journalföring kan avses väldigt många skil- da slags konstruktioner av olika omfattning och innehåll. I vilken omfattning vårdgivarna med en öppnare lagstiftning kommer att bygga upp system för sammanhållen journalföring liksom, i före- kommande fall, hur dessa tekniskt och organisatoriskt kommer att byggas upp återstår att se. Man kan givetvis tänka sig många olika varianter. I det följande laborerar vi med några typvarianter av för ett antal offentliga (landsting och kommuner) och privata vårdgivare sammanhållen journalföring, nämligen följande.

1)Journaler förs och lagras i sammanhållen form i en gemensam och centralt administrerad databas till vilken alla vårdgivare är anslutna och så att säga inrapporterar till och hämtar informa- tion från.

245

En sammanhållen journal

SOU 2006:82

2)Journaler förs separat hos respektive vårdgivare, men i ett för vårdgivarna gemensamt informationssystem för journalföring, gemensamt i den bemärkelsen att systemet innebär att åtkomst till varandras journaluppgifter ges eller kan ges på automatiserad väg.

Dessa typvarianter kan naturligtvis i sig administreras och tekniskt organiseras på en rad olika sätt, vilket bl.a. kan få betydelse för vilka rättsliga slutsatser som i ett enskilt fall kan dras i frågor såsom exem- pelvis när och på vilket sätt en journalhandling blir allmän handling hos en ansluten myndighet. Det kan även få betydelse för hur arkiv- ansvaret och personuppgiftsansvaret bör organiseras vid samman- hållen journalföring. Till dessa frågor återkommer vi i avsnitt 11. Gemensamt för varianterna är att de bygger på att direktåtkomst till varandras journalhandlingar och annan vårddokumentation kan ges och fås.

Samtidigt bör regleringen av journalföringen tillåta också mer traditionell journalföring, som begränsar sig till en vårdenhets eller en vårdgivares verksamhet. Vi kan nämligen inte utesluta att sådan journalföring även i framtiden kommer att vara ändamålsenlig på en del områden. Av samma skäl anser vi inte heller att manuell journal- föring, dvs. journalföring på papper, skall förbjudas. I avsnitt 11 redogör vi översiktligt för våra förslag i fråga om öppnade möjlig- heter till sammanhållen journalföring. För den närmare regleringen av patientjournalföringen hänvisas till avsnitt 10. Se även författ- ningskommentaren i avsnitt 21.

246

10En ny reglering av patientjournalföringen

10.1Vårt uppdrag

I vårt uppdrag ingår att särskilt se över bestämmelserna i patient- journallagen (1985:562) och lagen (1998:544) om vårdregister (vård- registerlagen) samt lämna förslag till ändringar i dessa eller, om vi finner det mer lämpligt, till en ny författningsreglering.

Uppdraget innefattar uttryckligen följande frågeställningar. Vi skall analysera förutsättningarna för och nyttan av att skapa en för samt- liga vårdgivare sammanhållen journal för varje patient, på nationell nivå eller på landstingsnivå. I det fall en sammanhållen journal inte föreslås, skall vi granska och analysera förutsättningarna i övrigt för att överföra personuppgifter mellan verksamheter inom enskild och allmän hälso- och sjukvård, samt mellan hälso- och sjukvården och andra verksamheter där uppgifterna används eller bör få användas. Dessa frågor behandlar vi i avsnitt 9, 11 och 14.

Vi skall vidare se över möjligheterna för patienten att via Internet få ta del av uppgifter om sig själv. Denna fråga behandlar vi i av- snitt 13. I samband härmed behandlar vi patientjournallagens bestäm- melser om patientens rätt att ta del av sin journal.

Slutligen skall vi utreda om bestämmelserna om språk vid jour- nalföring tillgodoser patienternas rätt att kunna ta del av sin journal och i förekommande fall lämna förslag till lämplig reglering.

Enligt direktiven skall vi ha som utgångspunkt att all journal- föring i framtiden i huvudsak skall vara elektronisk.

Vi har uppfattat direktiven så att det i vårt uppdrag inte ingår att närmare pröva de materiella bestämmelserna i patientjournallagen annat än i de delar som är kopplade till ovan angivna frågor eller som påverkas av att journalföringen är elektronisk. Vi har således inte gjort någon närmare översyn av bestämmelserna om t.ex. journal- föringsplikten.

247

En ny reglering av patientjournalföringen

SOU 2006:82

Vi återkommer i avsnitt 11 till hur bestämmelserna om patient- journalföring förhåller sig till våra förslag om sammanhållen jour- nalföring.

Beträffande patientjournallagens bestämmelse om inre sekretess hänvisas till avsnitt 12.

10.2Nuvarande patientjournallag och vårdregisterlag

10.2.1Patientjournallagen

Före patientjournallagens införande den 1 januari 1986 fanns ingen generell författningsreglering av patientjournalföringen och inte heller någon allmänt accepterad definition på vad som utgör en patientjour- nal. För ett fåtal personalgrupper och för vissa verksamhetsformer inom hälso- och sjukvårdsområdet fanns dock författningsreglering i form av ett mycket stort antal förordningar och myndighetsföre- skrifter. För att ta något exempel fanns bestämmelser om att läkare i den öppna vården var skyldig att föra journal. Någon skyldighet för läkare inom sluten vård att föra journal fanns dock inte. Enhetliga bestämmelser om vad en journal skulle innehålla fanns över huvud taget inte. Patientjournallagens införande innebar alltså en stor reform i riktning mot en mer enhetlig patientdokumentation inom hälso- och sjukvården.

Patientjournallagen bygger väsentligen på det förslag till lag om patientjournaler som lämnades av Journalutredningen i dess huvud- betänkande Patientjournalen (SOU 1984:73). Journalutredningen angav att den såg sitt uppdrag som ett led i det vid den tiden om- fattande reform- och lagstiftningsarbetet på hälso- och sjukvårdens område som förenklat kan sägas ha inneburit åtgärder för att öka säkerheten och stärka patientens ställning i vården samt föra över uppgifter och beslutsbefogenheter från staten till landstingen (a. bet. s. 11).

I patientjournallagen finns de grundläggande bestämmelserna om all patientjournalföring inom hälso- och sjukvården. Lagen gäller både inom allmän och enskild hälso- och sjukvård, inklusive tandvård. Lagen är s.k. teknikneutral och gäller alldeles oberoende av huru- vida journaler förs på papper eller elektroniskt.

I 1 § patientjournallagen anges att det vid vård av patienter inom hälso- och sjukvården skall föras patientjournal. Med vård avses i lagen även undersökning och behandling. En patientjournal är individuell

248

SOU 2006:82

En ny reglering av patientjournalföringen

och skall föras för varje enskild patient. Den får inte vara gemen- sam för flera patienter.

Journalen består, enligt 2 § patientjournallagen, av de anteckningar som görs och de handlingar som upprättas eller inkommer i sam- band med vården och som innehåller uppgifter om patientens hälso- tillstånd eller andra personliga förhållanden och om vårdåtgärder. Varje enskild handling benämns journalhandling.

Patientjournallagen innehåller därutöver bestämmelser om patient- journalens innehåll, utformning och hantering (3–7 §§) och vilka yrkeskategorier som är skyldiga att föra journal och på begäran av patienten utfärda intyg om vården (9 och 10 §§). Vidare finns be- stämmelser om hur journalhandlingar skall bevaras (8 §), om omhän- dertagande och återlämnande av patientjournaler (11–14 §§) och om offentlighet och sekretess inom enskild hälso- och sjukvård (16 §). I fråga om offentlighet och sekretess inom den allmänna hälso- och sjukvården finns hänvisningar till tryckfrihetsförordningen och sek- retesslagen (1980:100). Slutligen bemyndigas regeringen eller den myndighet regeringen bestämmer att meddela ytterligare föreskrifter (18–20 §§).

Lagen kompletteras av en rad författningar, främst föreskrifter och allmänna råd från Socialstyrelsen. Ett exempel är Socialstyrelsens föreskrifter och allmänna råd (SOSFS 1993:20) om patientjour- nallagen vilka är av stor betydelse, eftersom de gäller generellt för all journalföring inom hälso- och sjukvården. Därutöver finns ett antal särskilda föreskrifter om journalföring inom specifika verk- samhetsområden, t.ex. Socialstyrelsens föreskrifter och allmänna råd (SOSFS 1989:12) om tillämpningen av patientjournallagen (1985:562) inom skolhälsovården. Vidare finns bestämmelser varav följer att patientjournaler skall föras även i annan medicinsk verksamhet än hälso- och sjukvård, se t.ex. 2 § lagen (2001:499) om omskärelse av pojkar.

På regeringens uppdrag gjorde Socialstyrelsen under år 2000 och 2001 en utvärdering och översyn av patientjournallagen. Enligt upp- draget skulle i utvärderingen ingå en analys av kraven på och former- na för journaldokumentationen. Utifrån denna utvärdering skulle Socialstyrelsen föreslå de förändringar och den författningsreglering som är påkallade mot bakgrund av den utveckling som har ägt rum inom hälso- och sjukvården. Översynen resulterade i en skrivelse till regeringen i december 2001, Patientjournallagen – En översyn med förslag till författningsändringar. I skrivelsen lämnades förslag till ett flertal sakliga ändringar i patientjournallagen. De mer väsentliga

249

En ny reglering av patientjournalföringen

SOU 2006:82

förslagen redovisas i avsnitten nedan. Flera av förslagen bygger vidare på erfarenheter och analyser som Socialstyrelsen gjorde i en tidi- gare utredning om administrationen i vården. Utredningen lämnade i januari 2000 rapporten Omfattningen av administration i vården. I rapporten lämnades ett flertal förslag som alla syftade till att få bort onödig administration i vården.

10.2.2Vårdregisterlagen

Patientjournallagen är, som tidigare nämnts, teknikneutral. Till den del journalföring sker elektroniskt är även bestämmelserna i vårdre- gisterlagen och personuppgiftslagen (1998:204) tillämpliga.

Enligt 1 § vårdregisterlagen får den som bedriver vård utföra auto- matiserad behandling av personuppgifter i vårdregister. Med vård avses vård enligt hälso- och sjukvårdslagen (1982:763), tandvårds- lagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård och lagen (1991:1129) om rättspsykiatrisk vård samt smittskydd enligt smittskyddslagen (2004:168).

Vårdregisterlagen omfattar register som förekommer inom vårdens individinriktade verksamhet. Enligt 3 § får personuppgifter i ett vård- register behandlas för dokumentation av vården av patienter eller för sådan administration som rör patienter och som syftar till att bereda vård i enskilda fall. Behandling av personuppgifter får även utföras för den ekonomiadministration som föranleds av vård i enskilda fall (3 § vårdregisterlagen). Personuppgifter som härrör från det individ- inriktade vårdarbetet och som har registrerats i ett vårdregister får även behandlas för framställning av statistik, uppföljning, utvärde- ring, kvalitetssäkring och administration på verksamhetsområdet och uppgiftsutlämnande som föreskrivs i lag eller förordning (4 § vård- registerlagen).

I vårdregisterlagen finns därutöver bestämmelser om i vad mån uppgifter får hämtas till ett vårdregister från andra register genom samkörning (6 §), i vad mån direktåtkomst till uppgifter i ett vård- register får medges (8 §) samt i vad mån uppgifter får lämnas ut från ett vårdregister på medium för automatiserad behandling (9 §). Vidare finns bestämmelser om att vissa sökbegrepp inte får användas (7 §)

250

SOU 2006:82

En ny reglering av patientjournalföringen

samt om vilken information om personuppgiftsbehandlingen som måste lämnas till en registrerad (11 §).

När det gäller patientjournalhandlingar som ingår i ett vårdre- gister finns hänvisningar till bestämmelser i patientjournallagen om bevarande och gallring, om begränsningar i fråga om utlämnande av personuppgifter och om begränsningar i skyldigheten att vidta rättelse m.m. Hänvisningar finns också till sekretesslagen och, i fråga om rättelse och skadestånd, till personuppgiftslagen.

Vårdregisterlagen är en speciallag som kompletterar men inte er- sätter personuppgiftslagen. Personuppgiftslagen gäller därför i de delar som vårdregisterlagen saknar bestämmelser (2 § vårdregisterlagen). Personuppgiftslagen gäller dock inte i den mån avvikande bestäm- melser finns i annan lag eller förordning.

10.3Våra utgångspunkter

Vårt huvuduppdrag är att lämna förslag till en väl fungerande och sammanhängande reglering av behandlingen av personuppgifter inom hälso- och sjukvården. I detta syfte har vi i avsnitt 7 föreslagit att det skall införas en ny lag – patientdatalagen – med generellt tillämp- liga bestämmelser om journalföring och annan personuppgiftsbehand- ling inom hälso- och sjukvården. Förslaget innebär bl.a. att bestäm- melserna i patientjournallagen och vårdregisterlagen skall arbetas in i den nya lagen. Vi skall därutöver göra en översyn av patientjour- nallagen i den utsträckning som redogjorts för i avsnitt 10.1.

En utgångspunkt för våra överväganden och förslag skall enligt direktiven vara att hanteringen av personuppgifter inom hälso- och sjukvården skall säkras samtidigt som patientsäkerheten och patien- tens egen möjlighet till medverkan skall stärkas. En annan utgångs- punkt skall vara att all journalföring i framtiden i huvudsak är elek- tronisk.

Patientjournalföringen är av fundamental betydelse för vård- och behandlingsarbetet inom hälso- och sjukvården. Dokumentationen av olika åtgärder kan vara helt avgörande för patientsäkerheten. Om vårdgivare kan ha direktåtkomst till varandras journaler som vi före- slår skall vara möjligt, får dokumentationen rimligen ännu större be- tydelse än i dag. Fler personer blir då involverade i journalföringen beträffande en patient. Till detta kommer att uthyrning av personal från bemanningsföretag kraftigt har ökat under senare tid och inte

251

En ny reglering av patientjournalföringen

SOU 2006:82

minst den större rörligheten hos både patienter och personal man märkt under senare år.

Det är mot denna bakgrund viktigt att regleringen på området är enkel och att den är anpassad till framtida förhållanden. Kravet på en klar och tydlig reglering ökar då väldigt många personer skall an- teckna journaluppgifter i samma journal. Sjukhusgemensamma jour- naler kan redan i dag innehålla en mängd journaluppgifter från olika kliniker. Vid sammanhållen journalföring blir det än viktigare att journalspråket är enhetligt, dvs. att de begrepp och termer som an- vänds är gemensamma.

En viktig utgångspunkt är också att regleringen inte föranleder onödigt administrativt arbete för hälso- och sjukvårdspersonalen. Detta förutsätter att journalföringen framöver blir mer enhetlig. Samma journaluppgifter bör vidare om möjligt bara noteras en gång. Dubbeldokumentation tynger journalerna och gör dem svårtillgäng- liga. En annan viktig fråga i sammanhanget är journalernas struktur. En enhetlig struktur underlättar för den som skall journalföra något att konstatera huruvida en uppgift redan finns antecknad i journalen och alltså inte behöver journalföras på nytt.

Det ligger i sakens natur att en lagreglering på området inte kan göras uttömmande. Verksamheten på hälso- och sjukvårdsområdet är för komplex för att man i lag skall kunna reglera journalföringen i detalj. Lagstiftningen kan därför bara innehålla de väsentligaste reglerna. Det måste bli en ramlagstiftning. Lagreglerna måste liksom i dag kompletteras med bl.a. föreskrifter och allmänna råd om hur journaler i detalj skall föras. Vidare måste det i viss mån vara en upp- gift för hälso- och sjukvårdspersonalen att närmare utveckla en praxis på området.

Vi vill i detta sammanhang också särskilt peka på Socialstyrelsens viktiga arbete med att ta fram en enhetlig informationsstruktur inom hälso- och sjukvården med bl.a. gemensamma standarder. En förut- sättning för sammanhållen journalföring är att det finns en enhetlig informationsstruktur, dvs. att dokumentationen följer vissa gemen- samma regler som gör det möjligt för de olika vårdgivarnas IT-system att effektivt hantera informationen. En annan förutsättning för sam- manhållen journalföring är att det finns en för hälso- och sjukvården gemensam begrepps- och terminologiapparat. Här vi vill framhålla Socialstyrelsens viktiga arbete rörande normering av begrepp och termer. Vi tror också att det är viktigt att man i framtiden försöker skapa kompatibla journalsystem. Därigenom skulle man minska de

252

SOU 2006:82

En ny reglering av patientjournalföringen

tekniska hinder som i dag finns för överföring av information mellan olika vårdenheter eller vårdgivare.

10.4Närmare om den nya regleringens innehåll

10.4.1Allmänt

I enlighet med vårt förslag i avsnitt 7 skall regleringen av patient- journalföringen ingå i den nya patientdatalagen.

Liksom tidigare bör bestämmelserna om patientjournalföring gälla all hälso- och sjukvård, dvs. både den allmänna och den enskilda hälso- och sjukvården.

Den nuvarande patientjournallagen är teknikneutral och gäller all- deles oberoende av huruvida journaler förs på papper eller elektro- niskt. Visserligen skall vi enligt våra direktiv ha som utgångspunkt att all journalföring i framtiden i huvudsak skall vara elektronisk. Det kommer emellertid under överskådlig tid förekomma att journaler förs helt eller delvis på papper. Den nya regleringen beträffande patientjournalföring bör därför även fortsättningsvis vara teknik- oberoende.

10.4.2Patientjournalens syfte

Vår bedömning: Det behövs inte någon bestämmelse i patient- datalagen som preciserar patientjournalens syfte.

Patientjournallagen anger inte uttryckligen vilket eller vilka syften journalföringen har. Enligt lagens förarbeten är journalens grund- läggande syfte att tillgodose patientens intresse av en god och säker vård. Journalen är därvid ett viktigt arbetsinstrument för hälso- och sjukvårdspersonalen för planering, genomförande och uppföljning av vården. Samtidigt skall journalen tillgodose kraven på rättssäker- het och integritet. Även forskningens behov bör enligt förarbetena beaktas när så är möjligt (prop. 1984/85:189 s. 12 f.).

I Socialstyrelsens föreskrifter och allmänna råd om patientjour- nallagen utvecklas patientjournalens ändamål. Bl.a. anges att kravet på dokumentation utgår från patientsäkerheten i dess vidaste be- märkelse, dvs. inte bara från terapeutisk synpunkt utan även från diagnostisk. Vidare anges att en patientjournal först och främst är

253

En ny reglering av patientjournalföringen

SOU 2006:82

avsedd att vara stöd för den eller de personer som ansvarar för patientens vård. Den utgör arbetsverktyg eller underlag för bedöm- ningen av de åtgärder som kan behöva vidtas av någon som inte tidi- gare har träffat patienten. Journalen är även en informationskälla för patienten om erhållen vård. Vidare utgör den ett viktigt instru- ment i kvalitets-, säkerhets-, uppföljnings- och utvärderingsarbetet inom vården samt ett underlagsmaterial vid tillsyn och kontroll av den vård som patienten erhållit. Patientjournalen har även stor bety- delse som underlag i vissa legala sammanhang och för forskningen.

Socialstyrelsen föreslår i sin tidigare nämnda skrivelse om patient- journallagen (se avsnitt 10.2.1) att det i lagen införs en bestämmelse om patientjournalföringens syften. I första hand är syftet att bidra till en god och säker vård av patienten. Vidare föreslås att det anges att en patientjournal är viktig även som informationskälla för patien- ten, för uppföljning och utveckling av verksamheten, för tillsyn och andra rättsliga krav samt för forskningen. Enligt Socialstyrelsen är förslaget i princip en kodifiering av vad som i detta avseende anges i patientjournallagens förarbeten och i Socialstyrelsens föreskrifter och allmänna råd om patientjournallagen. Förslaget motiverades med att utvecklingen under senare år medfört ett ökat fokus även på andra syften med journalföringen än en god och säker vård av patienten och att det är väsentligt att hälso- och sjukvårdspersonalen förstår och accepterar journalföringens flerfaldiga syften.

Vår bedömning

Vår uppfattning är att journalens grundläggande syfte alltjämt bör vara att tillgodose patientens intresse av en god och säker vård. Patient- journalen bör även fortsättningsvis i första hand vara ett arbetsinstru- ment för hälso- och sjukvårdspersonalen. Journalen kommer även fortsatt att ha betydelse inte bara för patienten själv utan även som t.ex. underlag vid verksamhetsuppföljning, kontroll och tillsyn eller i rättsliga sammanhang samt som källmaterial vid forskning och kvalitetssäkring.

Det är möjligt att det skulle finnas fördelar med att införa en be- stämmelse om patientjournalföringens syften. Vissa av de remiss- instanser som yttrade sig över Socialstyrelsens förslag om en sådan bestämmelse tillstyrkte också förslaget. Enligt vår uppfattning har det dock inte i förhållande till nuvarande reglering av patientjournal-

254

SOU 2006:82

En ny reglering av patientjournalföringen

föringen framkommit något behov av att i lag precisera patientjour- nalens syfte. Vi föreslår därför inte någon sådan bestämmelse.

10.4.3Skyldigheten att föra patientjournal och utfärda intyg

Vår bedömning: Patientjournallagens bestämmelser om kravet på journalföring, vem som är skyldig att föra patientjournal och skyldigheten att på begäran av patienten utfärda intyg om vår- den bör föras över oförändrade till patientdatalagen.

I 1 § patientjournallagen slås fast att det vid vård av patienter inom hälso- och sjukvården skall föras patientjournal. Med vård avses i lagen även undersökning och behandling. Med hälso- och sjukvård avses enligt hälso- och sjukvårdslagen åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador. Kravet på journalföring gäller dock endast den individuellt inriktade verksam- heten inom hälso- och sjukvården.

Patientjournallagen medger inga undantag från journalföringsplik- ten. Denna skyldighet gäller t.ex. alldeles oberoende av den enskil- des inställning till dokumentationen. Samtycke till journalföringen krävs alltså inte och någon rätt till anonymitet i vården finns i prin- cip inte.TPF1FPT Detta har motiverats med att patientsäkerheten kräver att identiteten och andra för vården viktiga uppgifter dokumenteras i journalen. Eftersom patientens samtycke till vård och behandling som huvudregel är en förutsättning för hälso- och sjukvården, får en enskild som till varje pris motsätter sig journalföringen avstå från vården. En annan sak är förstås att patienten genom att välja ut vilka upplysningar han eller hon lämnar i samband med vården kan begränsa innehållet i sin journal.

Förs en patientjournal elektroniskt, ingår den i ett vårdregister och omfattas av bestämmelserna i vårdregisterlagen. Enligt den lagen får vårdregister föras oberoende av patientens inställning till person- uppgiftsbehandlingen. Patientens samtycke till personuppgiftsbe- handlingen eller registreringen krävs alltså inte. I lagens förarbeten anfördes bl.a. att en konsekvens av ett samtyckeskrav skulle vara att en vårdgivare som önskar använda IT för journalföring måste föra

1TP PT Enda undantaget gäller om en patient begär att ett prov för infektion av HIV tas anonymt. I ett sådant fall skall patientens identitet inte antecknas i journalen, se förordningen (1986:198) om provtagning för infektion av HIV. Om resultatet av provtagningen visar att patienten har antikroppar mot HIV, skall dock identitetsuppgifterna antecknas i journalen.

255

En ny reglering av patientjournalföringen

SOU 2006:82

patientjournaler enligt två parallella system, ett manuellt för det fåtal patienter som inte accepterar automatiserad behandling och ett automatiserat för övriga patienter. Enligt regeringen skulle en sådan dubbelregistrering kunna få otillfredsställande återverkningar både på den arbetsmässiga och på den finansiella situationen för register- hållaren (prop. 1997/98:108 s. 83 f.).

Av 1 § patientjournallagen följer att en patientjournal är indivi- duell och skall föras för varje enskild patient. Den får alltså inte vara gemensam för flera patienter. Däremot kan det finnas flera jour- naler för en och samma patient.

Föreskrifter om vem som är skyldig att föra patientjournal finns i 9 § patientjournallagen. Där anges att den som enligt 3 kap. lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område har legitimation eller särskilt förordnande att utöva visst yrke har sådan skyldighet. Följande 21 yrkeskategorier är i dag legitimerade och följaktligen journalföringspliktiga. Apotekare, arbetsterapeut, audionom, barnmorska, biomedicinsk analytiker, dietist, kiropraktor, logoped, läkare, naprapat, optiker, ortopedingenjör, psykolog, psyko- terapeut, receptarie, röntgensjuksköterska, sjukgymnast, sjukhusfysi- ker, sjuksköterska, tandhygienist samt tandläkare. Skyldig att föra patientjournal är vidare den som, utan att ha legitimation för yrket, utför arbetsuppgifter som annars bara skall utföras av logoped, psyko- log eller psykoterapeut inom den allmänna hälso- och sjukvården eller sådana arbetsuppgifter inom den enskilda hälso- och sjukvår- den som biträde åt legitimerad yrkesutövare. Slutligen är den som är verksam som kurator i den allmänna hälso- och sjukvården skyldig att föra patientjournal.

Genom den enhetliga regleringen av journalföringsskyldigheten i patientjournallagen har således journalföringen blivit en del av de be- rörda yrkesutövarnas medicinska yrkesansvar. Gemensamt för dem alla är att var och en svarar för sina uppgifter i journalen. Disciplin- påföljd kan åläggas den enskilde yrkesutövaren vid underlåten eller bristfällig journalföring. Även andra åtgärder kan vidtas. Prövning härav sker av Hälso- och sjukvårdens ansvarsnämnd enligt bestäm- melser i 7 kap. lagen om yrkesverksamhet på hälso- och sjukvårdens område. Ärenden i nämnden kan initieras av Socialstyrelsen, patien- ten i fråga eller, om patienten inte själv kan anmäla saken, en när- stående till patienten.

Arbetsuppgifter som t.ex. journalföring kan under vissa förutsätt- ningar delegeras till personer som inte är skyldiga att föra journal, se 2 kap. 6 § lagen om yrkesverksamhet på hälso- och sjukvårdens

256

SOU 2006:82

En ny reglering av patientjournalföringen

område. Den som delegerar en arbetsuppgift till någon annan är ansvarig för att den som tar emot uppgiften kan fullgöra den. Den som får uppgiften genom delegation är själv ansvarig för hur den fullgörs.

Med skyldigheten att föra journal följer enligt 10 § patientjournal- lagen en skyldighet att på begäran av patienten utfärda intyg om vården. Ett sådant intyg skall enligt förarbetena till lagen innehålla de uppgifter om undersökningen, vården och behandlingen som be- hövs för det av patienten begärda ändamålet (prop. 1984/85:189 s. 47). Det kan vara fråga om intyg till försäkringskassa, försäkringsbolag, domstol etc.

I Socialstyrelsens tidigare nämnda skrivelse om patientjournal- lagen (se avsnitt 10.2.1) föreslås att regeringen eller den myndighet regeringen bestämmer (Socialstyrelsen) skall kunna meddela undan- tag när det gäller de journalföringspliktiga yrkeskategorierna. Enligt förslaget kan det särskilt vara aktuellt med undantag för apotekare och receptarier i vars yrkesutövning det ofta ter sig överflödigt att föra patientjournal. Vidare föreslås att kuratorer inom allmän hälso- och sjukvård inte längre skall vara skyldiga att föra journal, i vart fall inte som huvudregel. Socialstyrelsen föreslår också att vikarier för alla legitimerade yrkeskategorier skall vara skyldiga att föra jour- nal. Vidare skall en verksamhetschef eller motsvarande befattnings- havare kunna bestämma vilken ytterligare personal som skall ha skyldighet att föra patientjournaler och att följa lagens bestämmel- ser. När det gäller vilken hälso- och sjukvårdspersonal m.fl. som skall vara skyldig enligt lag att föra patientjournal innebär Social- styrelsens förslag således en inte obetydlig utvidgning. Dessutom föreslås att det i lagen uttryckligen skall anges att även den som utan skyldighet att göra det dokumenterar uppgifter i en patientjournal, skall vara skyldig att följa lagens bestämmelser.

I fråga om intyg om vården föreslår Socialstyrelsen ingen prin- cipiell ändring av skyldigheten att utfärda sådana, dock att det införs en bestämmelse om vad intyget måste innehålla, om patienten begär det.

Generaldirektören Karin Lindell har haft i uppdrag att biträda Justitiedepartementet med en analys rörande försäkringsbolags till- gång till patientjournaler. Uppdraget redovisades i maj 2005 i depar- tementspromemorian Försäkringsbolags tillgång till patientjournaler (Ds 2005:13). Av den kartläggning som gjorts framgår att försäkrings- bolag regelmässigt begär in fullmakt från en försäkringssökande (eller annan som skall försäkras) vid tecknande av en individuell person-

257

En ny reglering av patientjournalföringen

SOU 2006:82

försäkring som skall hälsoprövas. Detta sker normalt i samband med att sökanden skriver under en hälsodeklaration. Motsvarande gäller vissa typer av gruppförsäkringar och kollektivavtalade försäkringar. En övervägande majoritet av försäkringsbolagen använder s.k. gene- rella fullmakter. De är inte tidsbegränsande och innehåller inte några inskränkningar beträffande vilka sjukvårdsinrättningar eller försäk- ringsinrättningar bolagen har rätt att vända sig till. Fullmakterna täcker som regel även inhämtande av hälsoupplysningar vid framtida skadereglering.

I promemorian föreslås att försäkringsbolagens möjligheter att med stöd av fullmakt begära in kompletta patientjournaler direkt från hälso- och sjukvården skall begränsas genom en ny förordning om begränsat utnyttjande av fullmakter på försäkringsområdet.

Som skäl till förslaget anges bl.a. att försäkringsbolagen genom fullständiga patientjournaler får tillgång till information i betydligt större utsträckning än vad som rimligen kan vara motiverat för deras försäkringsmässiga bedömningar. Bolagens tillgång till sådan s.k. över- skottsinformation innebär ett omotiverat intrång i den personliga integriteten. Vidare anges att informationsmängden dessutom kom- mer att öka i takt med att det sker en övergång till elektroniska jour- naler som ingår i journalsystem till vilka allt fler vårdinrättningar är anslutna (a.a. s. 11 f.).

Enligt förslaget skall försäkringsbolagens behov av information om den enskildes hälsa i stället tillgodoses genom preciserade frågor som läkare och andra behöriga uppgiftslämnare besvarar genom intyg eller bearbetade journalutdrag. Med ett bearbetat journalutdrag av- ses en sammanställning (utan ändringar eller tillägg) av relevanta journalanteckningar och annan relevant information som finns i en patientjournal. I promemorian föreslås att det i 10 § patientjournal- lagen görs ett särskilt tillägg angående skyldigheten för journal- föringspliktiga att utfärda bearbetade journalutdrag.

Vår bedömning

Som framgått tidigare påverkas journalföringsplikten inte av att jour- nalen förs elektroniskt. Socialstyrelsens förslag när det gäller vilken hälso- och sjukvårdspersonal m.fl. som skall vara skyldig enligt lag att föra patientjournal innebär, såsom tidigare sagts, en inte obetydlig utvidgning av gällande rätt. Journalföringsplikten ingår inte uttryck- ligen i de frågeställningar som vi enligt våra direktiv skall behandla.

258

SOU 2006:82

En ny reglering av patientjournalföringen

Vi har inte heller haft möjlighet att närmare utreda denna fråga eller frågan om det bör finnas möjlighet att i vissa fall meddela undantag från skyldigheten att föra journal. Vi föreslår därför inga ändringar av patientjournallagens bestämmelser om kravet på journalföring, vem som är skyldig att föra patientjournal och skyldigheten att på be- gäran av patienten utfärda intyg om vården utan dessa bestämmel- ser bör föras över oförändrade till patientdatalagen.

10.4.4Patientjournalens innehåll

Vår bedömning och våra förslag: I patientdatalagen införs en bestämmelse som motsvarar nuvarande reglering i vårdregister- lagen om hur mycket information som en patientjournal får innehålla.

Patientjournallagens bestämmelse om att information och sam- tycke som har lämnats enligt biobankslagen skall dokumenteras i patientjournalen flyttas till biobankslagen. Patientjournallagens bestämmelser i övrigt om vilka uppgifter en patientjournal skall innehålla kan föras över oförändrade till patientdatalagen.

I patientdatalagen införs en bestämmelse om att i det fall patien- ten anser att en uppgift i patientjournalen är oriktig eller miss- visande, skall detta antecknas i journalen.

Patientjournallagens bestämmelse om signeringskravet förs över oförändrad till patientdatalagen. Det införs dock en bestämmelse som bemyndigar regeringen, eller den myndighet som regeringen bestämmer, att meddela föreskrifter om undantag från signe- ringskravet.

Patientjournallagens bestämmelse om att uppgifter i journal- handlingar som upprättas inom hälso- och sjukvården skall ut- formas så, att patientens integritet respekteras utvidgas till att avse inte bara uppgifter i journalhandlingar utan all utformning och behandling av personuppgifter inom hälso- och sjukvården. Vidare skall inte bara patienters integritet respekteras utan även övriga registrerades integritet.

259

En ny reglering av patientjournalföringen

SOU 2006:82

tidigare nämnts, teknikneutral. Journalhandlingar behöver således inte vara pappershandlingar utan kan bestå av elektroniska upptag- ningar, video- eller diktafonupptagningar, fotografier m.m. I 2 § anges att som journalhandling avses framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt upp- fattas endast med tekniskt hjälpmedel. Ordalydelsen överensstäm- mer med definitionen av begreppet handling i 2 kap. 3 § första stycket tryckfrihetsförordningen.

Av patientjournallagens förarbeten framgår att det grundläggande syftet med patientjournalen är en god och säker vård av patienten. Journalen skall i första hand kunna användas av hälso- och sjukvårds- personalen som ett arbetsinstrument för planering, genomförande och uppföljning av vården. Journalföringen ger också samhället möjli- ghet att utöva tillsyn över hälso- och sjukvården. Journaluppgifter utnyttjas också i flera andra för hälso- och sjukvården viktiga samman- hang, t.ex. i klinisk och epidemiologisk forskning (prop. 1984/85:189 s. 12 f.).

Grundläggande bestämmelser om vad en patientjournal skall inne- hålla infördes i huvudsak genom patientjournallagen. Enligt lagens förarbeten var utgångspunkten för förslagen att det som antecknas i journalen skall kunna tjäna patientens intresse av en god och säker vård samtidigt som rättssäkerhets- och integritetsintressena tas till- vara (a. prop. s. 14).

Patientjournallagen preciserar inte, med några undantag, i detalj vad som skall journalföras utan föreskriver att en patientjournal skall innehålla de uppgifter som behövs för en god och säker vård av patien- ten, se 3 § patientjournallagen. Uppgifterna skall föras in i journalen så snart det kan ske.

Om uppgifterna föreligger, skall en patientjournal alltid innehålla

1.uppgift om patientens identitetTPF2FPT,

2.väsentliga uppgifter om bakgrunden till vården,

3.uppgift om ställd diagnos och anledning till mera betydande åt- gärder,

4.väsentliga uppgifter om vidtagna och planerade åtgärder,

5.uppgift om den information som lämnats till patienten och om de ställningstaganden som gjorts om val av behandlingsalternativ och om möjligheten till en förnyad medicinsk bedömning samt

2TP PT Detta gäller inte i samband med provtagning för infektion av HIV, om patienten begär att ett sådant prov tas anonymt, se förordningen om provtagning för infektion av HIV. Uppgift om patientens identitet skall dock antecknas om resultatet av provtagningen visar att patien- ten har antikroppar mot HIV.

260

SOU 2006:82

En ny reglering av patientjournalföringen

6.uppgift om information och samtycke som lämnats enligt lagen (2002:297) om biobanker i hälso- och sjukvården m.m.

Denna uppräkning är inte uttömmande. Kravet på en god och säker vård av patienten kan innebära att ytterligare uppgifter måste doku- menteras. Vad detta konkret innebär kan variera mellan olika yrkes- utövare och olika verksamheter (a. prop. s. 39).

Enligt nyss nämnda paragraf skall patientjournalen vidare inne- hålla uppgift om vem som har gjort en viss anteckning i journalen och när anteckningen gjordes.

Patientjournallagens bestämmelser utgör minimiregler och anger alltså vad som minst måste dokumenteras i en patientjournal. Där- utöver finns bestämmelser i andra författningar om vad journalen skall innehålla, se t.ex. 4 kap. 2 § smittskyddslagen och 2 § förord- ningen (1991:1472) om psykiatrisk tvångsvård och rättspsykiatrisk vård. Vidare behandlar Socialstyrelsens föreskrifter och allmänna råd om patientjournallagen bl.a. innehållet i patientjournalen. Exem- pelvis anges att allvarligare överkänslighet skall antecknas på särskilt sätt i journalen i enlighet med en tidigare meddelad föreskrift i ämnet och att det skall finnas betryggande rutiner för dokumentation av all läkemedelshantering. Därutöver föreskrivs att journalen skall innehålla en tydlig omvårdnadsdokumentation av visst innehåll som preciseras i ett antal föreskrifter.

Patientjournallagen innehåller inga bestämmelser som anger hur mycket information som en patientjournal får innehålla. Av 5 § vård- registerlagen följer dock att en elektroniskt förd patientjournal en- dast får innehålla de uppgifter som enligt lag eller annan författning skall antecknas i en patientjournal. Den får även innehålla andra uppgifter som antecknas i och för vården av patienter samt uppgifter som behövs för den ekonomiadministration som föranleds av vård i enskilda fall.

Enligt sista stycket i 3 § patientjournallagen skall en journal- anteckning om inte synnerligt hinder möter signeras av den som svarar för uppgiften.

Signeringskravet fanns inte med i lagförslaget i propositionen om patientjournallag m.m. (prop. 1984/85:189). Föredragande statsrådet ansåg att kontrolläsning var motiverad av säkerhetsskäl och att det således vore önskvärt att ställa upp ett krav på genomläsning och signering av varje journalanteckning. Statsrådet ansåg det dock av bl.a. praktiska och ekonomiska skäl inte vara möjligt att föreskriva en obligatorisk skyldighet för den som svarar för journalanteck-

261

En ny reglering av patientjournalföringen

SOU 2006:82

ningen att också signera denna (a.a. s. 19 f.). I Socialutskottets betänkande SoU 1984/85:33 behandlades ett antal motioner om signeringskrav. Utskottet ansåg att sådana regler som är av särskilt stor betydelse för patientens trygghet bör tas in i själva patientjour- nallagen. Till dessa viktiga regler måste enligt utskottets mening räknas ett krav på genomläsning av anteckningar som läggs till grund för behandlingsåtgärder och medicinering. Missförstånd och fel- skrivningar kan här bli ödesdigra. Utskottet hade förståelse för att ett sådant krav i vissa lägen kan ge upphov till praktiska problem. Detta fick dock inte hindra en regel som är så starkt motiverad av hänsyn till patientens säkerhet (a.a. s. 9).

Varje uppgift i en journalhandling som upprättas inom hälso- och sjukvården skall enligt 4 § patientjournallagen utformas så, att patien- tens integritet respekteras. Enligt förarbetena skall uppgifterna vila på ett korrekt underlag och inte vara av nedsättande eller kränkande karaktär. Hänsynen till patienten förutsätter därvid en betydande återhållsamhet när det gäller uppgifter om patientens privatliv. Det- samma gäller subjektiva värderingar som bara bör få förekomma om de grundas på korrekt underlag och är av verklig betydelse för medicinska ställningstaganden. Respekten för patientens integritet medför även andra begränsningar, t.ex. när det gäller användningen av videoteknik i den psykiatriska vården. Uppgifter om tredje person bör så långt möjligt undvikas (prop. 1984/85:189 s. 14 f. och 20 f.).

I Socialstyrelsens föreskrifter och allmänna råd om patientjournal- lagen anges att känsliga uppgifter som patienten meddelat i förtro- ende inte ogenomtänkt skall föras in i journalen. I den mån upp- gifterna är relevanta för tolkning av sjukdomsbilden skall de givetvis skrivas in, vilket ställer särskilda krav på utformningen. Socialstyrelsen tillägger att journalen dock mera sällan behöver innehålla detaljerade återgivanden.

I den tidigare nämnda skrivelsen om patientjournallagen (se av- snitt 10.2.1) föreslår Socialstyrelsen – mot bakgrund av den tidigare utredningen och rapporten Omfattningen av administration i vår- den – en ändring av patientjournallagens signeringskrav till att som minimikrav bara omfatta uppgifter om anamnes, diagnos, läkemedels- förskrivningar, beslut om vårdåtgärder och epikris. Därutöver före- slås verksamhetschefen utifrån främst patientsäkerhetsskäl bestämma i vad mån signering skall ske. Skälet till förslaget är att signerings- kravet inte minst i fråga om pappersjournaler och vid diktering visat sig vålla merarbete och andra problem i arbetet. Vidare påtalar Socialstyrelsen att det finns skäl att i lagen förtydliga hur omfattande

262

SOU 2006:82

En ny reglering av patientjournalföringen

dokumentationen måste vara i fråga om vilken information som lämnats till patienten. Socialstyrelsen fann det dock inte möjligt att göra det inom ramen för dess arbete, utan föreslog att frågan skulle bli föremål för ytterligare överväganden.

Våra överväganden i fråga om vilka uppgifter en patientjournal får innehålla

Som framgått tidigare innehåller den nuvarande regleringen i vård- registerlagen en begränsning av hur mycket information som får finnas i en elektroniskt förd patientjournal. Vi har ställt oss frågan om det finns skäl att tillåta att patientjournaler framöver innehåller mer information än vad som får ske i dag.

Med tanke på att de primära ändamålen för vilka personuppgifter föreslås få behandlas inom hälso- och sjukvården enligt patientdata- lagen (se avsnitt 8.2.3) är fler än de som anges i vårdregisterlagen menar vi att det finns fog för en bestämmelse motsvarande vård- registerlagens begränsning. Det är från integritetssynpunkt väsent- ligt att patientjournaler inte innehåller mer information än som behövs i det individinriktade arbetet.

Mot bakgrund av det sagda föreslår vi att det i patientdatalagen införs en bestämmelse som motsvarar nuvarande reglering i vård- registerlagen om hur mycket information som en patientjournal får innehålla. Bestämmelsen innebär att en journal, liksom i dag, får inne- hålla de uppgifter som enligt lag eller annan författning skall anteck- nas i en patientjournal. Därmed avses även sådana handlingar som inkommer från patienten eller andra i samband med vården och som innehåller uppgifter som rör vården av patienten. Vidare får journalen innehålla andra uppgifter som behövs i och för vården av patienter eller som behövs för sådan administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föran- leds av vård i enskilda fall. Bestämmelsen kommer således att avse uppgifter som omfattas av vårt förslag om personuppgiftsbehandling för ändamålet vårddokumentation (se avsnitt 8.2.3). För tydlighetens skull bör här nämnas att uppgift om att det finns spärrade patient- uppgifter (se avsnitt 11.3.3 och 12.4) utgör vårddokumentation och således får finnas i en patientjournal.

263

En ny reglering av patientjournalföringen

SOU 2006:82

Våra överväganden i fråga om vilka uppgifter en journal skall innehålla

Som framgått tidigare innehåller patientjournallagen de grundläggan- de bestämmelserna om all patientjournalföring. Särskilda bestäm- melser om vad en patientjournal i vissa fall skall innehålla återfinns

– med ett undantag – i annan författning. Undantaget utgörs av punkten 6 i uppräkningen i 3 § andra stycket patientjournallagen om vilka uppgifter som, om de föreligger, skall finnas i en patientjournal. Denna punkt avser uppgift om information och samtycke som har lämnats enligt lagen (2002:297) om biobanker i hälso- och sjukvår- den m.m. (biobankslagen).

I 3 kap. 7 § biobankslagen föreskrivs att uppgifter om information och samtycke m.m. enligt 1–6 §§ skall dokumenteras på lämpligt sätt. Vidare anges att särskilda bestämmelser om sådan dokumentation finns i 3 § patientjournallagen. I förarbetena anges att patientens sam- tycke bör dokumenteras både i patientjournalen och i de person- uppgifter som förvaras i anslutning till banken (prop. 2001/02:44 s. 38). Något skäl till varför kravet på dokumentation i patientjour- nalen tagits in i patientjournallagen i stället för att regleras i särlag- stiftningen (i det här fallet biobankslagen) såsom annars är fallet framgår däremot inte av förarbetena.

Bestämmelserna i patientdatalagen om vad en patientjournal skall innehålla bör enligt vår uppfattning endast ange de grundläggande kraven på dokumentation. Särregler om journalers innehåll bör lik- som i dag finnas i andra författningar. Vi föreslår därför att patient- journallagens bestämmelse om att information och samtycke som har lämnats enligt biobankslagen skall dokumenteras i patientjour- nalen flyttas till biobankslagen.

När det gäller patientjournallagens bestämmelser i övrigt om vilka uppgifter en patientjournal skall innehålla anser vi att dessa kan föras över oförändrade till patientdatalagen.

En annan fråga som inte tidigare tagits upp men som vi anser är av betydelse från integritetssynpunkt, är patientens möjligheter att invända mot journaluppgifter som han eller hon anser är oriktiga eller missvisande. I avsnitt 10.4.6 och 10.4.8 redogör vi för vad som gäller i fråga om rättelse av journaluppgifter och förstörande av journal. För att rättelse av en journaluppgift skall ske på patientens begäran krävs att patienten och den som ansvarar för uppgiften är ense om felaktigheten. Patientens möjligheter att få journaluppgifter utplå- nade är i realiteten små eller i vart fall omständliga. Vi menar att det

264

SOU 2006:82

En ny reglering av patientjournalföringen

behövs ett komplement till bestämmelserna om rättelse och journal- förstöring. I takt med att stora eller kompatibla journalsystem införs som följer patienten genom vårdapparaten kan det enligt vår upp- fattning bli av betydelse för enskilda patienter att kunna markera missnöje med journaluppgifter som man av någon anledning anser är felaktiga.

Vi föreslår därför en ny bestämmelse om att det i journalen skall antecknas om en patient anser att en uppgift är oriktig eller miss- visande. Det kan nämnas att en motsvarande bestämmelse finns i 11 kap. 6 § socialtjänstlagen (2001:453) när det gäller dokumenta- tion inom socialtjänstens verksamhet avseende genomförande av beslut om stödinsatser, vård och behandling samt handläggning av ärenden rörande enskilda. Vi menar att en sådan bestämmelse bör ingå bland de grundläggande reglerna om patientjournalföring som gäller både för manuellt och elektroniskt förda patientjournaler.

Det har i utredningen framförts vissa farhågor om att bestämmel- sen kan komma att leda till merarbete för journalföraren samt även risk för att journalföraren, med tanke härpå, avstår från att journal- föra viss information som man anar att patienten kan ha invändningar emot. Vi tror emellertid att bestämmelsen i sig inte kommer att leda till något nämnvärt merarbete för journalförarna. I vilken omfattning patienter kommer att vilja anmärka på journalanteckningar samman- hänger inte minst med i vilken mån patienter faktiskt utnyttjar sin rätt att få läsa sin journal. Bestämmelsen om att patientens anmärk- ningar skall antecknas kan därvid lika gärna innebära en lättnad för journalföraren såsom ett sätt att lösa en meningsskiljaktighet med patienten om innehållet i journalen. Inte heller tror vi att bestäm- melsen som sådan kommer att leda till att journalförare avstår från att journalföra viss information som rätteligen skall antecknas i journalen.

Det kan poängteras att förslaget inte innebär någon rätt för patien- ten att själv skriva i journalen. De grundläggande bestämmelserna om patientjournalföring är en reglering av vad som måste göras i fråga om journalföring. Enligt vår uppfattning finns därutöver inget förbud mot att patienter tillåts att mera direkt bidra till innehållet i journalen genom att t.ex. registrera uppgifter från egenvård såsom mätvärden eller liknandeTPF3FPT.

3TP PT Vare sig patienten själv kan elektroniskt föra in uppgifter i journalen eller inte, anser vi att uppgifterna får ses som sådana inkomna handlingar som avses i nuvarande 2 § patientjournal- lagen och – i förekommande fall - även enligt 2 kap. tryckfrihetsförordningen.

265

En ny reglering av patientjournalföringen

SOU 2006:82

Våra överväganden i fråga om signeringskravet

De patientsäkerhetsskäl som anfördes vid införandet av signerings- kravet gäller fortfarande. Dessa skäl gäller än mer vid anteckningar i stora eller kompatibla journalsystem där anteckningarna kan komma att läggas till grund för behandlingsåtgärder och medicinering av andra vårdenheter än den där anteckningarna gjorts. I sådana fall är det av särskild vikt att uppgifterna dessförinnan har kontrollästs så att risken för missförstånd och felskrivningar kan minimeras. Det lagstadgade kravet på att journalanteckningar, om inte synnerligt hin- der möter, skall signeras av den som svarar för uppgiften bör därför finnas kvar.

Det går dock inte att bortse från de praktiska olägenheter som signeringskravet medför i form av merarbete och andra problem i arbetet. Socialstyrelsen har upplyst att många journalanteckningar i dag förblir osignerade. Hälso- och sjukvårdens hantering av signe- ringskravet är inte heller enhetlig utan påverkas enligt Socialstyrelsen sannolikt av synen på nödvändigheten att signera och de resurser som läggs ned på att få vissa anteckningar signerade.

Vi har förståelse för att det kan finnas skäl att göra undantag från signeringskravet när man väger nyttan av signeringen mot det mer- arbete som signeringskravet innebär. Bedömningen av när signering kan underlåtas bör överlåtas till den myndighet som utifrån patient- säkerhetssynpunkter m.m. kan göra en bedömning av när undantag kan föreskrivas utan risker för patientsäkerheten eller andra viktiga faktorer som talar för signering. Vi föreslår därför att regeringen eller den myndighet som regeringen bestämmer, förslagsvis Socialstyrel- sen, bemyndigas att meddela föreskrifter om undantag från signe- ringskravet.

Genom att bemyndiga t.ex. Socialstyrelsen att meddela undantag i stället för att låta verksamhetschefen avgöra när signering kan underlåtas uppnås enhetlighet i fråga om signeringskravet, vilket är nog så viktigt i en hälso- och sjukvård där det blir alltmer vanligt att dokumentation i journaler blir läst och får betydelse hos andra vårdenheter.

266

SOU 2006:82

En ny reglering av patientjournalföringen

Våra överväganden i fråga om utformning av uppgifter

Som framgått innehåller patientjournallagen bestämmelser om att uppgifter i journalhandlingar som upprättas inom hälso- och sjuk- vården skall utformas så, att patientens integritet respekteras. Detta krav bör fortfarande gälla, men vi anser att det bör utvidgas till att avse all utformning och behandling av personuppgifter inom hälso- och sjukvården. Kravet bör vidare utvidgas till att gälla även övriga registrerades integritet.

10.4.5Språket i journalen

Vår bedömning: De journalhandlingar som upprättas inom hälso- och sjukvården bör även fortsättningsvis som huvudregel vara skrivna på svenska språket. Patientjournallagens bestämmelse om språk vid journalföring behöver alltså inte ändras.

I vårt uppdrag ingår uttryckligen att utreda om bestämmelserna om språk vid journalföring tillgodoser patienternas rätt att ta del av sin journal.

Enligt 5 § patientjournallagen skall de journalhandlingar som upp- rättas inom hälso- och sjukvården vara skrivna på svenska språket, vara tydligt utformade och så långt möjligt förståeliga för patienten. Ett av skälen till att bestämmelsen infördes var att patienten själv skall kunna ta del av sin journal.

Regeringen eller den myndighet regeringen bestämmer (Social- styrelsen) har bemyndigats att meddela föreskrifter om undantag från kravet på att journalspråket skall vara svenska. Sådana föreskrif- ter har meddelats i Socialstyrelsens föreskrifter och allmänna råd om patientjournallagen

Bakgrunden till bemyndigandet anges i förarbetena till patient- journallagen vara att ett absolut upprätthållande av kravet på att journalspråket skall vara svenska inte är möjligt bl.a. av det skälet, att Sverige har internationella åtaganden att beakta som berör denna fråga. I propositionen anges vidare (prop. 1984/85:189 s. 51):

Den 25 augusti 1981 ingick Sverige, Danmark, Finland och Norge en överenskommelse om godkännande av vissa yrkesgrupper för verksam- het inom hälso- och sjukvården och veterinärväsendet. Genom över- enskommelsen regleras villkoren för en fri nordisk arbetsmarknad för 17 yrkesgrupper tillhörande hälso- och sjukvårdspersonalen samt för veterinärer. Överenskommelsen har godkänts av riksdagen. Den innebär

267

En ny reglering av patientjournalföringen

SOU 2006:82

bl.a. att läkare, tandläkare, sjuksköterskor m.fl. som är behöriga att utöva sitt yrke i de övriga fördragsslutande staterna också är behöriga att utöva sitt yrke här i landet om de uppfyller vissa krav. Som ett av dessa krav gäller att de besitter för yrket behövliga kunskaper i svenska, danska eller norska språket. Också för andra som fått sin utbildning utomlands krävs endast att de behärskar ett av de nämnda språken. För dem som är behöriga att utöva yrke inom hälso- och sjukvården utan att behärska svenska språket är det följaktligen inte möjligt att kräva journalföring på svenska. I dessa fall måste godtas att patientjournalen förs på danska eller norska språket.

Överenskommelsen från år 1981 har justerats och harmoniserats med EES-avtalet genom en ny överenskommelse som träffades år 1993.TPF4FPT Överenskommelsen har införlivats i svensk lagstiftning, se t.ex. 8 kap. 1 § förordningen (1998:1513) om yrkesverksamhet på hälso- och sjukvårdens område vari föreskrivs som villkor för att erhålla kom- petensbevis att sökanden har för yrket nödvändiga kunskaper i svenska, danska eller norska språket.

Socialstyrelsen har också i avsnitt 10 punkt 1 i dess föreskrifter och allmänna råd om patientjournalen föreskrivit att den som efter utbildning utomlands erhållit kompetensbevis eller särskilt förord- nande att utöva visst yrke får föra journal på danska eller norska. Eftersom det inte krävs något särskilt beslut av Socialstyrelsen för att någon skall få föra journal på danska eller norska, saknar Social- styrelsen kunskap om i vilken utsträckning sådan journalföring sker.

Enligt punkt 2 i samma avsnitt i föreskrifterna får den som efter utomnordisk utbildning utövar ett yrke inom hälso- och sjukvår- den på grund av ett förordnande från Socialstyrelsen föra journal på engelska. Denna föreskrift infördes med anledning av att ett stort antal läkare (främst narkosläkare, radiologer och laboratorieläkare) från utlandet under 1990-talet förordnades som vikarier inom hälso- och sjukvården under somrarna. Eftersom dessa hade begränsad patientkontakt, ansågs det inte behövligt att ställa krav på att de hade kunskaper i svenska. Antalet sådana förordnanden har sjunkit kraftigt. Att någon får ett vikariatsförordnande innebär inte nödvändigtvis att denne för journal på engelska, utan han eller hon kan likaväl föra journal på svenska. Socialstyrelsen har därför ingen uppfattning om i vilken utsträckning patientjournaler förs på engelska.

4TP PT Överenskommelse om gemensam nordisk arbetsmarknad för viss hälso- och sjukvårds- personal och veterinärer (SÖ 1994:2).

268

SOU 2006:82

En ny reglering av patientjournalföringen

Enligt samma punkt i föreskrifterna (punkt 2) kan Socialstyrelsen i samband med att styrelsen förordnar någon med utomnordisk ut- bildning att utöva yrke som barnmorska, läkare eller tandläkare med- ge att denne får föra patientjournal på ett annat språk än svenska i den utsträckning och på det språk som anges i förordnandet. Social- styrelsen har upplyst att denna möjlighet aldrig har använts.

Enligt föreskrifterna får medicinska fackuttryck på främmande språk användas i stället för svenska uttryck i den mån det gagnar patientsäkerheten och kravet på noggrannhet i journalföringen.

I Socialstyrelsens föreskrifter och allmänna råd anges vidare att, om det med hänsyn till EES-avtalet blir nödvändigt att tillåta att journal förs även på annat språk än de nämnda, kommer Social- styrelsen att från fall till fall meddela särskild dispens. Någon sådan dispens har aldrig meddelats enligt uppgift från Socialstyrelsen.

Socialstyrelsen har vidare föreskrivit (punkt 6) att om en patient inte behärskar svenska får i en patientjournal, om så behövs för att patienten skall kunna förstå en journalhandling, utöver uppgifter på svenska intas motsvarande uppgifter på annat lämpligt språk. I punkt 8 föreskrivs vidare att en journal som förs på annat språk än svenska skall om möjligt innehålla en översättning till svenska av anamnes och epikris.

I Socialstyrelsens tidigare nämnda skrivelse om patientjournal- lagen (se avsnitt 10.2.1) föreslås ingen ändring beträffande språket i journalen. Socialstyrelsen anför i denna del att det under utredningen inte framkommit något skäl att ändra den nuvarande bestämmelsen. I den mån EU-medlemskapet eller andra orsaker föranleder skäl att tillåta annat språk än svenska utöver vad som redan nu gäller, anser Socialstyrelsen sig ha möjligheter att ändra sina egna föreskrifter genom lämpliga tillägg.

Vi har vid kontakt med Socialstyrelsen fått upplysningen att det varken från hälso- och sjukvårdspersonal eller från patienter fram- förts kritik mot att journaler förts på annat språk än svenska eller anförts att det skulle ha inneburit några problem. Det har inte heller förekommit kritik mot eller problem med kravet på svenska som jour- nalspråk. Vi har inte heller fått indikationer från andra aktörer inom hälso- och sjukvården, t.ex. vid kontakter med företrädare för patient- och anhörigorganisationer eller yrkesförbund, på att det skulle finnas kritik mot eller problem med nuvarande ordning.

I våra direktiv anges att den fria rörligheten för personer inom EU öppnar för möjligheter till gränsöverskridande vård och att det mot bakgrund härav finns behov av att utreda om bestämmelserna

269

En ny reglering av patientjournalföringen

SOU 2006:82

om språk vid journalföring tillgodoser patienternas rätt att kunna ta del av sin journal.

Det finns ingen exakt definition av begreppet gränsöverskridande vård. Inom Socialdepartementet tillsattes i september 2002 en pro- jektgrupp med uppgift att analysera innebörden och effekterna av gränsöverskridande vård inom EU. Rapporten Gränsöverskridande vård inom EU – Kartläggning och förslag till handlingslinjer över- lämnades i december 2003. Enligt denna rapport är den gränsöver- skridande vården till viss del en konsekvens av den ökade faktiska rörligheten av personer, ökat resande, förbättrade kommunikationer och ökad gränspendling, men även en effekt av de förmåner som följer av EG:s regler för samordning av systemen för social trygghet. För den enskilde kan det handla om att söka akutvård i samband med tillfällig vistelse utomlands eller om s.k. planerad vård, dvs. vård som inte är akut. För vårdgivaren kan den gränsöverskridande vår- den handla om att samarbeta gränsöverskridande och fördela specia- listkompetens. Att hälso- och sjukvårdspersonal flyttar mellan län- derna är ytterligare en dimension av den gränsöverskridande vården.

I rapporten konstaterades att den gränsöverskridande vården vid tiden för gruppens arbete var liten, men att exakt kunskap om patient- strömmarna inte fanns eftersom det saknades statistiskt underlag.

För att underlätta den fria rörligheten för bl.a. hälso- och sjuk- vårdspersonal inom EU har utfärdats olika direktiv om ömsesidigt erkännande av examens-, utbildnings- och andra behörighetsbevis.TPF5FPT Dessa s.k. sektorsdirektiv avser läkare, tandläkare, sjuksköterskor inom allmän hälso- och sjukvård, farmaceuter och barnmorskor. Enligt direktiven skall ett medlemsland erkänna de övriga ländernas kompetensbevis genom att ge dem samma ställning inom sitt territo- rium vad gäller rätten att utöva yrkesverksamhet. Direktiven anger minimikrav som skall ställas på utbildningen för de yrken som avses och innehåller en lista över de examensbevis som motsvarar dessa minimikrav för varje medlemsland. Direktiven innebär att t.ex. en läkare eller sjuksköterska har rätt att få sin respektive examen god- känd i ett annat EU-land. De yrkesgrupper som berörs av direktiven får direkt tillträde till hela den gemensamma arbetsmarknaden och kan söka arbete varhelst de vill inom EU.

Den 7 september 2005 antog Europaparlamentet och Europeiska unionens råd direktiv 2005/36/EG om erkännande av yrkeskvalifika- tioner. Syftet med direktivet är bl.a. att konsolidera flera direktiv

5TP PT Se t.ex. direktiv 93/16/EEG om underlättande av läkares fria rörlighet och ömsesidigt er- kännande av deras utbildnings-, examens- och andra behörighetsbevis.

270

SOU 2006:82

En ny reglering av patientjournalföringen

om erkännande av yrkeskvalifikationer, däribland de tidigare nämnda sektorsdirektiven, och skapa en mer enhetlig ordning för erkän- nande av kvalifikationer. Direktivet ersätter alltså sektorsdirektiven och skall vara införlivat i nationell rätt senast den 20 oktober 2007. I artikel 53 anges att personer som får sina yrkeskvalifikationer er- kända skall ha nödvändiga språkkunskaper för att utöva yrkesverk- samheten i den mottagande medlemsstaten.

Vår bedömning

Patientjournallagens bestämmelse om språket vid journalföring utgör en av flera bestämmelser som anger vilka krav som lagen uppställer när det gäller patientjournalens innehåll, utformning och hantering. En bestämmelse om på vilket språk en journal som huvudregel bör föras är viktig dels från patientsäkerhetssynpunkt, dels med hänsyn till strävan efter enhetlighet i journalföringen. Vi anser därför att det även framöver behövs en bestämmelse om på vilket språk patient- journaler som huvudregel bör föras

En patientjournal utgör i första hand ett arbetsverktyg för hälso- och sjukvårdspersonalen. Den skall vara ett stöd för den eller de personer som ansvarar för patientens vård och utgöra ett underlag för bedömningen av åtgärder som kan behöva vidtas av någon som inte tidigare har träffat patienten. Från patientsäkerhetssynpunkt är det därför av vikt att journalspråket som huvudregel är svenska, efter- som svenska är arbetsspråket inom hälso- och sjukvården. Enligt vår uppfattning blir detta än viktigare om man skapar omfattande jour- nalsystem hos en och samma vårdgivare eller om vårdgivare ges till- gång till varandras journaluppgifter, eftersom journalanteckningarna då kan komma att behöva läsas och förstås av fler personer inom hälso- och sjukvården än i dag. Risken för att tidigare journalanteck- ningar missförstås vid en senare vårdkontakt kan ju komma att öka om dessa anteckningar förts på andra språk än svenska. Enligt vår bedömning skulle det alltså inte gagna patientsäkerheten att ändra bestämmelsen om att journalspråket som huvudregel skall vara svenska.

Patientjournalen är också en viktig informationskälla för patienten om erhållen vård. Patienter blir alltmer delaktiga i sin vård och deras intresse av att ta del av sina patientjournaler ökar. Det är därför av stor vikt att de så långt möjligt kan förstå vad som finns antecknat i journalerna. Patienternas möjlighet att ta del av sina journaler var

271

En ny reglering av patientjournalföringen

SOU 2006:82

också, såsom tidigare nämnts, ett av skälen till att bestämmelsen om språk vid journalföring infördes i patientjournallagen. Patienternas ökade delaktighet och intresse snarare understryker att journal- språket även fortsättningsvis som huvudregel bör vara svenska.

Såvitt framkommit finns det inget behov av att utvidga möjlig- heterna att föra journal på andra språk än svenska med anledning av att utländsk hälso- och sjukvårdspersonal tar anställning i Sverige. När det gäller hälso- och sjukvårdspersonal med yrkeskvalifikationer från andra EU-länder uppställer dessutom det tidigare nämnda EG- direktivet om erkännande av yrkeskvalifikationer (vilket skall vara införlivat i nationell rätt senast den 20 oktober 2007) som villkor för utövande av yrket att personer som får sina yrkeskvalifikationer erkända här har nödvändiga språkkunskaper för att utöva sin yrkes- verksamhet. Detta måste enligt vår uppfattning innebära att de skall kunna föra journaler på svenska.

Vi kan inte heller se att det med anledning av att t.ex. EU-med- borgare söker vård i Sverige finns behov av att utvidga möjligheterna att föra journal på andra språk än svenska. Patienter som inte be- härskar svenska språket och som vill ta del av sina journaler får redan i dag journaluppgifterna översatta. Dessutom kan ju vårdpersonal som är verksam här i Sverige knappast förväntas föra journal på annat språk än svenska enbart av den anledningen att patienten inte be- härskar svenska språket. De tidigare nämnda patientsäkerhetsskälen talar också emot detta.

Vi har i tidigare avsnitt framhållit att journalföringen framöver bör bli mer enhetlig. Detta skulle motverkas om det blir möjligt att i större utsträckning än i dag föra journal på andra språk än svenska. Dessutom kan antas att möjligheterna till uppföljning skulle för- sämras.

Det har, såvitt framkommit, inte förekommit några problem för hälso- och sjukvårdspersonalen att journaler i undantagsfall förs på danska, norska eller engelska. Vi ser därför inte någon anledning att inskränka Socialstyrelsens möjligheter att meddela föreskrifter om undantag från kravet på att journalspråket skall vara svenska. I fråga om danska och norska synes detta inte heller vara möjligt med tanke på den tidigare nämnda nordiska överenskommelsen.

Sammanfattningsvis gör vi bedömningen att de journalhandlingar som upprättas inom hälso- och sjukvården även fortsättningsvis som huvudregel bör vara skrivna på svenska språket. Patientjournallagens bestämmelse om språk vid journalföring kan alltså föras över oför- ändrad till patientdatalagen. Utvecklingen av den gränsöverskridande

272

SOU 2006:82

En ny reglering av patientjournalföringen

vården bör dock följas. Om det visar sig att problem uppstår på grund av kravet på att journalhandlingar som huvudregel skall vara skrivna på svenska språket, får frågan på nytt övervägas.

10.4.6Rättelse av journaluppgifter

Vår bedömning: Patientjournallagens bestämmelse om rättelse av journaluppgifter behöver inte ändras.

Av 6 § patientjournallagen följer att uppgifter i en journalhandling inte får utplånas eller göras oläsliga i andra fall än efter särskilt för- ordnande av Socialstyrelsen enligt 17 § patientjournallagen, se nedan. Av samma bestämmelse följer att det vid rättelse av en felaktighet skall anges när rättelsen har skett och vem som har gjort den.

Föreskriften innebär att samma krav på hur rättelser skall utföras gäller för både den enskilda och den allmänna hälso- och sjukvår- den. Kravet innebär bl.a. att en rättelse i en journalhandling alltid måste göras så, att den ursprungliga texten klart framgår också efter rättelsen. Det är således inte tillåtet att utplåna den ursprungliga texten. Kravet på särskild anteckning inträder först när uppgiften har fått status av allmän handling (prop. 1984/85:189 s. 24).

I förarbetena anges att bestämmelsen skall tolkas mot bakgrund av tryckfrihetsförordningen och den rättspraxis som utvecklats i anslutning till denna. Frågan när en handling skall anses upprättad aktualiseras således även i den privata hälso- och sjukvården. För de vanliga korrigeringarna av skrivfel, som upptäcks vid genomläsning av texten, anses därvid gälla att sådana rättelser kan utföras fritt under förutsättning att rättelsen har ett faktiskt och tidsmässigt samband med själva utskriften (a. prop. s. 44).

Av 13 § vårdregisterlagen följer att den nämnda bestämmelsen i patientjournallagen gäller också vid rättelse av uppgifter i ett vård- register som grundar sig på dokumentationsskyldighet enligt patient- journallagen.

De nämnda bestämmelserna anger hur rättelser skall utföras. I fråga om när rättelser måste göras finns inga särskilda föreskrifter beträffande manuellt förda patientjournaler. Felaktigheter i journal- handlingar måste dock givetvis rättas när de upptäcks. Från patient- säkerhetssynpunkt är det ju av vikt att uppgifter i journalhandlingar är riktiga. När det gäller patientjournaler som omfattas av personupp- giftslagen anges i 28 § nämnda lag att den personuppgiftsansvarige

273

En ny reglering av patientjournalföringen

SOU 2006:82

är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana uppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av den lagen. För elektroniskt förda journaler följer av 13 § vård- registerlagen att denna skyldighet även gäller beträffande personupp- gifter som behandlats i strid med nämnda lag. Detta gäller dock inte om åtgärderna skulle strida mot bestämmelserna i patientjour- nallagen. Utöver skyldigheten att vidta rättelse på den registrerades begäran måste den personuppgiftsansvarige enligt bestämmelserna i 9 § första stycket personuppgiftslagen självmant vara aktiv för att se till att behandlade uppgifter är korrekta samt att felaktigheter rättas. (Se vidare avsnitt 18.2.1.)

Socialstyrelsen gör i sin skrivelse Patientjournallagen – En översyn med förslag till författningsändringar (se avsnitt 10.2.1) bedöm- ningen att det inte finns någon anledning att göra några ändringar i bestämmelsen om rättelse av journaluppgifter. I skrivelsen framhålls dock att det bör klarläggas dels i vilka fall skrivfel kan rättas utan att uppgiften i journalen skall anses upprättad samt hur det kan ske, dels när låsning av uppgifter i datorjournaler senast bör ske. Social- styrelsen anser sig ha möjligheter att ta fram föreskrifter och allmänna råd i dessa frågor.

Vår bedömning

Det ingår inte uttryckligen i vårt utredningsuppdrag att se över ifråga- varande bestämmelser i patientjournallagen och det har inte heller framkommit något behov av att göra några ändringar av dessa. Vår uppfattning är således att patientjournallagens bestämmelser om rät- telse av journaluppgifter kan föras över oförändrade till patientdata- lagen.

10.4.7Bevarande av journalhandling

Vår bedömning: Patientjournallagens bestämmelser om beva- rande av journalhandling bör inte ändras.

I 8 § första stycket patientjournallagen föreskrivs att en journalhand- ling skall bevaras minst tre år efter det att den sista uppgiften för- des in i handlingen. Bestämmelsen gäller såväl allmän som enskild hälso- och sjukvård.

274

SOU 2006:82

En ny reglering av patientjournalföringen

Regeringen, eller den myndighet som regeringen bestämmer, får föreskriva att vissa slags journalhandlingar skall bevaras minst tio år. Så har också skett i förordningen (1986:203) om förlängd bevaran- detid för vissa journalhandlingar inom hälso- och sjukvården. Den förlängda tiden gäller journalhandlingar rörande patient vars sak prövas eller har prövats enligt vissa rättsliga förfaranden (t.ex. enligt patientskadelagen [1996:799] eller läkemedelsförsäkringen), journal- handlingar inom tandvården som kan ha betydelse för rättsodonto- logisk identifiering samt journalhandlingar rörande patienter födda vissa datum varje månad och som inte kan uteslutas ha betydelse för forskningsändamål.

Längre bevarandetider kan också vara föreskrivna i andra lagar. I t.ex. 6 kap. 4 § och 7 kap. 6 § lagen (2006:351) om genetisk integritet m.m. föreskrivs att uppgifter om spermagivare vid insemination och givare av ägg eller spermier vid befruktning utanför kroppen skall antecknas i en särskild journal, som skall bevaras i minst 70 år.

Som framgår av avsnitt 10.4.9 kan Socialstyrelsen besluta att pa- tientjournaler inom enskild hälso- och sjukvård skall tas om hand. I fråga om bevarande av sådana journalhandlingar finns det särskilda föreskrifter i 12 § andra stycket patientjournallagen. Där föreskrivs att omhändertagna journalhandlingar skall bevaras minst tio år från det att de kom in till arkivmyndigheten.

I 8 § andra stycket patientjournallagen anges att för journalhand- lingar som utgör allmän handling gäller, med de undantag som följer av första stycket, arkivlagen (1990:782) samt de bestämmelser som meddelas med stöd av arkivlagen. Bestämmelsen innebär att när den minsta tiden för bevarande har löpt ut beträffande sådana journaler som är allmänna handlingar träder arkivlagens huvudregler om be- varande och gallring in. Dessa innebär en presumtion för bevarande men medgivande till gallring på bestämda villkor.

I fråga om elektroniskt förda patientjournaler inom den enskilda hälso- och sjukvården följer av 9 § första stycket i och tredje stycket personuppgiftslagen att personuppgifter inte får bevaras under en längre tid än vad som är nödvändigt med hänsyn till de ändamål för vilka uppgifterna behandlas eller så länge uppgifterna därefter be- hövs för historiska, statistiska eller vetenskapliga ändamål.

När det gäller patientjournaler har Riksarkivet utfärdat allmänna råd om bevarande och gallring av patientjournaler hos landsting och kommuner (RA-FS 2003:4). I dessa rekommenderas landsting och kommuner att tills vidare i avvaktan på en ny patientjournallag inte gallra patientjournaler.

275

En ny reglering av patientjournalföringen

SOU 2006:82

Av bl.a. Socialstyrelsens skrivelse om patientjournallagen (se av- snitt 10.2.1) har framkommit att det även före Riksarkivets allmänna råd från år 2003 endast förekom en relativt begränsad gallring ur patientjournaler hos landsting och kommuner (s. 46). Vi har inte gjort någon egen kartläggning av huruvida gallring har skett i elek- troniska patientjournaler inom den allmänna hälso- och sjukvården. I samband med studiebesök vid vårdinrättningar har det emellertid vid några tillfällen upplysts att gallring över huvud taget inte skett i ifrågavarande journalsystem, som därför inte sällan omfattar även avlidna patienter. Som ovan framgått finns inte heller någon skyldig- het att gallra i patientjournaler inom den allmänna hälso- och sjuk- vården.

Av Socialstyrelsens skrivelse framgår att journalhandlingar inom den enskilda hälso- och sjukvården däremot ofta gallras efter den föreskrivna bevarandetiden. Detta anges bero på att vårdgivare inom den enskilda hälso- och sjukvården inte har samma möjligheter som landsting och kommuner att arkivera journalhandlingar.

Socialstyrelsen föreslår i sin skrivelse en ny huvudregel om en minsta bevarandetid på tio år. Skälen till förslaget är dels att beva- randetiden därigenom blir enhetlig, dels att den treåriga bevarande- tiden anses vara alltför kort. Vidare föreslås att en privat vårdgivare skall kunna förvara journalhandlingar som är äldre än tio år hos ett landsting, om landstinget medger det. Skälet till ett sådant omhän- dertagande skulle enligt skrivelsen kunna vara att den privata vård- givaren inte har resurser att ta hand om journalerna och det handlar om material som kan vara av intresse för forskningen.

Promemorian Genomförande av EG-direktivet om mänskliga vävnader och celler (Ds 2005:40) innehåller förslag som syftar till att i svensk rätt genomföra Europaparlamentets och rådets direktiv 2004/23/EG om fastställande av kvalitets- och säkerhetsnormer för donation, tillvaratagande, kontroll, bearbetning, konservering, för- varing och distribution av mänskliga vävnader och celler. Direktivet innehåller bestämmelser om bl.a. spårbarhet av mänskliga vävnader och celler. Bland annat finns krav på att uppgifter som är nödvändiga för att garantera fullständig spårbarhet skall bevaras i minst 30 år efter kliniskt bruk. För att uppfylla direktivets krav i denna del föreslås i promemorian att det i 8 § första stycket patientjournallagen görs ett tillägg om att regeringen eller den myndighet regeringen bestämmer får föreskriva att vissa slags journalhandlingar skall bevaras minst 30 år. Förslagen har remissbehandlats och bereds för närvarande inom Regeringskansliet.

276

SOU 2006:82

En ny reglering av patientjournalföringen

Vår bedömning

Det kan finnas goda skäl att, såsom Socialstyrelsen föreslagit, införa en ny huvudregel om en minsta bevarandetid på tio år. Ett sådant förslag skulle, utifrån beskrivningen i Socialstyrelsens skrivelse att döma, framför allt träffa vårdgivare inom den enskilda hälso- och sjukvården. Inom den allmänna hälso- och sjukvården bevaras ju redan journalhandlingar regelmässigt längre tid än den föreskrivna. Enligt vår uppfattning bör en förlängning av den minsta bevarande- tiden föregås av en undersökning av vilka möjligheter vårdgivare inom den enskilda hälso- och sjukvården har att bevara journalhandlingar längre tid än vad som krävs i dag. Det förhållandet att journaler i allt större utsträckning förs elektroniskt innebär ju inte nödvändigtvis att det blir lättare att bevara journalhandlingarna. Tvärtom kan det innebära tekniska svårigheter att bevara informationen läsbar under flera år. Vilka konsekvenser en förlängd bevarandetid skulle få för vårdgivare inom enskild hälso- och sjukvård bör också utredas. Detta låter sig dock inte göra inom ramen för vårt uppdrag.

Det är inte heller möjligt att inom ramen för vårt uppdrag utreda om det finns behov av att alla slags journalhandlingar bevaras i minst tio år. Ett förslag om en minsta bevarandetid om tio år skulle ju innebära att även sådana journaler som förs av t.ex. optiker skulle behöva bevaras under denna tid.

Vår uppfattning är således att patientjournallagens bestämmelser om bevarande av journalhandling bör föras över oförändrade till patientdatalagen.

Vi vill framhålla att regeringen även fortsättningsvis kommer att kunna föreskriva att vissa slags journalhandlingar skall bevaras minst tio år. Regeringen har alltså möjlighet att föreskriva att t.ex. journal- handlingar som innehåller anteckningar förda av läkare skall bevaras minst tio år. Vi återkommer i avsnitt 11.7.4 till ett fall då regeringens bemyndigande skulle kunna utnyttjas.

10.4.8Förstörande av journalen

Vår bedömning: Patientjournallagens bestämmelse om jour- nalförstöring behöver inte ändras. Även patientjournallagens bestämmelse om att det skall antecknas i journalen när en journal- handling lämnas ut bör kunna föras över oförändrad till patient- datalagen.

277

En ny reglering av patientjournalföringen

SOU 2006:82

Enligt 17 § patientjournallagen får Socialstyrelsen, efter ansökan av en patient eller annan person som omnämns i en patientjournal, under vissa förutsättningar förordna att en journal helt eller delvis skall förstöras. För detta krävs dels att den enskilde anför godtag- bara skäl för ansökan, dels att journalen eller den del därav som skall förstöras uppenbarligen inte behövs för patientens vård och dels att det från allmän synpunkt uppenbarligen inte finns skäl att bevara journalen.

Kravet på godtagbara skäl för ansökan innebär enligt förarbetena att en patient inte har rätt att utan vidare få sin journal eller del av den förstörd. Det krävs att anteckningarna är sådana att det rimligen kan medföra en psykisk belastning eller liknande för patienten om de bevaras (prop. 1984/85:189 s. 50).

Genom inskränkningen att det från allmän synpunkt uppenbar- ligen inte finns skäl att bevara journalen ges enligt förarbetena möjlig- het att beakta olika samhällsintressen som avser journalmaterialet – t.ex. insynen, forskningen, ekonomin i vården. Det överlämnas till Socialstyrelsen att ange i vilken utsträckning samhället har behov av att journalmaterialet bevaras (a. prop. s. 50).

Av 13 § vårdregisterlagen följer att den nämnda bestämmelsen i patientjournallagen också gäller vid förstöring av uppgifter i ett vård- register som grundar sig på dokumentationsskyldighet enligt patient- journallagen.

Förordnandet om förstöring kan avse hela journalen eller en del därav. Det sistnämnda innebär att t.ex. bara ett ord eller en mening tas bort ur journalen. Huruvida det är tillräckligt att enbart person- identiteten tas bort anförde fördragande statsrådet följande (a. prop. s. 30).

Registrering i landstingens patientdatabaser grundas på uppgifter som hämtas från journalerna. När socialstyrelsen beslutar om förstöring av en viss journal skall informationen i databasen också utplånas. Detta brukar uttryckligen anges i besluten. Den frågan har väckts, om det inte kunde räcka med att personidentiteten tas bort och att informationen i övrigt, dvs. främst diagnos och vårdtid, bevaras utan att den kan åter- föras till den enskilde individen. Avidentifiering skulle ge den fördelen att databasens statistikvärde består. I t.ex. planeringssammanhang vill man ha en komplett bild av sjukvårdskonsumtionen, men uppgifterna behöver nödvändigtvis inte vara personrelaterade. Förstöringen avser i första hand att tillvarata patientens integritetsintressen. Registreringen i patientdatabaserna är mycket summarisk. Jag bedömer att syftet med bestämmelsen måste anses uppnått om de kritiserade uppgifterna för- störs och om kopplingen mellan journalen och andra informationskäl- lor upphävs. Enbart utplåning av personuppgifterna bör således kunna

278

SOU 2006:82

En ny reglering av patientjournalföringen

accepteras i just detta fall. Däremot är samma förfarande inte tillräckligt när det gäller själva journalen – antingen denna förs konventionellt eller med ADB-teknik – eftersom journalen innehåller en avsevärt större mängd uppgifter, som när de sammanställs kan göra att identiteten ändå går att härleda.

Bestämmelsen om journalförstöring innebär att samtliga journal- handlingar som innehåller uppgifter som enligt beslut skall förstöras omfattas av beslutet. Förstöring skall således ske av både original- handlingen och kopior eller avskrifter och detta oberoende av om handlingarna förvaras inom hälso- och sjukvården eller utanför, t.ex. hos Försäkringskassan eller domstol. I de fall en journalhandling finns hos någon annan än den som ansvarar för patientjournalen, måste följaktligen handlingen begäras åter (a. prop. s. 49). I 7 § andra stycket patientjournallagen föreskrivs att om en journalhandling eller en av- skrift eller kopia av handlingen har lämnats ut till någon, skall det antecknas i patientjournalen vem som har fått handlingen, avskriften eller kopian och när denna har lämnats ut. Dessa anteckningar syftar bl.a. till att underlätta arbetet med att spåra journalhandlingar.

I 17 § patientjournallagen föreskrivs vidare att innan ansökan slut- ligt prövas, skall den som ansvarar för patientjournalen beredas till- fälle att yttra sig. Med den som ansvarar för journalen avses enligt förarbetena den som enligt föreskrift är skyldig att föra journalen eller se till att journalen förs (a. prop. s. 50). I de fall det finns jour- nalhandlingar hos någon annan än den som ansvarar för journalen kan även denne behöva höras under ärendets handläggning. Enligt förarbetena är det av vikt att bl.a. domstolarnas särskilda behov av att bevara visst bevismaterial kan beaktas (a. prop. s. 30).

Om Socialstyrelsen har avslagit en ansökan om förstöring av en patientjournal, får beslutet överklagas hos allmän förvaltningsdom- stol. Om Socialstyrelsens beslut innebär bifall till en sådan ansökan, får beslutet inte överklagas. Prövningstillstånd krävs vid överkla- gande till kammarrätten.

Socialstyrelsen har upplyst att det under år 2004 inkom 394 ärenden om journalförstöring. Som skäl för ansökan anges vanligtvis att upp- gifterna är felaktiga, kränkande, missvisande eller onödiga och att sökanden därför befarar att få felaktig vård. Sökandena är även rädda för att journaluppgifterna sprids. Det börjar också bli vanligt att ansökningarna motiveras med att journalanteckningarna utgör hin- der för att teckna försäkring, inte minst för små barn, eller att få försäkringsersättningar av olika slag via Försäkringskassan eller för- säkringsbolag. Andra skäl som tillkommit på senare år är hänvisning

279

En ny reglering av patientjournalföringen

SOU 2006:82

till ömtåliga uppgifter i samband med könsbyte, artificiell befrukt- ning, abort m.m. Merparten av ärendena rör vårdområdena psykiatri, primärvård och vissa delar av akutsjukvården. År 2004 avgjordes 370 ärenden om journalförstöring, varav 235 beviljades helt eller delvis.

I den tidigare nämnda skrivelsen om patientjournallagen (se av- snitt 10.2.1) påtalar Socialstyrelsen att det saknas möjlighet för styrel- sen att få ett beslut om förstörande av en kopia som förvaras hos annan myndighet, domstol, enskilt organ eller enskild person verk- ställt. Vidare påtalas att det är i högsta grad osäkert vad det har för rättsliga konsekvenser att en eventuell kopia av journalen inte garan- terat går att förstöra. Socialstyrelsen föreslår att det i bestämmelsen om journalförstöring införs ett nytt stycke, vari anges att en patient- journal får förstöras även om kopior av journalen kommer att bevaras hos någon annan än vårdgivaren. Syftet med tillägget skulle vara att tydliggöra att det inte kan anses föreligga allmänna skäl att vägra förstöring av en journal eller del av en journal av den anledningen att en kopia finns hos någon annan än den vårdgivare som ansvarar för journalhandlingen.

Av skrivelsen framgår också att Socialstyrelsen i en skrivelse till Socialdepartementet år 1999 framfört förslag om att föra över hand- läggning och beslut i ärenden om journalförstöring till den lands- tingsnämnd som ansvarar för den verksamhet där journalen förts. Ansökan beträffande journal i enskild hälso- och sjukvård föreslogs bli prövad av den landstingsnämnd som har ansvar för hälso- och sjukvården inom det område där den privata vårdgivaren bedriver sin verksamhet. Regeringen fann dock inte att tillräckliga skäl för ändring av reglerna om förstörande av journal eller journaluppgifter framkommit. Socialstyrelsen har också till utredningen framfört att patientens rätt till journalförstöring inte bör vara en fråga för sty- relsen.

Vår bedömning

Inledningsvis kan konstateras att frågan huruvida ärenden om jour- nalförstöring skall handläggas och beslutas av Socialstyrelsen eller av någon annan myndighet inte kan utredas inom ramen för vårt upp- drag.

Enbart det förhållandet att en kopia av den journalhandling som ansökan om journalförstöring avser finns hos någon annan än den

280

SOU 2006:82

En ny reglering av patientjournalföringen

vårdgivare som ansvarar för journalhandlingen kan enligt vår upp- fattning inte utgöra skäl att avslå ansökan. Ett beslut om att en jour- nalhandling skall förstöras avser ju tvärtom även eventuella kopior eller avskrifter, oavsett om dessa finns inom eller utanför hälso- och sjukvården.

Att ett beslut om journalförstöring eventuellt inte kommer att verkställas beträffande en kopia eller avskrift som förvaras hos någon annan än den vårdgivare som ansvarar för journalhandlingen, kan en- ligt vår uppfattning inte anses medföra att en ansökan skall avslås med motiveringen att det från allmän synpunkt inte uppenbarligen saknas skäl att bevara journalen. Som framgått tidigare avser denna begränsning i stället samhällets eventuella behov av att journalmate- rialet bevaras.

Vi gör alltså bedömningen att det inte finns något behov att införa det av Socialstyrelsen föreslagna tillägget i bestämmelsen om jour- nalförstöring.

Vi vill särskilt framhålla att möjligheten att få en journal förstörd är av stor betydelse för skyddet av patienternas integritet (se prop. 1984/85:189 s. 29). Denna möjlighet får än större betydelse om man skapar stora sjukhusgemensamma journaler eller om flera vårdgivare deltar i sammanhållen journalföring, eftersom journalanteckningarna då kan komma att läsas av fler personer inom hälso- och sjukvården än i dag.

Det har till utredningen kommit signaler om att det finns vissa problem vad gäller förstöring av uppgifter i elektroniska journaler. Även efter ett beslut om förstöring finns uppgifterna ibland kvar i ett back up system. Vi vill här framhålla att det redan i dag följer av Socialstyrelsens föreskrifter och allmänna råd om patientjournallagen att journalsystemen skall vara så utformade att det finns möjlighet att förstöra hela eller delar av patientjournalen. Enligt vår uppfatt- ning är det också av vikt att det finns rutiner för att säkerställa att förstöringen även omfattar eventuella uppgifter i back up kopior.

Sammanfattningsvis gör vi bedömningen att patientjournallagens bestämmelse om journalförstöring kan föras över oförändrad till patientdatalagen. Även patientjournallagens bestämmelse om att det skall antecknas i journalen när en journalhandling lämnas ut bör kunna föras över oförändrad till patientdatalagen. I avsnitt 11 och 13 kom- mer vi dock att behandla frågan om undantag från den sist nämnda bestämmelsen. Undantagen avser de fall att utlämnande sker genom direktåtkomst till den elektroniskt förda journalen.

281

En ny reglering av patientjournalföringen

SOU 2006:82

10.4.9Omhändertagande av patientjournaler inom den enskilda hälso- och sjukvården samt återlämnande av omhändertagna journaler

Vår bedömning: Patientjournallagens bestämmelser om om- händertagande av patientjournaler inom den enskilda hälso- och sjukvården, om återlämnande av omhändertagna journaler och om utlämnande av uppgifter ur omhändertagna journalhandlingar behöver inte ändras.

I 11 § patientjournallagen regleras Socialstyrelsens möjligheter att besluta att patientjournaler inom enskild hälso- och sjukvård skall tas om hand.

Enligt första stycket får beslut om omhändertagande meddelas om det på sannolika skäl kan antas att journalerna inte kommer att hand- has enligt föreskrifterna i patientjournallagen eller enligt föreskrifter som meddelats med stöd av lagen. Därvid avses främst bestämmel- serna om hantering och förvaring samt minsta tid för bevarande av journalhandlingar.

En situation då ett omhändertagande enligt första stycket kan bli aktuellt är enligt förarbetena när en privat vårdgivare avlider. Tas inte verksamheten över av någon annan vårdgivare kan det ofta antas att det kommer att brista i det framtida handhavandet av patient- journalerna. En annan situation då ett omhändertagande kan bli ak- tuellt är när en legitimerad vårdgivare får sin legitimation återkallad (prop. 1991/92:104 s. 22).

En fråga om omhändertagande enligt första stycket kan tas upp av Socialstyrelsen när anledning finns därtill och någon formell an- mälan eller ansökan behövs inte.

Enligt andra stycket kan omhändertagande också ske på ansökan av den som ansvarar för hanteringen av journalerna om det finns ett påtagligt behov av att journalerna tas om hand. Med den som an- svarar för patientjournalen avses enligt förarbetena den som ytterst ansvarar för hanteringen av handlingarna i journalen vilket inte alltid är densamma som den som enligt 9 § är ansvarig för uppgifterna i patientjournalen. Är den enskilde yrkesutövaren anställd ligger an- svaret för att föreskrifterna om hantering och bevarande av journal- handlingar följs i stället på arbetsgivaren, den som driver verksam- heten (prop. 1991/92:104 s. 11 och 23).

Ett exempel på när det kan finnas ett påtagligt behov av att jour- nalerna tas om hand är när en vårdgivare inom enskild hälso- och

282

SOU 2006:82

En ny reglering av patientjournalföringen

sjukvård avslutar eller avbryter sin verksamhet och flyttar utomlands. För att handlingarna skall vara åtkomliga för patienter och andra bör då en förvaring ordnas här i landet (a. prop. s. 23).

Tredje stycket reglerar när en omhändertagen patientjournal skall återlämnas. En första förutsättning för detta är att ett återlämnande alls är möjligt, dvs. att journalhandlingarna inte förstörts efter ut- gången av minsta tiden för bevarande. Vidare förutsätts för beslut om återlämnande att det inte finns skäl för omhändertagande enligt första stycket.

Beslut i fråga om återlämnande meddelas av Socialstyrelsen efter ansökan av den som vid beslutet om omhändertagande ansvarade för hanteringen av journalen.

Enligt 12 § patientjournallagen skall omhändertagna patientjour- naler förvaras avskilda hos arkivmyndigheten i det landsting eller, i fråga om kommuner som inte tillhör något landsting, den kommun där journalerna finns. Socialstyrelsen skall i varje beslut om omhänder- tagande ange hos vilken arkivmyndighet journalerna skall förvaras.

I 13 § patientjournallagen anges att ett beslut om omhändertagan- de av patientjournaler får verkställas även om det inte vunnit laga kraft, om inte något annat föreskrivits i beslutet. Polismyndigheten skall lämna den hjälp som behövs för att verkställa ett beslut om omhändertagande av patientjournaler.

Socialstyrelsens beslut i fråga om omhändertagande eller återläm- nande av patientjournaler får enligt 14 § patientjournallagen över- klagas hos allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten.

Patientjournallagen innehåller också en särskild bestämmelse be- träffande utlämnande av uppgifter ur omhändertagna journalhand- lingar. Enligt 15 § andra stycket har en myndighet som har hand om en patientjournal upprättad inom enskild hälso- och sjukvård, om uppgift ur journalen begärs för särskilt fall, samma skyldighet att lämna uppgiften som den haft som ansvarat för journalen före över- lämnandet till myndigheten.

I förarbetena till bestämmelsen (a. prop. s. 16 f. och 25 f.) utgick föredragande statsrådet från att en journalhandling inom enskild hälso- och sjukvård som omhändertagits efter beslut av Socialstyrel- sen blir allmän handling när den kommer in till arkivmyndigheten. Det innebär att den i tryckfrihetsförordningen föreskrivna rätten att ta del av allmänna handlingar då kommer att gälla beträffande jour- nalhandlingen. Av det skälet infördes en bestämmelse i sekretess- lagen (nuvarande 7 kap. 1 c § tredje stycket) om sekretess för uppgift

283

En ny reglering av patientjournalföringen

SOU 2006:82

om enskilds hälsotillstånd eller andra personliga förhållanden i verk- samhet som avser omhändertagande av patientjournal. Eftersom om- händertagna patientjournaler kommer från den enskilda hälso- och sjukvården där det – till skillnad från patientjournaler inom allmän hälso- och sjukvård – saknas en allmän rätt för annan än patienten att ta del av uppgifterna i journalerna, begränsades möjligheterna att lämna ut uppgifter ur omhändertagna journaler utan patientens med- givande. Uppgift får, enligt den nämnda bestämmelsen i sekretess- lagen, lämnas till hälso- och sjukvårdspersonal om uppgiften behövs för vård eller behandling och det är av synnerlig vikt att uppgiften lämnas. Enligt förarbetena innebär detta i princip att endast läkare, tandläkare eller andra vårdgivare inom allmän eller enskild hälso- och sjukvård som verkligen behöver uppgifterna för vård eller be- handling skall ha rätt att ta del av dessa utan patientens medverkan. I övrigt måste patientens samtycke först inhämtas. Som exempel på situationer när ett utlämnande bör kunna ske utan inhämtande av samtycke från den enskilde nämns att uppgiften är av mycket stor eller t.o.m. avgörande betydelse för vård av den som uppgiften rör men att denne inte kan lämna sitt medgivande på grund av medvets- löshet eller annat.

Bestämmelsen i 15 § andra stycket patientjournallagen innebär en uppgiftsskyldighet för arkivmyndigheten och avser fall då den som varit ansvarig för journalhandlingarna före beslutet om omhänder- tagande varit skyldig att lämna ut i övrigt sekretessbelagda uppgifter i handlingarna. Sådan uppgiftsskyldighet föreligger, enligt förarbe- tena, exempelvis för uppgifter som kan behövas i ett tillsynsärende hos Socialstyrelsen och uppgifter som smittskyddsläkaren behöver för att kunna fullgöra sina uppgifter enligt smittskyddslagen m.m. Eftersom arkivpersonal m.fl. endast har i uppgift att förvara hand- lingarna och normalt inte har anledning att studera dessa, begränsades arkivmyndighetens skyldighet att lämna uppgift till att uppgiften begärts för särskilt fall. Det innebär, enligt förarbetena, att en begäran om utlämnande inte får utformas så att exempelvis vissa typer av upp- gifter som kan finnas i omhändertagna handlingar alltid skall lämnas.

Med den som ansvarat för journalen avses i 15 § andra stycket patientjournallagen var och en som före överlämnandet haft ett an- svar för journalen. Det är inte knutet till den som hade ansvaret vid tidpunkten för överlämnandet. Att bl.a. en arkivmyndighet har samma skyldighet att lämna uppgifter som den tidigare journalansvarige innebär, enligt förarbetena, exempelvis att en uppgift i en journal- handling som tillhört en läkare inom enskild hälso- och sjukvård

284

SOU 2006:82

En ny reglering av patientjournalföringen

och som omhändertagits enligt bestämmelserna i patientjournallagen skall lämnas ut av arkivpersonalen om läkaren hade varit skyldig att lämna uppgiften. Det är däremot inte tillräckligt att läkaren hade haft rätt att lämna ut uppgiften utan det krävs att han eller hon varit skyldig att göra det.

I Socialstyrelsens tidigare nämnda skrivelse om patientjournallagen (se avsnitt 10.2.1) föreslås ingen ändring av bestämmelserna om om- händertagande. Socialstyrelsen anger dock att den i allmänna råd kommer att förtydliga i vilka fall omhändertagande av journaler skall kunna ske på ansökan av de som är ansvarig för journalerna.

Vår bedömning

Det ingår inte uttryckligen i vårt utredningsuppdrag att se över ifråga- varande bestämmelser och det har inte heller framkommit något be- hov av att göra några ändringar av dessa. Bestämmelserna kan alltså föras över oförändrade till patientdatalagen.

10.4.10 Ytterligare föreskrifter

Vår bedömning: Det behövs inte några delegationsbestämmel- ser utöver de som i dag finns i patientjournallagen och den som föreslås i fråga om signeringskravet (se avsnitt 10.4.4).

I 18 § patientjournallagen anges att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från två av kraven på journalens innehåll. Ett av undantagen har redan berörts i det föregående, nämligen i fråga om journalspråket (se av- snitt 10.4.5). Det andra undantaget gäller kravet på att i journalen anteckna patientens identitet. I sistnämnt fall får undantag föreskri- vas vid provtagning för viss sjukdom. Med stöd av denna delegations- bestämmelse har regeringen i förordningen (1986:198) om provtag- ning vid infektion av HIV medgett patienten rätt att på begäran få ta prov anonymt.

Vidare får enligt 19 § patientjournallagen regeringen eller den myn- dighet som regeringen bestämmer meddela ytterligare föreskrifter om en journalhandlings innehåll, utformning och hantering. Rege- ringen har vidaredelegerat denna föreskriftsrätt till Socialstyrelsen genom förordningen (1985:796) med vissa bemyndiganden för

285

En ny reglering av patientjournalföringen

SOU 2006:82

Socialstyrelsen att meddela föreskrifter m.m. Som redan angetts i det föregående har Socialstyrelsen meddelat flera sådana föreskrifter.

Slutligen finns en bestämmelse i 20 § patientjournallagen om att regeringen får meddela särskilda föreskrifter om patientjournaler i krig, vid krigsfara eller under sådana utomordentliga förhållanden som är föranledda av att det är krig utanför Sveriges gränser eller av att Sverige har varit i krig eller krigsfara.

Vår bedömning

Vi har i avsnitt 10.4.4 föreslagit att regeringen, eller den myndighet som regeringen bestämmer, skall få meddela föreskrifter om undan- tag från signeringskravet.

Vi har tidigare redogjort för det viktiga arbete som pågår rörande framtagande av en enhetlig informationsstruktur samt normering av begrepp och termer. Vi utgår från att detta arbete kommer att utmynna i diverse föreskrifter. Dessa kommer enligt vår uppfattning att kunna meddelas med stöd av delegationsbestämmelsen i nuva- rande 19 § patientjournallagen.

Det har vid vår översyn av bestämmelserna i patientjournallagen inte framkommit något behov av att, utöver förslaget i fråga om sig- neringskravet, ändra nuvarande delegationsbestämmelser.

Som framgått tidigare kommer vi i avsnitt 12 att behandla patient- journallagens bestämmelse om inre sekretess. Bestämmelsen före- skriver hur journalhandlingar skall hanteras och förvaras. Bemyndi- gandet i 19 § patientjournallagen för regeringen, eller den myndighet som regeringen bestämmer (Socialstyrelsen), att meddela föreskrifter om bl.a. journalhandlingars hantering omfattar således denna be- stämmelse. Socialstyrelsen har också i sina föreskrifter och allmänna råd om patientjournallagen utfärdat föreskrifter i dessa frågor. Vi vill redan nu framhålla att det förhållandet att bestämmelsen om inre sekretess inte kommer att ingå i patientdatalagens kapitel om journalföring inte betyder att delegationen inskränks. Det kommer således alltjämt vara möjligt för Socialstyrelsen att utfärda före- skrifter om hur journalhandlingar skall hanteras och förvaras.

286

11Närmare om sammanhållen journalföring

11.1Inledning

I dag pågår inom flera landsting en utbyggnad av elektroniska jour- nalsystem som är gemensamma för allt fler kliniker eller andra vård- enheter och som därigenom möjliggör en allt bredare tillgänglighet till journalinformation för landstingets hälso- och sjukvårdspersonal. Vårt förslag om att tillåta sammanhållen journalföring över vård- givargränser innebär i princip en än mer vidgad tillgänglighet till journalinformation. Syftet härmed är givetvis i första hand att genom utnyttjande av modern informationsteknik öka patientnyttan i form av ökad patientsäkerhet; viktig medicinsk information om patienten skall kunna tas fram när den behövs i den individinriktade verksam- heten. Kontinuiteten i hälso- och sjukvården får bättre förutsättningar med sådana möjligheter. Kontinuitet är inte minst viktig med tanke på att numera inte sällan allt fler vårdenheter och vårdgivare sam- verkar i vårdkedjor eller liknande, vilka sakligt sett och för den en- skilde patienten ter sig som sammanhängande processer. Att en sådan kontinuitet finns, torde ha stor betydelse för allmänhetens förtroende för hälso- och sjukvården och den enskildes upplevelse av trygghet i vården. För vissa patientgrupper såsom de s.k. multisjuka patienterna är kontinuitet av särskilt stor betydelse.

Samtidigt är det viktigt att den breddade tillgängligheten inte sker till priset av ett äventyrat förtroende för att patienternas personliga integritet respekteras inom hälso- och sjukvården. Tveklöst är patient- journalföring något av den mer integritetskänsliga dokumentation som systematiskt förekommer i vårt samhälle. Informationen rör så gott som alltid privata förhållanden om hälsa och ibland även om sexualliv, sociala förhållanden m.m. Enligt det synsätt som person- uppgiftslagen (1998:204) ger uttryck för, utgör uppgifter om hälsa och sexualliv per definition känsliga personuppgifter oavsett i vilka sammanhang de förekommer och är som sådana kringgärdade av särskilda restriktioner när det gäller behandling av personuppgifter

287

Närmare om sammanhållen journalföring

SOU 2006:82

(13–20 §§ personuppgiftslagen). Att förhållandena är rent privata syftar även på i vilket sammanhang dokumentationen sker. Hälso- och sjukvården handlar ju om en verksamhet som i allt väsentligt hör till enskilda människors helt privata sfär; vård och behandling för hälsoproblem och liknande medicinsk verksamhet där man som hjälpbehövande patient inte sällan befinner sig i en utsatt position. Sekretesslagen (1980:100) kan sägas ge uttryck härför genom att hälso- och sjukvårdssekretessen är knuten till den verksamhet vari uppgifter om hälsotillstånd och andra personliga förhållanden förekommer (7 kap. 1 c § sekretesslagen enligt lydelse fr.o.m. den 1 oktober 2006). Först nu (dvs. fr.o.m. den 1 oktober 2006) har en sekretessbestämmel- se införts som ger särskilt integritetskänsliga uppgifter om enskilds hälsa och sexualliv ett generellt minimiskydd i hela den offentliga förvaltningen, dock ett skydd som inte är tillnärmelsevis lika starkt som hälso- och sjukvårdssekretessen.

Mot bakgrund av det sagda är det givetvis inte tillfredsställande från integritetssynpunkt att journalinformation genom ny tekniks införande utan restriktioner görs åtkomlig för en vidare krets vård- givare – och därigenom en stor mängd hälso- och sjukvårdspersonal

– i en för den enskilda patienten oöverblickbar vårdapparat. Vårt förslag om öppnade möjligheter till för flera vårdgivare sammanhållen journalföring måste därför förenas med ett regelverk som syftar till att ge ett tillfredsställande skydd för enskildas personliga integritet. I detta avsnitt behandlar vi dessa frågor i de inledande avsnitten 11.2– 11.3. Av central betydelse för integritetsskyddet är givetvis även be- stämmelserna om sekretess och tystnadsplikt i sekretesslagen och i lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Sekretessfrågor behandlas i avsnitt 11.5.

En för flera vårdgivare sammanhållen journalföring reser en hel del frågeställningar angående hur en sådan ordning förhåller sig till grund- läggande regler om allmänna handlingar i tryckfrihetsförordningen, sekretesslagen och arkivlagen (1990:782). Vi har frågat oss vilka kon- sekvenser lagstiftning av detta slag har för en för flera vårdgivare sammanhållen patientjournalföring och om dagens bestämmelser innebär problem av något slag som bör eller kan lösas inom ramen för vårt arbete. Även frågor om förhållandet till patientdatalagens och personuppgiftslagens regler om personuppgiftsansvar aktualiseras liksom förhållandet till den reglering av patientjournalföring som i dag finns i patientjournallagen men som vi föreslår skall överföras till patientdatalagen, se avsnitt 10. De nämnda frågorna behandlas i avsnitt 11.4–11.8.

288

SOU 2006:82

Närmare om sammanhållen journalföring

11.2Innebörden av sammanhållen journalföring

Vårt förslag: I patientdatalagen införs en reglering som innebär att vårdgivare kan – under vissa förutsättningar – få direktåtkomst till varandras elektroniska journalhandlingar och andra person- uppgifter som behandlas för ändamål som rör vårddokumentation. Härigenom möjliggörs för sjukvårdshuvudmännen och privata vårdgivare att på frivillig väg bygga upp system för sammanhållen journalföring i gemensamma databaser eller andra gränsöver- skridande informationssystem för vårddokumentation.

Såsom vi redovisat i avsnitt 9.4.5 föreslår vi att patientdatalagen ut- tryckligen skall tillåta vårdgivare att på frivillig basis bygga upp gemen- samma databaser eller andra gemensamma elektroniska informa- tionssystem som gör det möjligt för dem att ge och få elektronisk tillgång till uppgifter om patienter som finns hos annan vårdgivare, dvs. uppgifter som finns i varandras journalhandlingar eller i annan vårddokumentation. Vi kallar detta för sammanhållen journalföring.

Vårt förslag innebär att det grundläggande systemet för patient- journalföring inte behöver förändras. Vad som menas med patient- journal och journalhandling har berörts i bl.a. avsnitt 10.4.4. Här kan tillfogas att patientjournalen närmast är en sammanhållande term för den samling av sinsemellan fristående journalhandlingar som har det gemensamt att de i vidare mening berör vården av en patient (se t.ex. prop. 1994/85:189: s. 15). För själva begreppet patientjournal innebär det inte någon avgörande skillnad om journalhandlingar samlas från flera vårdgivare eller inte. En patientjournal kan med andra ord bestå av journalhandlingar från en enda eller från flera vårdgivare. Vi ser alltså inte anledning att införa en helt ny juridisk begreppsfigur för det senare fallet.

Fortfarande är emellertid ansvaret för själva journalföringen i första hand knutet till den journalföringspliktiga yrkesutövaren. Varje elek- tronisk journalhandling kommer med vårt förslag även i fortsätt- ningen att vara knuten till en viss vårdgivare som ansvarar för hand- lingar som upprättas eller inkommer i den egna verksamheten.

Vad vårt förslag handlar om är alltså en reglering som tillåter olika slags system för att göra vårddokumentation åtkomlig över vårdgivar- gränser genom den elektroniska utlämnandeformen direktåtkomst. För en redovisning av vad vi menar med direktåtkomst hänvisas till avsnitt 8.7. Här skall kort och förenklat bara anges att direktåtkomst innebär att uppgifter lämnas ut till en extern mottagare genom att

289

Närmare om sammanhållen journalföring

SOU 2006:82

denne får en möjlighet att på eget initiativ och elektroniskt bereda sig tillgång till och ta del av utlämnarens uppgifter. Vi har i avsnitt 8.7 även föreslagit att direktåtkomst bara skall vara tillåten i den utsträck- ning som medges i lag eller förordning. Vi föreslår därför att det i patientdatalagen tas in en bestämmelse som tillåter direktåtkomst för sammanhållen journalföring. Vidare föreslår vi en uttrycklig bestäm- melse som anger vad vi menar med sammanhållen journalföring, näm- ligen en gemensam databas eller ett annat elektroniskt system, som gör det möjligt för vårdgivare att ge och få direktåtkomst till person- uppgifter hos en eller flera andra vårdgivare.

Enligt vårt förslag skall sammanhållen journalföring få omfatta inte bara journalhandlingar utan även annan vårddokumentation (se om vårddokumentation i avsnitt 8.2.3). Av detta framgår bl.a. att det i ett system för sammanhållen journalföring inte finns något hinder mot att vårdgivarna upprättar gemensamma patientöversikter med t.ex. sammanställningar av viss basinformation, sökregister m.m.

Hur systemen kommer att byggas upp får vårdgivarna själva be- stämma. Den reglering av förutsättningar för direktåtkomsten som vi föreslår i det följande, kommer dock att innebära vissa krav på systemen. Med det menar vi att systemen tekniskt och organisato- riskt måste utformas och anpassas så att dessa krav kan uppfyllas. Detsamma gäller även i fråga om direkta eller indirekta krav i annan reglering. Informationssäkerheten måste – för att ta något exempel

– anpassas inte bara till uttryckliga bestämmelser i patientdatalagen eller personuppgiftslagen utan även till sekretesslagen och arkivlagen.

Det kan anmärkas att förslagen i det följande – om förutsättningar för sammanhållen journalföring – inte innebär några inskränkningar över huvud taget i förhållande till de möjligheter som i dag finns till överföring, elektroniskt eller manuellt, av journalhandlingar eller andra patientuppgifter mellan vårdgivare. De krav som uppställs för den sammanhållna journalföringen är alltså helt knutna till att utläm- nandet sker just genom direktåtkomst. För informationsutbyte på andra sätt kommer i princip samma regler att gälla som i dag. I av- snitt 14 kommer vi dock att föreslå vissa ytterligare ändringar som underlättar informationsutbytet i det individinriktade arbetet.

290

SOU 2006:82

Närmare om sammanhållen journalföring

11.3Patientens inflytande m.m. vid sammanhållen journalföring

Vårt förslag: Patienten får en rätt att – efter att ha blivit infor- merad om vad sammanhållen journalföring innebär – motsätta sig att vårddokumentation rörande honom eller henne görs tillgäng- lig för andra vårdgivare. Sådana uppgifter skall spärras. Ett system för sammanhållen journalföring får innehålla information om att det finns spärrade uppgifter.

För att en vårdgivare skall få bereda sig tillgång till ospärrade uppgifter krävs att

1)uppgifterna rör en patient som vårdgivaren har en aktuell patientrelation med och uppgifterna kan antas ha betydelse för vården (dvs. vård, undersökning och behandling) av pa- tienten samt

2)patienten samtycker till det eller, om patientens samtycke inte kan inhämtas, uppgiften kan antas ha betydelse för den vård som patienten oundgängligen behöver.

Med patientens samtycke får direktåtkomsten också användas om det behövs för att på patientens begäran utfärda intyg om patien- tens pågående eller tidigare vård.

Direktåtkomsten får därutöver inte användas för några andra ändamål, inte ens med patientens samtycke.

Ett vanligt sätt att beskriva begreppet personlig integritet i samband med informationshantering är att den enskilde skall kunna kontrollera spridningen av uppgifter om sig själv eller ha en rätt att bestämma vilka uppgifter om sig själv som han eller hon vill dela med sig till andra (se t.ex. prop. 1997/98:108 s. 27).

En grundläggande principfråga i detta sammanhang är därför i vad mån patienten bör ha något inflytande över den potentiellt sett breda tillgänglighet till journaluppgifter som informationstekniken möjliggör. Frågan har enligt vår uppfattning relevans inte bara när det gäller vårt förslag om för flera vårdgivare sammanhållen journal- föring utan även för de gemensamma journalsystem som redan finns eller är under utveckling inom stora vårdgivare, t.ex. i landsting som centrerar all hälso- och sjukvård i samma nämnd, eller Praktiker- tjänst AB med ett stort antal mottagningar och anställda spridda över landet. Den frågeställningen behandlas emellertid först i nästa

291

Närmare om sammanhållen journalföring

SOU 2006:82

avsnitt, avsnitt 12. I detta avsnitt diskuteras endast patientens in- flytande i samband med för flera vårdgivare sammanhållen journal- föring.

11.3.1Vad gäller i dag?

Såsom närmare beskrivits i avsnitt 10.4.3 är det en skyldighet för vissa yrkeskategorier inom hälso- och sjukvården att föra patient- journaler. Denna skyldighet gäller oberoende av patientens inställning till dokumentationen som sådan. Eftersom patientens samtycke till vård och behandling som huvudregel är en förutsättning för hälso- och sjukvården, får en enskild som motsätter sig journalföringen antingen avstå från vården eller låta bli att lämna upplysningar som annars skulle ha antecknats i journalen. I detta avseende kan sägas att gällande rätt avspeglar lagstiftarens prioritering av andra intressen framför patientintegritet; främst intresset av att patienten får en god och säker vård men även bl.a. rättssäkerhets- och tillsynsintressen (se t.ex. prop. 1984/85:189 s. 14).

Förs en patientjournal elektroniskt, ingår den i ett vårdregister som omfattas av lagens (1998:544) om vårdregister (vårdregisterlagen) och personuppgiftslagens tillämpningsområde. Enligt dessa lagar får personuppgifter behandlas i vårdregister oberoende av patientens inställning till personuppgiftsbehandlingen. Patientens samtycke till registreringen eller annan personuppgiftsbehandling krävs alltså inte. I vårdregisterlagens förarbeten anfördes bl.a. att en konsekvens av ett samtyckeskrav skulle vara att en vårdgivare som önskar använda IT för journalföring, måste föra patientjournaler enligt två parallella system, ett manuellt för det fåtal patienter som inte accepterar automatiserad behandling och ett automatiserat för övriga patienter (prop. 1997/98:108 s. 83 f.). Enligt regeringen skulle en sådan dubbel- registrering kunna få otillfredsställande återverkningar både på den arbetsmässiga och på den finansiella situationen för registerhållaren.

Enligt gällande rätt har en patient således inget rättsligt sanktio- nerat inflytande över huruvida patientjournaler förs eller huruvida de förs elektroniskt.

Inte heller har patienten någon omedelbar rätt enligt regleringen för personuppgiftsbehandling – i personuppgiftslagen eller vård- registerlagen – till inflytande över eventuell överföring av journal- uppgifter mellan olika vårdgivare, om överföringen sker i vårdsyfte eller för andra ändamål som avses i 3 § eller 4 § vårdregisterlagen.

292

SOU 2006:82

Närmare om sammanhållen journalföring

Patientens rätt i sistnämnt avseende härrör i stället från grund- läggande regler om respekt för patientens självbestämmande och inte- gritet i hälso- och sjukvårdslagen (1982:763) samt i regler i sekretess- lagen respektive lagen om yrkesverksamhet på hälso- och sjukvårdens område.

Hälso- och sjukvårdslagens principbestämmelse om respekt för patientens självbestämmande och integritet samt att vården så långt möjligt skall utföras i samråd med patienten gäller nämligen inte bara i fråga om den mer fysiska integriteten, exempelvis i fråga om vilka faktiska behandlingsåtgärder och liknande som skall vidtas. Bestäm- melsen är generellt utformad och har även bäring på hanteringen av information om patienten. Bestämmelsen anses t.ex. föra med sig att det är ett naturligt inslag i vården att patientens samtycke inhäm- tas till att hans eller hennes journalhandling lämnas vidare till en annan vårdenhet (prop. 1990/91:111 s. 24). Även i lagen om yrkesverk- samhet på hälso- och sjukvårdens område föreskrivs att hälso- och sjukvårdspersonal så långt möjligt skall utforma och genomföra vården i samråd med patienten och visa patienten omtanke och respekt (2 kap. 1 §).

Frågan om sekretesslagen och sammanhållen journalföring kommer närmare att behandlas i avsnitt 11.5. Redan här kan kortfattat näm- nas att journalhandlingar och annan vårddokumentation omfattas av hälso- och sjukvårdssekretess och presumeras vara hemliga. Det krävs därför som huvudregel att en undantagsbestämmelse är tillämplig för att en uppgift skall kunna lämnas ut. En sådan bestämmelse är att den enskilde kan helt eller delvis efterge sekretess som gäller till skydd för honom eller henne, se 14 kap 4 § sekretesslagen; dvs. patienten kan samtycka till att uppgifter lämnas ut. Det finns också andra bestämmelser som innebär att hälso- och sjukvårdssekre- tessen inte hindrar att en uppgift lämnas, se närmare avsnitt 11.5. Över tillämpningen av de sistnämnda bestämmelserna har den en- skilde inget inflytande.

När det gäller privat hälso- och sjukvård finns ingen uttrycklig bestämmelse som ger den enskilde patienten ett generellt inflytande över om uppgifter om honom eller henne får eller inte får lämnas ut. I praktiken tillmäts patientens inställning dock en stor betydelse i sammanhanget.

293

Närmare om sammanhållen journalföring

SOU 2006:82

11.3.2Utgångspunkter

Enligt vår uppfattning är det av samma skäl som anförts i förarbetena till vårdregisterlagen, se ovan, eftersträvansvärt att den nya regle- ringen och möjligheterna till sammanhållen journalföring inte kom- bineras med restriktioner som tvingar vårdgivarna att hålla sig med parallella, separata informationssystem; ett system för patienter som accepterar den sammanhållna journalföringen och ett system för dem som inte gör det. I stället bör regleringen ta sikte på hur till- gängligheten till journalinformation och annan vårddokumentation skall kunna begränsas i syfte att skydda patienters personliga integri- tet. En viktig utgångspunkt i våra överväganden i denna fråga är att hitta lösningar som är praktiskt smidiga och så pass enkla att tillämpa att de inte skapar en administrativ börda eller annat betydande mer- arbete i hälso- och sjukvårdspersonalens dagliga arbete som riskerar att förta nyttan i stort med sammanhållen journalföring.

En ytterligare utgångspunkt för övervägandena i det följande är att det i första hand inte handlar om sekretessfrågor eller andra lag- stiftningstekniska problem utan att fokus i stället sätts på frågorna i sak. Hur bör ett tillfredsställande integritetsskydd konstrueras? I vad mån bör detta skydd ta sig uttryck i att patienten har medbe- stämmanderätt över informationstillgången i sådana breda system som sammanhållen journalföring kan innebära? Hur kan medbestämman- det i så fall konkretiseras? Bör det vara inriktat redan på skede 1, den situation då journalföring sker eller först på skede 2, den senare situationen när det är aktuellt att ta del av en annan vårdgivares tidi- gare journaluppgifter? Eller både och?

11.3.3Skede 1 – Patientens möjlighet att ta ställning till om uppgifter skall vara tillgängliga via sammanhållen journalföring

Redan den omständigheten att uppgifter är potentiellt sett tillgäng- liga kan av olika anledningar vara skrämmande för många patienter. Enligt vår uppfattning är det därför av avgörande betydelse för integritetsskyddet att patienten har möjlighet att få gehör för sin inställning redan vid det aktuella vårdtillfället som journalförs eller då uppgifter annars dokumenteras; alltså redan då uppgifterna kan göras potentiellt sett tillgängliga även för andra vårdgivare som del- tar i ett system för sammanhållen journalföring. En annan ordning

294

SOU 2006:82

Närmare om sammanhållen journalföring

skulle, menar vi, inte rimma med den hörnsten i hälso- och sjuk- vårdslagstiftningen som går ut på att verksamheten skall bygga på respekt för patientens självbestämmande och integritet och att vården och behandlingen skall så långt möjligt utformas och genomföras i samråd med patienten.

När det gäller de närmare övervägandena om hur patientens in- ställning skall beaktas kan anmärkas att det i våra första tilläggs- direktiv anges att vår utgångspunkt ”… skall, liksom i dag, vara att den enskilde skall lämna ett uttryckligt och informerat samtycke till utbyte av information om honom eller henne och till alla konkreta åtgärder som vidtas för dennes vård och behandling. Om undantag från denna huvudregel föreslås skall fördelar och nackdelar med ett sådant förslag noggrant belysas.”

Vi är emellertid inte övertygade om det lämpliga i att kräva ett uttryckligt – skriftligt eller muntligt – och informerat samtycke när det gäller huruvida vårddokumentation skall få göras tekniskt sett tillgänglig för andra vårdgivare i en sammanhållen journalföring. Vi befarar att det skulle kräva alltför mycket merarbete för hälso- och sjukvården sedd som helhet att dagligen administrera detta inhäm- tande av uttryckligt samtycke från varje ny eller nygammal patient, en oro som erfarenheter från införandet av lagen (2002:297) om biobanker i hälso- och sjukvården m.m. (biobankslagen) ger visst fog för.

Ett krav på uttryckligt och informerat samtycke avviker vidare från vad som gäller för hälso- och sjukvårdsverksamhet i övrigt där något absolut krav på att samtycke till vårdåtgärder skall vara ut- tryckligt och informerat inte uppställs utom i vissa särskilt reglerade fall. Presumerade eller tysta samtycken accepteras i inte ringa ut- sträckning (se t.ex. redogörelsen för olika slags samtycken i Rynning, Samtycke till medicinsk vård och behandling – En rättsvetenskaplig studie, Uppsala 1994, s. 316 f.). Inte heller i sekretesslagen uppställs krav på att enskilds samtycke till ett uppgiftsutlämnande skall vara uttryckligt och informerat (se vidare avsnitt 11.5).

Mot bakgrund av det sagda anser vi att det finns starka skäl att införa något annat slag av samtycke än det uttryckliga och infor- merade när det gäller sammanhållen journalföring. Vi föreslår därför att patienten vid varje vårdepisod skall ha en möjlighet att motsätta sig att vårddokumentation görs tillgänglig för utomstående vård- givare. Det innebär dock inte att den enskilde får en rätt att motsätta sig att uppgifter journalförs eller annars dokumenteras i det elektro- niska system som vårdgivaren använder. Det innebär bara att upp-

295

Närmare om sammanhållen journalföring

SOU 2006:82

giften på den enskildes begäran spärras för tillgänglighet för hälso- och sjukvårdspersonal m.fl. hos andra vårdgivare. Direktåtkomst föreslås således inte få förekomma till spärrade uppgifter. Det skall med andra ord inte vara tekniskt möjligt för extern personal att läsa spärrad information.

Vi föreslår inte något undantag som innebär att en spärr i en akut nödsituation får forceras av en extern vårdgivare. Den enskildes aktiva ställningstagande om att uppgifter inte skall finnas potentiellt till- gängliga bör enligt vår uppfattning respekteras obetingat. Det ligger emellertid i sakens natur att en spärr skall på enskilds begäran kunna hävas, men då av den vårdgivare som lagt in spärren.

Däremot föreslår vi att det i ett system för sammanhållen journal- föring skall kunna få ingå uppgift om att systemet innehåller spärrad information. Det tror vi kan ha fördelar i enskilda vårdsituationer genom att kunna öppna upp en önskvärd dialog mellan patienten och läkaren eller annan vårdpersonal. Av integritetsskäl bör det dock inte framgå något mer än att det finns spärrad information.

Det sagda om spärrad information kräver elektroniska informa- tionssystem som rent tekniskt är konstruerade för att hantera detta. Enligt vad vi erfarit finns det redan i vissa befintliga journalsystem funktioner för att begränsa åtkomst eller spärra information. Vi förutsätter att våra förslag i detta hänseende inte på ett negativt sätt kommer att försvåra utvecklingen av IT i hälso- och sjukvården. Vidare menar vi att det får ankomma på vårdgivare att skapa rutiner och system som innebär att den ordningen att journalförare ibland måste spärra uppgifter inte medför något nämnvärt merarbete för personalen.

Givetvis måste denna opt out-ordning kombineras med krav på att patienten blir informerad om att journalföring m.m. avses ske i en för flera vårdgivare sammanhållen journalföring och, inte minst viktigt, om sin rätt att motsätta sig att uppgifterna görs tillgängliga för andra vårdgivare än den patienten uppsökt. Enligt vår uppfatt- ning bör tillgängliggörandet inte få ske innan denna information lämnats. Det bör uttryckligen framgå i patientdatalagen att detta är

296

SOU 2006:82

Närmare om sammanhållen journalföring

en förutsättning för sammanhållen journalföring. Hur denna infor- mation skall lämnas kan inte anges generellt. Det säger sig självt att information inte skall behöva lämnas vid varje kontakttillfälle med en patient eller varje gång nya uppgifter registreras i ett elektroniskt informationssystem för vårddokumentation. Vi förutsätter att hälso- och sjukvårdens aktörer hittar lämpliga former som är väl avvägda och anpassade till olika verksamhetsområden och till olika slags samarbeten mellan vårdgivare genom sammanhållen journalföring.

Vi föreslår vidare att patientens rätt att begära att uppgifter i den sammanhållna journalen spärras inte skall vara tidsbegränsad. När som helst bör patienten kunna begära spärrning av uppgifter hos den vårdgivare till vilken vårddokumentationen hör, låt vara att annan vårdgivare redan kan ha tagit del av uppgifterna. Det behöver, en- ligt vår uppfattning, dock inte innebära någon nämnvärd olägenhet för patienten. Fördelen med den sammanhållna journalföringen är ju att vårdgivarna normalt inte skall behöva ladda ned och lagra om- fattande kopior av andra vårdgivares journalhandlingar för att bifoga dem till den egna journalföringen. Spärras uppgifterna först i efter- hand av en vårdgivare, skall de alltså normalt inte finnas tillgängliga via en annan vårdgivare.

11.3.4Skede 2 – Patientens möjlighet att ta ställning till om direktåtkomsten skall få användas

Med förslaget i det föregående kommer det i praktiken att bli en presumtion för att uppgifterna får göras tillgängliga för andra vård- givare som är anslutna till en gemensam patientdatabas eller annat informationssystem. För att fungera på ett för den enskilde tydligt sätt kommer det som nyss sagts krävas att patienten informeras om att han eller hon faktiskt har ett val. Fullständig säkerhet om att in- formationen alltid når fram och förstås av alla patienter är ändå svår att uppnå. Man kan också befara att det ofta är ett svårt ställnings- tagande för patienter; något som kan inbjuda till ett passivt val. Även för den som vill göra ett aktivt val och fullt ut förstår vad det handlar om, kan det vara svårt att i förlängningen förutse och mot varandra väga konsekvenserna i en oviss framtid av det ena eller andra ställ- ningstagandet. Patienten kan vidare känna sig i ett underläge i för- hållande till läkaren och därför ha svårt att uttrycka sin vilja i frågan.

Mot bakgrund av de förhållanden som påtalats i det föregående anser vi att patientens opt out-möjligheter beträffande vårddoku-

297

Närmare om sammanhållen journalföring

SOU 2006:82

mentationens tillgängliggörande för andra vårdgivare, inte räcker för att ge patienten ett tillförlitligt integritetsskydd vid sammanhållen patientjournalföring.

Det främsta skälet till att möjliggöra sammanhållen journalföring är den stora nyttopotential för den enskilde patienten som en sådan journal innebär. Det är därför angeläget att patienter inte ”för säker- hets skull” motsätter sig att uppgifter görs tillgängliga i det samman- hållna journalföringssystemet. Ett sådant beteende motverkas, tror vi, om den enskilde patienten får ett inflytande även i det senare skedet, skede 2, då någon extern vårdgivare tar del av uppgifterna.

Därför föreslår vi att patienten också får en rätt att bestämma om en vårdgivares hälso- och sjukvårdspersonal skall få ta del av annan vårdgivares vårddokumentation som finns tillgänglig i den samman- hållna journalföringen. Det beslutet bör tas i anslutning till att patien- ten har en inledande kontakt med en ny vårdgivare eller då behovet annars i det konkreta fallet uppstår. Rimligen är det i denna kon- kreta situation normalt ganska oproblematiskt för patienten att ta ställning i frågan, i vart fall i jämförelse med ett beslut huruvida in- formation skall spärras eller inte.

En opt out-modell i skede 2 kan, befarar vi, vålla stor osäkerhet både bland patienter och personal angående vad som kan eller inte kan presumeras om vad patienten går med på. I denna situation före- språkar vi ett krav på aktivt samtycke från patienten, dvs. att det skall inhämtas ett samtycke till att direktåtkomsten till annan vårdgivares vårddokumentation används. Något formellt krav på att samtycket skall vara uttryckligt eller att det skall dokumenteras bör dock inte uppställas.

Samtycket bör, som framgått av det nyss sagda, inhämtas först i skede 2, dvs. då den konkreta situation uppstått att den enskilde kommit som patient till en annan vårdgivare än den vars vårddoku- mentation behövs. Under förutsättning att personuppgiftslagens krav på att ett samtycke skall vara särskilt och otvetydigt uppfylls, menar vi emellertid att det finns utrymme att i vissa fall lämna ett samtycke i förväg. Redan i skede 1 – dvs. då patienten är hos den första vårdgivaren som dokumenterat uppgifterna – kan med andra ord patienten inte bara låta bli att kräva en spärr, utan också lämna samtycke i förväg till att en viss eller vissa kommande vårdgivare får använda direktåtkomsten vid en planerad och konkret vårdsituation. Detta bör t.ex. kunna komma i fråga avseende patienter som skrivs ut från sluten vård vid ett landstingssjukhus till fortsatt vård vid en vårdcentral i privat regi. Ett annat exempel är då patienten befinner

298

SOU 2006:82

Närmare om sammanhållen journalföring

sig i en vårdprocess som inbegriper flera olika vårdgivare och där patienten skickas runt mellan dessa i ett remissförfarande. Om sam- tycke i dessa fall inte kan lämnas i förväg, får personalen hos dessa senare vårdgivare inte rimliga möjligheter att förbereda sina vård- insatser på ett relevant sätt; något som inte är till gagn för patienten. Det i förväg lämnade samtycket kan i dessa fall lämpligen dokumen- teras av den första vårdgivaren på remissen, utskrivningsmeddelandet eller motsvarande. Att patienten i skede 1 lämnar samtycke i fråga om situationer som varken är konkretiserade till viss vårdgivare eller viss situation kan dock inte tillåtas; sådana generella samtycken upp- fyller inte personuppgiftslagens krav på giltighet.

Som nyss sagts föreslår vi inget undantag från förbudet för vård- givare att bereda sig tillgång till information som spärrats av en annan vårdgivare; genom spärren förutsätts en sådan forcering inte heller vara teknisk möjlig. När det däremot gäller ospärrad information föreslår vi att det uttryckligen skall anges att informationen skall få inhämtas då den behövs för den vård eller behandling som patienten oundgängligen behöver, t.ex. i ett akut fall där det inte är rimligt att lägga tid på att fråga patienten om samtycke eller det inte är möjligt att utröna patientens inställning. Vi menar att detta är en rimlig lösning, eftersom patientens underlåtenhet att begära spärrning av vårddokumentation antyder en önskan om att dokumentationen skall kunna vara tillgänglig vid ett akut insjuknande eller liknande.

I detta sammanhang bör påpekas att vi inte föreslår särregler för vuxna patienter som tillfälligt eller varaktigt brister i beslutsförmåga. Hur dessa skall hanteras i hälso- och sjukvården har nyligen utretts av Utredningen om förmyndare, gode män och förvaltare. Den ut- redningen har bl.a. föreslagit en ny lag om ställföreträdare för vuxna med bristande beslutsförmåga inom hälso- och sjukvården samt vissa ändringar i sekretesslagen och personuppgiftslagen (SOU 2004:112). Utredningens förslag bereds för närvarande i Regeringskansliet. En- ligt vår uppfattning bör de nämnda förslagen ligga till grund för hur denna patientgrupp skall hanteras i det avseende som här är i fråga.

Inte heller föreslår vi några särskilda bestämmelser när det gäller barn och tonåringar. Dessa menar vi bör hanteras på motsvarande sätt som i den övriga verksamheten inom hälso- och sjukvården när det gäller t.ex. vems samtycke till en konkret åtgärd som är centralt; vårdnadshavarens eller den underåriges?

Ett problem är emellertid om en journal innehåller uppgifter om annan enskild än patienten. Sådana uppgifter om tredje man skall normalt undvikas men måste ändå kunna förekomma när det är be-

299

Närmare om sammanhållen journalföring

SOU 2006:82

fogat. Oftast rör det sig om helt harmlösa uppgifter såsom t.ex. kon- taktuppgifter, men inte alltid. Vi föreslår dock inte någon särregel för detta fall.

11.3.5Ytterligare förutsättningar

I registerlagstiftning förekommer ibland att lagstiftaren på något sätt begränsar vilken information ett register eller en databas får innehålla eller vilka kategorier av personuppgifter som får eller inte får behandlas samt vilken information direktåtkomst får avse.

Vi har övervägt om det vore lämpligt att skapa särregler som undan- tar viss slags information från tillgänglighet i sammanhållen journal- föring. En sådan begränsning skulle naturligen avse information som enligt en allmänt utbredd uppfattning i samhället är av mer integritetskänslig art än annan information, exempelvis journalupp- gifter rörande psykiska eller veneriska sjukdomar, sexuella övergrepp, missbruk etc. Ett snarlikt alternativ är att undanta uppgifter från vissa speciellt känsliga verksamhetsområden såsom psykoterapi eller sär- skilda mottagningar för våldtagna kvinnor för att ta några exempel.

Flera problem skulle emellertid vara förknippade med sådana be- gränsningar. Ett problem är svårigheterna att objektivt och generellt beskriva vilken slags information som är mer känslig än annan. Vi tror att det i det närmaste är en omöjlig uppgift, bl.a. eftersom en mängd faktorer av mycket individuell karaktär inverkar på vilken information som i en given stund är av särskilt integritetskänslig art och därför inte bör få göras tillgänglig för andra vårdgivare i ett sammanhållet journalföringssystem. Enligt vår uppfattning är det redan av den anledningen olämpligt att i lag närmare precisera viss slags information som förbjuden att göra tillgänglig i en samman- hållen journalföring. Ett sådant absolut förbud kan vidare gå stick i stäv med patienters egna önskemål och den patientnytta som sam- manhållen journalföring innebär. Ett ytterligare problem är att det som eventuellt skulle kunna gå att fastställa som särskilt känslig in- formation kan dyka upp lite varstans i hälso- och sjukvården och i sammanhang som inte går att förutse på ett heltäckande sätt. Det ter sig därför inte lämpligt att undanta vissa verksamhetsområden inom hälso- och sjukvården från sammanhållen journalföring. Sam- mantaget har vi därför funnit att övervägande skäl talar för att inte undanta viss information eller vissa områden inom hälso- och sjuk- vården från möjligheten till sammanhållen journalföring.

300

SOU 2006:82

Närmare om sammanhållen journalföring

Patientens möjligheter att spärra vårddokumentation samt att kunna motsätta sig att personal bereder sig tillgång till uppgifter som dokumenterats hos en annan vårdgivare, räcker dock inte, enligt vår uppfattning, för att tillförsäkra hälso- och sjukvårdens integritets- skydd ett bibehållet förtroende hos allmänheten vid sammanhållen patientjournalföring. Vi föreslår därför en bestämmelse som uttryck- ligen föreskriver att en vårdgivare bara får ta del av uppgifter som upprättats eller införts i den sammanhållna journalföringen av annan vårdgivare under förutsättning att vårdgivaren har en aktuell patient- relation med den enskilde patienten i fråga. Bestämmelsen är inte en regel om s.k. inre sekretess utan anger under vilka förutsättningar vårdgivaren som sådan får använda den direktåtkomst till annan vård- givares information som vårdgivaren medgetts genom den samman- hållna journalföringen. Härigenom begränsas den legala räckvidden i förhållande till den faktiska tillgången till andra vårdgivares informa- tion till att enbart omfatta de patienter som vårdas eller behandlas inom den egna verksamheten. Därutöver klargörs bl.a. att det inte är tillåtet för en vårdgivare att i en behandlingssituation med en patient söka efter och bereda sig tillgång till vårddokumentation avseende en annan patient som vårdas hos en annan vårdgivare, t.ex. en nära släkting med samma sjukdomsdiagnos.

Normalt torde det inte uppstå tveksamheter om en aktuell patient- relation föreligger eller inte. Huruvida en patientrelation över huvud taget föreligger eller har förelegat med en enskild person torde vara enkelt att konstatera. I flertalet fall torde det även falla sig naturligt att avgöra när en patientrelation är aktuell eller pågående och när man skall betrakta den som avslutad. En patientrelation bör t.ex. anses som avslutad då en intagen sjukhuspatient skrivs ut såsom färdigbehandlad utan inplanerade återbesök, efterkontroller eller lik- nande. Detsamma bör gälla om patienten skrivs ut för fortsatt vård eller uppföljning hos primärvård i annan vårdgivares regi. Tveksam- heter kan förstås uppstå. Man kan exempelvis fråga sig om en hus- läkare, och därmed den vårdgivare husläkaren hör till, har en ständigt aktuell patientrelation med alla de personer som tecknat sig hos läkaren. Så bör normalt inte bedömas vara fallet, men beträffande sådana patienter som regelbundet och relativt frekvent besöker sin husläkare kan en annan bedömning göras. Att i lag närmare definiera den exakta gränsen på sätt som helt täcker hälso- och sjukvårdens mångfacetterade verksamhet är inte möjligt. I den mån gränsdrag- ningsproblem mot förmodan uppstår i den praktiska verksamheten

301

Närmare om sammanhållen journalföring

SOU 2006:82

får det i stället överlåtas åt rättstillämpningen att från fall till fall bedöma om en patientrelation är pågående eller inte.

Vidare bör det krävas att befattningshavaren i skede 2 gör en bedömning av om uppgifter som han eller hon tänker bereda sig till- gång till kan antas ha betydelse för patientens vård eller behandling. Rekvisitet ”kan antas” är ett lågt ställt krav i sammanhanget men kräver ändå ett ställningstagande. En ortoped måste alltså göra en bedömning av om det kan antas ha betydelse för ortopedklinikens insatser att få del av vad som antecknats om höftledspatienten vid dennes besök hos en psykiatrisk öppenvårdsmottagning i ett annat landsting fyra år tidigare, för att ta ett exempel på när rekvisitet kanske inte är uppfyllt.

Vi har även diskuterat om det bör införas en tidsgräns för hur länge en vårdgivare får låta vårddokumentation vara tillgänglig utanför den egna verksamheten hos vårdgivaren. Efter den tiden skulle informa- tionen spärras för tillgänglighet på motsvarande sätt som om den enskilde hade begärt det. Det sagda innebär alltså inte att informa- tionen skulle gallras eller annars rensas bort; bara att den inte längre skulle vara tillgänglig för externa vårdgivare. Inom den egna verk- samheten skulle tillgängligheten vara fortsatt ”normal”. I många fall, har det sagts oss, är emellertid gamla uppgifter i hög grad relevanta för patientsäkerheten. Det är dessutom just gamla uppgifter som patienter glömmer att berätta om eller inte längre kommer ihåg hos vilken vårdgivare de kan finnas. För patientsäkerheten skulle det där- för i vissa fall kunna få negativa följder med en tidsgräns. Vi har därför avstått från att lämna ett sådant förslag.

11.3.6För vilka syften skall den sammanhållna journalföringen få användas?

Såsom framgått av avsnitt 8.2 används vårddokumentation för många syften som inte har direkt betydelse för den individinriktade patient- vården. Exempelvis används uppgifterna för kvalitetssäkring och annan medicinsk eller ekonomisk uppföljning av hälso- och sjuk- vården. Det förekommer även att journaler lämnas ut till forskare, för att bara nämna några exempel på olika användningsområden för patientjournaler.

Vi menar att det är av avgörande betydelse för allmänhetens för- troende för nyordningen med sammanhållen journalföring att den gränsöverskridande direktåtkomsten bara används för syften och i

302

SOU 2006:82

Närmare om sammanhållen journalföring

situationer som den enskilde kan förutse och ha kontroll över. Som kommer att framgå av avsnitt 11.5 föreslår vi ett sekretessbrytande undantag i sekretesslagen som gör det möjligt för myndigheter inom hälso- och sjukvården att lämna ut uppgifter genom att göra dem tillgängliga i den sammanhållna journalföringen utan föregående sek- retessprövning av den utlämnande myndigheten. Ett sådant undantag bör – med tanke på integritetskänsligheten i vårddokumentationen och den potentiellt sett vida spridning bland hälso- och sjukvårds- personalen som möjliggörs – inte omfatta annat än en uppgiftssprid- ning som är till direkt nytta för patienten. Vi föreslår därför att direktåtkomsten vid den sammanhållna journalföringen skall, med ett undantag, bara få användas i vårdsyfte på sätt som föreslagits i det föregående.

Undantaget avser utfärdande av intyg enligt nuvarande 10 § patient- journallagen; en bestämmelse som vi föreslagit skall föras över oför- ändrad till patientdatalagens reglering av patientjournalföringen, se avsnitt 10.4.3. Fråga är vad som skall gälla i de fall en patient begär intyg om vård som har meddelats av flera vårdgivare som är an- slutna till ett sammanhållet journalföringssystem. I dessa fall har ju andra vårdgivares journaluppgifter inte fogats till intygsutfärdarens journal. Däremot kan denne enligt våra förslag under vissa förut- sättningar få åtkomst till dessa uppgifter, nämligen om uppgifterna skall användas för ändamålet individinriktad vård och det föreligger en aktuell patientrelation.

Det skulle givetvis underlätta för patienten om denne enbart be- hövde vända sig till en av de inblandade vårdgivarna för att få ett intyg om den vård han eller hon erhållit. Detta framstår förmod- ligen också som det mest naturliga för patienten om denne tidigare samtyckt till att hans eller hennes journaluppgifter görs tillgängliga i det sammanhållna journalföringssystemet.

Det har påpekats att en sådan ordning skulle innebära merarbete för intygsutfärdaren. Enligt vår uppfattning förefaller detta dock tveksamt. Den som utfärdar intyget skall i för sig grunda detta även på övriga vårdgivares journalanteckningar. Dessa har emellertid redan varit tillgängliga för denne under vården av patienten och kunnat ligga till grund för bedömningen av åtgärder som vidtagits. Att inte införa en sådan ordning skulle enligt vår uppfattning snarare försvåra utfärdandet av intyg, eftersom intygsutfärdaren i det fall vården har upphört enbart har tillgång till de egna journalhandlingarna beträf- fande patienten.

303

Närmare om sammanhållen journalföring

SOU 2006:82

Vi menar därför att det skall vara möjligt för en patient som har vårdats av flera vårdgivare som deltar i ett sammanhållet journal- föringssystem att vända sig till en av dem för att få ett intyg om den vård som har meddelats. Detta kräver enligt vår bedömning inte någon ändring av patientjournallagens bestämmelse om skyldigheten att utfärda intyg.

Däremot krävs att det blir tillåtet att använda uppgifterna i den sammanhållna journalföringen även för ändamålet utfärdande av in- tyg. Vidare krävs att en vårdgivare – trots att denne inte har en aktuell patientrelation med patienten i fråga – ges rätt att bereda sig till- gång till uppgifter som införts i den sammanhållna journalföringen av en annan vårdgivare för att på patientens begäran utfärda intyg om vården. Eftersom det är patienten som begär att intyget skall utfär- das, så måste denne därmed anses ha samtyckt till att den som skall utfärda intyget tar del av de journaluppgifter i den sammanhållna journalföringen som är hänförliga till den aktuella vården.

Inskränkningen i fråga om direktåtkomstens användningsområde till vårdsyfte och utfärdande av intyg på begäran av patienten bör vara ovillkorlig. Patienten bör alltså inte kunna samtycka till annan användning av en vårdgivares direktåtkomst till andra vårdgivares vårddokumentation. Förutom att vi anser att detta förbud har bety- delse från integritetssynpunkt, menar vi att det också kan ha betydelse för anslutna vårdgivare. I annat fall kan det vara svårt för dessa att förutse i vilka sammanhang deras vårddokumentation kan komma att användas av andra vårdgivare. För en privat vårdgivare kan det t.ex. vara av betydelse för beslutet att ansluta sig till sammanhållen journalföring att veta t.ex. att landstinget inte får lov att inhämta samtycke från patienter till att använda direktåtkomsten för att kon- trollera den privata vårdgivarens verksamhet eller att konkurrerande vårdgivare inte på motsvarande sätt kan be patienter om lov att få använda direktåtkomsten på ett sätt som kan skada den utlämnande vårdgivaren. Vi föreslår därför ett uttryckligt förbud mot att ens med patientens samtycke använda direktåtkomsten via sammanhållen jour- nalföring för andra syften än de uttryckligen tillåtna.

Slutligen kan poängteras att bestämmelserna om sammanhållen journalföring bara reglerar ett visst sätt att göra journaler tillgängliga över gränser, elektroniskt och utan föregående sekretessprövning i varje enskilt fall då direktåtkomsten används.

För det fall en vårdgivare vill använda andra vårdgivares uppgifter för t.ex. verksamhetsuppföljning, får uppgifterna begäras ut på samma sätt som i dag, dvs. kontakt får tas med de andra vårdgivarna med en

304

SOU 2006:82

Närmare om sammanhållen journalföring

begäran om att få del av uppgifterna, varefter en sekretessprövning måste göras. I avsnitt 15 och 17 återkommer vi till frågor om sam- manhållen journalföring och verksamhetsuppföljning respektive forskning inom hälso- och sjukvårdsområdet.

11.3.7Sammanfattning och avslutande synpunkter

Sammanfattningsvis föreslår vi således att den enskilde patienten skall ha en rätt att motsätta sig att uppgifter görs tillgängliga för andra vårdgivare i den sammanhållna journalföringen. Utnyttjar patienten sin rätt, skall uppgifterna spärras. Spärrade uppgifter får inte vara tekniskt åtkomliga genom direktåtkomst för andra vårdgivare.

För det fall patienten inte motsätter sig ett tillgängliggörande i den sammanhållna journalföringen föreslås att hans eller hennes sam- tycke som huvudregel skall vara en förutsättning i det senare skedet, skede 2, då personal hos en vårdgivare behöver ta del av uppgifter som en annan vårdgivare dokumenterat. Undantag från huvudregeln gäller om samtycke inte kan inhämtas och uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver. Vidare anges som en förutsättning att endast vårdgivare hos vilken en aktuell patientrelation förekommer får ta del andra vårdgivares vårddoku- mentation via direktåtkomst samt att uppgifterna skall antas ha bety- delse för vården av patienten. Direktåtkomsten får vidare användas för att på patientens begäran utfärda intyg.

Våra förslag skall förstås så att de anger den yttre ramen för det tillåtna när det gäller sammanhållen journalföring. Som framgått av tidigare avsnitt är det upp till vårdgivarna att på frivillig väg sam- arbeta i individinriktat patientarbete genom sammanhållen journal- föring. Inget hindrar givetvis att vårdgivare i sådana samarbeten tillämpar strängare krav på t.ex. samtyckets utformning än vad lagen kräver eller anger en tidsfrist för hur länge uppgifter får vara tillgäng- liga för andra vårdgivare. Så kan ju vara lämpligt på många områden lika väl som att det kan vara lämpligt att helt utesluta viss särskilt känslig information från sammanhållen journalföring. Enligt vår uppfattning bör det överlåtas till vårdgivarna att inom lagens ramar närmare bestämma över detta.

Vi har i utredningen fört en diskussion om huruvida en spärr skall i en akut nödsituation kunna forceras av en extern vårdgivare. Ett argument som framförts är att många patienter utan denna möjlighet till nödöppning, inte kommer att våga utnyttja sin rätt att begära att

305

Närmare om sammanhållen journalföring

SOU 2006:82

uppgifterna spärras trots att de egentligen vill det. Patientens rätt till självbestämmande och valmöjlighet sägs därigenom bli kring- skuren genom ett missriktat integritetsskydd.

Vi menar dock att det är av fundamental betydelse att gå försiktigt fram vid införande av ny lagstiftning om öppnade möjligheter till spridning av känslig information. De patienter som till varje pris vill behålla en hemlighet måste kunna vända sig till svensk hälso- och sjukvård i den trygga förvissningen om att kunna få gehör för sin klart uttalade vilja om hur spridd den elektroniska tillgängligheten till information om honom eller henne skall vara för hälso- och sjuk- vårdspersonal inom landet. Innebörden av självbestämmanderätten är ju bl.a. att också beslut som för en utomstående ter sig mindre rationella respekteras.

Det går inte att nu göra annat än antaganden om hur många som kommer att välja att spärra uppgifter. Inte heller kan vi nu veta något om anledningen till att patienter inte spärrar uppgifter. Den nyord- ning som vi föreslår får naturligen utvärderas i sinom tid.

Visar det sig vid en framtida utvärdering att många patienter spärrar sina uppgifter och att det leder till problem utifrån patientsäkerhets- synpunkt vid akutsjukvård, kan det finnas skäl att överväga lagänd- ring som gör undantag från den ordning som vi föreslagit. Vi vill dock i detta sammanhang särskilt påpeka att förslaget om absoluta spärrar inte på något sätt innebär några försämrade möjligheter för hälso- och sjukvården att få tillgång till information än vad man i dag har. Ordinära kanaler via telefonsamtal, telefax, e-post m.m. kan givetvis fortfarande användas för att efterforska information som sedan kan lämnas ut, dock inte utan att en sekretessprövning görs av utlämnaren.

Skäl att göra ett undantag från de absoluta spärrarna skulle också kunna övervägas om en framtida utvärdering visar att situationen snarare är den omvända. Patienter som egentligen vill spärra känner sig tvingade att låta bli av rädsla för att viktig information då inte skall finnas elektroniskt tillgänglig vid en eventuell kommande livs- hotande akutsituation.

Vi är emellertid inte övertygade om att de farhågor som kommit till tals är befogade. Exempelvis bör det krav på samtycke m.m. som vi föreslår skall gälla i skede 2 kunna tillfredsställa flertalet av de patienter som vill att ospärrade uppgifter om dem bara skall få använ- das i nödsituationer. I sammanhanget kan också påpekas att våra förslag om krav på absoluta spärrmöjligheter inte på något sätt hindrar vårdgivare från att bygga system med mer finmaskiga spärrar än de

306

SOU 2006:82

Närmare om sammanhållen journalföring

vi föreslagit skall gälla som rättsligt krav. Exempelvis kan vårdgivare inom ramen för våra förslag bygga system där patienter kan välja mellan olika grader av spärrar, t.ex. att spärra information för alla andra vårdinrättningar än landets akutmottagningar eller liknande. Vi har dock avstått från att införa sådana graderade möjligheter som ett rättsligt krav på vårdgivarna.

I avsnitt 12 kommer vi att föreslå en del ytterligare åtgärder som kommer att få betydelse även vid sammanhållen journalföring, t.ex. att användning av direktåtkomsten skall loggas och kunna spåras av den patient som oroar sig för missbruk.

Under alla förhållanden menar vi att det inte går att dra några slut- satser om i vilken mån och varför patienter kommer att göra det ena eller andra valet och vilken betydelse det kommer att få för en god och säker vård. Vi menar därför att våra förslag på nuvarande stadium är en rimlig avvägning mellan patientnyttan och integritetsriskerna med sammanhållen journalföring.

11.4Tryckfrihetsförordningen och sammanhållen journalföring

Vår bedömning: Tryckfrihetsförordningen hindrar inte att hälso- och sjukvårdens myndigheter deltar i sammanhållen journalföring.

Patientjournaler och annan vårddokumentation inom den allmänna hälso- och sjukvården omfattas av 2 kap. tryckfrihetsförordningens bestämmelser om allmänna handlingar, något som ofta anförts som ett hinder för gränsöverskridande IT-lösningar inom hälso- och sjuk- vården. Under vårt arbete har vi stött på önskemål om att patient- journaler skall undantas från offentlighetsprincipen i 2 kap. tryck- frihetsförordningen. Exempelvis har Socialstyrelsen och Sveriges Kommuner och Landsting genom bl.a. InfoVU-projektet uttryckt sådana önskemål. Synpunkter om att vi måste överväga ett sådant undantag har bl.a. framförts av IT-politiska strategigruppens tidigare arbetsgrupp för IT i vård och omsorg och av Carelink (se om dessa aktörer i avsnitt 3).

Vi har inte fått i uppdrag att utreda och överväga grundlagsänd- ringar. Något mandat att lämna förslag om att patientjournaler skall undantas från handlingsoffentligheten har vi alltså inte. Med tanke på våra förslag om sammanhållen journalföring i för flera vårdgivare gemensamma databaser eller andra elektroniska informationssystem,

307

Närmare om sammanhållen journalföring

SOU 2006:82

finns det emellertid behov av att diskutera i vad mån bestämmel- serna om allmänna handlingar i 2 kap. tryckfrihetsförordningen inne- bär hinder eller problem i sammanhanget.

11.4.1Gällande rätt

I den allmänna hälso- och sjukvården omfattas, som nyss sagts, journalhandlingar och annan vårddokumentation av 2 kap. tryckfri- hetsförordningens bestämmelser om allmänna handlingar.

Enligt 2 kap. 3 § första stycket tryckfrihetsförordningen förstås med en handling framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. En handling är allmän, om den för det första förvaras hos en myndighet och för det andra enligt bestämmelserna i 2 kap. 6 § eller 7 § tryckfrihetsförordningen anses som inkommen till eller upprättad hos en myndighet. Detsamma gäller om vården bedrivs av kommunala företag enligt de förutsättningar som anges i 1 kap. 9 § sekretesslagen. När det i det följande talas om myndighet inkluderas även sådana företag.

Beträffande upptagningar, t.ex. elektroniskt lagrade uppgifter, gäller som huvudregel att förvaringskriteriet är uppfyllt när upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myn- digheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas (2 kap. 3 § andra stycket första meningen). En upptagning är förvarad hos en myndighet, när upp- tagningen exempelvis är tillgänglig i en dator som finns hos myndig- heten. Förvaringskriteriet är också uppfyllt, om myndigheten kan ta del av upptagningen via terminaluppkoppling eller annan förbindelse med dator hos annat organ än myndigheten själv. Direktåtkomst krävs emellertid inte. Det räcker att myndigheten kan på begäran få en utskrift av upptagningen från ett organ som genom avtal med myn- digheten förvarar upptagningen åt myndigheten (prop. 1975/76:160 s. 89).

Genom en ändring av 2 kap 3 § tryckfrihetsförordningen som trädde i kraft den 1 januari 2003 har det ur förvaringshänseende gjorts en åtskillnad mellan, å ena sidan, färdiga elektroniska hand- lingar och, å andra sidan, handlingar som utgör sammanställningar av uppgifter ur en upptagning för automatiserad behandling, också kallat potentiella handlingar. Någon legal definition av de båda hand- lingsslagen har dock inte införts.

308

SOU 2006:82

Närmare om sammanhållen journalföring

Med färdig elektronisk handling avses enligt förarbetena sådana elektroniska handlingar där utställaren – myndigheten eller den som lämnat in handlingen till myndigheten – har gett den ett bestämt, fixerat innehåll som går att återskapa gång på gång. Som typiska exempel på färdiga elektroniska handlingar nämns e-brev, prome- morior, protokoll och beslut i elektronisk form.

Som exempel på potentiella handlingar nämns sammanställningar av uppgifter ur stora datoriserade myndighetsregister, där uppgifter- na kan skifta från tid till annan och där viss information avses bli sammanställd efter önskemål i det enskilda fallet (prop. 2001/02:70 s. 20 f.). Varje sammanställning av uppgifter ur sådana upptagningar anses vara en hos myndigheten förvarad handling alldeles oavsett huruvida sammanställningen tidigare gjorts och oavsett huruvida myn- digheten i sin egen verksamhet saknar anledning att göra en sådan sammanställning. Bestämmelsen är ett uttryck för den för offentlig- hetsprincipen viktiga likställighetsprincipen, som innebär att allmän- heten skall ha tillgång till datalagrad information i samma utsträckning som den är tillgänglig för myndigheten.

Åtskillnaden mellan handlingsslagen har betydelse för frågan om en upptagning är en allmän handling eller inte. Från huvudregeln om när upptagningar skall anses förvarad hos en myndighet finns näm- ligen två undantag som bara tar sikte på sammanställningar av upp- gifter ur en upptagning för automatiserad behandling. Undantagen, eller inskränkningarna, gör ingen skillnad mellan inkomna och upp- rättade handlingar.

Den första inskränkningen föreskrivs i 2 kap. 3 § andra stycket andra meningen och innebär att en sammanställning av uppgifter ur en upptagning bara anses förvarad hos myndigheten, om myndigheten kan göra sammanställningen tillgänglig med rutinbetonade åtgärder. Sammanställningar som inte kan tas fram genom rutinbetonade åt- gärder, anses däremot inte förvarade hos myndigheten och utgör alltså inte allmänna handlingar. Bestämmelsen infördes genom en ändring i tryckfrihetsförordningen som trädde i kraft den 1 januari 2003. Ändringen var emellertid en kodifiering av den praxis som under åren utbildats på området bl.a. på grundval av förarbetsuttalanden till tryckfrihetsförordningen. Genom bestämmelsen har klargjorts att en färdig elektronisk handling anses förvarad hos myndigheten även om det krävs mer än rutinbetonade åtgärder för att ta fram handlingen.

Den andra inskränkningen i fråga om förvaringskriteriet föreskrivs i tredje stycket och innebär att en sammanställning av uppgifter ur

309

Närmare om sammanhållen journalföring

SOU 2006:82

en upptagning inte anses förvarad hos myndigheten, om samman- ställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen till- gänglig; den s.k. begränsningsregeln. Begränsningsregeln gäller även om sammanställningen kan tas fram med rutinbetonade åtgärder. Med personuppgifter avses här all slags information som direkt eller indirekt kan hänföras till fysisk person (i livet eller avliden). Syftet med bestämmelsen är att allmänheten inte med stöd av offentlighets- principen skall kunna ta del av sammanställningar av uppgifter ur upptagningar som myndigheten av hänsyn till skyddet för enskildas integritet själv är rättsligen förhindrad att ta fram i sin egen verk- samhet. Endast begränsningar i lag eller förordning – t.ex. förbud i s.k. registerförfattningar för en myndighet att använda vissa sökbe- grepp eller att ta fram sammanställningar genom samkörning mellan olika register – är relevanta. Det kan noteras att färdiga elektroniska handlingar inte omfattas av begränsningsregeln. Sådana handlingar är alltid att anse som förvarade hos en myndighet även om de inne- håller personuppgifter och även om det i lag eller förordning finns förbud för myndigheten att använda vissa sökbegrepp vid sökning efter handlingarna (a. prop. s. 38). Före den 1 januari 2003 var begränsningsregeln inte uttryckligen tillämplig bara i fråga om sam- manställningar. Även en färdig elektronisk handling torde således tidigare ha kunnat undantas från förvaringskriteriet, förutsatt att handlingen ingick i ett personregister och träffades av ett förbud att göra handlingen tillgänglig.

I 2 kap. 6 § tryckfrihetsförordningen anges när en handling anses inkommen till en myndighet. I fråga om upptagningar gäller att den anses inkommen i samma ögonblick som den är att anse som för- varad hos myndigheten på sätt som anges i 3 § andra stycket. Det krävs emellertid att det är någon utanför myndigheten som har vid- tagit den åtgärd som gjort handlingen tillgänglig för myndigheten. Är det någon vid den egna myndigheten som vidtagit åtgärden, får bedömas om handlingen är upprättad i enlighet med 2 kap. 7 § tryck- frihetsförordningens olika kriterier på när en handling är att anse som upprättad. Huvudregeln är att en handling anses upprättad först då den har expedierats eller annars föreligger i ett slutligt skick på sätt närmare anges i paragrafen.

Från huvudregeln finns några undantag varav ett ofta ansetts vara tillämpligt på journalhandlingar som kan finnas i en patientjournal (se t.ex. prop. 1984/85:189 s. 15 f.). Enligt detta undantag gäller för diarium, journal samt sådant register eller annan förteckning som

310

SOU 2006:82

Närmare om sammanhållen journalföring

förs fortlöpande, att en handling anses upprättad när den har färdig- ställts för anteckning eller införing (7 § andra stycket 1).

I 2 kap. 8–11 §§ föreskrivs vissa undantag m.m. i fråga om vad som skall anses som allmän handling. De har dock ingen nämnvärd betydelse just för frågan om en för flera vårdgivare sammanhållen journalföring.

11.4.2Vår bedömning

Våra förslag om sammanhållen journalföring avser, som flera gånger tidigare påpekats, öppnade möjligheter för vårdgivare att skapa in- formationssystem för breddad elektronisk tillgänglighet över vård- givargränser till främst journaluppgifter om patienter. I och med att våra förslag inte är inriktade på att med lagstiftning bygga ett färdigt och konkret system, är det vanskligt att närmare precisera hur tryck- frihetsförordningens bestämmelser om allmänna handlingar slår igenom vid sammanhållen journalföring. Tillämpningen kan t.ex. på- verkas av den rent tekniska utformningen av samarbetet. Vidare är sammanhållen journalföring en ny rättslig konstruktion, varför det är ganska osäkert hur praxisbildande domstolar i enskilda fall kan antas bedöma olika frågeställningar och gränsdragningsproblem som eventuellt skulle kunna uppstå. Eftersom tryckfrihetsförordningen i debatten anförts som ett stort hinder mot gränsöverskridande IT- lösningar inom hälso- och sjukvården, har vi emellertid funnit skäl att i redovisningen i det följande behandla några frågeställningar som kan uppkomma.

Med patientjournal avses enligt 2 § patientjournallagen (1985:562) de anteckningar som görs eller de handlingar som upprättas eller inkommer i samband med vården och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden och om vårdåtgärder (journalhandlingar). Som journalhandlingar anses enligt nämnda paragraf framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tek- niskt hjälpmedel.

Patientjournalen är således närmast en sammanhållande term för den samling av sinsemellan fristående handlingar, journalhandlingar, som har det gemensamt att de i vidare mening berör vården av en enskild patient (se t.ex. prop. 1984/85:189 s. 15). För själva begreppet patientjournal torde det alltså egentligen inte innebära någon av- görande skillnad om journalhandlingarna samlas från flera vårdgivare

311

Närmare om sammanhållen journalföring

SOU 2006:82

eller inte. Någon anledning att införa en ny juridisk begreppsfigur för en för flera vårdgivare sammanhållen journalföring ser vi därför inte.

Då flera vårdgivares personal för journal i ett elektroniskt infor- mationssystem som är tillgängligt för de samarbetande vårdgivarna, är det varje separat journalhandling och inte patientjournalen som sådan som utgör utgångspunkten för vad som skall anses höra till en myndighet och för vilken myndigheten ansvarar. Varje myndighet eller privata vårdgivare för vid sammanhållen journalföring in upp- gifter i egna journalhandlingar. Likaså bör de separata journalhand- lingarna utgöra utgångspunkten för vad som skall anses utgöra all- männa handlingar hos myndigheter som deltar i den sammanhållna journalföringen. Patientjournalen som sådan utgör alltså inte en enstaka allmän handling, om däri ingår journalhandlingar från flera olika myndigheter. Det sammanhänger med att varje allmän handling är, som vi ser det, antingen upprättad hos eller inkommen till en förvarande myndighet enligt tryckfrihetsförordningens regelverk. En enskild allmän handling kan alltså inte vara både och hos samma myndighet.

Bestämmelserna i 2 kap. 3 § första stycket och andra stycket första meningen tryckfrihetsförordningen medför att elektroniska journal- handlingar och annan vårddokumentation som en myndighet har elektronisk åtkomst till (egna journalhandlingar) eller direktåtkomst till (andras journalhandlingar) utgör allmänna handlingar hos den myndigheten. Ospärrade journalhandlingar och annan ospärrad vård- dokumentation kommer alltså att utgöra allmänna handlingar hos samtliga myndigheter som är anslutna till informationssystemet på något sätt som innebär faktisk tillgång till informationen. Denna anses ju enligt 2 kap. 3 § andra stycket första meningen tryckfrihets- förordningen förvarad hos offentliga vårdgivare som förfogar över sådana tekniska hjälpmedel som krävs för att överföra upptagningen till uppfattbar form. För det sistnämnda förvaringskriteriet är det utan betydelse om förfogandet avser handlingar som genererats i myndig- hetens egen verksamhet eller som är inkomna genom att myndig- heten har direktåtkomst till andra organs elektroniska information.

Endast sådana handlingar som framställs i en myndighets egen verksamhet kan, som nyss sagts, vara upprättade hos den myndig- heten. Om en befattningshavare som för in en uppgift i en journal- handling tillhör en myndighet, blir det en upptagning som är en förvarad och upprättad allmän handling hos den egna myndigheten. För det fall en patient motsätter sig att uppgiften görs tillgänglig för

312

SOU 2006:82

Närmare om sammanhållen journalföring

andra vårdgivare genom sammanhållen journalföring, skall uppgiften spärras, se avsnitt 11.3. Den får då inte göras elektroniskt tillgänglig för andra vårdgivare. Spärrade uppgifter blir alltså inte allmänna hand- lingar hos andra myndigheter som är anslutna till sammanhållen jour- nalföring. Fortfarande är upptagningen dock en förvarad och upp- rättad allmän handling hos den myndighet som ansvarar för uppgiften.

Om uppgiften inte spärras utan görs tillgänglig för andra till infor- mationssystemet anslutna myndigheter, blir uppgiften en förvarad och inkommen allmän handling hos varje ansluten annan myndig- het redan genom den tekniska och potentiella möjlighet som dessa har att ta fram uppgiften. Även journalhandlingar och andra uppgifter som görs tillgängliga för myndigheter av privata vårdgivare, blir redan vid tillgängliggörandet inkomna allmänna handlingar hos alla anslutna myndigheter som tekniskt kan bereda sig tillgång till uppgifterna.

Så som vi tänkt oss sammanhållen journalföring innebär den tek- niska tillgängligheten således att ospärrade journaluppgifter till följd av förvaringskriteriet i 2 kap. 3 § första stycket och andra stycket tryckfrihetsförordningen blir förvarade och inkomna allmänna hand- lingar även hos varje annan myndighet som har direktåtkomst till uppgifterna.

Det kan dock tänkas att system skapas där förvaringskriteriet möjligen inte bör anses uppfyllt på ett så tidigt stadium. Vi tänker här på lösningar som innebär att patienten själv förfogar över t.ex. ett åtkomstkort, ett smart card, som måste sättas in i en läsapparat eller liknande för att ge en myndighet möjligheter att läsa uppgifter som finns i andra vårdgivares journalhandlingar. I sådant fall kan det ifrågasättas, menar vi, om myndigheten verkligen disponerar över möjligheten att ta fram uppgiften i läsbar form på sätt som krävs. För att förvaringskriteriet ändå skall vara uppfyllt räcker det dock att en enda befattningshavare vid en myndighet – t.ex. tjänstgörande chefsläkare på en akutmottagning – har möjlighet att utan åtkomst- kortet ta fram uppgiften.

Som redovisats i det föregående avsnittet finns två bestämmelser som innebär undantag från huvudregeln om att förvarade handlingar är allmänna. Dessa undantag gäller, som redan sagts, endast för sam- manställningar av uppgifter ur en upptagning för automatiserad behandling. Det kan enligt vår mening diskuteras i vilken utsträck- ning elektroniska patientjournalsystem innehåller färdiga elektroniska handlingar. EKG-kurvor och signerade recept torde kunna tas som exempel på färdiga elektroniska journalhandlingar. Detsamma gäller signerade journalanteckningar som kan tas fram gång på gång. Vi har

313

Närmare om sammanhållen journalföring

SOU 2006:82

ingen möjlighet att här dra upp riktlinjer för den närmare gränsen mellan de båda handlingsslagen. Den avgränsningen får överlåtas åt rättstillämpningen.

Frågeställningen har emellertid betydelse när det gäller räckvidden av de nämnda undantagsbestämmelserna och därmed för bedöm- ningen av vilka andra vårdgivares journalhandlingar m.m. som är förvarade och inkomna allmänna handlingar hos en myndighet som har direktåtkomst till dem via sammanhållen journalföring, dvs. vad som utgör allmänna handlingar eller inte hos myndigheter i fråga om journalhandlingar och annan vårddokumentation som inte genererats i den egna verksamheten. Förenklat uttryckt kan sägas att ju mer in- formation som bedöms utgöra färdiga elektroniska handlingar, desto mindre blir utrymmet att tillämpa undantagen för sammanställningar av uppgifter. Samtidigt torde gälla att utdrag ur en eller flera färdiga elektroniska handlingar eller sammanställningar av sådana handlingar i sig kan vara en sammanställning som undantagen är tillämpliga på.

Av de båda undantagen skall här det undantaget beröras som kallas för begränsningsregeln.

Vi har i avsnitt 11.3 föreslagit en hel del bestämmelser som rättsli- gen begränsar myndigheternas möjligheter att använda direktåtkomst till andra vårdgivares journalhandlingar eller annan vårddokumenta- tion. Begränsningarna består av att vissa rekvisit, förutsättningar, måste vara för handen för att direktåtkomsten skall få användas. En sådan begränsning är att det skall finnas en aktuell patientrelation. En annan begränsning är att patienten, utom i rena nödsituationer, skall samtycka till användningen. Från integritetssynpunkt är det bra om regler som föreskriver villkor om en aktuell patientrelation m.m. för att en vårdgivare skall få göra en begärd sammanställning, innebär att sammanställningen anses förvarad hos vårdgivaren endast om villkoren är uppfyllda. Samtidigt är det för de intressen som bär upp offentlighetsprincipen viktigt med en restriktiv tolkning av tryck- frihetsförordningens bestämmelser om när handlingar inte skall anses vara allmänna.

Med vägledning av begränsningsregelns ordalydelse – som inte inskränker sig till endast vissa slags befogenhetsbegränsningar – finns utrymme, menar vi, att hävda att de förutsättningar som vi föreskri- vit utgör sådana rättsliga begränsningar som avses i tryckfrihetsför- ordningen.

Det är dock inte självklart att begränsande rättsliga regler som är villkorade på något sätt – t.ex. att en patientrelation eller ett sam- tycke skall föreligga för att myndigheten A skall få ha rätt att söka

314

SOU 2006:82

Närmare om sammanhållen journalföring

efter och bereda sig tillgång till en journalhandling som upprättats hos myndigheten B eller en privat vårdgivare – utgör sådana begräns- ningsregler som avses i tryckfrihetsförordningen. Av tryckfrihets- förordningens förarbeten framgår att lagstiftaren hade ovillkorade för- bud och begränsningar, såsom förbud i fråga om sökbegrepp och sam- körning, i åtanke när bestämmelsen formulerades (prop. 1975/76:160 s. 87 f.). En tolkning i linje med intentionerna i förarbetena är dock, som nyss framhållits, inte alldeles given med tanke på bestäm- melsens ordalydelse. Det kan också påpekas att begränsningar som fanns i åtanke då bestämmelsen formulerades för 30 år sedan handlade i huvudsak om rättsliga begränsningar att ta fram information från den egna verksamheten. Enligt vår mening får rättsläget anses oklart.

Vi vill framhålla att det finns system som är uppbyggda på ett sätt som väl passar in med vårt sätt att tolka begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsförordningen och med våra för- slag till rättsliga förutsättningar för användning av direktåtkomsten.

Ett sådant är den Nationella Patientöversikten som administreras av Carelink. I denna översikt har hälso- och sjukvårdspersonal hos några myndigheter getts direktåtkomst till uppgifter om patienter som finns journalförda hos några andra myndigheter. För att åtkomst skall beviljas i systemet krävs att befattningshavaren antingen regi- strerar att en patient samtyckt till åtkomsten eller registrerar att ett nödläge föreligger. Registrerar befattningshavaren inte att någon av dessa förutsättningar finns, kan direktåtkomsten inte användas; åt- komst nekas av systemet. Befattningshavaren i detta fall förfogar visserligen över möjligheten att falskeligen påstå att förutsättningar- na finns och har därmed teknisk åtkomst till uppgifterna. Förva- ringskriteriet i 2 kap. 3 § första stycket och andra stycket första meningen tryckfrihetsförordningen torde alltså vara uppfyllt som

viser det.

Om system för sammanhållen journalföring konstrueras på det

sätt som här beskrivits, menar vi emellertid att rättstillämningen kan te sig egendomlig, om våra förslag till rättsliga förutsättningar inte skulle godtas som sådana rättsliga begränsningar som avses i 2 kap. 3 § tredje stycket tryckfrihetsförordningen. Tryckfrihetsför- ordningen skulle i ett sådant fall inte godta annat än att myndigheten A, vid en begäran till myndighet A om utfående av allmän handling avseende en journalhandling som upprättats hos myndigheten B, falskeligen i informationssystemet påstår att rättsliga krav är upp- fyllda trots att så inte är fallet. Den för offentlighetsprincipen viktiga likställighetsprincipen – som innebär att allmänheten skall ha till-

315

Närmare om sammanhållen journalföring

SOU 2006:82

gång till datalagrad information i samma utsträckning som den är tillgänglig för myndigheten – upprätthålls knappast med en annan tolkning av begränsningsregeln än den vi förordar.

Med tanke på den stränga sekretess som råder för uppgifterna i patientjournaler torde emellertid inte någon olägenhet uppstå alldeles oavsett om begränsningsregeln kan anses vara tillämplig eller inte. Möjligheterna för allmänheten att med stöd av tryckfrihetsförord- ningens bestämmelser få del av allmänna handlingar hos myndigheter inom hälso- och sjukvården är på grund av sekretessregleringen mycket små.

En konsekvens av om alla journalhandlingar m.m. vid samman- hållen journalföring blir allmänna handlingar hos alla anslutna myn- digheter – alldeles oavsett vem som infört handlingarna i systemet

– är att en begäran att få del av handlingar kan göras hos vem som helst av de anslutna myndigheterna. En begäran måste vidare prövas av den eller de myndigheter hos vilken begäran görs, se 2 kap. 14 § tryckfrihetsförordningen. Myndigheter har dock vissa möjligheter att hänvisa en sökanden till annan myndighet, se 2 kap. 12 § andra stycket andra meningen tryckfrihetsförordningen. Om begäran av- slås, får sökanden föra talan mot beslutet hos domstol (se 15 kap. 7 § sekretesslagen). Journaluppgifter som hos offentliga vårdgivare utgör allmän handling utgör dock inte allmän handling hos en privat vårdgivare, som är ansluten till systemet och har tillgång till upp- gifterna. Frågan om samma journaluppgifts utlämnande kommer så- ledes att regleras på olika sätt, beroende på om begäran görs hos en offentlig eller en privat vårdgivare. Enligt vår uppfattning utgör denna olika reglering inte i sig något rättsligt hinder mot för flera vårdgivare sammanhållen journalföring. En annan sak är förstås att det från integritetssynpunkt är värt att notera att de privata vård- givarnas journalhandlingar i större utsträckning kommer att omfattas av offentlighetsprincipens regelverk. Jämfört med dagens förhållan- de är det en konsekvens som i vart fall potentiellt sett innebär en utvidgad tillgänglighet till patientdata. Vi menar emellertid att för- delarna i förväntad ökad patientsäkerhet och förbättrad effektivitet i verksamheten väger tyngre.

Sammanfattningsvis bedömer vi mot bakgrund av det sagda att 2 kap. tryckfrihetsförordningen inte utgör hinder mot att flera vård- givare – offentliga eller privata – för journal i en gemensam patient- databas eller liknande på ett sätt som i praktiken innebär en samman- hållen patientjournal. Visserligen genererar tryckfrihetsförordningens reglering en del rättsliga frågeställningar som det inte finns något

316

SOU 2006:82

Närmare om sammanhållen journalföring

entydigt svar på. Vi menar emellertid att detta inte kommer att ha så stor betydelse i den praktiska tillämpningen. Regleringen i tryck- frihetsförordningen medför således inte problem eller andra olägen- heter i en omfattning som påverkar genomslagkraften i våra förslag om öppnade möjligheter till sammanhållen journalföring genom direktåtkomst över gränser för myndigheter och privata vårdgivare.

11.5Sekretess och sammanhållen journalföring

Vårt förslag: Vi föreslår en ny bestämmelse i 7 kap. sekretess- lagen som anger att hälso- och sjukvårdssekretess enligt 7 kap. 1 c § första stycket inte hindrar att uppgift får lämnas till annan myndighet inom hälso- och sjukvården samt till enskild vård- givare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen. Bestämmelsen tas in i en ny paragraf, 7 kap. 1 d §.

Till den nya paragrafen flyttas även den nuvarande bestämmel- sen i 7 kap. 1 c § femte stycket andra meningen som anger att upp- gifter som omfattas av sekretess enligt första stycket i samma paragraf utan hinder av sekretess får lämnas ut i vissa fall.

Någon särreglering behövs inte för de privata vårdgivarna.

Som påtalats i avsnitt 9.3.1 är det sekretessregleringen som utgör det största juridiska hindret mot sammanhållen patientjournal- föring. I detta avsnitt redogörs översiktligt för gällande rätt samt för Offentlighets- och sekretesskommitténs (OSEK) förslag till ny reglering i fråga om sekretessen på hälso- och sjukvårdens område. Våra överväganden och förslag redovisas i avsnitt 11.5.3.

Det bör inledningsvis påpekas att det – eftersom vi inte föreslår en för samtliga vårdgivare obligatorisk sammanhållen journal – i vårt uppdrag ingår att granska och analysera förutsättningarna i övrigt för att överföra personuppgifter mellan verksamheter inom allmän och enskild hälso- och sjukvård, samt mellan hälso- och sjukvården och andra verksamheter där uppgifterna bör få användas. Enligt våra första tilläggsdirektiv skall vi lämna förslag till hur detta skall regle- ras. Vårt förslag om öppnade möjligheter till sammanhållen journal- föring är ett sådant förslag. I avsnitt 14–17 återkommer vi till frågor om överföring av personuppgifter i andra sammanhang. Då blir det åter aktuellt att beröra sekretessfrågor. I detta avsnitt behandlas enbart frågan om sekretess och sammanhållen journalföring.

317

Närmare om sammanhållen journalföring

SOU 2006:82

11.5.1Den rättsliga regleringen

Sekretessgränser inom hälso- och sjukvården

Vårddokumentation hos offentliga vårdgivare och hos sådana kom- munala företag som avses i 1 kap. 9 § sekretesslagen utgör allmänna handlingar. Som sådana omfattas de av sekretesslagens bestämmelser om sekretess och tystnadsplikt i den offentliga förvaltningen.

Enligt sekretesslagen gäller sekretess både i förhållande till enskilda (fysiska eller juridiska personer) och i förhållandet mellan myndig- heter. Uppgifter som skyddas av sekretess, t.ex. uppgifter i patient- journaler, får inte lämnas från en myndighet till en enskild eller till annan myndighet utan stöd i sekretesslagen.

Enligt 1 kap. 3 § första och andra styckena gäller sekretesslagen därutöver i vissa fall inom en myndighet. Enligt bestämmelsen får en sekretessbelagd uppgift inte röjas för en annan verksamhetsgren inom samma myndighet, om verksamhetsgrenarna är att betrakta som självständiga i förhållande till varandra.

Med införandet av den fria kommunala nämndorganisationen i början av 1990-talet har det blivit möjligt att organisera landstingens och kommunernas verksamheter tämligen fritt. Exempelvis kan hälso- och sjukvård delas upp mellan flera olika nämnder. Varje nämnd med underlydande förvaltning är normalt att anse som en egen myn- dighet i sekretesslagens mening (se t.ex. prop. 1990/91:111 s. 21). Uppgifter som skyddas av sekretess kan inte utan stöd i sekretess- lagen lämnas från den ena nämnden till den andra ens om nämnderna ingår i samma landsting och båda bedriver en och samma slags verk- samhet. En sekretessgräns finns även gentemot sådana aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande och som avses i 1 kap. 9 § sekretesslagen.

Den förändrade myndighetsstrukturen på det kommunala området och dess påverkan på sekretessgränserna inom ett landsting eller en kommun har uppmärksammats bl.a. i ett flertal utredningar. Ofta har pekats på att konsekvensen blivit onödiga svårigheter i infor- mationsutbytet. Senast har OSEK utrett frågan och lämnat förslag på lösning, se nedan avsnitt 11.5.2.

Även en annan fråga har diskuterats genom åren; nämligen huruvida det finns självständiga verksamhetsgrenar och därmed sekretessgrän- ser inom en myndighet som bara bedriver hälso- och sjukvård. Meningarna har varit delade. För en närmare redovisning av denna

318

SOU 2006:82

Närmare om sammanhållen journalföring

diskussion hänvisas till avsnitt 12.2.3 i OSEK:s huvudbetänkande Ny sekretesslag (SOU 2003:99 s. 243 f.). Här bör dock kortfattat nämnas att diskussionen ofta tagit sin utgångspunkt i ett uttalande av Journalutredningen, som behandlade frågan i sitt huvudbetänkande Patientjournalen (SOU 1984:73 s. 77 f.). Enligt Journalutredningens bedömning bör varje klinik eller motsvarande i journal- och sekre- tessfrågor ses som självständiga enheter. Utredningen påtalade emel- lertid att det fanns oklarheter beträffande vad som utgör gällande rätt i fråga om självständiga verksamhetsgrenar inom hälso- och sjukvår- den och efterlyste ett auktoritativt uttalande härom i en regerings- proposition. Något sådant auktoritativt uttalande har inte kommit ännu. Däremot har i ett flertal sammanhang uttalats mer eller mindre stark tveksamhet beträffande Journalutredningens bedömning att det finns en sekretessgräns mellan olika kliniker eller motsvarande vård- enheter vid samma sjukvårdsmyndighet (se t.ex. SOU 1986:24 s. 66, JO 1986/87 s. 198, Ds 1990:11 s. 52 och prop. 1990/91:111 s. 21 f.).

OSEK för sin del bedömde att all hälso- och sjukvårdsverksam- het, såväl psykiatrisk som somatisk, inom en myndighet utgör en och samma slags verksamhet. Enligt OSEK finns alltså inga sekre- tessgränser mellan verksamheter som är av samma slag inom en och samma myndighet (SOU 2003:99 s. 273).

Sekretessprövningar

I 2 kap. 14 § tryckfrihetsförordningen föreskrivs att det är den myn- dighet som förvarar en allmän handling som skall pröva om den kan lämnas ut. Den principen gäller inte bara när det rör sig om en begäran om utfående av allmän handling med stöd av handlingsoffentlig- heten utan gäller så fort en sekretessgräns skall korsas. Det är således alltid den utlämnande myndigheten som måste göra en prövning enligt sekretesslagen om det finns något hinder mot att lämna ut t.ex. en journalhandling som man förvarar till en privat vårdgivare, en annan hälso- och sjukvårdsmyndighet eller en självständig verk- samhetsgren inom den egna myndigheten.

Sekretesslagen hindrar i och för sig inte att sekretessbelagda upp- gifter lämnas ut rutinmässigt. Inte heller finns något förbud mot att det sker via direktåtkomst. Som närmare berörts i avsnitt 8.7 finns inte någon rättslig definition av begreppet direktåtkomst trots att begreppet förekommer i flera s.k. registerlagar som reglerar olika myndigheters behandling av personuppgifter. Enligt en vedertagen

319

Närmare om sammanhållen journalföring

SOU 2006:82

uppfattning, som också lyfts fram i flera lagförarbeten, innebär direktåtkomst en möjlighet för en (extern) mottagare att via något slag av uppkoppling på egen hand ta del av och söka efter uppgifter i en informationssamling som behandlas automatiserat (se t.ex. prop. 2000/01:33 s. 110 f.) I begreppet ligger också att den som ansvarar för uppgifterna inte har någon direkt kontroll över vilka uppgifter i informationssamlingen som mottagaren vid varje tillfälle tar del av. På grund härav – och med tanke på tryckfrihetsförord- ningens bestämmelse om när en upptagning är förvarad och inkom- men och därmed att anse som en allmän handling – blir uppgifterna att anse som utlämnade i sekretesslagens mening redan i och med att direktåtkomsten finns, dvs. redan då uppgifterna är potentiellt till- gängliga. Det spelar således ingen roll om mottagaren faktiskt tar del av uppgifterna eller inte. Det är därför inte tillåtet för en myn- dighet att låta en annan myndighet eller enskild ha direktåtkomst till uppgifter i en informationssamling, om uppgifterna eller vissa av dem omfattas av sekretess som innebär att mottagaren vid en pröv- ning inte med säkerhet skulle ha rätt att få del av dem. Direktåtkomst förutsätter således att uppgifterna är offentliga, att en prövning enligt ett skaderekvisit leder till bedömningen att uppgifterna kan lämnas ut till mottagaren eller att de kan lämnas ut med stöd av någon sekre- tessbrytande bestämmelse (se t.ex. prop. 2004/05:164 s. 83 f.). Det krävs alltså att den utlämnande myndigheten gör en sekretesspröv- ning innan uppgiften förs in i den del av en informationssamling som är tillgänglig för någon utanför myndigheten.

Hälso- och sjukvårdssekretess

Uppgifter inom den offentligt bedrivna hälso- och sjukvården om- fattas av sekretesslagens bestämmelser. Sekretessen inom just hälso- och sjukvården regleras i främst 7 kap. 1 c–3 §§ och 6 § sekretess- lagen. Enligt dessa bestämmelser gäller, med några undantag, sekretess inom hälso- och sjukvården och i annan medicinsk verksamhet för uppgift om enskilds hälsotillstånd och andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom eller henne närstående lider men. Sekretessen gäller därmed med ett s.k. omvänt skaderekvisit och presumtionen är alltså för sekretess.

Sekretessen omfattar såväl skriftliga som muntliga uppgifter om patienter eller andra personer. Om sekretess gäller för en uppgift,

320

SOU 2006:82

Närmare om sammanhållen journalföring

får uppgiften inte röjas för enskild, andra myndigheter eller andra självständiga verksamhetsgrenar inom den egna myndigheten i andra fall än de som följer av sekretesslagen eller i en lag eller förordning till vilken sekretesslagen hänvisar.

För uppgifter i allmänna handlingar, t.ex. i patientjournaler i den allmänna hälso- och sjukvården, gäller sekretessen så länge som risken för men kvarstår, dock högst i 70 år.

Begreppet men har i sekretesslagen en mycket vidsträckt innebörd och tar framförallt sikte på olika kränkningar av den personliga inte- griteten som kan uppstå om uppgifter lämnas ut (prop. 1979/80:2 Del A s. 83). Med men anses sådant som att någon blir utsatt för andras missaktning om hans eller hennes personliga förhållanden blir kända. Redan den omständigheten att vissa personer känner till en för någon enskild ömtålig uppgift kan i många fall anses tillräcklig för att medföra men. Utgångspunkten för en bedömning av om men föreligger, är den enskildes egen upplevelse. I konsekvens med detta kan även helt rättsenliga åtgärder utgöra men. Vid bedömningen av vad som utgör men finns ett visst utrymme för att ta hänsyn till vad som enligt gängse värderingar i samhället uppfattas som men.

Vilka uppgifter som kan lämnas ut från en vårdinrättning till en vårdinrättning vid en annan myndighet efter en menprövning får bedömas i varje enskilt fall.

Enligt förarbetena till sekretesslagen står det klart att skaderekvi- sitet medger att uppgift lämnas över en sekretessgräns från en läkare till en annan eller från en sjukvårdsinrättning till en annan, om upp- giften behövs i rent vårdsyfte. Visst utrymme finns också för att lämna uppgift till en annan vårdsektor i syfte att bistå en patient. Mer tveksamt är det emellertid, enligt föredragande departements- chef, om en uppgift kan lämnas från den allmänna sjukvården till en privatpraktiserande läkare eller en företagsläkare. För den händelse patientens samtycke till att uppgiften lämnas inte kan inhämtas, bör uppgiften ändå kunna lämnas ut om den i trängande fall behövs för medicinsk behandling av den som uppgiften rör. I sådana fall kan det knappast hävdas att patienten lider men om uppgiften lämnas ut. Med ledning av skaderekvisitet får det vidare bedömas om upp- gift kan lämnas ut från t.ex. ett sjukhus om att en viss person vårdas där. Så bör normalt inte kunna ske till annan än närstående (a. prop. s. 168 f.).

JO har i ett utlåtande anfört bl.a. att i de fall man har anledning att ifrågasätta om patienten skulle anse det vara till men för honom att en journal överlämnas till annan sjukvårdsmyndighet, skall patien-

321

Närmare om sammanhållen journalföring

SOU 2006:82

tens egen uppfattning om möjligt inhämtas. Motsätter sig patienten att journalen lämnas ut så skall detta respekteras även om vederbö- rande läkare anser att ett utlämnande inte är till men för patienten. Inom den frivilliga hälso- och sjukvården blir det därför inte aktuellt att göra en egentlig menprövning annat än i sådana fall där det gäller en journal med känsligt innehåll och det av praktiska skäl inte är möjligt att inhämta patientens egna önskemål. Ett önskemål från patienten om att en journal inte skall lämnas ut måste respekteras utom i rena nödsituationer (JO 1986/87 s. 198 ff.).

Möjligen är JO:s bedömning av utrymmet för att lämna ut jour- naler utan patientens samtycke snävare än enligt de förarbetsuttalan- den som redovisats i det föregående. Man bör dock hålla i åtanke att JO:s uttalanden gjordes i anledning av ett särskilt fall av utlämnande i strid mot en patients klart uttalade vilja om att journalen inte fick lämnas ut samt att JO i sin bedömning beaktade bestämmelser i hälso- och sjukvårdslagen. Det är tveksamt vilken bäring förarbets- uttalandena har i fråga om menprövning i ett sådant fall. OSEK har emellertid ifrågasatt om de ovan redovisade förarbetsuttalandena till sekretesslagen verkligen kan anses vara i överensstämmelse med innebörden av det omvända skaderekvisitet (SOU 2003:99 s. 291 f.). Rättsläget får bedömas som oklart.

I 7 kap. 1 c § sista stycket första meningen sekretesslagen finns ett undantag från den annars gällande presumtionen för sekretess. Där föreskrivs att en myndighet i landsting eller kommun som bedriver hälso- och sjukvårdsverksamhet får lämna uppgifter till en annan sådan myndighet för ändamålen forskning och framställning av sta- tistik eller för administration på verksamhetsområdet med tillämpning av ett s.k. rakt skaderekvisit. Presumtionen är här för att uppgiften får lämnas ut. För sekretess skall det kunna antas att den enskilde eller dennes närstående lider men om uppgiften röjs.

Det raka skaderekvisitet innebär enligt förarbetena att menbedöm- ningen kan göras inom ganska vida ramar (a. prop. s. 80). Avsikten är att bedömningen som regel skall göras med utgångspunkt i själva uppgiften och således inte behöver knytas till en menbedömning i det enskilda fallet. Avgörande för om sekretess gäller eller inte är om uppgiften som sådan är av den arten att ett utlämnande typiskt sett kan vara ägnat att medföra skada för det intresse som skall skyddas genom en sekretessbestämmelse. Är uppgiften sådan att den genomsnittligt sett måste betraktas som harmlös, skall den normalt sett vara offentlig. Om uppgiften å andra sidan är av sådant slag att

322

SOU 2006:82

Närmare om sammanhållen journalföring

den lätt kan komma att missbrukas, skall den som regel omfattas av sekretess.

Lättnaden i 7 kap. 1 c § sista stycket första meningen i den annars starka hälso- och sjukvårdssekretessen infördes år 1991 bl.a. för att utöka möjligheterna till automatiserat och rutinmässigt uppgifts- utbyte mellan myndigheter med gemensamt verksamhetsområde (prop. 1990/91:111 s. 25 f.), t.ex. i olika gemensamma ADB-register. I förarbetena angavs att det omvända skaderekvisit förutsätter att skadeprövning i regel sker i varje enskilt fall då en uppgift lämnas ut över en sekretessgräns. Sådant rutinmässigt uppgiftsutlämnande som sker mellan de aktuella myndigheterna inom hälso- och sjukvården för ändamålen forskning, framställning av statistik eller administra- tion, bör däremot bygga på en mer generell skadeprövning enligt ett rakt skaderekvisit. I förarbetena angavs att integritetsfrågan bör beaktas i första hand när man bestämmer vilka slags uppgifter som skall tillföras ett visst register. Frågan får då bedömas med hänsyn till bl.a. uppgifternas art, det sekretesskydd uppgifterna kommer att få hos mottagaren samt den tekniska utformningen av informations- systemet (behörighetskontroller m.m.). Den generella bedömningen hindrar givetvis inte att man kan göra en skadeprövning även i ett särskilt fall, om särskilda omständigheter föranleder det (a. prop. s. 31). Även den enskildes egen inställning och de ändamål för vilka uppgifterna kan komma att användas för angavs som omständig- heter att beakta vid skadeprövningen (s. 36).

Begränsningar i sekretessen

I sekretesslagen finns särskilda undantagsbestämmelser som innebär att en uppgift får lämnas ut trots att sekretess gäller för uppgiften. Vissa bestämmelser är generellt utformade. Exempelvis framgår av 1 kap. 5 § sekretesslagen att sekretess inte hindrar att en uppgift lämnas ut, om det är nödvändigt för att den utlämnande myndigheten skall kunna fullgöra sin verksamhet. Enligt förarbetena skall bestäm- melsen tillämpas restriktivt och den kan inte åberopas för att hjälpa en annan myndighet att fullgöra sin verksamhet (prop. 1979/80:2 Del A s. 465 och 494).

I 7 kap. 1 c § sista stycket sista meningen sekretesslagen finns en undantagsbestämmelse som enbart omfattar hälso- och sjukvårds- sekretessen. Det gäller utlämnande till enskild enligt vissa angivna lagar som har det gemensamt att lättnaden i sekretessen motiverats

323

Närmare om sammanhållen journalföring

SOU 2006:82

av hänsyn till den mottagande personens starka och berättigade intresse av att få del av informationen.

I 14 kap. 1 § sekretesslagen föreskrivs att sekretess inte hindrar att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning. På hälso- och sjukvårdens område finns bestämmelser om sekretessbrytande uppgiftsskyldighet i många för- fattningar. Exempel härpå är smittskyddslagen (2004:168) vari be- handlande läkare m.fl. ålagts en anmälningsplikt till smittskyddsläkare av vissa sjukdomar. Anmälningsplikten innebär att intresset för enskil- das personliga integritet för uppgifter om sina personliga förhållanden har fått ge vika för det allmänna intresset av effektivt smittskydd. Som andra exempel på uppgiftsskyldighet på hälso- och sjukvårdens område kan nämnas bestämmelserna i 2 kap. 11 § lagen om yrkesverk- samhet på hälso- och sjukvårdens område som föreskriver en skyl- dighet att på begäran lämna ut uppgifter om huruvida någon vistas på en sjukvårdsinrättning till domstol, åklagare m.fl. myndigheter samt skyldigheten att lämna ut uppgifter som behövs av olika myn- digheter för vissa särskilda ändamål. Ett annat exempel är 14 kap. 1 § socialtjänstlagen (2001:453) vari föreskrivs en skyldighet att anmäla förhållanden som kan innebära att en socialnämnd behöver ingripa till ett barns skydd.

I 14 kap. 2 § sekretesslagen finns särskilda bestämmelser om undan- tag från sekretess för uppgifter som mottagande myndighet behöver för vissa ändamål. Enligt ett av undantagen hindrar hälso- och sjuk- vårdssekretess inte att uppgift om en underårig eller om någon som fortgående missbrukar alkohol m.fl. berusningsmedel eller närstående till denne lämnas till annan myndighet inom hälso- och sjukvården eller socialtjänsten, om det behövs för att den enskilde skall få nöd- vändig vård, behandling eller annat stöd. Detsamma gäller i fråga om uppgift om en gravid kvinna eller hennes närstående, om det behövs till skydd för det väntade barnet. Syftet med undantagsbestäm- melsen är att vårdmyndigheterna inte skall vara förhindrade att utbyta uppgifter med varandra när de behöver samverka med varandra eller annars utbyta information för att bistå en enskild som är i behov av vård, behandling eller annat stöd. Enligt förarbetena måste undantaget användas med urskillning och varsamhet. Endast i situationer där det framstår som direkt påkallat att bistå en enskild bör undantag göras. Normalt bör en förutsättning vara att den berörde personen kan antas direkt motsätta sig att uppgifter lämnas ut eller att saken brådskar så att det inte finns tid att inhämta samtycke. I första hand bör där- för ett samtycke utverkas (prop. 1990/91:111 s. 40 f.).

324

SOU 2006:82

Närmare om sammanhållen journalföring

På de flesta andra områden men inte inom området för hälso- och sjukvårdssekretessen gäller dessutom den s.k. generalklausulen i 14 kap. 3 § sekretesslagen. Den innebär att en sekretessbelagd upp- gift får lämnas från en myndighet till en annan efter en intresseavväg- ning, nämligen om det är uppenbart att intresset av att uppgiften lämnas ut har företräde framför det intresse som sekretessen skall skydda. Skälet till att myndigheter inom hälso- och sjukvården inte får lämna ut uppgifter till andra myndigheter efter en intresseavväg- ning är att vården bygger på att den enskilde skall känna förtroende för dem som har hand om vården. En konsekvens är att samråd med andra myndigheter i princip inte skall ske utan den enskildes samtycke (a. prop.).

Hälso- och sjukvårdssekretessen gäller, med ett undantag, inte i förhållande till den enskilde själv, se 7 kap. 3 § och 14 kap. 4 § sekre- tesslagen. Av undantaget följer att sekretess gäller i förhållande till en patient för uppgift om hans eller hennes hälsotillstånd, om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas till patienten (7 kap. 3 §). Det kan också nämnas att det i patientjournaler m.m. kan finnas uppgifter om patien- tens hälsotillstånd eller andra personliga förhållanden som lämnats i anmälan eller annan utsaga från annan person än patienten. Även sådana uppgifter kan enligt 7 kap. 6 § sekretesslagen omfattas av sekretess i förhållande till patienten, om det kan antas att fara upp- kommer för att den som har lämnat uppgifterna eller dennes när- stående utsätts för våld eller annat allvarligt men om uppgifterna röjs. Det är alltså bara i speciella undantagsfall som journalhandlingar eller annan vårddokumentation inte kan lämnas ut till patienten själv.

Den enskilde kan också efterge sekretessen helt eller delvis. Något krav på att en eftergift, dvs. ett samtycke, skall vara skriftligt eller på något annat sätt uttryckligt finns inte. Även tyst, s.k. presumerat, samtycke kan godtas.

Tystnadsplikt inom den privata vården

Enligt 2 kap. 8 § lagen om yrkesverksamhet på hälso- och sjukvårdens område får den som tillhör eller har tillhört hälso- och sjukvårds- personalen inom den enskilda hälso- och sjukvården inte obehörigen röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden. Som obehörigt

325

Närmare om sammanhållen journalföring

SOU 2006:82

röjande anses inte att någon fullgör uppgiftsskyldighet som följer av lag eller förordning.

Vid tolkningen av obehörighetsrekvisitet har det ansetts naturligt att söka ledning i skaderekvisitet som finns i sekretesslagens bestäm- melser. Det är ju en rimlig ståndpunkt att den enskilde skall åtnjuta samma skydd för sin personliga integritet vare sig han eller hon behandlas av en offentlig eller privat vårdgivare.

11.5.2OSEK:s förslag

I huvudbetänkandet Ny sekretesslag (SOU 2003:99) har OSEK lämnat förslag till en ny sekretesslag.

I betänkandet behandlas flera frågor om sekretessgränser inom och mellan myndigheter som har betydelse för hälso- och sjukvårdssek- retessen.

Ett förslag är att det direkt av sekretesslagen skall framgå vilka sekretessgränser som gäller på hälso- och sjukvårdens område. Enligt OSEK är förslaget i denna del en författningsreglering av nu gällande rätt på området, se ovan. I lagförslaget införs således en bestämmelse som fastslår att det inte finns några sekretessgränser beträffande hälso- och sjukvård som bedrivs inom en och samma myndighet. Enligt OSEK utgör all hälso- och sjukvård och annan medicinsk verksamhet som anges i 7 kap. 1 c § sekretesslagen verksamhet av samma slag.

Vidare föreslår OSEK att det skall framgå av lagen när det inte skall finnas någon sekretessgräns mellan olika verksamheter som be- drivs integrerat eller i gemensamma nämnder. Enligt lagförslaget skall det alltså inte finnas någon sekretessgräns inom en nämnd mellan den kommunala hälso- och sjukvården enligt 18 § första stycket hälso- och sjukvårdslagen och sådan socialtjänst som anges i 5 kap. 5 § andra stycket eller 7 § tredje stycket socialtjänstlagen. Den be- stämmelsen skulle bli tillämplig t.ex. i en kommunal nämnd vari man samverkar på grund av den s.k. Ädelreformen.

Härutöver föreslås att det inte skall finnas någon sekretessgräns mellan nämnderna i en kommun eller ett landsting till den del verk- samheterna är av samma slag. Liksom när det gäller inom en myndig- het räknas all hälso- och sjukvård samt annan medicinsk verksamhet som verksamhet av samma slag.

När det gäller uppgiftsutbyte mellan och inom vård- och omsorgs- områdena föreslås en begränsning av sekretessen som innebär en ut-

326

SOU 2006:82

Närmare om sammanhållen journalföring

vidgning av 14 kap. 2 § sjätte stycket i den nuvarande sekretesslagen. Enligt OSEK:s förslag skall sekretess inte hindra att uppgifter om en enskild som behövs för att han eller hon skall få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården eller socialtjänsten till en annan sådan myn- dighet eller till privat vårdgivare eller privat verksamhet på social- tjänstens område. OSEK har som skäl till de utökade möjligheterna anfört att det av patientsäkerhetsskäl är väsentligt att nödvändiga uppgifter om en patient finns tillgängliga vid ett vårdtillfälle även då patientens samtycke inte kan inhämtas eller patienten motsätter sig att uppgifter lämnas ut (a. bet. s. 296 f.). Enligt OSEK är förslaget ett undantag från det sekretesskydd som den enskilde har enligt sekre- tesslagen som måste användas med urskillning och varsamhet. I första hand bör samtycke även fortsättningsvis utverkas.

Slutligen skall här nämnas att OSEK föreslår att det införs en be- stämmelse i sekretesslagen som reglerar den inre sekretessen inom en myndighet. Förslaget innebär att om det kan antas att en sek- retessreglerad uppgift inte får lämnas ut från ett sekretessområde, får uppgiften inte heller röjas inom sekretessområdet om det är uppenbart obehövligt för verksamheten. Bestämmelsen föreslås vara straffsanktionerad som brott mot tystnadsplikt eller sekretessbrott enligt 20 kap. 3 § brottsbalken. Förslaget redovisas mer utförligt i avsnitt 12.3.

11.5.3Våra överväganden

Redan då vårddokumentation förs in i den sammanhållna journal- föringen utan att spärras, så att den är potentiellt tillgänglig för andra vårdgivare eller myndigheter, sker ett utlämnande i tryckfrihetsför- ordningens och sekretesslagens mening. Redan i detta skedet, skede 1, måste alltså en myndighet som för in uppgifter göra en prövning av om det finns något hinder enligt sekretesslagen mot att uppgifterna lämnas ut till samtliga mottagare som har tillgång till uppgifterna.

Genom förslaget att vårddokumentationen skall få göras till- gänglig om den enskilde inte motsätter sig det, råder i praktiken en presumtion för att uppgifterna får lämnas ut. Det kräver dock, som nyss framgått, att sekretesslagstiftningen inte hindrar utlämnandet. Hälso- och sjukvårdssekretessen med sitt omvända skaderekvisitet förutsätter emellertid en prövning i varje särskilt fall av om vård- dokumentationen kan lämnas ut utan men för den enskilde eller

327

Närmare om sammanhållen journalföring

SOU 2006:82

någon närstående till honom eller henne. Vidare kan, som framgått av det föregående, utlämnande efter en sådan särskild menprövning normalt bara göras till en mottagare som har ett konkret vårdsyfte. I den sammanhållna journalföringen förutsätts emellertid utlämnan- det – dvs. tillgängliggörandet i systemet för sammanhållen journal- föring – ske i det närmaste rutinmässigt. Uppgifterna lämnas också ut till ett kanske större antal anslutna vårdgivare beträffande vilka det är högst osäkert vem eller vilka av dem som kommer att ha ett faktiskt behov av uppgifterna. Hälso- och sjukvårdssekretessen ut- gör således ett hinder mot sammanhållen journalföring.

Inte heller är de sekretessbrytande undantagen som behandlats i det föregående möjliga att rutinmässigt tillämpa då uppgifter lämnas ut vid sammanhållen journalföring; något som framgår av vår bedöm- ning i det följande.

Det utlämnande som sker då journaluppgifter förs in i ett system för sammanhållen journalföring utan att spärras motiveras inte annat än möjligtvis i undantagsfall av att det skulle vara nödvändigt för den utlämnande myndighetens behov. Undantagsbestämmelsen i 1 kap. 5 § sekretesslagen ger alltså inte stöd för den sammanhållna journal- föringen. Inte heller finns det någon sådan uppgiftsskyldighet som avses i 14 kap. 1 § sekretesslagen som legaliserar utlämnandet till andra myndigheter inom hälso- och sjukvården. Tillämpningsområ- det för undantagsfallen i 14 kap. 2 § sekretesslagen är otillräckligt för den sammanhållna journalföringen och generalklausulen i 14 kap. 3 § sekretesslagen är över huvud taget inte tillämplig på hälso- och sjukvårdens område.

Det sekretessbrytande undantag i gällande rätt som det ligger närmast till hands att åberopa vid sammanhållen journalföring är bestämmelsen i 14 kap. 4 § sekretesslagen om att den enskilde kan efterge sekretessen. Som framgått av avsnitt 11.3 får ett utlämnande av journalinformation inte ske genom tillgängliggörande i den sam- manhållna journalföringen, om patienten motsätter sig det. Det sekretessproblem som nu är i fråga rör således bara icke spärrad information. Vi har därför frågat oss om det innebär ett tyst samtycke till utlämnande när patienten inte motsätter sig att uppgifterna görs tillgängliga i den sammanhållna journalföringen; ett samtycke som skulle kunna godtas som en eftergift av sekretessen enligt 14 kap. 4 § sekretesslagen.

Vi bedömer emellertid att patienten normalt kommer att göra ett passivt val som är alltför oklart och generellt för att kunna godtas som en sådan eftergift av sekretessen som avses i 14 kap. 4 § sek-

328

SOU 2006:82

Närmare om sammanhållen journalföring

retesslagen. I sammanhanget måste beaktas att patientens ”samtycke” ofta är villkorat på så sätt att han eller hon gör valet utifrån vetska- pen om att i ett senare skede, skede 2, kunna kontrollera vilken vårdgivare som tar del av uppgifterna. Vidare kan efter det att journal- uppgifterna förts in, flera vårdgivare komma att anslutas till den sammanhållna journalföringen och få tillgång till uppgifterna. För tilltron till informationsutbytet är det av fundamental betydelse att det rättsliga stödet för detta inte kan sättas i fråga.

Som inledningsvis sagts måste sekretessprövningen göras redan då den journalförande vårdgivaren för in en uppgift i en journalhand- ling, om den därigenom blir tekniskt tillgänglig för andra vårdgivare i den sammanhållna journalföringen. Att en patient måhända i ett senare skede, skede 2, samtycker till att en annan vårdgivare tar del av uppgiften genom att slå fram uppgiften, kan alltså inte ha någon sekretessbrytande verkan enligt 14 kap. 4 § sekretesslagen, eftersom uppgiften redan är att anse som utlämnad i skede 1.

Sammanfattningsvis krävs ändringar i sekretessregleringen för att sammanhållen journalföring skall kunna ske.

Vi vill framhålla att avsikten inte är att föreslå en ändrad sekre- tessreglering som ger enskilda ett försämrat integritetsskydd jämfört med dagens förhållanden. Vi menar att lättnader i sekretessen för att möjliggöra sammanhållen journalföring måste ses tillsammans med den öviga reglering som vi föreslår i bl.a. avsnitt 11.3. Att se sekretessförslaget på detta sätt är, menar vi, naturligt med tanke på att syftet med de övriga förslagen är detsamma som med hälso- och sjukvårdssekretessen; att skydda enskildas personliga integritet. Av betydelse i sammanhanget är också att vårt förslag i det följande bara tar sikte på uppgiftsutbytet mellan de vårdgivare som är anslutna till ett system för sammanhållen journalföring. Gentemot myndig- heter och enskilda utanför denna krets gäller en oförändrad hälso- och sjukvårdssekretess för den vårddokumentation som är tillgänglig i ett system för sammanhållen journalföring.

En särskild fråga är hur vi lämpligen skall förhålla oss till OSEK:s olika förslag. OSEK:s förslag bereds för närvarande i Regerings- kansliet. Enligt underhandsbesked kommer troligen inte något av de delförslag som redovisats här att leda till propositionsförslag under år 2006. När en proposition sedan kan komma att behandlas i riks- dagen är osäkert. Det är sannolikt att det i vart fall kommer att dröja några år innan en ny sekretesslag kan träda i kraft. I våra övervägan- den utgår vi därför från att sekretessgränser m.m. förblir oförändrade

329

Närmare om sammanhållen journalföring

SOU 2006:82

och att den nuvarande sekretesslagen kommer att gälla under de närmaste åren.

Det bör emellertid framhållas att vi ansluter oss till OSEK:s be- dömning att det inte finns några sekretessgränser mellan olika hälso- och sjukvårdsverksamheter (samt annan medicinsk verksamhet som avses i 7 kap. 1 c § första stycket andra meningen sekretesslagen) som bedrivs inom samma myndighet.

Vidare konstaterar vi att OSEK:s förslag till utvidgning av den reglering som i dag finns i 14 kap. 2 § sjätte stycket sekretesslagen, se ovan, inte undanröjer sekretessproblemen när det gäller den sam- manhållna journalföringen. Det sammanhänger främst med svårig- heterna att när en journaluppgift görs tillgänglig utan att spärras, pröva om rekvisiten för det sekretessbrytande undantaget är uppfyllda. I princip blir som påpekats ett flertal gånger en icke spärrad uppgift utlämnad till alla de vårdgivare där det finns någon befattningshavare som har teknisk möjlighet att bereda sig tillgång till informationen. Normalt torde inte i det läget alla anslutna myndigheter kunna be- dömas behöva varje införd uppgift för kunna ge den enskilde nöd- vändig vård och behandling. Som framgått i det föregående är den av OSEK föreslagna bestämmelsen också avsedd att tillämpas i enskilda fall och efter särskild prövning då i det konkreta fallet problem uppstår på grund av att den enskilde inte kan tillfrågas om sin inställning eller den enskilde motsätter sig att uppgifter lämnas ut trots att den mottagande sjukvårdsmyndigheten eller privata vård- givaren har ett direkt påkallat behov av uppgiften för att kunna ge nödvändig vård eller behandling.

Återigen kan påpekas att övervägandena i det följande enbart tar sikte på det sätt som utlämnande sker på, dvs. elektroniskt utlämnande genom andra vårdgivares direktåtkomst till uppgifter i vårddokumen- tation som inte spärrats på patientens önskemål.

För spärrade journaluppgifter gäller de ordinära bestämmelserna då fråga om utlämnande uppkommer. Detsamma gäller då fråga upp- kommer om utlämnande av ospärrade uppgifter för andra syften eller i andra situationer än vad bestämmelserna om sammanhållen jour- nalföring tillåter. I sådana fall får alltså en sekretessprövning göras i det enskilda fallet på samma sätt som i dag krävs. Som framgått av redovisningen i avsnitt 11.5.1 behöver den nuvarande sekretess- regleringen inte alltid utgöra hinder mot annat slag av utlämnande även om patienten motsätter sig ett utlämnande eller inte kan tillfrågas. Något absolut förbud att lämna ut spärrade uppgifter är alltså inte inbyggt i våra förslag i avsnitt 11.3, bara ett förbud mot

330

SOU 2006:82

Närmare om sammanhållen journalföring

ett visst sätt att lämna ut dem, dvs. genom att låta dem ingå i ett elektroniskt informationssystem som mottagaren har direktåtkomst till. I avsnitt 14 återkommer vi till frågor om bl.a. vissa lättnader i sekretessen i det individinriktade patientarbetet vid sidan av utbytet genom direktåtkomst i system för sammanhållen journalföring. De frågor som behandlas i avsnitt 14 har betydelse även för utbyte mellan vårdgivare av spärrad vårddokumentation.

Diskuterade men bortvalda lösningar

Som framgått i det föregående anser vi det nödvändigt att införa lättnader i eller undantag från sekretessen för att sammanhållen jour- nalföring mellan flera vårdgivare skall kunna ske i enlighet med våra förslag. Vi har diskuterat flera olika lösningar.

Till en början har vi diskuterat lämpligheten i att införa sekretess- brytande undantag i någon av de tre första paragraferna i 14 kap. sek- retesslagen. Dessa bestämmelser reglerar emellertid endast sekretess- genombrott i uppgiftsutbyte mellan myndigheter. I en sammanhållen journalföring kan dock komma att ingå också privata vårdgivare. Att utvidga någon av bestämmelserna i 14 kap. 1–3 §§ till att omfatta utlämnande till enskild ter sig ur lagstiftningsteknisk synvinkel som en mindre lämplig väg att gå, inte minst med tanke på att en sådan systematisk nyordning endast omfattar behov hos en – i förhållande till samhällets totala offentliga verksamhet – så pass begränsad verk- samhet som sammanhållen patientjournalföring faktiskt kommer att utgöra under överskådlig tid. Det kan nämnas att OSEK:s förslag till utvidgning av nuvarande 14 kap. 2 § är inarbetad i en total om- strukturering av sekretesslagen. Även andra skäl talar mot sekre- tessbrytande undantag enligt 14 kap 1–3 §§.

Såsom framhållits i tidigare avsnitt bygger våra förslag om sam- manhållen journalföring på att den skall ske genom frivillig samverkan mellan vårdgivare, där det naturligen från fall till fall bör bedömas utifrån ett flertal aspekter vilken omfattning sådan samverkan bör ha. Vilka vårdgivare skall ingå? Skall samarbetet avse bara ett visst område såsom vaccinationer eller bara vårdkedjan mellan sjukhus, primärvård och den kommunala vården? Skall det bara avse viss på förhand utvald medicinsk basinformation såsom läkemedelsordina- tioner, provsvar och diagnoser m.m.? Sådana överväganden bör rim- ligen överlämnas till vårdgivarna själva att inom ramen för regle- ringen i övrigt bestämma. Ett sekretessgenombrott enligt 14 kap.

331

Närmare om sammanhållen journalföring

SOU 2006:82

1 § sekretesslagen genom uppgiftsskyldighet är därför ingen lämplig lösning.

Inte heller menar vi att det är lämpligt att göra ett tillägg i 14 kap. 2 § sekretesslagen. Den paragrafen reglerar generellt sett endast sekretessbrytande undantag i situationer där mottagarens starka behov av just de ifrågavarande uppgifterna för speciella ändamål motiverat undantagen. I den sammanhållna journalföringen handlar det – i ut- lämnandeskedet då uppgifterna görs tillgängliga – mer om de olika vårdgivarnas generella behov av tillgång till andra vårdgivares uppgifter i händelse av framtida patientkontakter. Närmare vilka uppgifter som kommer att behövas i konkreta fall går knappast att bedöma när uppgifter journalförs eller annars registreras utan att spärras.

Att genom en särbestämmelse låta generalklausulen i 14 kap. 3 § sekretesslagen bli tillämplig vid sammanhållen journalföring med ett bibehållet omvänt skaderekvisit ter sig som en klart olämplig lösning. Ett omvänt skaderekvisit förutsätter en individuell bedömning med utgångspunkt i den berörda personens egen upplevelse. Ett rutin- mässigt utlämnande efter generella intresseavvägningar bör inte före- komma med stöd av 14 kap. 3 § sekretesslagen.

Ett alternativ som vi övervägt är en särbestämmelse om att upp- gifter skall få lämnas ut vid sammanhållen journalföring med tillämp- ning av ett rakt skaderekvisit. Det skulle innebära att en presumtion för att journalhandlingar m.m. får göras tillgängliga för andra vård- givare i den sammanhållna journalföringen. Endast om men kan antas, skulle sekretessen utgöra ett hinder. En sådan modell skulle i första hand få betydelse då sammanhållen journalföring etableras och man väljer ut vilken typ av vårddokumentation som skall göras tillgänglig. Typiskt sett mera känsliga uppgifter skulle inte kunna ingå i den sammanhållna journalföringen. För de uppgifter som inte är typiskt känsliga, skulle dock sekretessbedömningar i enskilda fall kunna medföra att en uppgift måste spärras, även om patienten inte begär det.

I sin rapport Omfattningen av administration i vården från år 2000 föreslog Socialstyrelsen att en sekretessbestämmelse med ett rakt skaderekvisit generellt skulle införas sinsemellan hälso- och sjukvårdens verksamheter. Förslaget syftade till att komma till rätta med de faktiska eller upplevda hindren för ett befogat och även från patienternas sida önskvärt informationsutbyte i hälso- och sjukvår- den. En sådan bestämmelse skulle främst underlätta uppgiftsutbyte inom den somatiska vården. När det gäller den psykiatriska vården och vissa särskilt integritetskänsliga delar av den somatiska vården

332

SOU 2006:82

Närmare om sammanhållen journalföring

anförde Socialstyrelsen att man mera sällan torde kunna utgå ifrån att uppgifter kan föras över till annan sjukvårdsverksamhet utan men för patienten (rapporten s. 67).

Visserligen skulle ett rakt skaderekvisit innebära en lättnad i sekre- tessen som skulle tillåta mycket av det uppgiftsutbyte som en sam- manhållen journalföring syftar till. Vi befarar emellertid att denna lösning skulle medföra betydande tillämpningsproblem. Kan man anta men även då en patient inte aktivt kräver spärrning? I så fall när och i fråga om vilka slags uppgifter eller vilka slags patienter? Det finns en klar risk att ett rakt skaderekvisit leder till stor osäkerhet hos många journalförande yrkesutövare som dagligen skall tillämpa bestämmelsen. Den typen av bedömningar skulle kunna upplevas som krångliga och därmed faktiskt innebära ett merarbete för personalen; något som måste undvikas om den sammanhållna journalföringen skall ge önskade vinster. Ytterligare skäl mot den lösningen är risken för en inkonsekvent tillämpning präglad av olika journalförares mer eller mindre personliga uppfattningar om saken. Vi har därför valt bort denna modell.

Vald lösning; sekretessbrytande undantag i 7 kap. sekretesslagen

Den lösning som vi slutligen stannat för är att införa ett undantag från sekretessen när det gäller utlämnande av annars sekretessbelagd uppgift till andra myndigheter inom hälso- och sjukvården och privata vårdgivare genom det potentiella tillgängliggörande som sam- manhållen journalföring innebär. Någon sekretessbedömning behöver alltså inte göras vid den dagliga journalföringen utan enbart en pröv- ning av om den förutsättning som anges i patientdatalagen är uppfylld, dvs. att patienten inte motsätter sig utlämnandet. Vi menar att det är den lösning som leder till minst tillämpningsproblem för hälso- och sjukvården och som bäst främjar effektiviteten i verksamheten och en ökad patientnytta.

Vidare menar vi att det inte finns något bärande skäl från inte- gritetssynpunkt mot denna lösning, eftersom förslaget skall ses till- sammans med våra förslag till integritetsgarantier i patientdatala- gen. Patienten ges enligt våra förslag en ovillkorlig rätt att i förväg bestämma över den potentiella spridningen (skede 1). Dessutom ges patienten en rätt att – frånsett nödsituationer och liknande – bestämma över den faktiska spridningen, då patienten vid senare vårdtillfällen får inflytande över om personal skall få eller inte få

333

Närmare om sammanhållen journalföring

SOU 2006:82

titta på ospärrad information (skede 2). Till detta kommer bl.a. de förslag som kommer att presenteras i det följande om patientens rätt att kontrollera vilken åtkomst som faktiskt förekommit till vård- dokumentationen (se avsnitt 12). Därigenom kommer patienten också att kunna kontrollera vilka andra vårdgivare som utnyttjat sin direktåtkomst till att ta del av uppgifter om honom eller henne. Enligt vår uppfattning ger dessa bestämmelser sammantaget ett full- gott integritetsskydd som klart uppväger den föreslagna lättnaden i sekretessen.

Något om utlämnande från privata vårdgivare

Sekretesslagen gäller bara för den allmänna hälso- och sjukvården. Inom enskild hälso- och sjukvård, dvs. hos privata vårdgivare, gäller enligt 2 kap. 8 § lagen om yrkesverksamhet på hälso- och sjukvår- dens område att personal har tystnadsplikt. Tystnadsplikten innebär ett förbud mot att obehörigen röja uppgifter om enskilds hälsotill- stånd eller andra personliga förhållanden. Som tidigare nämnts har det vid tolkningen av detta obehörighetsrekvisit ansetts naturligt att söka ledning i sekretesslagens regler. Med tanke på den föreslagna bestämmelsen i sekretesslagen samt på att regleringen i patientdata- lagen anger förutsättningarna för den sammanhållna journalföringen, anser vi att tystnadsplikten i den enskilda hälso- och sjukvården inte utgör något hinder mot deltagande i sammanhållen journalföring. Någon motsvarande särbestämmelse i lagen om yrkesverksamhet på hälso- och sjukvårdens område som den föreslagna nya bestämmel- sen i 7 kap. sekretesslagen behövs alltså inte.

Lagteknisk lösning

Det ligger nära till hands att införa den föreslagna bestämmelsen om sekretessbrytande undantag i samma paragraf som reglerar hälso- och sjukvårdssekretessen, dvs. i 7 kap. 1 c § sekretesslagen. Paragrafen har emellertid sedan sekretesslagens ikraftträdande år 1981 ändrats vid ett antal tillfällen. Genom olika ändringar har paragrafen kommit att bli förhållandevis omfattande och svårtillgänglig. I senare delar av detta betänkande kommer vi att föreslå ett par ytterligare sekre- tessbrytande undantag från hälso- och sjukvårdssekretessen enligt paragrafens första stycke. För att inte ytterligare tynga 7 kap. 1 c §

334

SOU 2006:82

Närmare om sammanhållen journalföring

med dessa bestämmelser, föreslår vi att en ny paragraf, 7 kap. 1 d §, införs i sekretesslagen vari våra förslag till sekretessbrytande undan- tag från hälso- och sjukvårdssekretessen tas in.

Av systematiska skäl anser vi att de nuvarande sekretessbrytande undantagen i 7 kap. 1 c § från sekretessen enligt första stycket flyttas till den nya paragrafen. Därmed samlas samtliga sekretessbrytande undantagen från hälso- och sjukvårdssekretessen enligt första stycket i en paragraf som i ordning kommer direkt efter 7 kap. 1 c §.

De undantag som flyttas finns i dag i 7 kap. 1 c § femte stycket andra meningen. Där föreskrivs att uppgift som omfattas av sekre- tess enligt första stycket får utan hinder av sekretessen lämnas till enskild enligt vad som föreskrivs i lagen (1988:1473) om undersök- ning beträffande vissa smittsamma sjukdomar i brottmål, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen samt 6 och 7 kap. lagen (2006:351) om genetisk integritet m.m.

11.6Personuppgiftsansvar vid sammanhållen journalföring

Vårt förslag: Även vid sammanhållen journalföring skall patient- datalagens allmänna regel om personuppgiftsansvar gälla, dvs. att varje myndighet inom hälso- och sjukvården eller privat vård- givare är personuppgiftsansvarig för den behandling av personupp- gifter som den utför. Regeringen får dock meddela föreskrifter om personuppgiftsansvar när det gäller övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder.

Vi har i avsnitt 8.3 föreslagit att varje vårdgivare (dvs. myndighet inom hälso- och sjukvården eller privat vårdgivare) skall vara person- uppgiftsansvarig för den behandling av personuppgifter som den ut- för. Vid sammanhållen journalföring uppkommer frågor om hur personuppgiftsansvaret fördelas mellan de samarbetande vårdgivarna och om det behövs en särreglering av personuppgiftsansvaret vid sådant samarbete.

När det gäller innebörden av personuppgiftsansvar hänvisas till redogörelsen i avsnitt 8.3. Utöver vad som framgår där kan nämnas att vid sidan av den personuppgiftsansvarige – med personal och andra som under den personuppgiftsansvariges direkta ansvar behandlar personuppgifter – kan det finnas ett personuppgiftsbiträde som är involverat i samma personuppgiftsbehandling. Med personuppgifts-

335

Närmare om sammanhållen journalföring

SOU 2006:82

biträde avses den som behandlar personuppgifter för den person- uppgiftsansvariges räkning (3 § personuppgiftslagen).

Ett personuppgiftsbiträde ingår inte i en personuppgiftsansvarigs egen organisation utan är anlitad utifrån. Enligt 30 § personuppgifts- lagen skall det finnas ett skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. I avtalet skall det särskilt föreskrivas dels att biträdet bara får behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige, dels att personuppgiftsbiträdet är skyldigt att vidta sådana säkerhetsåtgärder som avses i 31 § första stycket samma lag. Det åligger den personuppgiftsansvarige att förvissa sig om att personuppgiftsbiträdet kan genomföra och verkligen genomför dessa säkerhetsåtgärder. Den personuppgiftsansvarige kan således överlåta den faktiska behandlingen av personuppgifter, men person- uppgiftsansvaret kan inte överlåtas. Det är alltid den personuppgifts- ansvarige som ytterst ansvarar för att personuppgiftsbehandlingen sker lagenligt och som alltså kan bli skadeståndsskyldig gentemot en enskild vid biträdets felaktiga hantering. Det är en annan sak att biträdet i motsvarande mån kan bli skadeståndsskyldigt gentemot sin uppdragsgivare på grund av avtalsrättsliga principer.

11.6.1Flera möjliga personuppgiftsansvariga

Då personuppgifter behandlas gemensamt eller för fleras organs gemensamma räkning, kan man fråga sig vem eller vilka möjliga organ som är personuppgiftsansvariga. Något hinder mot att per- sonuppgiftsansvaret är gemensamt finns inte.

När det gäller personuppgiftsansvarets fördelning vid gemensam personuppgiftsbehandling kan framhållas att någon praxis i form av vägledande domstolsavgöranden inte har bildats sedan personupp- giftslagen trädde i kraft år 1998. Däremot finns en del vägledande uttalanden i förarbeten och av Datainspektionen vilka här kort redo- visas.

Datalagskommittén anförde bl.a. att den som t.ex. via ett nätverk har åtkomst till och kan läsa och söka bland personuppgifter utan självständig rätt att ändra, komplettera eller radera uppgifterna nor- malt inte bör anses vara personuppgiftsansvarig (SOU 1997:39 s. 288). Samma ståndpunkt har Datainspektionen framfört i ett informations- blad om personuppgiftsansvar (Datainspektionen, november 1999, se även Öman och Lindblom; Personuppgiftslagen – En kommentar,

336

SOU 2006:82

Närmare om sammanhållen journalföring

Stockholm 2001, andra upplagan, s. 56 f.). Direktåtkomst till en upp- giftssamling genererar alltså inte med automatik något personupp- giftsansvar för sådan personuppgiftsbehandling som man faktiskt utför då man använder direktåtkomsten.

I sammanhanget kan nämnas att Datainspektionen i ett samråds- yttrande i januari 2005 på hälso- och sjukvårdens område gjort ett uttalande i fråga om eget eller gemensamt personuppgiftsansvar. Sam- rådet gällde en förfrågan från Landstinget i Värmland angående den för landstinget och kommunerna i landstingsområdet gemensamma Vårdkatalogen; ett IT-system som innehåller uppgifter om lands- tingets och kommunernas personal. Till saken hör att Vårdkatalogen administreras av landstinget. Enligt Datainspektionen talar mycket för att varje arbetsgivare är personuppgiftsansvarig för sin del, dvs. för behandlingen av personuppgifter om den egna personalen, i vart fall om det varit upp till arbetsgivaren att bestämma att personalen skall ingå i katalogen och om det enbart är arbetsgivaren som har rätt att självständigt ändra, komplettera eller radera personuppgifter om den egna personalen. Enligt Datainspektionen är landstinget per- sonuppgiftsbiträde åt kommunerna, om Vårdkatalogen finns i lands- tingets databas. För det fall alla kan påverka informationsinnehållet, skulle det dock kunna vara fråga om ett gemensamt personuppgifts- ansvar för landstinget och kommunerna.

Frågan om personuppgiftsansvar vid myndighetsgemensam person- uppgiftsbehandling har tagits upp i flera förarbeten till registerlag- stiftning. Frågan har inte alltid lösts på samma sätt. Av uttalanden i nyare förarbeten kan de redovisas som gäller personuppgiftsbehand- lingen inom socialförsäkringens administration (prop. 2002/03:135 s. 52 f.).

Regeringen anförde här att det inte är ändamålsenligt att i lag i detalj specificera vem som skall vara personuppgiftsansvarig för alla de olika typer av behandlingar som kan tänkas förekomma inom socialförsäkringens administration. Särskilt gäller detta de mer kom- plexa förhållanden som råder vid myndighetsgemensam användning av de stora register som ingår i socialförsäkringsdatabasen. I stället bör personuppgiftsansvaret fördelas genom en regel av mer över- gripande karaktär som tar sikte på den myndighet som utför en viss behandling. Enligt regeringen är det den enskilda behandlingen som skall utgöra grunden för fördelningen av personuppgiftsansvaret. Regeringen fortsatte enligt det följande.

337

Närmare om sammanhållen journalföring

SOU 2006:82

Har en uppgift lagrats i databasen är det den myndighet som i och för sin verksamhet utför lagringsåtgärden som är ansvarig för att den lagrade uppgiften är korrekt. Ansvaret för uppgiften bör rimligtvis sedan sträcka sig så långt som fram till den tidpunkt då gallring aktualiseras, dock inte längre än fram till den tidpunkt då den myndigheten av olika skäl inte längre besitter möjligheter att förfoga över uppgiften genom rätt- ning, blockering, borttagning etc. Om en personuppgift lämnas ut av en annan myndighet än den som registrerade uppgiften svarar naturligt- vis den utlämnande myndigheten för den behandling som utgörs av själva utlämnandet.

För den fortsatta behandlingen av uppgiften efter en registrering kan även andra myndigheter vara ansvariga, allt efter vilka faktiska behand- lingar som utförs. Förslaget om fördelning av personuppgiftsansvar för- utsätter naturligtvis att det går att genom loggning spåra vilken myn- dighet som företagit en viss behandling.

I övergripande frågor, såsom ansvar för att tekniska eller organisa- toriska säkerhetsåtgärder vidtas, måste personuppgiftsansvaret fördelas efter vilka myndigheter som har befogenhet och skyldighet att utföra dessa åtgärder. I regel torde det följa av åläggandet för Riksförsäkrings- verket i verksinstruktionen att vara ansvarig systemägare för Riksför- säkringsverkets och försäkringskassornas gemensamma IT-system att det är verket som har personuppgiftsansvaret vad avser sådana frågor. Enligt regeringens uppfattning innebär det lämnade förslaget i princip ett sådant “gemensamt” personuppgiftsansvar som ett flertal försäkrings- kassor efterlyst. Att införa en bestämmelse som innefattar begreppet “gemensamt personuppgiftsansvar” är dock inte i sig ägnat att bringa större klarhet rörande fördelningen av personuppgiftsansvaret eftersom det i enlighet med vad som anförts ovan i själva verket är så att person- uppgiftsansvaret splittras upp på de olika myndigheterna. Enligt rege- ringens uppfattning bör personuppgiftsansvaret i stället fördelas utifrån en bestämmelse som tar sikte på vilken myndighet som utför en be- handling av personuppgifter.

I 6 § lagen (2003:763) om behandling av personuppgifter inom social- försäkringens administration föreskrivs följaktligen att en myndighet inom socialförsäkringens administration är personuppgiftsansvarig för den behandling av personuppgifter som den utför. Likartade reg- leringar och förarbetsuttalanden finns på andra områden, exempel- vis inom kronofogdemyndigheternas verksamhet och i den arbets- marknadspolitiska verksamheten (prop. 2000/01:33 s. 97 f. och prop. 2001/02:144 s. 21 f.).

Inom socialtjänsten har i stället den modellen valts att inget sägs om personuppgiftsansvaret i den särskilda registerlagen – lagen (2001:454) om behandling av personuppgifter inom socialtjänsten – utan att saken i stället regleras i den förordning (2001:637) om behandling av personuppgifter inom socialtjänsten som utfärdats i anslutning till

338

SOU 2006:82

Närmare om sammanhållen journalföring

lagen. I förordningen föreskrivs bl.a. att, om behandling görs gemen- samt för flera myndigheter inom en kommun, varje myndighet är personuppgiftsansvarig för den behandling som utförs hos den myn- digheten (11 § andra stycket).

I registerlagstiftning förekommer vidare att en central myndighet fått ett övergripande personuppgiftsansvar även för sådan person- uppgiftsbehandling som faktiskt utförs av en annan myndighet. I t.ex. lagen (1998:621) om misstankeregister har Rikspolisstyrelsen ålagts ensamt personuppgiftsansvar för personuppgiftsbehandlingen alldeles oberoende av vilken myndighet som faktiskt behandlar upp- giften genom att t.ex. själv registrera den i registret eller göra en slagning i registret. Skälet till det är, enligt den lagens förarbeten, att det är en klar fördel för den enskilde att ha en enda myndighet att vända sig till i händelse av att det blir aktuellt att rätta en fel- aktighet (prop. 1997/98:97 s. 108 f.).

11.6.2Våra överväganden

Vid sammanhållen journalföring uppkommer, som framgått av det föregående, frågan om hur personuppgiftsansvaret bör fördelas mellan de ingående myndigheterna eller privata vårdgivarna.

Vår utgångspunkt i denna fråga är att en detaljreglering med ut- pekande av en personuppgiftsansvarig i och för sig skulle vara önsk- värd från integritetssynpunkt. En enskilds möjligheter att ta till vara sina rättigheter underlättas givetvis, om det direkt i en författning klart framgår vem han eller hon skall vända sig till med krav eller klagomål, t.ex. för det fall bristfällig information lämnats om vem som är personuppgiftsansvarig för behandling av personuppgifter som avser honom eller henne. En ordning som t.ex. innebär att varje myn- dighet eller privat vårdgivare som samverkar i sammanhållen journal- föring har ett solidariskt ansvar för all personuppgiftsbehandling som förekommer eller en ordning som innebär att en viss på förhand ut- sedd vårdgivare ges ett ensamt ansvar skulle ju undanröja risken för att en enskild behöver vända sig till mer än en vårdgivare med klagomål.

Våra förslag innebär emellertid att det överlämnats åt de privata vårdgivarna, landstingen och kommunerna att inom lagens ramar närmare bestämma samarbetsformer, teknisk organisering, omfatt- ning och andra parametrar vid sammanhållen journalföring. Redan mot den bakgrunden ter det sig på nuvarande stadium både omöjligt

339

Närmare om sammanhållen journalföring

SOU 2006:82

och olämpligt att peka ut vem som bör vara personuppgiftsansvarig för behandlingar som kan komma att förekomma i de olika slags system för sammanhållen journalföring som kommer att byggas upp.

Övervägande skäl talar enligt vår mening för att regleringen i stället bör ta sin utgångspunkt i att det vid sammanhållen journalföring är den som har faktisk möjlighet att påverka om och hur en enskild personuppgiftsbehandling skall företas, som bör vara personuppgifts- ansvarig för den behandlingen.

En reglering av detta innehåll har redan föreslagits som en grund- läggande bestämmelse om personuppgiftsansvar i patientdatalagen, se avsnitt 8.3. Vid sammanhållen journalföring skall således varje vårdgivare (eller i förekommande fall myndighet inom hälso- och sjukvården) vara personuppgiftsansvarig för den enskilda person- uppgiftsbehandling som vårdgivaren utför.

Det bör här påpekas att förslagen om sammanhållen journalföring i allt väsentligt utgör en reglering av direktåtkomst till journal- uppgifter och annan vårddokumentation. Någon rätt att korrigera, komplettera, gallra eller liknande i andras vårddokumentation över vårdgivargränser finns alltså inte.

I praktiken innebär patientdatalagens allmänna bestämmelse om personuppgiftsansvar bl.a. att den vårdgivare som gör en personupp- gift tillgänglig för andra genom att uppgiften dokumenteras utan att spärras, har personuppgiftsansvaret för att det sker på ett lagligt sätt. I ansvaret ingår således att se till att patienten i skede 1 ges sådan information om den sammanhållna journalföringen så att han eller hon kan ta ställning till en eventuell spärrning. Personuppgiftsansvaret omfattar även den fortsatta lagringen och det tillgängliggörande som sker därefter. Bestämmelsen innebär vidare – till skillnad från vad som torde följa vid enbart en tillämpning av personuppgiftslagen – att den vårdgivare som använder sin direktåtkomst och bereder sig tillgång till andra vårdgivares uppgifter för att söka efter och läsa vårddokumentation, blir personuppgiftsansvarig för den personupp- giftsbehandling som detta innebär.

Några problem med att i ett enskilt fall avgöra vilken vårdgivare eller myndighet som faktiskt utfört en behandling bör inte kunna uppstå. Av de grundläggande kraven på all patientjournalföring följer att det skall framgå inte bara vilken befattningshavare som har jour- nalfört en viss uppgift, utan även att det av journalen framgår i vilken verksamhet detta skett. Det får också betraktas som en basal säker- hetsåtgärd att de tekniska systemen fungerar så att det går att fast-

340

SOU 2006:82

Närmare om sammanhållen journalföring

ställa när en journaluppgift eller annan vårddokumentation görs tillgänglig för andra vårdgivare och myndigheter i den sammanhållna journalföringen. Genom loggning kommer vidare att kunna spåras vem inom eller utom en vårdgivares eller myndighets verksamhet som berett sig tillgång till en journaluppgift m.m. och när detta skett, se avsnitt 12. Sammanhållen journalföring ställer med andra ord krav på informationssystem som möjliggör att en enskild personuppgifts- behandling vid behov alltid kan rekonstrueras i efterhand.

Det personuppgiftsansvar som härutöver bör diskuteras omfat- tar bara mer övergripande frågor och förhållanden som är relatera- de till det gemensamma tillgängliggörandet och den gemensamma åtkomsten till varandras vårddokumentation. Inte minst central är frågan om vem eller vilka som ansvarar för att personuppgifterna skyddas genom tekniska eller organisatoriska säkerhetsåtgärder när de görs tillgängliga i den sammanhållna journalföringen. Givetvis ingår det i varje vårdgivares ”ordinära” personuppgiftsansvar för sin elektroniska vårddokumentation att skydda den mot olaglig använd- ning, förstöring, obehörig åtkomst m.m. Det kan här nämnas att ett motsvarande ansvar finns även enligt annan lagstiftning, såsom sek- retesslagen och arkivlagstiftningen. I och med tillgängliggörandet vid sammanhållen journalföring uppkommer emellertid ytterligare dimensioner av ansvaret.

Något generellt och heltäckande svar på frågan om det över- gripande ansvaret kan dock inte ges. Svaret beror i hög grad på hur man i rättstillämpningen bedömer de faktiska förhållandena i det enskilda fallet utifrån bestämmelsen om att varje vårdgivare eller myn- dighet ansvarar för den behandling som den utför. Som huvudregel bör därvid gälla att ansvaret för sådana övergripande frågor bör delas solidariskt mellan de samarbetande vårdgivarna eller myndigheterna, dvs. vara gemensamt för dem som tillgängliggör journaluppgifter i ett system för sammanhållen journalföring. Man kan dock inte ute- sluta att organisationen eller samarbetsformerna kan komma att gestalta sig på väldigt skilda sätt, vilket kan få betydelse vid en bedömning av ansvaret för övergripande frågor.

Den sammanhållna journalföringen kan exempelvis omfatta enbart ett urval basuppgifter från varje vårdgivares totala vårddokumenta- tion som sammanställs i elektroniska och gemensamt tillgängliga översikter. Det är tänkbart att sådana översikter lagras och behandlas i en gemensam databas som administreras av endast en av vård- givarna, t.ex. ett landsting. Om det landstinget i praktiken dikterar villkoren för de andra vårdgivarnas deltagande i systemet, kan det

341

Närmare om sammanhållen journalföring

SOU 2006:82

tala för att den aktuella myndigheten inom landstinget bör kunna anses ha ett personuppgiftsansvar för övergripande frågor.

I detta sammanhang bör understrykas att det är av stor vikt att parterna i ett samarbete med sammanhållen journalföring träffar avtal vari de närmare formerna för samarbetet preciseras. Vi har inget att invända mot att avtal träffas om den inbördes fördelningen av ansvar för olika moment. Så kan tvärtom sägas vara rekommendabelt. Det bör dock påpekas att utåt, i förhållande till allmänheten och en- skilda registrerade, kan personuppgiftsansvar aldrig avtalas bort.

Som framgått av bl.a. uttalande från Datainspektionen kan det ibland vara en lämplig ordning att vid gränsöverskridande person- uppgiftsbehandlingar använda sig av modellen med personuppgifts- biträdesavtal; inte minst då någon utomstående, dvs. annan än en journalförande vårdgivare involveras i någon central funktion som administratör eller liknande. I några av de system för sammanhållen journalföring som nu utvecklas finns sådana aktörer med vilka de journalförande vårdgivarna och myndigheterna skulle kunna teckna biträdesavtal. Det sagda syftar dels på journalsystemet för vacci- nationer SVEVAC som administreras av Smittskyddsinstitutet, dels på projektet för den Nationella patientöversikten som administreras av Carelink.

Det kan diskuteras om det alltid är lämpligt att en av vårdgivarna agerar som personuppgiftsbiträde åt de övriga vårdgivarna. Exempel- vis har vid Stockholms läns landstings presentation för utredningen av planerna på en för alla landstingets vårdgivare gemensam vård- dokumentation, GVD, nämnts att det kan komma att från lands- tingets sida ställas som villkor vid ingående eller förlängning av entreprenadavtal med privata vårdgivare att de deltar i GVD. Vid sådana förhållanden är det enligt vår mening tveksamt om de privata vårdgivarna intar en sådan överordnad position i förhållande till lands- tinget som gör att landstinget kan anses behandla personuppgifter i enlighet med varje privat vårdgivares instruktioner (jämför 30 § per- sonuppgiftslagen).

Ibland kan det finnas behov både av organisatoriska skäl och av integritetshänsyn med en tydlig reglering av personuppgiftsansvaret för övergripande frågor. Att nu ange i vilka sådana fall en särreglering behövs är inte möjligt, eftersom vi inte kan förutse i vilken omfatt- ning och i vilka former sammanhållen journalföring utvecklas. Rimli- gen kan behov av en tydligare reglering uppkomma vid t.ex. etable- randet av en heltäckande nationell läkemedelsjournal eller om den nationella patientöversikten utvecklas och förverkligas på bred front

342

SOU 2006:82

Närmare om sammanhållen journalföring

i enlighet med de planer som nu finns. Även andra specifika sam- arbeten i form av sammanhållen journalföring kan visa sig vinna på en författningsreglering av personuppgiftsansvaret som, utöver inte- gritetsvinsterna för enskilda, ger en central aktör vissa möjligheter att samlat styra över och administrera verksamheten.

Vi föreslår därför en bestämmelse som ger regeringen möjlig- heter att vid behov närmare reglera personuppgiftsansvaret i sådana övergripande frågor om säkerhetsåtgärder. En sådan reglering kan ta sikte på såväl generella förhållanden som förhållanden vid en viss sammanhållen journalföring, exempelvis personuppgiftsansvaret för övergripande frågor avseende en läkemedelsjournal som etableras i en nationell databas.

Avslutningsvis skall beröras vad som sker med personuppgifts- ansvaret vid sammanhållen journalföring då en vårdgivare, som deltar i samarbetet, upphör med sin verksamhet. Så kan ske av olika anled- ningar. En privat vårdgivare som bedriver sin verksamhet i enskild firma kan exempelvis gå i konkurs eller helt frivilligt sälja eller annars avveckla sin verksamhet. Likaså kan ett privat vårdbolag upplösas eller upphöra på många olika sätt. En privat vårdgivare som bedriver verksamhet på basis av entreprenadavtal med ett landsting kan för- lora sitt kontrakt.

I många av dessa och likartade fall övergår en verksamhet till en ny vårdgivare som övertar journaluppgifterna i fråga, om patienter- na går med på det. Likaså kan en myndighets hälso- och sjukvårds- verksamhet upphöra och övertas av en privat vårdgivare, ett enskilt organ, exempelvis på grund av bolagisering. Myndighetens journaler får då överlämnas till den privata vårdgivaren, om journalerna behövs i dennes verksamhet, se 2 kap. 17 § tryckfrihetsförordningen och lagen (1994:1383) om överlämnande av allmänna handlingar till andra organ än myndigheter för förvaring. Även det omvända kan före- komma; att en privat verksamhet, inklusive patienter och journaler, återgår till ett landsting eller en kommun vid upphörd entreprenad.

För den fortsatta behandlingen och tillgängliggörandet i den sam- manhållna journalen av övertagna journaluppgifter i fall som de nu berörda, kommer den nye (eller nygamla) vårdgivaren (eller myndig- heten) att ha motsvarande personuppgiftsansvar som den förre vård- givaren i den mån den nye vårdgivaren också deltar i den samman- hållna journalföringen.

När det däremot gäller verksamhet som inte överförs utan helt enkelt upphör, anser vi att journaluppgifter från sådan verksamhet efter avvecklingen inte längre bör ingå i den sammanhållna journal-

343

Närmare om sammanhållen journalföring

SOU 2006:82

föringen, dvs. vara elektroniskt tillgängliga för övriga vårdgivare. Någon särbestämmelse om detta behövs dock inte enligt vår upp- fattning. Det finns helt enkelt inte längre någon vårdgivare som kan göra de ifrågavarande journaluppgifterna tillgängliga för de andra. Det är dock bra om det framgår genom en uppgift i ett system för sammanhållen journalföring att det finns arkiverade journaler.

I sammanhanget kan nämnas att då allmän verksamhet inte övertas, gäller som huvudregel enligt 14 § arkivlagen att journalerna skall överlämnas till en arkivmyndighet. Socialstyrelsen har i sina före- skrifter och allmänna råd (SOSFS 1993:20) om patientjournallagen föreskrivit – när det gäller motsvarande situation i enskild verksam- het – att vårdgivaren skall göra anmälan till Socialstyrelsen för beslut enligt 11 § patientjournallagen om omhändertagande av patientjour- naler. Omhändertagna patientjournaler skall förvaras avskilda hos en arkivmyndighet, se om omhändertagande i avsnitt 10.4.9.

11.7Arkivlagstiftning och andra bevarandefrågor vid sammanhållen journalföring

Vårt förslag: En journalhandling eller annan handling behöver bara bevaras hos den myndighet eller privata vårdgivare som an- svarar för handlingen. Övriga myndigheter får gallra handlingen.

11.7.1Inledning

För patientjournalhandlingar gäller att de skall bevaras en viss minsta tid även om den vård som föranlett journalföringen avslutats. Såsom framgått i avsnitt 10.4.7 föreslår vi ingen saklig ändring av denna bestämmelse. För journalhandlingar och annan vårddokumentation som är allmänna handlingar gäller därutöver att de skall bevaras, dvs. bilda arkiv, och vårdas enligt bestämmelser i arkivlagstiftningen.

I vårt uppdrag ingår inte att göra några närmare överväganden om bevarande av journaler, arkivvård och liknande frågeställningar. Vid sammanhållen journalföring uppkommer dock frågor om vilka konsekvenserna blir från bevarande- och arkivsynpunkt då en jour- nalhandling eller annan handling, dvs. upptagning, inte spärras utan görs tillgänglig över vårdgivargränser. Det finns därför anledning att kort beröra dessa frågeställningar här. Med skyldigheten att bevara journalhandlingar sammanhänger frågor om rätten att gallra

344

SOU 2006:82

Närmare om sammanhållen journalföring

journalhandlingar. Efter en beskrivning av centrala bestämmelser i sammanhanget, redogör vi för vår bedömning av vad som bör gälla vid för flera vårdgivare sammanhållen journalföring.

11.7.2Gällande rätt

Grundregeln om bevarande av patientjournaler finns i 8 § patient- journallagen. Där föreskrivs att en journalhandling skall bevaras minst tre år efter det den sista uppgiften fördes in i handlingen. Bestämmelsen gäller journalhandlingar i såväl allmän som enskild hälso- och sjukvård och alldeles oavsett om journaler förs på papper eller elektroniskt. I vissa fall kan föreskrivas om längre bevarande- tid. Några sådana bestämmelser behandlas i avsnitt 10.4.7.

För journalhandlingar som utgör allmänna handlingar gäller där- utöver arkivlagen samt de bestämmelser som meddelas med stöd av arkivlagen, bl.a. i arkivförordningen (1991:446) och i respektive landstings eller kommuns arkivföreskrifter.

Huvudregeln enligt arkivlagen är att allmänna handlingar skall bevaras. I lagen slås fast att myndigheternas arkiv är en del av det nationella kulturarvet. Syftet med arkivbildningen är att arkiven skall bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov.

En myndighets arkiv bildas i huvudsak av de allmänna handlingar- na från myndighetens verksamhet. För handlingar som omfattas av den s.k. journalregeln i 2 kap. 7 § andra stycket 1 tryckfrihetsför- ordningen, blir varje anteckning arkiverad i och med att den har gjorts (3 § arkivförordningen).

För tillsyn över att myndigheterna sköter sina åligganden enligt arkivlagen finns det arkivmyndigheter. Kommunstyrelsen är arkiv- myndighet i kommunen och landstingsstyrelsen i landstinget, om inte kommunfullmäktige eller landstingsfullmäktige har utsett någon annan nämnd eller styrelse till arkivmyndighet. Inget hindrar att en för flera landsting eller kommuner gemensam nämnd utses till arkiv- myndighet. För sådana kommunala företag som avses i 1 kap. 9 § sekretesslagen i vilka flera kommuner eller landsting bestämmer, full- görs uppgiften av arkivmyndigheten i den kommun eller det landsting som kommunerna eller landstingen gemensamt kommer överens om. Det kan tilläggas att det åligger Riksarkivet att följa utvecklingen i kommunerna samt att ge kommunerna allmänna råd i arkivfrågor.

345

Närmare om sammanhållen journalföring

SOU 2006:82

Ett stort antal allmänna råd har meddelats i Riksarkivets författnings- serie RA-FS. Mellan Riksarkivet samt Sveriges Kommuner och Lands- ting sker samverkan i Samrådsgruppen för kommunala arkivfrågor.

Arkivlagens huvudregel om att allmänna handlingar skall bevaras gäller inte utan undantag.

För elektronisk information gäller till en början en undantags- regel som är av särskilt intresse när det gäller för flera vårdgivare sammanhållen journalföring. Upptagningar för automatisk behand- ling som är tillgängliga för flera myndigheter så att de utgör allmänna handlingar hos alla dessa myndigheter, skall bilda arkiv endast hos en av myndigheterna (3 § arkivlagen). Samma upptagning skall alltså inte bevaras och bilda arkiv hos alla myndigheterna. I första hand skall arkivbildning ske hos den myndighet som svarar för huvud- delen av upptagningen. Av förarbetena framgår att andra lösningar är tillåtna och att beslut om var arkivering skall ske får fattas av vederbörande arkivmyndighet (prop. 1989/90:72 s. 70). Det finns ingen specialreglering av hos vilken myndighet arkivbildning skall ske för det fall flera myndigheter har elektronisk tillgång till en enskilds, t.ex. en privat vårdgivare, upptagning på ett sätt som medför att den blir allmän handling hos alla myndigheter. Arkivbildning skall ske hos endast en av myndigheterna. I detta fall torde emeller- tid knappast någon av dem svara för huvuddelen av upptagningen.

Ett annat undantag från huvudregeln om att myndigheters allmänna handlingar skall bevaras är bestämmelsen om att allmänna handlingar får gallras (10 § arkivlagen). Med gallring kan avses att information i sin helhet förstörs. Så måste dock inte ske för att det skall vara fråga om gallring. Gallring av elektronisk information kan t.ex. ske genom att informationen skrivs ut på papper som bevaras varefter informationen raderas från datamediet. Gallring kan också innebära att information överförs från ett datamedium till annat datamedium som medför sämre sammanställnings- eller sökmöjligheter, sämre möjligheter att kontrollera handlingars autencitet m.m.

Gallring görs av den arkivbildande myndigheten. En kommunal myndighet får dock inte på egen hand avgöra vad som skall gallras ur dess arkiv av patientjournalhandlingar. Gallringsföreskrifter för sådana myndigheter fattas av kommunfullmäktige respektive lands- tingsfullmäktige. Deras föreskriftsrätt begränsas dock av att hänsyn skall tas till att återstående material skall tillgodose arkivbildningens syften. Dessutom får gallringsföreskrifter inte strida mot nyss nämnda bestämmelser i 8 § patientjournallagen och i andra författningar om minsta bevarandetid för patientjournalhandlingar.

346

SOU 2006:82

Närmare om sammanhållen journalföring

Att gallring sker är inte bara en praktisk och ekonomisk fråga. Det har också från integritetssynpunkt ansetts väsentligt att käns- ligt material om enskilda inte bevaras i onödan. I många s.k. register- författningar finns därför bestämmelser om att gallring skall ske. Avvikande gallringsbestämmelser i lag eller förordning tar över arkiv- lagens regler om bevarande och gallring. Någon avvikande bestäm- melse om att patientjournaler eller vårdregister ovillkorligen måste gallras finns emellertid inte.

I 10 § vårdregisterlagen anges visserligen att det utöver vad som följer av personuppgiftslagen finns särskilda bestämmelser om beva- rande och gallring i patientjournallagen. Som framgått av det före- gående föreskriver patientjournallagen dock ingen skyldighet att gallra i journaler. Inte heller torde någon ovillkorlig gallringsskyl- dighet följa av personuppgiftslagen.

11.7.3Aktuellt förslag

OSEK har i sitt delbetänkande Ordning och reda bland allmänna handlingar (SOU 2002:97) föreslagit en ny lag som samordnar regle- ringen i arkivlagen med bestämmelserna i 15 kap. sekretesslagen om registrering och utlämnande av allmänna handlingar m.m.; lag om hantering av allmänna handlingar. Förslaget har remissbehandlats och bereds för närvarande i Regeringskansliet.

När det gäller frågan hos vilken myndighet en upptagning – som är gemensamt tillgänglig och utgör allmän handling hos flera myndig- heter – skall bevaras och bilda arkiv, föreslår OSEK att det direkt av lagen framgår att frågan måste avgöras genom beslut i varje enskilt fall. Enligt OSEK blir det i praktiken en fråga som måste diskuteras och lösas redan i samband med planeringen av ett system. En prak- tisk lösning enligt OSEK är att samma myndighet som har person- uppgiftsansvaret också får arkivansvaret (a. bet. s. 127 ff.).

En ytterligare nyhet är en gallringsbestämmelse som, enkelt ut- tryckt, innebär att de anslutna myndigheterna får gallra upptagningar som de inte skall vara arkivansvariga för. Enligt OSEK krävs en sådan bestämmelse för att dessa myndigheter skall avlastas i avsedd mån. Förslaget innebär bl.a. att en myndighet som har tillgång till infor- mation genom direktåtkomst, skall kunna koppla ner sig utan att därigenom göra en otillåten gallring (a. bet. s. 130).

347

Närmare om sammanhållen journalföring

SOU 2006:82

11.7.4Vår bedömning

Såsom redan framhållits är det i dag inte möjligt att förutse i vilken omfattning eller med vilka tekniska eller organisatoriska lösningar vårdgivare närmare kommer att bygga upp system för sammanhållen journalföring över vårdgivargränser. Det är därför knappast möjligt att göra några säkra bedömningar i fråga om vad arkivlagstiftningen och andra regler om bevarande av journalhandlingar konkret inne- bär i det enskilda fallet av sammanhållen journalföring.

För att de öppnade möjligheterna till sammanhållen journalföring skall få genomslagskraft är det emellertid angeläget att reglerna inte medför att sammanhållen journalföring leder till omfattande arkiv- bildning m.m. som är ekonomiskt och administrativt belastande för de deltagande aktörerna eller som får negativa konsekvenser från integritetssynpunkt. Inte heller bör bevarandet av allmänna hand- lingar försämras.

Enligt vår uppfattning talar övervägande skäl för att sådana negativa konsekvenser avvärjs med en huvudprincip som innebär att varje vårdgivare som deltar i ett sammanhållet journalföringssystem an- svarar för bevarandet av de ospärrade journalhandlingar eller annan vårddokumentation som vårdgivaren själv gör tillgängliga i det sammanhållna journalföringssystemet. De andra deltagande vård- givarna bör inte få ett sådant ansvar enbart på den grund att de har en potentiell tillgång till dessa handlingar. Vi kan inte se att något tungt vägande skäl talar för en annan lösning.

Arkivansvar eller annat ansvar för bevarande bör alltså följa verk- samhetsansvar och personuppgiftsansvar för den enskilda person- uppgiftsbehandlingen och en journalhandling eller annan handling bör alltså bara bevaras och bilda arkiv hos en myndighet eller en privat vårdgivare.

För att tydliggöra detta föreslår vi att det i lagen uttryckligen anges att bestämmelser i patientdatalagen eller i annan lag eller förordning om att journalhandlingar skall bevaras viss minsta tid, inte är tillämp- liga på sådana journalhandlingar hos andra vårdgivare som man bara har tillgång till genom direktåtkomst vid sammanhållen journalföring.

Vidare föreslår vi en generell bestämmelse om att sådana hand- lingar får gallras. En sådan gallringsregel behövs bl.a. för att inte någon av de i en sammanhållen journalföring deltagande myndighe- terna skall bli arkivansvarig för privata vårdgivares journalhand- lingar m.m. som de potentiellt sett har tillgång till (jfr 3 § första stycket andra meningen arkivlagen). Handlingar som en myndighet

348

SOU 2006:82

Närmare om sammanhållen journalföring

de facto inte tar del av har ingen betydelse för myndighetens verk- samhet. Vi menar därför att vårt förslag i denna del inte strider mot arkivväsendets syften.

Vad som därefter bör gälla i de fall då en vårdgivare faktiskt be- reder sig tillgång till annan införande vårdgivares journalhandling är en inte helt okomplicerad fråga.

Vi har redan tidigare framhållit att en tidigare journalhandling hos annan vårdgivare normalt inte bör laddas ned i form av en kopia som tillfogas och lagras i den egna journalföringen såsom en ny jour- nalhandling (se avsnitt 11.3.3). Kraven på att journalen skall innehålla de uppgifter som behövs för en god och säker vård – se 3 § patient- journallagen som i denna del överförs oförändrad till patientdatalagen

– innebär inget krav i sig på att varje vårdgivare vid sammanhållen journalföring måste ha ”kompletta” uppgifter. En av poängerna med den sammanhållna journalföringen är ju att dubbeldokumentation skall kunna undvikas. Det är också önskvärt från integritetssynpunkt att uppgifter inte hålls tillgängliga på mer än ett ”ställe”. Normalt bör, enligt vår uppfattning, det vara fullt tillräckligt för vårdsyftet att vårdpersonal tar del av den tillgängliga informationen. Med tanke på de förslag som vi lämnar i fråga om åtkomstdokumentation m.m. (se avsnitt 12) går en sådan personuppgiftsbehandling alltid att re- konstruera i efterhand. Det finns således inget behov av att kopiera informationen för att i händelse av befarat rättsligt efterspel visa vad man gjort eller liknande. Inte heller menar vi att en sådan praxis är oförenlig med de intressen som bär upp arkivväsendet.

Vi vill påpeka att det alltså inte finns något krav på myndigheter som är anslutna till en sammanhållen journalföring att de laddar ner och lagrar kopior av andra vårdgivares journalhandlingar som får betydelse i den egna patientvården. I 15 kap. 14 § sekretesslagen före- skrivs visserligen att en upptagning som används för handläggningen av ett mål eller ärende skall tillföras handlingarna i målet eller ärendet. Den bestämmelsen gäller dock inte – annat än i speciella undan- tagsfall vid tvångsvård – journalföring i faktisk hälso- och sjukvård. Det kan här nämnas att OSEK i det nyss nämnda delbetänkandet har föreslagit en förändring härvidlag, som mycket förenklat ut- tryckt innebär att handlingar som tillför ett mål, ärende eller process sakuppgifter skall knytas till övriga handlingar i målet, ärendet eller processen. Med process torde avses t.ex. faktisk verksamhet såsom patientjournalföring vid hälso- och sjukvård (se SOU 2002:97 s. 111 f. och 2 kap. 1 § första stycket 5 i förslaget till lag om hantering av allmänna handlingar). För det fall OSEK:s förslag genomförs, finns

349

Närmare om sammanhållen journalföring

SOU 2006:82

det enligt vår uppfattning anledning att göra undantag när det gäller användning av direktåtkomst i system för sammanhållen journal- föring enligt patientdatalagen.

Å andra sidan tror vi att det kan vara svårt att helt undvara ned- laddning av kopior. Att den tidigare informationen bifogas den egna journalinformationen kan i undantagsfall vara av helt avgörande be- tydelse för en god och säker vård hos den senare vårdgivaren. Sker en nedladdning, innebär det att en ny handling framställts, på mot- svarande sätt som vid manuell hantering av en patientjournal när en papperskopia på en journalhandling, som en vårdgivare fått från en annan vårdgivare, bifogas patientjournalen. Ett annat exempel är att det av någon anledning behöver göras en sammanställning av olika uppgifter som hämtas från flera olika vårdgivares journalhandlingar. Även i det sist nämnda exemplet har en helt ny journalhandling framställts. I sammanhanget kan framhållas att det självfallet inte är tillåtet att ladda ned och lagra information som inte är nödvändig nu men som ”kan vara bra att ha”. Inte heller får det göras bara där- för att informationen kan komma till nytta i den egna verksamhets- uppföljningen eller liknande. Det följer av kravet på att det skall finnas ett konkret och aktuellt vårdsyfte varje gång direktåtkomsten används, se avsnitt 11.3.

Särskilt i den form av sammanhållen journalföring som innebär att lokalt lagrade journalhandlingar knyts samman i ett gemensamt informationsöverföringssystem tror vi att behov av att komplettera den egna journalföringen ibland kommer att finnas. Efter hand som gemensamma databaser kan komma att växa fram är det troligt att behovet av denna s.k. dubbeldokumentation minskar. Under alla förhållanden menar vi att förfarandet inte bör förbjudas. För att den sammanhållna journalföringen verkligen skall skapa administrativa vinster för hälso- och sjukvården ligger emellertid ett viktigt ansvar på sjukvårdshuvudmännen och andra vårdgivare att ta fram regler och rutiner som förhindrar att den sammanhållna journalföringen skapar en ny form av onödig överdokumentation som går tvärt emot en av intentionerna med den sammanhållna patientjournalföringen. En sådan överdokumentation är också negativ från integritetssyn- punkt.

När tidigare journalhandlingar blir en ”ny” journalhandling hos en senare vårdgivare på sätt som beskrivits i exemplen ovan, är det vår uppfattning att hanteringen och bevarandet av den nya journal- handlingen bör följa samma regler som gäller för övriga journalhand- lingar som har sitt ursprung i den egna verksamheten.

350

SOU 2006:82

Närmare om sammanhållen journalföring

Såsom redovisats i avsnitt 10.4.7 finns det vissa skäl som talar för en förlängning av den nuvarande minsta bevarandetiden om tre år för journalhandlingar, men att vi inom ramen för vårt uppdrag inte sett det som möjligt att föreslå en generell förlängning av denna minimitid. När det gäller sammanhållen journalföring är det givetvis väsentligt för patientsäkerheten och för vårdgivarnas tillit till systemet att ospärrade journalhandlingar gallras under kontrollerade former. Minimitiden för bevarande, tre år, är möjligen väl kort när det gäller dessa handlingar. Det sagda har, som framgått i det föregående, i huvudsak betydelse för journalhandlingar hos privata vårdgivare. Vi vill här peka på den möjlighet regeringen har att föreskriva att vissa slags journalhandlingar skall bevaras minst tio år. Den möjligheten kommer att finnas även enligt patientdatalagen. Vi ser inga hinder mot att regeringen med stöd av denna delegationsbestämmelse före- skriver en minsta bevarandetid om tio år för sådana journalhandlingar som vårdgivare gör tillgängliga i system för sammanhållen journal- föring.

Avslutningsvis vill vi ånyo framhålla att det i vårt mandat inte ingår att överväga ändringar i arkivlagstiftningen. Det är ett rätts- område som har helt andra utgångspunkter och intressen än de vi i vårt uppdrag har att i främsta rummet beakta; patientsäkerhet, inte- gritet och effektivitet. Vi menar dock att såväl gällande arkivlagstift- ning som förslag till ny lagstiftning öppnar för möjligheter att hantera sammanhållen journalföring på ett bra och smidigt sätt.

Det får förutsättas att kommuner och landsting i samråd löser frågor om arkivbildning i förväg. Innan de sjösätter system för sam- manhållen journalföring bör de t.ex. utse arkivmyndighet, vid behov reglera var arkivbildning skall ske samt ta fram enhetliga bestämmel- ser för gallring. En fråga som kan behöva lösas i det sammanhanget är vad som skall gälla för bevarande av sådana centrala patientöver- sikter eller liknande personuppgiftssamlingar som inte innehåller journalhandlingar utan annan vårddokumentation och som enbart inrättats för att underlätta sökning efter journalhandlingar eller för att administrera det sammanhållna journalföringssystemet. Som be- rörts i avsnitt 11.6 är det troligt att sådan personuppgiftsbehandling ofta kommer att utföras av en av de involverade vårdgivarna eller av ett särskilt inrättat samarbetsorgan eller liknande. Det är vidare vår förhoppning att den tidigare nämnda Samrådsgruppen för kommunala arkivfrågor utarbetar allmänna råd om hur gallring kan ske och om hur ansvaret för bevarandefrågor lämpligen kan fördelas. Den fram- tida utvecklingen får givetvis följas och bevakas.

351

Närmare om sammanhållen journalföring

SOU 2006:82

11.8Kraven på patientjournalföringen och sammanhållen journalföring

Vår bedömning och vårt förslag: Våra förslag om sammanhållen journalföring påkallar – med ett undantag – inga särregler i för- hållande till den reglering av patientjournalföringen som föresla- gits i avsnitt 10 och som i dag finns i patientjournallagen.

Undantaget gäller bestämmelsen om att för det fall en journal- handling eller en avskrift eller kopia av handlingen har lämnats ut till någon, skall det dokumenteras i patientjournalen vem som är mottagare och när handlingen har lämnats ut. Den bestämmel- sen skall inte gälla vid utlämnande genom direktåtkomst.

Våra förslag om sammanhållen journalföring avser, som tidigare sagts, ingen förändring av det grundläggande systemet med patient- journalföring inom hälso- och sjukvård. Det förhållandet att olika legitimerade yrkesutövares journalföring kan knytas samman i stora informationssystem gemensamma för flera vårdgivare innebär alltså i huvudsak ingen förändring av systemet som sådant angående huru- vida, av vem och hur journaler skall föras eller hur de skall hanteras. Varje journalförare kommer även framgent att ha det medicinska yrkesansvaret för sina anteckningar och varje vårdgivare kommer, precis som vid traditionell journalföring, att ha det övergripande ansvaret för de journalhandlingar som framställs i den egna verksam- heten. Det sagda gäller även om samtliga vårdgivares journalhandlingar skulle lagras i samma databas. Någon rätt att över vårdgivargränserna bearbeta, rätta, gallra osv. i varandras journalhandlingar inryms inte i våra förslag. Det behövs dock inga uttryckliga bestämmelser om detta i patientdatalagen.

I avsnitt 11.7 har vi behandlat en frågeställning angående sam- manhållen journalföring och bestämmelsen om bevarande av patient- journaler. Vi har lämnat vissa förslag i den delen.

Därutöver anser vi att det behövs ett undantag från bestämmelsen om att det i journalen skall antecknas om en journalhandling, en avskrift eller en kopia har lämnats ut till någon. I sådant fall skall an- tecknas vem som är mottagare och när den har lämnats ut. Av av- snitt 11.4 och 11.5 har framgått att vid direktåtkomst enligt bestäm- melserna om sammanhållen journalföring anses en journalhandling utlämnad redan i och med att den görs tekniskt eller potentiellt tillgänglig för anslutna vårdgivare. Enligt vår uppfattning skulle det medföra ett orimligt administrativt merarbete för journalförarna, om

352

SOU 2006:82

Närmare om sammanhållen journalföring

det varje gång en ny anteckning görs i journalen även skulle noteras vilka vårdgivare som är anslutna till den sammanhållna journalföringen och alltså i strikt mening är mottagare av den nya informationen.

Bestämmelsens syfte är att underlätta arbetet med att spåra jour- nalhandlingar då fråga uppkommer om att journalhandling skall för- störas efter beslut av Socialstyrelsen. Enligt våra förslag i avsnitt 12 kommer elektronisk åtkomst, även användning av direktåtkomst, alltid att dokumenteras, loggas, i elektroniska informationssystem. Genom de bestämmelserna menar vi att det vid ärenden om journal- förstöring kommer att finnas tillräckligt bra verktyg att spåra kopior av journalhandlingar, som skall förstöras enligt beslut av Social- styrelsen. Mot bakgrund av det sagda föreslår vi ett undantag om att utlämnande genom direktåtkomst inte behöver dokumenteras i jour- nalen. I sammanhanget kan påpekas att när det gäller ärenden om förstöring av patientjournal är det vid sammanhållen journalföring bara den vårdgivare som ansvarar för just den eller de journalhand- lingar som omfattas av ansökan, som skall beredas tillfälle att yttra sig i ärendet, se om förstörande av journal i avsnitt 10.4.8. Vid sådana ärenden måste dock beaktas att andra vårdgivares tidigare använd- ning av sin direktåtkomst till ifrågavarande handling kan vara en omständighet som talar mot ett förstörande av handlingen.

Inom enskild hälso- och sjukvård är det den privata vårdgivare som ansvarar för en journalhandling som prövar frågor om utlämnande av just den handlingen på begäran av patienten.

I övrigt menar vi att förslagen om sammanhållen journalföring inte påkallar särreglering i förhållande till de krav på all slags patient- journalföring som i dag finns i patientjournallagen och som i sak oförändrade föreslås föras över till patientdatalagen.

Av dessa bestämmelser har vi i avsnitt 11.7 berört bestämmelsen om kraven på journalens innehåll (3 § i patientjournallagen) och vad den innebär vid sammanhållen journalföring. När det gäller själva innehållet i journalhandlingarna säger det sig självt att enhetlig an- vändning av begrepp och termer blir särskilt betydelsefull vid sam- manhållen journalföring då information i journalhandlingar hos en vårdgivare kan komma att läggas till grund för behandlingsåtgärder hos en annan vårdgivare. Socialstyrelsens arbete med dessa frågor är alltså av stor vikt för att sammanhållen journalföring skall ge en ökad patientsäkerhet i hälso- och sjukvården. Främst kommer det dock att ligga på vårdgivarna själva att i samverkan ta fram riktlinjer för sin personal angående hur journaler skall föras på ett enhetligt sätt.

353

12 Inre sekretess

12.1Inledning

Resultaten från den enkätundersökning som vi låtit Statistiska centralbyrån genomföra, andra undersökningar och rön tyder på att allmänhetens förtroende för hälso- och sjukvårdens hantering av patientjournalinformation generellt sett är mycket gott. Även om detta förtroende inte gäller utan undantag – vilket bl.a. framgått av telefonsamtal och några brev till utredningen – tycks det inte finnas någon utbredd oro för att införandet av stora, brett tillgängliga system för elektronisk patientjournalföring kommer att innebära oacceptabla intrång i den personliga integriteten. Samma intryck har vi fått med anledning av diskussioner med ett stort antal patient- och pensionärs- föreningar som vi bjudit in till hearingar. Det är centralt för hälso- och sjukvården att detta förtroende hos allmänheten och patient- grupper inte äventyras utan helst förstärks i den fortsatta utveck- lingen av hälso- och sjukvårdens informationshantering.

Under vårt arbete har det från olika håll, främst från företrädare för hälso- och sjukvården, framförts att dagens reglering skyddar patienternas integritet på bekostnad av patientsäkerheten. Detta för- hållande, menar man, utgör en stark hämsko mot ett ändamålsenligt utnyttjande av IT i hälso- och sjukvården vilket får negativa åter- verkningar på patientsäkerheten i form av bl.a. informationsbrist och ineffektivitet. Mycket av diskussionernas fokus har legat på svårigheterna att få uppgifter att följa patienter i processer där fler än en vårdgivare involveras och journaluppgifter därför måste passera legala gränser mellan myndigheter eller andra vårdgivare. I avsnitt 11 har vi lämnat förslag till hur vårdgivare skall kunna utveckla gräns- överskridande IT-lösningar som sätter patienten i centrum genom att vårdgivarna ges möjligheter till bl.a. bättre samordning och sam- arbete kring vården av en patient samtidigt som möjligheterna förenas med en reglering som är ägnad att bibehålla ett gott integri-

355

Inre sekretess

SOU 2006:82

tetsskydd och upprätthålla allmänhetens förtroende för hälso- och sjukvårdens informationshantering.

Vi har emellertid redan tidigare påpekat, bl.a. i avsnitt 6 och 11.3, att frågan om förtroendet för integritetsskyddet i informationshan- teringen har relevans inte bara när det gäller den yttre sekretessen gentemot utomstående och vid överföring av personuppgifter mellan vårdgivare. Även inom en sådan verksamhet måste det finnas ett integritetsskydd avseende hanteringen av uppgifter om enskilda. Så- som framgått av avsnitt 11.5.3 ansluter vi oss till Offentlighets- och sekretesskommitténs (OSEK) bedömning att det inte finns några yttre sekretessgränser mellan olika hälso- och sjukvårdsverksamheter som bedrivs inom samma myndighet. Det innebär bl.a. när det gäller den offentligt bedrivna hälso- och sjukvården att ett verksamhets- område vari informationsutbyte kan ske utan att regleras av sekre- tesslagens (1980:100) regler kan bli mycket stort, t.ex. i landsting som centraliserat all hälso- och sjukvårdsverksamhet under en och samma nämnd. I detta avsnitt diskuteras frågor som har med den s.k. inre sekretessen att göra.

Inre sekretess är inget juridiskt definierat eller helt avgränsat begrepp. Ofta menas härmed i vad mån personal inom en verksam- het får – muntligen eller på annat sätt – lämna ut uppgifter som omfattas av sekretess till arbetskamrater. När vi i det följande be- handlar den inre sekretessen menar vi emellertid ett vidare begrepp som inrymmer ett flertal frågeställningar om hur känsliga uppgifter om enskildas hälsa och andra personliga förhållanden bör handhas inom en verksamhet för att motverka risker för obefogade intrång i den personliga integriteten.

Frågeställningarna har bäring inte bara på journalföring enligt de bestämmelser som behandlats i avsnitt 10. Visserligen torde journal- uppgifter vara den generellt och totalt sett mest integritetskänsliga informationen som dokumenteras inom hälso- och sjukvården. Men även inom patientadministrationen och vid annan personuppgifts- behandling enligt patientdatalagen hanteras integritetskänsliga person- uppgifter om enskilda. Såsom berörts i avsnitt 8.2.3 kan gränserna för den ena eller andra formen av information vara svår att dra i t.ex. elektroniska system som integrerar patientadministration med journalföring och behöver kanske inte heller göras i alla samman- hang. För frågan om vilket integritetsskydd en patient har i fråga om uppgifter om sig själv, bör det alltså inte spela någon avgörande roll var gränserna går. De problem som beskrivs och de förslag som

356

SOU 2006:82

Inre sekretess

lämnas i det följande angående inre sekretess, begränsar sig således inte till enbart information i patientjournaler.

12.2Nuvarande reglering

Det finns ett antal bestämmelser i hälso- och sjukvårdslagstiftningen som har direkt eller indirekt betydelse när det gäller hanteringen av journalinformation och annan patientdokumentation inom en vård- givares verksamhet.

Av grundläggande betydelse är 2 a § hälso- och sjukvårdslagen (1982:763) som bl.a. slår fast att verksamheten skall bygga på respekt för patientens självbestämmande och integritet och så långt det är möjligt utföras och genomföras i samråd med patienten. Det sagda har även bäring på hanteringen av information om patienten. Bestäm- melsen anses t.ex. föra med sig att det är ett naturligt inslag i vården att patientens samtycke inhämtas till att hans eller hennes journal- handling lämnas vidare till en annan vårdenhet (prop. 1990/91:111 s. 24). JO har i ett äldre utlåtande, JO 1986/87 s. 199, uttalat att det följer av den angivna bestämmelsen i hälso- och sjukvårdslagen att en patients uttryckliga önskemål om att journaler inte lämnas till andra kliniker på samma sjukhus skall respekteras.

Enligt 7 § första stycket patientjournallagen (1985:562) skall varje journalhandling hanteras och förvaras så, att obehöriga inte får till- gång till den. Regeln slår fast en inre sekretess som kompletterar det integritetsskydd som sekretesslagen och lagen (1998:531) om yrkes- verksamhet på hälso- och sjukvårdens område ger i fråga om utläm- nande av uppgifter från hälso- och sjukvården. Journaler får enligt denna bestämmelse inte vara fritt tillgängliga inom en vårdgivares verksamhet. I förarbetena uttalas att det endast är en begränsad del av personalen på en klinik som i sitt arbete behöver tillgång till patientens journal. Respekten för patientens integritet kräver att ingen utanför denna krets får tillgång till journalen. De är att se som obehöriga i bestämmelsens mening. Läsning i en patientjournal av ren nyfikenhet kan aldrig godtas (prop. 1984/85:189 s. 43 f.). Enligt förarbetena avser bestämmelsen såväl upprättade som ingivna jour- nalhandlingar, t.ex. inlånade patientjournaler. Med hantering avses närmast den vardagliga användningen av journalen i arbetet. När det gäller elektroniska journalhandlingar angavs i förarbetena att ADB-system måste förses med någon form av individuell behörig- hetskontroll och andra säkerhetsspärrar, t.ex. terminallåsning för

357

Inre sekretess

SOU 2006:82

att uppfylla lagens krav. Socialstyrelsens föreskrifter och allmänna råd (SOSFS 1993:20) om patientjournallagen anger att endast den personal vid en enhet som är engagerad i vården av patienten har rätt att ta del av patientjournalen.

Enligt 8 § lagen (1998:544) om vårdregister (vårdregisterlagen) får endast den som för de ändamål som anges i 3 och 4 §§ behöver ha tillgång till uppgifterna för att kunna utföra sitt arbete ha direktåt- komst till uppgifter i ett vårdregister. Åtkomsten får endast avse de uppgifter som behövs för arbetets utförande. Enligt förarbetena är bestämmelsen om direktåtkomst tänkt att motsvara innehållet i 7 § patientjournallagen. Vårdregisterlagen har emellertid ett vidare tillämpningsområde, eftersom ett vårdregister kan innehålla annan patientdokumentation än journalhandlingar (prop. 1997/98:108 s. 99). Vidare anges i förarbetena att administrativ personal inte får ges direktåtkomst till samtliga uppgifter i ett vårdregister, om detta förs för bl.a. patientjournalföring. Den personuppgiftsansvarige får där- för göra en bedömning mot bakgrund av 7 § patientjournallagen och 2 a § hälso- och sjukvårdslagen när det skall bestämmas vilka upp- gifter olika befattningshavare behöver tillgång till. Befattningshava- rens behov måste falla in under tillåtna ändamål enligt 3 och 4 §§ vårdregisterlagen.

Bestämmelserna i patientjournallagen och vårdregisterlagen om inre sekretess gäller både i den allmänna och den enskilda hälso- och sjukvården.

Det är ingen överdrift att påstå att det inom hälso- och sjuk- vården råder en ganska stor osäkerhet om vad kravet på den inre sekretessen enligt de ovannämnda författningarna konkret innebär i fråga om exempelvis stora sjukhus- eller landstingsgemensamma journalsystem.

Datainspektionen har vid ett större tillsynsarbete enligt person- uppgiftslagen (1998:204) i ett antal landsting kritiserat Västerbottens läns landsting för dess principbeslut om att alla landstingsanställda läkare och sjuksköterskor skall ha behörighet att läsa all journalinfor- mation som behandlas i landstinget (beslut 2005-02-22 dnr 1459- 2004). Enligt Datainspektionen är principbeslutet inte förenligt med vårdregisterlagens bestämmelse om direktåtkomst. Datainspektionen kritiserade bl.a. att landstinget inte analyserat och tagit aktiv ställ- ning till vilka uppgifter som faktiskt behövs för en viss tjänstgöring och tilldelar användaren behörighet efter detta behov. En kon- sekvens av det sagda är enligt Datainspektionen att ett landsting först måste fastställa vilka behov som finns innan nya behörighets-

358

SOU 2006:82

Inre sekretess

rutiner införs. Enligt Datainspektionens bedömning är det inte rim- ligt att tro att en så vid läsbehörighet som har beslutats i landstinget motsvarar det faktiska behovet. Under sådana förhållanden räcker det inte för att uppfylla kraven i den nuvarande lagstiftningen att loggar kontrolleras i efterhand för att konstatera eventuella intrång. När ett intrång konstaterats är skadan redan skedd. Ett godtagbart integritetsskydd kräver en kombination av väl avvägda rutiner för behörighetstilldelning, administrativa rutiner för när det är tillåtet att ta del av patientuppgifter samt kontroller i efterhand av loggar. Just i fråga om kontroll av loggar kritiserades landstinget särskilt för att inte ha central uppföljning av om de skriftliga rutinerna för kontroll av loggar följs i organisationens olika enheter. I rapporten Ökad till- gänglighet till patientuppgifter Rapport 2005:1 har Datainspektionen framfört ytterligare synpunkter till vilka vi återkommer i det föl- jande.

Av betydelse för gällande rätt om inre sekretess är vidare att olov- ligt intrång och olovligt efterforskande i elektroniska informations- system, t.ex. ett vårdregister, kan vara straffbart enligt straffbestäm- melsen om dataintrång. Den som olovligen bereder sig tillgång till upptagning för automatisk databehandling eller olovligen ändrar eller utplånar eller i register för in sådan upptagning döms enligt 4 kap. 9 c § brottsbalken för dataintrång till böter eller fängelse i högst två år. Bestämmelsen är tillämplig då någon använder sig av sin behörighet till åtkomst till ett elektroniskt journalsystem för att läsa uppgifter om en patient utan att detta behövs från arbetssyn- punkt, t.ex. på grund av nyfikenhet. Även läsning i utbildningssyfte för att eftersöka förebilder på lämpliga formuleringar har i rättspraxis bedömts i och för sig kunna utgöra dataintrång (se RH 2002:36, det s.k. Blommanfallet). Någon motsvarande straffbestämmelse om olovligt intrång i pappersjournaler finns inte.

12.3Aktuella förslag

Socialstyrelsen har i sin skrivelse Patientjournallagen – En översyn med förslag till författningsändringar, se avsnitt 10.2.1, föreslagit att nuvarande bestämmelse om inre sekretess i 7 § patientjournallagen förtydligas. Enligt förslaget skall hälso- och sjukvårdspersonal vid en enhet vara behörig att ta del av en patientjournal på enheten endast om han eller hon deltar i vården och behandlingen av patienten eller av annat skäl behöver uppgifter ur journalen för sitt arbete vid en-

359

Inre sekretess

SOU 2006:82

heten. En patientjournal skall i övrigt förvaras så att obehöriga inte får tillgång till den.

OSEK har i sitt huvudbetänkande med förslag till ny sekretesslag föreslagit att det införs en generell reglering i den nya sekretesslagen om inre sekretess. Den föreslagna regleringen innebär ett förbud att muntligen eller på annat sätt lämna uppgifter vidare till arbetskam- rater inom en myndighet, om det är uppenbart obehövligt för verk- samheten (SOU 2003:99 s. 282 f.). Varken 7 § patientjournallagen eller någon annan bestämmelse hindrar att hälso- och sjukvårdsper- sonal lämnar uppgifter om en patient vidare till sina arbetskamrater för att tillfredsställa deras nyfikenhet, framhåller OSEK. Däremot finns en väl utvecklad etisk tradition, s.k. förtroendesekretess med tillhörande tystnadsplikt, inom just hälso- och sjukvården som inne- bär att man vanligtvis är mycket försiktig när det gäller uppgiftsläm- nande mellan tjänstemän. Det är dock närmast en etisk fråga vilka uppgifter som kan lämnas inom en verksamhet. Enligt OSEK behövs en rättslig avgränsning. Särskilt tydligt är behovet när det rör sig om stora verksamhetsområden. Sådana uppkommer bl.a. när verksam- heten organiseras så att myndighetsgränserna dras på central eller regional nivå med regionala eller lokala underorgan. Det finns då en betydande risk för att känsliga, och därmed skyddsvärda, uppgifter kan komma att spridas i onödigt stor omfattning. Fruktbart utbyte av erfarenheter och information samt möjligheten till nödvändiga konsultationer mellan kollegor måste givetvis få äga rum även i fort- sättningen enligt OSEK. Ett sådant utbyte bör dock i stor utsträck- ning kunna ske utan att den enskilde identifieras.

För att vara säker på att bestämmelsen inte blir onödigt åtstra- mande och hindrar ett behövligt informationsutbyte har förslaget utformats som en lägsta nivå för när uppgifter inte får föras vidare. Frågan om uppgifter i mindre uppenbara fall skall få utbytas inom verksamheten får liksom i dag avgöras av etiska principer. Det inne- bär, enligt OSEK, att frågan om röjande i sådana fall även i fortsätt- ningen kommer att vara beroende av personliga ställningstaganden som görs utifrån mer etiska värderingar.

Enligt OSEK:s förslag införs en bestämmelse i sekretesslagen som anger att, om det kan antas att en uppgift inte får lämnas ut från ett sekretessområde på grund av sekretess, uppgiften inte heller får röjas inom sekretessområdet om det är uppenbart obehövligt för verksam- heten. På så sätt inskärps betydelsen av att inte i onödan utbyta känsliga uppgifter arbetskamrater emellan. Allt utbyte av sådana uppgifter som har sin grund i skvaller, personlig nyfikenhet eller

360

SOU 2006:82

Inre sekretess

andra ovidkommande syften skulle bli olagligt. Med en reglering av den inre sekretessen följer ett straffansvar. Såväl uppsåtliga som oakt- samma brott mot den inre sekretessen blir straffbara enligt 20 kap. 3 § brottsbalken, den bestämmelse som i dag avser brott mot tyst- nadsplikt. I ringa fall uppkommer dock inget straffrättsligt ansvar. Regleringen av den inre sekretessen är dock inte avsedd att påverka bedömningen av om dataintrång föreligger. Den bedömningen skall ske på samma grunder som i dag.

Enligt OSEK kompletterar förslaget Socialstyrelsens förslag till förtydligande av nuvarande 7 § patientjournallagen. Med tanke på det förslag till förtydligande som Socialstyrelsen lämnat i fråga patient- journallagen bestämmelse om inre sekretess, har OSEK inte funnit skäl att låta sitt förslag om inre sekretess omfatta också ett förbud att efterforska uppgifter.

OSEK:s förslag har remissbehandlats. Förslaget om en reglering av den inre sekretessen har i huvudsak tillstyrkts eller lämnats utan erinran av remissinstanserna. Flera remissinstanser, bl.a. JO och JK, ifrågasatte emellertid om behovet av en reglering av den inre sekre- tessen övervägde de tillämpningsproblem som kan befaras uppstå. När det gäller OSEK:s förslag till vidgade sekretessområden på hälso- och sjukvårdens och socialtjänstens område, ansåg JO att det fanns ett behov av regler som begränsar öppenheten. Enligt JO borde detta dock lösas på annat sätt än genom införandet av en för hela den offentliga sektorn gemensam regel om inre sekretess.

12.4Våra överväganden

Våra bedömningar och förslag:

1.Nuvarande reglering i 7 § första stycket patientjournallagen om att varje journalhandling skall hanteras och förvaras så att obehöriga inte får tillgång till den bör behållas men

a)dels vidgas till att omfatta alla dokumenterade personupp- gifter om patienter eller andra enskilda registrerade, dvs. även annan vårddokumentation, kvalitetsregisteruppgifter m.m. som behandlas enligt patientdatalagen,

b)dels förtydligas genom tillägget att den som arbetar hos en vårdgivare får ta del av sådana uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjuk-

361

Inre sekretess

SOU 2006:82

vården. Bestämmelsen omfattar både manuellt och elektro- niskt behandlade patientuppgifter, även uppgifter om avlidna.

2.När det gäller elektronisk patientjournalföring och övrig elektronisk patientdokumentation införs en ny bestämmelse om tillåten elektronisk åtkomst som delvis motsvarar nuva- rande reglering i 8 § vårdregisterlagen men som ställer tyd- ligare krav på vårdgivaren i fråga om behörighetssystem m.m. Närmare bestämmelser meddelas av regeringen eller, efter bemyndigande, av Socialstyrelsen efter samråd med Data- inspektionen.

3.En ny bestämmelse införs som innebär en skyldighet för vårdgivaren att dokumentera elektronisk åtkomst samt att systematiskt och fortlöpande kontrollera om obehörig åt- komst till uppgifter om patienter förekommer. Närmare bestämmelser meddelas av regeringen eller, efter bemyndigan- de, av Socialstyrelsen efter samråd med Datainspektionen.

4.Den enskilde patienten ges rätt att på begäran få informa- tion om vilken direktåtkomst och elektroniska åtkomst som förekommit till elektroniskt behandlade uppgifter om honom eller henne. Närmare bestämmelser om den information som skall ges till patienten meddelas av regeringen eller, efter be- myndigande, Socialstyrelsen efter samråd med Datainspek- tionen.

5.Den enskilde patienten ges rätt att begära att vårddokumen- tation spärras från tillgänglighet för andra vårdenheter alter- nativt vårdprocesser utanför den till vilken uppgifterna hör. Rätten motsvarar opt out-möjligheten i skede 1 vid samman- hållen journalföring. Spärren skall med patientens samtycke kunna hävas helt eller delvis, t.ex. i en enstaka vårdsituation. Spärren skall också kunna forceras, om informationen kan antas ha betydelse för den vård som patienten oundgäng- ligen behöver. Uppgift om att det finns spärrade uppgifter får vara tillgänglig för andra vårdenheter eller vårdprocesser liksom även uppgift om vilken vårdenhet eller vårdprocess som spärrat uppgifterna.

6.I patientdatalagen införs ett särskilt kapitel om inre sekretess och elektronisk åtkomst i en vårdgivares verksamhet, vari bestämmelserna enligt punkterna 1 b)–3 och 5 tas in. Be-

362

SOU 2006:82

Inre sekretess

stämmelsen i punkten 1 a) tas in i patientdatalagens inledan- de kapitel. Bestämmelsen i punkten 4 om patientens rätt att få information om direktåtkomst och elektronisk åtkomst som förekommit hos en vårdgivare, tas in i ett kapitel om rättigheter för den enskilde.

Allmänt

Den inom hälso- och sjukvården djupt rotade etiska principen om förtroendesekretess för uppgifter som kommer fram i kontakten mellan hälso- och sjukvårdspersonal och patient, utgör självklart en stark motkraft mot att skvallra om patienter eller annars sprida upp- gifter på ett oacceptabelt sätt bland arbetskamrater. Detsamma gäller i fråga om benägenheten att ta reda på uppgifter om patienter som vårdas på arbetsplatsen men som man inte själv har en yrkes- mässig relation till. Med tanke på hälso- och sjukvårdens omfattning och det stora antalet anställd hälso- och sjukvårdspersonal – om- kring 300 000 personer bara i kommunernas och landstingens hälso- och sjukvård – vore det emellertid naivt att utgå från att sådant inte alls förekommer.

Det har inte varit möjligt att inom ramen för vårt uppdrag göra någon undersökning av i vilken mån det förekommer att patientens integritet i fråga om uppgifter om hälsa och andra personliga för- hållanden inte respekteras inom vårdgivarnas verksamhet. En del anställda inom hälso- och sjukvården har under utredningsarbetet berättat för oss att det faktiskt förekommer onödigt pratande om patienter i en inte obetydlig omfattning. Från olika håll har det också framkommit att anställda, när de själva uppsöker hälso- och sjuk- vården som patienter, begär att elektroniska journaler om dem inte skall vara allmänt tillgängliga för kollegor. I Norge har en undersök- ning bland sjukvårdsanställda visat att bara 14 procent av de anställda anser att det inte alls förekommer att personal tittar i journalen ut- över vad som är nödvändigt för patientens vård och behandling. Hela 34 procent litar inte på att obehöriga kollegor skulle låta bli att ta del av journalen, för det fall svarspersonerna själva skulle uppsöka sin arbetsplats som patienter.

Några säkra slutsatser kan inte dras av de spridda synpunkter vi fått från enskilda personer som arbetar inom hälso- och sjukvården eller av den norska undersökningen Vi vet alltså ingenting om hur representativa synpunkterna är för den svenska personalkåren. Inte

363

Inre sekretess

SOU 2006:82

heller kan vi bedöma om det finns fog för den uppfattning som vissa anställda framfört att de har. Det faktum att det relativt sällan blir känt att personal utan yrkesmässigt befogad anledning bereder sig tillgång till journalhandlingar eller andra uppgifter om patienter kan vara ett tecken på att detta inte är ett stort problem inom hälso- och sjukvården. Samtidigt kan man konstatera att det hos många vård- givare är förhållandevis riskfritt för en anställd att utan lov läsa jour- nalanteckningar m.m. Det gäller särskilt pappersjournaler där synliga spår sällan sätts. Mörkertalet kan alltså vara stort. När det gäller elektroniska journalsystem m.m. är möjligheterna att konstatera olovlig läsning betydligt bättre. Normalt sätts elektroniska spår, loggar, även då en person endast gjort en slagning för att läsa upp- gifter, vilket gör det möjligt att i efterhand följa upp och konstatera en olovlig slagning. Såsom framkommit bl.a. av ovan nämnda rapport från Datainspektionen är det dock oklart i vilken omfattning logg- kontroller faktiskt görs inom hälso- och sjukvården och, i före- kommande fall, hur effektiva dessa är.

Mot bakgrund av det sagda bör man inte sticka under stol med att utvecklingen mot gemensamma brett tillgängliga elektroniska journalsystem inom de stora vårdgivarnas verksamhet innebär ökade risker för integritetsintrång, om den ökade potentiella tillgänglig- heten inte hanteras på ett bra sätt.

Datainspektionen har i sin ovan nämnda rapport pekat på en rad åtgärder som är viktiga i detta sammanhang. Centralt är att s.k. öppen behörighetstilldelning – som innebär att personal får tillgång till i stort sett all information – inte bör förekomma i omfattande journalsystem. I stället förordas att vårdgivare har behörighetssys- tem där man på central nivå analyserar vilka behov varje befattnings- havare har och varierar behörigheten för tillgång till information därefter. Effektiva och regelbundna rutiner för kontroll av loggar är av avgörande betydelse för integritetsskyddet; såväl för dess av- hållande verkan som för att det är ett verktyg att i efterhand spåra upp och konstatera ett otillåtet intrång. Bland andra åtgärder som Datainspektionen lyfter fram kan nämnas system för säker identifie- ring av användare, tydliga och säkra rutiner för personuppgifter som är skyddade i det att de omfattas av en sekretessmarkering hos Skatteverket. En sammanfattande slutsats i Datainspektionens rapport är att variationerna är stora såväl mellan som inom de inspekterade landstingen angående hur man tagit sig an de nämnda och andra frågeställningar som tas upp i rapporten. Enligt Datainspektionen är det otillfredsställande från integritetssynpunkt att patientuppgif-

364

SOU 2006:82

Inre sekretess

ter hanteras så pass olika såväl över landet som inom ett och samma landsting.

Vi instämmer i allt väsentligt i de synpunkter som Datainspek- tionen framfört i rapporten, inte minst när det gäller behovet av nationell enhetlighet i personuppgiftsbehandlingen i stora elektro- niska informationssystem som täcker in stora delar av en vårdgivares totala patientdokumentation. Ett problem är emellertid svårighe- terna att åstadkomma denna enhetlighet lagstiftningsvägen.

Självklart behövs en blandning av preventiva och reaktiva åtgärder för att patientuppgifter inte skall hanteras på ett oacceptabelt sätt. Patientdatalagen skall emellertid tillämpas av hela det spektrum av olika slags verksamheter som bedrivs av små och stora vårdgivare och som täcks in i begreppet hälso- och sjukvård. Detsamma gäller de bestämmelser som bara rör journalföring, som skall kunna tilläm- pas också av dem som även framgent för en manuell journal eller i ett elektroniskt journalföringsprogram av blygsam omfattning. Det är därför knappast möjligt att i lagen formulera alla de krav som bör ställas på olika slags verksamheter. Det finns också en risk för att detaljerade bestämmelser i lag visar sig olämpliga på sikt på grund av t.ex. en strukturell eller teknisk utveckling inom områden som inte nu kan överblickas. Vi menar således att möjligheterna att lagstifta om olika åtgärder är begränsade.

En mer lämplig väg att gå är att regleringen sker på en lägre nivå, där möjligheterna är större att anpassa kraven till de aktuella och organisatoriska eller informationstekniska behov och förutsättningar som finns. Berörda myndigheter bör därför utrustas med tydliga krav och befogenheter att meddela närmare föreskrifter i frågor som rör den inre sekretessen. Såsom framgått av avsnitt 10.4.10 kommer regeringen (och efter vidaredelegation Socialstyrelsen) även i fortsätt- ningen att kunna meddela föreskrifter om journalhandlingars han- tering och förvaring på samma sätt som gäller i dag. Men även med sådana föreskrifter kommer det att ligga ett ansvar på vårdgivare att utveckla goda rutiner och adekvata metoder för uppfyllande av de mål och krav som följer av författningarna. Häri ingår bl.a. ett ansvar för att genom utbildning och på annat sätt tillse att personalen är på det klara med vad som gäller i fråga om hanteringen av uppgifter om patienter. Obefogat röjande av uppgifter och intrång i journaler kan knappast undvikas om personalen inte har denna kunskap. Vidare kan inte nog understrykas att det ingår i vårdgivarnas ansvar att kon- tinuerligt följa upp att utarbetade rutiner och interna regler verk- ligen tillämpas av personalen i den vardagliga verksamheten. Det

365

Inre sekretess

SOU 2006:82

kan exempelvis gälla sådana självklara rutiner som att en arbetsta- gare, som är inloggad på en dator, skall låsa datorn då han eller hon tillfälligt lämnar datorn utom kontroll eller att man vid ett patient- besök inte låter journalanteckningar avseende en annan patient vara läsbara på bildskärm. Att sådant beteende ändå ibland förekommer

– trots att det uppenbart står i direkt strid mot bestämmelsen i 7 § patientjournallagen om hur patientjournaler skall hanteras eller mot sekretesslagen – är ett exempel som väl illustrerar att lagstiftning inte räcker utan måste byggas på med för konkreta verksamheter anpassade interna rutiner och regelverk.

När det gäller vad som faktiskt bör regleras i lag i fråga om inre sekretess gör vi följande bedömning.

Inledningsvis kan påpekas att vi instämmer i OSEK:s bedömning att det finns skäl att reglera den inre sekretessen i form av ett förbud mot att inom ett sekretessområde röja en uppgift som omfattas av sekretess, om det är uppenbart obehövligt för verksamheten. Vi till- styrker därför förslaget men konstaterar att det systematiskt och lagtekniskt är mindre lämpligt att på endast ett delområde av hela den offentliga verksamheten särreglera en princip som egentligen torde gälla redan i dag inom hela den offentliga förvaltningen och i all synnerhet på hälso- och sjukvårdens område.

Vi konstaterar också att förslaget är långt ifrån tillräckligt för att åstadkomma ett tillfredsställande integritetsskydd när det gäller patientinformation inom hälso- och sjukvården. Vi noterar vidare att OSEK:s förslag endast gäller för den allmänna hälso- och sjuk- vården. Enligt vår uppfattning torde emellertid sådant röjande som OSEK:s förslag reglerar, kunna anses omfattas av det förbud mot obehörigt röjande som regleras i 2 kap. 8 § lagen om yrkesverksam- het på hälso- och sjukvårdens område. Därvid kan anmärkas att den nämnda bestämmelsen enligt sin ordalydelse inte är begränsad till röjanden eller utlämnanden till mottagare utanför en privat vårdgi- vares organisation. Möjligen kan tveksamhet uppstå angående den sistnämnda bestämmelsens räckvidd avseende den inre sekretessen vid en straffrättslig bedömning av om brott mot tystnadsplikt före- ligger. Denna straffrättsliga aspekt ingår dock inte i vårt uppdrag och kan inte närmare behandlas i detta sammanhang. Mot bakgrund av det sagda avstår vi från att föreslå någon särbestämmelse om tyst- nadsplikt av här aktuellt slag för den enskilda hälso- och sjukvården.

När det gäller frågan hur man i patientdatalagen bör reglera han- teringen av och tillgängligheten till journaler och annan dokumen- tation om patienter kan man konstatera att redan de nuvarande

366

SOU 2006:82

Inre sekretess

bestämmelserna i 7 § första stycket patientjournallagen och 8 § vårdregisterlagen egentligen uttrycker det man vill uppnå, nämligen att obehöriga inte får tillgång till den integritetskänsliga informa- tionen och att en anställd inte skall ges åtkomst till elektroniska journaler m.m. i vidare omfattning än vad han eller hon behöver för sitt arbete.

I den komplexa hälso- och sjukvårdsverksamheten är det dock naturligt att sådana allmänt hållna bestämmelser ger utrymme för olika tolkningar. Frågan är i vad mån det går, med beaktande av det tidigare sagda, att förtydliga bestämmelserna på ett sätt som kan passa i alla de verksamheter vars informationshantering regleras av patientdatalagen. I det följande börjar vi med den reglering som be- hövs och som bör gälla både för manuellt och elektroniskt hanterad information. Därefter kommer våra överväganden när det gäller uteslutande elektronisk informationshantering.

Bestämmelser om inre sekretess avseende både manuellt och elektroniskt hanterade uppgifter

Vi menar att bestämmelsen i 7 § första stycket patientjournallagen om journalens hantering och förvaring är väsentlig för det inre sekretesskyddet. Bestämmelsen bör därför vara kvar men vidgas i sitt tillämpningsområde till att omfatta alla dokumenterade person- uppgifter om en patient eller om annan enskild registrerad – t.ex. uppgifter i patientjournaler om anhöriga – som behandlas enligt patientdatalagen. Vi föreslår således en bestämmelse som uttryckli- gen anger detta. Som framkommit tidigare införs inte något förbud mot manuell journalföring eller annan manuell behandling av person- uppgifter. Det är bl.a. därför relevant att i bestämmelsen tala om förvaring utöver hantering. Det kan noteras att bestämmelsen, även om den främst har betydelse för den inre sekretessen, inte enbart riktar sig mot obehöriga inom en vårdgivares organisation. Kravet på hanteringen och förvaringen gäller även i förhållande till övriga patienter och andra utomstående. Inom den allmänna hälso- och sjukvården följer detta redan av sekretesslagens och arkivlagens (1990:782) bestämmelser. För den enskilda hälso- och sjukvården finns dock ingen motsvarande reglering annat än den nämnda be- stämmelsen i patientjournallagen.

Just när det gäller den inre sekretessen tror vi emellertid att det är till fördel – inte minst från pedagogisk synpunkt – att det klargörs

367

Inre sekretess

SOU 2006:82

att en befattningshavare är behörig att ta del av patientuppgifter endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården. Med vård avses även undersökning och behandling. Förslaget mot- svarar i stort Socialstyrelsens förslag till förtydligande med den skillnaden att vårt förslag inte begränsar sig enbart till hälso- och sjukvårdspersonal vid en enhet och dess arbete på enheten. Vårt förslag har en mer generell räckvidd och omfattar all personal oavsett var den tjänstgör och oavsett för vilka syften uppgifterna behövs, så länge som dessa syften gäller verksamhet som omfattas av patient- datalagens tillämpningsområde och särskilda ändamål, se avsnitt 7.3.2 och 8.2.3. Bestämmelsen är emellertid teknikoberoende och gäller för både manuell och elektronisk informationshantering alldeles oberoende av i vilken uppgiftssamling patientuppgifterna finns.

Tilldelning av behörighet för elektronisk åtkomst

Vad därefter gäller elektronisk dokumentation om patienter menar vi att det i lagen bör införas en bestämmelse som föreskriver ett an- svar för den verksamhetsansvariga vårdgivaren att närmare bestäm- ma villkoren för personalens elektroniska åtkomst till uppgifter om patienter. Det kan påminnas om att vi med begreppet elektronisk åtkomst avser personalens möjligheter att elektroniskt bereda sig tillgång till personuppgifter som finns elektroniskt tillgängliga i en vårdgivares organisation. Med begreppet direktåtkomst avses i patient- datalagen – till skillnad från i vårdregisterlagen – en speciell form av elektroniskt utlämnande till en mottagare utanför vårdgivarens orga- nisation.

Behörighet för personalens elektroniska åtkomst till uppgifter om patienter skall begränsas till vad befattningshavaren behöver för att kunna utföra sina arbetsuppgifter inom hälso- och sjukvården. Däri ligger bl.a. att behörigheter skall följas upp och förändras eller inskränkas efter hand som ändringar i den enskilde befattningsha- varens arbetsuppgifter ger anledning till det Bestämmelsen motsvarar i princip 8 § vårdregisterlagen. Syftet med bestämmelsen är att in- pränta skyldigheten för den ansvariga vårdgivaren att göra aktiva och individuella behörighetstilldelningar utifrån analyser av vilken närmare information olika personalkategorier och olika slags verk- samheter behöver. Men det behövs inte bara behovsanalyser. Även riskanalyser måste göras där man tar hänsyn till olika slags risker som

368

SOU 2006:82

Inre sekretess

kan vara förknippade med en alltför vid tillgänglighet avseende vissa slags uppgifter. Skyddade personuppgifter som är sekretessmarke- rade, uppgifter om allmänt kända personer, uppgifter från vissa mot- tagningar eller medicinska specialiteter är exempel på kategorier som kan kräva särskilda riskbedömningar.

Generellt sett kan sägas att ju mer omfattande ett informations- system är, desto större mängd olika behörighetsnivåer måste det finnas. Avgörande för beslut om behörighet för t.ex. olika kategorier av hälso- och sjukvårdspersonal till elektronisk åtkomst till uppgifter i patientjournaler, bör vara att behörigheten skall begränsas till vad befattningshavaren behöver för ändamålet en god och säker patient- vård. En mer vidsträckt eller grovmaskig behörighetstilldelning bör

– även om den skulle ha poänger utifrån effektivitetssynpunkt – anses som en obefogad spridning av journaluppgifter inom en verksamhet och bör som sådan inte accepteras. Vidare bör uppgifter lagras i olika skikt så att mer känsliga uppgifter kräver aktiva val eller annars inte är lika enkelt åtkomliga för personalen som mindre känsliga upp- gifter. När det gäller personal som arbetar med verksamhetsupp- följning, statistikframställning, central ekonomiadministration och liknande verksamhet som inte är individorienterad torde det för fler- talet befattningshavare räcka med tillgång till uppgifter som endast indirekt kan härledas till enskilda patienter. Elektronisk åtkomst till kodnycklar, personnummer och andra uppgifter som direkt pekar ut enskilda patienter bör på detta område kunna vara starkt begränsad till enstaka personer.

Att i generella termer reglera hur behörighetstilldelning till hälso- och sjukvårdspersonal och andra befattningshavare bör utformas ter sig dock inte möjligt, i vart fall inte lagstiftningsvägen. Närmare riktlinjer och föreskrifter bör emellertid kunna meddelas på myndig- hetsnivå. Enligt vår uppfattning bör det ankomma på Socialstyrelsen att efter samråd med Datainspektionen meddela föreskrifter i ämnet. Genom mera detaljerade föreskrifter i dessa avseenden torde man kunna råda bot på de brister i enhetlighet vid personuppgiftsbe- handling som bl.a. Datainspektionen pekat på i sin tidigare nämnda rapport.

Vid sammanhållen journalföring bör behörighet tilldelas enligt samma principer, nämligen att varje vårdgivare prövar sin personals elektroniska åtkomst till andra vårdgivares vårddokumentation som finns tillgänglig för vårdgivaren i den sammanhållna journalföringen. Det är enligt vår uppfattning den mest rimliga lösningen, eftersom

369

Inre sekretess

SOU 2006:82

det är denna vårdgivare som utåt sett bör ansvara för vad den egna personalen gör.

Liksom tidigare ingår det i vårdgivarens ansvar för behörighets- tilldelningen att tillse att den enskilde befattningshavaren får infor- mation om innebörden av behörigheten. Det behöver emellertid inte särskilt föreskrivas i lagen.

Kontroll av elektronisk åtkomst

Enligt både patientjournallagen och vårdregisterlagen följer ett ansvar för den verksamhetsansvariga vårdgivaren att självmant följa upp hur behörighetssystem fungerar och i vad mån obehörig intern åt- komst skett. Såsom bl.a. påtalats i Datainspektionens rapport och som framkommit i andra sammanhang tycks flera vårdgivare inte vara helt införstådda med sina skyldigheter i dessa avseenden. Där- för föreslår vi en uttrycklig bestämmelse om skyldighet för vård- givaren att dokumentera all elektronisk åtkomst. Åtkomsten (den s.k. behandlingshistoriken eller loggen) blir därigenom möjlig att kontrollera i efterhand. Såvitt vi erfarit är detta en ordning som redan tillämpas i praktiken när det gäller elektroniska journal- och patientadministrativa system inom hälso- och sjukvården.

Det räcker dock inte att bara göra uppföljningskontroller i särskil- da fall då man misstänker obehörigt intrång, t.ex. därför att patienten är en allmänt känd person. Vårdgivarna bör därför åläggas att syste- matiskt och fortlöpande företa kontroller av om obehörig åtkomst till uppgifter om patienter förekommer. Vi föreslår att detta uttryck- ligen föreskrivs som ett krav i patientdatalagen. En sådan bestäm- melse innebär inte bara att faktiska dataintrång med större säkerhet kommer att kunna konstateras och beivras. Bestämmelsen bör också få en starkt avhållande verkan på personal som, om risken för upptäckt är liten, kan frestas att olovligen läsa uppgifter. Av samma skäl som nämnts i det föregående bör även i dessa frågor närmare föreskrifter meddelas på myndighetsnivå. Med tanke på Socialstyrelsens ställning som central förvaltningsmyndighet för hälso- och sjukvårdsverksam- het, anser vi att denna myndighet lämpligen bör ansvara för att före- skrifter meddelas, dock efter samråd med Datainspektionen. Sådana föreskrifter bör omfatta inte bara hur kontroller skall utföras utan också kunna närmare reglera omfattningen av åtkomstdokumen- tation och hur länge den skall sparas. Föreskrifter bör t.ex. kunna innehålla bestämmelser inte bara att det av loggen skall framgå när

370

SOU 2006:82

Inre sekretess

och av vem en slagning skett i ett elektroniskt system utan t.ex. även när en utskrift från en journalhandling gjorts eller, vid samman- hållen journalföring, när en kopia av en journalhandling laddats ned eller annars lagrats av en vårdgivare som använt sin direktåtkomst till annan vårdgivares journalhandling.

En rätt för patienten att få information om direktåtkomst och elektronisk åtkomst

Det har i olika sammanhang anförts att den enskilde patienten bör ha möjligheter att själv kontrollera vilken åtkomst som förekommit till uppgifter om honom eller henne i elektroniska journaler. I flera av de projekt som nu pågår, t.ex. i projektet Nationell patientöver- sikt, planerar man att patienten själv skall kunna via sin direktåt- komst följa upp åtkomsten. Det förekommer också att åtkomst- historik i form av logglistor lämnas ut på papper till patienter som begärt detta.

Inom den allmänna hälso- och sjukvården utgör logglistorna all- männa handlingar som patienter kan begära utlämnade med stöd av 2 kap. tryckfrihetsförordningens bestämmelser. Någon sekretess torde normalt inte kunna anföras som skäl mot att lämna ut sådana listor. De allmänna handlingar om åtkomsthistorik som skapas i in- formationssystemen kan emellertid vara ganska svårlästa för en lek- man. Varken tryckfrihetsförordningen eller någon annan reglering (t.ex. 15 kap. 4 eller 12 §§ sekretesslagen eller 4 § förvaltningslagen [1986:223]) garanterar patienten en rätt att få information om åt- komsthistoriken som är bearbetad på sådant sätt att informationen om direktåtkomsten och den elektroniska åtkomsten presenteras i en för patienten begriplig och tillrättalagd form. Inte heller utgör denna typ av uppgifter sådan information som en personuppgifts- ansvarig myndighet är skyldig att på begäran lämna till registrerade patienter enligt 26 § personuppgiftslagen.

Någon rätt för patienter att få logglistor från den enskilda hälso- och sjukvården finns inte.

Vi är övertygade om att allmänhetens förtroende för hälso- och sjukvårdens informationshantering förstärks, om den enskilde får klar och tydlig information om vilken åtkomst som förekommit till uppgifter om honom eller henne. Bara vetskapen om att man som patient har den möjligheten, skulle troligen innebära en tillräcklig trygghet för flertalet patienter i fråga om att deras personliga in-

371

Inre sekretess

SOU 2006:82

tegritet skyddas i verksamheten. För den patient som oroar sig för t.ex. nyfikenhet hos en släkting eller en bekant som arbetar på en annan avdelning än den där patienten vårdas, är bearbetade logglistor med förklaringar givetvis ett utmärkt verktyg att själv kunna kon- statera om oron varit befogad. Liksom när det gäller förslaget om att åtkomstkontroller skall göras systematiskt och fortlöpande, torde vetskapen om patientens rätt att själv kontrollera åtkomsten ha en starkt avhållande verkan.

Vi föreslår därför en bestämmelse om att patienter skall ha rätt att på begäran få information om vilken direktåtkomst och elektro- nisk åtkomst till uppgifter om honom eller henne som förekommit. Bestämmelsen bör omfatta både den allmänna och enskilda hälso- och sjukvården. Vi vill här poängtera att vårt förslag är en informa- tionsbestämmelse och alltså inte detsamma som patientens rätt enligt tryckfrihetsförordningen att begära ut en allmän handling, en logg- lista, hos myndigheter inom hälso- och sjukvården eller att på begäran få uppgifter ur allmän handling enligt 15 kap. 4 § sekretesslagen.

Exakt vad informationen skall innehålla och hur eller hur ofta den skall lämnas bör inte närmare regleras i lag utan av regeringen eller, efter vidarebemyndigande, av Socialstyrelsen efter samråd med Data- inspektionen. Enligt vår uppfattning är det väsentligt att den infor- mation som lämnas är begriplig och vägledande för patienten när han eller hon själv skall bilda sig en uppfattning om huruvida åtkomsten varit befogad eller inte. Det bör t.ex. tydligt framgå när och från vilken enhet en slagning skett. Vid sammanhållen journalföring bör vidare varje vårdgivare kunna redovisa vilken åtkomst till den egna verksamhetens journaluppgifter som förekommit från andra vård- givare. Även dessa andra mottagande vårdgivare bör kunna redovisa när direktåtkomsten använts. Detta får som sagt närmare behandlas i myndighetsföreskrifter.

Det bör påpekas att förslaget om patientens rätt att få informa- tion om åtkomst inte på något sätt befriar vårdgivaren från ansvaret att självmant följa upp hur behörighetssystemet fungerar och i vad mån obehörig intern (likväl som extern) åtkomst förekommit.

Inre spärrar

Under utredningsarbetet har vi inhämtat att det förekommer bland en del vårdgivare att patienter som så önskar kan begära att journal- uppgifter spärras från elektronisk tillgänglighet utanför en avdelning,

372

SOU 2006:82

Inre sekretess

klinik eller motsvarande. Enligt uppgift förekommer dock sällan att patienter begär detta. Patientens möjlighet i detta avseende är, som vi ser det, helt i linje med de grundläggande principerna som slås fast i 2 a § hälso- och sjukvårdslagen om att verksamheten skall bygga på respekt för patientens självbestämmande och integritet och så långt det är möjligt utföras och genomföras i samråd med patienten. Så- som anförts tidigare har dessa grundprinciper bäring även på hante- ringen av information om patienten. Bestämmelsen anses t.ex. föra med sig att det är ett naturligt inslag i vården att patientens samtycke inhämtas till att en journalhandling lämnas vidare till en annan vård- enhet (prop. 1990/91:111 s. 24). JO har i ett äldre utlåtande, JO 1986/87 s. 198, uttalat att det följer av den angivna bestämmelsen i hälso- och sjukvårdslagen att en patients uttryckliga önskemål om att journaler inte lämnas till andra kliniker på samma sjukhus skall respekteras utom i rena nödsituationer.

Enligt vår uppfattning finns inget skäl att göra avsteg från dessa principer, bara därför att ny teknik gör det möjligt att öka patient- säkerheten genom en breddad tillgänglighet till journaluppgifter. Tvärtom, menar vi, är det en förtroendefråga att regleringen av per- sonuppgiftsbehandlingen står i samklang med dessa principer. Så är dock inte fallet i dag. Varken vårdregisterlagen eller personuppgifts- lagen ger patienten något inflytande över tillgängligheten till hans eller hennes patientjournal inom en vårdgivares verksamhet.

Vi menar att mot bakgrund inte minst av den utveckling som på- går inom många landsting med en centraliserad myndighetsstruktur och mot allt större, ibland landstingsgemensamma journalsystem, finns det ett påkallat behov av en förbättring i detta avseende. För en del patienter kommer det inte att räcka med en möjlighet att i efterhand kontrollera vilken åtkomst som förekommit. De bör ha en möjlighet att motsätta sig att journaluppgifter eller annan vård- dokumentation görs elektroniskt tillgängliga för andra vårdenheter alternativt vårdprocesser än den vid vilken han eller hon vårdas under en specifik vårdepisod. I annat fall kan man inte utesluta att patien- ter håller inne med känslig men viktig information av rädsla för att informationen sprids eller, i värsta fall, att enskilda drar sig för att uppsöka hälso- och sjukvården. Man kan inte heller helt utesluta att enskilda yrkesutövare av hänsyn till patienten börjar föra anteck- ningar vid sidan av journalen, om det inte finns möjligheter att spärra uppgifterna för läsbarhet utanför en snävare krets av hälso- och sjukvårdspersonalen. Sådan parallell ”sidojournalföring” bör inte få förekomma, eftersom det i förlängningen skulle få negativa återverk-

373

Inre sekretess

SOU 2006:82

ningar på patientsäkerheten. Vi föreslår således en bestämmelse som slår fast de principer som uttrycks i den anförda bestämmelsen i 2 a § hälso- och sjukvårdslagen när det gäller elektronisk tillgänglighet inom en vårdgivares individinriktade patientverksamhet.

Den av oss föreslagna bestämmelsen motsvarar patientens opt out- möjlighet i fråga om tillgängliggörande av journaluppgifter för andra vårdgivare vid sammanhållen journalföring, se avsnitt 11.3.3 för en närmare beskrivning av innebörden av opt out-möjligheten.

Med patientens samtycke skall dessa s.k. inre spärrar få hävas av en behörig befattningshavare vid en annan vårdenhet eller vård- process som patienten besöker. Det följer i och för sig redan av be- stämmelsen som föreslagits i avsnitt 8.5 om verkan av att patienten samtycker till en personuppgiftsbehandling i strid mot de uttryckliga bestämmelserna i patientdatalagen. Patienten skall också kunna vända sig till vårdgivaren och begära en mer varaktigt hävning. Detta bör regleras uttryckligen. Vidare föreslår vi att spärren skall kunna for- ceras från en annan enhet, t.ex. akuten, om informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver och ett samtycke inte kan inhämtas, t.ex. därför att patienten är medvets- lös, omtöcknad eller liknande och situationens allvar motiverar en forcering.

Liksom i fråga om den sammanhållna journalföringen handlar den inre spärren inte om huruvida uppgifter om en patient alls bör få ut- bytas mellan olika kliniker eller olika sjukhus m.m. hos en och samma vårdgivare. Det sagda reglerar bara sättet för utbytet; elektronisk åtkomlighet. Några nya interna sekretessgränser föreslås alltså inte. Spärrarna innebär alltså inget hinder mot att personal vid olika vård- enheter eller vårdprocesser tar kontakt med varandra på motsvarande sätt som i dag sker när t.ex. en vårdcentral behöver uppgifter från ett sjukhus inom samma landsting och man inte har elektronisk åt- komst till sjukhusets journalsystem. I dessa fall får frågan avgöras på motsvarande sätt som i dag sker, dvs. med tillämpning av bl.a. de ovan berörda principerna i hälso- och sjukvårdslagen. Till skillnad från när det gäller elektronisk åtkomst är det dock befattningshavare vid den vårdenhet eller vårdprocess som sitter på informationen som har att göra denna bedömning, inte befattningshavare vid den enhet eller motsvarande som anser sig behöva informationen.

Inte heller ges patienten genom förslaget en rätt att hindra vård- givaren från att använda uppgifter om honom eller henne vid t.ex. uppföljning och kvalitetssäkring av den egna verksamheten. Som

374

SOU 2006:82

Inre sekretess

sagts ovan torde dock, vid denna användning, åtkomsten till direkt utpekande personuppgifter vara mycket begränsad.

Precis som vid sammanhållen journalföring bör det få framgå i det elektroniska informationssystemet att det finns vårddokumen- tation som är spärrad. Med tanke bl.a. på att de inre spärrarna inte är lika absoluta som spärrar vid sammanhållen journalföring – i nöd- lägen och liknande skall inre spärrar kunna forceras av behöriga befattningshavare hos vårdgivaren – bör det av varje spärr få framgå vilken vårdenhet eller vårdprocess spärren avser. I annat fall torde det nästan vara omöjligt för en behörig befattningshavare att bedöma om spärrad information kan antas ha betydelse för vården eller inte.

Vi är medvetna om att det är oklart vad som exakt menas med be- greppen vårdenhet respektive vårdprocess. I Socialstyrelsens Termbank definieras vårdenhet som ”organisatorisk enhet som tillhandahåller hälso- och sjukvård”. Det anmärks att varje huvudman avgör avgräns- ningen i det enskilda fallet. Vårdprocess definieras i Termbanken som ”följd av aktiviteter eller åtgärder som utförs för en patient, avseen- de ett visst hälsoproblem, mellan inkommen vårdbegäran och avslag av vårdbegäran eller avslut av vårdåtagande”. Avgränsningen av en vårdprocess är således funktionell och inte organisatorisk såsom beträffande vårdenhet. En vårdprocess kan med andra ord inbegripa avgränsbara aktiviteter eller åtgärder hos olika vårdenheter som till- sammans bildar en funktionell helhet.

I hälso- och sjukvårdens oerhört stora och varierande verksam- het finns dock inga andra klart avgränsade begrepp som är använd- bara inom alla slags verksamheter. Att i lag närmare definiera vad som generellt avses med en enhet eller en process är inte möjligt som vi ser det. Samtidigt tror vi inte att det i den praktiska tillämpningen kommer att innebära svårigheter att dra upp dessa alternativa grän- ser.

Många privata vårdgivare bildar en enda enhet. Men det gäller förstås inte för alla. Praktikertjänst AB är ett exempel på en vård- givare som bedriver verksamhet på många mottagningar spridda över landet. Dessa bör ses som olika enheter. Inom den allmänna hälso- och sjukvården anser vi att det är naturligt att t.ex. varje vårdcentral ses som en enhet. Däremot bör inte ett sjukhus ses som en enda enhet i det sammanhang som här är i fråga. Mera rimligt är att dra en gräns mellan olika slags kliniker. Det får förutsättas att hälso- och sjukvården hittar lämpliga avgränsningar mellan vårdenheter respek- tive vårdprocesser. Vi vill poängtera att det enligt vårt förslag är vårdgivaren som på förhand har att definiera vilka vårdenheter alter-

375

Inre sekretess

SOU 2006:82

nativt vårdprocesser som finns inom vårdgivarens individinriktade hälso- och sjukvård och, därmed, vilka spärrar som kan tillhanda- hållas. Det krävs alltså inte att vårdgivare skall kunna tillmötesgå varje patients individuella önskemål.

Förslagen om patientens rätt att spärra information innebär förstås ingen inskränkning av det tidigare sagda om vårdgivarnas skyldig- heter att utifrån bl.a. behovs- och riskanalyser begränsa den elektro- niska tillgängligheten till elektroniska patientuppgifter inom sin verk- samhet. Patientens rätt till inre spärrar utgör bara ett komplement till vårdgivarnas ansvar härvidlag.

Det har diskuterats i utredningen att bestämmelsen om patientens rätt till inre spärr kan komma att missbrukas av vissa kategorier av patienter eller deras anhöriga. Ett exempel är att hälso- och sjuk- vården inte kan utnyttja införandet av stora sjukhusgemensamma eller myndighetsgemensamma journal- och patientadministrativa system för att identifiera sådana barn som man tror vansköts eller misshandlas av sina föräldrar. För det fall föräldrar systematiskt begär att uppgifter om ett skadat barn spärras, missar hälso- och sjuk- vårdspersonalen vid nya skador och nya akutbesök att sätta dessa i samband med tidigare vårdtillfällen som dokumenterats vid andra enheter tillhöriga samma myndighet. Hälso- och sjukvårdens möjlig- heter att uppfylla sin uppgiftsskyldighet enligt 14 kap. 1 § social- tjänstlagen försvåras därigenom. Ett annat exempel är förskrivning av narkotiska läkemedel där systemet med inre spärrar kan utnyttjas av en missbrukande patient som besöker olika vårdcentraler eller andra enheter.

Med tanke på att det är en bit kvar innan heltäckande journal- system för all journalföring blir vanliga hos stora myndigheter inom den landstingsbedrivna vården, är vi tveksamma till om vårt förslag om inre spärr innebär någon verklig försämring jämfört med de möjligheter man i realiteten har i dag när det gäller att identifiera ut- satta patientkategorier såsom misshandlade barn eller läkemedels- missbrukare. Vi har inte heller haft någon möjlighet att inom ramen för vårt uppdrag närmare kartlägga omfattningen av vilka problem det i dag finns på detta område. Vidare är det inte alldeles lätt att över- blicka vilka konsekvenser ett undantag från rätten att spärra vård- dokumentation kan få. Exempelvis kan en moder, som är förföljd och utsatt för hot, tänkas avstå från att uppsöka hälso- och sjukvår- den av rädsla för att uppgifter om barnet, och därmed indirekt om henne, sprids till andra vårdenheter inom ett landsting. Det kan inte uteslutas att just möjligheten till inre sekretess är avgörande för

376

SOU 2006:82

Inre sekretess

deras kontakt med hälso- och sjukvården och för att barnet skall få erforderlig vård och behandling.

Frågorna är alltså komplexa och vihar därför inte funnit skäl att föreslå undantag för viss slags vårddokumentation som inte skulle få lov att spärras av patienten eller dennes vårdnadshavare. Utveck- lingen och hanteringen måste emellertid följas upp noga med bl.a. detta för ögonen och vi utesluter inte att det kan framkomma skäl att göra en annan bedömning än den vi gjort. Det får i så fall be- handlas i ett annat sammanhang. Det kan dock noteras att det enligt vårt förslag kommer att framgå vilka olika inre spärrar som finns samt även vilken vårdenhet eller vårdprocess varje spärr avser. Redan den informationen kan i många fall vara en varningssignal i de fall som här avses. Finns t.ex. ovanligt många spärrade uppgifter avse- ende ett litet barn från olika akutmottagningar torde det kunna leda till särskilda åtgärder för det fall att misstanke om barnmisshandel uppstår.

Avslutande anmärkningar

Merparten av de bestämmelser som föreslagits i det föregående bör tas in i ett eget kapitel i patientdatalagen som handlar om inre sekre- tess och elektronisk åtkomst i en vårdgivares verksamhet. Vi åter- kommer i författningskommentaren till den närmare utformningen av regleringen, se avsnitt 21.

I avsnitt 18.1 kommer vi att behandla vilken allmän information som personuppgiftsansvariga skall ge till patienter. Det är förstås väsentligt att informationen omfattar rätten att få information om den direktåtkomst och elektroniska åtkomst som förekommit samt rätten att begära en inre spärr av vårddokumentation. I avsnitt 20 behandlas frågan om våra förslag till reglering av den inre sekretessen medför ekonomiska och andra konsekvenser m.m. för offentliga och privata vårdgivare. Redan här vill vi emellertid påtala att de förslag vi lämnat om patientens rätt att begära inre spärrar, förvisso kan komma att innebära ett visst administrativt arbete för vårdper- sonalen som står i proportion till i vilken omfattning rätten kommer att utnyttjas utöver de ”spärrar” i form av tillgänglighetsbegräns- ningar som blir ett resultat av vårdgivarens egna behörighetstill- delningar. Vi förutsätter emellertid att informationssystemen kan utformas på sätt som minimerar vårdpersonalens arbete med inre spärrar till enkla och inte tidskrävande åtgärder.

377

13 Direktåtkomst för patienten

13.1Inledning

I vårt uppdrag ingår att se över möjligheterna för patienten att via Internet få ta del av uppgifter om sig själv. Denna fråga behandlar vi i avsnitt 13.3. Vi börjar dock med att i avsnitt 13.2 behandla patient- journallagens (1985:562) bestämmelser om patientens rätt att ta del av sin journal.

13.2Patientens rätt att ta del av sin journal

Våra förslag: I fråga om skyldigheten för en myndighet inom all- män hälso- och sjukvård att till patienten lämna ut journalhand- lingar och andra handlingar och uppgifter görs i patientdatalagen en hänvisning till bestämmelserna i tryckfrihetsförordningen och sekretesslagen.

Patientjournallagens bestämmelser om patientens rätt att ta del av journalhandlingar inom enskild hälso- och sjukvård förs över oförändrade till patientdatalagen.

Inom den allmänna hälso- och sjukvården regleras patientens rätt att ta del av sin journal och andra handlingar och uppgifter av tryckfri- hetsförordningen och sekretesslagen (1980:100). Till dessa författ- ningar hänvisar 15 § patientjournallagen såvitt gäller journalhandlingar inom den allmänna hälso- och sjukvården.

Av tryckfrihetsförordningen och sekretesslagen följer att en patient i princip alltid har rätt att ta del av uppgifter om sig själv. Undantag gäller dock för uppgifter om hans eller hennes hälsotillstånd, om det med hänsyn till ändamålet med vården eller behandlingen är av syn- nerlig vikt att uppgiften inte lämnas till honom eller henne, 7 kap. 3 § sekretesslagen. Vidare gäller undantag för anmälan eller annan utsaga av enskild om patientens hälsotillstånd eller andra personliga

379

Direktåtkomst för patienten

SOU 2006:82

förhållanden, om det kan antas att fara uppkommer för att den som har gjort anmälan eller avgivit utsagan eller någon honom eller henne närstående utsätts för våld eller annat allvarligt men om uppgiften röjs för patienten, 7 kap. 6 § sekretesslagen.

I den mån något undantag inte är tillämpligt, skall journalen på be- gäran lämnas ut till patienten. Om ett undantag är tillämpligt endast för delar av journalen, skall journalen lämnas ut i övriga delar.

I 2 kap. 12 och 13 §§ tryckfrihetsförordningen anges närmare när och på vilket sätt journalen skall lämnas ut. Av dessa bestämmelser följer bl.a. att utlämnande skall ske genast eller så snart som möjligt och att patienten har rätt att få en avskrift eller kopia av journalen. Det finns däremot ingen skyldighet att lämna ut journalen i elektro- nisk form, eftersom en sådan skyldighet inte är föreskriven i lag. Patienten har dock rätt att få en utskrift av journalen.

En begäran att få ta del av journalen skall göras hos den myndig- het där journalen förvaras och skall prövas av denna, 2 kap. 14 § tryck- frihetsförordningen. Om begäran avslås får sökanden föra talan mot beslutet hos domstol, 15 kap. 7 § sekretesslagen.

I 16 § första stycket patientjournallagen finns särskilda bestäm- melser om rätten att få del av journaler inom den enskilda hälso- och sjukvården. När det gäller patienters rätt föreskrivs att en journal- handling skall på begäran av patienten så snart som möjligt tillhanda- hållas honom eller henne för läsning eller avskrivning på stället eller i avskrift eller kopia, om inte annat följer av 2 kap. 8 § andra stycket eller 9 § första stycket lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Sistnämnda bestämmelser motsvarar de ovan redovisade bestämmelserna i 7 kap. 3 och 6 §§ sekretesslagen om när sekretess gäller i förhållande till den enskilde. Inte heller inom den enskilda hälso- och sjukvården har alltså patienten rätt att ta del av uppgifter om sig själv, om det av hänsyn till ändamålet med hälso- och sjukvården är av synnerlig vikt att så inte sker (2 kap. 8 § andra stycket). Inte heller har patienten rätt att ta del av uppgifter i jour- nalen om sitt hälsotillstånd eller andra personliga förhållanden, som anmälts eller lämnats i utsaga av annan person, om det kan antas att det finns en risk att den som lämnat uppgiften eller någon närståen- de till uppgiftslämnaren utsätts för våld eller annat allvarligt men om uppgiften röjs för patienten (2 kap. 9 § första stycket).

Frågor om utlämnande av en journalhandling prövas av den som är ansvarig för patientjournalen. Anser denne att journalhandlingen eller någon del av den inte bör lämnas ut, skall han eller hon genast med eget yttrande överlämna frågan till Socialstyrelsen för prövning.

380

SOU 2006:82

Direktåtkomst för patienten

Med den som ansvarar för journalen avses enligt förarbetena den som enligt föreskrift är skyldig att föra journalen eller se till att jour- nalen förs. Om den som ansvarade för journalen vid behandlingstill- fället inte längre tjänstgör, får hans eller hennes efterträdare i verk- samheten regelmässigt anses ha övertagit ansvaret för journalen (prop. 1984/85:189 s. 48).

Bestämmelsen i 16 § första stycket patientjournallagen gäller jour- nalhandlingar. När det gäller övriga uppgifter som kan finnas registre- rade om en patient inom enskild hälso- och sjukvård har patienten rätt att i vissa fall få ett s.k. registerutdrag enligt 26 § personupp- giftslagen (se vidare avsnitt 18.1).

Om en patient har rätt att ta del av sina journaluppgifter, kan även en behörig ställföreträdare för denne, t.ex. ett ombud med fullmakt, få tillgång till uppgifterna. Det finns dock förslag, och sedan den 1 juli 2006 även en lag, som skall begränsa enskildas möjligheter att ge andra fullmakt att ta del av deras journaler.

Som redovisats i avsnitt 10.4.3. är det vanligt i försäkringsären- den att försäkringsbolag med stöd av fullmakt från patienter begär in kompletta patientjournaler direkt från hälso- och sjukvården. I departementspromemorian Försäkringsbolags tillgång till patient- journaler (Ds 2005:13) föreslås att denna möjlighet skall begränsas genom en ny förordning om begränsat utnyttjande av fullmakter på försäkringsområdet. Enligt förslaget skall försäkringsbolag inte få begära fullmakt som innebär att den som skall försäkras enligt en personförsäkring lämnar sitt samtycke till att bolaget inhämtar kom- pletta patientjournaler. Bolagets behov av information om hälsan hos den som skall försäkras skall i stället tillgodoses genom preciserade frågor som läkare och andra behöriga uppgiftslämnare besvarar genom intyg eller bearbetade journalutdrag. Detsamma skall gälla vid för- säkringsbolagens skadereglering på grund av inträffade försäkrings- fall samt när försäkringsbolagen i annat fall begär fullmakt från en enskild. Motsvarande ordning skall gälla även vid reglering av person- skador enligt en skadeförsäkring och oavsett om det är den försäk- rade eller tredje man som har skadats. I promemorian anges att det ankommer på Finansinspektionen att, inom ramen för sin tillsyn över det enskilda försäkringsväsendet, bevaka att försäkringsbolagen iakttar förbudet.

Enskildas möjligheter att samtycka till att andra tar del av deras journaluppgifter avseende genetisk information, dvs. information om resultatet av en genetisk undersökning, begränsas genom lagen (2006:351) om genetisk integritet m.m., vilken trädde i kraft den

381

Direktåtkomst för patienten

SOU 2006:82

1 juli 2006. Lagen innehåller bl.a. olika förbud mot att använda gene- tiska undersökningar och genetisk information som tagits fram inom hälso- och sjukvården och medicinsk forskning för ändamål utan- för hälso- och sjukvården.

Enligt 2 kap. 1 § första stycket lagen om genetisk integritet m.m. får ingen utan stöd i lag ställa som villkor för ett avtal att den andra parten skall genomgå en genetisk undersökning eller lämna genetisk information om sig själv. Förbudet gäller alla slags avtal, såsom an- ställnings- och uppdragsavtal, försäkringsavtal, kredit- och låneavtal, hyresavtal osv. Förbudet gäller dock inte på familjerättens område. Den som bryter mot förbudet döms till böter eller fängelse i högst sex månader, om inte gärningen är belagd med strängare straff i brottsbalken.

Enligt andra stycket i samma paragraf får ingen utan stöd i lag i samband med avtal efterforska eller använda genetisk information om den andre. För försäkringsbolag gäller undantag från förbudet vid riskbedömda personförsäkringar på mycket höga belopp. Liksom beträffande det föregående förbudet gäller detta förbud inte på familjerättens område.

Våra överväganden

Vi har tidigare föreslagit att patientdatalagen skall innehålla ett sär- skilt kapitel om rättigheter för den enskilde. Bestämmelser om patien- tens rätt att ta del av sin journal bör tas in i det kapitlet. Något skäl att ändra nuvarande reglering av denna rättighet har inte framkom- mit.

Att en myndighet inom allmän hälso- och sjukvård under vissa förutsättningar är skyldig att lämna ut journalhandlingar och andra handlingar och uppgifter till en patient följer, såsom tidigare sagts, av bestämmelserna i tryckfrihetsförordningen och sekretesslagen. Detta bör enligt vår uppfattning framgå av patientdatalagen. Vi före- slår därför att det i patientdatalagen görs en hänvisning till bestäm- melserna i tryckfrihetsförordningen och sekretesslagen.

När det gäller patientjournallagens bestämmelser om patientens rätt att ta del av journalhandlingar inom enskild hälso- och sjukvård kan dessa föras över oförändrade till patientdatalagen.

382

SOU 2006:82

Direktåtkomst för patienten

13.3Direktåtkomst för patienten

Vårt förslag: En vårdgivare får medge en enskild direktåtkomst till sådana uppgifter om den enskilde själv som får lämnas ut till honom eller henne och som behandlas för ändamålet vårddoku- mentation (se avsnitt 8.2.3). Den enskilde får under samma för- utsättningar medges direktåtkomst till dokumentation avseende elektronisk åtkomst till uppgifter om den enskilde (logglistor).

Regeringen, eller den myndighet som regeringen bestämmer, bemyndigas att meddela föreskrifter om de krav på säkerhetsåt- gärder som skall gälla vid sådan direktåtkomst.

Inledning

Vi har i avsnitt 8.7 föreslagit att direktåtkomst till personuppgifter som behandlas enligt patientdatalagen bara skall få förekomma i den utsträckning som anges i lag eller förordning. I det här avsnittet be- handlar vi frågan om det bör vara tillåtet för patienter att få direkt- åtkomst till uppgifter om sig själva.

Vi hänvisar till avsnitt 8.7 när det gäller vad vi avser med begreppet direktåtkomst.

Dagens reglering

Av 2 kap. 13 § tryckfrihetsförordningen följer att en vårdgivare inom den allmänna hälso- och sjukvården inte är skyldig att i större ut- sträckning än vad som följer av lag lämna ut en upptagning för auto- matiserad behandling i annan form än utskrift. Någon sådan skyldig- het finns inte föreskriven beträffande patientjournaler. Den nämnda bestämmelsen innebär dock inte något förbud för vårdgivare att lämna ut en patientjournal i elektronisk form. Andra bestämmelser, t.ex. registerförfattningar, kan dock hindra ett sådant utlämnande (prop. 2001/02:70 s. 39).

Patientjournallagen innehåller inte något förbud mot utlämnande av journaluppgifter i elektronisk form. Förs en patientjournal elektro- niskt innebär det att den ingår i ett vårdregister och omfattas av be- stämmelserna i lagen (1998:544) om vårdregister (vårdregisterlagen). Dessa bestämmelser gäller oavsett om patientjournalen förs inom den allmänna eller den enskilda hälso- och sjukvården.

383

Direktåtkomst för patienten

SOU 2006:82

Enligt 8 § vårdregisterlagen får endast den som behöver tillgång till uppgifterna för att kunna utföra sitt arbete ha direktåtkomst till uppgifter i ett vårdregister. DatainspektionenTPF1FPT och Länsrätten i Stockholms länTPF2FPT har med anledning av att Landstinget i Uppsala län erbjudit patienter möjlighet till direktåtkomst till uppgifter om dem själva i vårdregister via Internet (se avsnitt 3.3) uttalat att vård- registerlagen inte medger att enskilda har sådan direktåtkomst.

Våra överväganden

Användningen av Internet blir allt mer utbredd i Sverige och allt fler använder sig av elektroniska tjänster. Inom hälso- och sjukvården kan patienter söka information om sjukdomar och behandlingar via Internet, t.ex. på hälsowebbplatsen Sjukvårdsrådgivningen.se som ägs av samtliga landsting och Apoteket AB. I flera landsting kan patienter boka tider, förnya recept eller ställa frågor via Internet. Mot bakgrund av den ökade Internet-användningen framstår det, en- ligt vår uppfattning, som naturligt att patienter ges möjlighet att få direktåtkomst till sådana patientuppgifter som får lämnas ut till dem. I två landsting pågår dessutom projekt där patienter via Internet ges direktåtkomst till sina patientuppgifter. (Se vidare avsnitt 3.3).

Önskemål om direktåtkomst till sina journaluppgifter har också framförts till oss från företrädare för ett antal patient- och anhörig- organisationer. Vidare visar den enkätundersökning som vi låtit Statistiska centralbyrån göra att 71 procent vill kunna ta del av sin patientjournal via Internet. Även om resultat från sådana undersök- ningar måste tolkas försiktigt, visar undersökningen att det finns ett stort intresse bland allmänheten att kunna ta del av sina journal- uppgifter på detta sätt.

I Danmark kan enskilda sedan september 2005 via Internet ta del av vissa uppgifter om sina sjukhusbesök, t.ex. diagnoser och be- handling. Uppgifterna finns registrerade i Sundhedsstyrelsens Lands- patientregister. För att få tillgång till uppgifterna krävs att den en- skilde har en digital signatur. Målsättningen är att enskilda i Danmark även skall få möjlighet att få tillgång till sina egna journaler. (Se vidare avsnitt 5.2.)

Patienter har genom bestämmelser i hälso- och sjukvårdslagen (1982:763) och lagen om yrkesverksamhet på hälso- och sjukvårdens

1TP PT Se Datainspektionens beslut 2003-10-16, dnr 1569-2003

2TP PT Se Länsrättens i Stockholms län dom 2004-10-12, mål nr 20776-03.

384

SOU 2006:82

Direktåtkomst för patienten

område getts rätt till information, delaktighet och medinflytande. Om det blir tillåtet för patienter att ha direktåtkomst till sina patient- uppgifter, skulle de ges bättre möjligheter att aktivt delta i sin vård. De skulle t.ex. kunna vara mer informerade om sitt hälsotillstånd. Vidare skulle de kunna kontrollera att uppgifter som de lämnat till hälso- och sjukvårdspersonalen uppfattats på ett korrekt sätt. De skulle även kunna titta på resultat från provtagningar, vilket fram- för allt skulle spara tid för patienter som det regelbundet tas prover på och som ständigt behöver övervaka sitt sjukdomsförlopp. Direkt- åtkomst skulle också kunna vara ett sätt att låta journalen följa patien- ten genom att denne då kan låta en vårdgivare som han eller hon be- söker för första gången ta del av uppgifterna.

Ett skäl som i diskussionen anförts mot att ge patienter direkt- åtkomst till sina journaluppgifter är att patienter som på egen hand tar del av sådana uppgifter kan missförstå dessa och t.ex. få uppfatt- ningen att deras hälsotillstånd är sämre än vad det är. Av 5 § patient- journallagen följer emellertid – bl.a. med tanke på att patienten själv skall kunna läsa sin journal – att de journalhandlingar som upprättas inom hälso- och sjukvården skall vara skrivna på svenska språket, vara tydligt utformade och så långt möjligt förståeliga för patienten. I specialmotiveringen framhålls att alla patienter inte har samma för- utsättningar att förstå innebörden av en journalanteckning och att det därför är av största vikt, att den som svarar för anteckningen lägger sig vinn om att utforma den enkelt och lättförståeligt. Svåra och främ- mande ord bör så långt möjligt undvikas (prop. 1984/85:189 s. 42). Detta blir än viktigare om patienter ges direktåtkomst till sina jour- naluppgifter. Det finns givetvis en gräns för hur långt språket kan förenklas. En patientjournal utgör ju, som tidigare sagts, i första hand ett arbetsverktyg för hälso- och sjukvårdspersonalen och dess grundläggande syfte är att tillgodose patientens intresse av en god och säker vård. Journalföringen måste naturligtvis präglas av detta.

Det kan naturligtvis inträffa att en patient som har getts direkt- åtkomst till sina patientuppgifter och som på egen hand tar del av dessa missförstår uppgifterna. Det kan emellertid hända även i dag när en patient får en utskrift av sin journal och väljer att läsa denna på egen hand. Det får nämligen inte – annat än i undantagsfall – upp- ställas som villkor för utlämnande av en journal att en läkare finns med och förklarar innehållet (se JO 1985/86 s. 327 ff.). Risken för missförstånd kan i viss mån motverkas om vårdgivarna erbjuder de patienter som ges direktåtkomst till sina uppgifter möjlighet att få hjälp att tyda dem.

385

Direktåtkomst för patienten

SOU 2006:82

Ett annat skäl som har anförts mot att ge patienter direktåtkomst till sina patientuppgifter är risken för att patienterna utsätts för på- tryckningar från t.ex. anhöriga eller blivande arbetsgivare att visa dem uppgifterna. Det går naturligtvis inte att helt bortse från risken att några patienter kan komma utsättas för sådana påtryckningar. En så- dan risk finns emellertid redan nu. En person kan t.ex. förmå en äldre anhörig att ge honom eller henne fullmakt att begära ut jour- naluppgifter beträffande denne.

I dag ger lagen (2005:258) om läkemedelsförteckning en enskild möjlighet att ha direktåtkomst till uppgifter om sig själv i en läke- medelsförteckning. Även sådana uppgifter kan vara integritetskäns- liga.

Vi är medvetna om att risken för att obehöriga genom t.ex. påtryck- ningar får del av patienters uppgifter kommer att öka om patienter på ett enkelt sätt ges möjlighet att få åtkomst till sina patientupp- gifter. Ett sätt att begränsa denna risk är att göra uppgifterna inte alltför lätt tillgängliga. Uppgifter om en patient behöver ju inte med automatik finnas tillgängliga för denne via Internet enbart därför att en vårdgivare erbjuder sina patienter möjlighet att få direktåtkomst till patientuppgifter. Tillgängligheten bör i stället förutsätta att pa- tienten inledningsvis på något sätt framfört önskemål till vårdgivaren om att få direktåtkomst till sina uppgifter. Denna förutsättning kommer sannolikt även innebära att det framför allt är de lite mer intresserade patienterna som kommer att ha direktåtkomst till sina patientuppgifter. En framställan om ett önskemål förutsätter ju över- väganden från den enskildes sida och ett aktivt handlande. Det ger även vårdgivaren tillfälle att informera patienten om t.ex. vart han eller hon kan vända sig för att få hjälp att tyda uppgifterna.

För tydlighetens skull kan tilläggas att vår tanke inte är att det skall krävas en formell ansökan från patienten som utmynnar i ett slags tillstånd. Alla patienter som framför önskemål till en vård- givare som erbjuder sina patienter möjlighet att få direktåtkomst till patientuppgifter skall alltså kunna få sådan åtkomst.

Det kan hävdas att ett förslag om att ge patienter direktåtkomst till sina patientuppgifter skulle i viss mån förta vad man vill uppnå i fråga om integritetsskydd med det lagförslag och den lag som redo- gjorts för i avsnitt 13.2. Det skulle nämligen kunna finnas risk för att patienter – i situationer då det inte längre skulle vara möjligt för andra att med fullmakt eller patienternas samtycke få ut uppgifter – utsätts för påtryckningar att elektroniskt ta fram uppgifter om sig själva.

386

SOU 2006:82

Direktåtkomst för patienten

I den tidigare nämnda departementspromemorian Försäkrings- bolags tillgång till patientjournaler anges att man inte kan bortse från risken att försäkringsbolag även i andra fall än då t.ex. det för att försäkring överhuvudtaget skall kunna beviljas är av avgörande betydelse att försäkringsbolaget får del av kompletta journaler kan komma att ställa som krav att den som söker en försäkring, eller vid försäkringsfall den försäkrade, själv vänder sig till hälso- och sjukvården och inhämtar kompletta journaler för försäkringsända- mål. Att försäkringsbolag på detta sätt begär tillgång till fullständiga journaler kan enligt promemorian vara att betrakta som ett avsikt- ligt kringgående av den förordade ordningen, men det kan också vara ett naturligt utslag för bolagens försiktighet, främst när det gäller att meddela individuella liv- eller sjukförsäkringar. I prome- morian anges vidare (s. 157 f.):

Av 1 kap. 1 a § tredje stycket försäkringsrörelselagen framgår att för- säkringsbolagen skall iaktta god försäkringsstandard. Bestämmelsen avser hela den verksamhet som försäkringsbolagen bedriver. Om ut- redningens förslag genomförs kan det enligt utredningens bedömning inte anses vara förenligt med god försäkringsstandard att försäkrings- bolag annat än i ovan angivna undantagsfall begär att enskilda skall ge in kompletta journaler. Finansinspektionen har till uppgift att utöva till- syn såväl med avseende på att de näringsrättsliga reglerna för försäk- ringsbolag följs som över att de civilrättsliga bestämmelser som reglerar avtalsförhållandet mellan försäkringsgivare och försäkringstagare följs. Det får förutsättas att Finansinspektionen skulle ingripa om ett för- säkringsbolag avsiktligt skulle kringgå en reglering till skydd för för- säkringstagarnas integritet. Som ovan nämnts kan det ibland vara svårt att fastslå om bolagets krav snarast motiveras av en osäkerhet ifråga om den enskildes hälsa. Det får ankomma på Finansinspektionen att göra en bedömning av bolagets hantering i det enskilda fallet.

Ett sätt att begränsa de integritetsrisker som finns vid utlämnande av patientuppgifter genom direktåtkomst är att inte låta direktåtkomst- en avse samtliga uppgifter om en patient. Uppgifter som är särskilt känsliga bör t.ex. alltid undantas från direktåtkomst. Därutöver skulle åtkomsten inledningsvis kunna begränsas till vissa uppgifter, t.ex. uppgift om behandlande läkare, kontaktuppgifter till vårdgivare, diagnoser, överkänslighet och förskrivna läkemedel. Efter utvärde- ring skulle direktåtkomsten kunna utvidgas till att avse allt fler upp- gifter.

Vår slutsats blir att enskilda bör ges möjlighet att ta del av upp- gifter om sig själva via Internet och detta oavsett om vårdgivaren deltar i sammanhållen journalföring eller ej. Visserligen har patienter,

387

Direktåtkomst för patienten

SOU 2006:82

som framgått tidigare, i princip alltid rätt att ta del av sina journal- uppgifter. Enligt vår uppfattning bör dock inte någon rättighet för enskilda att ha direktåtkomst till sina uppgifter införas för närva- rande. Konsekvenserna av införandet av en sådan rättighet kan näm- ligen inte till fullo överblickas. En sådan rättighet skulle innebära att alla vårdgivare som för elektroniska patientjournaler – oavsett stor- lek och oavsett vilka tekniska förutsättningar de har – skulle vara skyldiga att ge sina patienter en sådan åtkomst. I nuläget saknas det förutsättningar att ålägga samtliga vårdgivare en sådan skyldighet och det är därför inte möjligt att införa en rättighet till direktåtkomst. I stället skall den vårdgivare som anser sig kunna ge sina patienter direktåtkomst under fullgod säkerhet få lov att göra det.

Enligt vår uppfattning bör direktåtkomsten få avse sådana upp- gifter som omfattas av vårt förslag om personuppgiftsbehandling för ändamålet vårddokumentation (se avsnitt 8.2.3). Det är dock vård- givaren som avgör i vilken utsträckning sådana uppgifter skall göras tillgängliga för patienterna. Som nämnts tidigare behöver ju direkt- åtkomsten inte avse samtliga uppgifter om en patient. En vårdgivare har alltså möjlighet att begränsa direktåtkomsten till vissa uppgifter.

Vi har i avsnitt 12 föreslagit en uttrycklig skyldighet för vårdgivare att dokumentera all elektronisk åtkomst till patientuppgifter. Som redogjorts för där utgör åtkomsthistoriken (eller logglistorna) inom den allmänna hälso- och sjukvården allmänna handlingar som patien- ter kan begära utlämnade med stöd av bestämmelserna i 2 kap. tryck- frihetsförordningen. Någon rätt för patienter att få logglistor från den enskilda hälso- och sjukvården finns däremot inte. Något hinder mot att lämna ut sådana listor på grund av sekretess eller tystnads- plikt torde normalt inte finnas.

Vi har i det tidigare nämnda avsnittet framhållit betydelsen av att patienter kan få information om vilken elektronisk åtkomst som före- kommit till uppgifter om honom eller henne. Vi har också föreslagit en bestämmelse som ger patienter rätt att på begäran få informa- tion om sådan åtkomst. De skäl som vi anfört för en sådan bestäm- melse talar också för att det bör vara tillåtet för vårdgivare att ge sina patienter direktåtkomst till logglistor som avser elektronisk åtkomst till uppgifter om dem.

Som framgått tidigare innebär vårt förslag i avsnitt 8.7 att direkt- åtkomst till personuppgifter som behandlas enligt patientdatalagen bara får förekomma i den utsträckning som anges i lag eller för- ordning. För att den nu föreslagna direktåtkomsten skall bli tillåten krävs därför att en bestämmelse härom tas in i patientdatalagen. Vi

388

SOU 2006:82

Direktåtkomst för patienten

föreslår alltså att det i patientdatalagen anges att en vårdgivare får medge en enskild direktåtkomst till sådana uppgifter om den enskil- de som behandlas för det ändamål som vi i avsnitt 8.2.3 betecknar vårddokumentation. För att understryka att en sekretessprövning är nödvändig i samband med att uppgifter görs tekniskt åtkomliga för patienten anges att det är fråga om uppgifter ”som får lämnas” ut till den enskilde.TPF3FPT Vidare får den enskilde under samma förutsätt- ningar medges direktåtkomst till logglistor som avser elektronisk åtkomst till uppgifter om den enskilde.

Enligt vår uppfattning krävs vissa säkerhetsåtgärder för att vård- givare skall kunna medge sina patienter direktåtkomst till patient- uppgifter. Det måste t.ex. finnas tillräckligt säkra tekniska lösningar för att säkerställa identifieringen av den som efterfrågar uppgifter. Vidare bör det finnas tekniska lösningar att spärra uppgifter som inte kan lämnas ut till en patient på grund av de är sekretessbelagda eller omfattas av tystnadsplikt i förhållande till patienten. Det är inte möj- ligt att i lag precisera de krav som bör ställas. Vi föreslår därför att regeringen, eller efter bemyndigande, Socialstyrelsen efter samråd med Datainspektionen får meddela föreskrifter om de krav på säker- hetsåtgärder som skall gälla vid direktåtkomst för enskilda.

Enligt 7 § andra stycket patientjournallagen skall det antecknas i patientjournalen om en journalhandling eller en avskrift eller kopia av handlingen har lämnats ut till någon. I sådant fall skall antecknas vem som har fått handlingen och när denna har lämnats ut. Våra för- slag innebär att bestämmelsen förs över oförändrad till patientdata- lagen. Som framgått av avsnitt 11.8 föreslår vi att bestämmelsen inte skall gälla vid utlämnande genom direktåtkomst. Detta gäller även i fråga om patienters direktåtkomst.

3TP PT Se Lagrådets yttrande i prop. 2000/01:33 (s. 349).

389

14Överföring av personuppgifter i individinriktad verksamhet

14.1Vårt uppdrag m.m.

På skäl som redovisas i avsnitt 9.4 har vi kommit till ståndpunkten att det inte bör införas en lagreglerad skyldighet för vårdgivare att på någon nivå eller inom något område föra patientjournal i en enda sammanhållen patientjournal för varje patient. Enligt våra direktiv skall vi – om vi kommer till denna slutsats – granska och analysera förutsättningarna i övrigt för att överföra personuppgifter mellan verksamheter inom allmän och enskild hälso- och sjukvård. För- slag till reglering skall lämnas. Överföring av personuppgifter mellan verksamheter inom allmän och enskild hälso- och sjukvård kan emel- lertid ske för skiftande ändamål. I detta avsnitt behandlar vi några generella frågeställningar som gäller informationsutbytet i det indi- vidinriktade arbetet, dvs. i den direkta patientvården. När det gäller rättsliga frågor kring informationsutbyte i vårdsyfte handlar dessa om, för det första, i vad mån personuppgifterna alls får lämnas ut och, för det andra, på vilket sätt uppgifterna får lämnas ut; får över- föring ske med användning av elektronisk informationsteknik eller inte?

Våra förslag om sammanhållen journalföring utgör i detta sam- manhang en genomgripande nyordning i regleringen av utbytet av känsliga och sekretessbelagda personuppgifter mellan verksamheter inom hälso- och sjukvården. Förenklat och i sammanfattning inne- bär nyordningen ett system för gränsöverskridande lösningar för elektronisk direktåtkomst till personuppgifter där hälso- och sjuk- vårdssekretessen inte gäller mellan de samarbetande vårdgivarna så länge syftet är patientvård. I stället gäller andra krav, bl.a. att patien- ten skall lämna sitt samtycke till att en läkare eller annan befattnings- havare använder direktåtkomsten och tittar i t.ex. ett annat landstings journalhandlingar. Genom förslagen skapas klara rättsliga förut- sättningar för sådan allmän och enskild hälso- och sjukvård som ofta interagerar att samverka i den direkta patientvården genom en

391

Överföring av personuppgifter i individinriktad verksamhet

SOU 2006:82

modern och smidig informationshantering. Denna kan för övrigt anpassas till verksamhetsmässiga eller lokala förhållanden. En när- mare redogörelse för våra överväganden när det gäller den samman- hållna journalföringen finns i avsnitt 11.

Med tanke på dagens flora av inkompatibla journalsystem, osäkra ekonomiska förutsättningar, ofullständigt genomförd datorisering, problem med säkerhetslösningar och en rad andra faktorer kan det dock komma att dröja innan olika former av sammanhållen journal- föring blir vanlig. Vi har därför ställt oss frågan om det finns anled- ning att lämna ytterligare förslag – utöver vad som följer av den sam- manhållna journalföringen – rörande regleringen av den överföring av personuppgifter som sker i hälso- och sjukvårdens individinriktade verksamhet.

Till den individinriktade hälso- och sjukvårdsverksamheten an- knyter den kommunala omsorgen om äldre samt om personer med fysiska eller psykiska funktionshinder som formellt sett utgör social- tjänst men som i praktiken ofta bedrivs integrerat med kommunal hälso- och sjukvård.

Under vårt arbete har i olika sammanhang – bl.a. vid studiebesök på vårdinrättningar och samråd med företrädare för Nationell Psykiatrisamordning – påtalats att lagstiftningen försvårar samver- kan mellan kommun och landsting när det främst gäller äldre och dem med psykiskt funktionshinder eller sjukdom som behöver stöd och insatser i form av både hälso- och sjukvård och socialtjänst. Problemen gäller både i den individinriktade verksamheten som be- handlas i detta avsnitt och i sådan övergripande verksamhetsupp- följning som vi kommer att behandla i avsnitt 15.

Något mandat i fråga om socialtjänstverksamhet har vi inte. Vi har emellertid valt att ändå beröra problemområdet i den omfattning som vi funnit utrymme för inom ramen för våra direktiv.

I det följande redogör vi i avsnitt 14.2 i korthet för de nuvarande möjligheterna att överföra personuppgifter i det individinriktade samarbetet sinsemellan vårdgivare samt i samarbetet inom vård och omsorg. Vi har vidare konstaterat att flera frågor redan har utretts grundligt av bl.a. Offentlighets- och sekretesskommittén (OSEK), som i sitt huvudbetänkande Ny sekretesslag, SOU 2003:99, lämnat flera förlag av betydelse i sammanhanget. I avsnitt 14.3 redogör vi för några av OSEK:s förslag. Våra överväganden redovisar vi i av- snitt 14.4.

Redan här vill vi emellertid beröra en specialfråga som vi enligt direktiven skall utreda och som har direkt betydelse i den individ-

392

SOU 2006:82

Överföring av personuppgifter i individinriktad verksamhet

inriktade hälso- och sjukvården. Frågan gäller om förskrivare av patientsäkerhetsskäl skall kunna få information om andra förskri- vare som en patient haft kontakt med under senare tid för att med denne kunna diskutera patientens läkemedelssituation inför en ny läkemedelsförskrivning. Enligt direktiven skall vi överväga vilken information som behövs och lämna förslag som krävs för att en tidigare förskrivare skall kunna kontaktas.

Sammanhållen journalföring som omfattar läkemedelsordinationer och -förskrivningar, aktuella läkemedelslistor m.m. kommer rim- ligen att ge förskrivare mer information om tidigare förskrivare. På så sätt ökar möjligheterna för en förskrivare att ta kontakt med en tidigare förskrivare. Något heltäckande system blir det dock troligen inte fråga om inom överskådlig tid. Man måste också beakta att patienten kan ha begärt att journaluppgifter om förskrivna läkemedel spärras.

Det ter sig mot denna bakgrund naturligt att överväga en regle- ring i lagen (2005:258) om läkemedelsförteckning, som innehåller en heltäckande registrering av receptförskrivna och uthämtade läke- medel. I vårt slutbetänkande kommer vi att ta upp ett antal frågor som rör läkemedelsområdet. Frågan om en ändring av lagen om läke- medelsförteckning bör lämpligen behandlas i det sammanhanget.

14.2Vad gäller idag?

14.2.1Utbyte av uppgifter inom hälso- och sjukvården i vårdsyfte

Vi har i främst avsnitt 8.2.1, 8.7.2 och 11.5.1 redogjort för de rätts- liga förutsättningarna för överföring av personuppgifter i journaler m.m. De i första hand relevanta lagarna är sekretesslagen (1980:100) och lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område som på ett teknikoberoende sätt reglerar förutsättningarna för att över huvud taget utbyta uppgifter. När det gäller sättet att utbyta uppgifter är det främst personuppgiftslagens (1998:204) all- männa bestämmelser om personuppgiftsbehandling och, beträf- fande elektroniska journaler och annan vårddokumentation, lagens (1998:544) om vårdregister (vårdregisterlagen) bestämmelser om direktåtkomst och utlämnande på medium för automatiserad be- handling som är tillämpliga.

393

Överföring av personuppgifter i individinriktad verksamhet

SOU 2006:82

Sekretesslagens bestämmelser innebär i korthet bl.a. att uppgifter om patienter normalt omfattas av hälso- och sjukvårdssekretess med ett omvänt skaderekvisit. Sekretessen innebär som huvudregel att uppgifter får lämnas över en sekretessgräns bara om den enskilde går med på det eller en s.k. menprövning leder till bedömningen att det står klart att uppgiften kan lämnas utan att den enskilde eller någon honom eller henne närstående lider men. Därutöver finns vissa särskil- da begränsningar i sekretessen i form av uppgiftsskyldighet (14 kap. 1 § sekretesslagen) eller andra undantag från sekretessen (t.ex. i 14 kap. 2 § samma lag).

För en närmare belysning av sekretessregleringen hänvisas till av- snitt 11.5.1. Av den redovisningen framgår att det redan i dag finns ett ganska stort utrymme att i vårdsyfte utbyta uppgifter över sekre- tessgränser även utan ett uttryckligt eller underförstått samtycke från patienten, i vart fall då det inte rör särskilt känsliga uppgifter från t.ex. den psykiatriska vården. Har den enskilde däremot uttryck- ligen motsatt sig ett utbyte, kan en menprövning knappast leda till bedömningen att uppgifter kan lämnas ut ens om uppgifterna fram- står som klart mindre ömtåliga. Huruvida mottagaren tillhör den allmänna eller enskilda hälso- och sjukvården bör enligt vår upp- fattning inte ha betydelse för resultatet av en menprövning, så länge mottagaren behöver uppgiften i vårdsyfte.

Vi har i avsnitt 11.5.3 förklarat att vi ansluter oss till bl.a. OSEK:s bedömning att det inte finns några sekretessgränser mellan olika hälso- och sjukvårdsverksamheter som bedrivs inom samma myn- dighet, dvs. lyder under samma nämnd inom ett landsting eller en kommun. Det innebär att någon prövning enligt sekretesslagen inte behöver göras när uppgifter överförs mellan olika vårdinrättningar, t.ex. från ett sjukhus till en vårdcentral, så länge som dessa sorterar under samma nämnd. Detsamma gäller om det handlar om överfö- ring av uppgifter från en psykiatrisk klinik till en somatiskt inriktad vårdenhet inom samma myndighet. Även om någon prövning enligt sekretesslagen inte är aktuell har patienten alltid ett inflytande över tillgängligheten till uppgifter om honom eller henne inom en vård- givares gränser. Att så är fallet följer bl.a. av föreskriften i 2 a § hälso- och sjukvårdslagen (1982:763) om att verksamheten skall bygga på respekt för patientens självbestämmande och integritet och så långt det är möjligt utföras och genomföras i samråd med patienten.

I en del landsting och kommuner är hälso- och sjukvården emel- lertid indelad på flera sektorer som organisatoriskt hör till olika nämnder som sinsemellan är självständiga myndigheter. Hälso- och

394

SOU 2006:82

Överföring av personuppgifter i individinriktad verksamhet

sjukvården kan t.ex. sortera under olika distriktsnämnder. Likaså kan t.ex. tandvård tillhöra en nämnd, psykiatri en annan, sjukhusvård en tredje osv. Vidare kan viss hälso- och sjukvård ha bolagiserats i så- dana kommunala företag som avses i 1 kap. 9 § sekretesslagen. I dessa fall finns sekretessgränser mellan de olika nämndernas och kom- munala företagens vårdinrättningar. Dessa kan alltså inte utbyta upp- gifter utan en föregående sekretessprövning.

Sedan några år har sjukvårdshuvudmännen, dvs. landstingen och kommunerna, möjligheter att samverka kring uppgifter enligt hälso- och sjukvårdslagen (1982:763) i gemensamma nämnder, se lagen (2003:192) om gemensam nämnd inom vård- och omsorgsområdet, eller i kommunalförbund, se 3 kap. 20 § kommunallagen (1991:900). I en sådan gemensam nämnd eller ett förbund torde det som regel inte finnas någon sekretessgräns mellan olika hälso- och sjukvårds- verksamheter inom nämnden eller förbundet även om verksamhe- terna ursprungligen tillhört olika huvudmän.

När det gäller på vilket sätt uppgifter får utbytas följer av 3, 4 och 9 §§ vårdregisterlagen att det inte finns något hinder mot att upp- gifter i vårdregister lämnas ut på medium för automatiserad behand- ling, om det sker i vårdsyfte och förutsatt att det sker under säker- hetsmässigt godtagbara former.

Beträffande direktåtkomst till vårdregister finns en bestämmelse i 8 § vårdregisterlagen som närmare berörts i avsnitt 8.5 och 8.7. Här skall kort bara anges att bestämmelsen syftar till att reglera hur befattningshavare inom en vårdgivare får ges åtkomst till vårdgi- varens vårdregister (prop.1997/98:108 s. 77 och 99). Som berörts främst i avsnitt 11.4 och 11.5 är det i första hand tryckfrihetsför- ordningens och sekretesslagens bestämmelser som utgör ett rättsligt problem när det gäller uppgiftsutbyte över gränser genom direkt- åtkomst.

14.2.2Särskilt om uppgiftsutbyte inom området vård och omsorg

Såsom kortfattat beskrivits i avsnitt 2.1 är huvudmannaskapet för hälso- och sjukvården sedan början av 1990-talet delat mellan lands- tingen och kommunerna.

Genom den s.k. Ädelreformen fick kommunerna skyldighet att inrätta särskilda boendeformer för service och omvårdnad för äldre och att inrätta bostäder med särskild service för funktionshindrade.

395

Överföring av personuppgifter i individinriktad verksamhet

SOU 2006:82

Denna skyldighet reglerades i den då gällande socialtjänstlagen (1980:620). I samband med reformen övertog kommunerna från landstingen ett stort antal långvårdshem och gruppboenden. Även dagverksamheter för äldre och handikappade övertogs. Parallellt med denna förflyttning från landstingens hälso- och sjukvård till kom- munernas socialtjänst, fick kommunerna också ansvaret för att till- handahålla hälso- och sjukvård åt dem som bor i särskilda boende- former och bostäder eller som vistas i dagverksamhet enligt reglering som infördes i hälso- och sjukvårdslagen. Kommunerna fick även befogenhet att erbjuda hälso- och sjukvård till dem som bor hemma (hemsjukvård). Skyldigheten att erbjuda hemsjukvård åvilar emellertid fortfarande landstingen. Genom särskild överenskommelse och med regeringens medgivande kan kommunerna dock överta denna skyl- dighet. Ingen kommunal hälso- och sjukvård på detta område får omfatta läkarvård. Ädelreformen innebar även att kommunerna fick ett betalningsansvar för personer som blivit medicinskt färdigbe- handlade i sluten vård, numera kallade utskrivningsklara patienter, se lagen (1990:1404) om kommunernas betalningsansvar för viss hälso- och sjukvård.

Efter Ädelreformen har ytterligare reformer genomförts av bety- delse för vård och omsorgsområdet. Nämnas kan handikappreformen som bl.a. ledde till införandet av lagen (1993:387) om stöd och ser- vice till vissa funktionshindrade samt psykiatrireformen år 1995 som gav kommunerna ett ökat ansvar för insatser till långvarigt psykiskt sjuka.

Ett av de uttalade syftena med reformerna har varit att skapa ett bättre och mer samlat omhändertagande av äldre och andra personer med sammansatta behov av både medicinska och sociala insatser. Samtidigt har det ända sedan reformerna infördes påtalats fortsatta brister i omhändertagandet. En av flera brister som framhållits rör svårigheter i informationsutbytet inom vården och omsorgen med anledning av att ett gott och samlat omhändertagande ofta är beroen- de av stöd och insatser från både landsting och kommuner samt privata vårdgivare eller privata entreprenörer som driver särskilda äldreboenden m.m. För att förbättra samarbetet skärptes år 2003 kraven på aktörerna att göra en samlad vårdplanering av medicinska och sociala insatser för patienter i slutenvård som blivit utskriv- ningsklara. Samtidigt infördes den ovan nämnda lagen om gemen- sam nämnd inom vård- och omsorgsområdet för att ytterligare för- bättra samarbetet. Hösten 2005 hade enligt uppgift från Sveriges Kommuner och Landsting bara ett fåtal gemensamma nämnder för

396

SOU 2006:82

Överföring av personuppgifter i individinriktad verksamhet

både hälso- och sjukvård och socialtjänst bildats i landet. Något fler gemensamma nämnder finns på området hjälpmedel och rehabilite- ring åt funktionshindrade

Ett kvarstående problem är de sekretessgränser som finns mellan hälso- och sjukvårdverksamheter som bedrivs av de inblandade aktö- rerna. Ett ytterligare problem är att också socialtjänstverksamhet inbegrips i vården och omsorgen. Det kan t.ex. få till konsekvens att en sekretessgräns uppstår inom en kommunal nämnd mellan den del av verksamheten som avser hälso- och sjukvård och den del som avser socialtjänst, trots att verksamheten i praktiken drivs inte- grerat. När det gäller den hälso- och sjukvårdsverksamhet som över- fördes till kommunerna i samband med Ädelreformen angavs visser- ligen i förarbetena att det inte finns någon sekretessgräns mellan socialtjänst och hälso- och sjukvård som organisatoriskt tillhör samma kommunala nämnd. Dessa verksamheter skall bedrivas inte- grerat och utgör komplement till varandra. Enskilda som behöver stöd och hjälp skall kunna få sådan, vare sig det rör insatser av social eller medicinsk natur, inom en samlad kommunal organisation för hälso- och sjukvård och socialtjänst. Många gånger, påtalade rege- ringen, kommer såväl medicinska som sociala insatser att ges av samma person. Den kommunala hälso- och sjukvården kan, enligt regeringen, därför inte betraktas som självständiga verksamhetsgre- nar i den mening som avses i 1 kap. 3 § andra stycket sekretesslagen (prop. 1990/91:14 s. 85). Däremot finns en sekretessgräns gentemot annan social omsorg som kommunerna ansvarar för, bl.a. sådan social- tjänst som omfattas av handikappreformen och psykiatrireformen. Dessutom finns en sekretessgräns mellan, å ena sidan, sådan hälso- och sjukvård som ett landsting för in i och, å andra sidan, sådan kommunal socialtjänst som en kommun för in i en gemensam nämnd alldeles oavsett om socialtjänsten utgör sådana sociala insatser som omfattas av Ädelreformen eller inte.

Enligt Samverksansutredningen, som utrett frågor om samverkan inom vård och omsorg, uppstår dessutom en sekretessgräns mellan landstingets hälso- och sjukvård och den kommunala hälso- och sjukvården i en gemensam nämnd (SOU 2001:114 s. 251). OSEK gör, som framgått av föregående avsnitt och avsnitt 11.5.2, en annan bedömning.

Utöver de problem i informationsflödet som beror på sekretess- gränser mellan och ibland även inom vårdgivares verksamheter, finns det i dag rättsliga problem när det gäller sättet, dvs. tekniken för in- formationsutbyte, i vart fall när det gäller överföring från hälso- och

397

Överföring av personuppgifter i individinriktad verksamhet

SOU 2006:82

sjukvården till verksamhet som utgör socialtjänst. Av vårdregister- lagen följer att det inte är tillåtet att personuppgifter i ett vårdre- gister lämnas ut elektroniskt till socialtjänsten för att användas i individinriktad vård inom socialtjänsten. Detsamma torde gälla även om personuppgiftsbehandlingen inte innebär ett utlämnande över en sekretessgräns. I den kommunala äldreomsorgen vid ett särskilt boende är det exempelvis inte förenligt med vårdregisterlagens ända- målsbestämmelser att elektroniskt överföra uppgifter från hälso- och sjukvårdverksamheten som behövs av socialtjänstpersonalen för att planera den enskildes sociala vård. Det sagda gäller även om de båda verksamheterna bedrivs integrerat i samma nämnd.

Det förekommer ändå på sina håll att vårdplanering m.m. med både hälso- och sjukvårdspersonal och socialtjänstpersonal sker med hjälp av IT-stöd, dock med ett inhämtat samtycke från patienten (se t.ex. Äldrevårdsutredningens betänkande Sammanhållen hemvård, SOU 2004:68 s 308). Någon motsvarande begränsning finns inte för det omvända flödet, dvs. från socialtjänsten till hälso- och sjuk- vården. Den personuppgiftsbehandlingen regleras av lagen (2001:454) om behandling av personuppgifter inom socialtjänsten jämte ankny- tande förordning.

Ett tredje problem som uppmärksammats är att vård- och omsorgs- dokumentationen i integrerad verksamhet styrs av olika regelverk. I en del sammanhang framförs önskemål om att dokumentation bör kunna ske i samma journal när det t.ex. gäller kommunal vård och omsorg om äldre i särskilda boendeformer och inom hemsjukvården alldeles oberoende av vem som svarar för insatsen. Såväl hälso- och sjukvårdsinsatser som sociala insatser omfattas av dokumentations- plikt. Men medan hälso- och sjukvårdspersonalens dokumentation regleras av patientjournallagen, reglerar socialtjänstlagen (2001:453) socialtjänstpersonalens sociala anteckningar.

Samverkansutredningen behandlade just denna fråga men fann stora lagtekniska svårigheter med ett gemensamt dokumentations- system för patientjournalföring och sociala anteckningar. Bl.a. därför lämnades inget förslag i frågan. Enligt Samverkansutredningen finns dock goda förutsättningar att, i samråd med den enskilde, praktiskt hantera båda slagen av information i t.ex. gemensamma pärmar på äldreboenden (SOU 2001:114 s. 256 ff.).

398

SOU 2006:82

Överföring av personuppgifter i individinriktad verksamhet

14.3OSEK:s förslag

Vi har i avsnitt 11.5.2 redogjort för OSEK:s förslag om nya sekre- tessgränser inom och mellan myndigheter som har betydelse för hälso- och sjukvårdssekretessen. Här kan erinras om att ett av för- slagen är att det inte skall finnas någon sekretessgräns mellan nämn- derna i en kommun eller ett landsting till den del verksamheterna är av samma slag. Liksom när det gäller inom en myndighet räknas all hälso- och sjukvård som verksamhet av samma slag. När det gäller OSEK:s närmare behandling av denna fråga kan hänvisas till av- snitt 12 i det tidigare nämnda bestänkandet (SOU 2003:99) främst avsnitt 12.2, s. 241 f., avsnitt 12.7.3, s. 272 och avsnitt 12.7.5, s. 277 f.

Vidare föreslås att det skall framgå av lagen när det inte skall finnas någon sekretessgräns mellan olika verksamheter som bedrivs integre- rat eller i gemensamma nämnder. I förslaget finns en bestämmelse som uttryckligen anger att det inte finns någon sekretessgräns inom en nämnd mellan den kommunala hälso- och sjukvården enligt 18 § första stycket hälso- och sjukvårdslagen och sådan socialtjänst som anges i 5 kap. 5 § andra stycket (dvs. service och omvårdnad i sär- skilda boendeformer för äldre som behöver särskilt stöd) eller 7 § tredje stycket (dvs. särskild service i inrättade bostäder för dem som till följd av fysiska, psykiska eller andra skäl behöver ett sådant boende) socialtjänstlagen. Den bestämmelsen skulle bli tillämplig t.ex. i en kommunal nämnd vari man samverkar på grund av den s.k. Ädelreformen.

Enligt OSEK är den föreslagna bestämmelsen egentligen ingen för- ändring av gällande rätt utan måste till som ett resultat av att OSEK slopat kravet på att sekretessgränser inom en myndighet bara kan finnas mellan verksamheter som är självständiga i förhållande till varandra. Enligt OSEK:s förslag skall i stället gränser inom en myn- dighet dras mellan verksamheter som är av olika slag, t.ex. hälso- och sjukvård respektive socialtjänst.

Man kan notera att OSEK:s förslag inte inbegriper hälso- och sjukvård och socialtjänst vid dagverksamhet eller i hemsjukvård, verksamheter som omfattats av Ädelreformen och som i och för sig kan drivas integrerat på sätt som förutsattes i förarbetena till Ädel- reformen. OSEK:s förslag i denna del torde således utgöra en in- skränkning i förhållande till vad som i dag gäller i fråga om sekretess- gränser i den kommunala dagverksamheten eller hemtjänsten/hem- sjukvården.

399

Överföring av personuppgifter i individinriktad verksamhet

SOU 2006:82

Ett ytterligare förslag är en uttrycklig bestämmelse som klargör att om en kommun eller ett landsting överlåtit någon del av sin verk- samhet till en gemensam nämnd eller ett kommunförbund, finns det inte någon sekretessgräns mellan en nämnd i den överlåtande kom- munen eller landstinget och den överlåtna verksamheten till den del verksamheterna är av samma slag.

När det gäller uppgiftsutbyte mellan och inom vård- och omsorgs- områdena föreslås en begränsning av sekretessen som innebär en ut- vidgning av 14 kap. 2 § sjätte stycket i den nuvarande sekretesslagen. Enligt OSEK:s förslag skall sekretess inte hindra att uppgifter om en enskild som behövs för att han eller hon skall få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården eller socialtjänsten till en annan sådan myn- dighet eller till enskild vårdgivare eller enskild verksamhet på social- tjänstens område. OSEK har som skäl till de utökade möjligheterna anfört att det av patientsäkerhetsskäl är väsentligt att nödvändiga uppgifter om en patient finns tillgängliga vid ett vårdtillfälle även då patientens samtycke inte kan inhämtas eller patienten motsätter sig att uppgifter lämnas ut (a. bet. s. 296 f.). Enligt OSEK är förslaget ett undantag från det sekretesskydd som den enskilde har enligt sek- retesslagen som måste användas med urskillning och varsamhet. I första hand bör samtycke även fortsättningsvis utverkas. Det kan här nämnas att OSEK övervägde men valde bort några alternativa modeller för att underlätta uppgiftsutbytet inom vård och omsorgs- området.

Slutligen skall här erinras om OSEK:s förslag om reglering i sekre- tesslagen av den inre sekretessen inom en myndighet eller annat om- råde inom vilket det inte finns någon sekretessgräns. Det förslaget har vi närmare redogjort för i avsnitt 12.3.

14.4Våra överväganden och förslag

14.4.1Sekretessfrågor

Våra förslag: Två nya sekretessbrytande undantag från hälso- och sjukvårdssekretessen införs i sekretesslagen. Bestämmelserna syftar i allt väsentligt till att underlätta samarbetet i den individ- inriktade patientverksamheten. Förslagen är i huvudsak en in- arbetning i nu gällande sekretesslag av några av OSEK:s förslag på hälso- och sjukvårdens område.

400

SOU 2006:82

Överföring av personuppgifter i individinriktad verksamhet

Innebörden av de båda sekretessbrytande undantagen är följan- de.

1.Hälso- och sjukvårdssekretess enligt 7 kap. 1 c § första stycket sekretesslagen hindrar inte att en uppgift lämnas från en myn- dighet inom hälso- och sjukvården i en kommun eller ett lands- ting till en annan sådan myndighet i samma kommun eller landsting.

2.Om den enskilde på grund av sitt hälsotillstånd eller av annat skäl inte kan samtycka till att en uppgift lämnas ut, hindrar hälso- och sjukvårdssekretess enligt 7 kap. 1 c § första stycket sekretesslagen inte att en uppgift om honom eller henne som behövs för att han eller hon skall få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område.

Båda bestämmelserna införs i den av oss tidigare föreslagna 7 kap. 1 d § sekretesslagen, se avsnitt 11.5.

Med våra förslag om sammanhållen journalföring finns potential att i det dagliga vårdarbetet komma till rätta med flera av de problem som sekretesslagen och motsvarande bestämmelser i lagen om yrkes- verksamhet på hälso- och sjukvårdens område orsakar. På vård- och omsorgsområdet framstår det som särskilt lämpligt med samman- hållen journalföring för de samlade hälso- och sjukvårdsinsatserna. Samtidigt är förslagen en speciallösning som inte löser de generella problemen med sekretessgränser i hälso- och sjukvården där patien- ter alltmer hamnar i vårdprocesser med flera aktörer inblandade.

Man kan inte bortse från att hälso- och sjukvårdssekretessen orsa- kar en del svårigheter i informationsutbytet inom hälso- och sjuk- vården och i samarbetet inom området vård och omsorg.

Samtidigt visar en genomgång av rättsläget att det faktiskt finns stora möjligheter att utbyta uppgifter i åtminstone den individ- inriktade verksamheten, både inom och mellan myndigheter inom vård och omsorg och privata vårdgivare. Till viss del är de påtalade sekretesshindren i informationsutbytet mera upplevda bland hälso- och sjukvårdspersonalen än rättsligt grundade. Osäkerhet om vad som verkligen gäller och rädslan för att göra fel verkar vara utbredd. För säkerhets skull tillämpas ibland väsentligen snävare sekretess-

401

Överföring av personuppgifter i individinriktad verksamhet

SOU 2006:82

gränser än vad som är juridiskt korrekt. Detta vållar givetvis bekym- mer i den dagliga verksamheten på många håll. Vi vill emellertid framhålla att personalens inställning är i hög grad respektabel dels med tanke på integritetskänsligheten i den information som han- teras, dels med tanke på att sekretessregleringen omfattar ett mycket komplext område. Det kan därför inte nog understrykas hur viktigt det är att personal, som inte är rättsligt skolad, får utbildning i ämnet och att det finns stöd i råd m.m. som är konkreta och anpassade för just den verksamhet som personalen arbetar inom.

Ibland har föreslagits att sekretessgränserna inom hälso- och sjuk- vården helt bör slopas eller att ett rakt skaderekvisit bör gälla mellan myndigheter inom hälso- och sjukvården och i förhållande till privata vårdgivare. Vi menar att det första alternativet inte är förenligt med patienternas berättigade krav på integritetsskydd. Beträffande det andra alternativet kan man, såsom OSEK påpekat, även fråga sig i vad mån möjligheterna till uppgiftsutbyte verkligen skulle öka med ett rakt skaderekvisit i stället för ett omvänt. Redan i dag kan upp- gifter som inte är av alltför känslig natur i allmänhet utbytas mellan myndigheter inom hälso- och sjukvården och även socialtjänstens omsorg, om inte den enskilde motsatt sig det. I sådana fall står det nämligen ofta klart att utbytet kan ske utan men för den enskilde. Ömtåligare uppgifter torde inte bli lättare att lämna ut med ett rakt skaderekvisit. Menbegreppet är ju detsamma vare sig det är ett rakt eller ett omvänt skaderekvisit (SOU 2003:99 s. 298). Vi tror vidare att det skulle innebära tillämpningsproblem för den praktiserande hälso- och sjukvården att ha olika skaderekvisit för olika slags mot- tagare. Skulle man vidare inskränka det raka skaderekvisitet att bara gälla för ett visst ändamål, vårdsyfte, torde tillämpningsproblemen bli än större. Sammantaget finner vi inte skäl att föreslå några genom- gripande och generella lättnader i hälso- och sjukvårdssekretessen utöver den vi föreslagit i samband med den sammanhållna journal- föringen.

Vi konstaterar dessutom att OSEK:s förslag, som fortfarande är under beredning i Regeringskansliet, är väl ägnade att lösa många av de omotiverade sekretessgränser och problem som uppstått på grund av den fria kommunala nämndorganisationen och problemen i upp- giftsutbytet mellan vård- och omsorgsområdena i det individinrik- tade arbetet.

Ett problem med OSEK:s förslag är emellertid att de är inarbetade i ett större förslag till en helt ny sekretesslag som bryter upp den gamla lagens struktur och inför nya lagtekniska lösningar och ny

402

SOU 2006:82

Överföring av personuppgifter i individinriktad verksamhet

terminologi. När en ny sekretesslag kan komma att införas är ännu osäkert.

Vi har därför funnit anledning att diskutera i vad mån och i så fall hur förslagen skulle kunna inarbetas i den nu gällande sekretesslagen. Vi har dock begränsat oss till den del som enbart rör uppgiftsflödet inom hälso- och sjukvården eller från hälso- och sjukvården till socialtjänsten. Hur socialtjänsten skall få hantera sin information i individinriktad faktisk verksamhet ligger klart utanför våra direktiv och kräver särskilda överväganden.

Sekretessgränser

Till en början konstaterar vi att det inte bör införas någon bestämmel- se om att det inte finns någon sekretessgräns mellan hälso- och sjuk- vårdsverksamheter som bedrivs inom samma myndighet. Det följer redan av gällande rätt enligt vår uppfattning. En uttrycklig bestäm- melse om detta skulle vidare strida mot den allmänna systematiken i den nuvarande sekretesslagen. Denna bygger på att sekretessgränser inom en myndighet bara finns mellan verksamhetsgrenar som är att betrakta som självständiga i förhållande till varandra (1 kap. 3 § andra stycket sekretesslagen).

Däremot menar vi att det bör, såsom OSEK föreslagit, införas en sekretessbrytande bestämmelse som i praktiken undanröjer hälso- och sjukvårdssekretessen mellan olika myndigheter inom hälso- och sjukvården i samma landsting eller kommun. Inte minst på hälso- och sjukvårdens område har den fria kommunala nämndorganisa- tionen medfört tillämpningsproblem inom kommuner och landsting där organisatoriska nyordningar fått till följd att nya sekretessgränser uppstått i verksamheter som tidigare varit ett enda sekretessområde. Det har inneburit otillfredsställande hinder i en verksamhet inom kommuner och landsting som sakligt sett hör samman men som for- mellt lagts under olika nämnder utifrån helt andra bevekelsegrunder än de som bär upp att hälso- och sjukvårdssekretess skall gälla även mellan myndigheter.

Vi föreslår mot bakgrund av det sagda en bestämmelse som före- skriver att hälso- och sjukvårdssekretessen enligt 7 kap. 1 c § första stycket sekretesslagen inte hindrar att en uppgift lämnas från en myndighet inom hälso- och sjukvården i en kommun eller ett lands- ting till en annan sådan myndighet i samma kommun eller landsting. Bestämmelsen bör lämpligen införas i den nya paragraf 7 kap. 1 d §

403

Överföring av personuppgifter i individinriktad verksamhet

SOU 2006:82

sekretesslagen som vi tidigare föreslagit och som, enligt vårt förslag, redan innehåller sekretessbrytande undantag från hälso- och sjuk- vårdssekretessen, se vårt tidigare förslag i avsnitt 11.5.3. Även om ingen sekretess gäller mellan hälso- och sjukvårdsmyndigheter i samma landsting eller kommun måste emellertid en patients uttryck- liga önskemål om att uppgifter om honom eller henne inte fritt skall lämnas till en annan myndighet normalt respekteras på motsvaran- de sätt som gäller mellan olika kliniker osv. inom en myndighet, se kapitel 12.

Vi gör bedömningen att det inte krävs ett förtydligande av vad som skall gälla i förhållande till sådana kommunala företag i samma kommun eller landsting som avses i 1 kap. 9 § sekretesslagen. Sådana företag anses nämligen jämställda med myndigheter vid tillämpning av sekretesslagen.

När det gäller förhållandet till den del av en kommuns eller ett landstings hälso- och sjukvård som överlåts till en gemensam nämnd och den del av hälso- och sjukvården som ligger kvar i kommunen eller landstinget har vi dock ansett det mindre lämpligt från lagteknisk synpunkt att inarbeta OSEK:s förslag i den nuvarande sekretess- lagen.

Beträffande sekretessgränsen mellan den kommunala hälso- och sjukvården och socialtjänsten i integrerade verksamheter anser vi att det inte behövs en reglering för att inarbeta OSEK:s förslag om att uttryckligen ange att det inte finns någon sekretessgräns inom en myndighet mellan kommunal hälso- och sjukvård och social- tjänst som bedrivs integrerat i samma nämnd enligt Ädelreformen. Som vi redovisat ovan torde gällande rätt innebära att det inte finns någon sådan sekretessgräns. OSEK:s bestämmelse härom syftar när- mast till att undanröja effekten av kommitténs generella förslag om att införa en sekretessgräns inom myndigheter mellan verksamheter av olika slag – t.ex. hälso- och sjukvårdsverksamhet i förhållande till socialtjänstverksamhet – i stället för mellan självständiga verksam- hetsgrenar. En uttrycklig bestämmelse i den nuvarande sekretess- lagen enbart för att klargöra det nuvarande rättsläget ter sig inte välmotiverad och riskerar att skapa förvirring på andra områden där motsvarande klargöranden saknas. För att inte inskränka gällande rätt skulle vidare också förhållandet mellan dels kommunal hemsjuk- vård och hemtjänst, dels kommunal hälso- och sjukvård och omsorg i dagverksamhet behöva omfattas av en uttrycklig reglering.

404

SOU 2006:82

Överföring av personuppgifter i individinriktad verksamhet

Sekretessgenombrott inom vård- och omsorg

Vi ansluter oss till OSEK:s bedömning, se ovan, att det av patient- säkerhetsskäl behövs en bestämmelse om sekretessgenombrott inom vård- och omsorgsområdet för att en enskild skall kunna få nödvän- dig vård, omsorg m.m.. Vi föreslår därför att det införs ett undantag från hälso- och sjukvårdssekretessen i 7 kap. 1 c § sekretesslagen som innebär att sekretess inte hindrar att en uppgift om en enskild som behövs för att han eller hon skall få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område. (Som tidigare sagts har vi inget mandat att föreslå lättnader i fråga om uppgiftslämnande från socialtjänsten.)

Vi ansluter oss också i huvudsak till OSEK:s bedömning att den enskildes samtycke i första hand skall utverkas. Vidare anger OSEK att bestämmelsen måste användas med urskillning och varsamhet då det framstår som direkt påkallat att bistå en enskild och den en- skilde kan antas motsätta sig ett utlämnande eller att saken brådskar så att tid inte finns att inhämta samtycke (SOU 2003:99 s. 299 och 453). Samma motivering finns redan i tidigare förarbeten till den nuvarande bestämmelsen i 14 kap. 2 § sjätte stycket sekretesslagen för uppgiftsutbyte inom hälso- och sjukvård och socialtjänst avseen- de personer med missbruksproblem, barn som far illa och gravida i vissa fall (prop. 1990/91:111 s. 41). I remisshanteringen av OSEK:s betänkande fick förslaget till utvidgning av nuvarande 14 kap. 2 § sjätte stycket sekretesslagen viss kritik av en del remissinstanser just för att det av lagtexten inte framgår att bestämmelsen är tänkt att tillämpas på detta sätt.

Även vi anser att det finns skäl att göra ett förtydligande i linje med det sagda. Vi föreslår därför att sekretessgenombrottet skall gälla bara om den enskilde på grund av sitt hälsotillstånd eller av annat skäl inte kan samtycka till att uppgifter lämnas ut. Vårt förslag till tilläggs- rekvisit torde därmed medföra en viss skärpning i förhållande till vad som framgår av OSEK:s förslag och nyss redovisade motivering.

Vårt förslag tar i huvudsak sikte på patienter som på grund av hälsorelaterat skäl inte kan samtycka eller som annars inte har be- slutsförmåga. Viljan hos den patient som klart och utan inflytande av en allvarlig psykisk störning eller liknande motsätter sig ett upp- giftsutlämnande skall däremot respekteras. Rekvisitet är i det fallet

405

Överföring av personuppgifter i individinriktad verksamhet

SOU 2006:82

inte uppfyllt. Vi menar att detta är ett rekvisit som är väl förenligt med bestämmelserna i 2 a § i hälso- och sjukvårdslagen om att hälso- och sjukvård skall bygga på respekt för patientens självbestämmande och integritet samt att vården och behandlingen så långt möjligt skall utformas och genomföras i samråd med patienten. Här kan pekas på att det för närvarande pågår en utredning, Utredningen om skydds- åtgärder inom vård och omsorg för personer med nedsatt besluts- förmåga (S 2005:02, dir. 2005:11) som bl.a. skall se över frågor om t.ex. på vilket sätt och med vilka kriterier man skall fastställa att en person har bristande beslutsförmåga. Resultatet av den utredningens arbete kan komma att få betydelse för tolkningen av det rekvisit vi föreslår, i vart fall i fråga om dementa patienter. Det kan även pekas på att Utredningen om förmyndare, gode män och förvaltare har lämnat förslag av betydelse när det gäller patienter med bristande beslutsförmåga (SOU 2004:112).

Vi har ovan angett att OSEK:s förslag är en utvidgning av nuva- rande 14 kap. 2 § sjätte stycket sekretesslagen. Den paragrafen rör emellertid enbart utlämnande till myndigheter. Vi menar – eftersom förslaget gäller utlämnande också till enskild, dvs. privat vårdgivare eller privat verksamhet på socialtjänstens område, – att vårt förslag till bestämmelse lämpligen bör tas in i den nya paragraf i sekretess- lagen som vi föreslår, 7 kap. 1 d § sekretesslagen.

14.4.2Elektroniskt utlämnande av personuppgifter m.m.

Vårt förslag och vår bedömning: En bestämmelse införs i patient- datalagen som anger att myndigheter inom samma landsting eller kommun får ha direktåtkomst till varandras personuppgifter.

Utöver de bestämmelser om elektroniskt utlämnande genom direktåtkomst som vi föreslagit här och i samband med den sam- manhållna journalföringen samt i fråga om patienters möjlighe- ter att ta del av uppgifter om sig själva finns inte skäl att föreslå ytterligare bestämmelser om direktåtkomst i patientdatalagen. Våra tidigare förslag om annat utlämnande av personuppgifter på medium för automatiserad behandling än direktåtkomst, se av- snitt 8.7, innebär att personuppgifter får lämnas elektroniskt från hälso- och sjukvården till bl.a. sådan socialtjänst som avses i 7 kap. 4 § tredje stycket sekretesslagen, förutsatt att utlämnandet som sådant är en tillåten personuppgiftsbehandling.

406

SOU 2006:82

Överföring av personuppgifter i individinriktad verksamhet

Direktåtkomst mellan nämnder i samma landsting eller samma kommun

I avsnitt 8.7.3 har vi redovisat att för personalens möjligheter att elek- troniskt bereda sig tillgång till personuppgifter som finns elektroniskt tillgängliga i en vårdgivares organisation används i patientdatalagen begreppet elektronisk åtkomst. Med begreppet direktåtkomst avses i patientdatalagen en speciell form av elektroniskt utlämnande till en extern mottagare. Direktåtkomst kan tekniskt och organisatoriskt lösas på lite olika sätt; sätt som kan vara mer eller mindre lika den lösning för elektronisk åtkomst som finns inom en vårdgivares orga- nisation. Gemensamt för olika möjliga lösningar för direktåtkomst är att den utlämnande vårdgivaren inte fattar ett beslut om överfö- ring och gör en sekretessprövning varje gång mottagaren tar del av en uppgift genom användning av direktåtkomsten. Direktåtkomst till personuppgifter som behandlas enligt patientdatalagen får enligt vårt förslag bara förekomma i den utsträckning som anges i lag eller förordning. När det gäller annat elektroniskt utlämnande än direkt- åtkomst får det ske, om utlämnandet som sådant är en tillåten per- sonuppgiftsbehandling.

Vi har i avsnitt 14.4.1 föreslagit en sekretessbrytande bestämmelse om att hälso- och sjukvårdssekretess inte hindrar att en uppgift läm- nas ut från en myndighet inom hälso- och sjukvården i en kommun eller ett landsting till en annan sådan myndighet i samma kommun eller samma landsting.

Vårt förslag till sekretessgenombrott upphäver emellertid inte sekretessgränserna mellan sådana nämnder i ett landsting eller i en kommun. Det sagda innebär bl.a. att det fortfarande är fråga om ett utlämnande enligt tryckfrihetsförordningens och sekretesslagens mening när uppgifter utbyts mellan nämnderna. En särskild bestäm- melse som tillåter nämnderna att ha direktåtkomst till varandras per- sonuppgifter behövs därför. En sådan bestämmelse är i konsekvens med motiven till sekretessgenombrottet och innebär att patientdata- lagen inte parallellt med förslaget i sekretessdelen uppställer nya hinder för uppgiftsutbytet inom sådana landsting och kommuner som valt att dela upp hälso- och sjukvårdsverksamheten mellan olika nämnder. Stora tillämpningsproblem torde i annat fall kunna uppstå. Då skulle uppgiftsflöde genom direktåtkomst mellan nämnderna i ett sådant landsting eller kommun enbart få ske med stöd av våra förslag om sammanhållen journalföring. Vad skulle då gälla när ett landsting, som satsat på att införa ett journalsystem under en nämnd,

407

Överföring av personuppgifter i individinriktad verksamhet

SOU 2006:82

av organisatoriska eller politiska skäl senare väljer att dela upp verk- samheten i flera nämnder? Sannolikt skulle det kräva en reglering för sådana fall av huruvida all befintlig vårddokumentation skall pre- sumeras vara spärrad mellan nämnderna tills varje patients inställning klargjorts eller huruvida presumtionen skall vara omvänd? Man kan fråga sig om en reglering med sådana konsekvenser för informations- hanteringens villkor inte låser fast nämndstrukturen i landsting och kommuner på ett olyckligt sätt. Våra förslag innebär att det i prak- tiken inte kommer att vara någon väsentlig skillnad i patientdata- hanteringen om ett landsting eller en kommun bedriver hälso- och sjukvård genom en eller flera myndigheter.

Däremot anser vi att de kommunala företagen inte bör få ha direkt- åtkomst till landstingets personuppgifter under andra förutsättningar än de som följer av bestämmelserna om sammanhållen journalföring. Visserligen rivs sekretessen mellan kommunala företag och myndig- heter i enlighet med vårt förslag till sekretessgenombrott mellan nämnder och kommunala företag i samma landsting eller kommun. Direktåtkomst är dock en utlämnandeform som är speciellt integri- tetskänslig. Särskild återhållsamhet är därför är påkallad, bl.a. därför att de kommunala företagen kan ha andra intressenter som äger delar av företagen, t.ex. kan kommunala aktiebolag ägas till 49 procent av privata intressenter eller andra sjukvårdshuvudmän, vilket gör situa- tionen avvikande från den då ett och samma landsting eller en kom- mun organiserat den egna hälso- och sjukvården att bedrivas genom flera myndigheter.

Uppgiftsutbyte inom området vård och omsorg

Som framgått i det föregående har frågan i olika sammanhang väckts rörande huruvida kommunal socialtjänstpersonal skall få föra sina sociala anteckningar i patientjournal som förs inom den kommunala hälso- och sjukvården. Frågan är visserligen angelägen men också komplicerad. Frågan kräver vidare särskilda överväganden och ligger klart utanför vårt uppdrag. Vi behandlar därför inte frågan vidare här. När det gäller vård och omsorg om äldre kan nämnas att regeringen har, i sin nationella utvecklingsplan för vård och omsorg om äldre, framfört sin avsikt att tillsätta en utredare som skall se över och för- tydliga regelverket om äldreomsorgen. I uppdraget skall bl.a. ingå att överväga om det bör införas nya bestämmelser för dokumentation

408

SOU 2006:82

Överföring av personuppgifter i individinriktad verksamhet

inom kommunernas vård och omsorg om äldre (prop. 2005/06:115 s. 98).

När det gäller överföring av uppgifter från kommunal hälso- och sjukvård till socialtjänst inser vi att det självklart många gånger finns behov av att socialtjänstpersonal får del av vårddokumentation om patienter i den vardagliga vården och omsorgen om äldre eller funk- tionshindrade som också inbegriper stöd eller andra insatser inom socialtjänsten. Frågan är på vilket sätt det skall få ske.

Såsom vi anfört redan i avsnitt 8.7 är utlämnande genom direkt- åtkomst en särskilt integritetskänslig form av utlämnande. Vi anser inte att det inom ramen för vårt arbete framkommit skäl att föreslå bestämmelser om gränsöverskridande direktåtkomst för utlämnande av uppgifter från hälso- och sjukvård till socialtjänst. Även elektro- nisk åtkomst inom en myndighet är att betrakta som integritets- känslig. Av våra förslag i avsnitt 12 framgår att vi anser att endast de som behöver sådan åtkomst för sitt arbete inom hälso- och sjuk- vården skall få ha sådan elektronisk åtkomst till journalhandlingar och andra personuppgifter som behandlas enligt patientdatalagen. Vi lämnar således inga förslag i dessa delar.

Vi utesluter dock inte att en närmare analys och genomgång av förhållandena på området vård och omsorg leder till andra slutsatser. Det bör i så fall lämpligen göras i särskild ordning. När det gäller vård och omsorg om äldre kan frågan enligt vår mening lämpligen behandlas av den aviserade utredning som bl.a. skall överväga nya bestämmelser för dokumentation inom kommunernas vård och om- sorg om äldre (a. prop. s. 98).

Samtidigt vill vi peka på vårt förslag i avsnitt 8.7 om att slopa de nuvarande särskilda begränsningarna i fråga om annat elektroniskt utlämnande än direktåtkomst. Det förslaget undanröjer det rättsliga hindret som i dag finns när det gäller uppgiftslämnande från hälso- och sjukvård till socialtjänst och som beskrivits i avsnitt 14.2.2. Observera att det sagda bara gäller sättet för överföringen. Andra bestämmelser reglerar om uppgifterna alls får lämnas från hälso- och sjukvård till socialtjänst.

409

15 Verksamhetsuppföljning

15.1Vårt uppdrag m.m.

Enligt våra direktiv skall våra förslag till reglering omfatta behand- lingen av personuppgifter i bl.a. den kvalitetsförbättrande verksam- heten inom hälso- och sjukvården. Förslagen skall bl.a. utgå från hur personuppgifter bör hanteras för att förbättra den medicinska och den ekonomiska uppföljningen. I direktiven framhålls att det finns problem med att tolka ändamålsbestämmelserna i lagen (1998:544) om vårdregister (vårdregisterlagen). Exempelvis har fråga uppstått i vilken utsträckning personuppgifter i ett vårdregister kan användas för utvärdering, kvalitetssäkring och uppföljning av landstingens verksamhet. Vidare framhålls i direktiven att vårdregisterlagen inte tillåter att uppgifter lämnas ut från ett vårdregister för fortsatt be- handling med stöd av lagen (2001:454) om behandling av personupp- gifter inom socialtjänsten. Vi skall i detta hänseende särskilt beakta landstingens möjligheter till uppföljning av sin samverkan med kom- munerna kring vissa patientkategorier såsom psykiskt sjuka och äldre. I den mån förtydligande eller tillägg till befintlig lagstiftning bedöms vara nödvändig för att sådan uppföljning skall kunna genom- föras, skall vi lämna författningsförslag.

I detta avsnitt behandlar vi frågor som rör möjligheter till per- sonuppgiftsbehandling för verksamhetsuppföljning. Sådan kan in- begripa såväl medicinsk som ekonomisk uppföljning av hälso- och sjukvård. Vårt uppdrag att särskilt behandla frågor om landstingens uppföljning m.m. av läkemedelsförskrivning och läkemedelsanvänd- ning kommer emellertid att behandlas först i vårt slutbetänkande tillsammans med andra frågor som rör läkemedelsområdet.

I detta avsnitt beskrivs till en början, i avsnitt 15.2, översiktligt några pågående aktiviteter på detta område av särskilt intresse. I av- snitt 15.3 redogörs för några problemområden som diskuterats i våra kontakter med några centrala aktörer på området. Våra över- väganden redovisas i avsnitt 15.4.

411

Verksamhetsuppföljning

SOU 2006:82

15.2Om verksamhetsuppföljning

Verksamhetsuppföljning är ett begrepp som kommit att bli centralt i diskussionerna kring hälso- och sjukvårdens utveckling och in- formationshantering.

Någon allmänt vedertagen definition av begreppet verksamhets- uppföljning har vi inte kunnat finna. Enligt vår uppfattning menar man när man talar om verksamhetsuppföljning i princip samma sak som avses med ”uppföljning, utvärdering och kvalitetssäkring” på verksamhetsområdet i 4 § 2 vårdregisterlagen.

Verksamhetsuppföljning kan ta sikte på en mängd olika faktorer inom hälso- och sjukvården t.ex. mätning av uppnådda behandlings- resultat och patienttillfredsställelse eller mätning av insatta resurser i form av kostnader för varje insats eller annan uppföljning av kost- nadseffektivitet, produktivitet m.m. Verksamhetsuppföljning kan vidare ske på olika nivåer i hälso- och sjukvården; kliniken, vård- inrättningen, distriktsnämnden, landstinget, sjukvårdsregionen eller nationen. Verksamhetsuppföljning är inget självändamål, dess syfte är att generera kunskap som i sin tur används för att på olika sätt förbättra eller förändra verksamheten i fråga.

Verksamhetsuppföljning i olika former har förstås bedrivits av sjukvårdshuvudmännen, dvs. landstingen och kommunerna, och andra vårdgivare sedan länge, såväl på övergripande ledningsnivå som på verksamhetsnivå. År 1997 infördes emellertid ändringar i hälso- och sjukvårdslagen (1982:763) som medförde krav på att sjukvård- huvudmännen och andra vårdgivare följer upp verksamheten. Bl.a. föreskrevs att ledningen av hälso- och sjukvård skall vara organiserad så att den tillgodoser hög patientsäkerhet och god kvalitet i vården samt främjar kostnadseffektivitet (28 §). Det sistnämnda kravet moti- verades bl.a. med att hälso- och sjukvården till övervägande del är finansierad med allmänna medel, vilket medför att krav kan ställas på att medlen används på bästa möjliga sätt (prop. 1995/96:176 s. 56 f.). Vidare infördes en skyldighet för alla vårdgivare att syste- matiskt och fortlöpande utveckla och säkra hälso- och sjukvårdens kvalitet, dvs. att bedriva kvalitetssäkring (31 §). Motsvarande bestäm- melse togs in i 16 § tandvårdslagen (1985:125). Enligt regeringen var det en uppgift för Socialstyrelsen att i nära samråd med sjukvårds- huvudmännen och berörda professioner inom hälso- och sjukvården konkretisera vilka grundläggande indikatorer som de verksamhets- ansvariga skall följa upp. Vidare pekades på att lokalt utvecklings- arbete är av stort värde (a. prop. s. 54).

412

SOU 2006:82

Verksamhetsuppföljning

I Socialstyrelsens föreskrifter (SOSFS 2005:12) om lednings- system för kvalitet och patientsäkerhet i hälso- och sjukvården har kraven på kvalitetssäkring utvecklats närmare. I Socialstyrelsens väg- ledning till föreskrifterna, skriften God vård, anges sex olika kvali- tetsområden som uppföljning bör vara inriktad på nämligen

1)kunskapsbaserad och ändamålsenlig hälso- och sjukvård,

2)säker hälso- och sjukvård,

3)patientfokuserad hälso- och sjukvård,

4)effektiv hälso- och sjukvård,

5)jämlik hälso- och sjukvård samt

6)hälso- och sjukvård i rimlig tid. Dessa kvalitetsområden har definierats internationellt och hade redan använts i en del lands- ting innan de inarbetades i Socialstyrelsens vägledning om god vårdkvalitet.

Socialstyrelsen har sedan år 2001 haft regeringens uppdrag att till- sammans med Landstingsförbundet och Svenska Kommunförbundet (numera Sveriges Kommuner och Landsting) förstärka sitt stöd till sjukvårdshuvudmännen och svara för samordningen av arbetet med att förbättra informationsförsörjningen och verksamhetsuppfölj- ningen inom hälso- och sjukvården. Arbetet har bedrivits i projektet InfoVU med den inriktning som anges i propositionen Nationell handlingsplan för utveckling av hälso- och sjukvården (prop. 1999/2000:149). InfoVU har tillsammans med landsting och kom- muner drivit ett antal delprojekt där olika modeller och metoder för verksamhetsuppföljning testats och utvecklats. Dessutom har InfoVU publicerat flera rapporter som berör frågor om verksamhetsuppfölj- ning av resultat, kvalitet och kostnader. I samtliga rapporter framhålls vikten av att verksamhetsuppföljningen baseras på individbaserad patientdata, dvs. personuppgifter som direkt eller indirekt kan här- ledas till enskilda patienter.

Med verksamhetsuppföljning avses, enligt InfoVU, uppföljning av en verksamhet baserad på sammanställning av individbaserade, sök- och jämförbara data för planering, utveckling och redovisning av vård och omsorg. Verksamhetsuppföljning skall ge svar på frågorna: Vad gjordes? Varför? Hur bra blev det? Vad kostade det? (InfoVU:s slutrapport Mäta och öppet redovisa resultaten i vård och omsorg s. 21 och 111). Ett särskilt mål har varit att skapa en ändamålsenlig vård- och omsorgsdokumentation som kan stödja individbaserad verksamhetsuppföljning; ett annat mål att hitta former för att ge

413

Verksamhetsuppföljning

SOU 2006:82

medborgarna tillgång till öppna redovisningar av jämförelser beträf- fande hälso- och sjukvårdens kvalitet och tillgång till information om hur resurserna används inom sektorn.

Nära kopplat till InfoVU-projektet har Socialstyrelsen fått några ytterligare uppdrag från regeringen som alla har betydelse för att främja hälso- och sjukvårdens verksamhetsuppföljning. Enligt dessa uppdrag skall Socialstyrelsen

1)i samråd med Sveriges Kommuner och Landsting utarbeta natio- nella kvalitetsindikatorer som ska kunna spegla olika aspekter av kvalitet inom hälso- och sjukvården,

2)normera användningen av nationella termer och begrepp,

3)ta fram enhetlig informationsstruktur inom hälso- och sjukvård och omsorg, i syfte att skapa en tydlig information som stöder kommunikation och samverkan mellan huvudmän samt

4)under år 2006 förbereda att ta ett övergripande nationellt och strategiskt ansvar för att individbaserad information om patienter görs mer entydig, uppföljningsbar och tillgänglig.

Socialstyrelsen har vidare i Hälso- och sjukvårdsrapport 2005 efter- lyst politiska beslut om ansvarsfördelningen för nationell verksam- hetsuppföljning på hälso- och sjukvårdens område. Vidare har Social- styrelsen föreslagit att obligatorisk inrapportering av vissa nationella kvalitetsindikatorer skall göras till en central mottagare.

Sveriges Kommuner och Landsting arbetar med att utveckla patientrelaterad kostnadsredovisning som skall utgöra verktyg för landstingen och kommunerna att mäta och förbättra sjukvårdens produktivitet och effektivitet. Så sker bl.a. genom framtagande av gemensamma beräknings- och redovisningsprinciper i ett system som benämns KPP, vilket står för kostnad per patient. Systemet innebär, förenklat uttryckt, att olika insatser och tjänster som utförs åsätts en kostnad som sedan kopplas till varje vårdkontakt. Om uppgifter- na sammanställs per patient, dvs. blir individbaserade, kan kostnads- effektivitet m.m. i hela vårdkedjor eller processer följas upp. Sveriges Kommuner och Landsting förvaltar vidare en gemensam nationell databas för viss sjukhusvård innehållande KPP-data och DRG-data (diagnosrelaterade grupper) samt avidentifierade patientdata om en- skilda vårdtillfällen. Någon heltäckande mätning finns dock inte.

Sveriges Kommuner och Landsting sköter även den nationella databasen Väntetider i vården till vilka vårdgivare rapporterar för- väntade och faktiska väntetider på vissa områden från sina patient-

414

SOU 2006:82

Verksamhetsuppföljning

administrativa system. Databasen innehåller inte personuppgifter som kan härledas till enskilda patienter.

Redovisningen i det föregående åskådliggör översiktligt att verk- samhetsuppföljning av hälso- och sjukvård de senaste åren kommit att bli alltmer en nationell angelägenhet.

Parallellt med detta arbete på nationell nivå sker i varierande om- fattning utveckling av verksamhetsuppföljning bland sjukvårdshu- vudmännen och andra vårdgivare. Detta arbete beskrivs dock inte här. Ett slags verksamhetsuppföljning skall dock nämnas, nämligen den kvalitetssäkring som görs i nära anslutning till den individinrik- tade patientvården i form av särskilt inrättade kvalitetsregister. Dessa register har vuxit starkt i antal de senaste tio åren och har blivit mer eller mindre rikstäckande på sina specialområden. Flera av dem har därigenom etablerats som nationella kvalitetsregister. Dessa register behandlas närmare i avsnitt 16.

15.3Problemområde

Under vårt arbete har det i olika sammanhang – bl.a. vid samråd med företrädare för Socialstyrelsen och Sveriges Kommuner och Lands- ting samt med Nationell psykiatrisamordning – påtalats att lagstift- ningen försvårar samverkan mellan kommun och landsting när det främst gäller äldre och dem med psykiska funktionshinder eller sjukdom som behöver stöd och insatser i form av både hälso- och sjukvård och socialtjänst. I avsnitt 14 har dessa problem behandlats när det gäller den individinriktade vården och omsorgen om den enskilda patienten eller brukaren. De påtalade problemen omfattar emellertid även möjligheterna att göra gemensamma verksamhets- uppföljningar över huvudmannagränserna som omfattar de totala insatserna alldeles oavsett om dessa utgör hälso- och sjukvård eller socialtjänst.

Bristande legala möjligheter till gemensam verksamhetsuppfölj- ning baserad på personuppgifter utgör, enligt Socialstyrelsen och Sveriges Kommuner och Landsting, en tillbakahållande faktor när det gäller skapande av gemensamma nämnder eller andra former av samverkansorgan över huvudmannagränser. Samtidigt har huvud- männen i andra författningar ålagts ett ansvar att samverka och till- sammans skapa ett förbättrat omhändertagande av dessa patient- kategorier. De legala kraven på samverkan går inte ihop med de legala förutsättningarna för samverkan menar man.

415

Verksamhetsuppföljning

SOU 2006:82

I en rapport om juridiska frågeställningar som aktualiserats i InfoVU-projektet har särskilt pekats på att de olika regleringarna av personuppgiftsbehandling i vårdregisterlagen respektive lagen om personuppgiftsbehandling inom socialtjänsten lett till svåra tolknings- problem i några av InfoVU:s delprojekt vid uppföljning som inbe- gripit såväl landstings och kommuners hälso- och sjukvårdsinsatser som insatser från den kommunala socialtjänsten (Rättsfrågor med anknytning till IT i vård och omsorg, Socialstyrelsen, november 2005, s. 65 f.). Även i de fall patienter och brukare lämnat samtycke till en viss personuppgiftsbehandling för uppföljningsändamål, har osäkerhet rått om huruvida personuppgiftsbehandlingen varit laglig eller inte. Främst har det varit vårdregisterlagens ändamålsbestäm- melser (3 och 4 §§), bestämmelsen om samkörning (6 §) samt be- stämmelsen om när personuppgifter från ett vårdregister får lämnas ut i elektronisk form (9 §) som varit svårtolkade i delprojekten enligt InfoVU:s rapport.

Enligt InfoVU-projektet finns det ett påtagligt och angeläget be- hov av att utforma en ny lagstiftning för behandling av personupp- gifter inom vård och omsorg – dvs. inom verksamhet som bedrivs enligt såväl hälso- och sjukvårdslagen som socialtjänstlagen – som är fullständig och ger stöd för elektronisk personuppgiftsbehandling utan krav på samtycke för samverkan kring patienten eller brukaren dels för vård och behandling, dels för uppföljning, utvärdering och kvalitetssäkring på lokal och regional nivå (a. a. s. 71).

Från Nationell psykiatrisamordning har framförts till utredningen att såväl sekretesslagstiftningen som vårdregisterlagen begränsar landstingens och kommunernas möjligheter att göra gemensamma uppföljningar av sådana insatser som involverar både hälso- och sjuk- vård och socialtjänst till personer med psykiska sjukdomar eller funktionshinder. Bl.a. behöver gemensamma personuppgiftsbehand- lingar göras vid inventeringar av vilka personer med psykiska sjuk- domar eller funktionshinder som kan ha behov av insatser och hur behoven ser ut. Enligt 5 kap. 8 § socialtjänstlagen (2001:453) har kommunerna en skyldighet att bedriva en uppsökande verksamhet och att planera sina insatser för människor med fysiska och psykiska funktionshinder. I planeringen skall kommunerna samverka med landsting samt andra samhällsorgan. Även vid utvärdering av den hälso- och sjukvård som ges av landstingen och kommunerna sägs det finnas ett påtagligt behov av att kunna behandla personuppgifter som dokumenterats hos båda huvudmännen och i olika verksam- heter, hälso- och sjukvård samt socialtjänst. I praktiken går dessa

416

SOU 2006:82

Verksamhetsuppföljning

verksamheter in i varandra och resultaten kan inte mätas eller utvär- deras om inte samlade uppföljningar kan göras. Helt avidentifierade uppgifter anses inte kunna användas i detta sammanhang. Däremot kan uppgifterna kodas vid den bearbetning som sker centralt. Lik- väl är det fråga om personuppgiftsbehandling.

Mellan kommun och landsting samt mellan kommunal hälso- och sjukvård samt socialtjänst åt psykiskt funktionshindrade eller sjuka går vidare sekretessgränser, något som ytterligare försvårar en ända- målsenlig verksamhetsuppföljning enligt Nationell psykiatrisamord- ning. Inom psykiatrin och näraliggande områden förekommer att just de patienter/brukare som har de allra största behoven vägrar att samtycka till att uppgifter om dem lämnas ut till en annan myndig- het eller verksamhet. Därför anser Nationell psykiatrisamordning det inte vara en tillfredsställande lösning att basera verksamhets- uppföljningen på uppgifter om bara dem som samtycker. När det gäller uppgifter om psykisk ohälsa leder vidare en menprövning enligt hälso- och sjukvårdssekretessen och socialtjänstsekretessen ofta till att en uppgift inte kan lämnas ut. Menprövningen i sig gör vidare verksamhetsuppföljningen klart ineffektiv.

I en skrivelse till Socialdepartementet – Inriktning och arbets- plan för Nationell psykiatrisamordning under 2006 – har Nationell psykiatrisamordning härutöver bl.a. framfört att det behövs nationell statistik och underlag för uppföljning av resultat på olika nivåer, även nationellt.

15.4Våra överväganden

Vår bedömning: Våra förslag i tidigare avsnitt innebär förbätt- rade möjligheter till verksamhetsuppföljning inom hälso- och sjukvården. Även uppföljning av hälso- och sjukvårdens samver- kan med kommunernas omsorgsverksamhet underlättas genom våra förslag. Vi föreslår också bestämmelser om verksamhets- uppföljning genom kvalitetsregister. Dessa förslag behandlas i avsnitt 16.

417

Verksamhetsuppföljning

SOU 2006:82

15.4.1Verksamhetsuppföljning inom en vårdgivares verksamhet

Av våra förslag till ändamålsbestämmelser i patientdatalagen fram- går att vi föreslår att personuppgifter som primärt samlas in därför att de behövs i den individinriktade patientverksamheten, dvs. vård- dokumentation, skall få lov att användas för verksamhetsuppföljning på ett mer eller mindre övergripande plan inom en vårdgivares verk- samhet även utan krav på samtycke från den enskilde. Så gäller redan i dag enligt vårdregisterlagens ändamålsbestämmelser. Som fram- gått av avsnitt 8.2.3 anser vi därutöver att verksamhetsuppföljning (uppföljning, utvärdering och kvalitetssäkring) skall vara primära ändamål. Vidare har vi i avsnitt 8.2.4 föreslagit att de nuvarande begränsningarna i fråga om samkörning av vårdregister, dvs. elektro- niska journalsystem och patientadministrativa system, med andra register avskaffas.

Dessa förslag undanröjer de oklarheter som i dag anses gälla i fråga om de rättsliga förutsättningarna för myndigheter inom hälso- och sjukvården och privata vårdgivare att behandla personuppgifter för ändamålet att följa upp sin egen verksamhet.

Vi vill dock påtala att det inte heller med våra förslag kommer att vara tillåtet att basera verksamhetsuppföljningen på personuppgifter, dvs. uppgifter som direkt eller indirekt kan hänföras till en enskild person, om det är tillräckligt att använda avidentifierade uppgifter. Vidare är det vår uppfattning att begränsningen i 9 § första stycket f personuppgiftslagen (1998:204), om att inte fler personuppgifter får behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen, innebär att personuppgifter som endast indirekt pekar ut den enskilde i första hand skall användas. Ofta torde det vara möjligt att utesluta namn och fullständiga personnummer då per- sonuppgifter behandlas för ändamålen kvalitetssäkring eller annan verksamhetsuppföljning, i vart fall under delar av bearbetningen.

Uppföljning av hälso- och sjukvård på ett övergripande plan inom en myndighet är inte en egen verksamhetsgren som är självständig i förhållande till den individinriktade verksamheten inom samma myn- dighet på sätt som avses i 1 kap 3 § sekretesslagen. I förarbetena till lagen (2005:787) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet framhöll regeringen, med anledning av Lagrådets påpekande, att planering, uppföljning och utvärdering av verksamheten i fråga måste anses vara en så integrerad del av själva verksamheten att den inte kan ses som en fristående aktivitet.

418

SOU 2006:82

Verksamhetsuppföljning

Att personuppgifter som får behandlas för vissa i registerlagen an- givna ändamål även får behandlas för planering m.m. är så självklart att det inte behöver anges som eget ändamål (prop. 2004/05:164 s. 66).

Som nyss sagts anser vi att det på hälso- och sjukvårdens område finns behov av särskilda ändamålsbestämmelser om verksamhets- uppföljning. Med hänvisning till nämnda förarbetsuttalande vill vi emellertid ytterligare understryka att det inte finns någon formell gräns mellan verksamhetsuppföljning på ett övergripande plan och den individinriktade patientvården. Det finns således ingen sekretess- gräns mellan dessa verksamheter, så länge de äger rum inom samma myndighet. Det sagda gäller även för en gemensam nämnd eller ett kommunförbund mellan sådan hälso- och sjukvård som t.ex. några kommuner och ett landsting fört in i nämnden eller förbundet.

Däremot finns en sekretessgräns mellan olika myndigheter inom ett landsting eller en kommun även om dessa myndigheter driver samma slags verksamhet, dvs. hälso- och sjukvård. Detsamma gäller mellan hälso- och sjukvård som bedrivs hos ett sådant kommunalt företag som avses i 1 kap. 9 § sekretesslagen och sådan hälso- och sjukvård som bedrivs hos det landsting eller den kommun som äger företaget. För att verksamhetsuppföljning genom gemensam behand- ling av personuppgifter som härrör från olika nämnder och kom- munala företags verksamheter hos ett och samma landsting skall kunna ske på central nivå, krävs alltså att en sekretessprövning leder till bedömningen att uppgifterna kan lämnas ut till den myndighet där den centrala uppföljningen är avsedd att ske. Sekretesslagen torde således innebära en begränsning av möjligheterna till gemen- sam och individbaserad uppföljning avseende en sjukvårdshuvud- mans totala produktion av hälso- och sjukvård.

Våra förslag i avsnitt 14.4.1 om att i sekretesslagen i praktiken genomföra Offentlighets- och sekretesskommitténs (OSEK) förslag om slopade sekretessgränser mellan nämnder och kommunala före- tag i samma kommun eller i samma landsting, har således betydelse inte bara i det individinriktade patientarbetet utan omfattar också utbyte av personuppgifter i uppföljningssyfte. Det kommer att kunna ske utan hinder av sekretess enligt vårt förslag.

Sammanfattningsvis innebär således patientdatalagen i förening med förslaget om slopade sekretesshinder mellan hälso- och sjuk- vårdsverksamhet inom ett landsting eller en kommun att sjukvårds- huvudmännen och privata vårdgivare får avsevärt förbättrade rättsliga möjligheter att utan patienternas samtycke företa verksamhetsupp-

419

Verksamhetsuppföljning

SOU 2006:82

följning baserad på patientdata jämfört med vad som följer av gällande rätt. Exempelvis kan med våra förslag olika journal- och patientadministrativa system som kan finnas utspridda i landstinget samköras även om något system hör till ett landstingskommunalt företag och alldeles oavsett att syftet är något slag av verksamhets- uppföljning. Det sagda förutsätter förstås att patientdatalagens och personuppgiftslagens övriga bestämmelser följs. Det innebär t.ex. att uppgifter som kan härledas till en patient bara får användas om det verkligen behövs för att göra uppföljningen ändamålsenlig.

De förbättrade möjligheterna inom ramen för en sjukvårdshuvud- mans eller annan vårdgivares hälso- och sjukvårdsverksamhet gäller alldeles oavsett om det närmare syftet med att följa upp verksam- heten tar sikte på t.ex. den medicinska kvaliteten i vården eller på verksamhetens kostnadseffektivitet.

Den breda enkätundersökning bland allmänheten som vi låtit Statistiska Centralbyrån utföra under år 2005, ger emellertid vid handen att enskilda gör en väsentlig skillnad mellan medicinsk och ekonomisk uppföljning. Enligt undersökningen är nära 70 procent negativa eller tveksamma till att hälso- och sjukvården får använda uppgifter i patientjournaler som underlag för ekonomisk uppföljning av verksamheten. När det gäller att medicinskt följa upp och för- bättra kvaliteten i hälso- och sjukvården är attityden avsevärt mera positiv; bara knappt 30 procent är negativa eller tveksamma till en sådan användning. En överväldigande majoritet, 80 procent, anser att patienten själv skall få bestämma vilka uppgifter ur patientjour- naler som skall få användas eller i vart fall kunna få motsätta sig att uppgifter används för medicinsk- eller ekonomisk uppföljning.

Vi har emellertid menat att sjukvårdshuvudmännens och andra vårdgivares ansvar för verksamhetens patientsäkerhet, medicinska kvalitet, kostnadseffektivitet m.m. kräver goda uppföljningsverktyg. Det allmänna intresset av att uppföljningen av den egna verksam- heten kan baseras på personuppgiftsbehandling motiverar alltså de rättsliga möjligheter som följer av våra förslag. I sammanhanget kan påpekas att verksamhetsuppföljning inte medför någon nämnvärd spridning av personuppgifter inom en vårdgivares verksamhet, bl.a. därför att själva personuppgiftshanteringen vid verksamhetsupp- följning normalt engagerar endast en liten krets av anställda. Med tanke härpå och med tanke på vikten av att verksamhetsuppfölj- ningen är baserad på ett heltäckande och korrekt material, har vi funnit att det inte bör införas någon rätt för patienten att begränsa användningen av uppgifterna för verksamhetsuppföljning som skulle

420

SOU 2006:82

Verksamhetsuppföljning

kunna sägas motsvara den rätt som vi i avsnitt 12 föreslagit att patienten skall kunna få uppgifter spärrade från åtkomlighet för en större krets av hälso- och sjukvårdpersonal. I detta fall menar vi att vårdgivarens och det allmännas intresse väger tyngre än den enskildes intresse av största möjliga integritetsskydd. Vi föreslår så- ledes ingen rätt för den enskilde patienten att motsätta sig att upp- gifter om honom eller henne används vid uppföljning av en vård- givares egen verksamhet.

15.4.2Verksamhetsuppföljning på området vård och omsorg

Vårt övergripande uppdrag är att se över hur behandlingen av per- sonuppgifter inom hälso- och sjukvården regleras samt lämna förslag till en väl fungerande och sammanhängande reglering av området. Något mandat i fråga om socialtjänstverksamhet framgår inte av våra direktiv. Det innebär bl.a. att vi inte närmare analyserat i vad mån socialtjänstsekretessen eller bestämmelserna i lagen om behand- ling av personuppgifter inom socialtjänsten och anslutande förord- ning utgör hinder för gemensamma verksamhetsuppföljningar på området vård och omsorg.

Däremot skall vi i samband med översynen av vårdregisterlagens bestämmelser särskilt beakta landstingens möjligheter till uppföljning av sin samverkan med kommunerna kring vissa patientkategorier såsom psykiskt sjuka och äldre. Vårt uppdrag är alltså begränsat när det gäller området vård och omsorg.

I våra första tilläggsdirektiv anges att vårdregisterlagen inte tillåter att uppgifter lämnas ut från ett vårdregister för fortsatt personupp- giftsbehandling med stöd av lagen om behandling av personuppgifter inom socialtjänsten. Härmed torde avses bestämmelsen i 9 § vård- registerlagen som reglerar sättet för utlämnande, dvs. huruvida upp- gifterna får lämnas ut elektroniskt eller inte.

Vårdregisterlagens ändamålsbestämmelser hindrar, som vi ser det, inte ett utlämnande till kommunal socialtjänst för fortsatt behand- ling enligt lagen om behandling av personuppgifter inom social- tjänsten. Av förarbetena till vårdregisterlagen framgår att lagen inte är avsedd att reglera i vad mån personuppgifter i ett vårdregister över huvud taget får lämnas ut till en extern mottagare. Den frågan avgörs efter en prövning enligt sekretesslagen (prop. 1997/98:108 s. 77 f. och 88). Däremot utgör 9 § vårdregisterlagen ett hinder mot att lämna ut personuppgifter elektroniskt från ett vårdregister hos ett

421

Verksamhetsuppföljning

SOU 2006:82

landsting till en kommun som avser att efter mottagandet behandla uppgifterna med stöd av lagen om behandling av personuppgifter inom socialtjänsten. Även 6 § vårdregisterlagen – som föreskriver att uppgifter får hämtas till ett vårdregister genom samkörning från andra vårdregister bara om de behövs i vården eller i ekonomiadmi- nistrationen av vården samt även från folkbokföringsdatabasen, annat befolkningsregister eller patientens läkemedelsförteckning – torde begränsa landstingens möjligheter att delta i gemensam verksamhets- uppföljning på vård och omsorgsområdet som innefattar person- uppgiftsbehandling från både hälso- och sjukvård och socialtjänst.

Våra förslag i avsnitt 8.2 och 8.7 om att avskaffa begränsningarna i fråga om såväl samkörning som elektroniskt utlämnande kommer därför att avsevärt underlätta för landsting och kommuner att samlat göra uppföljningar av sin samverkan på vård- och omsorgsområdet. Detta gäller i fråga om både äldreomsorgen och vården och om- sorgen om psykiskt sjuka eller funktionshindrade samt i fråga om andra områden som involverar både hälso- och sjukvård och social- tjänst.

Emellertid innebär det sagda inget undantag från kravet på att en sekretessprövning måste göras då uppgifter lämnas till eller från landstingen eller annars korsar en sekretessgräns i syfte att göra en gemensam verksamhetsuppföljning. Vi har i avsnitt 14.2 redogjort för sekretessförhållandena på området vård och omsorg och för för- utsättningarna att överföra uppgifter över gränser utan den enskildes samtycke. Jämfört med vad som gäller i den individinriktade verk- samheten torde emellertid en menprövning enligt sekretesslagen oftare leda till bedömningen att uppgiften inte kan lämnas ut, om syftet med utlämnandet är verksamhetsuppföljning och inte att bereda den enskilde vård eller annan omsorg. Särskilt när det gäller verksamhetsuppföljning avseende patienter med psykisk ohälsa kan sekretessen, såsom Nationell psykiatrisamordning påpekat, antas innebära hinder mot verksamhetsuppföljningar som omfattar alla olika insatser i vården och omhändertagandet.

Samtidigt har vi ingen anledning att betvivla att det just på vård- och omsorgsområdet finns stora möjligheter att förbättra det sam- lade omhändertagandet, om gemensam verksamhetsuppföljning av insatserna kan göras över de formella gränser som idag finns mellan huvudmännen.

Vi instämmer således i att det finns behov av att se över sekretess- frågor i samband med verksamhetsuppföljning på vård och omsorgs- området. Detta har dock inte legat inom ramen för Patientdata-

422

SOU 2006:82

Verksamhetsuppföljning

utredningens uppdrag. En sådan översyn kräver vidare en närmare utredning och genomgång av förhållandena på socialtjänstens område.

I regeringens nationella utvecklingsplan för vård och omsorg om äldre har regeringen framfört sin avsikt att tillsätta en utredare som skall se över och förtydliga regelverket om äldreomsorgen. I upp- draget skall bl.a. ingå att överväga om det bör införas nya bestäm- melser för dokumentation inom kommunernas vård och omsorg om äldre (prop. 2005/06:115 s. 98). En faktor som lyfts fram av regeringen är att det kan uppstå sekretessproblem i informations- överföringen mellan hälso- och sjukvårdspersonal och socialtjänst- personal. Enligt vår uppfattning kan det vara lämpligt att den kom- mande utredningen i samband med denna fråga även behandlar frågor om samordnad verksamhetsuppföljning som omfattar båda typerna av insatser. Vi vill emellertid erinra om vad regeringen tidigare uttalat när det gäller sekretess i integrerad äldrevård och omsorg. Regeringen gjorde i samband med Ädelformen gällande att det inte finns någon sekretessgräns mellan de sociala och de medicinska insatserna som bedrivs integrerat i samma nämnd (prop. 1990/91:14 s. 85). Vi in- stämmer i regeringens tidigare bedömning. Socialtjänsten och kom- munens hälso- och sjukvård utgör i detta sammanhang helt enkelt inte självständiga verksamhetsgrenar på sätt som krävs enligt 1 kap. 3 § sekretesslagen för att en sekretessgräns skall uppstå, se avsnitt 14.2.2 och 14.4.1.

Även Nationell psykiatrisamordning har i den tidigare nämnda skriften till Socialdepartementet aviserat att ändringar kan komma att föreslås i sekretesslagen liksom lagändringar både i fråga om gemensam dokumentation och i fråga om gemensamma uppfölj- ningar.

15.4.3Annan verksamhetsuppföljning över vårdgivargränser

Våra förslag i avsnitt 11 om sammanhållen journalföring och därtill kopplade sekretessbrytande undantag innebär en genomgripande för- ändring av tillgängligheten till journalinformation och annan vård- dokumentation inom hälso- och sjukvården. För att allmänhetens förtroende till hälso- och sjukvårdens informationshantering inte skall sättas i fara, menar vi att denna nyordning inte bör innebära att den sammanhållna journalföringen också används för andra syften än patientvård eller för att på patientens begäran utfärda intyg, t.ex. för olika slags verksamhetsuppföljningar över vårdgivargränser. I

423

Verksamhetsuppföljning

SOU 2006:82

annat fall befarar vi att alltför många kommer att vilja spärra sina uppgifter från tillgänglighet i den sammanhållna journalen. En sådan utveckling skulle motverka de vinster för patientsäkerheten som är det huvudsakliga syftet med den sammanhållna journalföringen. I sammanhanget kan nämnas att resultaten från vår enkätundersök- ning bland allmänheten talar för att vår uppfattning inte är grundlös, se ovan avsnitt 15.4.1.

Det sagda hindrar dock inte vårdgivare A från att följa upp den egna verksamheten genom att använda den egna vårddokumen- tationen och, om det verkligen bedöms vara nödvändigt, den vård- dokumentation hos vårdgivare B som vårdgivare A med patientens samtycke tagit del av genom sin direktåtkomst och som lagts till grund för det egna arbetet. Våra förslag innebär således inga för- sämrade möjligheter till verksamhetsuppföljning än vad hälso- och sjukvården i dag har. Snarare torde möjligheterna förbättras.

Med utvecklade metoder för kodning eller andra former av pseudo- nymer för personuppgifter som finns i ett system för sammanhållen journalföring torde det nämligen finnas vissa möjligheter att göra gemensamma och övergripande verksamhetsuppföljningar med an- vändning av IT. Detta kräver dock – till skillnad från när uppgifter lämnas ut enligt bestämmelserna om direktåtkomst vid sammanhållen journalföring – att alla vårdgivare gör en sekretessprövning avseende sina uppgifter och att denna prövning utfaller i bedömningen att uppgifterna kan lämnas ut för ändamålet verksamhetsuppföljning. I vilka fall detta kan ske går inte att göra några generella uttalanden om.

Som framgått av avsnitt 15.2 pågår för närvarande ett intensivt arbete på nationell nivå med att ta fram förbättrade verktyg för verk- samhetsuppföljning inom hälso- och sjukvården. Vidare diskuteras i olika sammanhang behovet av nationella uppföljningar av hälso- och sjukvårdens kvalitet och resultat.

Det är emellertid oklart i hur stor omfattning personuppgifter om enskilda patienter, dvs. patientdata, kommer att behöva bearbetas och analyseras av annan än den vårdgivare som ansvarar för uppgif- terna för att önskemål om en utvecklad nationell och heltäckande verksamhetsuppföljning skall förverkligas. Vi vet alltså inte i hur stor omfattning som det växer fram behov av ytterligare personuppgifts- behandling och ytterligare möjligheter till överföring av personupp- gifter än vad våra tidigare förslag möjliggör. Vi har därför inte sett skäl att inom ramen för vårt arbete föreslå några särskilda bestäm- melser som tar sikte på nämnda planer.

424

SOU 2006:82

Verksamhetsuppföljning

Däremot ingår det i vårt uppdrag att särskilt behandla den form av verksamhetsuppföljning över vårdgivargränser som sker i natio- nella kvalitetsregister.

Dessa inrättas med det huvudsakliga syftet att följa upp medicinsk och annan kvalitet i själva vårdinsatserna och alltså inte för att kontrollera sjukvårdens kostnadseffektivitet och produktivitet all- mänt sett. I nästa avsnitt, avsnitt 16, kommer vi att föreslå att vissa särbestämmelser skall gälla för nationella och regionala kvalitets- register. Där kommer vi att föreslå att det skall framgå att det är kvaliteten i vårdinsatserna som skall vara centrala för att särbestäm- melserna skall vara tillämpliga.

Någon knivskarp gräns mellan medicinsk och ekonomisk verk- samhetsuppföljning går visserligen knappast att dra. Det ser vi dock inte som något betydande problem. Vi menar att det genom våra för- slag i nästa avsnitt går att identifiera vad som skall vara det centrala i ett kvalitetsregister, uppföljning av vårdinsatserna, och att det är den motsatta ytterligheten som kan vara bekymmersam från integritets- synpunkt. Det kommer t.ex. framgå att de särskilda bestämmelserna om kvalitetsregister inte är tillämpliga på ett register vars huvudsak- liga syfte är att följa upp hälso- och sjukvårdens kostnadseffektivitet. Däremot finns givetvis inget hinder mot att den statistik som fram- ställs i kvalitetsregistren används på olika nivåer som analys- och beslutsunderlag vid beräkning av kostnadseffektivitet, produktivitet, administrativ planering och liknande. Detta kommer att framgå av våra förslag i avsnitt 16.

15.4.4Sammanfattning

Sammanfattningsvis innebär våra förslag följande när det gäller medi- cinsk, ekonomisk och annan verksamhetsuppföljning inom hälso- och sjukvården.

1.Kommunernas, landstingens och de privata vårdgivarnas möj- ligheter att ur olika aspekter följa upp sin verksamhet genom uppföljning baserad på individbunden patientdata ökar med våra förslag. De nuvarande oklarheterna i vårdregisterlagen tas bort. Verksamhetsuppföljning blir ett primärt ändamål och begräns- ningen i fråga om samkörning mellan vårdregister avskaffas. Genom att sekretessgränser i praktiken upphävs mellan olika myndigheter inom hälso- och sjukvården samt kommunala före- tag enligt 1 kap. 9 § sekretesslagen vilka ingår i samma kommun

425

Verksamhetsuppföljning

SOU 2006:82

eller landsting, underlättas övergripande verksamhetsuppföljning avseende en offentlig vårdgivares totala hälso- och sjukvårds- produktion. Förslaget innebär t.ex. att samkörning kan göras mellan olika journal- och patientadministrativa system som kan finnas utspridda i landstinget även om något system hör till ett landstingskommunalt företag och alldeles oavsett om syftet är något slag av verksamhetsuppföljning. Detta förutsätter förstås att patientdatalagens och personuppgiftslagens övriga bestäm- melser följs. Det sagda innebär bl.a. att uppgifter som kan här- ledas till en patient bara får användas, om det verkligen behövs för att göra uppföljningen ändamålsenlig. I annat fall skall av- identifierade uppgifter användas.

2.Den avskaffade begränsningen i fråga om när patientdata får samköras eller lämnas ut elektroniskt öppnar för mer gränsöver- skridande personuppgiftsbehandlingar på området vård och om- sorg för bl.a. uppföljningsändamål. Detta förutsätt dock att sekretess inte hindrar uppföljningen. Den enskildes samtycke till uppföljningen torde därför i allmänhet krävas. Observera att

iintegrerade verksamheter avseende vård och omsorg om äldre

ien och samma kommunala nämnd, finns normalt inga sekre- tessgränser.

3.Nationella och regionala kvalitetsregister omfattas av vissa sär- bestämmelser i patientdatalagen, se avsnitt 16.

426

16 Kvalitetsregister

16.1Vårt uppdrag

Vårt huvuduppdrag enligt de ursprungliga direktiven (dir. 2003:42) är att föreslå en författningsreglering av personuppgiftsbehandlingen i nationella kvalitetsregister inom hälso- och sjukvården. Vidare ingår i ursprungsuppdraget att analysera vissa sekretessproblem med an- knytning till kvalitetsregisterföringen samt att, i förekommande fall, lämna förslag till befogade författningsändringar. Genom våra första tilläggsdirektiv (dir. 2004:95) har vi vidare fått uppdraget att behandla frågor kring den överföring och det utbyte av personuppgifter som förekommer i det internationella samarbetet beträffande uppgifter i kvalitetsregister. Vid behov skall vi lämna förslag till bestämmelser om detta.

Genom de förslag som vi lämnat i fråga om patientdatalagens till- lämpningsområde (avsnitt 7.3.1 och 7.3.2) samt i fråga om ändamål (avsnitt 8.2) framgår att personuppgiftsbehandlingen i hälso- och sjukvårdens kvalitetsregister kommer att omfattas av patientdatala- gens särreglering i förhållande till personuppgiftslagen. Vi har emeller- tid ställt oss frågan huruvida och i så fall i vilken utsträckning det finns anledning att föreslå specialbestämmelser för hälso- och sjuk- vårdens kvalitetsregister utöver de övriga förslagen till bestämmelser om personuppgiftsbehandling i patientdatalagen.

Efter en allmän beskrivning av hälso- och sjukvårdens kvalitets- registerarbete, avsnitt 16.2, och gällande rätt, avsnitt 16.3, redogör vi för våra överväganden när det gäller särbestämmelser i avsnitt 16.4. Därefter behandlar vi sekretessproblematiken kring kvalitetsregistren i avsnitt 16.5 samt internationella aspekter i avsnitt 16.6.

Vi vill framhålla att det i vårt uppdrag inte ingår att överväga om deltagande i nationella kvalitetsregister skall göras till en obligato- risk uppgift för hälso- och sjukvårdens aktörer. Inte heller ingår det att behandla frågor som rör öppen redovisning till allmänheten av

427

Kvalitetsregister

SOU 2006:82

den statistik över behandlingsresultat m.m. på klinik/sjukhus/lands- tingsnivå etc. som sammanställs i kvalitetsregisterarbetet.

Slutligen vill vi även framhålla att det i vårt uppdrag ingår att ta ställning till om det behövs en författningsreglering av personupp- giftsbehandlingen i de sex regionala cancerregistren; en särskild kate- gori register som förs vid respektive sjukvårdsregions onkologiska centrum. Denna fråga och andra frågor med anknytning till de regio- nala cancerregistren kommer att behandlas i vårt slutbetänkande. Som kommer att framgå nedan behandlas emellertid kvalitetsregister inom cancerområdet i detta avsnitt, även de som administreras vid onkologiska centrum.

16.2Om kvalitetsregisterföring

Organisation

Som redovisats i avsnitt 8.2.3 är det en central uppgift inom hälso- och sjukvården att systematiskt och fortlöpande utveckla och säkra verksamhetens kvalitet; en verksamhet som vi kallar kvalitetssäkring. Inom hälso- och sjukvården förekommer olika metoder att mäta och utveckla kvaliteten i verksamheten. En metod är att samla och analysera patientbundna data om diagnoser, åtgärder och behand- lingsresultat m.m. i datoriserade kvalitetsregister.

Nationella kvalitetsregister är en särskild kategori uppgiftssam- lingar som finns inom hälso- och sjukvården, främst inom medicinska specialiteter. De äldsta registren som fortfarande är i drift startades inom ortopedin redan på 1970-talet (Nationella knäplastikregistret och Nationalregistret för höftledsplastiker). Från 1990-talet och framåt har etableringen av nationella kvalitetsregister ökat väsentligt och i dag finns ett drygt åttiotal register. Någon klar definition av vad som är ett nationellt kvalitetsregister finns inte men i det följande används beteckningen för kvalitetsregister som förs eller utvecklas med målet att bli rikstäckande inom sina specifika områden.

Nationella kvalitetsregister har oftast byggts upp genom frivilliga initiativ av specialistföreningar för läkare för att användas som stöd för kvalitetsutveckling i det kliniska arbetet. Genom systematiken i registren avses kunskapen om medicinska åtgärder och ingrepp öka. Många register har börjat som lokala eller regionala register och har sedan vuxit till att få en mer rikstäckande karaktär som möjliggör nationell uppföljning. Genom att man på nationell nivå enas om vik-

428

SOU 2006:82

Kvalitetsregister

tiga begrepp och kvalitetsindikatorer inom ett specialområde förbättras både den lokala kvalitetsuppföljningen på enskilda kliniker och den nationella uppföljningen. I det lokala arbetet ger kvalitets- registren möjligheter för kliniken att jämföra sina resultat med andra kliniker spridda över landet. Möjligheten till nationell uppföljning och jämförelse är en av orsakerna till att de nationella kvalitetsregistren anses vara en nationell angelägenhet. Exempelvis anses registren bidra till att utjämna regionala och andra skillnader i svensk hälso- och sjuk- vård när det bl.a. gäller utbud, tillgänglighet, kliniska resultat och lång- siktig patientnytta med olika behandlingsmetoder. Det innebär i sin tur att kvalitetsregistren främjar en god vård på lika villkor för hela befolkningen, vilket enligt 2 § hälso- och sjukvårdslagen (1982:763) är ett grundläggande mål för all hälso- och sjukvård. Ofta har kvali- tetsregistren direkt patientnytta i det att de används som underlag vid beslut om behandlingsmetod för den enskilda patienten.

Mot bakgrund av kvalitetsregistrens positiva betydelse för vård- kvaliteten på ett nationellt plan, har staten sedan år 1990 avsatt medel inom ramen för de s.k. Dagmaröverenskommelserna för att stödja utvecklingen och driften av nationella kvalitetsregister. Från år 1999 har medlen i stället förts in i Socialstyrelsens ramanslag. För år 2006 har 57 nationella kvalitetsregister fått statliga medel till uppbyggnad eller drift av registren. Alla nationella kvalitetsregister får alltså inte medel.

Sveriges Kommuner och Landsting, Socialstyrelsen, Svenska Läkaresällskapet och Svensk Sjuksköterskeförening samarbetar i en gemensam beslutsgrupp som årligen tar ställning till ansökningar om statliga medel till utveckling eller förande av nationella kvalitets- register. En expertgrupp bistår beslutsgruppen. Den löpande admi- nistrativa hanteringen sköts av Socialstyrelsen. Beslutsgruppen lämnar dessutom annat stöd till förandet av nationella kvalitetsregister, t.ex. genom att anordna årligen återkommande konferenser, Kvalitets- registerdagar, för registerförare och andra berörda intressenter.

Det kan också nämnas att Socialstyrelsens Epidemiologiska Centrum, EpC, har en uttalad funktion att lämna viss praktisk och annan hjälp till förare av nationella kvalitetsregister. EpC ger t.ex. råd och tekniskt stöd beträffande registerdrift, statistiska och epi- demiologiska metoder samt vid skapandet av databaser för uppfölj- ning och forskning med utgångspunkt i kvalitetsregister.

Även om kvalitetsutveckling och kvalitetssäkring är en författ- ningsreglerad skyldighet finns inget krav på att detta skall ske via kvalitetsregister. Samtliga nationella kvalitetsregister som i dag förs

429

Kvalitetsregister

SOU 2006:82

förutsätter därför att deltagande enheter frivilligt inrapporterar upp- gifter till registren. Någon uppgiftsskyldighet för inrapporterande enheter motsvarande vad som gäller för de centrala hälsodataregistren finns alltså inte.

Driften av ett nationellt kvalitetsregister är ofta organiserad på det viset att det finns en styrgrupp som ansvarar för och fattar beslut centralt om registret, t.ex. i fråga om vilka personuppgifter och övriga variabler som skall registreras eller i vad mån uppgifter från registren skall lämnas ut till ett forskningsprojekt. Någon i styrgruppen brukar utses att ha det löpande ledningsansvaret för registret. Denne be- nämns ofta som registeransvarig eller registerhållare. Inte sällan finns dessutom ett fåtal andra personer som sköter den dagliga och prak- tiska personuppgiftsbehandlingen i registren. Flera register har särskilt utsedda kontaktmän vid de deltagande vårdenheterna.

Sedan ett par år finns tre särskilda kompetenscentrum för natio- nella kvalitetsregister; Uppsala Clinical Research and Registry Center (UCR), EyeNet Sweden och Nationellt Kompetenscentrum för Ortopedi (NKO). Kompetenscentrumens uppgift är bl.a. att verka för tillkomsten av nya register och att skapa synergieffekter i sam- arbetet mellan register t.ex. vid teknisk drift, och analysarbete. Även om något av kompetenscentrumen medverkar vid den tekniska driften och i analysarbetet i en ganska stor mängd nationella kvalitetsregister, är det fortfarande självständiga registerhållare som driver kvalitets- registren. Flera nationella kvalitetsregister är alls inte anslutna till något kompetenscentrum.

Utöver de nationella kvalitetsregistren förs en mängd register för uppföljning och kvalitetssäkring inom hälso- och sjukvård på lokal eller regional nivå.

Omfattning

Som nyss sagts finns i dag ett drygt åttiotal nationella kvalitetsregister som sammantaget omfattar eller syftar till att omfatta en mängd upp- gifter som direkt eller indirekt kan härledas till enskilda personer. Av de redan etablerade registren är vissa av begränsad omfattning, eftersom de gäller högspecialiserad vård av patienter med relativt säll- synta sjukdomar. Andra register gäller mera vanliga sjukdomar och omfattar tiotusentals patienter. Över huvud taget finns de etablerade registren främst inom den på sjukhus bedrivna specialistvården. På andra områden inom hälso- och sjukvården håller dock kvalitets-

430

SOU 2006:82

Kvalitetsregister

register på att växa fram mer och mer. Det kan t.ex. nämnas att kvalitetsregister för psykiatrin är under uppbyggnad. För år 2006 har fyra nationella kvalitetsregister inom detta område beviljats sär- skilda anslag från Nationell psykiatrisamordning. Även för äldre- vården planeras en etablering av nationella kvalitetsregister.

Registrens syfte

Redan av registrens beteckning framgår att kvalitetssäkring och kvalitetsutveckling på ett nationellt plan är det övergripande ända- målet med personuppgiftsbehandlingen i samtliga nationella kvalitets- register. I de registerpresentationer som finns tillgängliga utvecklas ändamålen i allmänhet närmare i enlighet med följande exemplifie- ring över vanliga preciserade syften.

1.att uppnå nationellt likvärdig och hög kvalitet på vården genom att bl.a. identifiera regionala eller andra skillnader i tillgång på vård, behandlingsmetoder m.m.

2.att ge stöd åt lokal kvalitetssäkring och kvalitetsförbättring genom att framställa och tillhandahålla statistik som jämförelsedata.

3.att analysera skillnader, regionala eller över tid, i fråga om in- sjuknande och vårdbehov inom landet.

4.att utvärdera skillnader i diagnostik och behandlingsmetoder inom landet för att ge kunskap om vilka metoder som är optimala.

5.att möjliggöra att nya behandlingsmetoder sprids inom landet.

6.att mäta kostnadseffektivitet.

7.att värdera nyttan av och eventuella risker med nya behandlings- metoder.

8.att underlätta och utgöra bas för forskning (inkl. epidemiolo- giska undersökningar) och andra studier.

9.att genom kort- och långtidsuppföljning mäta vårdresultat i för- hållande till patientens upplevda tillfredsställelse med vården.

10.att ge fördjupade kunskaper om särskilda sjukdomar.

11.att ge underlag för planering av hälso- och sjukvård.

12.att ge underlag till hälsoekonomiska bedömningar.

På senare år har kvalitetsregistren kommit att spela en allt större roll för sjukvårdhuvudmännens politiska och administrativa lednings- organ i deras övergripande planering, upphandling och liknande styr- ning av hälso- och sjukvård. Socialstyrelsen och Sveriges Kommuner och Landsting arbetar dessutom numera aktivt med att kvalitets-

431

Kvalitetsregister

SOU 2006:82

registren i allt större utsträckning skall öppnas för insyn för patienter och medborgare i allmänhet. Härmed menas inte insyn i de person- uppgifter som finns i kvalitetsregistren utan insyn i vilka resultat olika deltagande sjukhus eller kliniker uppnår. Det handlar alltså om all- mänhetens och patienters tillgång till registeranalyser m.m. för att bilda sig en uppfattning om olika verksamheters jämförelsevisa kvalitet och patientnytta. Därigenom ökar patientens möjligheter att välja vårdgivare på ett initierat sätt. I detta sammanhang framhålls ofta kvalitetsregistrens potential att stärka patientens ställning inom hälso- och sjukvården.

Innehåll

Typiskt för de nationella kvalitetsregistren i förhållande till Social- styrelsens hälsodataregister är att de först nämnda innehåller mer de- taljerad information om diagnos, sjukdomsförlopp, vårdinnehåll och behandlingsresultat. Vidare innehåller kvalitetsregistren i allmänhet fler viktiga bakgrundsuppgifter om patienterna. Kvalitetsregistren är å andra sidan inte lika heltäckande som hälsodataregistren, vilka omfattar all sjukvård och i vilka varken personalens eller patienter- nas deltagande är frivilligt utan obligatoriskt.

Givetvis är spännvidden stor både när det gäller arten och antalet personuppgifter för varje registrerad patient som behandlas i de olika registren. Ofta registreras patientens personnummer och namn. I flera register registreras dock bara patientens ålder och kön. Huruvida sådana register innehåller avidentifierade uppgifter som inte är per- sonuppgifter eller om registren innehåller personuppgifter som bara indirekt kan hänföras till en enskild patient torde bero på omstän- digheterna i det enskilda fallet. Det förekommer också att patienter åsätts ett kodat identitetsnummer. Det är alltså inte alltid nödvändigt att registrera personnummer i kvalitetsregister. Ett ofta åberopat skäl till varför man registrerar personnummer är att långtidsuppföljning eller samkörning med andra register annars omöjliggörs. I det natio- nella kataraktregistret vari årligen inregistreras omkring 70 000 starr- operationer i ett basregister registreras bara kodade uppgifter om patienter. Kodnyckeln stannar hos den inrapporterande ögonkliniken. Beträffande ett mindre antal operationer görs dock mer ingående uppföljningar t.ex. i form av patientenkäter om upplevd nytta. Bara i sådana särskilda uppföljningar behövs direkt utpekande uppgifter om patienter på central nivå. Därutöver registreras oftast utförliga

432

SOU 2006:82

Kvalitetsregister

variabler som gäller den aktuella sjukdomen, särskilda riskfaktorer (t.ex. andra eller tidigare sjukdomar, ärftlighet eller rökning) under- sökningsresultat, insatt behandling eller andra åtgärder, eventuella komplikationer och medicinska behandlingsresultat. I flera register följs patienten även efter avslutad behandling med registrering av olika uppföljningsvariabler.

Flertalet uppgifter rör psykisk eller fysisk hälsa och är känsliga enligt 13 § personuppgiftslagen (1998:204). I några register är antalet registrerade uppgiftsslag, variabler, mycket stort. Det finns kvalitets- register som innehåller över hundra variabler per patient. Andra register med färre variabler torde dock ibland kunna vara av mer inte- gritetskänslig karaktär. Det förekommer t.ex. i några register att upp- gifter om patientens sociala förhållanden, sexualliv eller begåvnings- nivå registreras.

I huvudsak hämtas de registrerade uppgifterna från patientens jour- nal. Flera register innehåller emellertid uppgifter som inte härrör från patientjournalen. Inte sällan gäller det uppgifter som patienten själv genom att fylla i en blankett eller liknande lämnar till registret, t.ex. om tillfredsställelse med vården i olika avseenden. Det händer också att uppgifter samlas in centralt av registerföraren genom samkörning med andra register, vanligen uppgifter i folkbokföringsdatabasen men också med uppgifter i Socialstyrelsens hälsodataregister inom ramen för särskilda forskningsprojekt.

Registreringsförfarande

Gemensamt för kvalitetsregistren är, som tidigare nämnts, att in- rapporteringen sker till följd av ett frivilligt åtagande från vårdgivarnas sida. Det har visserligen börjat förekomma att en uppdragsgivande sjukvårdshuvudman i beställar-/utförarsystem ställer krav på att ut- föraren deltar i nationella kvalitetsregister. Någon författningsreg- lerad skyldighet att delta finns emellertid inte.

Som framgått tidigare är det lokala kliniker eller annan vårdenhet som lämnar uppgifter från sin verksamhet till de nationella kvalitetsre- gistren. Vid de nationella kvalitetsregistren bearbetas och sammanställs uppgifterna till analyserande rapporter som återförs till deltagande enheter. Dessutom medför erhållna statliga kvalitetsregisterbidrag en skyldighet att avge årliga rapporter till Socialstyrelsen.

Många olika varianter förekommer vad gäller organisation och tekniska lösningar i fråga om inrapportering till och återrapportering

433

Kvalitetsregister

SOU 2006:82

från de centrala registrena. Några typiska varianter redovisas i det följande.

a)Traditionellt har nationella kvalitetsregister organiserats så att lokala kliniker fyller i för ändamålet särskilt upprättade pappers- blanketter med uppgifter som skall ingå i registret. Blanketterna sänds sedan till en central registerenhet. Där överförs uppgifter- na till kvalitetsregistret genom att någon registrerar dem i en dator. Uppgifterna bearbetas och sammanställs sedan till syste- matiska resultatanalyser och jämförelsetal som redovisas i form av skriftliga återrapporteringar dels till deltagande kliniker, dels till Socialstyrelsen. I de sammanställningar som återrapporteras förekommer inte personuppgifter. All automatiserad behandling av personuppgifter sker således centralt. Vanligen får inrappor- terande lokal klinik rapporter om den egna klinikens resultat medan andra klinikers resultat redovisas som jämförelsetal utan att respektive kliniks identitet avslöjas. I rapporterna till Social- styrelsen redovisas alla resultat regelmässigt i aggregerad form. Sådana rapporter görs i allmänhet tillgängliga också för allmän- heten genom publicering eller på annat sätt. Numera finns åter- rapporteringar ofta tillgängliga på Internet.

b)En grupp kvalitetsregister inom cancerområdet har organiserat sin personuppgiftsbehandling på ett speciellt sätt. I dessa register inrapporterar deltagande vårdenheter registeruppgifter till det regionala onkologiska centrum som finns i den sjukvårdsregion vårdenheten tillhör. I landet finns sex regionala onkologiska centrum, ROC, som inrättats för att ansvara för samordningen av programarbetet för cancervården, bl.a. genom att framställa regional cancerstatistik samt genom att ta emot och vidarebe- fordra till Socialstyrelsen regionens alla canceranmälningar enligt 4 § 1 och 6 § förordningen (2001:709) om cancerregister hos Socialstyrelsen. (Detta sker via de tidigare nämnda regionala cancerregistren, som vi i vårt slutbetänkandet återkommer till.) Därutöver insamlar, bearbetar och sammanställer onkologiska centrum uppgifter till nationella kvalitetsregister som rapporte- rats från enheter i respektive region. Något av de onkologiska centrumen har dock ansvar för ett visst nationellt kvalitetsre- gister. Inrapportering sker på pappersblankett eller elektronisk blankett. Efter regional bearbetning och sammanställning rappor- teras avidentifierade uppgifter vidare till det onkologiska centrum

434

SOU 2006:82

Kvalitetsregister

som ansvarar för ett ifrågavarande nationellt kvalitetsregister. Där bearbetas och sammanställs uppgifterna i nationella analyser.

c)Beträffande en del register förekommer att en programvara distri- bueras till lokala kliniker. I programvaran finns vissa variabler som skall registreras av kliniken för senare inrapportering till den nationella registerenheten medan andra variabler ofta kan väljas fritt och fortlöpande registreras av den lokala kliniken. Den lokala kliniken kan själv använda programvaran för lokal uppföljning, statistikframställning och kvalitetssäkring. De ”obligatoriska” variablerna inrapporteras sedan till de nationella kvalitetsregistren, t.ex. genom att en diskettkopia sänds till den nationella register- enheten en gång årligen eller med tätare tidsintervaller. Metoden innebär att det i praktiken bildas många sinsemellan olika register på den lokala nivån.

d)Under senare år har det blivit alltmer vanligt att inrapportering till nationella kvalitetsregister sker fortlöpande via Internet eller Sjunet. Uppgifterna registreras här direkt i det nationella kvali- tetsregistret av den rapporterande kliniken enligt elektroniska formulär. Vem som helst kan emellertid inte lämna uppgifter till registren. Inloggningsförfarande med individuella behörighets- identiteter och lösenord finns regelmässigt. Ofta har en behörig användare också via Internet direktåtkomst till den egna klinikens aktuella uppgifter och jämförande nationell statistik. Omedel- bara automatiserade resultatanalyser kan alltså tas fram på lokal nivå i dessa system. I vissa fall kan deltagande kliniker on-line bearbeta personuppgifter om patienter som man anmält till re- gistret. All kommunikation krypteras.

Några nationella kvalitetsregister är så utformade att uppgif- terna i dem kan användas direkt i vården av den aktuella patien- ten som registreras. Det sker t.ex. genom att systemet efter inrapportering kan framställa diagnos- eller behandlingsprofiler som kan läggas till grund för vårdöverenskommelser med enskilda patienter. I något register kan patienter själv fylla i uppgifter elektroniskt via Internet genom tilldelning av tillfälliga lösen- ord.

e)För att undvika dubbelarbete för vårdpersonal, och därmed minska problem med bortfall, utvecklas för närvarande system som innebär att registrering i kvalitetsregister integreras helt med den ordinarie patientjournalföringen. I denna variant av register-

435

Kvalitetsregister

SOU 2006:82

föring överförs uppgifter automatiskt från datajournaler till natio- nella kvalitetsregister. Av allt att döma kommer denna variant att få ett ökat genomslag inom en inte alltför avlägsen framtid. Även det omvända förekommer; att kvalitetsregisterföring sker var- efter uppgifter automatiskt överförs till journalen.

Personuppgiftsflöde

Nationella kvalitetsregister karaktäriseras, som framgått av det före- gående, av att personuppgifter samlas in från en rad, nationellt ut- spridda och separata, vårdenheter. Dessa vårdenheter lämnar alltså ut personuppgifterna för bearbetning och lagring i ett nationellt kva- litetsregister. Ett omfattande personuppgiftsflöde, elektronisk eller annat, förekommer alltså in till registren.

Något i omfattning motsvarande personuppgiftsflöde från registren förekommer inte såvitt framkommit. Visserligen kan lokala vården- heter få återrapporterat personuppgifter om patienter som de själva rapporterat till registret. Det förekommer också att forskare – efter sedvanlig etikprövning – medges tillgång till kvalitetsregistren och däri ingående personuppgifter eller att uppgifter lämnas till Social- styrelsen för samkörning med ett hälsodataregister. I övrigt synes dock utflödet av personuppgifter från registren vara mycket begränsat.

16.3Dagens reglering

Såsom redovisats i bl.a. avsnitt 7.3.2 omfattas personuppgiftsbehand- ling i kvalitetsregister, dvs. uppgiftssamlingar som inrättats särskilt för att mäta vårdkvalitet, inte av någon särreglering i förhållande till personuppgiftslagen I förarbetena till lagen (1998:488) om vårdre- gister (vårdregisterlagen) uttalade regeringen att kvalitetsregister förs för mer avgränsade ändamål än patientjournalen. Vidare anfördes att personuppgifter regelmässigt inte kommer att spridas från registren i identifierbart skick. Regeringen fann bl.a. därför inte skäl att före- slå någon särreglering (prop. 1997/98:108 s. 67).

Det sagda innebär alltså att personuppgiftslagen gäller fullt ut för behandling av personuppgifter i såväl nationella kvalitetsregister som för sådana som förs av vårdgivare inom en av landets sex sjukvårds- regioner eller inom ett landstingsområde. På lokal nivå, inom en vårdgivares verksamhet, kan kvalitetssäkringsarbete ofta ske genom bearbetning av uppgifter i ett vårdregister. Då är vårdregisterlagen

436

SOU 2006:82

Kvalitetsregister

tillämplig. Handlar det däremot om att vårdgivaren inrättar ett särskilt register för kvalitetsarbete är däremot vårdregisterlagen inte tillämplig utan bara personuppgiftslagen. Någon klar gräns för när vårdregister- lagen är tillämplig eller inte är emellertid i praktiken svår att dra.

Många gånger torde uppgifterna som lämnas ut till ett nationellt kvalitetsregister ingå i automatiserat förda lokala vårdregister. Av 9 § vårdregisterlagen följer att personuppgifter i vårdregister får lämnas ut på medium för automatiserad behandling bl.a. för ändamål som anges i 4 § 2 och 3 samma lag, dvs. för sådan uppföljning, utvärde- ring och kvalitetssäkring som bedrivs i nationella kvalitetsregister samt för forskningsändamål. Även bestämmelser i sekretesslagen (1980:100) eller lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område aktualiseras givetvis då personuppgifter inrap- porteras till ett nationellt kvalitetsregister. Dessa frågeställningar behandlas i avsnitt 16.5.1.

Vi har i bl.a. avsnitt 8 redogjort för vissa av de allmänna bestäm- melserna i personuppgiftslagen. De upprepas därför inte här.

En central frågeställning är emellertid vad som följer av person- uppgiftslagen när det gäller kvalitetsregisterföring utan den enskildes samtycke till personuppgiftsbehandlingen. Från personuppgifts- lagens utgångspunkt om samtycke som laglig grund för behandling av personuppgifter finns omfattande undantag för behandling som är nödvändig för ändamål eller i situationer som uttömmande anges i 10 § a–f personuppgiftslagen. Den bestämmelse som ger stöd för behandling av personuppgifter utan samtycke för kvalitetsuppföljning genom nationella kvalitetsregister finns i 10 § d. Enligt bestämmel- sen får personuppgifter behandlas utan samtycke, om behandlingen är nödvändig för att en arbetsuppgift av allmänt intresse skall kunna utföras. Det övergripande syftet med de nationella kvalitetsregistren är att kvalitetssäkra olika områden inom den svenska hälso- och sjukvården. Det allmänna intresset av sådan verksamhet kan knappast ifrågasättas.

Eftersom en stor del av de behandlade personuppgifterna rör hälsa, måste dessutom något annat undantag än det i 15 § personuppgifts- lagen för uttryckligt samtycke vara tillämpligt för att personupp- giftsbehandlingen i nationella kvalitetsregister inte skall strida mot personuppgiftslagen.

Det undantag som i första hand ger rättsligt stöd för behand- lingen är bestämmelsen i 18 § första stycket personuppgiftslagen enligt vilken känsliga personuppgifter får behandlas utan den registre- rades samtycke för hälso- och sjukvårdsändamål, om behandlingen

437

Kvalitetsregister

SOU 2006:82

är nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård. Enligt andra stycket samma paragraf får den som är yrkes- mässigt verksam inom hälso- och sjukvårdsområdet och har tyst- nadsplikt även behandla känsliga personuppgifter som omfattas av tystnadsplikten. Detsamma gäller den som är underkastad en liknande tystnadsplikt och som har fått känsliga uppgifter från verksamhet inom hälso- och sjukvården.

Det råder ingen tvekan om att nationella kvalitetsregister drivs inom hälso- och sjukvården för att i första hand höja eller i vart fall säkra kvaliteten av sådan vård eller behandling som avses i 18 § per- sonuppgiftslagen. Enligt utredningens bedömning är behandling av känsliga personuppgifter nödvändig för detta ändamål. Behandlingen av känsliga personuppgifter i nationella kvalitetsregister är därmed tillåten enligt personuppgiftslagen även utan samtycke från den re- gistrerade patienten. Datainspektionen har i en rapport om nationella kvalitetsregister (Datainspektionens rapport 2002:1) gjort samma bedömning.

När det gäller andra särskilda personuppgiftskategorier torde be- handling av personnummer i vissa fall vara klart motiverad om syftet är att t.ex. att göra långtidsuppföljningar etc. (se 22 § personupp- giftslagen). Uppgifter om lagöverträdelser m.m. kan lagligen behand- las under förutsättning att ett landsting eller någon annan myndighet är personuppgiftsansvarig för behandlingen och, givetvis, uppgifterna behövs för just den kvalitetssäkring som bedrivs inom kvalitets- registerföringen i fråga.

16.4Våra överväganden

16.4.1Behovet av särbestämmelser

Vårt förslag: I patientdatalagen tas in vissa särbestämmelser som bara gäller för nationella och regionala kvalitetsregister. Med kvali- tetsregister avses en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för systematisk och fort- löpande utveckling och säkring av vårdens kvalitet. Med ett natio- nellt eller ett regionalt kvalitetsregister avses ett kvalitetsregister till vilket personuppgifter har samlats in från flera vårdgivare och som möjliggör jämförelser inom hälso- och sjukvården på nationell eller regional nivå.

438

SOU 2006:82

Kvalitetsregister

Våra förslag i det föregående om patientdatalagens tillämpningsom- råde och ändamål (avsnitt 7.3.2 och 8.2) medför en särreglering i förhållande till personuppgiftslagen även i sådana kvalitetsregister som i dag faller vid sidan av vårdregisterlagens tillämpningsområde. Med begreppet kvalitetsregister avser vi en automatiserad och struk- turerad samling av personuppgifter som inrättats särskilt för kvalitets- säkringsändamål och i vilken personuppgifterna är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Med att en uppgiftssamling är strukturerad avses att uppgifterna är sorterade en- ligt något slags system (jfr Datalagskommitténs betänkande Integritet

– Offentlighet – Informationsteknik, SOU 1997:39 s. 339).

Inom hälso- och sjukvården förs kvalitetsregister på flera olika nivåer. De kan föras lokalt inom en offentlig eller privat vårdgivares verksamhet. Storleken av lokala register varierar givetvis. Det finns privata vårdgivare som bedriver verksamhet i mycket liten skala, t.ex. privatpraktiserande läkare eller tandläkare. Inom den allmänna hälso- och sjukvården kan all hälso- och sjukvård vara samlad under en enda nämnd i ett landsting eller en kommun. Enligt vår mening ger patientdatalagens allmänna bestämmelser en tillfredsställande reglering av kvalitetsregister som förs inom en vårdgivares verksamhet eller annars lokalt inom ett landstingsområde (lokala kvalitetsregister).

De kvalitetsregister inom hälso- och sjukvården som diskuteras inom vården och i den allmänna debatten avser i allmänhet register som förs i ett vidare perspektiv. I dessa register samlas personupp- gifter och annan information som rapporteras till registret från flera vårdgivare utspridda inom ett landsting, inom en eller flera av lan- dets sex sjukvårdsregioner eller i hela landet. I fortsättningen kallas dessa för nationella eller regionala kvalitetsregister. Signifikant för dessa register är att de sammanställda uppgifterna kan användas för att på olika nivåer generera kunskap om hälso- och sjukvårdens kva- litet just genom att jämförelser mellan olika vårdgivare eller geogra- fiska områden kan göras. Denna möjlighet har visat sig ha stor betydelse för kvalitetsförbättringen i olika avseenden. Liksom när det gäller lokala kvalitetsregister varierar nationella och regionala kvalitetsregister i storlek och omfattning, något som ofta samman- hänger med huruvida kvalitetsregistret i fråga rör en vanlig eller en mer sällsynt sjukdom.

Datoriserade register vari lagras känsliga personuppgifter som härrör från ett flertal vårdgivares patientverksamhet får, enligt vår mening, i typfallet anses som mer integritetskänsliga än lokala mot- svarigheter. Det finns därför anledning att kringgärda den aktuella

439

Kvalitetsregister

SOU 2006:82

personuppgiftshanteringen med vissa specialbestämmelser rörande några för integritetsskyddet viktiga förhållanden.

En tydligare reglering genom specialbestämmelser kan också ha den goda effekten att allmänhetens förtroende för registerverksam- heten bevaras på en hög nivå. Av samma skäl kan en reglering i bästa fall motverka bortfall genom att enskilda patienter blir mindre be- nägna att utnyttja den rätt att motsätta sig registrering i ett nationellt eller regionalt kvalitetsregister som vi föreslår nedan, se avsnitt 16.4.5.

Mot bakgrund av det sagda föreslås i det följande några bestäm- melser som enbart gäller för nationella och regionala kvalitetsregister. Bestämmelserna omfattar båda typerna av register, eftersom vi inte har funnit någon avgörande skillnad i integritetskänslighet mellan sådana register som förs i samarbete mellan flera vårdgivare inom ett landsting, en sjukvårdsregion eller sådana som omfattar flera eller alla regioner. Inte heller är den omständigheten att ett kvalitets- register får statligt bidrag till stöd för driften av någon nämnvärd betydelse i integritetshänseende. Bestämmelserna för nationella och regionala kvalitetsregister är alltså oberoende av vilka kvalitetsregister som i bidragshänseende är etablerade som nationella kvalitetsregister. För att särskilja nationella och regionala kvalitetsregister från lokala register bör av patientdatalagen framgå att särbestämmelserna bara gäller för ett kvalitetsregister till vilket personuppgifter samlats in från flera vårdgivare och som möjliggör jämförelser inom hälso- och sjukvården på nationell respektive regional nivå.

I lagförslaget används således registerbegreppet för att skilja ut kvalitetssäkringsarbete i särskilt inrättade uppgiftssamlingar från annan kvalitetssäkring som också avses omfattas av lagens tillämp- ningsområde, t.ex. sådan kvalitetssäkring som sker hos en vårdgivare genom sammanställning eller annan bearbetning av personuppgifter som finns i ett elektroniskt journalsystem.

När det gäller benämningen kvalitetsregister har vi övervägt om det skulle vara mera lämpligt att använda ett annat begrepp än register för att beskriva de särskilda datoriserade uppgiftssamlingar som här avses.

Personuppgiftslagen innehåller inga särbestämmelser för datori- serade register och begreppet register har blivit klart mindre juri- diskt relevant när det gäller elektronisk personuppgiftsbehandling. Redan under datalagens tid kritiserades registerbegreppet för att vara otidsenligt, bl.a. för att den tekniska utvecklingen inom IT-området gjort det allt svårare att skilja ett register från ett annat och för att

440

SOU 2006:82

Kvalitetsregister

det numera går att med datorhjälp söka och sammanställa uppgifter som över huvud taget inte har organiserats eller systematiserats i förväg.

Under 2000-talet har begreppet databas introducerats som ett juri- diskt begrepp i några registerförfattningar, se t.ex. 2 kap. 1 § lagen (2001:181) om behandling av personuppgifter i skatteförvaltningens verksamhet och 7 § lagen (2002:546) om behandling av personupp- gifter i den arbetsmarknadspolitiska verksamheten. I lagarna sägs att det i den verksamhet, vari personuppgiftsbehandlingen regleras genom respektive lag, får finnas en databas. Databasen utgör därvid en samling personuppgifter som med hjälp av automatiserad be- handling används gemensamt i verksamheten för ändamål som anges i lagarna. I Danmark kallas kvalitetsregister för kliniska kvalitets- databaser. Enligt danska Sundhedsstyrelsens definition är en klinisk kvalitetsdatabas ett register, som innehåller utvalda kvantifierbara indikatorer vilka kan belysa delar av eller den samlade kvaliteten av sjukvårdens insatser och resultat för en avgränsad patientgrupp med utgångspunkt i det enskilda vårdförloppet (Sundhedsstyrelsen 2001, Kliniska kvalitetsdatabaser Status 2000, del 1, Bilaga 1, i egen över- sättning).

Genom att välja begreppet databas i stället för register när det gäller de uppgiftssamlingar som här avses, skulle patientdatalagen visserligen bättre anpassas till de nyare författningar där det begreppet används för att beskriva särskilda datoriserade uppgiftssamlingar. När det gäller t.ex. webbaserade nationella kvalitetsregister är vidare databas en mer tekniskt adekvat beskrivning. De uppgiftssamlingar som här avses utgör emellertid register i begreppets traditionella be- märkelse. De karaktäriseras bl.a. av att de dels används för särskilda och förhållandevis begränsade ändamål, dels är väl avgränsade från andra uppgiftssamlingar. De samlade uppgifterna är på förhand be- stämda variabler som systematiserats och organiserats för att senare kunna sammanställas utifrån särskilda kriterier. De databaser som regleras i särskilda registerförfattningar utmärks av att de, utöver mer registerartade uppgifter, innehåller osystematiserade uppgifter, löpande texter, elektroniska dokument av olika slag m.m. som finns inom en myndighets samlade ärendehantering och som är gemen- samt tillgängliga för personalen. Dessa uppgiftssamlingar är alltså inte helt jämförbara med de uppgiftssamlingar som inrättats särskilt för kvalitetssäkring av hälso- och sjukvård. Det juridiska begreppet databas motsvarar inte heller det tekniska begreppet databas.

441

Kvalitetsregister

SOU 2006:82

I förarbetena till personuppgiftslagen uttalade regeringen om re- gisterbegreppet att inget hindrar att ett datoriserat register också kallas för det (prop. 1997/98.44 s.39). På grund av det anförda sam- mantaget med att kvalitetsregister är en sedan flera år inarbetad be- nämning på dessa uppgiftssamlingar inom hälso- och sjukvården, har vi ansett att övervägande skäl talar för att använda registerbegreppet för att beskriva uppgiftssamlingarna.

Som påpekats tidigare pågår utvecklingsarbete med att integrera elektronisk journalföring med kvalitetsregisterrapportering. I sådana integrerade system är patientdatalagens bestämmelser om journal- föring och annan vårddokumentation tillämpliga på den personupp- giftsbehandling som sker på den lokala kliniken eller annan vårdin- rättning för vårddokumentationsändamål medan särbestämmelserna för nationella och regionala kvalitetsregister är tillämpliga i fråga om den del av hanteringen som utgör eller syftar till central hantering, bearbetning, lagring m.m. i kvalitetsregistret.

16.4.2Kvalitetsregisters ändamål

Vårt förslag: I patientdatalagen regleras uttömmande för vilka ändamål som personuppgifter i ett nationellt eller regionalt kva- litetsregister får behandlas.

Personuppgifter får samlas in och behandlas för det över- gripande och primära syftet att systematiskt och fortlöpande ut- veckla och säkra vårdens kvalitet. Insamlade personuppgifter får därutöver även behandlas för ändamålen framställning av statistik eller forskning inom hälso- och sjukvårdsområdet. Personupp- giftsbehandling får vidare ske genom utlämnande till mottagare som skall använda uppgifterna för något av de nämnda ändamålen. Därutöver får utlämnande ske enligt 2 kap. tryckfrihetsförord- ningen samt enligt sådan särskilt föreskriven uppgiftsskyldighet som föreskrivs i lag eller förordning och som avses i 14 kap. 1 § sekretesslagen eller motsvarande bestämmelser i 2 kap. 8 och 9 §§ lagen om yrkesverksamhet på hälso- och sjukvårdens område.

442

SOU 2006:82

Kvalitetsregister

Primärt ändamål

För att upprätthålla allmänhetens förtroende för nationella och regio- nala kvalitetsregister är det av avgörande betydelse att det av lagen klart framgår för vilka ändamål personuppgifterna i registren får an- vändas. Redan tidigare, se bl.a. föregående avsnitt och avsnitt 15.4.3, har framgått att det övergripande ändamålet för kvalitetsregistren skall vara kvalitetssäkring, dvs. systematisk och fortlöpande utveck- ling och säkring av vårdens kvalitet (se 31 § hälso- och sjukvårds- lagen och 16 § tandvårdslagen [1985:125]). Såsom angetts i avsnitt 15.4.3 skall det primära syftet vara att följa upp medicinsk och annan kvalitet i själva vårdinsatserna och alltså inte för att kontrollera sjukvårdens kostnadseffektivitet och produktivitet allmänt sett. Med vård avses individinriktad patientverksamhet, dvs. vård, undersökning och behandling inom hälso- och sjukvården. Som kommer att fram- gå i det följande föreslår vi att detta syfte också skall vara bestäm- mande för vilka personuppgifter som över huvud taget får behandlas i nationella och regionala kvalitetsregister.

Självklart måste detta primära ändamål i sin tur brytas ner i mer preciserade ändamål som är anpassade för varje särskilt register och det medicinska specialområde eller motsvarande som avses täckas med registret. I avsnitt 16.2 har nämnts några exempel på precise- ringar som är inriktade på vårdkvalitet, såsom att utvärdera skillna- der i diagnostik eller behandlingsmetoder, att identifiera geografiska skillnader i tillgång på vård, jämföra vårdresultat med patientens upplevda tillfredsställelse med vården m.m.

Sekundära ändamål

Enligt vår mening är det emellertid befogat att för kvalitetssäkring redan insamlade personuppgifter – på motsvarande sätt som i dag sker – får behandlas också för vissa andra, sekundära ändamål, nämligen sådan statistik rörande hälso- och sjukvård som inte är en del av kvalitetssäkringsarbetet samt för forskning inom hälso- och sjukvårdsområdet. Slutligen bör anges som ett ändamål att uppgifter- na i vissa fall får lämnas ut till tredje man, i huvudsak mottagare som skall använda uppgifterna för något av de redan nämnda ändamålen. Av hänsyn till enskildas personliga integritet bör inga andra ändamål vara tillåtna. Vårt förslag om ändamål för nationella och regionala kvalitetsregister skall alltså vara uttömmande. Det innebär att det

443

Kvalitetsregister

SOU 2006:82

inte är tillåtet att behandla personuppgifterna också för andra ända- mål även om dessa inte är oförenliga med det ändamål för vilket uppgifterna har samlats in, dvs. kvalitetssäkring. Personuppgiftslagens finalitetsprincip gäller alltså inte vid behandling av personuppgifter i nationella eller regionala kvalitetsregister.

När det gäller det särskilda ändamålet statistik om hälso- och sjuk- vård kan anmärkas att inrapporterade data sammanställs statistiskt i de återrapporteringar m.m. som framställs i kvalitetssäkringsarbetet. Sådan statistikframställning omfattas av det primära ändamålet kvali- tetssäkring. Det särskilda statistikändamålet tillåter därutöver att personuppgifter behandlas särskilt för att framställa statistik som skall användas för andra ändamål än att förbättra vårdens kvalitet. Det kan röra statistik som framställs för att ge särskilt analys- och beslutsunderlag åt politiker och administratörer vid beräkning av kostnadseffektivitet, produktivitet, administrativ planering och lik- nande. Ett annat exempel är statistik för att informera allmänheten om verksamheten och dess resultat. I praktiken torde det ofta vara flytande gränser mellan de ändamål för vilka statistik framställs.

Det särskilda efterkommande ändamålet forskning medger att personuppgifter, som samlats in för kvalitetssäkringsändamål, också skall få används i forskning inom hälso- och sjukvårdsområdet. Med forskning avses även epidemiologiska studier. Det skall dock obser- veras att ändamålet inte utgör något undantag från lagen (2003:460) om etikprövning av forskning som avser människor (etikprövnings- lagen) och dess krav på etikprövning då forskning innefattar be- handling av känsliga personuppgifter m.m. Har den enskilde inte uttryckligen samtyckt till personuppgiftsbehandlingen för ett specifikt forskningsprojekt, krävs godkännande av etikprövningsnämnd vid all forskning avseende personuppgifter i kvalitetsregister. Det sagda gäller oberoende av om forskningen bedrivs av den för registret per- sonuppgiftsansvariga myndigheten eller av annan. Angående gräns- dragningen forskning och kvalitetssäkring, se prop. 2002/03:50 s. 91. I sammanhanget kan nämnas att Etikprövningsutredningen föresla- git att alla forskningsprojekt avseende känsliga personuppgifter skall etikprövas alldeles oavsett om den enskilde samtyckt till personupp- giftsbehandlingen i forskningsprojektet eller inte (SOU 2005:78). Förslaget bereds för närvarande i Regeringskansliet.

Slutligen föreslår vi som ett särskilt ändamål en uttrycklig be- stämmelse som med ett undantag uttömmande reglerar när person- uppgifter får behandlas genom att lämnas ut från ett nationellt eller

444

SOU 2006:82

Kvalitetsregister

regionalt kvalitetsregister till en extern mottagare för annat än de redan nämnda syftena.

Undantaget gäller utlämnande av personuppgifter enligt 2 kap. tryckfrihetsförordningen som givetvis också kan ske utan att det särskilt behöver föreskrivas. Det följer av principen om grundlags företräde framför vanlig lag och anges dessutom uttryckligen i 8 § personuppgiftslagen, som gäller också vid behandling av personupp- gifter enligt den föreslagna lagen. Det är en annan sak att sådant upp- giftsutlämnande på grund av sekretess normalt inte kan ske till annan än den berörde registrerade.

Av hänsyn till enskildas integritet bör, enligt vår mening, person- uppgifter få lämnas ut till tredje man bara om mottagaren skall an- vända uppgifterna för att själv bedriva kvalitetssäkring av hälso- och sjukvård, för forskning inom hälso- och sjukvårdsområdet eller för att framställa statistik. Vidare bör personuppgifter kunna lämnas ut om det följer av en särskilt föreskriven uppgiftsskyldighet som avses i 14 kap. 1 § sekretesslagen eller 2 kap. 8 och 9 §§ lagen om yrkes- verksamhet på hälso- och sjukvårdens område. Ett exempel är att uppgifter lämnas ut enligt 43 § personuppgiftslagen i samband med Datainspektionens tillsyn över personuppgiftsbehandlingen eller att uppgifter levereras till hälsodataregister via ett kvalitetsregister.

Utrymmet för att lämna ut personuppgifter från kvalitetsregistren är således väsentligen mera snävt än vad vi föreslagit i stort när det gäller personuppgifter inom hälso- och sjukvården där det räcker att utlämnandet sker i överensstämmelse med lag eller förordning, se avsnitt 8.2. Vi menar emellertid att övervägande skäl talar mot att exempelvis tillåta utlämnande med stöd av 15 kap. 5 § sekretesslagen, som föreskriver att en myndighet på begäran av en annan myn- dighet skall lämna ut uppgift som den förfogar över i den mån inte hinder möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. Det är nämligen svårt att överblicka vilket uppgiftsutlämnande som en tillämpning av 15 kap. 5 § sekretesslagen kan leda till. Visserligen gäller sekretess för uppgifterna i ett kvali- tetsregister, men man kan inte bortse från att en sedvanlig skade- bedömning enligt sekretesslagen kan leda till att uppgifterna anses kunna lämnas ut till t.ex. en annan myndighet som är verksam inom hälso- och sjukvården eller socialtjänsten. Ett annat exempel är att uppgifter lämnas ut till en enskild med förbehåll enligt 14 kap. 9 § sekretesslagen utan att mottagaren har ett forsknings- eller statistik- ändamål avseende uppgifterna. En sådan osäkerhet kring vilket upp- giftsutlämnande från ett nationellt eller regionalt kvalitetsregister

445

Kvalitetsregister

SOU 2006:82

som är tillåtet, kan enligt vår mening inte accepteras när det gäller så integritetskänsliga uppgifter som det här är fråga om. Vi förordar alltså större precision och tydlighet när det gäller dessa register.

Den av oss förordade modellen att så specifikt beskriva tillåtna ut- lämnanden innebär ett starkt integritetsskydd för den enskilde. Av patientdatalagen framgår alltså tydligt när uppgifter, som är insam- lade för kvalitetssäkring, kan lämnas ut till tredje man. Samtidigt kan man naturligtvis inte helt bortse från att det framgent kan komma att visa sig att andra uppgiftsutlämnanden än dem som vi har reglerat kanske bör få förekomma. I så fall får man då överväga om någon ändring bör göras i de sekundära ändamålen. Det kan dock här erinras om att det kommer att vara möjligt att behandla personuppgifterna för andra ändamål än de här nämnda, om ett särskilt och uttryckligt samtycke till det föreligger från de enskilda registrerade. Det framgår av vårt förslag om verkan av den enskildes uttryckliga samtycke till personuppgiftsbehandling utöver den som tillåts i patientdatalagen, se avsnitt 8.5.

16.4.3Personuppgiftsansvar

Vårt förslag: För sådan personuppgiftsbehandling i nationella och regionala kvalitetsregister som sker på central nivå skall bara en eller flera myndigheter inom landsting eller kommuner få vara personuppgiftsansvariga. Regeringen får i förordning föreskriva att även enskild får vara personuppgiftsansvarig.

För den personuppgiftsbehandling som i kvalitetsregisterrap- porteringen deltagande vårdgivare utför, gäller patientdatalagens huvudregel om att varje myndighet inom hälso- och sjukvården eller privata vårdgivare är personuppgiftsansvarig för den person- uppgiftsbehandling som den utför.

Vem som är personuppgiftsansvarig för behandling av personupp- gifter i de olika nationella kvalitetsregistren är en komplex fråga. En genomgång av de nationella kvalitetsregister som finns i dag ger ingen entydig bild av hur det förhåller sig med personuppgiftsan- svaret. Endast i fråga om en del register finns det nämligen uttalad information till registrerade eller andra om vem eller vilka som är personuppgiftsansvariga för behandlingen av personuppgifter i re- gistret. I Datainspektionens tidigare nämnda rapport om nationella

446

SOU 2006:82

Kvalitetsregister

kvalitetsregister konstaterades också att det råder en stor osäkerhet hos registerförare om vad som gäller härvidlag.

Vanligen anges en sjukvårdshuvudman, ett landsting, som huvud- man för ett register och en viss person som registerhållare eller re- gisteransvarig. Myndigheten, och inte enskilda kliniker eller läkare, torde i dessa fall vara att anse som personuppgiftsansvarig för registret i fråga. Ibland förekommer emellertid uppgift om att det är en specia- listförening, dvs. en ideell förening, som äger, driver och ansvarar för ett register. Även en sådan förening kan vara personuppgiftsansvarig för behandlingen av personuppgifter i ett nationellt kvalitetsregister. Inte sällan är det oklart om ett kvalitetsregister förs i en specialist- förenings eller i en eller flera sjukvårdshuvudmäns regi. Det kan här nämnas att personuppgiftslagen i och för sig inte hindrar att ansvaret delas av flera. I praktiken torde det emellertid vara ovanligt att myn- digheter delar personuppgiftsansvar med enskilda.

I avsnitt 8.3 har vi föreslagit en grundläggande bestämmelse om personuppgiftsansvar vid behandling av personuppgifter enligt patient- datalagen. Enligt bestämmelsen är varje myndighet inom hälso- och sjukvården eller privata vårdgivare personuppgiftsansvarig för den behandling av personuppgifter som den utför. När det gäller inne- börden av personuppgiftsansvaret hänvisas till avsnitt 8.3.

Liksom vid sammanhållen journalföring, se avsnitt 11.6, uppkom- mer emellertid frågor om det finns anledning att därutöver föreslå någon särreglering av personuppgiftsansvaret för nationella och regionala kvalitetsregister med tanke på det samarbete mellan flera aktörer som kvalitetsregisterföringen innebär. En särskild fråga här är också i vad mån specialistföreningar, dvs. ideella föreningar, bör kunna ha ett personuppgiftsansvar för ett kvalitetsregister, ensamt eller delat med inrapporterande myndigheter och privata vårdgivare. I dessa frågor gör vi följande bedömning.

Givetvis underlättas den enskildes möjligheter att ta till vara sina rättigheter, om det direkt av lagen framgår vem han eller hon skall vända sig till med klagomål på personuppgiftsbehandlingen i ett kva- litetsregister. Ansvaret för den stora mängden nationella eller re- gionala kvalitetsregister är emellertid i hög grad utspritt inom den praktiserande hälso- och sjukvården. Nya register tillkommer hela tiden och vissa läggs ibland ner. Kvalitetsregistren är dessutom orga- niserade på olika sätt och har många involverade aktörer som i olika skeden och på olika sätt behandlar de personuppgifter som ingår i eller skall ingå i registren. En detaljreglering av personuppgiftsan- svaret ter sig mot den bakgrunden knappast möjlig. En reglering

447

Kvalitetsregister

SOU 2006:82

skulle dessutom riskera att låsa fast registerföringen i oflexibla orga- nisationslösningar, som kanske inte passar för alla typer av kvalitets- register eller som inte visar sig vara ändamålsenliga över tiden. Något direkt utpekande av vem som skall vara personuppgiftsansvarig för nationella eller regionala kvalitetsregister föreslås alltså inte.

Vi föreslår dock en bestämmelse som anger att endast en eller flera myndigheter inom landsting och kommuner, skall få driva ett nationellt eller regionalt kvalitetsregister, dvs. administrera och han- tera personuppgifterna på den centrala registernivån. Från denna huvudregel föreslås dock att regeringen skall få medge undantag i förordning. Huvudregeln är motiverad av att det framstår som mindre lämpligt att stora samlingar av typiskt sett integritetskänsliga person- uppgifter samlas i enskild verksamhet utan att förutsättningarna för detta närmare övervägs och anges. Det bör dock lämpligen ske i för- fattning på lägre nivå. Inom många verksamheter torde det inte finnas några hinder mot att privata vårdgivare ansvarar för större kvalitets- register, t.ex. inom tandvården. Enligt vår uppfattning bör det dock inte förekomma att specialistföreningar för läkare formellt ansvarar för personuppgiftsbehandlingen. Det är en helt annan sak att den faktiska administrationen och praktiska styrningen kan skötas av en specialistförening inom ramen för ett landstings verksamhet.

För den personuppgiftsbehandling som privata eller offentliga vård- givare utför när de samlar in och rapporterar in uppgifter till registret eller annars behandlar registrerade personuppgifter (exempelvis efter ”hemtagning” av uppgifter som man har direktåtkomst till), före- slås emellertid respektive vårdgivare själv vara personuppgiftsansvarig enligt patientdatalagens allmänna huvudregel om personuppgifts- ansvar. Det innebär t.ex. att när en privatpraktiserande vårdgivare fyller i elektroniska blanketter för rapportering till ett kvalitetsregister, som en myndighet inom ett landsting är personuppgiftsansvarig för, är det vårdgivaren och inte landstinget som bär personuppgiftsansva- ret för att personuppgifterna hanteras korrekt samt i enlighet med patientdatalagens och sekretesslagens krav. Om vårdgivaren t.ex. i strid mot de sistnämnda lagarna lämnar ut kvalitetsregisteruppgifterna till obehörig tredje man, sker det alltså under vårdgivarens ansvar. För den fortsatta centrala hanteringen av inrapporterade personupp- gifter föreslås emellertid, som nyss sagts, personuppgiftsansvaret vara samlat hos en eller flera myndigheter. Till den centrala hanteringen hör t.ex. ansvaret för säkerhetsfrågor och ansvaret för att felaktiga uppgifter i registret rättas.

448

SOU 2006:82

Kvalitetsregister

Det föreslagna uppdelade ansvaret mellan den myndighet som centralt administrerar ett kvalitetsregister och inrapporterande vård- enheter kan hävdas vara mindre integritetsvänlig jämfört med en ordning som innebär att den centrala administratören ensam har ansvaret för all personuppgiftsbehandling som sker inom ramen för ett register. Den enskilde kan ju behöva vända sig både till inrappor- terande vårdgivare och till den centralt personuppgiftsansvariga vård- givaren för att få rätt, om att exempelvis en uppgift skall rättas.

Enligt vår mening är det dock rimligt att vårdgivarna – som är skyldiga att kvalitetssäkra sin verksamhet – enligt patientdatalagens huvudregel själva bär det formella ansvaret för den personuppgifts- hantering som de själva utför i samband med registerhanteringen. Den hanteringen har vidare en central administratör normalt inga formella eller praktiska möjligheter att närmare kontrollera utöver de befogenheter som följer av personuppgiftsansvaret. Ett landsting, som åtagit sig ett personuppgiftsansvar för ett kvalitetsregister, är ju en vårdgivare bland alla inrapporterande vårdgivare och har ingen central organisatorisk eller bestämmande funktion visavi andra landsting eller övriga vårdgivare. De nationella och regionala kvalitetsregistrens betydelse för det lokala kvalitetsförbättringsarbetet innebär vidare att vårdgivarna har ett starkt egenintresse av att dessa register förs. Det är bl.a. därför inte heller lämpligt att lösa situationen med att personuppgiftsansvarig offentlig vårdgivare träffar individuella per- sonuppgiftsbiträdesavtal med inrapporterande vårdgivare. Vi befarar dessutom att de enskilda landstingen kan vara tveksamma till att åta sig ett personuppgiftsansvar som omfattar alla deltagande vårdgivares personuppgiftsbehandling i samband med ett nationellt eller regionalt kvalitetsregister. Den aspekten har betydelse för kvalitetsregistrens framtid, eftersom förandet av kvalitetsregister inte är en obliga- torisk verksamhet för landstingen.

Mot bakgrund av det anförda anser vi att övervägande skäl talar för det föreslagna uppdelade personuppgiftsansvaret.’

449

Kvalitetsregister

SOU 2006:82

16.4.4Kvalitetsregisters innehåll

Vårt förslag: I patientdatalagen förtydligas att det bara är sådana uppgifter som behövs för det primära ändamålet kvalitetssäkring av vård som får tas in i ett nationellt eller regionalt kvalitets- register.

Vidare anges att den registrerades personnummer eller namn får behandlas i ett nationellt eller regionalt kvalitetsregister en- dast om det för kvalitetssäkringsändamålet inte är tillräckligt att behandla kodade personuppgifter eller personuppgifter som endast indirekt utpekar den registrerade.

Känsliga personuppgifter som avses i 13 § personuppgiftslagen och som inte rör hälsa samt personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får behandlas endast om rege- ringen, eller den myndighet som regeringen bestämmer, i enskilda fall medger det.

Enligt våra direktiv skall vi föreslå vilka uppgifter som skall få tas in i ett nationellt kvalitetsregister. Att närmare precisera i detalj vilka personuppgifter som får behandlas i alla de sinsemellan olika natio- nella kvalitetsregistren ter sig emellertid som en omöjlighet, i vart fall på lagstiftningsnivå. Enligt vår uppfattning bör emellertid några begränsningar införas av hänsyn till enskildas personliga integritet.

Den första begränsningen innebär att det bara är personuppgifter som behövs för ändamålet kvalitetssäkring av hälso- och sjukvårds- verksamhet som får samlas in och fortsättningsvis behandlas. Det kan påpekas att tolkningen av vad som behövs för ändamålet kvali- tetssäkring av hälso- och sjukvårdsverksamhet kan ske inom ganska vida ramar. Exempelvis ser vi inget hinder mot att uppgifter om vårdens kostnadseffektivitet i form av Kostnad Per Patient (KPP), nyckeltal och liknande behandlas parallellt med uppgifter om be- handlingsresultat m.m. Personuppgifter som inte direkt behövs för kvalitetssäkringsändamål utan enbart skulle vara bra att ha i framtida forskningsprojekt får dock inte samlas in. För förtroendet för verk- samheten är det väsentligt att det inte uppstår misstankar hos allmän- heten om att kvalitetsregisterföringen i själva verket handlar om att bygga upp forskningsdatabaser inom hälso- och sjukvården.

Vidare föreslår vi att nationella och regionala kvalitetsregister i första hand skall bygga på användningen av kodade personuppgifter eller indirekt utpekande personuppgifter (t.ex. ålder, kön och hem- ort i kombination med sjukdomsrelaterade uppgifter) i stället för

450

SOU 2006:82

Kvalitetsregister

direkt utpekande personuppgifter. Som exempel på skäl som kan göra behandling av personnummer tillåten kan nämnas att registerupp- gifterna skall samköras med andra register för kvalitetssäkringsända- mål. Ett annat skäl kan vara att patienter avses följas upp över lång tid och att identifiering av patienter som påbörjar förnyad behand- ling, omoperation eller liknande är väsentlig för uppföljningen.

Uppgifter om hälsa (fysisk eller psykisk) är känsliga personupp- gifter enligt 13 § personuppgiftslagen och måste naturligtvis få be- handlas i nationella och regionala kvalitetsregister. Däremot finns det från integritetssynpunkt skäl att inskränka utrymmet för behandling av andra känsliga personuppgifter som avses i 13 § personuppgifts- lagen liksom uppgifter om lagöverträdelser m.m. som avses i 21 § samma lag. Vi föreslår att sådana uppgifter skall få behandlas i natio- nella eller regionala kvalitetsregister bara om regeringen – eller efter vidaredelegation Datainspektionen efter samråd med Socialstyrelsen

– i enskilda fall tillåter det. Normalt torde det i en del särskilda register vara klart motiverat att behandla uppgifter om t.ex. ras, etniskt ursprung, sexualliv eller ett tvångsomhändertagande. De närmare förutsättningarna bör dock inte anges i författning utan i beslut i enskilda fall rörande ett visst kvalitetsregister. Här kan erinras om att vårt förslag i avsnitt 8.5 om verkan av den enskilde registrerades uttryckliga samtycke, medför att dessa slags uppgifter med ett sådant samtycke får registreras i ett kvalitetsregister redan utan särskilt stöd i ett särskilt beslut. I dessa fall kan inte nog understrykas att det i information till den enskilde klart bör framgå att ett uttryckligt sam- tycke omfattar just dessa slags personuppgiftskategorier.

Enligt vår mening är det förenligt med Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för en- skilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) att i nationell lagstiftning uppställa en begränsning för behandling i sär- skilda register av vissa personuppgiftskategorier på det sätt som här föreslagits.

451

Kvalitetsregister

SOU 2006:82

16.4.5Den enskildes inställning

Vårt förslag: I patientdatalagen införs en bestämmelse som – till skillnad från vad som i dag gäller enligt personuppgiftslagen – ger patienten en rätt att slippa bli registrerad i ett nationellt eller regionalt kvalitetsregister. Denna rätt gäller även efter en re- gistrering. I sådant fall skall uppgifter om patienten strykas. dvs. utplånas, ur registret.

Enligt våra direktiv bör utredningen ha som utgångspunkt att den enskilde skall lämna ett uttryckligt och informerat samtycke till be- handling av personuppgifter i nationella kvalitetsregister. Vi skall dock analysera konsekvenserna av att registreringen inte alltid blir heltäckande, om samtycke krävs. Inledningsvis kan i denna fråga sägas att behandling av personuppgifter i kvalitetsregister och framför allt inrapportering från vårdgivare till ett nationellt eller ett regionalt kvalitetsregister omfattar inte bara rättsliga frågeställningar om reg- leringen av personuppgiftsbehandlingen. Även sekretessfrågor aktua- liseras. Vi kommer dock att behandla sekretessfrågorna särskilt i avsnitt 16.5. Redan här kan emellertid sägas att regleringarna inte är helt samordnade, inte minst i fråga om betydelsen av den registre- rades inställning. I detta avsnitt behandlas dock bara regleringen av personuppgiftsbehandlingen.

Av det tidigare sagda, om att personuppgiftsbehandlingen i natio- nella kvalitetsregister nu är tillåten enligt personuppgiftslagen även utan den registrerades samtycke, följer att en uttrycklig särbestäm- melse är nödvändig, om vi föreslår att ett samtyckeskrav skall införas.

En särskild fråga som måste övervägas i samband härmed är frågan om hur ett samtyckeskrav förhåller sig till dataskyddsdirektivet.

Dataskyddsdirektivet är till sin karaktär inget minimidirektiv. Det innebär bl.a. att medlemsstaterna inte får föreskriva ett mer långt- gående skydd för den personliga integriteten vid behandling av per- sonuppgifter än vad som följer av direktivet (jämför artikel 1 punkt 2, se även SOU 1997:39 s. 110). Enligt direktivet skall medlemsstater- na föreskriva att personuppgifter får behandlas utan samtycke, om det är nödvändigt för att utföra en arbetsuppgift som är av allmänt intresse (artikel 7 e). Likaså skall medlemsstaterna föreskriva att känsliga personuppgifter får behandlas utan samtycke, om det är nöd- vändigt med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård (artikel 8 punkt 3). Någon uttrycklig bestämmelse som

452

SOU 2006:82

Kvalitetsregister

anger att medlemsstaterna får göra inskränkningar i fråga om just dessa behandlingar av hänsyn till enskildas integritet finns inte (jfr artikel 13). Det kan alltså inte anses självklart att införandet av ett generellt samtyckeskrav är förenligt med vad direktivet förutsätter i fråga om det fria flödet av personuppgifter mellan medlemsstaterna. Enligt vår bedömning bör dataskyddsdirektivet dock inte tolkas så snävt. Vi menar alltså att direktivet inte i och för sig utgör hinder mot att föreskriva den registrerades samtycke som förutsättning för behandling av personuppgifter i nationella eller regionala kvalitets- register.

Vi har genomfört en särskild undersökning av hur frågan om samtycke och information hanteras vid förandet av de nuvarande nationella kvalitetsregistren. Undersökningen har skett genom att en skriftlig förfrågan skickats ut till ett knappt sextiotal registerföra- re. Skriftligt svar har inkommit från knappt två tredjedelar av de tillfrågade. I fråga om de flesta nationella kvalitetsregister synes som förutsättning tillämpas att patienterna accepterar den ifrågavarande personuppgiftsbehandlingen. Det förekommer emellertid också att inrapportering till och behandling av personuppgifter i registren sker utan att patientens inställning därtill klargörs. Svaren ger sammantaget en splittrad bild av huruvida samtycke till registrering i nationella kvalitetsregister inhämtas eller inte. Patienternas frivilliga deltagande i de nationella kvalitetsregistren anförs ofta, men långt ifrån alltid, som en förutsättning för registerföringen. I flera av registren, som anger frivillig medverkan som en förutsättning för registerföringen, inhämtas dock inte något sådant samtycke som uppfyller personupp- giftslagens krav på ett uttryckligt eller annan form av samtycke. I stället förekommer ofta s.k. tyst samtycke som i princip innebär att patienten, efter att ha fått information om registret och att deltagan- det däri är frivilligt, underlåter att lämna besked om att han eller hon motsätter sig personuppgiftsbehandlingen i registret. Rent gene- rellt synes bortfall i registreringen på grund av patienternas val att inte ingå vara försumbart eller i flera fall obefintligt, i synnerhet bland de register som åberopar att registreringen är frivillig för patienten men där särskilt samtycke inte inhämtas. Detta stämmer väl överens med vad vår enkätundersökning bland allmänheten visat om att det finns en klar majoritet som är positivt inställd till att vara med och bidra med ”sina” personuppgifter till kvalitetsförbättrande uppfölj- ning av vården.

Hittills har vår kartläggning dock inte visat exempel på att re- gistrering sker i strid mot patientens uttryckliga vilja. Det hade för

453

Kvalitetsregister

SOU 2006:82

övrigt knappast varit förenligt med annan reglering, t.ex. i sekre- tesslagen. I de kvalitetsregister vari t.ex. patienttillfredsställelse mäts genom patientenkäter eller det annars finns moment som förutsätter patientens aktiva medverkan är man naturligtvis också beroende av att patienten frivilligt lämnar och låter dessa uppgifter registreras.

I undersökningen har det framkommit att det för många natio- nella kvalitetsregister skulle medföra stora problem, om ett för- fattningsreglerat krav på samtycke införs som en förutsättning för personuppgiftsbehandlingen i registren. Problemen sammanhänger särskilt med att inhämtande av samtycke från patienterna skulle vara förenat med olägenheter av olika slag för inrapporterande kliniker m.fl. Det har från flera registerförare framhållits att ett samtyckes- krav skulle innebära en väsentligt ökad resursåtgång för hälso- och sjukvården, resurser som vårdgivaren har svårigheter att avvara från den sjukvårdande verksamheten. Inte minst på grund därav skulle ett samtyckeskrav medföra ett så stort bortfall i registreringen att registrens betydelse för kvalitetssäkringsarbetet och till och med fortsatta drift äventyras.

En sådan utveckling är naturligtvis inte önskvärd. Vårdgivare är enligt 31 § hälso- och sjukvårdslagen skyldiga att kvalitetssäkra sin verksamhet. Analyser av sammanställda personuppgifter i vårddoku- mentationen är en viktig, dock inte obligatorisk, metod i denna verk- samhet vars samhällsnytta torde vara obestridlig. En hög täcknings- grad är helt avgörande för tillförlitligheten i registren.

Häremot kan dock anföras att det inte heller är helt tillfreds- ställande från integritetssynpunkt att patienter enligt gällande rätt inte har något inflytande över om uppgifter om dem skall få behandlas inom hälso- och sjukvårdens kvalitetssäkringsarbete som sker i för ändamålet särskilt inrättade register som samlar uppgifter från flera olika vårdgivare. Uppgifterna är inte sällan av känslig art och bara den omständigheten att ömtåliga uppgifter finns i ett register kan upplevas som besvärande för den enskilde. Det sagda gäller oavsett om registret förs på nationell eller regional nivå och oaktat att till- gång till uppgifterna i registren regelmässigt är starkt begränsad till ett fåtal personer. Kvalitetsuppföljning är vidare en verksamhet som sker i enlighet med hälso- och sjukvårdslagen. I 2 a § samma lag betonas patientens medbestämmanderätt. Det kan alltså hävdas att det är mer i hälso- och sjukvårdslagens anda att registerföringen för- utsätter att den enskilde inte har något emot den, särskilt med tanke på att vårdgivarens deltagande i registerföringen inte är en direkt för- fattningsreglerad skyldighet. Vår undersökning bland allmänheten

454

SOU 2006:82

Kvalitetsregister

visar också att en majoritet menar att patienten bör ha ett inflytande i detta avseende.

Mot bakgrund av det anförda föreslår vi en bestämmelse som – med avvikelse från 12 § andra stycket personuppgiftslagen – ger den registrerade rätt att motsätta sig personuppgiftsbehandlingen förut- satt att denna sker i ett särskilt inrättat kvalitetsregister som förs nationellt eller regionalt.

Något krav på samtycke i den mening som avses i personupp- giftslagen såsom förutsättning för personuppgiftsbehandlingen före- slås alltså inte. Genom den föreslagna bestämmelsen uppnår man i stället en ordning där ett slags opt out-modell eller, om man så vill, ett tyst samtycke i praktiken gäller för personuppgiftsbehandling i kvalitetsregister. Givetvis bör denna ordning kombineras med krav på att den registrerade blir grundligt informerad om behandlingen och om sin rätt att motsätta sig den. Detta alternativ torde undan- röja några av de negativa konsekvenserna av ett författningsreglerat samtyckeskrav som påtalats i det föregående samtidigt som den en- skilde patientens integritetsskydd förbättras avsevärt i förhållande till nu gällande rätt enligt personuppgiftslagen. Såsom utvecklas nedan anser vi att förslaget är förenligt med dataskyddsdirektivet.

Någon särskild rätt att enbart motsätta sig personuppgiftsbehand- ling för ändamål som är sekundära föreslås inte här. Det bör dock anmärkas att det av 3 och 6 §§ etikprövningslagen följer att forsk- ning som innefattar behandling av känsliga personuppgifter som avses i 13 § personuppgiftslagen eller personuppgifter om lagöverträdelse m.m. som avses i 21 § personuppgiftslagen skall etikprövas, om forsk- ningspersonen inte har lämnat sitt uttryckliga samtycke till behand- lingen inom det ifrågavarande forskningsprojektet. Sådan forskning som baseras på känsliga personuppgifter m.m. i kvalitetsregister är alltså bara tillåten om antingen den enskilde uttryckligt samtyckt till den ifrågavarande behandlingen för forskningsändamålet eller per- sonuppgiftsbehandlingen har godkänts i ett etikprövningsförfarande. Våra förslag sätter alltså inte etikprövningslagen ur spel när det gäller forskning baserad på personuppgifter i kvalitetsregister. Detta gäller såväl den personuppgiftsansvarige vårdgivarens egen forsk- ning som tredje mans forskning.

Av 12 § första stycket personuppgiftslagen följer att personupp- giftsbehandling som har sitt rättsliga stöd i ett av den registrerade lämnat samtycke, får fortsätta i fråga om redan insamlade uppgifter även efter det att samtycket återkallas. Däremot får inte nya person- uppgifter samlas in och behandlas. Enligt vår mening bör en annan

455

Kvalitetsregister

SOU 2006:82

ordning tillämpas när det gäller registrering i nationella och regionala kvalitetsregister. Vi föreslår således att registrerade skall ha en rätt att få sina personuppgifter utplånade ur registret, dvs. helt borttagna. Förslaget motiveras främst av att den registrerades rätt i annat fall riskerar att inte sällan bli rent illusorisk. Detta med tanke på att per- sonuppgiftsbehandling kan komma att påbörjas även innan den re- gistrerade informerats om registret, t.ex. på grund av att den registre- rades hälsotillstånd har hindrat att information lämnas, se nedan avsnitt 16.4.6.

När det gäller frågan hur förslaget förhåller sig till dataskydds- direktivet följer av direktivets artikel 14 a att den registrerade skall tillförsäkras rätten att – bl.a. då personuppgifter får behandlas utan samtycke för att en arbetsuppgift av allmänt intresse skall kunna utföras (artikel 7 e – ”…när som helst av avgörande och berättigade skäl som rör hans personliga situation motsätta sig behandling av uppgifter som rör honom, utom när den nationella lagstiftningen före- skriver något annat. När invändningen är berättigad får den behand- ling som påbörjats av den registeransvarige inte längre avse dessa uppgifter.”) Vi har i avsnitt 8.5.3 föreslagit det förtydligandet i patientdatalagen att huvudregeln är att personuppgiftsbehandling med stöd av patientdatalagen får utföras även om den enskilde mot- sätter sig den. Vårt förslag när det gäller nationella och regionala kvalitetsregister är ett undantag från denna huvudregel. Mot bakgrund av bl.a. dataskyddsdirektivets artikel 14 a bedömer vi att undantaget är förenligt med dataskyddsdirektivet. Det torde inte vara nödvän- digt att föreskriva någon prövning av huruvida den enskildes invänd- ningar är berättigade eller inte (jfr dataskyddsdirektivets artikel 14 a). Behandlingen gäller i allmänhet uppgifter om hälsa, vilka är känsliga enligt såväl personuppgiftslagen som direktivet. Det bör därmed kunna anses ligga i sakens natur att den registrerade kan ha berät- tigade skäl att motsätta sig behandlingen.

Slutligen bör noteras att den omständigheten att det inte uppställs krav på särskilt samtycke till registrering givetvis inte innebär att vårdgivare inte får tillämpa en ordning där samtycke, uttryckligt eller inte, inhämtas. I många fall är det i hög grad lämpligt att inhämta samtycke från patienten. Våra förslag utgör en ramlag vari de yttre gränserna för den tillåtna personuppgiftsbehandlingen anges. Inom ramen överlåts det åt vårdgivarna att göra bedömningar såsom t.ex. om det för ett visst register är etiskt lämpligt med en ordning som innebär att uttryckligt samtycke till registrering i kvalitetsregister inhämtas. I sammanhanget kan påpekas att det ligger i vårdgivarnas

456

SOU 2006:82

Kvalitetsregister

långsiktiga intresse att patienternas och allmänhetens förtroende för informationshanteringen inte naggas i kanten.

Det har i utredningen gjorts gällande att patienternas rätt att mot- sätta sig behandling av personuppgifter i nationella eller regionala kvalitetsregister kommer att medföra problem att bygga upp kvali- tetsregister inom psykiatrin, särskilt inom tvångsvård enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård. Det har sagts oss att patienter inom dessa om- råden kan antas komma att i en inte obetydlig omfattning motsätta sig registrering. Vi har emellertid inte haft möjligheter att närmare utreda just detta område inom hälso- och sjukvården på sätt som ger tillräckligt stöd för att föreslå ett undantag för just detta område. Det är vidare ett område där särskilt integritetskänslig information kan antas ha betydelse som variabler i ett kvalitetsregister varför ett undantag från den huvudregel om patientens medbestämmanderätt som vi föreslår måste noga övervägas. Sådana överväganden bör i så fall göras efter utredning i särskild ordning.

16.4.6Information

Vårt förslag: Den enskilde skall informeras om personuppgifts- behandlingen i ett nationellt eller regionalt kvalitetsregister. Denna informationsskyldighet följer av patientdatalagens allmänna be- stämmelse om information som skall lämnas den enskilde och av personuppgiftslagen. Därutöver föreslår vi att den registrerade sär- skilt skall upplysas om sin rätt att när som helst få uppgifter om sig själv utplånade från registret. Vidare skall den enskilde informe- ras om i vilken utsträckning personuppgiftsbehandlingen avser uppgifter inhämtade från annan källa än patientjournalen eller patienten själv, t.ex. om uppgifter inhämtas genom samkörning med andra register. Dessutom föreslår vi att den registrerade sär- skilt skall informeras om till vilka kategorier av mottagare person- uppgifter kan komma att lämnas ut, t.ex. att det kan bli aktuellt att uppgifterna lämnas ut för forskningsändamål.

Informationen skall lämnas innan personuppgiftsbehandlingen påbörjas eller, om det inte är möjligt, så snart det kan ske.

Vår kartläggning av de nationella kvalitetsregistren ger vid handen att patienter som registreras i nationella kvalitetsregister normalt får skriftlig information om det aktuella registret. Utformningen av

457

Kvalitetsregister

SOU 2006:82

informationen varierar emellertid. I många fall synes personuppgifts- lagens krav på information som obligatoriskt och självmant skall lämnas till den registrerade inte helt uppfyllas. Exempelvis är det en mycket vanlig brist att det saknas upplysning om vem som är per- sonuppgiftsansvarig för behandlingen i registret, en i sammanhanget mycket viktig upplysning för att patienten skall kunna göra gällande sin rätt. Datainspektionen har också vid sin tillsyn av ett tiotal natio- nella kvalitetsregister funnit bristfälligheter när det gäller informa- tionens utformning.

I avsnitt 18.1 behandlar vi allmänna frågor om information som skall lämnas till patienten då personuppgifter behandlas enligt patient- datalagen. Dessa bestämmelser gäller givetvis även när personuppgifter behandlas i nationella och regionala kvalitetsregister. Det är här viktigt att framhålla att det av patientdatalagens allmänna bestäm- melse om information följer att särskild information om kvalitets- registerföringen i fråga måste ges till den enskilde, inte minst i fråga om att klargöra för patienten att registreringen är frivillig. Därför är det också viktigt att informationen lämnas före registreringen, vilket vi föreslår uttryckligen skall framgå i patientdatalagen.

Som närmare kommer att utvecklas i avsnitt 18.1 uppstår inte sällan situationer inom hälso- och sjukvården då information inte kan lämnas på ett tidigt stadium, t.ex. då patientens hälsotillstånd omöjliggör att information lämnas om en personuppgiftsbehandling. Det kan exempelvis bero på att patienten är medvetslös eller alltför fysiskt eller psykiskt medtagen för att kunna ta till sig information av det slag som här avses. Enligt vår uppfattning bör sådana situa- tioner inte förhindra att personuppgiftsbehandlingen ändå påbörjas. I annat fall torde t.ex. integrering av elektronisk journalföring och rapportering till kvalitetsregister i många fall försvåras eller till och med omöjliggöras. I stället föreslår vi att informationen i en sådan situation skall lämnas så snart det kan ske. Undantag föreslås där- för – när det gäller nationella och regionala kvalitetsregister – gälla i situationer då informationen inte kan lämnas på ett så tidigt stadium. På grund härav behöver patienten även informeras om sin rätt att när som helst begära att uppgifter utplånas ur registret

Vidare föreslås att patienten särskilt skall upplysas för det fall per- sonuppgiftsbehandlingen avser uppgifter inhämtade från annan källa än patientjournalen eller patienten själv, t.ex. om uppgifter inhämtas genom samkörning med andra register. Vidare föreslår vi att patien- ten särskilt skall informeras om huruvida och i så fall till vilka kate-

458

SOU 2006:82

Kvalitetsregister

gorier av mottagare personuppgifter lämnas ut, t.ex. att det kan bli aktuellt att uppgifterna lämnas ut för forskningsändamål.

Hur informationen skall ges bör överlåtas åt varje personuppgifts- ansvarig att bestämma. Något rättsligt krav på att informationen skall ges i viss form, muntlig eller skriftlig, föreslås alltså inte. Det finns dock anledning att understryka vikten av att den personupp- giftsansvarige utarbetar rutiner för hur informationsskyldigheten skall fullgöras. Säkra rutiner ligger i den personuppgiftsansvariges intresse, eftersom den personuppgiftsansvarige anses ha bevisbördan för att obligatorisk information enligt personuppgiftslagens krav på infor- mation faktiskt har lämnats till en registrerad. Sådant utdelande till berörda patienter av skriftliga informationsblad som i dag förekom- mer i fråga om ett flertal nationella kvalitetsregister är enligt vår mening ett lämpligt sätt att lämna information. Anslag i väntrum eller liknande och information på webbplats är bra komplement.

Det åligger också den personuppgiftsansvarige att tillse att infor- mationen är utformad på ett sätt som kan förstås av den registrerade. När det gäller t.ex. patienter som inte talar svenska bör den person- uppgiftsansvarige se till att någon översätter informationen eller att det finns skriftliga informationsblanketter på flera språk.

Det kan anmärkas att om ett kvalitetsregister först i ett senare skede avses (inom patientdatalagens ramar) användas för ett nytt ändamål eller planeras att samköras utan att registrerade patienter blivit informerade om detta vid registreringen är det tillräckligt att tydlig information om det nya ändamålet eller samkörningen lämnas t.ex. på en webbplats eller i tidningsannonser.

16.4.7Direktåtkomst

Vårt förslag: I patientdatalagen tas en uttrycklig bestämmelse in som anger att en vårdgivare får ha direktåtkomst till sådana per- sonuppgifter i ett kvalitetsregister som vårdgivaren tidigare rappor- terat in till registret.

I avsnitt 8.7 har vi föreslagit att direktåtkomst till personuppgifter som behandlas elektroniskt skall få förekomma bara i den utsträck- ning som medges i lag eller förordning. Med direktåtkomst avses en specialform av utlämnande av personuppgifter på medium för auto- matiserad behandling. Innebörden av direktåtkomst är, förenklat uttryckt, att en mottagare av personuppgifterna kan, genom direkt-

459

Kvalitetsregister

SOU 2006:82

uppkoppling till utlämnarens datasystem, söka efter och ta del av uppgifter i utlämnarens datasystem. Sådan direktåtkomst förekom- mer i flera av de nuvarande nationella kvalitetsregistren som tillämpar inrapportering via Internet. Direktåtkomsten avser emellertid bara personuppgifter om patienter som vårdgivaren själv inrapporterat till registret. Direktåtkomsten används av den inrapporterande vårdinrätt- ningen för att göra t.ex. lokala uppföljningar av den egna verksam- heten. Det kan här påpekas att personuppgifterna som finns lagrade i ett kvalitetsregister enligt såväl sekretesslagens som personupp- giftslagens synsätt är utlämnade från den inrapporterande vårdenheten och att ett nytt utlämnande äger rum då vårdenheten ges tillgång till ”sina” patientuppgifter i registret.

Vi menar att denna direktåtkomst till personuppgifter som vård- givaren tidigare inrapporterat till registret även fortsättningsvis bör vara tillåten. Mot bakgrund av det nyss nämnda förslaget i avsnitt 8.7 behövs en uttrycklig bestämmelse om denna direktåtkomst.

När det gäller vilka befattningshavare hos såväl inrapporterande vårdgivare som inom den centrala registerförarens organisation som skall ha tillgång till personuppgifter gäller patientdatalagens allmänna bestämmelser om inre sekretess och tilldelning av behörighet för elektronisk åtkomst till personuppgifter (se avsnitt 12). Av dessa be- stämmelser följer att endast den som behöver tillgång till personupp- gifter i ett nationellt eller regionalt kvalitetsregister för att utföra arbete för ändamål för vilka registren är tillåtna, får ha elektronisk åtkomst till sådana uppgifter.

16.4.8Bevarande och gallring

Vårt förslag: Personuppgifter i ett nationellt eller regionalt kvali- tetsregister skall gallras när de inte längre behövs för ändamålet kvalitetssäkring. Gallring kan ske genom att personuppgifterna avidentifieras. Vederbörande arkivmyndighet får dock meddela föreskrifter om att personuppgifterna skall bevaras under längre tid för historiska, statistiska eller vetenskapliga ändamål. Om regeringen föreskrivit att annan än myndighet i kommun eller landsting får vara personuppgiftsansvarig för ett nationellt eller regionalt kvalitetsregister, se avsnitt 16.4.3, får regeringen sam- tidigt föreskriva att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.

460

SOU 2006:82

Kvalitetsregister

I våra direktiv anges att vi skall överväga vad som skall gälla för register av olika livslängd och för bevarande av personuppgifter.

I vår kartläggning av nationella kvalitetsregister har det endast i undantagsfall framgått att uppgifterna systematiskt skall rensas eller gallras från nationella kvalitetsregister. I ett fåtal register avidentifie- ras personuppgifter efter vissa tidsramar. Ett vanligt skäl till att per- sonuppgifter bevaras är att patienter skall följas upp under lång tid, inte sällan återstående livstid. Det kan också påpekas att flertalet register är ganska nya. Många är fortfarande under uppbyggnad och i ett utvecklingsskede.

Huruvida registret i sin helhet förs av t.ex. en specialistförening eller av en specialistklinik vid ett offentligt sjukhus är naturligtvis av avgörande betydelse för frågan om personuppgifters bevarande eller gallring. I det förra fallet gäller personuppgiftslagens bestäm- melser om hur länge personuppgifter får behandlas medan arkivlagens (1990:782) bestämmelser om hur länge allmänna handlingar skall bevaras gäller i det senare fallet.

Med vårt förslag om personuppgiftsansvar för central hantering av nationella och regionala kvalitetsregister kommer arkivlagens be- stämmelser att gälla, eftersom kvalitetsregistren utgör allmänna hand- lingar. Utgångspunkten enligt arkivlagen är att allmänna handlingar skall bevaras för framtiden.

Enligt vår uppfattning är detta inte en tillfredsställande lösning för personuppgifter i nationella och regionala kvalitetsregister. Mot- satt utgångspunkt bör i stället gälla, dvs. att personuppgifterna skall gallras då de inte längre behövs för det primära ändamålet med ifråga- varande kvalitetsregister, att systematiskt och fortlöpande säkra och utveckla hälso- och sjukvårdens kvalitet. Även i kvalitetsregister som förs fortlöpande och fylls på med nya personuppgifter, skall gallring regelbundet ske av äldre uppgifter så snart de inte längre behövs för verksamheten.

Gallring kan utföras på många olika sätt när det gäller elektroniskt lagrad information. Enligt vår uppfattning räcker det för att uppfylla lagens krav att personuppgifterna i fråga avidentifieras så att de inte längre direkt eller indirekt kan knytas till den enskilda. Handlar det om kodade uppgifter, kan det alltså räcka med att kodnyckeln för- störs förutsatt att bakvägsidentifiering därefter inte är möjlig. Det räcker normalt inte att bara gallra bort personnummer eller namn. Ofta går det att via uppgifter om t.ex. operationsdatum, kön, ålder, opererande klinik och liknande uppgifter härleda uppgifter till en-

461

Kvalitetsregister

SOU 2006:82

skilda patienter. Det skall alltså inte vara möjligt efter avidentifie- ring.

Från denna huvudregel om gallring får arkivmyndigheten i det landsting eller den kommun till vilken den personuppgiftsansvariga myndigheten hör, meddela föreskrifter om att personuppgifterna trots allt får bevaras under längre tid, om det sker för historiska, statistiska eller vetenskapliga syften. Det krävs alltså ett aktivt ställningsta- gande på central nivå hos en eller flera sjukvårdshuvudmän för att föreskriven gallring skall kunna underlåtas.

För det fall ett kvalitetsregister, efter föreskrift av regeringen, förs av någon annan personuppgiftsansvarig än en myndighet i kommun eller landsting, föreslår vi att regeringen också får föreskriva längre bevarandetid för historiska, statistiska eller vetenskapliga syften.

16.4.9Övrigt

När det gäller annat elektroniskt utlämnande än direktåtkomst, sök- begrepp, rättelse och skadestånd m.m. föreslås inga särbestämmel- ser i förhållande till vad som i övrigt skall gälla vid behandling av personuppgifter enligt patientdatalagen.

16.5Sekretessfrågor

I utredningsdirektiven anges att de nationella kvalitetsregistren ofta behöver få ut uppgifter från Epidemiologiskt Centrum (EpC) vid Socialstyrelsen om avlidna. Vidare påtalas att denna möjlighet upp- hörde genom en lagändring den 1 april 2001 i 9 kap. 4 § sekretess- lagen, vilket har orsakat problem för kvalitetsregistren. Mot den bak- grunden skall vi, enligt direktiven, granska om sekretessregleringen, främst bestämmelsen i 9 kap 4 § sekretesslagen, utgör hinder för att uppgifter skall kunna lämnas till respektive lämnas ut från kvalitets- registren. Om så är fallet, skall vi överväga om, och i så fall i vilken utsträckning, uppgifter bör få lämnas till respektive från registren. I sistnämnda fall skall vi lämna förslag som gör sådant uppgiftsutläm- nande möjligt.

Om vi stöter på andra problem med anledning av gällande sekre- tessbestämmelser, skall vi enligt ursprungsdirektiven se över dessa samt lämna förslag till lösningar. I denna del har vi uppmärksammat att flödet av sekretessbelagda uppgifter mellan vårdgivare och kvali-

462

SOU 2006:82

Kvalitetsregister

tetsregister som förs utanför vårdgivarens egen verksamhet genererar en del frågeställningar av särskild betydelse för nationella och regio- nala kvalitetsregister. Vi behandlar dessa nedan i avsnitt 16.5.1. Frågan om kvalitetsregisterförares möjligheter att få ut sekretessbelagda upp- gifter från Socialstyrelsens hälsodataregister eller dödsorsaksregister behandlas i avsnitt 16.5.2.

16.5.1Överföring av uppgifter i kvalitetsregisterrapporteringen

Vårt förslag: Vi föreslår ett nytt sekretessbrytande undantag från hälso- och sjukvårdssekretessen i en bestämmelse som anger att sekretess enligt 7 kap. 1 c § första stycket sekretesslagen inte hind- rar att uppgifter lämnas till ett nationellt eller regionalt kvalitets- register enligt patientdatalagens särskilda reglering. Bestämmelsen tas in i den av oss tidigare föreslagna nya paragrafen 7 kap. 1 d § sekretesslagen. I övrigt bedömer vi att flödet av kvalitetsregister- uppgifter mellan myndigheter inom hälso- och sjukvården kan ske inom ramen för den nuvarande sekretessregleringen. Detsamma gäller flödet från privata vårdgivare.

Beskrivning av frågeställningarna såvitt gäller sekretess

Gemensamt för inrapporteringen till de nationella och regionala kva- litetsregistren är att uppgifter normalt korsar sekretessgränser i sam- band med inrapporteringen. Det kan här påpekas att det är fråga om ett utlämnande av sekretessbelagda uppgifter även då en deltagande vårdenhet själv utför registreringen elektroniskt via t.ex. Internet, om uppgifterna därigenom blir tillgängliga för en registerhållare utan- för den egna vårdgivarens myndighet.

I det följande behandlas tre frågeställningar som detta flöde av sekretessbelagda uppgifter aktualiserar nämligen

1)vilken eller vilka sekretessbestämmelser tillämpas vid utlämnan- det av sekretessbelagda uppgifter från vårdenheter till kvalitets- registerförare utanför den egna vårdgivarens myndighet?

2)vad gäller för de privata vårdgivarnas inrapportering?

3)vilken sekretessbestämmelse skyddar patientuppgifterna från offentlighet sedan de utlämnats till en central registerförare en- ligt fråga 1 eller 2?

463

Kvalitetsregister

SOU 2006:82

Gällande rätt

Inom den allmänna hälso- och sjukvården gäller som huvudregel en förhållandevis sträng sekretess för uppgifter om enskilds hälsotill- stånd eller andra personliga förhållanden, se 7 kap. 1 c § första stycket sekretesslagen. I avsnitt 8.7 har vi redogjort relativt utförligt för innebörden av hälso- och sjukvårdssekretessen m.m. I detta samman- hang kan kort erinras om att sekretessen gäller med ett omvänt skade- rekvisit, vilket innebär att en uppgift får lämnas ut bara om det står klart att uppgiften kan röjas utan att den enskilde eller någon honom eller henne närstående lider men. Presumtionen är alltså för sekretess. Sekretessen anses dock tillämplig bara på sådan hälso- och sjukvård och annan medicinsk verksamhet som är individuellt inriktad. Miljö- och samhällsmedicin och annan förebyggande hälsovård av mera gene- rell karaktär hör således inte till det område inom vilket sekretess gäller enligt 7 kap. 1 § sekretesslagen (se Regner, Eliason, Heuman, Sekretesslagen, En kommentar, s. 7:3, i fortsättningen Regner m.fl.).

Vad som skall förstås med begreppet men definieras inte i sekre- tesslagen. I lagens förarbeten finns emellertid allmänna uttalanden om begreppets innebörd. Enligt dessa uttalanden är begreppet vid- sträckt och tar framför allt sikte på olika kränkningar av den person- liga integriteten som kan uppstå om uppgifter lämnas ut (jfr prop. 1979/80:2 Del A s. 83). Den enskildes egen upplevelse skall tas till utgångspunkt för en bedömning av om men föreligger, dock att det finns visst utrymme att ta hänsyn till gängse värderingar i samhället om vad som kan uppfattas som men. Det fallet att uppgifter avses lämnas ut i kodad form eller på ett annat sätt som gör att de endast indirekt kan hänföras till den enskilde torde normalt kunna påverka den menbedömning som måste göras vid en sekretessprövning en- ligt 7 kap 1 c § sekretesslagen.

Om sekretess gäller för en uppgift hos en myndighet inom hälso- och sjukvården får uppgiften inte röjas för enskilda (t.ex. en före- ning för specialiserade läkare) eller andra myndigheter (t.ex. inom ett annat landsting) utan stöd i sekretesslagen eller i en lag eller för- ordning till vilken sekretesslagen hänvisar (1 kap. 2 § och 3 § första stycket sekretesslagen). I sekretesslagen finns flera undantagsbestäm- melser som medger att sekretessbelagda uppgifter får lämnas ut. I det följande redovisas några undantag som kan vara av särskilt intresse i det nu aktuella sammanhanget.

Av 1 kap. 5 § sekretesslagen följer att sekretess inte hindrar att en uppgift lämnas ut, om det är nödvändigt för att den utlämnande myn-

464

SOU 2006:82

Kvalitetsregister

digheten skall kunna fullgöra sin egen verksamhet. Av förarbetena framgår att bestämmelsen skall tillämpas restriktivt (a. prop. s. 465).

I 14 kap. sekretesslagen finns, som framgår av redogörelsen i av- snitt 8.7, flera bestämmelser om begränsningar i sekretessen. Den be- stämmelse som närmast är av intresse för kvalitetsregistren är 14 kap. 4 § första stycket enligt vilken sekretessen kan efterges av patienten. Till skillnad från personuppgiftslagen innehåller sekretesslagen ingen närmare beskrivning av vilka krav som ställs på ett samtycke. Ett sam- tycke enligt 14 kap. 4 § behöver t.ex. inte vara uttryckligt. Också ett tyst, s.k. presumerat, samtycke kan godtas (Regner m.fl., s. 14:36). Bestämmelsen om den enskildes samtycke är tillämplig alldeles obe- roende av om uppgifterna skall lämnas ut till en enskild eller till en annan myndighet.

Mellan hälso- och sjukvårdsmyndigheter inom landsting och kom- muner gäller emellertid för visst uppgiftsutbyte en väsentlig lättnad i den annars stränga sekretessen. Enligt 7 kap. 1 c § femte stycket sekretesslagen får uppgifter lämnas från en myndighet inom ett lands- ting eller en kommun, som bedriver hälso- och sjukvård eller annan medicinsk verksamhet som avses i paragrafens första stycke, till en annan sådan myndighet för forskning, framställning av statistik eller administration på verksamhetsområdet. Sekretess gäller dock för uppgiften, om det kan antas att den enskilde eller någon honom eller henne närstående lider men om uppgiften röjs. Presumtionen här är, till skillnad från vad som normalt gäller för hälso- och sjukvårds- sekretess, för offentlighet. Uppgiften får alltså normalt lämnas ut under förutsättning dels att mottagaren är en annan myndighet inom ett landsting eller en kommun, dels att mottagaren skall använda uppgifterna för ändamålen forskning, framställning av statistik eller administration på verksamhetsområdet. Avser den mottagande myn- digheten att använda uppgifterna för andra ändamål gäller huvud- regeln i paragrafens första stycke om sekretess med ett omvänt skade- rekvisit, dvs. en presumtion för sekretess.

Bestämmelsen infördes genom en lagändring år 1991. Av för- arbetena till lagändringen framgår bl.a. att bakgrunden till bestäm- melsen var den ökade användningen av datoriserade register, även på regional nivå, över patientuppgifter som används i vården eller för vårdadministration men också för forskning och framställning av statistik (prop. 1990/91:111 s. 25 f.). Enligt regeringen är det i dessa fall av rutinmässigt uppgiftsutlämnande lämpligt att en gene- rell sekretessprövning skall kunna ske när man bestämmer vilka slags uppgifter som skall få tillföras ett visst register. Bedömningen får

465

Kvalitetsregister

SOU 2006:82

då ske med hänsyn tagen till bl.a. uppgifternas art, det sekretesskydd uppgifterna kommer att få hos mottagaren samt den tekniska ut- formningen av informationssystemet (behörighetskontroll m.m.).

Våra överväganden

Kvalitetsregisteruppgifter hämtas i allmänhet ur patientjournaler eller sammanhänger på annat sätt med dokumentationen i samband med den individinriktade hälso- och sjukvården. Uppgifterna hos den inrapporterande vårdenheten omfattas således av hälso- och sjuk- vårdssekretess enligt 7 kap. 1 c § sekretesslagen, förutsatt att vård- enheten hör till en offentlig vårdgivare, dvs. ingår i en myndighet eller vårdgivaren är ett kommunalt företag som avses i 1 kap. 9 § sekretesslagen.

Systematisk och fortlöpande säkring av kvaliteten i hälso- och sjukvårdsverksamheten är en förpliktelse för vårdgivarna enligt 31 § hälso- och sjukvårdslagen och enligt 16 § tandvårdslagen. Kvalitets- säkring i form av kvalitetsregister bör ses som en integrerad del av sådan hälso- och sjukvårdsverksamhet som avses i 7 kap. 1 c § första stycket sekretesslagen alldeles oberoende av huruvida ett kvalitets- register är nationellt, regionalt eller lokalt. Visserligen lämnas patient- uppgifter ut till annan offentlig vårdgivare när de inrapporteras till ett kvalitetsregister som förs centralt utanför den egna myndighets- organisationen. Uppgifterna härrör emellertid från en individinriktad verksamhet av samma slag som bedrivs av den mottagande myndig- heten. Trots att det inte finns någon direkt vårdrelation mellan den mottagande registerföraren och patienten lämnar uppgifterna inte den sektor av faktisk hälso- och sjukvårdsverksamhet som omfattas av tillämpningsområdet för 7 kap. 1 c § första stycket sekretesslagen. Enligt vår uppfattning är sekretessbestämmelsen därför tillämplig beträffande samtliga uppgifter i ett kvalitetsregister vari flera vård- givare deltar och inte bara beträffande de uppgifter som härrör från samma myndighetsorganisation som ansvarar för den centrala re- gisterföringen.

I sammanhanget kan nämnas att det i förarbetena till vårdregister- lagen anges att sekretessen enligt 7 kap. 1 c § sekretesslagen gäller inom den offentligt bedrivna hälso- och sjukvården oavsett om upp- gifterna finns i ett vårdregister eller behandlas för bl.a. kvalitetssäk- ring (prop. 1997/98:108 s. 78). Förhållandet åberopades därvid som stöd för att tillåta elektroniskt utlämnande av uppgifter från vård-

466

SOU 2006:82

Kvalitetsregister

Bedömningen i det föregående innebär dock inget undantag från att det skall finnas lagligt stöd för den överföring av sekretessbelagda uppgifter som sker när en vårdenhet inrapporterar uppgifter om sina patienter till ett kvalitetsregister som hanteras centralt utanför den myndighet till vilken inrapporten hör. I denna fråga gör vi följande bedömning.

Enligt vår uppfattning kan 1 kap. 5 § sekretesslagen inte åberopas till stöd för uppgiftsutlämnandet. Det torde nämligen inte kunna hävdas att patientuppgifter måste lämnas ut till kvalitetsregister för att den utlämnande myndigheten skall kunna fullgöra sin egen verk- samhet.

Som framgått i det föregående ger 14 kap. 4 § sekretesslagen stöd för vårdenheternas utlämnande av kvalitetsregisteruppgifter till re- gisterförare då patienten har samtyckt till utlämnandet. Enligt vår bedömning torde utlämnande med stöd av 14 kap. 4 § sekretess- lagen i realiteten vara den enda rättsliga möjligheten att utlämna sekretessbelagda kvalitetsregisteruppgifter till sådana register som för närvarande hanteras centralt av enskild, t.ex. en privat vårdgi- vare eller en förening för specialiserade läkare. I synnerhet gäller det sagda kvalitetsregister vari uppgifter som direkt pekar ut den enskilde registreras, t.ex. genom personnummer.

Enligt vårt förslag till särbestämmelser för personuppgiftsbehand- ling i nationella och regionala kvalitetsregister kommer emellertid som huvudregel bara myndigheter hos landsting och kommuner att få vara personuppgiftsansvariga för ett sådant kvalitetsregisters centrala personuppgiftshantering. I vårt förslag kommer vidare den enskilde patienten att ges en rätt att, efter att ha blivit grundligt informerad, motsätta sig registrering i kvalitetsregister enligt en opt out-modell. Kvalitetsregisterföringen kommer därigenom i praktiken att bygga på patienternas tysta samtycke. Som nyss sagts godtas att ett sådant tyst samtycke har sekretessbrytande verkan enligt 14 kap. 4 § sekretesslagen. I allmänhet kommer således vårt förslag när det gäller nationella och regionala kvalitetsregister att vara väl förenligt med att uppgifter lämnas ut i sekretesslagens mening med stöd av 14 kap. 4 § sekretesslagen.

Samtidigt är det inte helt tillfredsställande att ett rutinmässigt och ibland omfattande flöde av uppgifter, som omfattas av en sekre- tess med ett omvänt skaderekvisit, lämnas enbart med stöd av ett tyst, i det närmaste presumerat samtycke från den berörda patienten.

467

Kvalitetsregister

SOU 2006:82

Som framförts i avsnitt 11.3 och 11.5 kan samtycket ibland – inte minst i fråga om kvalitetsregister för akutsjukvård eller liknande – bygga på ett ganska passivt val av en patient som just i valsituationen har andra problem att tänka på än en eventuell kvalitetsregistrering. Personuppgiftsbehandlingen kan vidare påbörjas innan den enskilde fått information om behandlingen. Sker inrapportering i dessa fall, kan man knappast åberopa tyst samtycke till stöd för uppgiftsutläm- nandet. Sammantaget anser vi alltså att 14. kap. 4 § sekretesslagen inte ger ett tillräckligt tydligt stöd för den inrapportering till kvali- tetsregister som vi föreslagit skall få äga rum.

Vi menar mot denna bakgrund att det är motiverat med ett undan- tag från hälso- och sjukvårdssekretessen för inrapportering av upp- gifter till nationella och regionala kvalitetsregister som sker i enlighet med patientdatalagens krav. Undantaget måste ses tillsammans med de integritetsskyddande garantier vi föreslagit i avsnitt 16.4, t.ex. rätten att få uppgifter utplånade från registret.

Avslutningsvis skall något nämnas om de privata vårdgivarnas ut- lämnande av patientuppgifter till kvalitetsregister som förs av en annan vårdgivare.

I 2 kap. 8 och 9 §§ lagen om yrkesverksamhet på hälso- och sjukvårdens område finns särskilda bestämmelser om tystnadsplikt för den som tillhör eller har tillhört hälso- och sjukvårdspersonalen i den enskilda hälso- och sjukvården. Enligt 8 § får sådan personal inte obehörigen röja vad han eller hon i sin verksamhet fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden. Vid tolkningen av obehörighetsrekvisitet har det i praxis ansetts naturligt att söka ledning i sekretesslagens bestämmelser. Vi bedömer därför att privata vårdgivares möjligheter att behörigen lämna ut kvalitets- registeruppgifter är likvärdiga med landstingens och kommunernas.

För det fall regeringen kommer att föreskriva att en privat vård- givare, en specialistförening eller annan enskild får vara personupp- giftsansvarig för den centrala hanteringen av ett nationellt eller regionalt kvalitetsregister, bedömer vi att uppgifterna i det centrala registret omfattas av tystnadsplikt enligt 2 kap. 8 § lagen om yrkes- verksamhet på hälso- och sjukvårdens område.

468

SOU 2006:82

Kvalitetsregister

16.5.2Kvalitetsregister och statistiksekretessen

Vårt förslag: För att möjliggöra kvalitetsregisterförares långtids- uppföjning av vårdkvalitet i bemärkelsen överlevnad, föreslås en utvidgning av undantagen från den absoluta statistiksekretessen i 9 kap. 4 § sekretesslagen att omfatta också uppgift om avlidna och som rör dödsorsak eller dödsdatum. Sådana uppgifter före- slås få lämnas ut för ändamålet kvalitetssäkring av hälso- och sjukvård som bedrivs genom nationella eller regionala kvalitets- register, om det står klart att ett utlämnande kan ske utan att den enskilde eller någon närstående till den enskilde lider skada eller men.

Beskrivning av problemet

Socialstyrelsen för fem hälsodataregister varav fyra vid EpC – patient- registret, medicinska födelseregistret, cancerregistret och läkeme- delsregistret – till vilka vårdgivare har en författningsreglerad skyl- dighet att lämna vissa uppgifter. Vid Socialstyrelsen förs även det s.k. dödsorsaksregistret. Till Socialstyrelsen skall anmälan enligt 4 kap. 2 och 5 §§ begravningslagen (1990:1144) göras om bl.a. dödsorsak vid alla konstaterade dödsfall avseende personer som är folkbokförda i Sverige. Dödsorsaksregistret innehåller individrelaterade uppgifter om bl.a. underliggande dödsorsak, multipla dödsorsaker, dödsdatum, uppgift om obduktion, kön, ålder och hemort. I och med att en uppgiftsskyldighet föreligger, har registren en mycket hög täcknings- grad.

I vår kartläggning av de nationella kvalitetsregistren har det fram- kommit att flera registerhållare har behov av att genom samkörning av kvalitetsregisteruppgifter kunna få tillgång till uppgifter från Social- styrelsens hälsodataregister, främst patientregistret, samt i synnerhet uppgifter från dödsorsaksregistret. Orsaken till behovet kan variera.

Beträffande några kvalitetsregister är en samkörning med upp- gifter i hälsodataregister ett sätt att kontrollera kvaliteten i den egna registerföringen, t.ex. i fråga om underrapportering eller i frå- ga om riktigheten av inrapporterade uppgifter. Svenska kärlregistret (Swedvasc) kan nämnas som exempel på ett kvalitetsregister beträf- fande vilket det uttalats behov av samkörning med patientregistret för kontroll av registrets täckningsgrad och övrig kvalitet. För andra kvalitetsregister är en samkörning med Socialstyrelsens register direkt

469

Kvalitetsregister

SOU 2006:82

relevant för kvalitetsuppföljningen. Genom samkörning med patient- registret kan uppgifter fås fram om t.ex. nya behandlingar eller om- operationer som en tidigare registrerad patient genomgått och som inte rapporterats till kvalitetsregistret. Sådana uppgifter är förstås av värde för uppföljningen av den registrerade behandlingens resultat. Samkörning med dödsorsaksregistret ger främst besked om dödlig- het i en aktuell sjukdom efter avslutad behandling. Det har sagts till utredningen att samkörning med dödsorsaksregistret är av särskilt stor vikt för långtidsuppföljningen av behandlingsresultat. En del kvalitetsregister, t.ex. Riks-stroke, har behov av samkörning med Socialstyrelsens register för såväl kontroll av registerkvaliteten som själva kvalitetsuppföljningen.

Tidigare tillät Socialstyrelsen samkörning mellan kvalitetsregister och dödsorsaksregistret. För några år sedan upphörde emellertid denna möjlighet med anledning av ändringen år 2001 i bestämmel- sen i 9 kap. 4 § sekretesslagen om den s.k. statistiksekretessen (se om lagändringen i nästa avsnitt). Före lagändringen var vidare upp- gifter om avlidna generellt undantagna från den absoluta statistik- sekretessen.

Numera lämnas uppgifter ut genom samkörning mellan hälsodata- register eller dödsorsaksregistret och kvalitetsregister endast om det sker inom ramen för ett forskningsprojekt, dvs. om det finns ett forskningsändamål bakom mottagarens begäran om samkörning, och det enligt Socialstyrelsens bedömning står klart att utlämnande kan ske utan att den enskilde eller dennes närstående lider skada eller men. Gäller samkörningen hälsodataregister krävs normalt även god- kännande från etikprövningsnämnd.

Även om flertalet kvalitetsregister framställer statistik som under- lag för analysarbetet och som ett sätt att redovisa vårdkvaliteten i återrapporteringar till vårdgivare m.fl., lämnar Socialstyrelsen inte ut uppgifter till kvalitetsregisterförare för mottagarens statistikändamål. För statistikändamål godtar Socialstyrelsen bara sådana mottagande myndigheter som själva framställer sådan statistik som omfattas av statistiksekretess.

Många registerhållare har anfört att hindren mot att få ut upp- gifter från hälsodataregistren samt ändringen år 2001 i 9 kap. 4 § sekretesslagen i fråga om avlidna är mycket negativ för deras verk- samhet. Enligt dem försvåras kvalitetsarbetet betydligt, om inte kva- litetssäkring godtas som ett rättsligt godtagbart syfte för att få ut uppgifter från hälsodataregister eller dödsorsaksregistret.

470

SOU 2006:82

Kvalitetsregister

I vårt kartläggningsarbete har det framkommit att i omkring hälften av de nuvarande nationella kvalitetsregistren finns uttalade önskemål om att kunna samköra kvalitetsregistren med något eller några av Socialstyrelsens register. När det särskilt gäller vissa kvalitetsregister inom cancerområdet samkörs dessa av regionala onkologiska centrum gentemot centrumets regionala cancerregister. Även beträffande dessa kvalitetsregister finns det emellertid önskemål om att samköra upp- gifter i registren med Socialstyrelsens nationella cancerregister, främst i syfte att följa upp registrerade patienters återinsjuknande, dödlig- het och liknande kvalitetsvariabler. Många patienter flyttar nämligen över gränserna för sjukvårdsregionerna varför samkörning med det egna regionala cancerregistret utgör en osäker långtidsuppföljning.

Gällande rätt och praxis

Som nyss sagts tillämpar Socialstyrelsen statistiksekretessen i 9 kap. 4 § sekretesslagen när det gäller frågor om utlämnande av uppgifter från hälsodataregister – dvs. det nationella cancerregistret, patient- registret, det medicinska födelseregistret och läkemedelsregistret – samt dödsorsaksregistret.

Enligt bestämmelsen gäller sekretess i sådan särskild verksamhet hos myndighet som avser framställning av statistik, som utförs av myndighet, för uppgift som avser enskilds personliga eller ekono- miska förhållanden och som kan hänföras till den enskilde. Främst avses sådan statistik som tillhör den officiella statistikproduktionen, vilken regleras av lagen (2001:99) om den officiella statistiken och den till lagen anslutande förordningen (2001:100) om den officiella statistiken. I en bilaga till förordningen specificeras närmare vilka myndigheter som ansvarar för framställningen av officiell statistik om olika företeelser. Dessa myndigheter benämns som statistikansva- riga myndigheter. Socialstyrelsen är statistikansvarig myndighet för statistik om hälsa och sjukdomar, hälso- och sjukvård samt dödsorsa- ker. Uppgifterna i Socialstyrelsens hälsodataregister samt dödsorsaks- register omfattas mot bakgrund av det sagda av statistiksekretess enligt 9 kap. 4 § sekretesslagen. Däremot gäller inte statistiksekre- tessen för den statistikframställning som görs av vårdgivare inom ramen för de nationella eller regionala kvalitetsregistren.

Enligt huvudregeln är statistiksekretessen absolut, dvs. den gäller oberoende av om ett utlämnande kan antas medföra skada eller men för den enskilde. Det kan vidare nämnas att den s.k. generalklausulen

471

Kvalitetsregister

SOU 2006:82

i 14 kap. 3 § sekretesslagen, som innebär att i och för sig sekretess- belagda uppgifter kan lämnas ut efter en intresseavvägning, inte gäller i fråga om uppgifter som omfattas av statistiksekretess. Från huvud- regeln om absolut sekretess görs dock undantag för uppgifter som behövs för forsknings- eller statistikändamål och uppgifter som inte genom namn, annan identitetsbeteckning eller därmed jämförbart förhållande är direkt hänförlig till den enskilde. För dessa fall gäller att en uppgift får lämnas ut efter en skadeprövning enligt ett s.k. om- vänt skaderekvisit. Uppgiften får i dessa fall lämnas ut, om det står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon honom eller henne närstående lider skada eller men.

Tidigare fanns fler undantag från den absoluta sekretessen. Dessa upphörde emellertid genom en lagändring som trädde i kraft den 1 april 2001 och som syftade till att anpassa bestämmelserna till Rådets förordning (EG) nr 322/97 av den 17 februari 1997 om gemenskaps- statistik, se nedan. Ett av de upphävda undantagen gällde uppgift som avser avliden och var alltså ett relevant undantag för uppgifterna i dödsorsaksregistret.

När det gäller de nu gällande undantagen kan till en början sägas att undantaget för uppgifter som endast indirekt är hänförliga till en enskild person inte är användbart beträffande de aktuella kvalitets- registren, eftersom behovet går ut på att på basis av personnummer kunna samköra uppgifter om enskilda patienter i ett kvalitetsregister med de personnummerbaserade uppgifterna i Socialstyrelsens register. Behovet avser alltså uppgifter som är direkt hänförliga till den enskil- de. För att de efterfrågade uppgifterna över huvud taget skall kunna lämnas ut, krävs det alltså att uppgifterna behövs för forsknings- eller statistikändamål.

Regeringsrätten har i en dom den 16 januari 2004, mål nr 5778-02, resonerat kring frågan i vad mån kvalitetssäkring enligt 31 § hälso- och sjukvårdslagen kan anses utgöra sådan forskning eller statistik som avses i 9 kap. 4 § sekretesslagen. Målet gällde en begäran från en biträdande verksamhetschef vid medicinkliniken på Mora lasarett om att från dödsorsaksregistret få ut uppgifter om dödsorsak beträf- fande vissa namngivna patienter. Uppgifterna skulle sammanställas i statistiska tabeller och användas för kvalitetsuppföljning av sjuk- vård bestående av behandling med blodförtunnande medel inom landstinget i Dalarna. Det begärda utlämnandet avsåg således inte samkörning med ett nationellt eller regionalt kvalitetsregister.

I domen konstaterade Regeringsrätten att det varken i lagtexten eller i förarbetena preciserats vad som avses med forskningsända-

472

SOU 2006:82

Kvalitetsregister

mål och att ledning för fastställande av begreppets innebörd där- för får sökas på annat håll. I domen redovisades därefter att det i 2 § etikprövningslagen ges en definition av vad som avses med forsk- ning enligt den lagen. Med forskning avses där vetenskaplig forskning samt utvecklingsarbete på vetenskaplig grund. Enligt förarbetena bygger avgränsningen på bl.a. OECD:s riktlinjer. När det gäller gränsdragningen gentemot t.ex. kvalitetssäkring och resultatuppfölj- ning anfördes i förarbetena bl.a. att sådan verksamhet som avses i 31 § hälso- och sjukvårdslagen inte avses utgöra forskning i lagens mening (prop. 2002/03:50 s. 90 f. och 192). Även i 3 § lagen (1998:543) om hälsodataregister (hälsodataregisterlagen), framhöll Regeringsrätten, görs en skillnad mellan uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård å ena sidan och forskning å andra sidan. Ett påpekande om att begreppet forskning inte får förväxlas med uppföljning, utvärdering eller kvalitetssäkring gjordes också i förarbetena till lagen (2001:454) om behandling av person- uppgifter inom socialtjänsten (prop. 2000/01:80 s. 138). Regerings- rätten anförde därefter att den åtskillnad som i olika sammanhang görs mellan forskning å ena sidan och uppföljning, utvärdering och kvalitetssäkring å andra sidan bör upprätthållas även vid en tillämp- ning av 9 kap. 4 § sekretesslagen. Att uppgifter behövs för att använ- das vid uppföljning av vård ansåg Regeringsrätten således inte inne- bära att uppgifter som omfattas av statistiksekretess kan lämnas ut med hänvisning till att de behövs för forskningsändamål. Inte heller fann Regeringsrätten att det förhållandet att uppgifterna i en framtid kan komma att användas inom forskning skulle kunna påverka be- dömningen.

När det gäller frågan om de begärda uppgifterna behövdes för statistikändamål fann Regeringsrätten att det förhållandet att upp- gifter inom ramen för uppföljning, utvärdering och liknande verksam- het sammanställs statistiskt inte kan anses innebära att uppgifterna används för statistikändamål i den mening som avses i 9 kap. 4 § sekre- tesslagen. Regeringsrätten anförde här bl.a. att det enligt förarbetena till bestämmelsen – som infördes genom en lagändring år 1995 – betonades att det främst var fråga om uppgifter i mindre känsliga register och att möjligheten till utlämnande borde tillämpas mycket restriktivt såsom hade varit fallet med den näraliggande bestämmel- sen om utlämnande för forskningsändamål (prop. 1994/95:200 s. 38). Främst torde, anförde Regeringsrätten, utlämnande till andra statistik- ansvariga myndigheter ha åsyftats. Sammanfattningsvis fann alltså

473

Kvalitetsregister

SOU 2006:82

Regeringsrätten att undantagen från den absoluta sekretessen inte var tillämpliga i målet.

I utredningsdirektiven nämns ytterligare ett rättsfall, nämligen Kammarrättens i Stockholm dom den 9 juli 2002 i mål nr 4060-2002. Den domen avser ett överklagat beslut av Socialstyrelsen att avslå en begäran om att få ut uppgifter om dödsdag och dödsorsak från döds- orsaksregistret avseende patienter som är registrerade i det svenska hjärtkirurgiregistret. Till skillnad från den nyss refererade regerings- rättsdomen rör det sig i detta fall således om ett nationellt kvalitets- register. Kammarrätten avslog överklagandet med motiveringen att de begärda uppgifterna inte behövdes för forsknings- eller statistik- ändamål.

Beträffande undantaget från statistiksekretessen för statistikända- mål kan tillfogas att Lagrådet, i samband med att undantaget skulle införas i 9 kap. 4 § sekretesslagen, påpekade att det av lagtexten borde framgå att möjligheten till sekretessgenombrott för statistikändamål endast var avsedd att tillämpas i fråga om utlämnande för den offi- ciella statistiken (a. prop. s. 57). Regeringen ansåg dock inte att ett förtydligande i lagtexten var lämpligt, eftersom det skulle försvåra framställningen av statistikansvariga myndigheters s.k. övriga statistik som vid den tidpunkten inte omfattades av regleringen av den offi- ciella statistiken. Regeringen påpekade vidare att utlämnande i reali- teten endast bör komma i fråga till myndigheter som själva tillämpar statistiksekretess. Då blir skyddet för uppgifter som lämnats ut lika gott som hos den utlämnande myndigheten (a. prop. s. 28 och 38). Regeringens uttalande tyder på att undantaget för statistikändamål teoretiskt skulle kunna omfatta all slags statistik men att det i prak- tiken endast blir tillämpligt beträffande statistikansvariga myndig- heters statistik. Tanken skulle då kanske kunna vara att en skade- prövning enligt det föreskrivna omvända skaderekvisitet leder till att uppgifter bara kan lämnas ut, om uppgifterna skyddas av en lika stark sekretess hos mottagaren som hos utlämnaren, nämligen en absolut sekretess med högst motsvarande undantag.

EG-rätten

Sveriges inträde i Europeiska ekonomiska samarbetsområdet, EES, och senare medlemskap i Europeiska unionen, EU, har haft stor in- verkan på den svenska statistikproduktionen genom att den blivit inbegripen i EU:s statistiksamarbete. Utgångspunkten för statistik-

474

SOU 2006:82

Kvalitetsregister

samarbetet är formulerad i artikel 285 i EG-fördraget, den primära EG-rätten, som genom Amsterdamfördraget anger att rådet skall besluta om åtgärder för att framställa sådan statistik som behövs för gemenskapens verksamhet. Alla områden som EU innefattar avses med gemenskapens verksamhet.

I den sekundära EG-rätten styrs statistiken inom EU i stor ut- sträckning av förordningar beslutade av EU:s Ministerråd eller av rådet och Europaparlamentet. Även direktiv och andra rättsakter förekommer. Enligt en rapport från Statistiska centralbyrån, SCB, fanns det i början av år 2002 drygt 180 statistiska rättsakter från EU. I vart fall hälften av dessa är förordningar och är som sådana direkt tillämpliga i Sverige.

Den 17 februari 1997 antog Ministerrådet förordningen nr 322/97 om gemenskapsstatistik. Syftet med förordningen är att upprätta en rättslig ram för framställning av gemenskapsstatistik i avsikt att utforma, tillämpa, övervaka och värdera gemenskapens politik. Tanken är att EU skall grunda sina beslut på statistik som är aktuell, till- förlitlig, väsentlig och jämförbar mellan medlemsstaterna. Förord- ningen är ett bidrag till utvecklandet av ett samordnat statistiskt system för gemenskapen.

Förordningen är indelad i sex kapitel och består av 23 artiklar. Första kapitlet innehåller allmänna bestämmelser om förordningens

syfte (artikel 1) och definitioner av begrepp som används däri (artikel 2). Enligt definitionerna avses med gemenskapsstatistik kvantitativ, aggregerad och representativ information som tas från insamlade och systematiskt bearbetade uppgifter som har framställts av nationella myndigheter och gemenskapsmyndigheten inom ra- men för genomförandet av gemenskapens statistiska program. Med nationella myndigheter avses nationella statistiska institut och andra organ som är ansvariga i varje medlemsstat för att framställa gemen- skapsstatistik. Gemenskapsmyndighet är den avdelning inom kom- missionen, Eurostat, som är ansvarig för att genomföra de uppgifter som överflyttas till kommissionen med avseende på gemenskaps- statistik. Det kan här nämnas att Eurostat är ett eget generaldirek- torat inom kommissionen.

Förordningens andra kapitel handlar om gemenskapens statistiska program. Rådet skall anta ett program om inriktningen, huvudom- rådena och målen för de åtgärder som planeras under högst fem år. Programmet skall utgöra ramen för framställningen av gemenskaps- statistik. Det kan här infogas att det senaste statistiska programmet avser åren 2003–2007 och fastställdes genom Europaparlamentets

475

Kvalitetsregister

SOU 2006:82

och rådets beslut den 16 december 2002 nr 2367/2002. Vidare följer av förordningen (artikel 3.2) att gemenskapens statistiska program skall genomföras genom särskilda statistiska åtgärder som skall vara

a)antingen beslutade av rådet i enlighet med tillämpliga bestäm- melser i fördraget, b) beslutade av kommissionen eller c) beslutade genom överenskommelser mellan de nationella myndigheterna och Eurostat inom deras respektive behörighetsområde.

När det gäller av kommissionen beslutade statistiska åtgärder enligt

b)krävs bl.a. att åtgärden inte får sträcka sig över mer än ett år och att de uppgifter som skall samlas in som huvudregel redan måste finnas tillgängliga eller åtkomliga hos de ansvariga nationella myndig- heterna (artikel 6). När gemenskapsstatistik härrör från en överens- kommelse mellan de nationella myndigheterna och gemenskapsmyn- digheten enligt c) uppstår ingen skyldighet för uppgiftslämnarna, om inte någon sådan skyldighet föreskrivs i nationell lagstiftning (artikel 7). Som huvudregel gäller att ansvaret för att genomföra de särskilda statistikåtgärderna åligger de nationella myndigheterna om inget annat stadgas i en rättsakt från rådet (artikel 8).

I tredje kapitlet anges principer som skall styra gemenskapsstati- stiken. Av intresse för den sekretessfråga som nu är i fråga är prin- cipen om förtrolighet med avseende på statistik. Enligt förordningen innebär principen skydd för uppgifter som hänför sig till enskilda statistiska objekt, vilka uppgifter erhålls direkt för statistiska ända- mål eller indirekt från administrativa eller andra källor mot alla brott mot rätten till förtrolighet. Principen inbegriper hinder för icke- statistisk användning av erhållna uppgifter och olagligt röjande av uppgifter (artikel 10).

Kapitel fem (artikel 13–18) innehåller mer detaljerade bestämmel- ser om förtroliga uppgifter med avseende på statistik.

Inledningsvis sägs i artikel 13 att uppgifter som används av natio- nella myndigheter och gemenskapsmyndigheten för att framställa gemenskapsstatistik skall anses förtroliga när det är möjligt att iden- tifiera statistiska objekt antingen direkt eller indirekt och därigenom röja särskild information. För att kunna avgöra om ett statistiskt objekt är identifierbart skall alla sätt som rimligen kan användas av tredje man för att identifiera nämnda statistiska objekt beaktas. Ett undantag från detta är att uppgifter som hämtas från källor som är tillgängliga för allmänheten inte skall anses förtroliga, förutsatt att de inte är förtroliga hos den nationella myndigheten enligt nationell lagstiftning. Sistnämnda fall gäller i Sverige, eftersom även uppgifter som är offentliga hos en myndighet blir sekretessbelagda på grund

476

SOU 2006:82

Kvalitetsregister

av statistiksekretessen enligt 9 kap. 4 § sekretesslagen när de lämnas till en statistikansvarig myndighet för statistikändamål.

I artikel 15 anges att förtroliga uppgifter som erhållits enbart för framställning av gemenskapsstatistik skall användas av nationella myn- digheter och gemenskapsmyndigheten enbart för statistiska ändamål, om inte uppgiftslämnarna otvetydigt har lämnat sitt samtycke till att uppgifterna används för andra ändamål. Den nationella myndig- heten som är ansvarig för framställningen av dessa uppgifter kan dock enligt artikel 17 under vissa förutsättningar och för vetenskapliga syften bevilja tillgång till förtroliga uppgifter som erhållits för gemen- skapsstatistik. Förutsättningarna är att den skyddsnivå som gäller i ursprungslandet (och om tillämpligt i användningslandet) är säker- ställd enligt de bestämmelser som föreskrivs i artikel 18. I artikel 18.1 anges att nödvändiga rättsliga, administrativa, tekniska och organi- satoriska åtgärder skall vidtas på nationell nivå och gemenskapsnivå för att säkerställa ett fysiskt och logiskt skydd för förtroliga upp- gifter och för att säkerställa att inget olagligt röjande och ingen icke-statistisk användning förekommer när gemenskapsstatistik sprids.

Det kan observeras att artikel 17 inte anger att de förtroliga uppgifterna skall ha erhållits enbart för framställning av gemen- skapsstatistik (jfr artikel 15). Vidare kan nämnas att de nationella myndigheterna enligt artikel 14 bara överför uppgifter till gemen- skapsmyndigheten, Eurostat, som inte medger direkt identifiering.

I artikel 16.1 anges att, för att minska belastningen på uppgiftsläm- narna och om inte annat följer av 16.2, de nationella myndigheterna och gemenskapsmyndigheten skall ha tillgång till administrativa uppgiftskällor, vart och ett inom sina egna offentliga förvaltningars verksamhetsområden, i den utsträckning som dessa uppgifter är nödvändiga för framställning av gemenskapsstatistik. Enligt 16.2 skall, när det är nödvändigt, de praktiska arrangemangen och begräns- ningarna och villkoren för att få faktisk tillgång till uppgifterna be- stämmas av varje medlemsstat och kommissionen inom sitt respektive behörighetsområde. I 16.3 anges att de nationella myndigheternas eller gemenskapsmyndighetens användning av förtroliga uppgifter, som erhållits från administrativa eller andra källor för framställning av gemenskapsstatistik, inte skall påverka användningen av upp- gifterna för de syften för vilka de ursprungligen insamlades.

Syftet med bestämmelserna i förordningen om skyddet för för- troliga uppgifter är enligt förordningens ingresspunkt 13 att vinna och behålla förtroendet från de parter som är ansvariga för att till-

477

Kvalitetsregister

SOU 2006:82

handahålla denna information till de nationella myndigheterna eller gemenskapsmyndigheten.

I förordningens sjätte och sista kapitel finns vissa slutbestäm- melser av vilka kan nämnas artikel 21 enligt vilken förordningen skall gälla utan att det påverkar dataskyddsdirektivet. Nämnas bör också artikel 22 enligt vilken även statistik som framställts på grundval av tidigare gemenskaprättsakter skall anses vara gemenskapsstatistik. Förordningen har således getts en retroaktiv verkan.

Vad som konkret utgör gemenskapsstatistik är inte så enkelt att fastställa. Det sammanhänger bl.a. med att innehållet i gemenskaps- statistiken på ett annat sätt än den svenska officiella statistiken varierar från en tid till en annan. I rättsakterna från EG formuleras dessutom snarare mål och inriktningar för gemenskapens statistik- verksamhet än beslut om vilka uppgifter som skall ligga till grund för statistikframställningen. Såväl tidigare program som det nuvarande statistiska programmet upptar emellertid olika slags hälsoindikatorer såsom exempel på gemenskapsstatistik som bör tas fram. Inom Eurostat finns en särskild enhet för statistik om hälsa och livsme- delssäkerhet. Enheten ansvarar för statistik om bl.a. dödsorsaker, sjukvård, sjukdomar samt yrkesrelaterade olycksfall för att ta några exempel.

Våra överväganden

På sätt som belysts av Regeringsrätten i den ovan redovisade domen är det renodlade kvalitetssäkringsarbetet inte forskning i den mening som avses med forskning i 9 kap. 4 § sekretesslagen. Inte heller synes det vara en framkomlig väg att tillämpa bestämmelsens undantag för statistikändamål. Flertalet av de nationella och de regionala kvalitets- registren sammanställer visserligen registerdata statistiskt i tabeller och diagram som i allt högre utsträckning redovisas offentligt. Stati- stiken gäller t.ex. användningen av olika behandlingsmetoder, be- handlingsresultat, väntetider på operation eller annan behandling, upplevd patientnytta och överlevnad m.m. Statistiken redovisas på olika aggregerade nivåer bl.a. i de rapporter som ges ut varje år. Ett exempel är det Svenska kataraktregistret vari omkring 70 000 starr- operationer registreras varje år. Uppgifter om alla dessa operationer analyseras och utvärderas på en aggregerad nivå i form av statistik. I detta register liksom beträffande många andra kvalitetsregister är statistikframställning ett nödvändigt moment i kvalitetsutvärderingen.

478

SOU 2006:82

Kvalitetsregister

De uppgifter om t.ex. dödsorsak som kvalitetsregisterförare ofta efterfrågar, är avsedda att användas i framställning av statistik för överlevnadsfrekvens.

Som framskymtat i det föregående kan det ifrågasättas om tolk- ningen i praxis att det nämnda undantaget bara är tillämpligt be- träffande mottagande myndigheter som själva är statistikansvariga myndigheter har stöd i bestämmelsens ordalydelse. Tolkningen stöds emellertid av uttalanden i tidigare redovisade förarbeten vid införan- det av möjligheten att lämna ut uppgifter som behövs för statistik- ändamål (prop. 1994/95:200 s. 28 och 38, se ovan).

För det fall uppgifter skulle lämnas ut från Socialstyrelsens hälso- dataregister och dödsorsaksregister till kvalitetsregisterförare, gäller onekligen ingen statistiksekretess hos kvalitetsregisterförarna utan enbart sekretess med ett omvänt skaderekvisit (7 kap. 1 c § sekre- tesslagen), vilket ger ett svagare skydd. Det ter sig därför inte möjligt att se annorlunda på undantaget för statistikändamål när det gäller statistikframställning i nationella och regionala kvalitetsregister än vad Regeringsrätten fann i sin ovan refererade dom avseende en lokalt bedriven kvalitetssäkring.

Kvalitetssäkring av hälso- och sjukvården är emellertid en ange- lägen uppgift. Det finns ett påtagligt allmänt intresse av att sådan verksamhet kan bedrivas på ett ändamålsenligt sätt. Mot bakgrund av vad som framkommit i vår kartläggning av kvalitetsregisterföringen bedömer vi att tillgång till personnummerbaserade uppgifter från Socialstyrelsens hälsodataregister och dödsorsaksregister har stor betydelse för flera av de nationella och regionala kvalitetsregister- förarnas strävan att generera användbara kunskaper för kvalitets- säkringsarbetet. Det kan vidare observeras att ändamålet med den av kvalitetsregisterförarna önskade personuppgiftshanteringen över- ensstämmer med lagstiftarens ändamål med hälsodataregistren. Ett av ändamålen med hälsodataregistren anges vara just kvalitetssäkring av hälso- och sjukvård, se 3 § 2 hälsodataregisterlagen. Personuppgifts- behandling genom samkörning av Socialstyrelsens hälsodataregister med ett kvalitetsregister är således väl förenlig med hälsodataregister- lagens ändamålsreglering. En utvidgning av undantagen från den absoluta sekretessen i 9 kap. 4 § sekretesslagen bör därför övervägas. Frågan är därvid om intresset av att kvalitetsregisterförare skall kunna få tillgång till sekretessbelagda uppgifter från hälsodataregister och dödsorsaksregistret väger tyngre än de intressen som motiverar den starka sekretess som gäller för uppgifterna i registren.

479

Kvalitetsregister

SOU 2006:82

Den absoluta statistiksekretessen har bl.a. motiverats med att intresset av allmän insyn i det statistiska primärmaterialet är förhål- landevis svagt medan integritetsintresset däremot är påtagligt. Som ytterligare skäl för den långtgående sekretessen har anförts att sta- tistikkvaliteten kan bli dålig, om inte den enskilde uppgiftslämnaren är säker på att hans uppgifter inte kommer ut (se prop. 1979/80:2 Del A s. 262).

I vårt arbete har det framkommit att det i synnerhet är uppgift om dödsorsak som efterfrågas av kvalitetsregisterförare. Uppgiften är av direkt betydelse för långtidsuppföljningen av vårdkvaliteten såsom mått på överlevnad efter genomgången behandling. Behovet av uppgifter från Socialstyrelsens hälsodataregister synes däremot inte vara lika omfattande och syftar inte alltid till att användas i det direkta kvalitetssäkringsarbetet. Önskemålet om samkörning med t.ex. patientregistret sammanhänger ofta med behovet att kontrollera ett kvalitetsregisters täckningsgrad eller kvaliteten i registrerade upp- gifter. Man kan därför säga att samkörningen i dessa fall har indirekt betydelse för kvalitetsuppföljningen. Vidare bedömer vi att det ibland finns möjligheter att tillgodose detta sistnämnda behov genom att kvalitetsregisteruppgifter lämnas ut till Socialstyrelsen för att sam- köras av EpC med ett hälsodataregister. Därvid kan uppgift om t.ex. täckningsgrad fås fram utan att personuppgifter lämnas ut från hälso- dataregister till kvalitetsregisterförare. Mot bakgrund av det sagda anser vi inte att det finns tillräckliga skäl att föreslå en ändring av bestämmelsen om statistiksekretess för att möjliggöra utlämnande av uppgifter från hälsodataregister till kvalitetsregisterförare.

Däremot bedömer vi att det allmänna intresset av att göra undan- tag från statistiksekretessen för uppgifter i dödsorsaksregistret är betydligt starkare än när det gäller uppgifter i hälsodataregister. Vi menar dessutom att uppgifter om avlidnas personliga förhållanden normalt sett är mindre integritetskänsliga än uppgifter om levande personers motsvarande personliga förhållanden. Det behov som finns av samkörning av kvalitetsregister med dödsorsaksregistret torde kunna ske utan beaktansvärda intrång i avlidnas skydd för uppgifter om sina personliga förhållanden eller i de efterlevandes skydd. Vi föreslår därför att det införs ett undantag i 9 kap. 4 § sekretesslagen för uppgifter om avlidna som behövs för kvalitetssäkring av hälso- och sjukvård som bedrivs genom ett nationellt eller regionalt kvali- tetsregister. Därigenom möjliggörs den samkörning mellan natio- nella och regionala kvalitetsregister med utlämnande uppgifter från Socialstyrelsens dödsorsaksregister som vi anser att övervägande skäl

480

SOU 2006:82

Kvalitetsregister

talar för bör få ske. Enligt vår mening är det inte lämpligt att göra undantaget mer vittgående, såsom t.ex. att gälla för all kvalitetssäk- ring av hälso- och sjukvård, dvs. även sådan som bedrivs inom ramen för en vårdgivares verksamhet i eller utanför ett lokalt kvalitets- register.

Med tanke på den i det föregående redovisade ändringen år 2001 i 9 kap. 4 § sekretesslagen uppkommer givetvis frågan om vårt för- slag är förenligt med EG-förordningen om gemenskapsstatistik, när- mare bestämt förordningens bestämmelser om att förtroliga uppgifter bara får användas för statistiska och vetenskapliga ändamål (artik- larna 15 och 17). Förutom att vara direkt tillämplig i Sverige, är förordningen överordnad vår nationella lagstiftning i händelse av en regelkollision. I denna fråga gör vi följande bedömning.

Socialstyrelsen levererar enligt uppgift avidentifierat material från dödsorsaksregistret till Eurostat. Enligt information från SCB fanns i vart fall år 1997 en överenskommelse med Eurostat såvitt avser dödsorsaksregistret (jfr EG-förordningen artikel 3.2 c). Det kan här erinras om att EG-förordningen föreskriver att de nationella myndigheterna endast skall leverera förtroliga uppgifter som inte medger direkt identifiering. Det sagda torde innebära att dödsor- saksregistret i vart fall delvis omfattas av EG-förordningens tillämp- ningsområde. I Lagrådets yttrande till förslaget om att anpassa 9 kap. 4 § sekretesslagen till EG-förordningen anmärktes bl.a. att det vid föredragningen upplysts att det av praktiska skäl inte är möjligt att göra skillnad mellan uppgifter som hänför sig till gemenskapsstatistik och andra uppgifter som hänför sig till framställningen av officiell statistik (prop. 2000/01:27 s. 99).

Syftet med ändringen i 9 kap. 4 § sekretesslagen var – bl.a. i fråga om upphävandet av undantaget från den absoluta sekretessen för upp- gifter om avlidna – att anpassa sekretesslagen till EG-förordningen för att undvika tillämpningsproblem (a. prop. s. 57). Något klart uttalande huruvida, och i så fall i vilket avseende, det borttagna undan- taget för uppgifter om avlidna stod i strid mot EG-förordningen finns emellertid inte i förarbetena till lagändringen.

Registrering av dödsorsaker har en lång historik i vårt land. Det nuvarande dödsorsaksregistret innehåller data från år 1952 och framåt. Årligen rapporteras omkring 90 000 inträffade dödsfall till registret. Någon registerförfattning finns inte beträffande registret. Eftersom registret inte innehåller några personuppgifter, omfattas registret inte av personuppgiftslagens bestämmelser eller lagens om den offi- ciella statistiken bestämmelser om behandling av personuppgifter.

481

Kvalitetsregister

SOU 2006:82

Syftet med registret är att ge underlag till den officiella dödsorsaks- statistiken och tillhandahålla data om den orsaksspecifika dödlig- heten för beskrivningar av befolkningens hälsa, bland annat som underlag för det förebyggande arbetet inom hälso- och sjukvården, för uppföljning och utvärdering av olika insatser inom hälso- och sjukvården och för forskningen.

Registrets syften är alltså flera än att framställa officiell statistik eller att tillhandahålla uppgifter till gemenskapsstatistiken. Mot denna bakgrund anser vi att dödsorsaksregistret visserligen delvis ingår i gemenskapsstatistiken men att registret därutöver är en sådan admi- nistrativ uppgiftskälla som avses i artikel 16 i EG-förordningen. I artikel 16.1 anges bl.a. att de nationella myndigheterna och gemen- skapsmyndigheten skall – för att minska belastningen på uppgifts- lämnarna – ha tillgång till administrativa uppgiftskällor, vart och ett inom sina egna offentliga förvaltningars verksamhetsområden, i den utsträckning som dessa uppgifter är nödvändiga för framställ- ningen av gemenskapsstatistik. Enligt artikel 16.3 skall de nationella myndigheternas användning av förtroliga uppgifter som erhållits från administrativa eller andra källor för framställning av gemenskaps- statistik inte påverka användningen av uppgifterna för de syften för vilka de ursprungligen insamlades.

Vi menar att tillhandahållande av data till nationella och regionala kvalitetsregister för uppföljning och utvärdering av olika insatser inom hälso- och sjukvården är att se som ett ursprungligt syfte med dödsorsaksregistret. Den föreslagna ändringen i sekretesslagen för att tillåta detta uppgiftslämnande (efter en skadeprövning enligt ett omvänt skaderekvisit) strider därför inte mot EG-förordningens bestämmelser om när förtroliga uppgifter får lämnas ut.

Sammanfattningsvis föreslår vi således att bestämmelsen om sta- tistiksekretess ändras på så sätt att ett ytterligare undantag från den absoluta sekretessen införs. Undantaget avser att uppgifter om av- lidna som rör dödsorsak eller dödsdatum skall kunna lämnas ut för ändamålet kvalitetssäkring av hälso- och sjukvård som bedrivs genom nationella eller regionala kvalitetsregister, om det står klart att upp- giften kan röjas utan att den enskilde eller någon närstående till den enskilde lider skada eller men. Den föreslagna utvidgningen är således inte en återgång till vad som gällde avseende uppgifter om avlidna före lagändringen år 2001. Utvidgningen ger ett väsentligen mindre utrymme för att lämna ut uppgifter med tanke på det inskränkta användningsändamål som föreskrivs enligt vårt förslag.

482

SOU 2006:82

Kvalitetsregister

Med tanke bl.a. på att uppgifterna hos mottagarna kommer att omfattas av hälso- och sjukvårdssekretessens omvända skaderekvisit bör, enligt vår uppfattning, Socialstyrelsens sekretessprövning enligt den föreslagna bestämmelsen ofta kunna utmynna i bedömningen att begärda uppgifter om dödsorsak och dödsdatum kan lämnas ut.

16.6Internationellt samarbete

Vår bedömning: Det behövs inga särskilda bestämmelser om utbyte av personuppgifter vid kvalitetsregisterföring som har internationell räckvidd.

I våra första tilläggsdirektiv (dir. 2004:95) har vi getts uppdraget att se över frågor kring den överföring och det utbyte av personupp- gifter som förekommer i det internationella samarbetet beträffande uppgifterna i kvalitetsregistren. Vid behov skall vi lämna förslag till bestämmelser om detta.

Enligt direktiven sker ett ökat utbyte mellan kvalitetsregister i Sverige och kvalitetsregister som förs inom hälso- och sjukvård utom- lands. Vår genomgång på området har emellertid visat att det utbyte som sker och som syftar till att utveckla och säkra vårdens kvalitet är av mycket begränsad omfattning. Såvitt framkommit handlar det i allt väsentligt om att svenska kvalitetsregisters framgångar rönt inter- nationellt intresse. Det har i sin tur utmynnat i att en del inter- nationella kvalitetsregister drivs och administreras i Sverige och till vilka vårdgivare i andra länder inrapporterar individbundna person- uppgifter. Kompetenscentrumet Eyenet Sweden driver t.ex. register för refraktiv kirurgi och för kataraktkirurgi. Till dessa register inrap- porteras uppgifter från ögonspecialister spridda över olika världsdelar, dock främst från Europa. Kompetenscentrumet Uppsala Clinical researchcenter driver SITS International, ett register över trombolys- behandling vid stroke. Även detta register mottar och behandlar personuppgifter inrapporterade från vårdgivare i andra länder inom och utom Europa. Det förekommer därutöver några svenska kvalitets- register som samarbetar med och mottar eller planerar att motta uppgifter från andra europeiska länder.

Något motsvarande utflöde av personuppgifter till kvalitetsregister som drivs utanför Sverige har vi inte kunnat identifiera i vårt arbete. Under alla förhållanden har vi inte stött på några rättsliga problem i samband med internationellt samarbete i kvalitetsregisterarbetet. Som

483

Kvalitetsregister

SOU 2006:82

vi ser det har det alltså inte framkommit något behov av författnings- reglering i detta avseende varken från sekretessynpunkt eller i fråga om reglering som bör tas in i patientdatalagen. Vi föreslår därför inga särskilda bestämmelser på detta område. Det innebär att de all- männa bestämmelserna i patientdatalagen och i personuppgiftslagen är tillämpliga i förening med sekretesslagens reglering för det fall personuppgifter, som behandlas enligt patientdatalagen, skall rappor- teras till ett kvalitetsregister som förs utanför Sverige eller vari person- uppgifterna på annat sätt görs tillgängliga utomlands. Vilka bestäm- melser som i första hand är tillämpliga vid ett sådant fall redovisas i det följande.

Inledningsvis kan nämnas att det i personuppgiftslagen inte görs någon skillnad mellan utlämnande av personuppgifter till en extern mottagare i Sverige och utlämnande av personuppgifter till mottagare i ett annat land inom EU eller ett land som är ansluten till EES för- utsatt att personuppgiftsbehandlingen som sådan är tillåten enligt lagen. Det sagda är ett genomförande av det bakomliggande data- skyddsdirektivets ena syfte att åstadkomma ett fritt flöde av person- uppgifter mellan medlemsstaterna i EU.

Däremot finns särskilda begränsningar i 33–35 §§ personuppgifts- lagen när det gäller spridning av personuppgifter till tredje land. Med tredje land avses enligt 3 § personuppgiftslagen en stat som inte ingår i EU eller är ansluten till EES. För personuppgiftsbehand- lingen genom utlämnande till ett internationellt kvalitetsregister är det alltså av avgörande betydelse i vilket land mottagarregistret sköts.

Enligt 33 § personuppgiftslagen gäller ett principiellt förbud mot att till tredje land föra över personuppgifter som är under behand- ling eller skall behandlas i tredje land, om inte det aktuella landet har en adekvat skyddsnivå för uppgifterna. Vid bedömningen av om skyddsnivån är adekvat skall särskild vikt läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen skall pågå, ursprungslandet, det slutliga bestämmandelandet och de regler som finns för behandlingen i det tredje landet. Med att personuppgifter är under behandling avses att de är föremål för sådan behandling som omfattas av personuppgiftslagen, dvs. behandling som är helt eller delvis automatiserad eller som sker manuellt i register. Förbudet träffar också personuppgifter som förs över i syfte att de i tredje land skall undergå sådan behandling.

Eftersom alla uppgifter som av någon kan knytas till en enskild individ som är i livet anses utgöra personuppgifter, torde förbudet

484

SOU 2006:82

Kvalitetsregister

också omfatta överföring av kodade personuppgifter till en mottagare i tredje land även om kodnyckeln inte förs över eller på annat sätt görs åtkomlig för mottagaren, se Datalagkommitténs bedömning att det inte krävs att en personuppgiftsansvarig själv skall förfoga över samtliga uppgifter som gör identifieringen möjlig (SOU 1997:39 s. 338). Det kan här nämnas att i Storbritannien har man tolkat data- skyddsdirektivet på ett annat sätt än i Sverige, nämligen att det för att en uppgift skall utgöra en personuppgift, krävs att personen skall kunna identifieras med hjälp av de registrerade uppgifterna och annan information som en personuppgiftsansvarig har eller sannolikt kan komma att få tillgång till. Såvitt vi känner till har frågan inte avgjorts i någon vägledande domstolspraxis.

Vissa undantag från förbudet i 33 § finns angivna i 34 § person- uppgiftslagen. Enligt denna bestämmelse får personuppgifter över- föras till tredje land, om den registrerade har lämnat sitt samtycke till överföringen. Det krävs inte att samtycket är uttryckligt men det skall vara otvetydigt. Överföring får därutöver ske om den är nöd- vändig för vissa särskilt uppräknade syften. Dessa syften torde sakna tillämpning vid internationellt samarbete för kvalitetsregistrering. Per- sonuppgifter får dessutom överföras utan samtycke för användning enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personupp- gifter.

Därutöver får regeringen, eller den myndighet som regeringen bestämmer, meddela ytterligare undantag från förbudet i 33 § i vissa fall som anges i 35 § personuppgiftslagen. Undantag får därvid bl.a. föreskrivas för överföring till vissa stater eller om överföring till tredje land behövs med hänsyn till ett viktigt allmänt intresse. Undantag har bl.a. gjorts i fråga om överföring till Argentina, Kanada, Schweiz och USA, se bilaga 1 till personuppgiftsförordningen (1998:1191). I övrigt har Datainspektionen, genom vidaredelegation från rege- ringen, getts möjligheter att meddela ytterligare undantag från för- budet. Dessa undantag kan vara generella eller avse enskilda fall.

Ett uppgiftsutlämnande från Sverige till ett internationellt kvali- tetsregister utomlands får givetvis inte heller strida mot sekretess- lagen.

Enligt 1 kap. 3 § tredje stycket sekretesslagen får sekretessbelagd uppgift lämnas ut till utländsk myndighet eller mellanfolklig orga- nisation, endast om utlämnandet sker i enlighet med särskild föreskrift om det i lag eller förordning eller om uppgiften i motsvarande fall skulle få lämnas ut till svensk myndighet och det enligt den utlämnan-

485

17Patientuppgifter och forskning inom hälso- och sjukvårdsområdet

17.1Inledning

I vårt uppdrag ingår att överväga för vilka ändamål personuppgifter skall få behandlas inom hälso- och sjukvården. Vi har i avsnitt 8.2 redogjort för våra överväganden och förslag i fråga om patient- datalagens ändamålsbestämning. I detta avsnitt behandlar vi frågor som rör användningen av journaluppgifter och andra uppgifter om patienter i hälso- och sjukvårdens individinriktade verksamhet för medicinsk forskning och annan forskning inom hälso- och sjuk- vårdsområdet. Vi berör även frågan om sammanhållen journalföring och sådan forskning.

17.2Medicinsk forskning m.m.

Medicinsk forskning omfattar forskning inom områdena medicin, odontologi, farmaci och vårdvetenskap. Många gånger räknas även områden inom biovetenskaperna, t.ex. biokemi, biofysik, cell- och molekylärbiologi och bioteknik, till den medicinska forskningen. Begreppen grundforskning respektive tillämpad forskning används oftast inte inom det medicinska området, mycket på grund av att det är svårt att dra en skarp gräns. Ett sätt att kategorisera medicinsk forskning är i stället att använda uttrycken preklinisk respektive kli- nisk forskning för att skilja mellan i huvudsak experimentell forsk- ning som till stor del utförs på laboratorier (preklinisk) respektive forskning som i huvudsak utförs i anslutning till vården (klinisk). Vidare används begreppet patientnära forskning för att beskriva forsk- ning om sjukdomsproblem som sker i nära kontakt med patienter.

Huvudansvaret för forskningen åvilar staten. En stor del av den statligt finansierade forskningen bedrivs inom universitetsvärlden. De medicinska fakulteterna finansieras med statliga anslag, offentliga eller privata externa medel eller som uppdragsforskning. Sjukvårds-

487

Patientuppgifter och forskning inom hälso- och sjukvårdsområdet

SOU 2006:82

huvudmännen har likaså ett betydande ansvar för den kliniska forsk- ningen, som bedrivs med hjälp av både de av staten erhållna ALF- medlen (se vidare nedan) och egna medel.

Sjukvårdshuvudmännens ansvar för klinisk forskning framgår av 26 b § hälso- och sjukvårdslagen (1982:763). I bestämmelsen anges att landstingen och kommunerna skall medverka vid finansiering, planering och genomförande av kliniskt forskningsarbete på hälso- och sjukvårdens område samt av folkhälsovetenskapligt forsknings- arbete. Landstingen och kommunerna skall i dessa frågor, i den om- fattning som behövs, samverka med varandra samt med berörda universitet och högskolor.

ALF-avtalet är ett avtal träffat mellan svenska staten och vissa landsting rörande samarbete om grundutbildningen av läkare, medi- cinsk forskning och utveckling av hälso- och sjukvården. Genom detta avtal regleras förhållandet mellan staten och de landsting som upplåter sin verksamhet för de medicinska fakulteternas forskning och läkarutbildning. Syftet är att reglera de kostnader som genereras hos sjukvårdshuvudmännen för klinisk forskning och utbildning. De landsting som har ett ALF-avtal med staten driver regionsjuk- hus som upplåts för de medicinska fakulteternas kliniska verksamhet, vanligtvis kallade universitetssjukhus. Ett centralt inslag i verksam- heten vid dessa sjukhus är kombinationstjänster, där professorer och lektorer i kliniska ämnen är förordnade och avlönade som över- läkare i landstingens organisation.

Det bedrivs även annan forskning inom hälso- och sjukvården. Exempel härpå är hälso- och sjukvårdsforskningen, vilken är inrik- tad på att beskriva, analysera och värdera hälso- och sjukvårds- systemets organisation, funktion och resultat, och den hälsoeko- nomiska forskningen, som har sin tonvikt på kostnads-, nytto- och kostnadseffektanalyser inom hälso- och sjukvården.

I lagen (2003:460) om etikprövning av forskning som avser män- niskor (etikprövningslagen) definieras begreppet forskning som ”vetenskaplig forskning samt utvecklingsarbete på vetenskaplig grund”. Enligt lagens förarbeten (prop. 2002/03:50 s. 192) är av- sikten att forskningsbegreppet enligt etikprövningslagen bl.a. skall omfatta allt det som omfattas av motsvarande begrepp enligt 19 § personuppgiftslagen (1998:204).

I nämnda proposition togs gränsdragningsfrågan mellan veten- skaplig forskning samt kvalitetssäkring och resultatuppföljning upp. Lagförslaget i propositionen tog sikte på vetenskaplig forskning.

488

SOU 2006:82

Patientuppgifter och forskning inom hälso- och sjukvårdsområdet

Som riktlinje för den avgränsning som behövde göras angavs följan- de (a. prop. s. 91).

Enligt 31 § hälso- och sjukvårdslagen (1982:763) skall kvaliteten inom hälso- och sjukvården systematiskt och fortlöpande utvecklas och säk- ras. Denna och liknande typer av verksamheter skall inte omfattas av etikprövning enligt det nu föreslagna lagförslaget. De etiska avvägningar som kan behöva göras inom myndigheters verksamhet med annat än forskning får utredas i annan ordning om behov därav anses påkallat. Ibland ingår vetenskapligt utvecklingsarbete i myndigheternas arbete med uppföljning osv. Om syftet med det vetenskapliga utvecklingsarbetet är myndighetsinternt utvärderingsarbete, bör sådant utvecklingsarbete inte omfattas av etikprövning enligt den föreslagna lagen. Avgörande av ett projekts karaktär måste givetvis ske från fall till fall, och ovan angivna riktlinjer bör kunna vara till ledning vid denna bedömning.

Etikprövningsutredningen, som haft i uppdrag att se över vissa frågor i etikprövningslagen, har i sitt betänkande Etikprövningslagstift- ningen – vissa ändringsförslag (SOU 2005:78) föreslagit att defini- tionen av begreppet forskning förtydligas på så sätt att det klart framgår att med forskning avses vetenskapligt systematiskt sökande efter ny kunskap. Enligt betänkandet kommer definitionen därigenom att omfatta såväl grundforskning och tillämpad forskning som utveck- lingsarbete. Vanligt uppföljnings- och kvalitetssäkringsarbete kommer däremot inte att omfattas av forskningsbegreppet. Det finns dock situationer där arbetet utförs på ett kvalificerat vetenskapligt sätt och därmed faller in under begreppet forskning (a. bet. s. 141).

Även om Etikprövningsutredningens förslag genomförs kommer det, enligt vår uppfattning, också framöver finnas vissa gränsdrag- ningssvårigheter mellan forskning och kvalitetssäkring. Dessa får ytterst lösas genom Centrala etikprövningsnämndens praxis.

Frågor kring etikprövning av registerforskning, forskares möj- lighet att få tillgång till personuppgifter och integritetsskyddet i forskningen har behandlats i olika artiklar i Förvaltningsrättslig tid- skrift (FT). Se von Essen, ”Etikprövning av biobanks- och register- forskning” i FT 2002 s. 351–380, Rynning, ”Patientuppgifter som forskningsresurs – om integritetsskydd och intresseavvägningar” i FT 2003, s. 96–126, von Essen, ”Biobanksforskning – forskares möjligheter att få tillgång till vävnadsmaterial och personuppgifter” i FT 2003, s. 197–214, och Rynning, ”Integritetsskyddet i forsk- ningen – en känslig historia” i FT 2005, s. 459–486.

489

Patientuppgifter och forskning inom hälso- och sjukvårdsområdet

SOU 2006:82

17.3Dagens reglering

17.3.1Bestämmelser om personuppgiftsbehandling

I de fall journaluppgifter och andra uppgifter om patienter i hälso- och sjukvårdens individinriktade verksamhet behandlas automatiserat är bestämmelserna i lagen (1998:544) om vårdregister (vårdregister- lagen) och personuppgiftslagen tillämpliga.

Vårdregisterlagen innehåller två bestämmelser som anger för vilka ändamål personuppgifter i ett vårdregister får behandlas. Enligt 3 § får sådana personuppgifter behandlas för dokumentation av vården av patienter eller för sådan administration som rör patienter och som syftar till att bereda vård i enskilda fall. Behandling av personupp- gifter får även utföras för den ekonomiadministration som föranleds av vård i enskilda fall. Enligt 4 § får personuppgifter som härrör från det individinriktade vårdarbetet och som har registrerats i ett vårdregister även behandlas för framställning av statistik, uppföljning, utvärdering, kvalitetssäkring och administration på verksamhetsom- rådet och uppgiftsutlämnande som föreskrivs i lag eller förordning. Behandlingen får ske oavsett vilken inställning den registrerade har till denna (prop. 1997/98:108 s. 67).

Vårdregisterlagens ändamålsbestämmelser nämner således inte forskning. Detta behöver dock inte innebära att personuppgifter i ett vårdregister inte får behandlas för forskningsändamål.

Vårdregisterlagen är en speciallag som kompletterar men inte ersätter personuppgiftslagen. Personuppgiftslagen gäller därför i de delar som vårdregisterlagen saknar bestämmelser (2 § vårdregister- lagen).

I 9 § personuppgiftslagen anges de grundläggande krav på behand- lingen av personuppgifter som den personuppgiftsansvarige måste uppfylla. Enligt punkten d i den nämnda paragrafens första stycke

– den s.k. finalitetsprincipen – skall den personuppgiftsansvarige se till att personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. I fråga om efterkommande behandlingar sägs dock i andra stycket samma para- graf att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall anses som oförenlig med de ändamål för vilka uppgifterna samlades in.

Personuppgifter som samlats in i det individinriktade vårdarbetet och registrerats i ett vårdregister kan således få behandlas för forsk- ningsändamål.

490

SOU 2006:82

Patientuppgifter och forskning inom hälso- och sjukvårdsområdet

Personuppgifter som rör hälsa utgör emellertid känsliga person- uppgifter enligt personuppgiftslagens definition (13 §). Enligt nämnda bestämmelse är det förbjudet att behandla sådana personuppgifter. Trots detta förbud är det enligt 15 § tillåtet att behandla sådana per- sonuppgifter om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen. Vidare får enligt 19 § känsliga personuppgifter behandlas utan samtycke för forskningsändamål om behandlingen godkänts enligt etikprövningslagen.

Etikprövningslagen innehåller bestämmelser om etikprövning av forskning som avser människor och biologiskt material från män- niskor (1 §). Lagen är tillämplig på forskning som bl.a. innefattar behandling av känsliga personuppgifter enligt 13 § personuppgiftsla- gen, om forskningspersonen inte har lämnat sitt uttryckliga samtycke till behandlingen (3 §). Etikprövningsutredningen har föreslagit att lagen skall utvidgas till att omfatta krav på etikprövning vid all behandling av känsliga personuppgifter enligt 13 § personuppgifts- lagen, oavsett om forskningspersonen lämnat sitt uttryckliga sam- tycke eller inte.

I etikprövningslagen föreskrivs att forskning rörande känsliga personuppgifter får utföras bara om den har godkänts vid en etikpröv- ning (6 §). Lagen anger de allmänna utgångspunkterna för etikpröv- ningen (7–11 §§). Dessa utgångspunkter är bl.a. följande. Forskning får godkännas bara om den kan utföras med respekt för människo- värdet. Mänskliga rättigheter och grundläggande friheter skall alltid beaktas vid etikprövningen samtidigt som hänsyn skall tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors väl- färd skall ges företräde framför samhällets och vetenskapens behov. Behandling av känsliga personuppgifter får godkännas bara om den är nödvändig för att forskningen skall kunna utföras. Risken för intrång i forskningspersonernas personliga integritet skall uppvägas av forskningens vetenskapliga värde. Forskning får godkännas bara om den skall utföras av eller under överinseende av en forskare som har den vetenskapliga kompetens som behövs.

Prövningen görs av regionala etikprövningsnämnder. Den regiona- la nämndens beslut kan överklagas av sökanden, om beslutet har gått sökanden emot. Om en regional nämnd vid överläggning är oenig om utgången av etikprövningen, kan en minoritet inom nämnden begära att ärendet skall överlämnas till nästa instans för avgörande. Överklagande eller överlämnande skall ske till Centrala etikpröv- ningsnämnden.

491

Patientuppgifter och forskning inom hälso- och sjukvårdsområdet

SOU 2006:82

Vid sidan av prövning av den forskning som enligt lagen måste godkännas av en etikprövningsnämnd innan forskningsarbetet får påbörjas, har nämnderna möjlighet att lämna s.k. rådgivande yttran- den över ansökningar om annan forskning som avser människor. Denna möjlighet till frivillig prövning regleras i 2 och 3 §§ förord- ningen (2003:616) med instruktion för regionala etikprövningsnämn- der. Anledningen till att en sådan möjlighet att göra etikprövning har införts är att det i många fall krävs ett skriftligt yttrande som motsvarar en forskningsetisk prövning av en forskningsplan för att forskningsprojektet skall kunna beviljas finansiering och för att re- sultaten av forskningsarbetet skall kunna publiceras i en vetenskaplig tidskrift. För att ge prövningen en ökad tyngd har etikprövnings- utredningen föreslagit att bestämmelserna om rådgivande yttranden skall tas in i etikprövningslagen under benämningen frivillig prövning.

Ett forskningsprojekt som faller in under etikprövningslagen prö- vas vid ett tillfälle av en etikprövningsnämnd. Sedan tillstånd lämnats sker inte någon ytterligare prövning om det inte blir fråga om en ändring i forskningsprojektet. Etikprövningsutredningen har före- slagit att den frivilliga prövningen skall kunna avse även bekräftelse av ett tidigare lämnat godkännande. Utländska finansiärer av forsk- ningsprojekt ställer nämligen ibland som krav att projektet genom- går etisk granskning minst en gång per år.

I de fall journaluppgifter och andra patientuppgifter i hälso- och sjukvårdens individinriktade verksamhet behandlas manuellt är vård- registerlagen inte tillämplig. Däremot kan de tidigare nämnda bestäm- melserna i personuppgiftslagen vara tillämpliga. Personuppgiftslagen gäller nämligen inte bara för sådan behandling av personuppgifter som är helt eller delvis automatiserad, utan även för manuell behand- ling under vissa förutsättningar, nämligen om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personupp- gifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, dvs. i ett register (5 § andra stycket).

17.3.2Bestämmelser om sekretess och tystnadsplikt

Även om bestämmelserna om personuppgiftsbehandling medger att journaluppgifter och andra patientuppgifter behandlas för forsknings- ändamål innebär inte detta att eventuella sekretesshinder undanröjs.

492

SOU 2006:82

Patientuppgifter och forskning inom hälso- och sjukvårdsområdet

Uppgifter inom den allmänna hälso- och sjukvården omfattas av bestämmelserna i sekretesslagen (1980:100). (För en mera utförlig redovisning av bestämmelserna, se avsnitt 11.5.)

Sekretess gäller i förhållande till såväl enskilda (fysiska eller juri- diska personer) som andra myndigheter. Uppgifter som skyddas av sekretess kan inte lämnas från en myndighet till en enskild eller annan myndighet utan stöd i sekretesslagen. Enligt 1 kap. 3 § första och andra styckena gäller sekretesslagen därutöver i vissa fall inom en myndighet. Enligt bestämmelsen får en sekretessbelagd uppgift inte röjas för en annan verksamhetsgren inom samma myndighet, om verksamhetsgrenarna är att betrakta som självständiga i förhål- lande till varandra. Forskning anses inte tillhöra samma verksamhets- gren som den egentliga vården (prop. 1979/80:2 Del A s. 172). Ett genomförande av Offentlighets- och sekretesskommitténs (OSEK) förslag (se avsnitt 11.5.2) skulle inte påverka denna bedömning.

Enligt 7 kap. 1 c § första stycket sekretesslagen gäller sekretess inom hälso- och sjukvården och i annan medicinsk verksamhet för uppgift om enskilds hälsotillstånd och andra personliga förhållan- den, om det inte står klart att uppgiften kan röjas utan att den enskil- de eller någon honom eller henne närstående lider men. Sekretessen gäller därmed med ett omvänt skaderekvisit och presumtionen är alltså för sekretess. I vilka fall en uppgift kan lämnas ut måste avgöras efter en skadeprövning från fall till fall. Leder en skadeprövning till be- dömningen att uppgiften kan lämnas ut utan risk för men, är en all- män vårdgivare skyldig att lämna ut uppgiften. Är mottagaren en forskare vid t.ex. ett universitet eller liknande forskningsmyndighet, följer sekretessen enligt 7 kap. 1 c § sekretesslagen normalt med upp- giften enligt 13 kap. 3 § sekretesslagen. Hälso- och sjukvårdssekre- tessen gäller således även hos en mottagande forskningsmyndighet, om inte en annan primär sekretessbestämmelse i stället är tillämplig på uppgifterna hos forskningsmyndigheten.

I 7 kap. 1 c § sista stycket första meningen sekretesslagen finns vidare ett undantag från den annars gällande presumtionen för sekre- tess. Där föreskrivs att en myndighet inom ett landsting eller en kommun som bedriver hälso- och sjukvård får lämna uppgifter till en annan sådan myndighet för forskning och framställning av statistik eller för administration på verksamhetsområdet med tillämpning av ett rakt skaderekvisit. Presumtionen är här för att uppgiften får lämnas ut. För sekretess skall det kunna antas att den enskilde eller dennes närstående lider men om uppgiften röjs.

493

Patientuppgifter och forskning inom hälso- och sjukvårdsområdet

SOU 2006:82

Det raka skaderekvisitet i 7 kap. 1 c § sista stycket första meningen sekretesslagen gäller även vid uppgiftslämnande mellan självstän- diga verksamhetsgrenar inom hälso- och sjukvårdsmyndigheter hos ett landsting eller en kommun. Det gäller däremot inte vid upp- giftsutlämnande från en hälso- och sjukvårdsmyndighet till enskilda eller till myndigheter som inte bedriver hälso- och sjukvård.

I sekretesslagen finns några särskilda undantagsbestämmelser som innebär att en uppgift får lämnas ut trots att sekretess gäller för upp- giften. Av dess undantagsbestämmelser kan nämnas bestämmelsen i 14 kap. 4 § sekretesslagen som innebär att den enskilde helt eller delvis kan efterge sekretess som gäller till skydd för den enskilde. En patient kan alltså samtycka till att uppgifter om honom eller henne används för forskningsändamål.

Ett annat undantag som medför att uppgifter kan lämnas ut trots sekretess regleras i 14 kap. 9 § sekretesslagen. Av den bestämmel- sen följer att uppgifter kan lämnas till enskild forskare som bedriver sin forskning fristående från någon offentlig högskola eller annan myndighet eller en forskare som tillhör ett privat forskningsinstitut, om risken för men undanröjs genom att forskaren åläggs tystnads- plikt m.m. i ett särskilt förbehåll.

Uppgifter inom den enskilda hälso- och sjukvården omfattas av bestämmelserna om tystnadsplikt i lagen (1998:531) om yrkesverk- samhet på hälso- och sjukvårdens område. Enligt 2 kap. 8 § nämnda lag får den som tillhör eller har tillhört hälso- och sjukvårdsperso- nalen inom den enskilda hälso- och sjukvården inte obehörigen röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälso- tillstånd eller andra personliga förhållanden. Som obehörigt röjande anses inte att någon fullgör uppgiftsskyldighet som följer av lag eller förordning. Vid tolkningen av obehörighetsrekvisitet har det ansetts naturligt att söka ledning i skaderekvisitet som finns i sekretess- lagens bestämmelser.

Bestämmelser om hanteringen av journaluppgifter och andra upp- gifter om patienter inom en vårdgivares verksamhet finns i patient- journallagen (1985:562) och vårdregisterlagen. Bestämmelserna gäller både i den allmänna och den enskilda hälso- och sjukvården.

I 7 § första stycket patientjournallagen föreskrivs att varje journal- handling skall hanteras och förvaras så, att obehöriga inte får tillgång till den. Bestämmelsen behandlar den inre sekretessen och innebär att journaler inte får vara fritt tillgängliga inom en vårdgivares verk- samhet. I förarbetena uttalas att det vid vården av en patient på t.ex. en klinik endast är en begränsad del av personalen som i sitt arbete

494

SOU 2006:82

Patientuppgifter och forskning inom hälso- och sjukvårdsområdet

behöver tillgång till patientens journal. Respekten för patientens integritet kräver att ingen utanför denna krets för tillgång till jour- nalen (prop. 1984/85:189 s. 43).

Enligt 8 § vårdregisterlagen får endast den som för de ändamål som anges i 3 och 4 §§ behöver tillgång till uppgifterna för att kunna utföra sitt arbete ha direktåtkomst till uppgifter i ett vårdregister. Åtkomsten får endast avse de uppgifter som behövs för arbetets ut- förande. Enligt förarbetena är bestämmelsen om direktåtkomst tänkt att motsvara innehållet i 7 § patientjournallagen (prop. 1997/98:108 s. 99). Som nämnts tidigare ingår inte forskning bland de ändamål som anges i 3 och 4 §§ vårdregisterlagen.

Sammanfattningsvis kan konstateras att journaluppgifter och andra patientuppgifter inte utan föregående sekretessprövning får lämnas ut och användas i forskning, oavsett om forskningen bedrivs utan- för hälso- och sjukvården eller som en självständig verksamhetsgren inom hälso- och sjukvården. Även vid forskning som bedrivs av hälso- och sjukvårdspersonalen i samband med vård och behandling av patienter krävs alltså att en sekretessprövning har gjorts för att journaluppgifter och andra patientuppgifter som samlas in i vård- arbetet skall få användas i forskningen. Om forskningshuvudmannen är densamma som sjukvårdshuvudmannen gäller sekretess med ett rakt skaderekvisit. Är forskningshuvudmannen däremot t.ex. ett universitet gäller det omvända skaderekvisitet.

17.4Våra överväganden

17.4.1Ändamål

Vår bedömning: Journaluppgifter och andra patientuppgifter som samlas in i hälso- och sjukvårdens individinriktade verksam- het bör även fortsättningsvis få behandlas för forskningsända- mål under de förutsättningar som gäller i dag.

Som framgått tidigare är det i dag tillåtet att behandla journalupp- gifter och andra patientuppgifter som samlats in i hälso- och sjuk- vårdens individinriktade verksamhet för forskningsändamål om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller om behandlingen har godkänts enligt etikprövningslagen. Där- utöver krävs att en sekretessprövning har gjorts innan uppgifterna

495

Patientuppgifter och forskning inom hälso- och sjukvårdsområdet

SOU 2006:82

lämnas ut och används för forskning. Detta gäller oavsett om forsk- ningen bedrivs inom vårdgivarens egna verksamhet eller inte.

Journaluppgifter och andra patientuppgifter som samlas in i hälso- och sjukvårdens individinriktade verksamhet utgör sedan länge en viktig del av forskningens inom hälso- och sjukvården källmaterial. Det har inte framkommit något som ger oss anledning att inskränka dagens möjligheter att behandla sådana uppgifter för forskningsända- mål. Personuppgiftsbehandlingen bör således även fortsättningsvis vara tillåten under de förutsättningar som gäller i dag. Våra tidigare förslag (se avsnitt 7.3.2) innebär att detta även fortsättningsvis kom- mer att regleras av personuppgiftslagen och etikprövningslagen. Några regler härom har således inte tagits in i patientdatalagen. I den lagen har dock en hänvisning gjorts till finalitetsprincipen i person- uppgiftslagen.

I de fall forskningen bedrivs integrerat med vården av patienter kommer patientdatalagen att vara tillämplig beträffande den person- uppgiftsbehandling som rör vården, t.ex. i fråga om journalföringen.

17.4.2Direktåtkomst till uppgifter vid sammanhållen journalföring för forskningsändamål

Vår bedömning: Vårdgivare som deltar i sammanhållen journal- föring bör inte få direktåtkomst till varandras patientuppgifter för forskningsändamål. Däremot bör det, liksom i dag, vara tillåtet att efter prövning i det enskilda fallet lämna ut patientuppgifter- na på medium för automatiserad behandling, t.ex. på cd-rom, för forskningsändamål.

Vi har i avsnitt 8.7 föreslagit att direktåtkomst till personuppgifter som behandlas enligt patientdatalagen bara skall få förekomma i den utsträckning som anges i lag eller förordning. (För en redovis- ning av vad vi menar med begreppet direktåtkomst hänvisas till det nämnda avsnittet.)

I avsnitt 11 har vi föreslagit att det i patientdatalagen tas in bestäm- melse som tillåter direktåtkomst för sammanhållen journalföring under vissa förutsättningar.

Våra förslag i fråga om sammanhållen journalföring innebär att en vårdgivares vårddokumentation beträffande en patient får göras tek- niskt tillgänglig för andra vårdgivare om patienten inte motsätter

496

SOU 2006:82

Patientuppgifter och forskning inom hälso- och sjukvårdsområdet

sig detta. Någon sekretessprövning behöver inte göras då uppgifter- na görs tillgängliga.

En annan vårdgivare får bereda sig tillgång till sådana ospärrade uppgifter, om uppgifterna rör en patient som det finns en aktuell patientrelation med och uppgifterna kan antas ha betydelse för vår- den av patienten samt patienten samtycker till det eller, om patientens samtycke inte kan inhämtas, uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver. Med patientens samtycke får direktåtkomsten också användas om det behövs för att utfärda intyg om patientens pågående eller tidigare vård.

Med tanke på integritetskänsligheten i vårddokumentationen och den potentiellt sett vida spridning bland hälso- och sjukvårdsper- sonalen som möjliggörs genom sammanhållen journalföring har vi i det nämnda avsnittet föreslagit att direktåtkomsten vid den samman- hållna journalföringen bara skall få användas för de ovan nämnda syftena, dvs. vård och intygsutfärdande.

När det gäller sammanhållen journalföring och forskning inom hälso- och sjukvårdsområdet kan följande tilläggas.

I dag krävs det att en sekretessprövning görs innan patientupp- gifter lämnas ut och används för forskning och detta oavsett om forskningen bedrivs inom vårdgivarens egna verksamhet eller inte. Om direktåtkomsten i den sammanhållna journalföringen skulle få användas även för forskningsändamål, skulle detta innebära att vård- givare som deltar i sådan journalföring ges möjlighet att få tillgång till varandras patientuppgifter utan att någon sekretessprövning görs. Det skulle innebära en stor förändring gentemot i dag.

Utgångspunkten för våra förslag om sammanhållen journalföring är att sådan journalföring kommer att öka patientsäkerheten. Den enkätundersökning som vi låtit Statistiska centralbyrån göra visar att 79 procent är positiva till sammanhållen journalföring som inne- bär att hälso- och sjukvårdspersonalen snabbt kan få fram nödvän- diga uppgifter om dem när de söker vård. Enligt vår uppfattning finns det dock risk för att allmänhetens förtroende för sammanhållen journalföring kommer att minska om uppgifter som samlats in i det individinriktade vårdarbetet utan sekretessprövning görs tillgängliga för andra vårdgivare genom direktåtkomst även för forskningsända- mål. Resultatet av den tidigare nämnda enkätundersökningen visar t.ex. att 75 procent vill ha inflytande över hur deras journaluppgifter skall få användas för forskning som har godkänts av en etikpröv- ningsnämnd. Det finns alltså anledning att befara att patienter i stor utsträckning kommer att vilja spärra sina uppgifter från tillgänglighet

497

18Allmänna frågor och bestämmelser

18.1Information till den registrerade

Vårt förslag: Den som är personuppgiftsansvarig enligt patient- datalagen skall se till att den registrerade får information om per- sonuppgiftsbehandlingen. Informationen skall innehålla upplys- ningar om vem som är personuppgiftsansvarig, ändamålet med behandlingen och vilka kategorier av uppgifter som behandlas. Informationen skall även innehålla upplysningar om den uppgifts- skyldighet som kan följa av lag eller förordning, de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behand- lingen, rätten att i vissa fall begära att uppgifter spärras, rätten att få information om den direktåtkomst och elektroniska åtkomst som förekommit till uppgifter, rätten att ta del av uppgifter enligt 26 § personuppgiftslagen, rätten enligt 28 § samma lag till rättelse av oriktiga eller missvisande uppgifter och rätten enligt 48 § samma lag till skadestånd. Vidare skall informationen innehålla upplysningar om vad som gäller i fråga om sökbegrepp, direkt- åtkomst och utlämnande av uppgifter på medium för automa- tiserad behandling samt vad som gäller i fråga om bevarande och gallring. Slutligen skall informationen innehålla upplysningar om huruvida behandlingen är frivillig eller inte.

I det fall den personuppgiftsansvarige deltar i ett sammanhållet journalföringssystem skall den registrerade även informeras om vad den sammanhållna journalföringen innebär och om att han eller hon kan motsätta sig att hans eller hennes patientuppgifter görs tillgängliga för andra vårdgivare genom sammanhållen jour- nalföring.

I fråga om den information som skall lämnas beträffande per- sonuppgiftsbehandling i ett nationellt eller regionalt kvalitets- register, se avsnitt 16.4.6.

499

Allmänna frågor och bestämmelser

SOU 2006:82

Personuppgiftslagen (1998:204) innehåller särskilda bestämmelser om den personuppgiftsansvariges skyldighet att lämna information om behandling av personuppgifter till den registrerade (23–27 §§). Regleringen gäller dels den personuppgiftsansvariges skyldighet att självmant lämna information till den registrerade i samband med att personuppgifterna samlas in (23–25 §§), dels den personuppgifts- ansvariges skyldighet att lämna information på den registrerades begäran (26 §). Gemensamt för båda fallen är att bestämmelser om sekretess och tystnadsplikt alltid går före skyldigheten att lämna information (27 §).

Om uppgifter om en person samlas in från personen själv, skall den personuppgiftsansvarige i samband därmed självmant lämna den registrerade information om behandlingen av uppgifterna (23 § per- sonuppgiftslagen). Huvudregeln bör vara att den registrerade får informationen innan han eller hon lämnar uppgifter eller uppgifterna annars samlas in från honom eller henne (Öman och Lindblom, Personuppgiftslagen – En kommentar, 2001, andra uppl., s. 187). I Datainspektionens allmänna råd om information till registrerade en- ligt personuppgiftslagen anges att personuppgifter bör hanteras som om de var insamlade från den registrerade själv även när de lämnas av en legal ställföreträdare, t.ex. när en vårdnadshavare lämnar uppgifter om sitt underåriga barn.

Om personuppgifterna har samlats in från någon annan källa än den registrerade, t.ex. genom samkörning, överföring av register eller via andra personer, skall den personuppgiftsansvarige enligt 24 § personuppgiftslagen som huvudregel självmant lämna den registre- rade information om behandlingen av uppgifterna när de registreras, dvs. när de matas in i en dator eller sorteras in i ett manuellt register som omfattas av personuppgiftslagen. Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen dock inte ges förrän uppgifterna lämnas ut för första gången.

Från informationsskyldigheten i 24 § finns några undantag. Infor- mation behöver inte lämnas, om det finns bestämmelser om registre- randet eller utlämnandet av personuppgifterna i en lag eller någon annan författning. Vidare behöver information inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Om uppgifterna används för att vidta åtgärder som rör den registrerade, skall dock information lämnas senast i samband med att så sker.

I 25 § personuppgiftslagen anges vilken information som skall lämnas självmant. Informationen enligt 23 eller 24 §§ skall omfatta

500

SOU 2006:82

Allmänna frågor och bestämmelser

uppgift om den personuppgiftsansvariges identitet, uppgift om ändamålen med behandlingen och all övrig information som behövs för att den registrerade skall kunna ta till vara sina rättigheter i sam- band med behandlingen, såsom information om mottagarna av upp- gifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse.

Enligt 25 § andra stycket personuppgiftslagen behöver informa- tion inte lämnas om sådant som den registrerade redan känner till, t.ex. på grund av att han eller hon redan har fått informationen i enlighet med annan lagstiftning. Bestämmelsen – som gäller oavsett om uppgifterna har samlats in från den registrerade själv eller från någon annan källa – innebär att i de fall den personuppgiftsansva- rige avser att fortlöpande samla in uppgifter om den registrerade, behöver information inte lämnas varje gång nya uppgifter samlas in, om den registrerade en gång har fått fullständig information och således redan känner till informationen (prop. 1997/98:44 s. 78).

Informationen skall lämnas till den registrerade. I Datainspek- tionens tidigare nämnda allmänna råd om information anges att även om den registrerade är underårig eller har god man eller förvaltare bör information lämnas till den registrerade om han eller hon själv kan tillgodogöra sig informationen. Är så inte fallet bör informa- tionen i stället kunna lämnas till den underåriges vårdnadshavare eller i förekommande fall till en god man eller förvaltare.

Informationen måste inte lämnas skriftligen utan kan även lämnas muntligen. Det är den personuppgiftsansvarige som har bevisbördan för att den registrerade har fått den information som krävs.

Enligt 26 § personuppgiftslagen är den personuppgiftsansvarige skyldig att till var och en som ansöker om det en gång per kalender- år gratis lämna besked om personuppgifter som rör den sökande behandlas eller ej. Behandlas sådana uppgifter skall skriftlig infor- mation – ett s.k. registerutdrag – lämnas också om vilka uppgifter om den sökande som behandlas, varifrån dessa uppgifter har hämtats, ändamålen med behandlingen, och till vilka mottagare eller katego- rier av mottagare som uppgifterna lämnas ut. I paragrafens andra stycke finns bestämmelser dels om den registrerades ansökan, dels om vid vilken tidpunkt efter ansökan som den personuppgiftsansva- rige skall lämna information.

Från skyldigheten att lämna information enligt 26 § gäller undan- tag för personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Med löpande text avses text som inte har strukturerats

501

Allmänna frågor och bestämmelser

SOU 2006:82

så att sökning av personuppgifter underlättas. De nämnda undan- tagen gäller inte om uppgifterna har lämnats ut till tredje man eller om uppgifterna behandlas enbart för historiska, statistiska eller veten- skapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år.

I 27 § personuppgiftslagen finns en bestämmelse om undantag från informationsskyldigheten i 23–26 §§ vid sekretess och tystnads- plikt. I den utsträckning det är särskilt föreskrivet i lag eller annan författning eller i beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade gäller, enligt 27 §, inte bestämmelserna i 23–26 §§. En personuppgiftsansvarig som inte är en myndighet får därvid i motsvarande fall som avses i sekretess- lagen vägra att lämna ut uppgifter till den registrerade. Bestämmelser om sekretess och tystnadsplikt gäller således alltid före skyldigheten att lämna information.

Den 1 januari 2007 träder nya bestämmelser i personuppgiftslagen i kraft.TPF1FPT De nya bestämmelserna innebär bl.a. att personuppgifts- lagens bestämmelser om information till den registrerade (23–26 §§) inte behöver tillämpas på behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sam- manställning av personuppgifter, s.k. ostrukturerat material. Vidare införs i personuppgiftslagen en uttrycklig bestämmelse om att en myndighets beslut om information enligt 26 § får överklagas hos allmän förvaltningsdomstol. Prövningstillstånd krävs vid överkla- gande till kammarrätten. Föreskrifterna skall inte tillämpas i fråga om överklagande av beslut som har meddelats före ikraftträdandet.

Regeringen eller den myndighet som regeringen bestämmer får meddela närmare föreskrifter om vilken information som skall läm- nas till registrerade och hur informationen skall lämnas (50 § e person- uppgiftslagen). Regeringen har i 16 § 5 personuppgiftsförordningen (1998:1191) bemyndigat Datainspektionen att meddela sådana före- skrifter. Några föreskrifter har emellertid ännu inte utfärdats. Där- emot har, såsom tidigare framgått, allmänna råd om information till registrerade enligt personuppgiftslagen getts ut av Datainspektionen.

I lagen (1998:544) om vårdregister (vårdregisterlagen) finns en särskild bestämmelse om information. Enligt 11 § skall den som är personuppgiftsansvarig för ett vårdregister se till att den registrera-

1TP PT Se prop. 2005/06:173, bet. 2005/06:KU37, rskr. 2005/06:254 och SFS 2006:398.

502

SOU 2006:82

Allmänna frågor och bestämmelser

de får information om behandlingen. Informationen skall innehålla upplysningar om vem som är personuppgiftsansvarig, ändamålet med registret, vilken typ av uppgifter som ingår i registret, den upp- giftsskyldighet som följer av lagen (1998:543) om hälsodataregister (hälsodataregisterlagen), de sekretess- och säkerhetsbestämmelser som gäller för registret, rätten att ta del av uppgifter enligt 26 § per- sonuppgiftslagen, rätten till rättelse av oriktiga eller missvisande uppgifter, rätten till skadestånd vid behandling av personuppgifter i strid med vårdregisterlagen, vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automa- tiserad behandling, vad som gäller i fråga om bevarande och gallring, samt om registreringen är frivillig eller inte.

Det krävs inte att vårdpersonalen i varje enskilt fall lämnar en muntlig information om att dokumentationen sker i ett vårdregister utan informationsskyldigheten kan enligt lagens förarbeten fullgöras genom t.ex. broschyrer eller anslag vid vårdinrättningar (prop. 1997/98:108 s. 81 och 100).

Uppgiftsskyldigheten enligt hälsodataregisterlagen innebär att per- sonuppgifter som samlats in i en vårdgivares verksamhet lämnas vidare till centrala förvaltningsmyndigheter inom hälso- och sjukvården. Enligt 6 § nämnda lag skall nämligen den som bedriver verksamhet inom hälso- och sjukvården lämna uppgifter till ett hälsodataregister för vissa i lagen angivna ändamål. Dessa ändamål är framställning av statistik, uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård samt forskning och epidemiologiska undersökningar.

Våra överväganden

Våra förslag innebär att personuppgiftsbehandling enligt patientdata- lagen som huvudregel skall få ske även om den enskilde motsätter sig behandlingen (se avsnitt 8.5). Mot den bakgrunden är det från integritetssynpunkt angeläget att den registrerade får utförlig infor- mation om personuppgiftsbehandlingen. Informationen behövs för att den registrerade skall kunna ta till vara sina rättigheter i samband med personuppgiftsbehandlingen. Information är även viktig för att skapa en nödvändig grund för allmänhetens förtroende för be- handlingen.

I 25 § personuppgiftslagen anges vilken information som den personuppgiftsansvarige självmant skall lämna till den registrerade. Enligt vår uppfattning bör denna informationsskyldighet preciseras.

503

Allmänna frågor och bestämmelser

SOU 2006:82

En sådan precisering medför att det blir tydligare för såväl den per- sonuppgiftsansvarige som den registrerade vilken information som skall lämnas. Vi föreslår därför att det i patientdatalagen förs in en särskild bestämmelse om vilken information som den personupp- giftsansvarige skall lämna. Vid utformandet av bestämmelsen har vi utgått från vårdregisterlagens bestämmelse om information. Vissa tillägg behöver dock göras.

Skyldighet för vårdgivare att lämna ut uppgifter till myndigheter följer inte enbart av hälsodataregisterlagen utan även av andra författ- ningar. Vi har i avsnitt 8.2 redogjort för några sådana bestämmelser. Den information som den personuppgiftsansvarige skall lämna bör därför inte inskränka sig till upplysningar om den uppgiftsskyldighet som följer av hälsodataregisterlagen, utan avse även sådana före- skrifter om uppgiftsskyldighet som kan bli aktuella.

Våra förslag i avsnitt 12.4 innebär att patienter ges rätt att begära att vårddokumentation spärras från tillgänglighet för andra vård- enheter alternativt vårdprocesser utanför den till vilken uppgifterna hör. De innebär vidare att en patient har rätt att få information om den direktåtkomst och elektroniska åtkomst som förekommit till uppgifter om honom eller henne. Som framhålls i det avsnittet är det väsentligt att den allmänna information som den personuppgifts- ansvarige skall lämna även omfattar dessa rättigheter.

I fråga om upplysningar om rätten till rättelse av oriktiga eller missvisande uppgifter och om rätten till skadestånd görs hänvisningar till relevanta bestämmelser i personuppgiftslagen.

Därutöver behövs enligt vår mening en särskild bestämmelse i det fall den personuppgiftsansvarige deltar i ett sammanhållet journal- föringssystem. Vi har i avsnitt 11.3 redogjort för våra överväganden i fråga om patientens inflytande vid sådan journalföring. Våra för- slag innebär att patienten vid varje vårdepisod skall ha en möjlighet att motsätta sig att patientuppgifter görs tillgängliga för utomståen- de vårdgivare. Detta förutsätter att patienten dessförinnan har infor- merats om vad sammanhållen journalföring innebär och om att han eller hon kan motsätta sig att hans eller hennes patientuppgifter görs tillgängliga för andra vårdgivare genom sammanhållen journalföring. Informationen måste – utan undantag – lämnas innan uppgifterna görs tillgängliga i den sammanhållna journalföringen.

Vi har i avsnitt 16.4.6 behandlat frågan vilken ytterligare infor- mation som skall lämnas när det gäller personuppgiftsbehandling i ett nationellt eller regionalt kvalitetsregister.

504

SOU 2006:82

Allmänna frågor och bestämmelser

Hur informationen skall ges bör överlåtas åt varje personuppgifts- ansvarig att bestämma. Något rättsligt krav på att informationen skall ges i viss form, muntlig eller skriftlig, föreslås alltså inte. Det finns dock anledning att understryka vikten av att den personupp- giftsansvarige skapar rutiner för hur informationsskyldigheten skall fullgöras. Säkra rutiner ligger i den personuppgiftsansvariges intresse, eftersom den personuppgiftsansvarige har bevisbördan för att obli- gatorisk information faktiskt har lämnats till en registrerad. Liksom tidigare bör inte krävas att vårdpersonalen i varje enskilt fall lämnar en muntlig information om personuppgiftsbehandlingen, utan in- formationsskyldigheten bör kunna fullgöras genom t.ex. broschyrer och anslag i väntrummen. Som ett komplement bör information även kunna lämnas på vårdgivarens webbplats.

När det gäller hur information om sammanhållen journalföring bör lämnas, se avsnitt 11.3.3, och om personuppgiftsbehandling i nationella och regionala kvalitetsregister, se avsnitt 16.4.6.

Det åligger också den personuppgiftsansvarige att tillse att infor- mation är utformad på ett sätt som kan förstås av den registrerade. När det gäller t.ex. patienter som inte talar svenska bör den person- uppgiftsansvarige se till att någon översätter informationen eller att det finns skriftliga informationsblanketter på flera språk.

Inom hälso- och sjukvården är det vanligt att patientens hälso- tillstånd omöjliggör att information lämnas till patienten om en per- sonuppgiftsbehandling. Det kan exempelvis bero på att patienten är medvetslös eller alltför fysiskt eller psykiskt medtagen för kunna tillgodogöra sig information av det slag som här avses. Många gånger saknar dessa patienter legala ställföreträdare, t.ex. en god man eller förvaltare, som i stället skulle kunna erhålla informationen. I sådana fall bör informationen, på motsvarande sätt som gäller i fråga om information om själva vården, kunna lämnas till någon patienten när- stående (jfr 2 b § andra stycket hälso- och sjukvårdslagen [1982:763]). Så fort det är möjligt bör dock även patienten själv informeras om personuppgiftsbehandlingen. Givetvis måste uppgifter beträffande en patient som behöver akut vård kunna journalföras elektroniskt även om det inte finns någon närstående på plats som i samband med inhämtandet av uppgifter kan informeras om personuppgiftsbehand- lingen. Uppgifterna får däremot inte göras tillgängliga för andra vårdgivare genom sammanhållen journalföring.

Att beakta i sammanhanget är att en närstående till en vuxen per- son inte kan samtycka till en personuppgiftsbehandling (se dock de i avsnitt 11.3.4 nämnda författningsförslagen från utredningen

505

Allmänna frågor och bestämmelser

SOU 2006:82

om förmyndare, gode män och förvaltare, SOU 2004:112). Enligt definitionen av samtycke i 3 § personuppgiftslagen skall det vara den registrerade som blir informerad och genom en otvetydig vilje- yttring godtar behandlingen av sina personuppgifter. Som framgått tidigare innebär dock våra förslag att personuppgiftsbehandling enligt patientdatalagen som huvudregel skall få ske även om den enskilde motsätter sig behandlingen.

I övrigt skall personuppgiftslagens bestämmelser om information gälla. Detta behöver inte särskilt anges i patientdatalagen, eftersom personuppgiftslagens bestämmelser gäller om inget annat sägs (se avsnitt 7.3.3). Fr.o.m. den 1 januari 2007 kommer även bestämmel- serna i personuppgiftslagen om överklagande av myndighets beslut om information enligt 26 § personuppgiftslagen att gälla vid person- uppgiftsbehandling enligt patientdatalagen, dock inte i fråga om beslut som har meddelats före ikraftträdandet.

18.2Personuppgiftslagens regler om rättelse och skadestånd

18.2.1Rättelse

Vårt förslag: Personuppgiftslagens bestämmelser om rättelse skall gälla vid sådan behandling av personuppgifter som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är till- gängliga för sökning eller sammanställning enligt särskilda krite- rier och som sker enligt patientdatalagen. I sistnämnda lag skall göras en hänvisning till personuppgiftslagens regler om rättelse.

När det gäller rättelse av uppgifter i journalhandlingar skall patientdatalagens bestämmelser ha företräde.

Enligt 28 § personuppgiftslagen är den personuppgiftsansvarige skyl- dig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av den lagen. Att en uppgift rättas innebär att den ersätts eller kompletteras med korrekta uppgifter. Med blockering avses en åtgärd som vidtas för att personuppgifterna skall vara förknippade med information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje

506

SOU 2006:82

Allmänna frågor och bestämmelser

man annat än med stöd av 2 kap. tryckfrihetsförordningen (3 § per- sonuppgiftslagen). Att en uppgift utplånas innebär att den förstörs så att den inte kan återskapas. Det är i princip den personuppgifts- ansvarige som själv väljer korrigeringsmetod, dvs. om de aktuella personuppgifterna skall rättas, blockeras eller utplånas. Av annan lagstiftning eller av sakens natur kan dock följa att vissa korrige- ringsmetoder inte kan användas (prop. 1997/98:44 s. 132).

Sker rättelse skall den personuppgiftsansvarige också underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om mera betydande skada eller olägen- het för den registrerade skulle kunna undvikas genom en under- rättelse. Någon sådan underrättelse behöver dock inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportio- nerligt stor arbetsinsats.

Personuppgiftslagens bestämmelser om rättelse av personuppgifter är endast tillämpliga när uppgifter behandlats i strid med den lagen eller föreskrifter som har utfärdats med stöd av den lagen. Har per- sonuppgifter behandlats på något sätt som endast står i strid med någon annan författning kan alltså inte rättelse ske med stöd av per- sonuppgiftslagens regler. Av den anledningen föreskrivs i 13 § vård- registerlagen att personuppgiftslagens bestämmelser om rättelse skall gälla även då personuppgifter behandlats i strid med vårdregisterlagen. Detta gäller dock inte om åtgärderna skulle strida mot bestämmel- serna i patientjournallagen.

I patientjournallagen finns särskilda regler om rättelse av uppgifter i journalhandlingar. I 6 § stadgas att uppgifter i en journalhandling inte får utplånas eller göras oläsliga i andra fall än som avses i 17 §. Vid rättelse av en felaktighet skall det anges när rättelsen har skett och vem som har gjort den. Enligt 17 § får Socialstyrelsen på ansökan av patienten eller någon annan som omnämns i en patientjournal förordna att journalen helt eller delvis skall förstöras. Förutsättning för detta är dels att godtagbara skäl anförs för ansökan, dels att patientjournalen eller den del därav som skall förstöras uppenbar- ligen inte behövs för patientens vård och dels att det från allmän syn- punkt uppenbarligen inte finns skäl att bevara journalen. Som fram- går av avsnitt 10.4.6 och 10.4.8 föreslår vi att dessa bestämmelser skall föras över oförändrade till patientdatalagen.

Som nämnts tidigare träder nya bestämmelser i personuppgifts- lagen i kraft den 1 januari 2007. En uttrycklig bestämmelse införs då om att en myndighets beslut om rättelse och underrättelse till tredje man enligt 28 § personuppgiftslagen får överklagas hos allmän

507

Allmänna frågor och bestämmelser

SOU 2006:82

förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten. Föreskrifterna skall inte tillämpas i fråga om över- klagande av beslut som har meddelats före ikraftträdandet.

Våra överväganden

Enligt vår uppfattning bör den registrerade vid sådan behandling av personuppgifter som är helt eller delvis automatiserad eller där upp- gifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställ- ning enligt särskilda kriterier i princip ha samma möjlighet att få personuppgifter rättade vid behandling av personuppgifter i strid mot patientdatalagen som vid behandling i strid mot personuppgiftslagen. I patientdatalagen skall därför i fråga om sådan personuppgiftsbe- handling göras en hänvisning till personuppgiftslagens bestämmelser om rättelse.

När det gäller rättelse av uppgifter i journalhandlingar skall dock de från patientjournallagen till patientdatalagen överförda bestäm- melserna gälla framför personuppgiftslagens bestämmelser. De först- nämnda bestämmelserna innebär att uppgifter inte får utplånas eller göras oläsliga annat än om Socialstyrelsen förordnat om journalför- störing. Skyldigheten att rätta felaktiga uppgifter följer däremot av personuppgiftslagen.

Det bör i sammanhanget noteras att det enligt 9 § första stycket h personuppgiftslagen är ett grundläggande krav på den personupp- giftsansvarige att vid behandling av personuppgifter se till att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. I 9 § första stycket e och g person- uppgiftslagen ställs vidare krav på den personuppgiftsansvarige att se till att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen och att de personupp- gifter som behandlas är riktiga och, om det är nödvändigt, aktuella. Den personuppgiftsansvarige måste således – oberoende av bestäm- melsen i 28 § personuppgiftslagen om skyldigheten att vidta rättelse på den registrerades begäran – självmant vara aktiv för att se till att behandlade uppgifter är korrekta. Dessa krav, liksom andra grund- läggande krav i 9 § första stycket personuppgiftslagen, gäller även då personuppgifter behandlas enligt patientdatalagen (se avsnitt 7.3.3). Fr.o.m. den 1 januari 2007 kommer även bestämmelserna i person-

508

SOU 2006:82

Allmänna frågor och bestämmelser

uppgiftslagen om överklagande av beslut om rättelse att gälla vid personuppgiftsbehandling enligt patientdatalagen, dock inte i fråga om beslut som har meddelats före ikraftträdandet.

18.2.2Skadestånd

Vårt förslag: Personuppgiftslagens bestämmelser om skadestånd skall gälla vid sådan behandling av personuppgifter som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är av- sedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier och som utförts i strid mot patientdatalagen. I sist- nämnda lag skall göras en hänvisning till personuppgiftslagens regler om skadestånd.

Enligt 48 § personuppgiftslagen skall den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med den lagen har orsakat. Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne. Skadeståndsbestämmelserna i personuppgiftslagen gäller framför de allmänna bestämmelserna om skadestånd i skadeståndslagen (1972:207). I den mån en fråga inte är reglerad i personuppgiftslagen skall dock bestämmelserna i skade- ståndslagen tillämpas. Det gäller exempelvis i fråga om beräkning av ersättningens storlek.

Skillnaden mellan de särskilda bestämmelserna i personuppgifts- lagen och bestämmelserna i skadeståndslagen består främst i att ersättning enligt personuppgiftslagen kan utgå för ren förmögen- hetsskada och för kränkning av den personliga integriteten även om brottslig gärning inte har begåtts. En annan viktig skillnad är att personuppgiftslagens skadeståndsbestämmelse bygger på ett i prin- cip strikt skadeståndsansvar medan skadeståndsskyldighet enligt skadeståndslagen förutsätter åtminstone ett oaktsamt handlande från skadevållarens sida.

Skadeståndsbestämmelserna i personuppgiftslagen gäller bara vid behandling av personuppgifter i strid mot bestämmelserna i den lagen. De är alltså inte tillämpliga vid behandling av personuppgifter i strid mot andra författningar. Av det skälet föreskrivs i 14 § vårdregister-

509

Allmänna frågor och bestämmelser

SOU 2006:82

lagen att bestämmelserna i personuppgiftslagen om skadestånd gäller vid behandling av personuppgifter enligt vårdregisterlagen.

Enligt vår uppfattning bör ett skadeståndsansvar motsvarande det som gäller enligt personuppgiftslagen finnas även vid sådan be- handling av personuppgifter som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sam- manställning enligt särskilda kriterier och som utförs i strid med patientdatalagen. I sistnämnda lag skall därför göras en hänvisning till personuppgiftslagens bestämmelser om skadestånd. I fråga om andra personuppgifter som hanteras i strid mot patientdatalagen gäller de allmänna skadeståndsreglerna i skadeståndslagen. Dessa regler kan också bli tillämpliga om bestämmelserna i patientdatalagen som avser verksamhetsregleringen inte följs; exempelvis att någon anteckning inte görs om att en patient anser att en uppgift i en journal är oriktig eller missvisande, se 3 kap. 7 § patientdatalagen.

18.3Bevarande och gallring

Vårt förslag: När det gäller bevarande och gallring av journal- handlingar skall, såsom tidigare föreslagits, patientjournallagens bestämmelser härom föras över oförändrade till patientdatalagen. I fråga om bevarande och gallring av journalhandlingar vid sam- manhållen journalföring, se avsnitt 11.7.

När det gäller bevarande och gallring av andra allmänna hand- lingar än journalhandlingar skall arkivlagens bestämmelser gälla. Det behövs ingen bestämmelse om detta i patientdatalagen. I fråga om bevarande och gallring av personuppgifter i ett nationellt eller regionalt kvalitetsregister, se avsnitt 16.4.8.

I fråga om bevarande och gallring av personuppgifter som inte är allmänna handlingar (och inte heller journalhandlingar) gäller personuppgiftslagen. Det behövs ingen uttrycklig bestäm- melse om detta i patientdatalagen.

Enligt 9 § första stycket i personuppgiftslagen skall den personupp- giftsansvarige se till att personuppgifter inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behand- lingen. Personuppgifter får dock bevaras för historiska, statistiska eller vetenskapliga ändamål under längre tid än vad som nu sagts. Personuppgifterna får dock i sådana fall inte bevaras under en längre

510

SOU 2006:82

Allmänna frågor och bestämmelser

tid än vad som behövs för dessa ändamål. Efter denna tid måste personuppgifterna avidentifieras eller utplånas.

Personuppgiftslagens bestämmelser hindrar inte att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.

Grundläggande bestämmelser om bevarande och gallring av all- männa handlingar hos myndigheter finns i arkivlagen (1990:782). De bestämmelser som gäller för kommunala myndigheters arkiv gäller även för arkiv hos sådana juridiska personer som avses 1 kap. 9 § sekretesslagen, dvs. aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt be- stämmande inflytande.

I arkivlagen slås fast att myndigheternas arkiv är en del av det nationella kulturarvet. Det i lagen angivna syftet med arkivbild- ningen är att myndigheternas arkiv skall bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättsskipningen och förvaltningen samt forskningens behov.

En myndighets arkiv bildas av de allmänna handlingarna från myndighetens verksamhet och sådana handlingar som avses i 2 kap. 9 § tryckfrihetsförordningen (minnesanteckningar, utkast och kon- cept) som myndigheten beslutar skall tas hand om för arkivering. Upptagningar för automatisk databehandling som är tillgängliga för flera myndigheter, så att de där utgör allmänna handlingar, skall dock bilda arkiv endast hos en av dessa myndigheter, i första hand den myndighet som svarar för huvuddelen av upptagningen.

Huvudregeln enligt arkivlagen är att allmänna handlingar skall be- varas. Enligt 10 § arkivlagen får emellertid gallring ske. Om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller i förordning gäller dessa bestämmelser.

Med gallring avses traditionellt att vissa handlingar sorteras ut ur sitt sammanhang och sedan förstörs. När det gäller gallring av elektro- niska upptagningar innebär detta normalt att viss information rade- ras från databäraren, dvs. det fysiska underlaget. Det är dock inte nödvändigt att den egentliga information som finns på ett elektroniskt medium verkligen förstörs för att det skall vara fråga om gallring. Tvärtom kan ett visst material gallras genom att den elektroniskt lagrade informationen överförs till en pappersutskrift, varefter den raderas från det elektroniska mediet. Även om alla uppgifter då fortfarande kan tyckas finnas kvar på papper, så har olika sökmöjlig- heter eller möjligheter att göra sammanställningar eller kontroller av

511

Allmänna frågor och bestämmelser

SOU 2006:82

handlingars autencitet – t.ex. elektroniska signaturer – gått förlorade, vilket medför att materialet har gallrats. Innebörden av att ett visst material har gallrats, är alltså att möjligheten att få fram information ur materialet på något sätt har försämrats.

Riksarkivet har definierat gallring som förstöring av allmänna handlingar och uppgifter i allmänna handlingar. Förstöring av sådana handlingar/uppgifter i samband med överföring till annan databärare räknas som gallring om överföringen medför informationsförlust, förlust av möjliga informationssammanställningar, förlust av sök- möjligheter eller förlust av möjligheter att fastställa informationens autenticitet (RA-FS 1994:2 och RA-FS 2003:2).

Vid gallring skall alltid beaktas att arkiven utgör en del av kultur- arvet och att det arkivmaterial som återstår skall kunna tillgodose arkivbildningens syften.

En kommunal myndighet får inte på egen hand avgöra vad som skall gallras ur dess arkiv. Gallringsföreskrifter för sådana myndig- heter meddelas av kommunfullmäktige respektive landstingsfullmäk- tige. För vissa typer av handlingar är dock rätten att meddela gall- ringsföreskrifter inskränkt genom lag eller förordning, t.ex. genom bestämmelser i patientjournallagen eller andra författningar om minsta bevarandetid för journalhandlingar (se vidare nedan).

I fråga om bevarande av patientjournaler finns särskilda regler i bl.a. 8 § patientjournallagen (1985:562). Enligt denna bestämmelse

– som gäller såväl allmän som enskild hälso- och sjukvård – skall en journalhandling bevaras minst tre år efter det den sista uppgiften fördes in i handlingen. Regeringen, eller den myndighet regeringen bestämmer, får föreskriva att vissa slags journalhandlingar skall be- varas i minst tio år. Så har också skett i förordningen (1986:203) om förlängd bevarandetid för vissa journalhandlingar inom hälso- och sjukvården.TPF2FPT Längre bevarandetider kan också vara föreskrivna i andra lagar. I t.ex. 6 kap. 4 § och 7 kap. 6 § lagen (2006:351) om genetisk integritet m.m. föreskrivs att uppgifter om spermagivare vid inse- mination och givare av ägg eller spermier vid befruktning utanför kroppen skall antecknas i en särskild journal, som skall bevaras i minst 70 år.

Som redovisats i avsnitt 10.4.9 har Socialstyrelsen möjlighet att i vissa fall besluta att patientjournaler inom enskild hälso- och sjuk-

2TP PT Som redovisats i avsnitt 10.4.7 föreslås i promemorian Genomförande av EG-direktivet om mänskliga vävnader och celler (Ds 2005:40) att regeringen eller den myndighet regeringen bestämmer skall få föreskriva att vissa slags journalhandlingar skall bevaras minst 30 år. För- slagen i promemorian har remissbehandlats och bereds för närvarande inom Regerings- kansliet.

512

SOU 2006:82

Allmänna frågor och bestämmelser

vård skall tas om hand. Sådana omhändertagna journaler skall enligt 12 § andra stycket patientjournallagen bevaras minst tio år från det att de kom in till arkivmyndigheten.

I 8 § andra stycket patientjournallagen anges att för journalhand- lingar som utgör allmänna handlingar gäller utöver patientjournal- lagen arkivlagen samt de bestämmelser som meddelas med stöd av arkivlagen. Bestämmelsen innebär att när den minsta tiden för be- varande har löpt ut beträffande sådana journaler som är allmänna handlingar träder arkivlagens huvudregler om bevarande och gallring in. Som nämnts tidigare innebär dessa en presumtion för bevarande men medgivande till gallring på bestämda villkor.

Vårdregisterlagen innehåller inte några avvikande bestämmelser om bevarande och gallring. I stället anges i 10 § vårdregisterlagen att utöver vad som följer av personuppgiftslagen finns särskilda bestäm- melser om bevarande och gallring i patientjournallagen.

Våra överväganden

Som redovisats tidigare finns de grundläggande bestämmelserna om bevarande av journalhandlingar i patientjournallagen. Vi har i av- snitt 10.4.7 föreslagit att dessa skall föras över oförändrade till patient- datalagen. Det innebär alltså att journalhandlingar inom såväl allmän som enskild hälso- och sjukvård skall bevaras den minsta tid som anges i patientdatalagen eller i författningar som har meddelats med stöd av lagen. Längre bevarandetider kan, såsom framgått tidigare, vara föreskrivna i andra lagar. Efter utgången av den minsta tiden för bevarande får sådana handlingar gallras. Därvid skall bestämmel- serna i 9 § första stycket i och tredje stycket personuppgiftslagen beaktas (se vidare nedan). Om journalhandlingarna utgör allmänna handlingar måste dock bestämmelserna i arkivlagen och de bestäm- melser som meddelas med stöd av arkivlagen beaktas.

I fråga om bevarande och gallring av journalhandlingar vid sam- manhållen journalföring, se avsnitt 11.7.

Beträffande bevarande och gallring av andra allmänna handlingar än journalhandlingar gäller arkivlagens bestämmelser. Någon hän- visning till arkivlagens bestämmelser behöver inte göras (jfr prop. 1997/98:108 s. 80). Av 8 § andra stycket personuppgiftslagen följer nämligen uttryckligen att lagen inte hindrar att en myndighet bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkiv- myndighet.

513

Allmänna frågor och bestämmelser

SOU 2006:82

I fråga om bevarande och gallring av personuppgifter i ett nationellt eller regionalt kvalitetsregister, se avsnitt 16.4.8.

När det slutligen gäller personuppgifter som inte är allmänna handlingar (och inte heller journalhandlingar) så följer av 9 § första stycket i och tredje stycket personuppgiftslagen att personuppgifter inte får bevaras under en längre tid än vad som är nödvändigt med hänsyn till de ändamål för vilka uppgifterna behandlas eller så länge uppgifterna därefter behövs för historiska, statistiska eller veten- skapliga ändamål. Efter denna tid måste uppgifterna avidentifieras eller utplånas. Enligt vår uppfattning saknas anledning att föreslå någon härifrån avvikande bestämmelse. Eftersom 9 § personuppgifts- lagen gäller även då personuppgifter behandlas enligt patientdata- lagen, behövs ingen uttrycklig bestämmelse om detta.

18.4Säkerheten vid behandling och tillsynsmyndighetens befogenheter

Vårt förslag: Personuppgiftslagens bestämmelser om säkerheten vid behandling och tillsynsmyndighetens befogenheter skall gälla också när personuppgifter behandlas enligt patientdatalagen. Där- utöver skall i patientdatalagen anges vilka säkerhetsåtgärder som i vissa fall skall vidtas, se avsnitt 12.4.

Datainspektionen skall vara tillsynsmyndighet även då per- sonuppgifter behandlas enligt patientdatalagen. Tillsynen över att journalföring sker på föreskrivet sätt skall dock alltjämt utövas av Socialstyrelsen.

I 30 och 31 §§ personuppgiftslagen finns regler om hur den person- uppgiftsansvarige skall organisera arbetet för att garantera säkerheten för personuppgifter som behandlas.

Enligt 30 § får ett personuppgiftsbiträde och den eller de per- soner som arbetar under biträdets eller den personuppgiftsansvariges ledning behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige. Av dataskyddsdirektivet framgår inte hur utförliga instruktioner som den personuppgiftsansvarige måste lämna sina medhjälpare. Datalagskommittén har dock fram- hållit att den personuppgiftsansvarige i princip bär ansvaret för att instruktionerna är så tydliga att otillåten behandling inte kommer att utföras (SOU 1997:39 s. 408).

514

SOU 2006:82

Allmänna frågor och bestämmelser

Om det i lag eller annan författning finns särskilda bestämmelser om behandling av personuppgifter i det allmännas verksamhet, skall dessa gälla i stället (30 § tredje stycket). Enligt personuppgifts- lagens förarbeten avses särskilt bestämmelser om tystnadsplikt och sekretess (prop. 1997/98:44 s. 136).

Enligt 31 § skall den personuppgiftsansvarige vidta lämpliga tek- niska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna, och hur pass känsliga de behandlade personuppgifterna är. Personuppgiftslagen föreskri- ver således inte någon konkret säkerhetsåtgärd som skall eller bör vidtas utan ger en kortfattad och allmänt hållen uppräkning av de faktorer som skall beaktas av den personuppgiftsansvarige. Avsikten är, enligt personuppgiftslagens förarbeten, att regeringen eller den myndighet som regeringen bestämmer skall meddela de närmare före- skrifter om säkerhetsåtgärder som behövs (a. prop. s. 92). Enligt 50 § b personuppgiftslagen får regeringen eller den myndighet som regeringen bestämmer meddela närmare föreskrifter om vilka krav som ställs på den personuppgiftsansvarige vid behandling av per- sonuppgifter. Regeringen har i personuppgiftsförordningen (16 §) bemyndigat Datainspektionen att meddela sådana föreskrifter. Några föreskrifter har ännu inte meddelats. Däremot har Datainspektionen gett ut allmänna råd om säkerhet för personuppgifter.

Personuppgiftslagen innehåller vidare vissa bestämmelser om till- synsmyndighetens befogenheter. Enligt 3 § personuppgiftslagen är tillsynsmyndigheten den myndighet som regeringen utser att utöva tillsyn. Regeringen har i 2 § personuppgiftsförordningen utsett Data- inspektionen att vara tillsynsmyndighet enligt personuppgiftslagen.

Av 32 § personuppgiftslagen följer att tillsynsmyndigheten i en- skilda fall får besluta om vilka säkerhetsåtgärder som den personupp- giftsansvarige skall vidta enligt 31 §. Tillsynsmyndigheten har också rätt att för sin tillsyn på begäran få tillgång till de personuppgifter som behandlas, upplysningar om och dokumentation av behand- lingen av personuppgifter och säkerheten vid denna samt tillträde till sådana lokaler som har anknytning till behandlingen av person- uppgifter (43 §). Tillsynsmyndigheten har vidare vissa möjligheter att förelägga vite och att förbjuda den personuppgiftsansvarige att fortsätta att behandla personuppgifter på annat sätt än att lagra dem (44 och 46 §§). Tillsynsmyndigheten har också möjlighet att

515

Allmänna frågor och bestämmelser

SOU 2006:82

hos domstol ansöka om att personuppgifter som har behandlats på ett olagligt sätt skall utplånas (47 §).

Våra överväganden

Enligt vår uppfattning bör personuppgiftslagens bestämmelser om säkerheten vid behandling av personuppgifter och tillsynsmyndig- hetens befogenheter gälla även när personuppgifter behandlas enligt patientdatalagen.

Det bör i sammanhanget framhållas att den personuppgiftsbehand- ling som sker inom hälso- och sjukvården avser integritetskänsliga personuppgifter om enskilda. Det medför att höga krav måste ställas på de säkerhetsåtgärder som skall vidtas för att skydda personupp- gifterna och att en sårbarhetsanalys måste göras för att identifiera riskerna. Hög kvalitet på tekniska skyddsåtgärder såsom säkra funk- tioner för behörighetskontroll, loggning, kommunikation, säkerhets- kopiering m.m. måste förutsättas. Minst lika viktigt är administrativa rutiner för hanteringen av personuppgifter och att personalen kon- tinuerligt utbildas och informeras om säkerhetsfrågor.

Vanligtvis brukar säkerhetsfrågor inte regleras i lag eller förord- ning utan hanteras på myndighetsnivå. Vi har dock i avsnitt 12.4 föreslagit att det i patientdatalagen skall införas bestämmelser som innebär en skyldighet för vårdgivare att bestämma villkor för tilldel- ning av behörighet för åtkomst till patientuppgifter, som förs helt eller delvis automatiserat, att genomföra åtgärder som innebär att åtkomst till sådana patientuppgifter dokumenteras och kan kontrol- leras samt att genomföra systematiska och återkommande kontroller av att obehörig åtkomst till sådana uppgifter inte förekommer. De föreslagna bestämmelserna innebär en konkretisering av person- uppgiftslagens bestämmelser om teknisk och administrativ säkerhet till skydd för personuppgifterna.

Som framgått tidigare har regeringen utsett Datainspektionen att vara tillsynsmyndighet enligt personuppgiftslagen. Det finns dock inget som hindrar att regeringen utser olika tillsynsmyndigheter för skilda områden, t.ex. en särskild tillsynsmyndighet för den behand- ling av personuppgifter som sker inom hälso- och sjukvården. Så har emellertid inte skett och enligt vår uppfattning saknas anledning att nu överväga en sådan ordning. Datainspektionen skall alltså vara tillsynsmyndighet även då personuppgifter behandlas enligt patient- datalagen.

516

SOU 2006:82

Allmänna frågor och bestämmelser

Detta tillsynsansvar omfattar dock inte det som faller in under Socialstyrelsens tillsynsansvar. Socialstyrelsen skall enligt 6 kap. lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område utöva tillsyn över hälso- och sjukvården och dess personal. Tillsynen skall främst syfta till att förebygga skador och eliminera risker i hälso- och sjukvården. Tillsynen är således inriktad på patientsäker- heten. Bestämmelserna om patientjournalföring är av central betydelse för patientsäkerheten. Tillsynen över att journalföring sker på sätt som föreskrivs i patientdatalagen skall alltså utövas av Socialstyrelsen. Att behandlingen av personuppgifter i elektroniska journaler sker i överensstämmelse med patientdatalagen faller däremot in under Data- inspektionens tillsynsansvar. Detta innebär att Datainspektionens tillsyn bl.a. skall omfatta frågor som rör åtkomsten till personupp- gifter inom hälso- och sjukvården och informationen till de registre- rade. Datainspektionens tillsyn skall också omfatta frågor som rör informationssäkerhet. Vi är medvetna om att det inte är möjligt att dra någon skarp gräns mellan Datainspektionens och Socialstyrelsens tillsynsansvar, men vi förutsätter att myndigheterna samverkar i dessa frågor.

18.5Ytterligare föreskrifter

Vår bedömning: Några ytterligare delegationsbestämmelser ut- över de som vi tidigare föreslagit behövs inte.

Vi har tidigare i betänkandet föreslagit olika bemyndiganden för regeringen, eller i vissa fall den myndighet regeringen bestämmer, att utfärda olika föreskrifter.

Sålunda har vi i avsnitt 8.5 föreslagit att regeringen skall få före- skriva att en behandling av personuppgifter som inte är tillåten enligt patientdatalagen inte heller i andra fall får utföras trots att den en- skilde lämnat samtycke till behandlingen.

I avsnitt 8.6 har vi föreslagit att regeringen skall få föreskriva att ett landsting eller en kommun får använda uppgifter om etnicitet samt att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgärder enligt utlänningslagen som sök- begrepp för att göra vissa slags sammanställningar.

Vi har i avsnitt 10.4.4 föreslagit att regeringen, eller den myndig- het som regeringen bestämmer, skall få meddela föreskrifter om undantag från kravet på att journalanteckningar skall signeras. Vidare

517

Allmänna frågor och bestämmelser

SOU 2006:82

har vi i avsnitt 10.4.10 gjort bedömningen att det beträffande regle- ringen av patientjournalföringen inte behövs några delegations- bestämmelser utöver de som i dag finns i patientjournallagen. Dessa bestämmelser innebär att regeringen, eller den myndighet som regeringen bestämmer får föreskriva undantag från kraven på jour- nalens innehåll, nämligen i fråga om journalspråket och kravet på att i journalen anteckna patientens identitet. Bestämmelserna innebär vidare att regeringen, eller den myndighet som regeringen bestäm- mer, får meddela ytterligare föreskrifter om journalhandlings inne- håll, utformning och hantering. Slutligen bemyndigas regeringen att meddela särskilda föreskrifter om patientjournaler i krig, vid krigsfara eller under sådana utomordentliga förhållanden som är föranledda av att det är krig utanför Sveriges gränser eller av att Sverige har varit i krig eller krigsfara.

Vidare har vi i avsnitt 12.4 föreslagit att regeringen, eller den myn- dighet som regeringen bestämmer, skall få meddela närmare före- skrifter om tilldelning av behörighet för åtkomst till uppgifter som förs helt eller delvis automatiserat och om dokumentation och kontroll av elektronisk åtkomst till patientuppgifter.

I avsnitt 13.3 har vi föreslagit att regeringen, eller den myndighet som regeringen bestämmer, skall få meddela föreskrifter om de krav på säkerhetsåtgärder som skall gälla vid enskilds direktåtkomst till sina uppgifter.

Vidare har vi i avsnitt 11.6 föreslagit att regeringen få skall med- dela föreskrifter om personuppgiftsansvar när det gäller övergri- pande frågor om tekniska och organisatoriska säkerhetsåtgärder vid sammanhållen journalföring.

I avsnitt 16.4.3 har vi föreslagit att regeringen skall få föreskriva att även enskild får vara personuppgiftsansvarig för sådan person- uppgiftsbehandling i nationella och regionala kvalitetsregister som sker på central nivå. Vi har även föreslagit att en arkivmyndighet inom en kommun eller ett landsting skall få föreskriva att person- uppgifter i ett nationellt eller regionalt kvalitetsregister som förs inom kommunen eller landstinget får bevaras för historiska, statistiska och vetenskapliga ändamål.

I avsnitt 12.4 har vi föreslagit att regeringen, eller den myndighet som regeringen bestämmer, skall få meddela närmare föreskrifter om den information som en vårdgivare skall ge till patienten om den direktåtkomst och elektroniska åtkomst som förekommit till patientens uppgifter.

518

SOU 2006:82

Allmänna frågor och bestämmelser

Enligt vår bedömning saknas behov av några ytterligare delega- tionsbestämmelser utöver de som vi tidigare föreslagit.

18.6Utlämnande av journalhandling som har samband med vävnadsprov i biobank

Vårt förslag: Patientjournallagens bestämmelse om att en jour- nalhandling som rör en viss patient skall lämnas ut på begäran av den som fått tillgång till kodat humanbiologiskt material om patienten från en biobank flyttas till biobankslagen.

Patientjournallagens 16 § reglerar patientens rätt att få del av journal- handlingar inom enskild hälso- och sjukvård (se avsnitt 13.2). I sam- band med införandet av lagen (2002:297) om biobanker i hälso- och sjukvården m.m. (biobankslagen) infördes ett nytt andra stycke i bestämmelsen. Enligt detta stycke skall en journalhandling som rör en viss patient också lämnas ut på begäran av den som fått tillgång till kodat humanbiologiskt material om den patienten från en bio- bank enligt 4 kap. 1 § biobankslagen, om patienten samtyckt till utlämnandet. Vidare upplyses om att det i fråga om vissa känsliga personuppgifter finns föreskrifter i personuppgiftslagen. Frågan om utlämnande prövas på samma sätt som frågor om utlämnande av journalhandling på begäran av patienten enligt 16 § första stycket patientjournallagen, dvs. av den som är ansvarig för journalhand- lingen. Anser denne inte anser att journalhandlingen kan lämnas ut, överlämnas frågan till Socialstyrelsen för prövning.

Enda förklaringen till varför bestämmelsen togs in i patientjour- nallagen i stället för biobankslagen synes vara att formerna för prövning och överklagande redan fanns i patientjournallagen (se prop. 2001/02:44 s. 51). Å andra sidan finns ett liknande prövnings- förfarande när det gäller utlämnande av vävnadsprover ur en biobank i 4 kap. 6 § biobankslagen.

Våra överväganden

Enligt vår uppfattning bör patientdatalagens bestämmelser om jour- nalföring endast avse de grundläggande reglerna. Som vi framhållit i avsnitt 10.4.4 bör specialregler finnas i särlagstiftningen. Vi föreslår

519

19Ikraftträdande- och övergångsbestämmelser

Vårt förslag: Patientdatalagen och de ändringar som vi föreslår i andra författningar skall träda i kraft den 1 januari 2008.

När patientdatalagen träder i kraft skall patientjournallagen och vårdregisterlagen upphöra att gälla.

Patientdatalagens bestämmelser om nationella och regionala kvalitetsregister skall inte börja tillämpas förrän den 1 januari 2009 i fråga om sådana kvalitetsregister som börjat föras före patientdatalagens ikraftträdande. Vidare skall bestämmelserna om den enskildes rätt att motsätta sig personuppgiftsbehandling i sådana kvalitetsregister och om information om sådan person- uppgiftsbehandling inte gälla beträffande sådana personuppgifter som behandlats före den 1 januari 2009.

Patientdatalagen bör kunna träda i kraft den 1 januari 2008. Det- samma gäller de ändringar vi föreslår i sekretesslagen (1980:100), lagen (2001:499) om omskärelse av pojkar och lagen (2002:297) om biobanker i hälso- och sjukvården m.m.

Patientdatalagen ersätter den reglering som nu finns i patientjour- nallagen (1985:562) och lagen (1998:544) om vårdregister (vårdre- gisterlagen). De båda sistnämnda lagarna skall därför upphöra att gälla samtidigt som patientdatalagen träder i kraft.

I dag regleras personuppgiftsbehandlingen i nationella och regio- nala kvalitetsregister av personuppgiftslagen (1998:204). Patientdata- lagens bestämmelser om nationella och regionala kvalitetsregister innebär en skärpning av lagstiftningen jämfört med vad som gäller i dag, bl.a. genom att den enskilde ges rätt att motsätta sig registre- ring. Av det skälet bör särskilda övergångsbestämmelser meddelas i fråga om sådana kvalitetsregister.

Verksamheten bör ges möjlighet att anpassa sina rutiner till den nya lagstiftningen, varför vi föreslår att patientdatalagens bestäm- melser om nationella och regionala kvalitetsregister inte skall börja

521

Ikraftträdande- och övergångsbestämmelser

SOU 2006:82

tillämpas förrän efter en viss övergångstid. Vi uppskattar ett år som en tillräcklig övergångstid. Vi föreslår alltså att patientdatalagens bestämmelser om nationella och regionala kvalitetsregister inte skall börja tillämpas förrän den 1 januari 2009 i fråga om sådana kvali- tetsregister som börjat föras före patientdatalagens ikraftträdande.

Vidare föreslår vi att patientdatalagens bestämmelser om den en- skildes rätt att motsätta sig personuppgiftsbehandling i nationella och regionala kvalitetsregister och om information om sådan person- uppgiftsbehandling inte skall gälla beträffande sådana personupp- gifter som behandlats före den 1 januari 2009. Det innebär att redan insamlade personuppgifter får finnas kvar i kvalitetsregistren och att nämnda information endast behöver lämnas beträffande framtida personuppgiftsbehandling i registren.

För tydlighetens skull bör nämnas att vi inte föreslår några särskilda övergångsbestämmelser i fråga om patientdatalagens bestämmelser om sammanhållen journalföring. Det innebär att en vårdgivares upp- gifter om en patient som har dokumenterats före patientdatalagens ikraftträdande endast får göras tillgängliga för andra vårdgivare genom sammanhållen journalföring om lagens förutsättningar härför är uppfyllda.

522

20 Konsekvenser av våra förslag

20.1Ekonomiska konsekvenser

För kommittéers och särskilda utredares arbete gäller kommittéför- ordningens (1998:1474) bestämmelser.

Om förslagen i ett betänkande påverkar kostnaderna eller intäk- terna för staten, kommuner, landsting, företag eller andra enskilda, skall enligt 14 § kommittéförordningen en beräkning av dessa kon- sekvenser redovisas i betänkandet. Om förslagen innebär samhällseko- nomiska konsekvenser i övrigt, skall dessa redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, kommuner eller landsting, skall kommittén föreslå en finansiering.

Våra förslag innebär inledningsvis att det införs en ny lag – patientdatalagen – som skall tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. Bestämmelserna i pa- tientjournallagen (1985:562) och lagen (1998:544) om vårdregister (vårdregisterlagen) förs över till den nya lagen. Genom förslagen åstadkoms en mer samlad reglering av personuppgiftsbehandlingen inom hälso- och sjukvården. Förslagen medför däremot inte några ekonomiska eller andra konsekvenser.

Våra förslag i fråga om sammanhållen journalföring innebär en möjlighet för sjukvårdshuvudmännen och andra vårdgivare att på fri- villig väg skapa system som medger elektronisk tillgång till varandras journaluppgifter i det direkta patientarbetet. Förslagen innebär alltså inte någon skyldighet för vårdgivare att delta i sådana system. Det är inte möjligt för oss att förutse i vilken utsträckning system för sammanhållen journalföring kommer att skapas eller hur dessa kom- mer att utformas. Det är därmed inte heller möjligt att uppskatta kostnaderna för t.ex. de investeringar som kommer att krävas. Sam- tidigt kommer införandet av sammanhållen journalföring att leda till effektivitetsvinster i form av minskad administration för hälso- och sjukvårdspersonalen samt förbättrade möjligheter för olika vårdgivare att samarbeta och därigenom undvika dubbelarbete. Förslagen leder

523

Konsekvenser av våra förslag

SOU 2006:82

också till förbättrad patientsäkerhet. Att beräkna storleken på dessa vinster är emellertid inte möjligt.

Våra förslag beträffande inre sekretess innebär bl.a. en lagreglerad skyldighet för vårdgivare att bestämma villkor för tilldelning av be- hörighet för elektronisk åtkomst till sådana uppgifter om patienter, som förs helt eller delvis automatiserat. Vårdgivares ansvar i detta avseende är emellertid inte något nytt. Förslaget innebär enbart att kraven på vårdgivarna tydliggörs och bör därför inte medföra några ökade kostnader för dem.

Förslagen innebär vidare en lagreglerad skyldighet för vårdgivare att genomföra åtgärder som innebär att elektronisk åtkomst till så- dana uppgifter om patienter, som förs helt eller delvis automatise- rat, dokumenteras och kan kontrolleras. Av patientjournallagen och vårdregisterlagen följer redan ett ansvar för vårdgivare att självmant följa upp hur behörighetssystem fungerar och i vad mån obehörig åtkomst har skett. Våra förslag innebär att kraven på vårdgivarna konkretiseras. Förslagen bör inte medföra några ökade kostnader.

I fråga om inre sekretess innebär våra förslag också att patienter ges möjlighet att få sina uppgifter spärrade från elektronisk till- gänglighet utanför den enhet där de vårdas. Bland en del vårdgivare förekommer detta redan. Hos andra kan de nuvarande elektroniska journalsystemen behöva anpassas till förslagen. Vi har svårt att upp- skatta i vilken utsträckning detta behöver ske och därmed vilka kostnader som kan uppstå. Som framgått tidigare är ju en stor del av journalföringen inom sjukhusvården fortfarande inte elektronisk. Kraven på möjligheter att spärra uppgifter kan då beaktas i sam- band med att elektroniska journalsystem införskaffas. Det är vidare inte ovanligt att det på sjukhus förekommer flera från varandra separata journalsystem som inte är kompatibla. I dessa fall är det alltså inte är möjligt för personalen på en enhet att få elektronisk tillgång till en annan enhets journaluppgifter.

Våra förslag innebär vidare att vårdgivare får medge enskilda direkt- åtkomst till sina journaluppgifter och andra patientuppgifter samt logglistor med anknytning till journalen. Förslagen innebär alltså ingen skyldighet för vårdgivarna. Det är svårt att uppskatta i vilken utsträckning sådan direktåtkomst kommer att anordnas eller vilka kostnader detta kan komma att medföra.

Våra förslag innebär också att vårdgivare åläggs att på begäran av en patient lämna information om den direktåtkomst och elektroniska åtkomst som förekommit till dennes patientuppgifter. I vilken ut- sträckning patienter kommer att begära att få sådan information är

524

SOU 2006:82

Konsekvenser av våra förslag

svårt att förutse. Skyldigheten kan visserligen komma att innebära ett visst administrativt merarbete för hälso- och sjukvårdspersonalen, men vi förutsätter att informationssystemen kan utformas så att in- formationen lätt kan sammanställas.

Våra förslag i fråga om nationella och regionala kvalitetsregister innebär inledningsvis att dessa författningsregleras särskilt i förhål- lande till personuppgiftslagen (1998:204). Förslagen innebär vidare att enskilda ges en rätt att slippa bli registrerade i sådana register. Detta förutsätter att de informeras. Informationsskyldighet följer redan i dag av personuppgiftslagen och innebär således ingen för- ändring. Våra förslag innebär inte något obligatorium för vårdgivare att föra sådana kvalitetsregister eller någon uppgiftsskyldighet gent- emot registren.

20.2Konsekvenser för små företags villkor

I 15 § kommittéförordningen anges att om förslagen i ett betänkande har betydelse för små företags arbetsförutsättningar, konkurrens- förmåga eller villkor i övrigt i förhållande till större företags, skall konsekvenserna i det avseendet anges i betänkandet.

I våra direktiv framhålls att hälso- och sjukvården i dag utförs även av andra än landstingen, bl.a. privata aktörer. En del av dem är små företag som också berörs av vårt uppdrag. Detta är en omständighet som vi enligt våra direktiv skall beakta i en särskild analys av kon- sekvenserna av reglers effekter för små företags villkor. I enlighet med direktiven har kontakt tagits med och synpunkter inhämtats från Näringslivets regelnämnd (NNR).

Som framgått tidigare har det visat sig vara omöjligt att få fram uppgifter om hur stort antal vårdgivare inom vars verksamhet patient- journaler förs (se avsnitt 9.4.3). Det är därmed inte heller möjligt att beräkna hur många privata vårdgivare det finns som kan tänkas be- röras av våra förslag.

Våra förslag innebär inte någon skyldighet för små privata före- tag som bedriver hälso- och sjukvård att delta i sammanhållen jour- nalföring eller att medge sina patienter direktåtkomst till journal- uppgifter etc. Det är svårt att förutse i vilken utsträckning de kommer att välja att delta i system för sammanhållen journalföring.

De föreslagna skyldigheterna för vårdgivare att bestämma villkor för tilldelning av behörighet för elektronisk åtkomst till patientupp- gifter och att genomföra åtgärder som innebär att elektronisk åtkomst

525

Konsekvenser av våra förslag

SOU 2006:82

till patientuppgifter dokumenteras och kan kontrolleras innebär, så- som tidigare sagts, att kraven i dessa avseenden tydliggörs och kon- kretiseras. Förslagen utgör integritetsskyddsregler och kraven bör, enligt vår uppfattning, vara desamma oavsett om vårdgivaren är ett landsting eller ett litet privat företag. Detsamma gäller skyldigheten att på begäran av en patient lämna information om den direktåtkomst och elektroniska åtkomst som förekommit till dennes patientupp- gifter. Tilläggas kan att dessa förslag förutsätter att vårdgivaren be- handlar patientuppgifter automatiserat och att det är oklart i vilken utsträckning små privata företag som bedriver hälso- och sjukvård gör detta.

När det gäller förslaget att vårdgivare skall ge sina patienter möj- lighet att spärra sina uppgifter för andra vårdenheter kommer detta knappast att bli aktuellt för små företag, eftersom de oftast bildar en enda enhet.

20.3Andra konsekvenser

I 15 § kommittéförordningen anges vidare, att om förslagen i ett betänkande har betydelse för den kommunala självstyrelsen, skall konsekvenserna i det avseendet anges i betänkandet. Detsamma gäller när ett förslag har betydelse för brottsligheten och det brotts- förebyggande arbetet, för sysselsättning och offentlig service i olika delar av landet, för jämställdheten mellan kvinnor och män eller för möjligheten att nå de integrationspolitiska målen. Enligt vår upp- fattning medför våra förslag inte några konsekvenser i angivna av- seenden.

526

21 Författningskommentar

21.1Förslaget till patientdatalag

1 kap. Lagens tillämpningsområde m.m.

Lagens tillämpningsområde

1 § Denna lag tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I lagen finns också bestämmelser om skyldig- het att föra patientjournal.

Lagen gäller i tillämpliga delar även uppgifter om avlidna personer.

Paragrafen, som har behandlats i avsnitt 7.3.2, anger i första stycket patientdatalagens tillämpningsområde. Lagen skall tillämpas vid be- handling av personuppgifter inom hälso- och sjukvården. Det innebär till en början att den är tillämplig i en vårdgivares kärnverksamhet; alltså då vårdgivaren tillhandahåller hälso- och sjukvård respektive tandvård åt patienter. Vårdgivare och andra centrala begrepp i patientdatalagen definieras i 3 §. Förutom landsting och kommuner finns det privata vårdgivare som tillhandahåller hälso- och sjukvård. Hälso- och sjukvård förekommer också hos statliga myndigheter som t.ex. Kriminalvården och Totalförsvarets pliktverk. Till kärn- verksamheten hör åtgärder för att förebygga, utreda och behandla sjukdomar och skador hos människor vare sig den verksamheten sker enligt hälso- och sjukvårdslagen (1982:763), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168) eller någon annan lagstiftning. Här ingår även annan närliggande patientverksamhet som insemination, abort, sterilisering, kastrering, omskärelse, transplantationsingrepp på givare och blodgivning. Till kärnverksamheten räknas vidare bl.a. administration och utveckling av verksamheten, se närmare härom 2 kap. 4 § samt 7 kap. 4 § om för vilka ändamål som personuppgiftsbehandling får äga rum. Person-

527

Författningskommentar

SOU 2006:82

uppgiftsbehandling för den rent administrativa verksamheten utan direkt koppling till patientverksamheten – t.ex. personaladministra- tion – faller dock utanför lagens tillämpningsområde. Detsamma gäller forskning, såvida det inte är fråga om en vårdgivares s.k. patientnära eller kliniska forskning som innefattar patientjournal- föring eller annan dokumentation som hör till vården, se avsnitt 7.3.2 och 17.4. Inte heller är patientdatalagen tillämplig vid utbildning t.ex. av blivande läkare och sjuksköterskor. I den del dessa deltar i den faktiska patientvården är patientdatalagen dock tillämplig. Lagen skall inte tillämpas av sådana myndigheter som agerar inom hälso- och sjukvårdssektorn men som inte bedriver patientvård, som t.ex. Socialstyrelsen, Läkemedelsverket, Smittskyddsinstitutet och Hälso- och sjukvårdens ansvarsnämnd. Även verksamhet vid sjukvårdshuvudmännens läkemedelskommittéer och patientnämnder faller utanför lagens tillämpningsområde. När det gäller personupp- giftsbehandlingen ersätter patientdatalagen lagen (1998:544) om vårdregister. Av första stycket framgår vidare att det i lagen finns bestämmelser om skyldighet att föra patientjournal. Dessa bestäm- melser finns i första hand i 3 kap. Bestämmelserna är med en del förändringar överförda från patientjournallagen (1985:562). Patient- datalagen innehåller således bestämmelser som rör både personupp- giftsbehandling inom hälso- och sjukvården och bedrivande av verksamheten. Skälet till att bestämmelserna sammanförts i en lag är att de tar sikte på informationshanteringen i stort inom hälso- och sjukvården.

Av andra stycket framgår att vissa bestämmelser i patientdatalagen kan bli tillämpliga även när det gäller avlidna personer. Patientjour- nallagen gäller i tillämpliga delar avlidna personer medan lagen om vårdregister omfattar bara uppgifter om personer som är i livet. Inne- börden av andra stycket i förevarande paragraf är att de bestämmel- ser som överförts från patientjournallagen i tillämpliga delar omfattar också avlidna personer. Motsvarande gäller de bestämmelser som rör personuppgiftsbehandlingen i patientdatalagen. Bestämmelser av sistnämnt slag som skall tillämpas på avlidna är sådana som avser ändamål, sökbegrepp och åtkomst till uppgifter om avlidna. Däremot är patientdatalagens bestämmelser om samtycke inte tillämpliga på avlidna.

528

SOU 2006:82

Författningskommentar

Respekt för enskildas integritet

2 § Personuppgifter skall utformas och i övrigt behandlas så att patien- ters och övriga registrerades integritet respekteras.

Dokumenterade personuppgifter skall hanteras och förvaras så att obe- höriga inte får tillgång till dem.

I paragrafen finns en mer övergripande regel som slår fast att hante- ring etc. av personuppgifter enligt denna lag skall ske med respekt för enskildas integritet. Första stycket motsvarar i huvudsak 4 § patient- journallagen (1985:562) men har fått ett vidare tillämpningsområde i det att bestämmelsen inte bara avser journalföring utan utform- ning och övrig behandling av personuppgifter inom all verksamhet som regleras av patientdatalagen. Av paragrafen framgår vidare att det inte bara är patientens integritet som skall respekteras. Hänsyn skall också tas till andra personer, exempelvis anhöriga, om vilka det kan finnas uppgifter hos hälso- och sjukvården.

I andra stycket, som har behandlats i avsnitt 12.4, finns en regel om att dokumenterade personuppgifter skall hanteras och förvaras så att obehöriga inte får tillgång till dem. Paragrafen motsvarar del- vis 7 § första stycket patientjournallagen, som anses reglera den inre sekretessen, och 8 § lagen (1998:544) om vårdregister. Bestäm- melsen i andra stycket har emellertid ett vidare syfte än att bara vara en reglering av den inre sekretessen. Den utgör generellt en garanti för att patienters och andras integritet skall respekteras då person- uppgifter om dem hanteras och förvaras. Med hantering och förvaring avses här alla slags åtgärder som vidtas beträffande personuppgifterna. Bestämmelsen är tillämplig på alla dokumenterade personuppgifter. Den gäller således alla personuppgifter om exempelvis en patient, inte bara uppgifter som finns i manuella och elektroniska patient- journaler. Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person. Av 1 § andra stycket framgår att patientdatalagen i tillämpliga delar gäller även avlidna per- soner. Obehöriga personer kan vara såväl utomstående, t.ex. andra patienter och anhöriga som råkar vistas på en sjukvårdsinrättning, som befattningshavare inom hälso- och sjukvården. När det gäller den sistnämnda kategorin utgör bestämmelsen en reglering av den inre sekretessen. En förutsättning för att en befattningshavare inom hälso- och sjukvården skall få ta del av uppgifter om en patient är att han eller hon deltar i vården av patienten eller av annat skäl be- höver uppgifterna för sitt arbete inom hälso- och sjukvården, se

529

Författningskommentar

SOU 2006:82

4 kap. 1 §. Först då är befattningshavaren behörig att få tillgång till uppgifterna. Angående den inre sekretessen se vidare 4 kap. 1 §.

Definitioner

3 § I denna lag används följande beteckningar med nedan angiven bety- delse.

Beteckning	Betydelse
Hälso- och sjukvård	Verksamhet som avses i hälso- och
	sjukvårdslagen	(1982:763),	tandvårds-
	lagen (1985:125), lagen (1991:1128) om
	psykiatrisk	tvångsvård,	lagen
	(1991:1129) om rättspsykiatrisk vård
	samt smittskydd enligt smittskydds-
	lagen (2004:168).
Journalhandling	Framställning i skrift eller bild samt
	upptagning som kan läsas, avlyssnas
	eller på annat sätt uppfattas endast med
	tekniskt hjälpmedel, som upprättas eller
	inkommer i samband med vården av en
	patient och som innehåller uppgifter
	om patientens hälsotillstånd eller andra
	personliga förhållanden och om vård-
	åtgärder.
Patientjournal	En eller flera journalhandlingar som rör
	samma patient.
Sammanhållen journalföring	En gemensam databas eller ett annat
	elektroniskt system, som gör det möj-
	ligt för en vårdgivare att ge eller få
	direktåtkomst till personuppgifter hos
	en annan vårdgivare.
Vård	Vård, undersökning och		behandling
	inom hälso- och sjukvården.

530

SOU 2006:82 Författningskommentar

Vårdgivare	Statlig myndighet, landsting och kom-
	mun i fråga om sådan hälso- och sjuk-
	vård som myndigheten, landstinget eller
	kommunen har ansvar för samt annan
	juridisk eller fysisk person som yrkes-
	mässigt bedriver hälso- och sjukvård.

Paragrafen innehåller definitioner av vissa i patientdatalagen centrala begrepp. Innebörden av begreppen hälso- och sjukvård, vård och vårdgivare berörs närmare i avsnittet om lagens tillämpningsområde, 7.3.2. Vårdgivarbegreppet motsvarar i huvudsak det som används i patientskadelagen (1996:799). Det är alltså den juridiska personen landstinget och kommunen som är vårdgivare då dessa organ ansvarar för hälso- och sjukvården; inte den nämnd, myndighet, som ansvarar för eller utför hälso- och sjukvården. Även sådana kommunala före- tag som avses i 1 kap. 9 § sekretesslagen (1980:100), dvs. bolag, före- ningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande är vårdgivare. Begreppen journalhandling och patientjournal överensstämmer i sak med hur begreppen defi- nieras i 2 § patientjournallagen (1985:562). Begreppen har dock fått en något annan språklig utformning. En patientjournal behöver, liksom i dag, inte härröra från en och samma vårdgivare. Att några av begreppen i patientdatalagen inte definieras på exakt samma sätt som i Socialstyrelsens Termbank beror på att begreppen måste an- sluta till patientdatalagens och närliggande lagars tillämpningsom- råden. Bestämmelser om sammanhållen journalföring finns i 6 kap.

Förhållandet till personuppgiftslagen

4 § Personuppgiftslagen (1998:204) gäller vid sådan behandling av person- uppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad sam- ling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, om inte annat följer av denna lag eller föreskrifter som meddelas med stöd av denna lag.

Paragrafen har behandlats i avsnitt 7.3.3. I paragrafen anges för- hållandet mellan personuppgiftslagen (1998:204) och patientdata- lagen på så sätt att personuppgiftslagen gäller vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller

531

Författningskommentar

SOU 2006:82

delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgäng- liga för sökning eller sammanställning enligt särskilda kriterier om inget annat sägs i patientdatalagen. Patientdatalagen innehåller såle- des enbart de särbestämmelser och förtydliganden som det bedömts föreligga behov av. I övrigt skall personuppgiftslagen tillämpas. Följaktligen kan åtskilliga bestämmelser i personuppgiftslagen bli tillämpliga vid personuppgiftsbehandling hos hälso- och sjukvården. Det innebär exempelvis att de begrepp som används i patientdata- lagen, t.ex. ”behandling” av personuppgifter och ”personuppgifter” har den innebörd som framgår av definitioner i 3 § personuppgifts- lagen. När det gäller personuppgifter, se dock 1 § andra stycket. Ytterligare exempel på bestämmelser i personuppgiftslagen som är tillämpliga är 8 § personuppgiftslagen, enligt vilken personuppgifts- lagen inte skall tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt bestämmelserna om offentlighetsprin- cipen i 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter. Samma paragraf innebär att en myndighet utan hinder av person- uppgiftslagen får arkivera och bevara allmänna handlingar. Även 9 § personuppgiftslagen, som innehåller regler om grundläggande krav på den personuppgiftsansvariges behandling av personuppgifter, gäller då personuppgifter behandlas enligt patientdatalagen. I 30–32 §§ per- sonuppgiftslagen finns bestämmelser om säkerheten vid behandling av personuppgifter. Dessa bestämmelser gäller utöver patientdata- lagens bestämmelser om informationssäkerhet. Av intresse är också 33–35 §§ personuppgiftslagen, som reglerar överföringen av person- uppgifter till tredje land.

2 kap. Grundläggande bestämmelser om behandling av personuppgifter

Kapitlets tillämpningsområde

1 § Bestämmelserna i detta kapitel tillämpas vid sådan behandling av per- sonuppgifter som avses i 1 kap. 4 §.

Paragrafen har behandlats i avsnitt 7.3.2 och 8.1. Enligt paragrafen skall vissa grundläggande bestämmelser om personuppgiftsbehand- ling – nämligen bestämmelser om den enskildes inställning till per- sonuppgiftsbehandling, ändamål för personuppgiftsbehandlingen,

532

SOU 2006:82

Författningskommentar

personuppgiftsansvar, personuppgifter som får behandlas och sök- begrepp – som finns intagna i detta kapitel tillämpas vid sådan be- handling av personuppgifter som är helt eller delvis automatiserad. Bestämmelserna skall tillämpas inte bara på personuppgiftsbehand- ling i särskilda register eller databaser utan omfattar all helt eller delvis automatiserad behandling av personuppgifter som förekommer inom hälso- och sjukvården. Bestämmelserna skall vidare tillämpas på viss manuell behandling i register, nämligen om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av person- uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Viss vägledning om i vilka fall manuell behandling kan omfattas av patientdatalagen ges i RÅ 2001 ref. 35.

Den enskildes inställning till personuppgiftsbehandling

2 § Behandling av personuppgifter som är tillåten enligt denna lag får ut- föras även om den enskilde motsätter sig den. Det gäller dock inte om annat framgår av denna lag, annan lag eller förordning.

I 4 kap. 4 §, 6 kap. och 7 kap. 2 § finns bestämmelser om att en person- uppgiftsbehandling inte är tillåten om patienten motsätter sig den eller inte samtycker till den.

Paragrafen har behandlats i avsnitt 8.5.3. Enligt paragrafen får som huvudregel personuppgiftsbehandling, som är tillåten enligt patient- datalagen, utföras även om den enskilde motsätter sig den. Bestäm- melsen skall ses mot bakgrund av artikel 14 a i Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet), som föreskriver att den enskilde åtminstone i vissa fall skall garanteras en rätt att motsätta sig en personuppgiftsbehandling, om inte annat föreskrivs i nationell lagstiftning. Här föreskrivs alltså som huvudregel att personuppgifts- behandling enligt patientdatalagen är tillåten även om den enskilde motsätter sig den. Av paragrafen framgår emellertid att det kan finnas bestämmelser som ger enskilda en möjlighet att med rättslig verkan motsätta sig en personuppgiftsbehandling som i och för sig regleras av patientdatalagen. I andra stycket hänvisas till några sådana bestämmelser i patientdatalagen. I 4 kap. 4 § finns bestämmelser om att en patient har möjlighet att begränsa hälso- och sjukvårdsper- sonalens elektroniska åtkomst till uppgifter om patienten (inre sek-

533

Författningskommentar

SOU 2006:82

retess). Av 6 kap. framgår att en patient på olika sätt har inflytande över huruvida uppgifter om patienten skall vara tillgängliga vid sam- manhållen journalföring. I 7 kap. 2 § föreskrivs att en patient kan motsätta sig att uppgifter om patienten behandlas i ett nationellt eller regionalt kvalitetsregister. Ytterligare exempel på bestämmelser om att en enskild kan motsätta sig personuppgiftsbehandling enligt patientdatalagen finns i förordningen (1986:198) om provtagning för infektion av HIV. Enligt förordningen kan en patient begära att få vara anonym vid provtagning. Förordningen ger alltså patienten en viss möjlighet att motsätta sig personuppgiftsbehandling av namn och personnummer.

Av 6 kap. 5 § framgår att den enskilde i ett visst fall inte kan samtycka till en behandling av personuppgifter som inte är tillåten enligt denna lag.

Paragrafen har behandlats i avsnitt 8.5.3. Första stycket innebär ett klargörande av att även sådan personuppgiftsbehandling som i och för sig inte är tillåten enligt patientdatalagen får utföras, om den enskilde uttryckligen har samtyckt till det och inte annat följer av andra bestämmelser i patientdatalagen eller av annan lag eller av för- ordning. Paragrafen kan sägas ge uttryck för principen att en enskilds frivilliga samtycke till en viss personuppgiftsbehandling normalt skall respekteras. Huvudregeln i förevarande paragraf innebär således exempelvis att personuppgifter kan samlas in och behandlas för ett ändamål som inte anges i patientdatalagens ändamålsbestämning (se 4 §), om den enskilde har lämnat ett uttryckligt samtycke till detta. Något skriftligt samtycke från den enskilde fordras i och för sig inte, men det kan många gånger vara lämpligt att ha ett sådant för att förebygga eventuella framtida tvister. Huvudregeln gäller dock inte om annat framgår av patientdatalagen, annan lag eller för- ordning. I andra stycket erinras om en sådan föreskrift i patient- datalagen.

I andra stycket finns en hänvisning till 6 kap. 5 §, som innebär ett undantag från huvudregeln i första stycket. Av den paragrafen följer

534

SOU 2006:82

Författningskommentar

att en patient inte kan samtycka till att den som arbetar hos en vård- givare får bereda sig tillgång till personuppgifter som är tillgängliga genom sammanhållen journalföring annat än under de förutsättningar som anges i 6 kap. 3 och 4 §§.

Enligt tredje stycket får regeringen föreskriva ytterligare undantag som upphäver verkan av den enskildes samtycke till personuppgifts- behandling i strid mot patientdatalagen.

Ändamål för personuppgiftsbehandlingen

4 § Personuppgifter får behandlas inom hälso- och sjukvården om det behövs för

1.att fullgöra de skyldigheter som anges i 3 kap. och upprätta annan dokumentation som behövs i och för vården av patienter,

2.administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall,

3.att upprätta annan dokumentation som följer av lag, förordning eller annan författning,

4.att systematiskt och fortlöpande utveckla och säkra kvaliteten i verk- samheten,

5.administration, planering, uppföljning, utvärdering och tillsyn av verk- samheten, eller

6.framställning av statistik rörande hälso- och sjukvård.

I 7 kap. 4 och 5 §§ finns särskilda bestämmelser om ändamålen för be- handling av personuppgifter i nationella och regionala kvalitetsregister.

Paragrafen har utförligt redovisats i avsnitt 8.2. I paragrafens första stycke anges de primära ändamålen, alltså sådana ändamål som tar sikte på den egentliga kärnverksamheten inom hälso- och sjukvår- den. De primära ändamålen beskriver personuppgiftsbehandlingar som normalt äger rum i varje sjukvårdshuvudmans verksamhet. De angivna ändamålen avser inte bara den individinriktade hälso- och sjukvårdsverksamheten utan också sådana särskilda ändamål som faller vid sidan av den individinriktade verksamheten. Syftet med att ange ändamål är att slå fast en yttersta ram för när personupp- gifter får samlas in och fortsättningsvis behandlas. Utgångspunkten är således att endast sådan personuppgiftsbehandling får äga rum som inryms i något eller några av de uppräknade ändamålen (se dock 5 §). Inom denna ram måste vårdgivaren i allmänhet bestämma mer konkreta och preciserade ändamål. Det följer av 9 § första stycket c

535

Författningskommentar

SOU 2006:82

personuppgiftslagen (1998:204) om att ändamålen skall vara sär- skilda. Hur långt konkretionen och preciseringen skall sträcka sig får bedömas från fall till fall. Det är naturligtvis skillnad om ett enda gemensamt journal- och patientadministrativt system införs eller om ett tillfälligt uppföljningsregister inrättas. I det sistnämnda fallet bör uttryckligen bestämmas att registret får användas endast som underlag för den aktuella uppföljningen. De ändamål som anges i punkterna 1 och 2 kan beskrivas som vårddokumentation. Att ända- målen tas upp i två punkter och inte i en enda har ingen saklig betydel- se. Det är enbart av språkliga skäl som uppdelningen i två punkter har gjorts. Båda punkterna tar sikte på den individinriktade patient- verksamheten. En viktig bas i denna informationshantering är patientjournalhanteringen och den administration som behövs av patientvården. Med administration i punkt 2 avses såväl patientrela- terad ekonomiadministration som annan administration som behövs för eller föranleds av vård i enskilda fall. Punkt 3 avser annan doku- mentation än vårddokumentation som hälso- och sjukvården är skyldig att utföra enligt olika författningar. Exempel härpå är doku- mentation enligt lagen (1985:12) om kontroll av berusningsmedel på sjukhus och bestämmelsen om rapporteringsskyldighet till vårdgivare i 2 kap. 7 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område (Lex-Maria). Det finns vidare en rad författningar som föreskriver att hälso- och sjukvården skall lämna ut uppgifter till olika myndigheter. I allmänhet rör det sig här om utlämnande av uppgifter som primärt har samlats in som vårddokumentation. Uppgifterna kan då normalt tillhandahållas utan någon föregående bearbetning av dem. I dessa fall handlar det endast om en behand- ling för det ändamål som anges i 5 §, alltså behandling för att full- göra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Ibland kan emellertid uppgiftsskyldigheten förutsätta en viss särskild personuppgiftsbehandling där dokumentationen utformas utifrån hur uppgiftsskyldigheten skall fullgöras. I sådana fall är det inte fråga om en ren ”återanvändning” av redan insamlade personuppgifter. Personuppgiftsbehandling av nu beskrivet slag kan bli aktuell exempelvis då uppgiftsskyldighet skall fullgöras enligt 14 kap. 1 § socialtjänstlagen (2001:453) samt 4 och 6 §§ förordningen (2001:707) om patientregister hos Socialstyrelsen. Punkten 4 avser kvalitetssäkring. Kravet på hälso- och sjukvården att kvalitetssäkra framgår av 31 § hälso- och sjukvårdslagen (1982:763), som före- skriver att kvaliteten inom hälso- och sjukvården systematiskt och fortlöpande skall utvecklas och säkras. I 16 § tandvårdslagen

536

SOU 2006:82

Författningskommentar

(1985:125) finns en motsvarande bestämmelse om kvalitetssäkring när det gäller tandvården. Att kvalitetssäkring tas upp som en sär- skild punkt beror bl.a. på den centrala roll som kvalitetssäkrings- arbetet har inom hälso- och sjukvården. Kvalitetssäkringsarbete kan ske i många former och med olika metoder. En speciell form är verk- samheten med hälso- och sjukvårdens kvalitetsregister, se 7 kap. Punkten 5 innebär att den personuppgiftsansvarige fortlöpande eller vid särskilda tillfällen kan administrera, planera, följa upp, utvärdera och utöva tillsyn av verksamheten på olika nivåer. Den administra- tion och planering som avses här sker på ett mer övergripande plan än vad som avses med den patientadministration som omfattas av ändamålet vårddokumentation (punkterna 1 och 2). Punkten 5 gör det möjligt för hälso- och sjukvården att bedriva verksamhetsupp- följning med individuppgifter, se närmare härom avsnitt 15. Med utvärdering avses analys och värdering av kvalitet, effektivitet och resultat av en verksamhet i förhållande till de mål som bestämts för denna. Personuppgiftsbehandling får också förekomma för att vård- givaren skall kunna bedriva tillsyn av sin verksamhet. Enligt punk- ten 6 får personuppgifter behandlas för statistikändamål. Här åsyftas inte s.k. verksamhetsstatistik, som ryms inom ändamålet i punkt 5, utan annan statistik, exempelvis sådan som landstingen tar fram för att informera befolkningen om hälso- och sjukvårdsverksamheten. För en närmare redovisning av innehållet i de olika punkterna hän- visas till avsnitt 8.2.3.

Inget hinder möter mot att samköra personuppgifter i olika re- gister eller datasystem inom hälso- och sjukvården, om samkörningen sker för något eller några av de ändamål som anges i paragrafen. Det- samma gäller om samkörningen sker för ändamål som inte är oför- enliga med de ändamål som anges i första stycket (se 5 §).

I andra stycket erinras om att det finns särskilda bestämmelser om ändamålen för behandling av personuppgifter i nationella och regionala kvalitetsregister, se 7 kap. 4 och 5 §§.

Paragrafen har behandlats i avsnitt 8.2. I paragrafen regleras till en början sådant utlämnande av personuppgifter som redan finns i verk- samheten därför att de har samlats in för primära ändamål, vanligtvis

537

Författningskommentar

SOU 2006:82

för vårddokumentation. Sådant uppgiftslämnande kan ske med stöd av 14 kap. 1 § sekretesslagen (1980:100), som föreskriver att sekre- tess inte hindrar att uppgift lämnas till en annan myndighet, om upp- giftsskyldighet följer av lag eller förordning. Ett annat exempel är 14 kap. 2 § sekretesslagen, som bl.a. tillåter myndigheter inom hälso- och sjukvården att under vissa förutsättningar lämna ut personuppgif- ter till andra myndigheter. Här kan också nämnas 15 kap. 5 § sekre- tesslagen, som innebär att en myndighet på begäran av en annan myndighet skall lämna ut uppgift som den förfogar över i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. Vidare finns i lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område bestämmelser om utlämnande av uppgifter, se 2 kap. 9 och 11 §§. Självklart skall bestämmelserna i 2 kap. tryckfrihetsförordningen om skyldigheten att lämna ut allmänna handlingar tillämpas före patientdatalagen, se 8 § personuppgiftslagen (1998:204). I paragrafen klargörs vidare genom en uttrycklig hänvisning till personuppgiftslagen (1998:204) att den s.k. finalitetsprincipen gäller även vid personuppgiftsbe- handling enligt patientdatalagen. Att finalitetsprincipen är tillämplig innebär att personuppgifter som redan finns i hälso- och sjukvårds- verksamheten får behandlas för andra ändamål än dem för vilka de har samlats in under förutsättning att de nya ändamålen är förenliga med de tidigare ändamålen. Genom hänvisningen klargörs vidare att insamlade personuppgifter också får behandlas för historiska, statistiska eller vetenskapliga ändamål. Behandling för forsknings- ändamål av tidigare insamlade personuppgifter får således ske utan att det behöver anges som ett särskilt ändamål. Även om sådan personuppgiftsbehandling är tillåten gäller dock lagen (2003:460) om etikprövning av forskning som avser människor och den lagens krav på etikprövning. Personuppgiftsbehandlingen inom forsknings- projekt regleras av personuppgiftslagen.

Personuppgiftsansvar

6 § En vårdgivare är personuppgiftsansvarig för den behandling av per- sonuppgifter som den utför. I landsting och kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behand- ling av personuppgifter som myndigheten utför.

I 6 och 7 kap. finns särskilda bestämmelser om personuppgiftsansvar.

538

SOU 2006:82

Författningskommentar

Paragrafen har behandlats i avsnitt 8.3. Enligt första stycket är en vårdgivare ansvarig för den behandling av personuppgifter som vård- givaren utför. Med detta menas den personuppgiftsbehandling som sker inom ramen för vårdgivarens verksamhet och som vårdgivaren ansvarar för. Av definitionen av begreppet vårdgivare i 1 kap. 3 § framgår, när det gäller den hälso- och sjukvård som landstingen och kommunerna ansvarar för, att med vårdgivare avses den juridiska personen som sådan, dvs. landstinget och kommunen, inte den eller de myndigheter inom landstinget och kommunen som ansvarar för eller utför hälso- och sjukvård. Enligt förevarande paragraf är det emellertid inte landstinget eller kommunen som är personuppgifts- ansvarig. I stället är det den myndighet, nämnd, som behandlar per- sonuppgifterna som är personuppgiftsansvarig. När det gäller den enskilda hälso- och sjukvården avses med vårdgivare inte den enskil- de yrkesutövaren utan den juridiska eller fysiska person som bedriver och ansvarar för hälso- och sjukvårdsverksamheten. Definitionen av vårdgivare omfattar också sådana kommunala företag som avses i 1 kap. 9 § sekretesslagen (1980:100), dvs. bolag, föreningar och stif- telser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande. Av andra stycket framgår att det finns särskilda bestäm- melser om personuppgiftsansvar vid sammanhållen journalföring (6 kap. 6 §) och vid personuppgiftsbehandling i nationella och regio- nala kvalitetsregister (7 kap. 7 §).

Personuppgifter som får behandlas

Paragrafen har behandlats i avsnitt 8.4. Enligt paragrafen får endast sådana personuppgifter som behövs för ändamål som anges i 4 § samlas in och vidare behandlas med stöd av patientdatalagen. Alla personuppgifter som behövs för det ändamål för vilket en behand- ling utförs får alltså behandlas. Kravet på att personuppgifterna skall behövas för att få behandlas innebär att endast sådana uppgifter som behövs för att uppfylla de aktuella ändamålen med personuppgiftsbe- handlingen får behandlas. Uppgifter som inte behövs för ändamålen får alltså inte behandlas. De personuppgifter som får behandlas enligt

539

Författningskommentar

SOU 2006:82

paragrafen gäller även sådana personuppgiftskategorier som särregle- ras i personuppgiftslagen (1998:204), dvs. känsliga personuppgifter (13 §), personuppgifter om lagöverträdelser m.m. (21 §) och uppgifter om personnummer (22 §). I paragrafen nämns särskilt sådana person- uppgifter som avses i 21 § personuppgiftslagen. Syftet med detta är att klargöra att även en privat vårdgivare skall kunna behandla per- sonuppgifter av detta slag. När det gäller frågan vilka personuppgifter som får behandlas måste även personuppgiftslagens grundläggande krav på att personuppgifterna skall vara adekvata och relevanta i för- hållande till ändamålen med behandlingen iakttas. Kraven innebär också att inte fler personuppgifter behandlas än vad som är nödvän- digt med hänsyn till ändamålen med behandlingen samt att person- uppgifter som behandlas skall vara riktiga och, om nödvändigt, aktuella (9 § e-g). Ovidkommande eller onödigt många personupp- gifter i förhållande till ändamålen får alltså inte behandlas. Inte heller får uppgifter som direkt pekar ut enskilda, t.ex. personnummer, användas om det är tillräckligt för ändamålet att använda uppgifter som bara indirekt kan härledas till en viss person.

Särskilt viktig är bestämmelsen i personuppgiftslagen att inte fler personuppgifter får behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen vid sammanhållen journalföring, som innebär att en vårdgivare under vissa förutsättningar har direktåtkomst till andra vårdgivares vårddokumentation (se 6 kap.). Konstruktionen med direktåtkomst vid sammanhållen journalföring innebär att det normalt inte skall vara nödvändigt att ladda ner kopior av andra vårdgivares journalhandlingar och bifoga dem till den egna journal- föringen. Om en sådan nedladdning och lagring inte bedöms som nödvändig, är den inte tillåten på grund av den aktuella bestämmel- sen i personuppgiftslagen. Begreppen ”behövs” i förevarande para- graf och ”nödvändig” i personuppgiftslagen har i huvudsak samma innebörd.

Sökbegrepp

8 § Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) eller uppgifter om lagöverträdelser m.m. som avses i 21 § sam- ma lag får inte användas som sökbegrepp. Inte heller får uppgifter om att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgärder enligt utlänningslagen (2005:716) användas som sökbegrepp.

540

SOU 2006:82

Författningskommentar

Det är trots förbudet i första stycket tillåtet att som sökbegrepp an- vända uppgifter som rör hälsa samt uppgifter om att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård.

Regeringen får föreskriva att ett landsting eller en kommun, utan hinder av vad som anges i första stycket, får använda uppgifter om etnicitet samt att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgärder enligt utlänningslagen som sökbegrepp för att göra vissa slags sammanställningar.

Paragrafen, som i huvudsak motsvarar 7 § lagen (1998:544) om vård- register, har behandlats i avsnitt 8.6. I första stycket anges som huvud- regel att vissa personuppgifter inte får användas som sökbegrepp. Med sökbegrepp brukar man i den s.k. registerlagstiftningen avse be- grepp som används som urvalskriterier för att söka fram handlingar som innehåller det aktuella begreppet eller för att med begreppet som utgångspunkt göra sammanställningar av olika slag. Till en början nämns känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204). Härmed avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, med- lemskap i fackförening samt uppgifter som rör sexualliv. Förbjudna sökbegrepp är vidare personuppgifter om lagöverträdelser som inne- fattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövande, se 21 § personuppgiftslagen. Inte heller får uppgifter om att någon fått bistånd eller andra insatser inom socialtjänsten eller att någon varit föremål för åtgärder enligt utlänningslagen (2005:716) användas som sökbegrepp.

I andra stycket föreskrivs vissa undantag från förbudet i första stycket. Det är således trots förbudet tillåtet att som sökbegrepp använda uppgifter som rör hälsa samt uppgifter om att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård. Upp- gifter som rör hälsa kan behöva användas som sökbegrepp för att man snabbt och effektivt skall kunna finna relevanta journal- anteckningar från en patients tidigare vårdtillfällen. Förutom i det individinriktade arbetet kan det vid t.ex. verksamhetsuppföljningar vara nödvändigt att göra sammanställningar utifrån sökkriterier som diagnoser och liknande. I sådana sammanhang kan det också vara nöd- vändigt att som sökbegrepp använda uppgifter om frihetsberövande inom psykiatrin och rättspsykiatrin. Även vid verksamhetsplane- ring – t.ex. då man undersöker framtida tillströmningar av olika

541

Författningskommentar

SOU 2006:82

patientkategorier – kan det vara nödvändigt att använda sökbegrepp som rör hälsa.

Enligt tredje stycket får regeringen föreskriva att ett landsting eller en kommun får använda uppgifter om etnicitet, uppgifter om att någon fått bistånd eller andra insatser inom socialtjänsten eller upp- gifter om att någon varit föremål för åtgärder enligt utlänningslagen (2005:716) som sökbegrepp för att göra vissa slags sammanställ- ningar. Bakgrunden till att etnicitet skall kunna få användas som sökbegrepp är att t.ex. landstingen kan behöva planera, utföra och följa upp hälso- och sjukvård som en del invandrargrupper behöver. Behov kan också uppstå av att använda uppgifter om bistånd och andra insatser inom socialtjänsten som sökbegrepp. Sammanställ- ningar som grundar sig på åtgärder enligt utlänningslagen kan be- höva göras för att landstingen skall kunna begära ersättning av staten för vårdinsatser åt asylsökande m.fl. enligt förordningen (1996:1357) om statlig ersättning för hälso- och sjukvård till asylsökande eller förordningen (2002:1118) om statlig ersättning för asylsökande m.fl.

3 kap. Skyldigheten att föra patientjournal

Inledande bestämmelse

1 § Vid vård av patienter skall föras patientjournal. Patientjournal skall föras för varje patient och får inte vara gemensam för flera patienter.

I 6 kap. finns bestämmelser om direktåtkomst till andra vårdgivares upp- gifter om patienter genom sammanhållen journalföring.

Första stycket, som har behandlats i avsnitt 10.4.3, överensstämmer med 1 § första stycket patientjournallagen (1985:562). I andra stycket finns en hänvisning till 6 kap. patientdatalagen, som innehåller be- stämmelser om sammanhållen journalföring.

Personer som är skyldiga att föra patientjournal

2 § Skyldig att föra patientjournal är

1.den som enligt 3 kap. lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område har legitimation eller särskilt förordnande att ut- öva visst yrke,

2.den som, utan att ha legitimation för yrket, utför arbetsuppgifter som annars bara skall utföras av logoped, psykolog eller psykoterapeut inom

542

SOU 2006:82

Författningskommentar

den allmänna hälso- och sjukvården eller sådana arbetsuppgifter inom den enskilda hälso- och sjukvården som biträde åt legitimerad yrkesutövare,

3. den som är verksam som kurator i den allmänna hälso- och sjuk- vården.

Paragrafen överensstämmer med 9 § första stycket patientjournal- lagen (1985:562). Arbetsuppgifter, exempelvis journalföring, kan under vissa förutsättningar överlåtas till annan person än som nämns i paragrafen, se 2 kap. 6 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Den som delegerar en arbetsupp- gift är ansvarig för att den som tar emot uppgiften kan fullgöra den. Den som får uppgiften genom delegering är själv ansvarig för hur den fullgörs.

Ansvar för uppgifter i patientjournal

3 § Den som för patientjournal svarar för sina uppgifter i journalen.

Paragrafen överensstämmer med 9 § andra stycket patientjournal- lagen (1985:562).

Patientjournalens innehåll

4 § En patientjournal får endast innehålla de uppgifter som behövs för de ändamål som anges i 2 kap. 4 § första stycket 1 och 2.

Paragrafen, som har behandlats i avsnitt 10.4.4., anger vilken informa- tion som en patientjournal maximalt får innehålla. Paragrafen mot- svarar i huvudsak 5 § lagen (1998:544) om vårdregister men gäller även manuellt förda journaler. Den här paragrafen i patientdatalagen innebär att en journal givetvis får innehålla alla de uppgifter som enligt patientdatalagen, annan lag eller annan författning skall an- tecknas i en patientjournal. Hit hör även sådana handlingar som in- kommer från patienten eller andra i samband med vården och som innehåller uppgifter som rör vården av patienten. Av paragrafen följer vidare att även andra uppgifter som behövs för vårddokumentationen får antecknas i en journal. Uppgifter som inte behövs för vårddoku- mentation får däremot inte föras in i en journal, t.ex. uppgifter som kan vara bra att ha för andra ändamål.

543

Författningskommentar

SOU 2006:82

5 § En patientjournal skall innehålla de uppgifter som behövs för en god och säker vård av patienten.

Om uppgifterna föreligger, skall en patientjournal alltid innehålla

1.uppgift om patientens identitet,

2.väsentliga uppgifter om bakgrunden till vården,

3.uppgift om ställd diagnos och anledning till mera betydande åtgär-

der,

4.väsentliga uppgifter om vidtagna och planerade åtgärder, och

5.uppgift om den information som lämnats till patienten och om de ställ- ningstaganden som gjorts om val av behandlingsalternativ och om möjlig- heten till en förnyad medicinsk bedömning.

Patientjournalen skall vidare innehålla uppgift om vem som har gjort en viss anteckning i journalen och när anteckningen gjordes.

Paragrafen, som har behandlats i avsnitt 10.4.4, överensstämmer i huvudsak med 3 § patientjournallagen (1985:562) och anger vilken information som en patientjournal minimalt skall innehålla. Bestäm- melser om att en patientjournal skall innehålla uppgift om informa- tion och samtycke som har lämnats enligt lagen (2002:297) om biobanker i hälso- och sjukvården m.m. har flyttats från patient- journallagen till 3 kap. 7 § förstnämnda lag. Bestämmelser om signe- ringskrav finns i 9 och 11 §§. Kraven på att journalen skall innehålla de uppgifter som behövs för en god och säker vård innebär inget krav på att varje vårdgivare vid sammanhållen journalföring måste ha kompletta uppgifter. En av poängerna med den sammanhållna journalföringen är att dubbeldokumentation skall undvikas, se av- snitt 11.7.3.

6 § I lag eller förordning finns, för vissa fall, regler om att en patient- journal skall innehålla ytterligare uppgifter.

Paragrafen innehåller en erinran om att det i annan lag än patient- datalagen och i förordning kan finnas ytterligare föreskrifter om vad en patientjournal skall innehålla. Exempel på sådana föreskrifter är 3 kap. 7 § lagen (2002:297) om biobanker i hälso- och sjukvården m.m., se lagförslag i avsnitt 21.4, 4 kap. 2 § smittskyddslagen (2004:168) och 2 § förordningen (1991:1472) om psykiatrisk tvångs- vård och rättspsykiatrisk vård.

544

SOU 2006:82

Författningskommentar

7 § Om patienten anser att en uppgift i patientjournalen är oriktig eller missvisande, skall det antecknas i journalen.

Bestämmelsen, som har behandlats i avsnitt 10.4.4, saknar inom hälso- och sjukvården motsvarighet i dag. För att rättelse av en journal- uppgift skall ske på patientens begäran krävs att patienten och den som ansvarar för uppgiften är ense om felaktigheten. En patients möjlighet att få journaluppgifter utplånade är i realiteten ganska små eller i vart fall omständliga (se 8 kap. 3 § om förstörande av patient- journal som motsvarar 17 § patientjournallagen [1985:562]). Den här aktuella bestämmelsen kompletterar bestämmelserna om rättelse och journalförstöring. Den ger den enskilda patienten en möjlighet att markera att han eller hon har en avvikande uppfattning från vad som har antecknats i journalen. Det är fullt tillräckligt att det av anteckningen framgår att patienten har en avvikande uppfattning. Vilken uppfattning patienten har behöver således inte på grund av denna bestämmelse redovisas. Bestämmelsen innebär ingen rätt för patienten att själv skriva i sin journal eller bestämma vad som skall stå i den.

8 § Uppgifter som skall antecknas enligt 5-7 §§ skall föras in i journalen så snart det kan ske.

Paragrafen överensstämmer med 3 § första stycket andra meningen patientjournallagen (1985:562).

9 § En journalanteckning skall om inte synnerligt hinder möter signeras av den som svarar för uppgiften.

Paragrafen, som har behandlats i avsnitt 10.4.4., överensstämmer med 3 § fjärde stycket patientjournallagen (1985:562). I 11 § ges dock regeringen, eller den myndighet som regeringen bestämmer, rätt att meddela föreskrifter om undantag från signeringskravet.

10 § Om en journalhandling eller en avskrift eller kopia av handlingen har lämnats ut till någon, skall det dokumenteras i patientjournalen vem som har fått handlingen, avskriften eller kopian och när denna har lämnats ut. Detta gäller dock inte utlämnande genom direktåtkomst.

545

Författningskommentar

SOU 2006:82

Första meningen motsvarar 7 § andra stycket patientjournallagen (1985:562). I andra meningen, som saknar motsvarighet i dag, finns ett undantag från dokumenteringskravet, nämligen om det är fråga om ett utlämnande genom direktåtkomst. Med begreppet direktåtkomst avses i patientdatalagen en speciell form av elektroniskt utlämnande till en mottagare utanför vårdgivarens organisation, se avsnitt 8.7. Undantaget blir tillämpligt vid sammanhållen journalföring, se 6 kap. En patient kan hos en vårdgivare, som deltar i ett sammanhållet jour- nalföringssystem över vårdgivargränser, motsätta sig att uppgifterna om honom eller henne görs tillgängliga för övriga vårdgivare i syste- met. Om patienten däremot inte motsätter sig detta, blir uppgifterna utlämnade i den mening som anges i paragrafen. Någon anteckning om ett sådant utlämnande behöver till följd av andra meningen inte göras i patientjournalen. Undantaget i andra meningen är också tillämpligt då en enskild har direktåtkomst till uppgifter om sig själv som finns hos en vårdgivare, se 5 kap. 5 §. Att den enskilde med- ges direktåtkomst till uppgifterna innebär att uppgifterna anses ut- lämnade till denne.

11 § Regeringen, eller den myndighet som regeringen bestämmer, får före- skriva undantag från bestämmelsen i 5 § andra stycket 1 såvitt gäller prov- tagning för viss sjukdom och från bestämmelsen om signeringskrav i 9 §.

Regeringen, eller den myndighet som regeringen bestämmer, får också meddela ytterligare föreskrifter om en journalhandlings innehåll och ut- formning.

I första stycket bemyndigas regeringen, eller den myndighet rege- ringen bestämmer, att meddela undantag från bestämmelsen att en patientjournal alltid skall innehålla uppgift om en patients identitet såvitt gäller provtagning för viss sjukdom och från bestämmelsen att en journalhandling skall, om inte synnerligt hinder möter, signe- ras av den som svarar för uppgiften. Det förstnämnda bemyndigan- det motsvaras av 18 § 1 patientjournallagen (1985:562). Det andra bemyndigandet, som har behandlats i avsnitt 10.4.4, är nytt. Tanken är att Socialstyrelsen skall föreskriva när signering kan underlåtas utan risker för patientsäkerheten. En avvägning skall göras mellan nyttan av signering och det merarbete i vården som signeringskravet inne- bär.

Andra stycket motsvarar i huvudsak 19 § patientjournallagen (1985:562). När det gäller hantering och förvaring av journalhand- lingar se 14 §.

546

SOU 2006:82

Författningskommentar

Språket i patientjournaler

12 § De journalhandlingar som upprättas inom hälso- och sjukvården skall vara skrivna på svenska språket, vara tydligt utformade och så långt möj- ligt förståeliga för patienten.

Regeringen, eller den myndighet som regeringen bestämmer, får före- skriva att en sådan journalhandling får vara skriven på ett annat språk än svenska.

Paragrafen har behandlats i avsnitt 10.4.5. Den överensstämmer med 5 § och 18 § 2 patientjournallagen (1985:562).

Hantering av journalhandlingar

13 § Uppgifter i en journalhandling får inte utplånas eller göras oläsliga i andra fall än som avses i 8 kap. 3 §.

Vid rättelse av en felaktighet skall det anges när rättelsen har skett och vem som har gjort den.

Paragrafen, som har behandlats i avsnitt 10.4.6, överensstämmer med 6 § patientjournallagen (1985:562). I 8 kap. 6 § samt 28 § personupp- giftslagen (1998:204) finns bestämmelser om att en personuppgifts- ansvarig på begäran av en registrerad skall rätta personuppgifter som inte har behandlats i enlighet med patientdatalagen respektive personuppgiftslagen. I 9 § första stycket h personuppgiftslagen finns en bestämmelse om att den personuppgiftsansvarige på eget initiativ skall vidta alla rimliga åtgärder för att bl.a. rätta sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Rättelser av här berört slag får dock inte strida mot bestämmelserna i denna paragraf.

14 § Regeringen, eller den myndighet som regeringen bestämmer, får före- skriva hur journalhandlingar skall hanteras och förvaras.

Paragrafen motsvarar delvis 19 § patientjournallagen (1985:562). Journalens grundläggande syfte är att tillgodose patientens intresse av en god och säker vård. Journalen fyller också andra viktiga funk- tioner. Det är mot denna bakgrund nödvändigt att journalhandlingar hanteras och förvaras så att de skyddas mot förstörelse, skada och tillgrepp eller annan obehörig åtkomst. Härav följer bl.a. att journal-

547

Författningskommentar

SOU 2006:82

handlingarna måste förvaras i säkra lokaler med lämplig inredning. Brand- och vattenskador skall förebyggas. Tillgången till journaler måste vidare ordnas så att inte handlingarna tillgrips eller förstörs. För den allmänna hälso- och sjukvården finns motsvarande bestäm- melser i arkivlagen (1990:782). Elektroniska journaler skall skyddas mot obehörig åtkomst. Det sistnämnda innebär inte bara att rutiner måste finnas för vem som skall få ha elektronisk åtkomst, hur åt- komsten skall kontrolleras etc. Sådana regler finns i 4 kap. Regler bör exempelvis finnas om att datorer skall låsas då ingen har tillsynen över dem för att förhindra att obehöriga kan ta del av journalinforma- tion. Regler och råd av här berört slag finns i dag i Socialstyrelsens föreskrifter och allmänna råd (SOSFS 1993:20) om patientjournal- lagen. Närmare föreskrifter om hur journalhandlingar skall hanteras och förvaras förutsätts även fortsättningsvis tas in i författningar av lägre valör än lag. Därför innehåller paragrafen endast ett bemyndi- gande för regeringen, eller den myndighet som regeringen bestämmer, att meddela föreskrifter i ämnet. I första hand bör det liksom i dag ankomma på Socialstyrelsen att meddela sådana föreskrifter. Om föreskrifterna tar sikte på exempelvis generella krav på säkerhetsåt- gärder vid personuppgiftsbehandling bör Socialstyrelsen samråda med Datainspektionen innan föreskrifterna beslutas. Enligt 50 § b personuppgiftslagen (1998:204) får regeringen eller den myndighet som regeringen bestämmer meddela närmare föreskrifter om vilka krav som ställs på den personuppgiftsansvarige vid behandling av personuppgifter. Regeringen har i personuppgiftsförordningen (1998:1191) bemyndigat Datainspektionen att meddela sådana före- skrifter, se 16 §. I avsnitt 18.4 behandlas Socialstyrelsens och Data- inspektionens tillsynsansvar.

Skyldighet att utfärda intyg om vården

15 § Den som enligt 2 § är skyldig att föra patientjournal skall på be- gäran av patienten utfärda intyg om vården.

Paragrafen har behandlats i avsnitt 10.4.3. Den överensstämmer med 10 § patientjournallagen (1985:562). Även uppgifter som finns till- gängliga genom den sammanhållna journalföringen får användas vid utfärdande av intyg (se 6 kap.). Den som på patientens begäran skall utfärda intyg om vården får således under vissa förutsättningar bereda sig tillgång till uppgifter som finns tillgängliga i det sammanhållna

548

SOU 2006:82

Författningskommentar

journalföringssystemet. Detta gäller oavsett om intygsutfärdaren har en aktuell patientrelation med patienten i fråga eller ej, se 6 kap. 3 §.

Bevarande av journalhandlingar

16 § En journalhandling skall bevaras minst tre år efter det att den sista uppgiften fördes in i handlingen. Regeringen, eller den myndighet som rege- ringen bestämmer, får föreskriva att vissa slags journalhandlingar skall be- varas minst tio år.

Om bevarande av journalhandlingar som tagits om hand efter beslut av Socialstyrelsen finns det särskilda föreskrifter i 9 kap. 4 §.

I lag finns, för vissa fall, regler om att journalhandlingar skall bevaras under en längre tid än minst tre år.

Paragrafen, som har behandlats i avsnitt 10.4.7, överensstämmer i huvudsak med 8 § första stycket patientjournallagen (1985:562). Para- grafen innebär således i sak ingen ändring i förhållande till gällande rätt. Bemyndigandet i första stycket gör det möjligt för regeringen, eller den myndighet som regeringen bestämmer, att föreskriva en längre minsta bevarandetid. Sådana föreskrifter finns i dag i förord- ningen (1986:203) om förlängd bevarandetid för vissa journalhand- lingar inom hälso- och sjukvården. Det kan i framtiden bli aktuellt med längre bevarandetid även för andra slags journalhandlingar. Ett exempel då bemyndigandet kan utnyttjas gäller den sammanhållna journalföringen. Det kan vara lämpligt att föreskriva att en vårdgivare som deltar i sammanhållen journalföring skall bevara de journalhand- lingar som vårdgivaren ansvarar för längre tid än tre år. En anledning till detta kan vara att minska risken för att andra vårdgivare, som bara har tillgång till uppgifterna genom direktåtkomst, ”tankar hem” och lagrar uppgifterna i sitt eget system. I tredje stycket erinras om att det i annan lag finns regler om att journalhandlingar skall bevaras under längre tid än minst tre år. Sådana regler finns i 6 kap. 4 § och 7 kap. 6 § lagen (2006:351) om genetisk integritet m.m.

17 § För journalhandlingar som utgör allmän handling gäller, med de undantag som följer av 16 §, arkivlagen (1990:782) samt de bestämmelser som meddelas med stöd av arkivlagen.

549

Författningskommentar

SOU 2006:82

Paragrafen överensstämmer med 8 § andra stycket patientjournal- lagen (1985:562).

Patientjournaler i krig m.m.

18 § Regeringen får meddela särskilda föreskrifter om patientjournaler i krig, vid krigsfara eller under sådana utomordentliga förhållanden som är föranledda av att det är krig utanför Sveriges gränser eller av att Sverige har varit i krig eller krigsfara.

Paragrafen överensstämmer med 20 § patientjournallagen (1985:562).

4 kap. Grundläggande bestämmelser om inre sekretess och elektronisk åtkomst i en vårdgivares verksamhet

Inre sekretess

1 § Den som arbetar hos en vårdgivare får ta del av dokumenterade upp- gifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.

Paragrafen, som har behandlats i avsnitt 12.4, utgör en precisering av bestämmelsen i 1 kap. 2 § andra stycket såvitt gäller den inre sek- retessen och motsvarar i huvudsak 7 § första stycket patientjournal- lagen (1985:562) och 8 § lagen (1998:544) om vårdregister. Paragrafen omfattar både manuellt och elektroniskt förda patientjournaler och annan dokumentation om patienter. Bestämmelsen är således teknik- oberoende och tillämplig på alla slags dokumenterade personupp- gifter om en patient. Den som arbetar hos en vårdgivare får enligt paragrafen ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl be- höver uppgifterna för sitt arbete inom hälso- och sjukvården. Med vård avses även undersökning och behandling, se 1 kap. 3 §. Regelns tillämpningsområde är inte begränsad enbart till hälso- och sjukvårds- personal vid en viss enhet och dess arbete på enheten. Bestämmel- sen har generell räckvidd och omfattar all personal oavsett var den tjänstgör och oavsett för vilka syften uppgifterna behövs. Regleringen kompletteras genom bestämmelserna i 2 §, som föreskriver ett ut- tryckligt ansvar för varje vårdgivare att begränsa personalens elektro-

550

SOU 2006:82

Författningskommentar

niska åtkomst till uppgifter som behövs för att den enskilde skall kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Den som olovligen bereder sig tillgång till upptagning för automatisk databehandling kan dömas för dataintrång enligt 4 kap. 9 c § brotts- balken. Straffbestämmelsen är tillämplig då någon använder sig av sin behörighet för att läsa uppgifter om en patient utan att detta behövs för arbetet. Läsning i utbildningssyfte för att eftersöka före- bilder på lämpliga formuleringar har i rättspraxis bedömts i och för sig kunna utgöra dataintrång (RH 2002:36, det s.k. Blommanfallet).

Varken bestämmelserna i denna paragraf eller någon annan be- stämmelse på hälso- och sjukvårdslagstiftningens område innehåller något uttryckligt förbud för hälso- och sjukvårdspersonalen att lämna uppgifter om en patient vidare till sina arbetskamrater ifall det är uppenbart obehövligt för verksamheten. Offentlighets- och sekretesskommittén har emellertid i sitt huvudbetänkande Ny sek- retesslag, Del 1, SOU 2003:99, föreslagit att det införs en bestämmel- se i sekretesslagen som anger att, om det kan antas att en uppgift inte får lämnas ut från ett sekretessområde på grund av sekretess, upp- giften inte heller får röjas inom sekretessområdet om det är uppen- bart obehövligt för verksamheten. Den föreslagna regeln är för närvarande föremål för överväganden i Regeringskansliet. Även om det i dag alltså inte finns någon uttrycklig bestämmelse av här berört slag torde ett sådant uppgiftslämnande till arbetskamrater som inte behövs för verksamheten ofta kunna jämställas med att uppgifter röjs för någon utomstående. Ett sådant röjande av uppgifter kan utgöra ett brott mot tystnadsplikten enligt 20 kap. 3 § brottsbalken.

Tilldelning av behörighet för elektronisk åtkomst

2 § En vårdgivare skall bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om patienter som förs helt eller delvis auto- matiserat. Sådan behörighet skall begränsas till vad som behövs för att den enskilde skall kunna fullgöra sina arbetsuppgifter inom hälso- och sjuk- vården.

Regeringen, eller den myndighet som regeringen bestämmer, får med- dela närmare föreskrifter om tilldelning av behörighet för åtkomst till uppgifter, som förs helt eller delvis automatiserat.

551

Författningskommentar

SOU 2006:82

Paragrafen har behandlats i avsnitt 12.4. Enligt första stycket skall en vårdgivare bestämma villkoren för hur personalen skall tilldelas be- hörighet för elektronisk åtkomst till uppgifter om patienter. Bestäm- melsen, som delvis motsvarar 8 § lagen (1998:544) om vårdregister, är tillämplig på elektronisk patientjournalföring och övrig elektro- nisk patientdokumentation. Med elektronisk åtkomst, som paragrafen handlar om, avses personalens möjligheter att bereda sig tillgång till personuppgifter som finns elektroniskt tillgängliga i en vårdgivares organisation. Då det i patientdatalagen talas om direktåtkomst avses en speciell form av elektroniskt utlämnande till en mottagare utanför vårdgivarens organisation, se även 5 kap. 4 § och avsnitt 8.7. Det ingår alltså i vårdgivarens ansvar att närmare bestämma villkoren för personalens åtkomst till uppgifterna. Detta gäller oavsett om landstinget eller kommunen bedriver hälso- och sjukvård genom en eller flera myndigheter. Vid sammanhållen journalföring (se 6 kap. 7 §) tilldelas behörighet enligt samma principer, nämligen att varje vårdgivare prövar sin personals åtkomst till andra vårdgivares jour- naluppgifter i den sammanhållna journalföringen. Behörigheten skall begränsas till vad som behövs för att befattningshavaren skall kunna utföra sina arbetsuppgifter inom hälso- och sjukvården. En vård- givare måste först fastställa vilka behov som finns innan behörighets- rutinerna bestäms. Bestämmelsen innebär att en vårdgivare skall göra aktiva och individuella behörighetstilldelningar utifrån analyser av vilken närmare information olika personalkategorier och olika slags verksamheter behöver. Då villkoren för behörighetstilldelning bestäms måste också riskanalyser göras. Särskilt viktigt är detta då det gäller tillgängligheten till skyddade personuppgifter (alltså främst sådana personuppgifter som blivit spärrmarkerade av Skatteverket), uppgifter om kända personer och uppgifter från vissa mottagningar som kan bedömas som särskilt känsliga i sammanhanget. En generös behörighetstilldelning innebär ofta en obefogad spridning av person- uppgifter. Det räcker således inte att i efterhand kontrollera åtkomst- listor för att konstatera eventuella intrång. I stora, brett tillgängliga system skall normalt olika behörighetsnivåer för personalen finnas. Uppgifter bör lagras i olika ”skikt” så att åtkomsten av mer känsliga uppgifter kräver aktiva val. Sådan information får inte vara lika enkelt åtkomlig för personalen som mindre känslig information. Det ingår i varje vårdgivares ansvar att se till att alla anställda får full infor- mation om behörighetsreglerna. En närmare reglering som tar sikte på behörighetstilldelning skall finnas i författningar av lägre valör än lag, se andra stycket.

552

SOU 2006:82

Författningskommentar

Av andra stycket framgår att regeringen, eller den myndighet som regeringen bestämmer, meddelar närmare föreskrifter i ämnet. Det är förutsatt att Socialstyrelsen skall meddela dessa föreskrifter efter samråd med Datainspektionen.

Kontroll av elektronisk åtkomst

3 § En vårdgivare skall genomföra åtgärder som innebär att åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat doku- menteras och kan kontrolleras. Vårdgivare skall genomföra systematiska och återkommande kontroller av om obehörig åtkomst till sådana upp- gifter förekommer.

Regeringen, eller den myndighet som regeringen bestämmer, får med- dela närmare föreskrifter om dokumentation och kontroll enligt första stycket.

Paragrafen har behandlats i avsnitt 12.4. Av första stycket följer att en vårdgivare är skyldig att dokumentera personalens elektroniska åt- komst samt att systematiskt och fortlöpande kontrollera om obehörig åtkomst till uppgifter om patienter har förekommit. Angående be- greppet elektronisk åtkomst se bl.a. författningskommentaren till 2 § samt avsnitt 8.7. Skyldigheten att kontrollera elektronisk åtkomst gäller oavsett om landstinget eller kommunen bedriver hälso- och sjukvård genom en eller flera myndigheter. Genom att vårdgivaren blir skyldig att dokumentera all elektronisk åtkomst (den s.k. be- handlingshistoriken eller loggen) blir det möjligt att göra kontroller i efterhand. Det räcker emellertid inte att göra uppföljningskon- troller i särskilda fall då misstanke kan finnas om obehörigt intrång. Uppgiftskontroller skall göras systematiskt och fortlöpande. När det gäller sammanhållen journalföring se kommentaren till 6 kap. 7 §. Av 8 kap. 4 § framgår att en patient har rätt att på begäran få information om vilken direktåtkomst och elektronisk åtkomst som har förekommit till elektroniskt behandlade uppgifter om honom eller henne.

Patientdatalagen anger inte närmare hur åtkomstkontrollerna skall ske. Sådana föreskrifter skall meddelas på myndighetsnivå. Av andra stycket framgår att ytterligare föreskrifter i ämnet får meddelas av regeringen eller den myndighet som regeringen bestämmer. Det är förutsatt att det skall vara Socialstyrelsen som meddelar dessa föreskrifter efter samråd med Datainspektionen. Dessa föreskrifter

553

Författningskommentar

SOU 2006:82

bör omfatta inte bara hur kontroller skall utföras utan bör också närmare reglera omfattningen av åtkomstdokumentationen och hur länge den skall sparas. Bestämmelserna kan röra när och av vem en slagning skett i ett elektroniskt system och när en utskrift från en journalhandling gjorts eller, vid sammanhållen journalföring, när en kopia av en journalhandling har laddats ner till en vårdgivare som an- vänt sin direktåtkomst till annan vårdgivares journalhandling. Före- skrifterna kan också ta sikte på åtkomst via Internet.

Patientens möjlighet att begränsa elektronisk åtkomst för vårdsyfte

4 § Personuppgifter, som dokumenterats för ändamål som anges i 2 kap. 4 § första stycket 1 och 2 hos en vårdenhet eller inom en vårdprocess, får inte göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vårdgivare, om patienten motsätter sig det. I sådana fall skall uppgiften genast spärras.

Uppgift om att det finns spärrade uppgifter får dock vara tillgänglig för andra vårdenheter eller vårdprocesser liksom även uppgift om vilken vård- enhet eller vårdprocess som spärrat uppgifterna.

Paragrafen har behandlats i avsnitt 12.4. I första stycket ges patienter en rätt att begära att vårddokumentation spärras från elektronisk åt- komst för andra vårdenheter alternativt vårdprocesser utanför den till vilken uppgifterna hör. Patienten ges genom denna regel ett in- flytande över tillgängligheten till uppgifter om honom eller henne inom en vårdgivares gränser. Denna möjlighet skall ses som ett utflöde av föreskriften i 2 a § hälso- och sjukvårdslagen (1982:763) om att verksamheten skall bygga på respekt för patientens själv- bestämmande och integritet och så långt det är möjligt utföras och genomföras i samråd med patienten. Det är en förtroendefråga att regleringen av personuppgiftsbehandlingen står i samklang med dessa principer. Spärren gäller endast om uppgiften behövs för vård. Det följer av att det i paragrafen talas om en annan vårdenhet och vård- process. Uppgifterna är däremot tillgängliga om vårdgivaren behöver dem exempelvis för kvalitetssäkring av hälso- och sjukvården eller för administration, planering etc. av verksamheten, jfr 2 kap. 4 § första stycket 4 och 5. Begreppen vårdenhet eller vårdprocess är inte definierade i patientdatalagen. I Socialstyrelsens Termbank de- finieras vårdenhet som ”organisatorisk enhet som tillhandahåller

554

SOU 2006:82

Författningskommentar

hälso- och sjukvård”. Det anmärks att varje huvudman avgör avgräns- ningen i det enskilda fallet. Vårdprocess definieras i Termbanken som ”följd av aktiviteter eller åtgärder som utförs för en patient, avseende ett visst hälsoproblem, mellan inkommen vårdbegäran och avslag av vårdbegäran eller avslut av vårdåtagande”. Avgränsningen av en vårdprocess är således funktionell och inte organisatorisk såsom beträffande vårdenhet. En vårdprocess kan med andra ord inbegripa avgränsbara aktiviteter eller åtgärder hos olika vårdenheter som till- sammans bildar en funktionell enhetlighet. Ofta utgör de privata vårdgivarna en enda enhet. Detta gäller dock inte Praktikertjänst AB, som bedriver verksamhet på många mottagningar spridda över landet. Mottagningarna bör kunna ses som olika enheter. Inom den allmänna hälso- och sjukvården är det naturligt att se varje vårdcentral som en enhet. Ett sjukhus är däremot normalt inte en enda enhet. Hur gränserna närmare skall dras inom en vårdgivares verksamhet bestäms ytterst av varje vårdgivare själv med utgångspunkt i vad som föreskrivs i denna paragraf. Det är självklart att gränserna – inom ramen för vad paragrafen föreskriver – skall dras på ett praktiskt och rimligt sätt för vårdgivaren så att verksamheten inte tyngs med onödig administration. Även inom en vårdenhet eller vårdprocess gäller naturligtvis att endast den befattningshavare skall anses behörig att ta del av uppgifter om en patient som deltar i vården och behand- lingen av patienten eller av annat skäl behöver uppgifterna för sitt arbete.

En patient kan när som helst begära att uppgifterna spärras, alltså även efter det att uppgifterna har gjorts tillgängliga utanför vården- heten eller vårdprocessen. Uppgifterna får då inte längre göras till- gängliga för andra vårdenheter eller vårdprocesser hos vårdgivaren.

Att uppgifter spärras innebär att de inte finns tillgängliga för andra vårdenheter alternativt vårdprocesser genom elektronisk åtkomst. Med elektronisk åtkomst avses i patientdatalagen personalens möj- ligheter att elektroniskt bereda sig tillgång till personuppgifter som finns tillgängliga inom vårdgivarens organisation. Någon prövning på förhand av huruvida uppgifterna bör lämnas till den som vill ha tillgång till dem görs bara av den som själv efterfrågar uppgifterna, se vidare avsnitt 8.7. Paragrafen hindrar i och för sig inte att spärrade uppgifter görs tillgängliga för annan vårdenhet eller vårdprocess genom användning av exempelvis e-post eller på diskett och cd- rom. I sådana fall kan alltid den som har den efterfrågade informa- tionen göra en prövning huruvida informationen bör tillhandahållas den som vill ha informationen. Om en patient har klargjort att han

555

Författningskommentar

SOU 2006:82

eller hon inte vill att uppgifter om honom eller henne lämnas från en vårdenhet till en annan, torde något sådant uppgiftslämnande inte kunna förekomma annat än i nödliknande situationer. Att så är fallet får anses följa av den ovan redovisade bestämmelsen i 2 a § hälso- och sjukvårdslagen om respekten för patientens självbestäm- mande. I JO 1986/87 s. 198 framhåller JO med hänvisning bl.a. till patientens självbestämmande att patientens uttryckliga önskemål i frågan om hans eller hennes journaler skall lämnas mellan kliniker skall respekteras.

Enligt andra stycket får dock uppgift om att det finns spärrade uppgifter vara tillgänglig liksom även uppgift om vilken vårdenhet eller vårdprocess som har spärrat uppgifterna. Skälet till att denna information får vara tillgänglig är att en spärr kan hävas, om patien- tens samtycke inte kan inhämtas och de spärrade uppgifterna kan antas ha betydelse för att patienten skall kunna få vård och behand- ling som han eller hon oundgängligen behöver, se 5 §. Genom att befattningshavaren vet vilken vårdenhet eller vårdprocess som har spärrat uppgifterna får han eller hon visst ytterligare underlag för bedömningen huruvida de spärrade uppgifterna kan ha betydelse för den vård som patienten oundgängligen behöver. Information om att det finns spärrade uppgifter om barn kan också ge anledning till extra vaksamhet samt övervägande om en anmälan skall göras till socialnämnden för att barnet skall få erforderligt skydd, 14 kap. 1 § socialtjänstlagen (2001:453). Dessa skäl har ansetts väga över den integritetskränkning som kan uppstå till följd av att det framgår vilken vårdenhet eller vårdprocess som spärren avser.

5 § En spärr enligt 4 § får hävas av en behörig befattningshavare hos vård- givaren, om

–patienten samtycker till det, eller

–patientens samtycke inte kan inhämtas och informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver.

Paragrafen har behandlats i avsnitt 12.4. I paragrafen föreskrivs att den spärr som en patient har begärt enligt 4 § med patientens sam- tycke kan hävas av behörig befattningshavare hos vårdgivaren. Vem som är behörig befattningshavare bestäms av vårdgivarna själva. Rätten att häva spärren är inte begränsad till någon viss vårdenhet eller vårdprocess hos vårdgivaren. Spärren kan till en början hävas när patienten själv samtycker till det. Här räcker det alltså inte med att patienten inte motsätter sig att behörig personal vid en annan

556

SOU 2006:82

Författningskommentar

vårdenhet eller vårdprocess tar del av uppgifterna. Det fordras ett sam- tycke från patientens sida. Det skall vara ett sådant samtycke som avses i personuppgiftslagen (1998:204), dvs. det skall vara frivilligt, särskilt och otvetydigt. Angående dessa begrepps innebörd, se för- fattningskommentaren till 6 kap. 3 §. Samtycket kan lämnas när som helst av patienten. Det behöver alltså inte ske i samband med något vårdtillfälle. Vidare kan spärren forceras av en annan vårdenhet eller vårdprocess, t.ex. akuten, om informationen kan antas ha betydelse för den vård eller behandling som patienten oundgängligen behöver. En förutsättning härför är att något samtycke inte kan inhämtas. Det kan bero på att patienten är medvetslös eller alltför medtagen för att kunna ta ställning till frågan. Vidare kan saken brådska så att det inte finns någon tid att inhämta samtycke. Om patienten i ett så- dant läge är oundgängligen i behov av vård eller behandling, får alltså spärren hävas av behörig befattningshavare vid en annan vårdenhet eller vårdprocess. Det skall i princip vara fråga om en allvarlig akut- situation, då patienten på grund av sitt hälsotillstånd eller andra skäl inte kan ta ställning till samtyckesfrågan och då uppgifterna bedöms vara av vital betydelse för de vård- eller behandlingsinsatser som omgående måste sättas in. Det skall alltså av hänsyn till patientsäker- heten inte vara möjligt att avvakta en tid för att patienten skall kunna lämna sitt samtycke. En patient som i detta senare skede vidhåller en spärr och alltså motsätter sig att någon utanför vårdenheten eller vårdprocessen tar del av uppgifterna, skall respekteras hur ogrundad eller irrationell patientens inställning än kan tyckas vara.

5 kap. Grundläggande bestämmelser om utlämnande av uppgifter och handlingar samt viss uppgiftsskyldighet

Bestämmelser i andra lagar

1 § Om rätten att ta del av handlingar och uppgifter inom den allmänna hälso- och sjukvården finns bestämmelser i tryckfrihetsförordningen och sekretesslagen (1980:100).

I paragrafen, som delvis motsvarar 15 § första stycket patientjournal- lagen (1985:562), erinras om den enskildes rätt att ta del av allmänna handlingar hos den allmänna hälso- och sjukvården och hos sådana kommunala företag som avses i 1 kap. 9 § sekretesslagen (1980:100) och begränsningarna i denna rätt enligt tryckfrihetsförordningen

557

Författningskommentar

SOU 2006:82

och sekretesslagen. Med kommunala företag åsyftas här bolag, före- ningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande.

2 § I lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens om- råde finns bestämmelser som kan begränsa möjligheten att lämna ut upp- gifter från den enskilda hälso- och sjukvården.

I paragrafen, som delvis motsvarar 12 § lagen (1998:544) om vård- register, hänvisas till att bestämmelser om tystnadsplikt finns i lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område, se t.ex. 2 kap. 8 §.

Myndighets uppgiftsskyldighet avseende journal upprättad inom enskild hälso- och sjukvård

3 § En myndighet som enligt 9 kap. har hand om en patientjournal upp- rättad inom enskild hälso- och sjukvård har, om uppgift ur journalen begärs för särskilt fall, samma skyldighet att lämna uppgiften som den haft som ansvarat för journalen före överlämnandet till myndigheten.

Paragrafen motsvarar 15 § andra stycket patientjournallagen (1985:562).

Utlämnande genom direktåtkomst

4 § Direktåtkomst till personuppgifter är tillåten endast i den utsträck- ning som anges i lag eller förordning.

Om ett landsting eller en kommun bedriver hälso- och sjukvård genom flera myndigheter, får en sådan myndighet ha direktåtkomst till personupp- gifter som behandlas av annan sådan myndighet i samma landsting eller kom- mun. Ytterligare bestämmelser om direktåtkomst finns i denna lag i 5 §, 6 kap. och 7 kap. 9 §.

Paragrafen har behandlats i avsnitt 8.7 och 14.4.2. I första stycket föreskrivs att direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning. Med direktåtkomst avses i patientdatalagen en speciell form av elektroniskt utlämnande av personuppgifter till mottagare utanför en vårdgivares organisa-

558

SOU 2006:82

Författningskommentar

tion. Direktåtkomsten skiljer sig från annat elektroniskt utlämnande genom att det är mottagaren av uppgifterna som bereder sig till- gång till informationen utan att den som lämnar ut informationen vidtar någon åtgärd med avseende på informationen – exempelvis någon sekretessprövning – inför överföringstillfället. Utlämnandet sker alltså helt automatiskt. Det spelar ingen roll om mottagaren har åtkomst till all information i ett register eller en databas eller om den som vill ha informationen skickar en förfrågan av mer specifikt slag som besvaras utan att någon person hos utlämnaren tar emot och effektuerar förfrågan. Även i sistnämnt fall rör det sig alltså om direktåtkomst i patientdatalagens mening. Däremot är det inte fråga om direktåtkomst när personalen har elektronisk tillgång till per- sonuppgifter som finns inom en vårdgivares organisation. Eftersom direktåtkomst är en särskilt integritetskänslig form av elektroniskt utlämnande av personuppgifter, klargörs i patientdatalagen att direkt- åtkomst är tillåten endast i den utsträckning som anges i lag eller förordning.

Enligt andra stycket får myndigheter som bedriver hälso- och sjuk- vård i ett landsting ha direktåtkomst till varandras personuppgifter. Motsvarande gäller för myndigheter som bedriver hälso- och sjuk- vård i en kommun. Bestämmelsen i denna del innebär ett klargöran- de av att hälso- och sjukvårdsmyndigheter inom en vårdgivare kan ha elektronisk tillgång till varandras personuppgifter. Av 4 kap. 2 och 3 §§ följer att vårdgivaren ansvarar för tilldelningen av behörighet för och kontrollen av den elektroniska åtkomsten. Om exempelvis ett landsting väljer att bedriva hälso- och sjukvård i flera nämnder inom landstinget, kan personuppgifter lämnas ut mellan myndighe- terna genom direktåtkomst. Av 7 kap. 1 d § sekretesslagen (1980:100) följer att sekretessen inte hindrar att uppgifterna lämnas mellan myndigheterna. Vidare erinras i förevarande stycke om att en enskild kan medges direktåtkomst till uppgifter om sig själv (5 §), att direkt- åtkomst får förekomma vid sammanhållen journalföring (6 kap.) samt att en vårdgivare får ha direktåtkomst till de uppgifter i ett nationellt eller regionalt kvalitetsregister som vårdgivaren lämnat till registret (7 kap. 9 §). I framtiden kan det bli aktuellt att tillåta direktåtkomst till personuppgifter i andra situationer. När det gäller annat elek- troniskt utlämnande än direktåtkomst, se 6 §.

559

Författningskommentar

SOU 2006:82

5 § En vårdgivare får medge en enskild direktåtkomst till sådana upp- gifter om den enskilde själv som får lämnas ut till honom eller henne och som behandlas för ändamål som anges i 2 kap. 4 § första stycket 1 och 2. Den enskilde får under samma förutsättningar medges direktåtkomst till sådan dokumentation som avses i 4 kap. 3 § första stycket första meningen.

Regeringen, eller den myndighet som regeringen bestämmer, får före- skriva de krav på säkerhetsåtgärder som skall gälla vid sådan direktåt- komst.

Paragrafen har behandlats i avsnitt 13.3. Av första stycket framgår att en enskild kan medges direktåtkomst till sådana uppgifter om sig själv som behandlas för ändamålet vårddokumentation och som får lämnas ut till honom eller henne. Paragrafen innebär inget åliggande för en vårdgivare att tillhandahålla enskilda direktåtkomst utan en- dast en möjlighet till detta. Paragrafen syftar till att en vårdgivare skall kunna ge en patient direktåtkomst till sin vårddokumentation. När det gäller innebörden av begreppet direktåtkomst hänvisas till 4 § och avsnitt 8.7. Inget hindrar att journaluppgifterna lämnas ut till den enskilde på medium för automatiserad behandling, se 6 §. Det är förutsatt att den som begär och medges åtkomst till sina journaluppgifter också informeras om vart han eller hon kan vända sig för att få hjälp att tyda journaluppgifterna. En direktåtkomst behöver inte innebära en tillgång till samtliga journaluppgifter om den enskilde. Direktåtkomsten kan av vårdgivaren begränsas till vissa uppgifter, t.ex. uppgifter om behandlande läkare, kontaktuppgifter till vårdgivare, diagnoser, överkänslighet och förskrivna läkemedel. Uppgifter som är särskilt känsliga för patienten bör undantas från direktåtkomsten. Den enskildes direktåtkomst till personuppgifter får givetvis inte avse uppgifter för vilka sekretess gäller i förhållande till honom eller henne, se 7 kap. 3 § sekretesslagen (1980:100). Det framgår av att det i paragrafen föreskrivs att endast uppgifter som får lämnas ut kan omfattas av direktåtkomsten. Eftersom direktåt- komst innebär att någon sekretessprövning inte sker varje gång någon tar del av uppgifter om sig själv, måste sekretessfrågan prövas i samband med att vårdgivaren ger patienten direktåtkomst. Sekre- tessfrågan kan naturligtvis någon gång behöva omprövas efter det att direktåtkomst har medgetts. En sekretessprövning måste vidare göras varje gång som nya uppgifter görs tillgängliga för den enskilde. Den enskilde får under samma förutsättningar som gäller för direkt- åtkomst till uppgifter om den enskilde själv medges direktåtkomst

560

SOU 2006:82

Författningskommentar

till logglistor som avser elektronisk åtkomst till uppgifter om den enskilde.

Av andra stycket framgår att regeringen, eller den myndighet som regeringen bestämmer, får meddela föreskrifter om krav på säker- hetsåtgärder som skall gälla vid direktåtkomst. En direktåtkomst förutsätter att det finns tillräckligt säkra tekniska lösningar för att säkerställa identifieringen av den som efterfrågar uppgifter. Det måste också finnas tekniska lösningar att spärra uppgifter som inte kan lämnas ut till en patient på grund av att sekretess gäller för dem i förhållande till patienten. Det är tänkt att Socialstyrelsen efter samråd med Datainspektionen skall meddela sådana föreskrifter.

Utlämnande på medium för automatiserad behandling

6 § Får en personuppgift lämnas ut, kan det ske på medium för automa- tiserad behandling.

Paragrafen, som innebär en avvikelse från 9 § lagen (1998:544) om vårdregister, har behandlats i avsnitt 8.7. Paragrafen tar sikte på ut- lämnande på medium för automatiserad behandling. Sådant utläm- nande kan avse utlämnande genom e-post, diskett och cd-rom för att bara ta några exempel. Utmärkande för sådant utlämnande är att den som gör utlämnandet vid varje överföringstillfälle vidtar någon manuell aktivitet som kan jämställas med ett beslut om överföring och en sekretessprövning avseende den information som mottagaren får del av. Utlämnande av personuppgifter på medium för automati- serad behandling är en form av behandling av personuppgifter enligt 3 § personuppgiftslagen (1998:204) som är tillåten förutsatt att ut- lämnandet sker i enlighet med de ändamål som är bestämda för personuppgiftsbehandlingen och att kraven på en god informations- säkerhet upprätthålls. Direktåtkomst har ansetts som en så integri- tetskänslig form av elektroniskt utlämnande att det anges i lagen när det får förekomma (4 §). När det gäller annat elektroniskt ut- lämnande på medium för automatiserad behandling finns däremot inga begränsningar i patientdatalagen. Av tydlighetsskäl föreskrivs i förevarande paragraf att en personuppgift kan lämnas ut på medium för automatiserad behandling under förutsättning att personuppgif- ten får lämnas ut. Det sistnämnda villkoret syftar på att uppgiften inte kan lämnas ut om sekretess gäller för uppgiften. Möjligheten att

561

Författningskommentar

SOU 2006:82

lämna ut en personuppgift på medium för automatiserad behand- ling innebär således inte att sekretessen bryts.

6 kap. Sammanhållen journalföring

Direktåtkomst till uppgifter hos en annan vårdgivare

1 § En vårdgivare får, under de förutsättningar som anges i 2 §, ha direkt- åtkomst till andra vårdgivares personuppgifter som behandlas för ändamål som anges i 2 kap. 4 § första stycket 1 och 2.

I avsnitt 11 har de närmare förutsättningarna för en sammanhållen journalföring och innebörden av denna utvecklats. Reglerna om sam- manhållen journalföring har samlats i 6 kap. I 1 § föreskrivs att en vårdgivare – under de villkor som anges i detta kapitel – får ha direktåtkomst till andra vårdgivares personuppgifter som behandlas för ändamål som rör vårddokumentation. Angående innebörden av direktåtkomst, se avsnitt 8.7. Genom den sammanhållna journalfö- ringen ges en tillgänglighet till uppgifter om patienter som i prak- tiken låter informationen följa patienterna i olika vårdkedjor och vårdprocesser. Varken denna paragraf eller någon annan paragraf i patientdatalagen styr över vilka slags tekniska lösningar eller vilken organisatorisk uppbyggnad som väljs för sammanhållen journalfö- ring. Det är en fråga som vårdgivarna själva får bestämma över. Där- emot måste naturligtvis systemen utformas och anpassas efter de särskilda krav som lagen uppställer för sammanhållen journalföring. Grundidén med sammanhållen journalföring är alltså att en vårdgi- vare under vissa förutsättningar kan få ta del av en annan vårdgivares vårddokumentation.

Tillgången till information sker genom att en vårdgivare gör de uppgifter om en patient som vårdgivaren registrerar om patienten tillgängliga för andra vårdgivare som deltar i det sammanhållna jour- nalföringssystemet. Även om den som har direktåtkomst till upp- gifter har möjlighet att kopiera och ”hämta hem” dessa från en annan vårdgivare till ett eget lokalt system, bör sådan kopiering och lag- ring undvikas. Risken är annars att den ”egna” journalen på sikt kommer att tyngas av svåröverskådlig information. I förlängningen kan då den sammanhållna journalföringen bli oanvändbar för hälso- och sjukvården. Det är också från integritetssynpunkt önskvärt att samma slags uppgifter inte lagras på mer än ett ställe. Ett syfte med

562

SOU 2006:82

Författningskommentar

den sammanhållna journalföringen är att onödig dubbeldokumen- tation skall undvikas. Självfallet kan det någon gång vara motiverat med denna typ av ”hemtankning”, men det bör alltså så långt som möjligt undvikas, jfr 2 kap. 7 §.

Direktåtkomsten behöver inte avse alla patientuppgifter utan kan omfatta endast delar av det som dokumenteras i en patientjournal eller andra patientuppgifter. Paragrafen medger således att vårdgivarna bygger upp system i vilket exempelvis bara vissa medicinska basfakta blir tillgängliga. Det kan röra sig om sammanhållen journalföring av- seende läkemedel. Ett annat exempel är det nationella informations- systemet för patientjournalföring m.m. av vaccinationer som för när- varande utvecklas i Smittskyddsinstitutets projekt SVEVAC. Det är alltså möjligt att låta bara vissa vårdenheter delta i ett sammanhållet journalföringssystem. Paragrafen medger också att vårdgivarna skapar patientöversikter av olika slag, som innehåller bara vissa grundfakta om patienter, t.ex. identitetsuppgifter om patienten, patientens pri- märvårdskontakt på hemorten, provbunden diagnostik, förskrivna läkemedel, diagnoser och remissvar från röntgen.

Inom den allmänna hälso- och sjukvården gäller normalt sekretess enligt 7 kap. 1 c § sekretesslagen (1980:100) för de uppgifter som görs tillgängliga i den sammanhållna journalföringen. I 7 kap. 1 d § första stycket sekretesslagen finns emellertid ett undantag från sekretes- sen, som innebär att sekretessen inte hindrar att uppgifter lämnas till en myndighet inom hälso- och sjukvården eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen. Någon sekretessprövning behöver alltså inte göras då uppgifter registreras i exempelvis en elektronisk journal och där- med görs tillgängliga för andra vårdgivare i det sammanhållna jour- nalsystemet. För den enskilda hälso- och sjukvården gäller tystnads- pliktsbestämmelsen i 2 kap. 8 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Den bestämmelsen, som innebär ett förbud mot att obehörigen röja uppgifter om enskilds hälso- tillstånd eller andra personliga förhållanden, bör kunna tolkas på motsvarande sätt som 7 kap. 1 c och 1 d §§ sekretesslagen när det gäller tillgängliggörande av uppgifter i sammanhållen journalföring. Det innebär att en privat vårdgivare kan göra uppgifter tillgängliga, om de i detta kapitel angivna förutsättningarna är uppfyllda.

I avsnitt 11.4 diskuteras olika aspekter på hur bestämmelserna om allmänna handlingar i 2 kap. tryckfrihetsförordningen förhåller sig till reglerna om sammanhållen journalföring.

563

Författningskommentar

SOU 2006:82

Patientens inflytande vid sammanhållen journalföring m.m.

2 § Om en patient motsätter sig det, får uppgifter om patienten inte göras tillgängliga för andra vårdgivare genom sammanhållen journalföring. Upp- gift om att det finns spärrade uppgifter får dock göras tillgänglig.

Innan uppgifter om en patient gör tillgängliga för andra vårdgivare genom sammanhållen journalföring, skall patienten informeras om vad den sam- manhållna journalföringen innebär och om att patienten kan motsätta sig den.

Om en patient motsätter sig sammanhållen journalföring, skall upp- gifterna genast spärras. En patient kan när som helst begära att den vård- givare som har spärrat uppgifterna häver spärren.

Paragrafen har behandlats i avsnitt 11.3.3. Av första stycket framgår att en patient har möjlighet att motsätta sig att uppgifter om honom eller henne görs tillgängliga för andra vårdgivare i ett sammanhållet journalföringssystem. Bestämmelsen kräver inte att den enskilde skall lämna ett uttryckligt och informerat samtycke till att uppgifter om honom eller henne får göras tillgängliga för andra vårdgivare genom sammanhållen journalföring utan innebär endast att patienten har en möjlighet att motsätta sig detta. Bestämmelsen ger uttryck för vad man kan kalla för en opt out-modell eller, om man så vill, en ord- ning i vilket ett tyst samtycke gäller för att journaluppgifter görs tillgängliga för andra vårdgivare. Att patienten kan motsätta sig ett tillgängliggörande innebär inte att han eller hon har rätt att motsätta sig att uppgifter journalförs i det elektroniska system som vårdgiva- ren använder. Det innebär bara att uppgifterna på den enskildes be- gäran spärras för tillgänglighet hos andra vårdgivare. En spärrning kan på patientens begäran avse samtliga eller bara vissa uppgifter. Inget hindrar att en spärrning kan göras endast i förhållande till någon eller vissa vårdgivare som deltar i det sammanhållna journalsystemet. I och med att de spärrade uppgifterna inte är tekniskt tillgängliga för övriga vårdgivare är de inte att anse som förvarade och inkomna hos de vårdgivare som är allmänna och därmed inte heller allmänna hand- lingar hos dessa, se vidare i sistnämnda fråga avsnitt 11.4.2.

Att uppgifterna är spärrade innebär alltså att andra vårdgivare inte har någon direktåtkomst till uppgifterna. Den spärrade informatio- nen kan inte läsas av extern personal. Däremot får det i ett system för sammanhållen journalföring ingå uppgift om att det finns spär- rade uppgifter. Syftet med detta är att kännedomen om att det finns spärrade uppgifter kan initiera en önskvärd dialog mellan en patient

564

SOU 2006:82

Författningskommentar

och hälso- och sjukvårdspersonal i en enskild vårdsituation. Av integritetsskäl får däremot inga andra uppgifter vara tillgängliga, exempelvis vilken vårdgivare som har spärrat uppgifterna.

Det finns inget undantag som innebär att en spärr i en akut nöd- situation får forceras av en extern vårdgivare. Den enskildes aktiva ställningstagande om att uppgifter inte skall finnas tillgängliga skall alltså respekteras obetingat. Det sagda utesluter emellertid inte att uppgifter som finns om en patient hos en vårdgivare i undantagsfall kan lämnas till en annan vårdgivare. Då är det emellertid inte fråga om att uppgifter görs tillgängliga genom direktåtkomst i ett sam- manhållet journalföringssystem. Om en patient på grund av sitt hälso- tillstånd eller av annat skäl inte kan samtycka till ett utlämnande, kan nämligen uppgifter om en enskild utan hinder av sekretess under vissa förhållanden lämnas från en vårdgivare till en annan, se 7 kap. 1 d § andra stycket sekretesslagen. Sistnämnda fråga behandlas i av- snitt 14.4.

I andra stycket föreskrivs att patienten innan uppgifterna om patien- ten görs tillgängliga för andra vårdgivare skall informeras om vad sam- manhållen journalföring innebär och om att patienten kan motsätta sig den. Att patienten på detta tidiga stadium skall informeras om den sammanhållna journalföringen bygger på respekten för patientens självbestämmande och integritet och att vården och behandlingen så långt som möjligt skall utformas och genomföras i samråd med patienten. Hur informationen skall lämnas överlåts åt varje person- uppgiftsansvarig att bestämma. Något krav på att informationen skall ges i viss form – muntlig eller skriftlig – finns inte. Det är dock viktigt att den personuppgiftsansvarige utarbetar rutiner för hur in- formationsskyldigheten skall fullgöras. Säkra rutiner ligger i den personuppgiftsansvariges eget intresse, eftersom denne – då det gäller information till en registrerad vid personuppgiftsbehandling – anses ha bevisbördan för att obligatorisk information faktiskt har lämnats till patienten. När det gäller t.ex. patienter som inte talar svenska bör den personuppgiftsansvarige se till att någon översätter infor- mationen eller att det finns skriftliga informationsblanketter på flera språk.

Ibland kan naturligtvis inte informationen lämnas på ett så tidigt stadium som föreskrivs i paragrafen. Inom hälso- och sjukvården är det vanligt att patientens hälsotillstånd omöjliggör att information lämnas om en personuppgiftsbehandling innan uppgifter om patien- ten registreras. Patienten kan vara medvetslös eller alltför fysiskt eller psykiskt medtagen för att kunna ta till sig information av det slag

565

Författningskommentar

SOU 2006:82

som här avses. I ett sådant fall får uppgifterna inte göras tillgängliga för andra vårdgivare. Det får ske först då patienten blivit informe- rad och tillgodogjort sig informationen samt haft möjlighet att mot- sätta sig att uppgifterna görs tillgängliga. Det är i och för sig inte nödvändigt att information lämnas vid varje kontakttillfälle med en patient under förutsättning att inget tvivel råder om att patienten är införstådd med vad den sammanhållna journalföringen innebär.

Patientdatalagen innehåller inga särskilda bestämmelser om hur icke beslutskompetenta personer skall informeras om sammanhållen journalföring. Frågan om information till sådana personer får han- teras på samma sätt som i dag. Det innebär att informationen kan behöva lämnas till någon behörig ställföreträdare eller någon nära anhörig. Inte heller finns det i lagen några särskilda regler om hur barn och ungdomar skall informeras. Huruvida informationen skall lämnas till en ställföreträdare, är ytterst en lämplighetsfråga som får lösas med hänsyn till bl.a. till den unges ålder och utveckling.

Av tredje stycket framgår att uppgifterna genast skall spärras, om patienten motsätter sig sammanhållen journalföring, och att en patient när som helst kan begära att den vårdgivare som har spärrat upp- gifterna häver spärren. En patient kan alltså begära att uppgifter om honom eller henne spärras även efter det att uppgifterna har gjorts tillgängliga för andra vårdgivare. Det bör normalt sett inte innebära någon olägenhet för patienten att uppgifterna spärras efter det att de har gjorts tillgängliga i det sammanhållna journalföringssystemet. Tanken är nämligen att vårdgivarna normalt inte skall ladda ner andra vårdgivares journalhandlingar för att bifoga dem till den egna jour- nalföringen. Risken är annars att den ”egna” journalen på sikt kommer att tyngas av svåröverskådlig information. Det är inte heller från integritetssynpunkt önskvärt med en sådan kopiering, jfr 2 kap. 7 §. Det är den vårdgivare som lagt in spärren som skall häva den. Det fordras inte att patienten själv har kontakt med just den vårdgivare som lagt in spärren när patienten vill häva spärren. Det kan exem- pelvis ske i samband med att patienten senare besöker en annan vårdgivare. Om patienten då vill häva spärren, får den senare vårdgi- varen meddela den vårdgivare som har spärrat uppgifterna att patien- ten vill ha spärren hävd. Patientens önskan att häva spärren bör dokumenteras på lämpligt sätt, exempelvis i patientens journal.

566

SOU 2006:82

Författningskommentar

3 § För att en vårdgivare skall få bereda sig tillgång till uppgifter som inte är spärrade enligt 2 § tredje stycket krävs att

1.uppgifterna rör en patient som det finns en aktuell patientrelation

med,

2.uppgifterna kan antas ha betydelse för vården av patienten, och

3.patienten samtycker till det.

Vårdgivaren får även bereda sig tillgång till sådana uppgifter om

1.uppgifterna rör en patient som det finns eller har funnits en patient- relation med,

2.uppgifterna kan antas ha betydelse för att utfärda sådant intyg som avses i 3 kap. 15 §, och

3.patienten samtycker till det.

I denna paragraf regleras när en vårdgivare, som är ansluten till ett sammanhållet journalföringssystem, får bereda sig tillgång till upp- gifter som inte är spärrade av annan vårdgivare. Av första stycket, som närmare har behandlats i avsnitt 11.3.4, framgår att tre villkor skall vara uppfyllda för att en vårdgivare skall få bereda sig tillgång till ospärrade uppgifter som annan vårdgivare har registrerat, nämligen att de aktuella uppgifterna rör en patient som vårdgivaren har en aktuell patientrelation till, att uppgifterna kan antas ha betydelse för vården av en patient samt att patienten samtycker till det.

Kravet att det skall finnas en aktuell patientrelation för att vård- givaren skall få bereda sig tillgång till uppgifterna skall inte uppfattas som någon regel om inre sekretess (jfr avsnitt 12). Kravet anger en- dast en allmän förutsättning för när en vårdgivare över huvud taget får använda den direktåtkomst till annan vårdgivares information som vårdgivaren medgetts genom den sammanhållna journalföringen. Härigenom begränsas den legala åtkomsten i förhållande till den faktiska tillgången till andra vårdgivares information till att enbart omfatta de patienter som vårdas eller behandlas inom den egna verk- samheten. I avsnitt 11.4 berörs vilken betydelse en rättslig begräns- ning av här aktuellt slag har när det gäller tolkningen av 2 kap 3 § tredje stycket tryckfrihetsförordningen. Huruvida en patientrelation över huvud taget föreligger med en enskild person är normalt enkelt att konstatera. En patientrelation anses vanligen som avslutad då en intagen sjukhuspatient skrivs ut såsom färdigbehandlad och det inte finns några inplanerade återbesök, efterkontroller eller liknande. Det- samma bör gälla om patienten skrivs ut för fortsatt vård eller upp- följning hos öppen primärvård i annan vårdgivares regi. Mer tveksamt kan det vara huruvida en husläkare, och därmed den vårdgivare

567

Författningskommentar

SOU 2006:82

husläkaren hör till, skall anses ha en ständig aktuell patientrelation med alla de personer som tecknat sig hos läkaren. Så bör normalt inte bedömas vara fallet, men beträffande sådana patienter som regel- bundet och relativt frekvent besöker eller har kontakt med sin hus- läkare kan en annan bedömning göras. Av kravet på att det skall finnas en aktuell patientrelation följer att det inte är tillåtet för en vårdgivare att i en behandlingssituation med en patient söka efter och bereda sig tillgång till journaluppgifter avseende en annan patient som vårdas hos en annan vårdgivare, t.ex. en nära släkting med samma sjukdomsdiagnos.

Ytterligare ett krav för att en vårdgivare skall få bereda sig till- gång till uppgifter som inte är spärrade är att uppgifterna kan antas ha betydelse för vården eller behandlingen av patienten. Denna regel innebär att en vårdgivare som deltar i ett sammanhållet journalfö- ringssystem inte – med undantag från vad som anges i andra stycket

– får ha direktåtkomst till andra vårdgivares uppgifter för andra syf- ten än vård och behandling. Rekvisitet kan antas ha betydelse förut- sätter att den som avser bereda sig tillgång till ospärrade uppgifter gör något aktivt ställningstagande till vilken betydelse uppgifterna kan ha. Det skall på goda grunder kunna antas att uppgifterna har någon betydelse. Samtidigt kan inte alltför stora krav ställas på en vårdgivare. För att ta ett exempel torde det normalt kunna antas sakna betydelse för den somatiska vården av en patient att ta del av vad som antecknats hos en psykiatrisk öppenvårdsmottagning i ett annat landsting för flera år sedan.

För att en vårdgivare skall få bereda sig tillgång till ospärrade upp- gifter krävs också att patienten samtycker till det. I detta skede räcker det således inte att patienten inte motsätter sig att vårdgivaren tar del av uppgifterna. Det fordras ett aktivt samtycke från patientens sida. Det skall vara ett sådant samtycke som avses i personuppgifts- lagen (1998:204), dvs. det skall vara frivilligt, särskilt och otvetydigt. Kravet på att samtycket skall vara frivilligt ger uttryck för att den enskilde verkligen skall ha ett val. En registrerad kan vidare enligt personuppgiftslagen inte lämna ett giltigt generellt samtycke till per- sonuppgiftsbehandling som inte är preciserad till något eller några ändamål. Det följer av kravet på att samtycket skall vara särskilt. Att samtycket skall vara otvetydigt anses innebära att det inte får råda någon tvekan om att den registrerade godtar personuppgiftsbehand- lingen. Det är lämpligt att samtycket dokumenteras även om det inte finns något formellt krav på detta. Samtycket skall givetvis före- gås av att patienten får information om vad han eller hon samtyckt

568

SOU 2006:82

Författningskommentar

till. Inget hindrar att ett samtycke lämnas i förväg innan den aktuella patientrelationen har uppstått. Många gånger kan det vara en prak- tisk ordning att patienten redan i samband med att uppgifter om honom eller henne görs tillgängliga i ett sammanhållet journalsystem samtycker till att annan vårdgivare senare får ta del av uppgifterna. Detta är möjligt under förutsättning att samtycket är särskilt och otvetydigt. Ett praktiskt exempel på då samtycke kan lämnas i för- väg är då patienten befinner sig i en vårdprocess som inbegriper flera olika vårdgivare och där patienten skickas runt mellan dessa i ett re- missförfarande. Patientdatalagen innehåller inga särregler för vuxna patienter som tillfälligt eller varaktigt brister i sin beslutsförmåga eller om i vilken utsträckning ungdomar kan lämna samtycke. Se härom författningskommentaren till 2 §.

Av andra stycket framgår att en vårdgivare under vissa förutsätt- ningar får bereda sig tillgång till ospärrade uppgifter i ett samman- hållet journalföringssystem för att utfärda intyg om en patients vård, se avsnitt 11.3.6.

Paragrafen har behandlats i avsnitten 11.3.4–11.3.6. Enligt denna paragraf får en vårdgivare bereda sig tillgång till uppgifter som inte är spärrade även om patientens samtycke inte kan inhämtas, om upp- gifterna kan antas ha betydelse för den vård som patienten oundgäng- ligen behöver. Självfallet skall i första hand patientens samtycke in- hämtas. Det kan emellertid av olika skäl vara omöjligt. Patienten är kanske medvetslös eller alltför medtagen för att kunna ta ställning till frågan. Vidare kan saken brådska så att det inte finns någon tid att inhämta samtycke. Det skall alltså vara sådana och liknande skäl som gör att patientens samtycke inte kan inhämtas. Om de aktuella uppgifterna i en sådan situation kan antas ha betydelse för den vård eller behandling som patienten oundgängligen behöver, får vård- givaren bereda sig tillgång till de ospärrade uppgifterna. Det skall i princip vara fråga om en allvarlig situation, då uppgifterna bedöms vara viktiga för den vård eller behandling som omgående måste sättas in. Det skall alltså av hänsyn till patientsäkerheten inte vara möjligt att avvakta en tid för att patienten skall kunna lämna sitt samtycke. När det gäller innebörden av uttrycket kan antas ha bety-

569

Författningskommentar

SOU 2006:82

delse, se 3 §. Bakgrunden till att denna möjlighet till direktåtkomst utan patientens samtycke finns är att man nog ofta kan anta att en patient som låtit sina uppgifter vara ospärrade skulle gå med på att en vårdgivare tar del av uppgifterna i en situation som den nu beskrivna. Om patienten motsätter sig att vårdgivaren tar del av uppgifterna, får däremot vårdgivaren inte bereda sig tillgång till de ospärrade uppgifterna hur irrationell patientens inställning än bedöms vara. Att så är fallet skall ses som ett utflöde av principen om respekt för patientens självbestämmanderätt, som bl.a. innebär att han eller hon kan vägra att underkasta sig vård eller behandling. Det finns inget undantag motsvarande det som finns i denna paragraf som innebär att en vårdgivare kan få ta del av spärrade uppgifter utan patientens samtycke även om en akut nödsituation skulle föreligga (se av- snitt 11.3.3), jfr dock 7 kap. 1 d § sekretesslagen (1980:100).

5 § En vårdgivare får inte bereda sig tillgång till uppgifter som är tillgäng- liga genom sammanhållen journalföring under andra förutsättningar än dem som anges i 3 och 4 §§ även om patienten uttryckligen samtycker till det.

Paragrafen har behandlats i avsnitt 11.3.6. I 2 kap. 3 § finns ett klar- görande av att även sådan personuppgiftsbehandling som i och för sig inte är tillåten enligt patientdatalagen får utföras, om den enskilde uttryckligen har samtyckt till det och inte annat följer av andra be- stämmelser i patientdatalagen eller av annan lag eller av förordning. I förevarande paragraf föreskrivs ett undantag från denna princip. Enligt undantaget får en vårdgivare inte bereda sig tillgång till upp- gifter som är tillgängliga genom sammanhållen journalföring under andra förutsättningar än de som anges i 3 och 4 §§ även om patienten uttryckligen samtycker till det. Bland annat därför att direktåtkomst är en särskilt integritetskänslig form av elektroniskt utlämnande av personuppgifter, har det ansetts viktigt att den inte används för andra ändamål än de angivna, inte ens med patientens samtycke.

Personuppgiftsansvar vid sammanhållen journalföring

6 § Regeringen får meddela föreskrifter om vem som skall ha person- uppgiftsansvar för övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder vid sammanhållen journalföring.

570

SOU 2006:82

Författningskommentar

Paragrafen har behandlats i avsnitt 11.6.2. Enligt 2 kap. 6 §, den all- männa bestämmelsen i patientdatalagen om personuppgiftsansvar, är en vårdgivare personuppgiftsansvarig för den behandling av per- sonuppgifter som vårdgivaren utför. I landsting och kommuner är enligt den paragrafen en myndighet personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Bestämmel- sen är tillämplig även vid personuppgiftsbehandling vid sammanhål- len journalföring. Regeln innebär bl.a. att den vårdgivare som gör en personuppgift tillgänglig för andra genom att uppgiften dokumen- teras utan att spärras har personuppgiftsansvaret för att det sker på ett lagligt sätt. I ansvaret ingår att patienten i skede 1 ges information om den sammanhållna journalföringen. Personuppgiftsansvaret om- fattar även den fortsatta lagringen och det tillgängliggörande som sker därefter. Den vårdgivare som använder sin direktåtkomst och bereder sig tillgång till andra vårdgivares uppgifter för att söka efter och läsa personuppgifter är personuppgiftsansvarig för den person- uppgiftsbehandling som detta innebär. I denna paragraf ges emellertid regeringen möjlighet att vid behov närmare reglera personuppgifts- ansvaret för övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder. När det gäller sådana frågor torde – lite beroende på organisation och samarbetsformer i det enskilda fallet – regeln i 2 kap. 6 § innebära att ansvaret delas solidariskt mellan de samarbe- tande vårdgivarna. En sådan ordning framstår inte alltid som naturlig. Om exempelvis allas vårddokumentation lagras och behandlas i en gemensam databas som administreras av endast en av vårdgivarna, t.ex. ett landsting – som också i praktiken dikterar villkoren för de andra vårdgivarnas deltagande i systemet – kan det tala för att det aktuella landstinget bör anses ha ett personuppgiftsansvar för över- gripande frågor. Eftersom det vidare inte alltid är helt klart hur det förhåller sig med personuppgiftsansvaret i övergripande frågor vid gränsöverskridande personuppgiftsbehandling, kan det finnas ett behov av en tydlig reglering av personuppgiftsansvaret i dessa frågor. Därför har regeringen bemyndigats att meddela föreskrifter när det gäller personuppgiftsansvaret för övergripande frågor.

Behörighetstilldelning och åtkomstkontroll

7 § Vad som sägs i 4 kap. 2 och 3 §§ gäller även för behörighetstilldel- ning och åtkomstkontroll vid sammanhållen journalföring.

571

Författningskommentar

SOU 2006:82

I denna paragraf, som har behandlats i avsnitt 12.3, finns en hänvis- ning till 4 kap. 2 §, som ålägger en vårdgivare att bestämma villkor för tilldelning av behörighet för elektronisk åtkomst till uppgifter om patienter och till 4 kap. 3 §, som bl.a. ålägger en vårdgivare att genomföra åtgärder som innebär att den elektroniska åtkomsten till sådana uppgifter dokumenteras och kan kontrolleras. Av förevarande paragraf framgår att en vårdgivare har samma skyldigheter när det gäller direktåtkomst till andra vårdgivares patientuppgifter genom sammanhållen journalföring. Angående begreppen direktåtkomst och elektronisk åtkomst se avsnitt 8.7. Socialstyrelsen förutsätts efter samråd med Datainspektionen meddela närmare föreskrifter om be- hörighetstilldelning och åtkomstkontroll även vid sammanhållen journalföring.

Bevarande och gallring

8 § När patientjournaler är tillgängliga för flera vårdgivare genom sam- manhållen journalföring gäller skyldigheten enligt 3 kap. 16 § att bevara en journalhandling endast den vårdgivare som ansvarar för handlingen.

Om en journalhandling eller annan handling är tillgänglig för en myn- dighet endast genom sammanhållen journalföring och myndigheten inte ansvarar för den, får myndigheten gallra den från sitt arkiv.

Paragrafen har behandlats i avsnitt 11.7.4. Grundregeln om beva- rande och gallring av patientjournaler finns i 3 kap. 16 §. Där före- skrivs att en journalhandling skall bevaras minst tre år efter det att den sista uppgiften fördes in i handlingen. I vissa fall får föreskrivas om längre bevarandetid. För journalhandlingar som utgör allmänna handlingar gäller därutöver bl.a. arkivlagen (1990:782). Första stycket innebär att varje vårdgivare som deltar i ett sammanhållet journal- föringssystem ansvarar för bevarandet av de ospärrade journalupp- gifter som vårdgivaren själv gör tillgängliga i det sammanhållna journalföringssystemet. Sådant ansvar åvilar alltså inte en vårdgivare som endast har en potentiell tillgång till dessa uppgifter. Det inne- bär i princip att det är endast en, inte flera, vårdgivare som ansvarar för bevarandet och arkivbildningen av journalhandlingar. Detta gäller även om en vårdgivare bereder sig tillgång till en annan införande vårdgivares journalhandling, så länge inte journalhandlingen ”tankas hem” och lagras av den förstnämnde vårdgivaren. En tanke med den sammanhållna journalföringen är dock att en vårdgivare inte skall

572

SOU 2006:82

Författningskommentar

behöva hämta hem och lagra en annan vårdgivares journalhandlingar. Dubbeldokumentation skall undvikas. Ibland lär det dock för att patientsäkerheten skall tillgodoses vara nödvändigt att göra detta. En sådan åtgärd innebär att vårdgivaren framställer en ny handling. Bevarandet och hanteringen av den nya handlingen följer samma regler som gäller för övriga journalhandlingar som har sitt ursprung i den egna verksamheten.

Enligt andra stycket får en myndighet gallra journalhandlingar och andra handlingar som är tillgängliga för myndigheten endast genom direktåtkomst vid sammanhållen journalföring. Denna gallringsregel behövs bl.a. för att inte någon av de i en sammanhållen journal- föring deltagande myndigheterna skall bli arkivansvarig för privata vårdgivares journalhandlingar eller andra handlingar som myndig- heten potentiellt sett har tillgång till (jfr 3 § första stycket arkiv- lagen [1990:782]).

7 kap. Nationella och regionala kvalitetsregister

Inledande bestämmelse

1 § Bestämmelserna i detta kapitel gäller för nationella och regionala kvalitetsregister i vilka personuppgifter samlas in från flera vårdgivare och vilka möjliggör jämförelser inom hälso- och sjukvården på nationell eller regional nivå. Med kvalitetsregister avses en automatiserad och struktu- rerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet.

I patientdatalagen finns vissa särbestämmelser som bara gäller för nationella och regionala kvalitetsregister. Dessa register och verk- samheten knuten till dem har utförligt behandlats i avsnitt 16. I para- grafen definieras kvalitetsregister som en automatiserad och struktu- rerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. I patientdatalagen används alltså registerbegreppet för att beskriva här aktuella uppgiftssamlingar. Inom hälso- och sjukvården förs kva- litetsregister på olika nivåer. De kan föras lokalt av en vårdgivare men också gemensamt av flera vårdgivare. Särbestämmelserna, som finns intagna i detta kapitel, är bara tillämpliga på nationella och regionala kvalitetsregister. Med ett nationellt eller ett regionalt kvalitetsregister avses ett kvalitetsregister som gör det möjligt att jämföra vården på

573

Författningskommentar

SOU 2006:82

nationell eller regional nivå. I sådana register samlas personuppgifter och annan information som rapporteras till registret från flera vård- givare inom ett landsting (exempelvis landstinget och de privata vård- givarna i landstinget), inom en eller flera av landets sex sjukvårds- regioner eller i hela landet. Utmärkande för dessa register är att de sammanställda uppgifterna kan användas för att på olika nivåer öka vårdens kvalitet genom jämförelser mellan olika vårdgivare. Sär- bestämmelserna i detta kapitel skall tillämpas på alla nationella och regionala kvalitetsregister. Det saknar således betydelse om statligt bidrag utgår till stöd för driften av registret. När det gäller sekretess- frågor som uppstår i samband med överföring av uppgifter i kvalitets- registerrapporteringen, se 7 kap. 1 d § första stycket sekretesslagen (1980:100) och avsnitt 16.5.1. De lokala kvalitetsregistren omfattas alltså inte av särbestämmelserna i detta kapitel. De regleras av patient- datalagens allmänna bestämmelser, se bl.a. 2 kap. 4 § 4. I system där den elektroniska journalföringen är integrerad med kvalitetsregister- rapporteringen är patientdatalagens bestämmelser om journalföring och annan vårddokumentation tillämpliga på den personuppgiftsbe- handling som sker på den lokala vårdinrättningen för vårddokumen- tationsändamål medan särbestämmelserna för nationella och regionala kvalitetsregister är tillämpliga i fråga om den del av hanteringen som utgör eller syftar till central hantering, bearbetning, lagring m.m. i kvalitetsregistret. Den närmare innebörden av ändamålet att systema- tiskt och fortlöpande utveckla och säkra vårdens kvalitet framgår av författningskommentaren till 4 §.

Den enskildes inställning till behandling i kvalitetsregister

2 § Personuppgifter får inte behandlas i ett nationellt eller regionalt kva- litetsregister, om den enskilde motsätter sig det.

Om den enskilde motsätter sig personuppgiftsbehandlingen sedan den påbörjats, skall uppgifterna utplånas ur registret så snart det kan ske.

Paragrafen har behandlats i avsnitt 16.4.5. Av första stycket framgår att en enskild har rätt att slippa bli registrerad i ett nationellt eller regionalt kvalitetsregister. I lagen uppställs inget krav på något sam- tycke från den enskilde i den mening som avses i personuppgifts- lagen (1998:204) som förutsättning för personuppgiftsbehandling i ett nationellt eller regionalt kvalitetsregister. I stället ges den enskil- de en möjlighet att motsätta sig personuppgiftsbehandlingen. Det är

574

SOU 2006:82

Författningskommentar

en ordning som i praktiken innebär att tyst samtycke räcker för per- sonuppgiftsbehandling i ett kvalitetsregister. Inget hindrar naturligtvis en vårdgivare från att tillämpa en ordning där samtycke inhämtas. I många fall är det i hög grad lämpligt att det görs. Den enskilde skall som huvudregel före personuppgiftsbehandlingen informeras om rätten att motsätta sig den, se 3 §.

Av andra stycket följer att uppgifterna i registret skall utplånas, om den enskilde motsätter sig personuppgiftsbehandlingen sedan den påbörjats. Syftet med att uppgifterna skall utplånas är att den enskildes rätt att motsätta sig personuppgiftsbehandlingen annars riskerar att bli rent illusorisk med hänsyn till att personuppgiftsbe- handlingen kan komma att påbörjas redan innan den enskilde infor- merats om registret (se 3 § andra stycket). Att uppgifterna skall ut- plånas innebär att de skall förstöras så att de inte kan återskapas (se 28 § personuppgiftslagen). Det räcker således inte med att överföra den elektroniska informationen till pappershandlingar.

Information

3 § Innan personuppgifter behandlas i ett nationellt eller regionalt kvali- tetsregister skall den som är personuppgiftsansvarig se till att den enskilde, utöver den information som skall lämnas enligt 8 kap. 5 §, får information om

1.rätten att när som helst få uppgifter om sig själv utplånade ur registret,

2.i vilken utsträckning personuppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal, och

3.vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till.

Om det inte är möjligt att lämna informationen innan personuppgifts- behandlingen påbörjas, skall den lämnas så snart det kan ske.

Paragrafen har behandlats i avsnitt 16.4.6. Av första stycket framgår att den enskilde skall informeras om personuppgiftsbehandlingen i ett nationellt eller regionalt kvalitetsregister. Det är den personupp- giftsansvarige som skall se till att informationen lämnas. Vem som faktiskt skall lämna informationen regleras inte i lagen. Informa- tionsskyldigheten följer av patientdatalagens allmänna bestämmelser i 8 kap. 5 § om information som skall lämnas den enskilde. Infor- mationen skall lämnas innan personuppgiftsbehandlingen påbörjas. Som framgår av andra stycket kan dock informationen lämnas efter

575

Författningskommentar

SOU 2006:82

det att personuppgiftsbehandlingen har påbörjats, om det inte är möjligt att lämna den tidigare. I paragrafen föreskrivs att informa- tionen skall ha det innehåll som framgår av 8 kap. 5 §. Därutöver skall den enskilde upplysas om hans eller hennes rätt att när som helst få uppgifter om sig själv utplånade ur registret. Denna rätt innefattar bl.a. en rätt att motsätta sig behandlingen även sedan den har påbörjats (2 §). Vidare skall den enskilde upplysas om i vilken ut- sträckning personuppgiftsbehandlingen avser uppgifter inhämtade från annan källa än den enskilde själv eller hans eller hennes patient- journal, t.ex. om uppgifter inhämtas genom samkörning med andra register. Den enskilde skall också upplysas om huruvida och i så fall till vilka kategorier av mottagare personuppgifter kan komma att lämnas ut, t.ex. att det kan bli aktuellt att uppgifterna lämnas ut för forskningsändamål. Det finns inga föreskrifter om hur informationen skall lämnas. Det har överlåtits åt varje personuppgiftsansvarig att bestämma. Det är förutsatt att varje personuppgiftsansvarig utarbetar rutiner för hur informationsskyldigheten skall fullgöras. Det åligger också den personuppgiftsansvarige att tillse att informationen är utformad på ett sätt som kan förstås av den enskilde. När det gäller patienter som inte talar svenska bör den personuppgiftsansvarige se till att någon översätter informationen eller att det finns skriftliga informationsblanketter på flera språk.

Av andra stycket framgår att personuppgiftsbehandlingen kan på- börjas, om det inte är möjligt att lämna informationen dessförinnan. Det kan vara omöjligt att lämna information på grund av patientens hälsotillstånd. I sådana situationer skall informationen lämnas så snart det kan ske.

Kvalitetsregisters ändamål

4 § I stället för vad som anges i 2 kap. 4 och 5 §§ gäller att personupp- gifter i nationella och regionala kvalitetsregister får behandlas för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet.

Av paragrafen, som har behandlats i avsnitt 16.4.2, framgår till en början att ändamålsbestämmelserna 2 kap. 4 och 5 §§ inte är tillämp- liga vid personuppgiftsbehandling i nationella och regionala kvali- tetsregister. I 31 § hälso- och sjukvårdslagen (1982:763) föreskrivs att kvaliteten inom verksamheten systematiskt och fortlöpande skall utvecklas och säkras. Motsvarande bestämmelser om kvalitetssäkring

576

SOU 2006:82

Författningskommentar

finns även i tandvårdslagen (1985:125). En speciell form av kvali- tetssäkringsarbete är den som är knuten till kvalitetsregisterverk- samheten. I denna paragraf slås fast att personuppgifter får behandlas i nationella och regionala kvalitetsregister för ändamålet att syste- matiskt och fortlöpande utveckla och säkra vårdens kvalitet. Det ändamål som anges i paragrafen är det primära ändamålet med de nationella och regionala kvalitetsregistren. Ändamålet anger en yttersta ram för när personuppgifter får samlas in och fortsättningsvis behand- las i nationella och regionala kvalitetsregister. Eftersom det primära ändamålet är tämligen generellt utformat, är det förutsatt att det i sin tur bryts ner i mer preciserade ändamål. Att så sker är nödvän- digt för att personuppgiftslagens (1998:204) krav på att ett ändamål skall vara särskilt uppfylls. Det primära ändamålet är bestämmande för vilka personuppgifter som över huvud taget får behandlas i natio- nella och regionala kvalitetsregister (8 §). Av 5 § framgår att insamlade personuppgifter får behandlas också för vissa andra, efterkommande ändamål.

5 § Personuppgifter som behandlas för ändamål som anges i 4 § får också behandlas för

1.framställning av statistik,

2.forskning inom hälso- och sjukvårdsområdet,

3.utlämnande till den som skall använda uppgifterna för ändamål som anges i 4 § eller 1 och 2, och

4.fullgörande av annan uppgiftsskyldighet som följer av lag eller för- ordning än den enligt 15 kap. 5 § sekretesslagen (1980:100).

I paragrafen, som har behandlats i avsnitt 16.4.2, anges att person- uppgifter i nationella och regionala kvalitetsregister som har samlats in för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet också får behandlas för vissa andra, sekundära ändamål. Dessa sekundära ändamål är framställning av sådan statistik rörande hälso- och sjukvård som inte är en del av kvalitetssäkringsarbetet, forsk- ning inom hälso- och sjukvårdsområdet, utlämnande till tredje man samt fullgörande av viss uppgiftsskyldighet.

Med statistik avses här sådan statistik som skall användas för andra ändamål än att förbättra vårdens kvalitet. Det kan röra sig om sta- tistik som framställs för att ge särskilt underlag åt politiker och administratörer för planering av verksamheten inom hälso- och sjuk- vården eller för att informera allmänheten om verksamheten. Om statistiken syftar till kvalitetssäkring, exempelvis återrapporteringar

577

Författningskommentar

SOU 2006:82

som framställs i kvalitetssäkringsarbetet, omfattas det av det primära ändamålet kvalitetssäkring. Det sekundära ändamålet forskning med- ger att personuppgifter, som har samlats in för kvalitetssäkringsarbete, också får användas i forskning inom hälso- och sjukvårdsområdet. Till forskning är också att hänföra epidemiologiska studier. Att det i paragrafen talas om hälso- och sjukvårdsområdet innebär att forsk- ningen kan avse även sådana frågor som inte uteslutande tar sikte på medicinsk forskning. Till hälso- och sjukvårdsområdet hör också exempelvis hälsoekonomiska frågor. Ändamålet forskning i para- grafen utgör inget undantag från lagen (2003:460) om etikprövning av forskning som avser människor och den lagens krav på etikpröv- ning. Utlämnande till tredje man får förekomma bara om motta- garen av uppgifterna skall använda dem för att själv systematiskt och fortlöpande utveckla och säkra vårdens kvalitet, framställa statistik eller bedriva forskning inom hälso- och sjukvårdsområdet. Fullgö- rande av uppgiftsskyldighet kan avse uppgiftsskyldighet enligt 14 kap. 1 § sekretesslagen (1980:100) eller 2 kap. 8 och 9 §§ lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Däremot utgör utlämnande med stöd av 15 kap. 5 § sekretesslagen inget sekun- därt ändamål. Skälet härtill är att det är svårt att överblicka vilket uppgiftsutlämnande som en tillämpning av 15 kap. 5 § sekretesslagen kan leda till. Utlämnande kan alltid ske enligt 2 kap. tryckfrihets- förordningen, se 8 § personuppgiftslagen (1998:204).

6 § Personuppgifter i nationella och regionala kvalitetsregister får inte behandlas för några andra ändamål än dem som anges i 4 och 5 §§.

Paragrafen har behandlats avsnitt 16.4.2. Av paragrafen framgår att de ändamål för vilka personuppgifter i ett nationellt eller regionalt kvalitetsregister får behandlas enligt 4 och 5 §§ är uttömmande. Det är av hänsyn till enskildas personliga integritet som inga andra ändamål är tillåtna. Detta innebär bl.a. att personuppgifter som redan har samlats in för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet i ett visst avseende inte får behandlas för något annat ändamål, även om det nya ändamålet i och för sig inte kan an- ses som oförenligt med det ursprungliga, jfr 9 § första stycket d per- sonuppgiftslagen (1998:204). Dock kan med den enskildes uttryck- liga samtycke personuppgifter om honom eller henne behandlas för något annat ändamål än för vilka de har samlats in, se 2 kap. 3 §. Para- grafen hindrar inte att personuppgifter i ett nationellt eller regionalt kvalitetsregister behandlas för exempelvis administrativ intern tillsyn,

578

SOU 2006:82

Författningskommentar

kontroll och uppföljning av registren (jfr prop. 2004/05:164 om Tull- verkets brottsbekämpning Effektivare uppgiftsbehandling, s. 178).

Personuppgiftsansvar

7 § Endast myndigheter inom hälso- och sjukvården får vara personupp- giftsansvariga för central organisering, lagring, bearbetning eller annan central behandling av personuppgifter i ett nationellt eller regionalt kva- litetsregister.

Regeringen, eller den myndighet som regeringen bestämmer, får medge undantag från första stycket.

I 2 kap. 6 § finns allmänna bestämmelser om personuppgiftsansvar.

Paragrafen har behandlats i avsnitt 16.4.3. Enligt den grundläggande bestämmelsen i 2 kap. 6 § om personuppgiftsansvar vid behandling av personuppgifter enligt patientdatalagen är varje vårdgivare person- uppgiftsansvarig för den behandling av personuppgifter som den ut- för. I landsting och kommuner är dock en myndighet personuppgifts- ansvarig för den behandling av personuppgifter som myndigheten utför. Den bestämmelsen gäller i och för sig även personuppgifts- behandling i nationella och regionala kvalitetsregister. I första stycket finns dock en särreglering av personuppgiftsansvaret för nationella och regionala kvalitetsregister. Regleringen innebär att för sådan personuppgiftsbehandling i nationella och regionala kvalitetsregister som sker på central nivå skall bara myndigheter få vara person- uppgiftsansvariga. Den personuppgiftsbehandling som avses enligt paragrafen är central organisering, lagring, bearbetning eller annan central behandling. Personuppgiftsansvaret för administration och hantering av personuppgifter på central registernivå kan således inte ligga på någon enskild, exempelvis en speciallistförening, se dock andra stycket. När det gäller annan personuppgiftsbehandling som vårdgivare utför i nationella och regionala kvalitetsregister – exem- pelvis insamling och rapportering – skall dock huvudregeln tillämpas, dvs. varje vårdgivare ansvarar för sin personuppgiftsbehandling.

I andra stycket finns ett undantag från huvudregeln i första stycket enligt vilket regeringen får medge undantag från huvudregeln. Huvud- regeln och regeringens möjlighet att medge undantag från den har tillkommit av det skälet att det framstår som mindre lämpligt att stora samlingar av typiskt sett integritetskänsliga personuppgifter samlas

579

Författningskommentar

SOU 2006:82

i enskild verksamhet utan att förutsättningarna för detta närmare övervägs i varje särskilt fall.

I tredje stycket finns en hänvisning till den grundläggande bestäm- melsen om personuppgiftsansvar vid behandling av personuppgifter enligt patientdatalagen.

Personuppgifter som får behandlas

8 § Endast sådana personuppgifter som behövs för ändamål som anges i 4 § får behandlas i ett nationellt eller regionalt kvalitetsregister.

En enskilds personnummer eller namn får behandlas i ett nationellt eller regionalt kvalitetsregister endast om det inte är tillräckligt för ändamål som anges i 4 § att använda kodade personuppgifter eller personuppgifter som endast indirekt kan hänföras till den enskilde.

Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) och som inte rör hälsa samt uppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får behandlas endast om regeringen, eller den myndighet som regeringen bestämmer, i enskilda fall medger det.

Paragrafen har behandlats i avsnitt 16.4.4. I första stycket föreskrivs att det bara är sådana uppgifter som får behandlas som behövs för det primära ändamålet att i nationella och regionala kvalitetsregister systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Någon närmare precisering än så finns alltså inte när det gäller vilka uppgifter som får tas in i ett nationellt eller regionalt kvalitetsre- gister (se dock andra och tredje styckena). Att endast uppgifter som behövs för det primära ändamålet får behandlas innebär att person- uppgifter som inte direkt behövs för detta ändamål utan enbart skulle vara bra att ha i exempelvis framtida forskningsprojekt inte får samlas in och vidare behandlas.

Enligt andra stycket får en enskilds personnummer eller namn behandlas i ett nationellt eller regionalt kvalitetsregister endast om det för ändamålet med behandlingen inte är tillräckligt att behandla kodade personuppgifter eller personuppgifter som endast indirekt utpekar den enskilde. Paragrafen utgår alltså från förutsättningen att kvalitetsregister i första hand skall bygga på användningen av kodade personuppgifter eller indirekt utpekande personuppgifter (t.ex. ålder, kön och hemort i kombination med sjukdomsrelaterade uppgifter) i stället för direkt utpekande personuppgifter. Exempel på då behandling av personnummer kan vara tillåten är att register-

580

SOU 2006:82

Författningskommentar

uppgifterna skall samköras med andra register för kvalitetssäkrings- ändamål. Ett annat skäl kan vara att patienter skall följas upp över lång tid.

I tredje stycket föreskrivs att känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) och som inte rör hälsa samt personuppgifter om lagöverträdelser m.m. som avses i 21 § person- uppgiftslagen får behandlas endast om regeringen, eller den myndighet som regeringen bestämmer, för särskilt fall har medgett detta. Med känsliga personuppgifter avses enligt 13 § personuppgiftslagen upp- gifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Enligt den sistnämnda paragrafen är även personuppgifter som rör hälsa eller sexualliv känsliga personuppgifter. Uppgifter som rör hälsa får alltså behandlas i nationella och regionala kvalitetsregister, medan behand- ling av övriga känsliga personuppgifter måste tillåtas av regeringen eller den myndighet som regeringen bestämmer. Det är förutsatt att det blir Datainspektionen som, efter samråd med Socialstyrelsen, kommer att pröva dessa frågor. Av bestämmelserna i 2 kap. 3 §, som reglerar verkan av den enskilde registrerades uttryckliga samtycke, följer emellertid att andra känsliga personuppgifter än sådana som rör hälsa kan behandlas i ett kvalitetsregister utan stöd i förordning, om den enskilde uttryckligen samtycker till detta. Det är viktigt att det av informationen till den enskilde i ett sådant fall klart framgår att ett uttryckligt samtycke omfattar just dessa slags personupp- gifter.

Utlämnande genom direktåtkomst

9 § En vårdgivare får ha direktåtkomst till de uppgifter i ett nationellt eller regionalt kvalitetsregister som vårdgivaren lämnat till registret.

Paragrafen, som har behandlats i avsnitt 16.4.7, ger en vårdgivare rätt att ha direktåtkomst till sådana personuppgifter i ett kvalitetsregister som vårdgivaren tidigare har rapporterat in till registret. Angående innebörden av begreppet direktåtkomst, se avsnitt 8.7. Tanken med direktåtkomsten är att den skall kunna användas av den inrappor- terande vårdgivaren för att göra t.ex. lokala uppföljningar av den egna verksamheten. Paragrafen behövs med hänsyn till föreskriften i 5 kap. 4 § att direktåtkomst är tillåten endast i den utsträckning

581

Författningskommentar

SOU 2006:82

som anges i lag eller förordning. Här anges således ett fall då direkt- åtkomst är tillåten.

Bevarande och gallring

10 § Personuppgifter i ett nationellt eller regionalt kvalitetsregister skall gallras när de inte längre behövs för det ändamål som anges i 4 §.

En arkivmyndighet inom ett landsting eller en kommun får dock före- skriva att personuppgifter i ett nationellt eller regionalt kvalitetsregister som förs inom landstinget eller kommunen får bevaras för historiska, sta- tistiska eller vetenskapliga ändamål.

Om regeringen meddelat föreskrifter enligt 7 § andra stycket, får den också föreskriva att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Paragrafen har behandlats i avsnitt 16.4.8. Enligt första stycket skall personuppgifter i ett nationellt eller regionalt kvalitetsregister gallras när de inte längre behövs för ändamålet att systematiskt och fort- löpande utveckla och säkra vårdens kvalitet. Kravet på gallring är uppfyllt om personuppgifterna avidentifieras så att de inte längre kan knytas till den enskilde. Handlar det om kodade uppgifter, kan det räcka med att kodnyckeln förstörs. Det får dock inte vara möjligt att med s.k. bakvägsidentifikation identifiera individerna. Informa- tionen får inte heller på annat sätt indirekt kunna hänföras till en individ. Även i kvalitetsregister som förs fortlöpande och fylls på med nya personuppgifter, skall gallring regelbundet ske av äldre uppgifter så snart de inte längre behövs för verksamheten.

I andra stycket finns ett undantag från huvudregeln i första stycket om gallring. Enligt undantaget får arkivmyndigheten i det landsting eller den kommun till vilken den personuppgiftsansvariga myndig- heten hör meddela föreskrifter om att personuppgifterna trots allt får bevaras under längre tid, om det sker för historiska, statistiska eller vetenskapliga syften.

Av tredje stycket framgår att regeringen kan meddela undantag från huvudregeln om gallring samtidigt som regeringen med stöd av 8 § andra stycket föreskriver att en enskild skall få vara personupp- giftsansvarig för den personuppgiftsbehandling som sker på central nivå.

582

SOU 2006:82

Författningskommentar

8 kap. Rättigheter för den enskilde

Rätt att ta del av uppgifter

1 § Att en myndighet inom allmän hälso- och sjukvård under vissa förut- sättningar är skyldig att lämna ut journalhandlingar och andra handlingar och uppgifter till en patient, framgår av tryckfrihetsförordningen och sek- retesslagen (1980:100).

Paragrafen innehåller en erinran om den enskildes rätt att ta del av allmänna handlingar hos den allmänna hälso- och sjukvården och begränsningarna i denna rätt. En begäran om att få del av en allmän handling kan exempelvis aktualiseras om en patient begär att få en utskrift av en logglista enligt 2 kap. 13 § tryckfrihetsförordningen. Någon motsvarande rätt har inte patienter att få logglistor från den enskilda hälso- och sjukvården. I 4 § finns dock en bestämmelse som är tillämplig på både den allmänna och enskilda hälso- och sjuk- vården och som ålägger vårdgivare att lämna patienter information om den direktåtkomst och elektroniska åtkomst som förekommit till uppgifter om patienten.

2 § En journalhandling inom enskild hälso- och sjukvård skall på begä- ran av patienten så snart som möjligt tillhandahållas honom eller henne för läsning eller avskrivning på stället eller i avskrift eller kopia, om inte annat följer av 2 kap. 8 § andra stycket eller 9 § första stycket lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.

Frågor om utlämnande av en journalhandling enligt första stycket prövas av den som är ansvarig för journalhandlingen. Anser denne att journal- handlingen eller någon del av den inte bör lämnas ut, skall han eller hon genast med eget yttrande överlämna frågan till Socialstyrelsen för prövning.

I fråga om överklagande av Socialstyrelsens beslut enligt andra stycket gäller i tillämpliga delar bestämmelserna i 15 kap. 7 § sekretesslagen (1980:100).

Paragrafen överensstämmer med 16 § första, tredje och fjärde stycke- na patientjournallagen (1985:562). I 4 kap. 4 a och 6 a §§ lagen (2002:297) om biobanker i hälso- och sjukvården m.m. finns bestäm- melser om utlämnande av en journalhandling på begäran av den som fått tillgång till kodat humanbiologiskt material.

583

Författningskommentar

SOU 2006:82

Förstörande av patientjournal

3 § På ansökan av patienten eller någon annan som omnämns i en patient- journal får Socialstyrelsen förordna att journalen helt eller delvis skall för- störas. Förutsättningarna för detta är att

–godtagbara skäl anförs för ansökan,

–patientjournalen eller den del därav som ansökan avser uppenbarligen inte behövs för patientens vård, och

–det från allmän synpunkt uppenbarligen inte finns skäl att bevara jour- nalen.

Innan ansökan slutligt prövas, skall den som ansvarar för en journalhand- ling som omfattas av ansökan beredas tillfälle att yttra sig.

Om Socialstyrelsen har avslagit en ansökan om förstöring av en patient- journal, får beslutet överklagas hos allmän förvaltningsdomstol. Om Social- styrelsens beslut innebär bifall till en sådan ansökan, får beslutet inte överklagas.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Paragrafen har behandlats i avsnitt 10.4.8. Den överensstämmer med 17 § patientjournallagen (1985:562). Att den som ansvarar för jour- nalhandlingen skall beredas tillfälle att yttra sig innan ansökan slutligt prövas innebär inget krav på att andra vårdgivare som är anslutna till ett system för sammanhållen journalföring skall få tillfälle att yttra sig.

Information

4 § En vårdgivare skall på begäran av en patient lämna information om den direktåtkomst och elektroniska åtkomst som förekommit till uppgifter om patienten.

Regeringen, eller den myndighet som regeringen bestämmer, får meddela närmare föreskrifter om den information som skall ges till patienten.

Paragrafen, som har behandlats i avsnitt 12.4, föreskriver i första stycket att en patient har rätt att få information om den direktåtkomst och elektroniska åtkomst som förekommit till patientens uppgifter. Med begreppet direktåtkomst avses i patientdatalagen en speciell form av elektroniskt utlämnande till en mottagare utanför vårdgivarens orga- nisation. Begreppet elektronisk åtkomst syftar på personalens möj- ligheter att elektroniskt bereda sig tillgång till personuppgifter som

584

SOU 2006:82

Författningskommentar

finns tillgängliga inom en vårdgivares organisation, se avsnitt 8.7.3. Paragrafen är tillämplig på både den allmänna och enskilda hälso- och sjukvården. Skyldigheten att lämna information är mer långtgå- ende än den skyldighet som den allmänna hälso- och sjukvården har enligt tryckfrihetsförordningen att lämna ut allmänna handlingar och 15 kap. 4 § sekretesslagen (1980:100) att lämna uppgifter ur all- männa handlingar. Avsikten är att informationen skall vara tillrättalagd och klargörande för den enskilde i syfte att han eller hon enkelt skall kunna tillgodogöra sig den. Den information som lämnas måste alltså vara begriplig och vägledande för patienten när han eller hon själv skall bilda sig en uppfattning om huruvida åtkomsten varit befogad eller inte. Det bör t.ex. tydligt framgå när och från vilken enhet inom hälso- och sjukvården en slagning har skett. Vid sam- manhållen journalföring bör vidare varje vårdgivare kunna redovisa vilken åtkomst till den egna verksamhetens journaluppgifter som har förekommit från andra vårdgivare. Även dessa andra mottagande vårdgivare bör kunna redovisa när direktåtkomsten har använts. Hur informationen närmare skall utformas framgår dock inte av lagen. Den frågan har överlämnats till regeringen, eller den myndighet som regeringen bestämmer, se andra stycket. Någon rätt för patienten att överklaga ett beslut med anledning av patientens begäran om information finns inte.

Enligt andra stycket får regeringen, eller den myndighet som rege- ringen bestämmer, meddela närmare föreskrifter om den informa- tion som skall ges till patienten. Det är tänkt att Socialstyrelsen efter samråd med Datainspektionen skall meddela dessa föreskrifter.

5 § Den som är personuppgiftsansvarig enligt denna lag skall se till att den registrerade får information om personuppgiftsbehandlingen.

Informationen skall innehålla upplysningar om

1.vem som är personuppgiftsansvarig,

2.ändamålet med behandlingen,

3.vilka kategorier av uppgifter som behandlas,

4.den uppgiftsskyldighet som kan följa av lag eller förordning,

5.de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen,

6.rätten enligt 4 kap. 4 § att i vissa fall begära att uppgifter spärras,

7.rätten enligt 4 § att få information om den direktåtkomst och elek- troniska åtkomst som förekommit,

8.rätten att ta del av uppgifter enligt 26 § personuppgiftslagen (1998:204),

585

Författningskommentar

SOU 2006:82

9.rätten enligt 28 § personuppgiftslagen till rättelse av oriktiga eller miss- visande uppgifter,

10.rätten enligt 48 § personuppgiftslagen till skadestånd vid behandling av personuppgifter i strid mot denna lag,

11.vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnan- de av uppgifter på medium för automatiserad behandling,

12.vad som gäller i fråga om bevarande och gallring, samt

13.huruvida personuppgiftsbehandlingen är frivillig eller inte.

I 6 kap. 2 § och 7 kap. 3 § finns ytterligare bestämmelser om vilken in- formation som skall lämnas i vissa fall.

Paragrafen har behandlats i avsnitt 18.1. Första och andra styckena överensstämmer till stora delar med 11 § lagen (1998:544) om vård- register. Vissa tillägg har dock gjorts. I punkten 4 nämns den upp- giftsskyldighet som kan följa av lag eller förordning, inte bara upp- giftsskyldighet som följer av lagen (1998:543) om hälsodataregister. Skälet härtill är att det finns en mängd andra föreskrifter som föreskriver uppgiftsskyldighet, se exempel härpå i författningskom- mentaren till 2 kap. 4 och 5 §§. Av informationen skall framgå vilka föreskrifter om uppgiftsskyldighet som kan bli aktuella. Det räcker således inte att allmänt informera om att uppgiftsskyldighet före- kommer. Punkten 6, rätten enligt 4 kap. 4 § att i vissa fall begära att uppgifter spärras och punkten 7 rätten enligt 4 § att få information om den direktåtkomst och elektroniska åtkomst som förekommit, är nya.

I tredje stycket hänvisas till andra bestämmelser i patientdatalagen som föreskriver att information skall lämnas. Enligt 6 kap. 2 § skall en patient informeras om vad sammanhållen journalföring innebär och om att patienten kan motsätta sig den. I 7 kap. 3 § föreskrivs att den enskilde skall, utöver vad som sägs i första stycket, få viss informa- tion innan personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister.

Rättelse

6 § Vid sådan behandling av personuppgifter som avses i 1 kap. 4 § gäller bestämmelserna om rättelse i 28 § personuppgiftslagen (1998:204). Detta gäller dock inte om åtgärderna skulle strida mot bestämmelserna i 3 kap. 13 §.

586

SOU 2006:82

Författningskommentar

Paragrafen har behandlats i avsnitt 18.2.1. Den överensstämmer i sak med 13 § lagen (1998:544) om vårdregister. Den är tillämplig vid så- dan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kri- terier. Personuppgiftslagens (1998:204) bestämmelser om rättelse gäller enbart vid rättelse av personuppgifter som inte har behandlats i enlighet med personuppgiftslagen. Genom denna paragraf görs be- stämmelserna i personuppgiftslagen tillämpliga även då uppgifter be- handlats i strid mot patientdatalagen. En rättelse får dock inte strida mot 3 kap. 13 §. Där föreskrivs bl.a. att uppgifter i en journalhand- ling inte får utplånas eller göras oläsliga i andra fall än då Social- styrelsen beslutar att en patientjournal helt eller delvis skall förstöras. I 9 § första stycket h personuppgiftslagen finns en bestämmelse om att den personuppgiftsansvarige på eget initiativ skall vidta alla rimliga åtgärder för att bl.a. rätta sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Inte heller en sådan rättelse får strida mot bestämmelserna i 3 kap. 13 §.

Skadestånd

7 § Vid sådan behandling av personuppgifter som avses i 1 kap. 4 § gäller bestämmelserna om skadestånd i 48 § personuppgiftslagen (1998:204).

Paragrafen har behandlats i avsnitt 18.2.2. Den överensstämmer i sak med 14 § lagen (1998:544) om vårdregister. Den är tillämplig vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Personuppgiftslagens (1998:204) bestämmelser om skade- stånd gäller enbart vid överträdelser av den lagen. Genom denna para- graf görs bestämmelserna tillämpliga även då uppgifter behandlas i strid mot patientdatalagen. Som framgår av 2 kap. 6 § är det i lands- ting och kommuner en myndighet som är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Talan om eventuellt skadestånd skall dock väckas mot den juridiska perso- nen, dvs. landstinget eller kommunen. Om bestämmelser som avser

587

Författningskommentar

SOU 2006:82

verksamhetsregleringen i patientdatalagen inte följs, kan skadestånds- skyldighet uppstå till följd av reglerna i skadeståndslagen (1972:207). Ett exempel härpå kan vara att någon anteckning inte görs om att en patient anser att en uppgift rörande honom eller henne i en journal är oriktig eller missvisande, se 3 kap. 7 §.

Andra rättigheter enligt denna lag

8 § I denna lag finns föreskrifter om andra rättigheter för den enskilde i 3 kap. 7 §, 4 kap. 4 §, 6 kap. 2 § samt 7 kap. 2 och 3 §§.

I 8 kap. finns bestämmelser som erinrar och föreskriver om rättig- heter av olika slag för den enskilde. I denna paragraf erinras om andra föreskrifter i patientdatalagen som innebär rättigheter för den enskilde. Enligt 3 kap. 7 § skall anteckning göras i en patientjournal, om patienten anser att en uppgift i journalen är oriktig. Av 4 kap. 4 § framgår att en patient har rätt att begära att vårddokumentation spärras från elektronisk åtkomst för andra vårdenheter alternativt vårdprocesser utanför den till vilken uppgifterna hör. I 6 kap. 2 § föreskrivs att en patient har möjlighet att motsätta sig att uppgifter om honom eller henne görs tillgängliga för andra vårdgivare i ett sammanhållet journalföringssystem och att patienten innan uppgif- terna om honom eller henne görs tillgängliga för andra vårdgivare skall informeras om vad sammanhållen journalföring innebär och om att patienten kan motsätta sig den. Bestämmelserna i 7 kap. 2 och 3 §§ innebär att en enskild har rätt att slippa bli registrerad i ett nationellt eller regionalt kvalitetsregister och att den enskilde skall informeras innan personuppgifter behandlas i ett nationellt eller regio- nalt kvalitetsregister.

9 kap. Omhändertagande och återlämnande av patientjournal

Förutsättningar för omhändertagande

1 § Om det på sannolika skäl kan antas att patientjournaler inom enskild hälso- och sjukvård inte kommer att handhas enligt föreskrifterna i denna lag eller enligt föreskrifter som meddelats med stöd av lagen, får Social- styrelsen besluta att de skall tas om hand.

Socialstyrelsen får också besluta om omhändertagande av patientjour- naler inom enskild hälso- och sjukvård, om

588

SOU 2006:82

Författningskommentar

–den som ansvarar för hanteringen av journalerna ansöker om det, och

–det finns ett påtagligt behov av att journalerna tas om hand.

Förutsättningar för återlämnande

2 § En omhändertagen patientjournal skall återlämnas, om det är möjligt och det inte finns skäl för omhändertagande enligt 1 §. Beslut i fråga om återlämnande meddelas av Socialstyrelsen efter ansökan av den som vid beslutet om omhändertagande ansvarade för hanteringen av journalen.

Ansvaret för omhändertagna journaler

3 § Patientjournaler som omhändertagits enligt 1 § skall förvaras avskilda hos arkivmyndigheten i det landsting eller, i fråga om kommun som inte tillhör något landsting, den kommun där journalerna finns. Socialstyrelsen skall i varje beslut om omhändertagande ange hos vilken arkivmyndighet journalerna skall förvaras.

Bevarande av omhändertagna journaler

4 § Omhändertagna journalhandlingar skall bevaras minst tio år från det att de kom in till arkivmyndigheten.

Verkställighet av beslut om omhändertagande

5 § Ett beslut om omhändertagande av patientjournaler får verkställas även om det inte vunnit laga kraft, om inte något annat föreskrivits i beslutet.

Polismyndigheten skall lämna den hjälp som behövs för att verkställa ett beslut om omhändertagande av patientjournaler.

Överklagande

6 § Socialstyrelsens beslut i fråga om omhändertagande eller återlämnan- de av patientjournaler får överklagas hos allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

589

Författningskommentar

SOU 2006:82

Detta kapitel motsvarar 11–14 §§ patientjournallagen (1985:562). Bestämmelserna är tillämpliga på både manuella och elektroniska journalhandlingar. Ord som omhändertagande, handha och förvaras har behållits i lagtexten, även om de kanske närmast leder tanken till manuella handlingar, jfr betänkandet Ordning och reda bland all- männa handlingar, SOU 2002:97, som dock ännu inte lett till någon lagstiftning.

Övergångsbestämmelser

1. Denna lag träder i kraft den 1 januari 2008, då patientjournallagen (1985:562) och lagen (1998:544) om vårdregister upphör att gälla.

Patientdatalagen ersätter den reglering som nu finns i patientjour- nallagen (1985:562) och lagen (1998:544) om vårdregister. De båda sistnämnda lagarna skall därför upphöra att gälla samtidigt som patientdatalagen träder i kraft.

2. Bestämmelserna i 7 kap. skall inte börja tillämpas förrän den 1 januari 2009 i fråga om nationella och regionala kvalitetsregister som börjat föras före denna lags ikraftträdande.

I dag regleras personuppgiftsbehandlingen i nationella och regionala kvalitetsregister av personuppgiftslagen (1998:204). Patientdatalagens bestämmelser om nationella och regionala kvalitetsregister innebär en skärpning av lagstiftningen jämfört med vad som gäller i dag genom att personuppgifter inte får behandlas i ett nationellt eller regionalt kvalitetsregister om den enskilde motsätter sig det. Genom denna övergångsbestämmelse ges verksamheten en möjlighet att under en övergångsperiod anpassa sig till den nya lagstiftningen.

3. Bestämmelserna i 7 kap. 2 och 3 §§ gäller inte för personuppgifter som behandlats i nationella och regionala kvalitetsregister före den 1 januari 2009.

Genom denna övergångsbestämmelse kommer bestämmelserna om den enskildes rätt att motsätta sig personuppgiftsbehandling i natio- nella och regionala kvalitetsregister och om information om sådan personuppgiftsbehandling inte att gälla beträffande sådana person- uppgifter som har behandlats före ikraftträdandet. Det innebär att

590

SOU 2006:82

Författningskommentar

redan insamlade personuppgifter får finnas kvar i kvalitetsregistren och att nämnda information endast behöver lämnas beträffande fram- tida personuppgiftsbehandling i registren.

21.2Förslaget till lag om ändring i sekretesslagen (1980:100)

7 kap. 1 c § Sekretess gäller, om inte annat följer av 2 §, inom hälso- och sjukvården för uppgift om enskilds hälsotillstånd eller andra personliga för- hållanden, om det inte står klart att uppgiften kan röjas utan att den en- skilde eller någon närstående till den enskilde lider men. Detsamma gäller i annan medicinsk verksamhet, såsom rättsmedicinsk och rättspsykiatrisk undersökning, insemination, befruktning utanför kroppen, fastställande av könstillhörighet, abort, sterilisering, kastrering, omskärelse, åtgärder mot smittsamma sjukdomar och ärenden hos nämnd med uppgift att bedriva patientnämndsverksamhet.

Sekretess enligt första stycket gäller också i sådan verksamhet hos myn- dighet som innefattar omprövning av beslut i eller särskild tillsyn över all- män eller enskild hälso- och sjukvård.

I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år. En myndighet inom en kommun eller ett landsting som bedriver verksam- het som avses i första stycket får lämna uppgift till annan sådan myndighet för forskning och framställning av statistik eller för administration på verk- samhetsområdet, om det inte kan antas att den enskilde eller någon när-

stående till den enskilde lider men om uppgiften röjs.

Ändringarna innebär främst att bestämmelserna om sekretess i verk- samhet som avser omhändertagande av patientjournaler och undan- taget från denna sekretess har flyttats från 1 c § tredje stycket till en ny paragraf, 1 e §, och att bestämmelserna om undantag från sek- retessen om att uppgifter i vissa fall kan lämnas till enskilda har flyttats från 1 c § femte stycket till 1 d §, som också är en ny paragraf. I övrigt har endast en språklig justering gjorts i sista stycket.

7 kap. 1 d § Sekretess enligt 1 c § första stycket hindrar inte att en uppgift lämnas från en myndighet inom hälso- och sjukvården i en kommun eller ett landsting till en annan sådan myndighet i samma kommun eller landsting. Sådan sekretess hindrar inte heller att en uppgift lämnas till en myndighet inom hälso- och sjukvården eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen (0000:00). Sek-

591

Författningskommentar

SOU 2006:82

retessen hindrar inte heller att en uppgift lämnas till ett nationellt eller regio- nalt kvalitetsregister enligt patientdatalagen.

Om den enskilde på grund av sitt hälsotillstånd eller av annat skäl inte kan samtycka till att en uppgift lämnas ut, hindrar sekretess enligt 1 c § första stycket inte att en uppgift om honom eller henne som behövs för att han eller hon skall få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område.

I paragrafen, som är ny, har samlats olika sekretessbrytande bestäm- melser. I första stycket finns tre undantag från den sekretess inom hälso- och sjukvården som föreskrivs i 1 § c. Det första undantaget

– att sekretessen inte hindrar att en uppgift lämnas från en myndighet inom hälso- och sjukvården till en annan sådan myndighet i samma kommun eller landsting – har behandlats i avsnitt 14.4. Det andra undantaget – att sekretessen inte hindrar att en uppgift lämnas till en myndighet inom hälso- och sjukvården eller till en enskild vård- givare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen – har behandlats i avsnitt 11.5.3. Det tredje undan- taget – att sekretessen inte hindrar att en uppgift lämnas till ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen – har behandlats i avsnitt 16.5.1.

Att sekretessen enligt 7 kap. 1 c § inte hindrar att en uppgift lämnas från en myndighet inom hälso- och sjukvården i en kommun eller ett landsting till en annan sådan myndighet i samma kommun eller landsting innebär att uppgifter för vilka det gäller sekretess fritt kan lämnas mellan hälso- och sjukvårdsmyndigheter i en kommun eller ett landsting. Kommunala företag som avses i 1 kap. 9 § sekretess- lagen (1980:100), dvs. bolag, föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande, är i detta sammanhang att jämställa med myndigheter. Det framgår av den sistnämnda paragrafen i sekretesslagen. Enligt förevarande paragraf är det således möjligt att utan hinder av sekretess lämna uppgifter mellan ett kommunalt bolag i vilket ett landsting äger mer än 50 pro- cent av aktierna och den nämnd eller de nämnder i landstinget som

592

SOU 2006:82

Författningskommentar

fullgör landstingets uppgifter när det gäller hälso- och sjukvård. Un- dantaget från sekretessen gör det möjligt för ett landsting att fritt välja sin organisation utan hänsyn till att sekretess i princip råder mellan myndigheter. Regeln ger ökade möjligheter för ett landsting till verksamhetsuppföljning avseende offentliga vårdgivares hälso- och sjukvårdsproduktion. Undantaget från sekretess gäller däremot inte i förhållande till gemensamma nämnder inom vård- och om- sorgsområdet, jfr lagen (2003:192) om gemensam nämnd inom vård- och omsorgsområdet, eller i förhållande till kommunalförbund, som är en särskild, offentligrättslig juridisk person för samarbete mellan kommuner. Även om ingen sekretess gäller mellan hälso- och sjuk- vårdsmyndigheter i samma kommun eller landsting måste naturligtvis normalt en patients uttryckliga önskemål om att hans eller hennes journal inte skall lämnas till en annan hälso- och sjukvårdsmyndig- het i kommunen eller landstinget respekteras. Det får anses följa av föreskriften i 2 a § hälso- och sjukvårdslagen 1982:763) om att verksamheten skall bygga på respekt för patientens självbestämmande och integritet och så långt det är möjligt utföras och genomföras i samråd med patienten, jfr författningskommentaren till 4 kap. 4 § patientdatalagen. Något motsvarande undantag från sekretessen som det här beskrivna finns inte på socialtjänstens område.

Sekretessen enligt 7 kap. 1 c § hindrar inte heller att en uppgift lämnas till en myndighet inom hälso- och sjukvården eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen jour- nalföring i patientdatalagen. Sammanhållen journalföring enligt den lagen innebär att myndigheter inom hälso- och sjukvården och privata vårdgivare kan få direktåtkomst till varandras elektroniska journal- handlingar och andra personuppgifter som behandlas för ändamål som rör vårddokumentation. I lagen uppställs olika villkor för att sådan direktåtkomst skall få förekomma. Om villkoren är uppfyllda, får journalhandlingarna och andra personuppgifter hos en vårdgivare göras tillgängliga för andra vårdgivare som deltar i systemet med sam- manhållen journalföring. För att den vårdgivare som gör uppgifter tillgängliga för andra vårdgivare vid sammanhållen journalföring inte skall behöva göra någon sekretessprövning i varje enskilt fall, före- skrivs i paragrafen ett undantag från sekretessen. Skyddet för den enskildes personliga integritet vid sammanhållen journalföring är tillgodosett genom patientdatalagens regler om bl.a. patientens in- flytande vid sådan journalföring.

Vidare utgör sekretessen enligt 7 kap. 1 c § inget hinder mot att en uppgift lämnas till ett nationellt eller regionalt kvalitetsregister

593

Författningskommentar

SOU 2006:82

enligt patientdatalagen. I patientdatalagen finns särskilda föreskrifter om nationella och regionala kvalitetsregister. Sådana register syftar till att systematiskt och fortlöpande utveckla och säkra hälso- och sjukvårdens kvalitet. Kvalitetsarbetet bedrivs normalt på det sättet att någon – oftast en hälso- och sjukvårdsmyndighet inom ett lands- ting eller en kommun, se 7 kap. 7 § patientdatalagen – samlar in och analyserar patientbundna data om diagnoser, åtgärder och behand- lingsresultat m.m. i datoriserade kvalitetsregister. Inrapporteringen från de medverkande till den som ansvarar för registret innebär oftast att personuppgifter korsar sekretessgränser. För att sekretessen inte skall förhindra inrapporteringen föreskrivs i paragrafen ett undan- tag från sekretessen.

I andra stycket finns ett undantag från sekretessen som har behand- lats i avsnitt 14.4. Undantaget innebär att en uppgift om en enskild som behövs för att han eller hon skall få nödvändig vård, omsorg, behandling eller annat stöd får lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- eller sjukvår- den eller socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område. En förutsättning för detta är att den enskilde på grund av sitt hälsotillstånd eller av annat skäl inte kan samtycka till att uppgiften lämnas ut. Av paragrafen framgår att den enskildes samtycke i första hand skall utverkas. Bestäm- melsen kan bli tillämplig först om den enskilde på grund av demens eller hälsorelaterat skäl inte kan samtycka. Viljan hos den patient som klart och utan inflytande av allvarlig psykisk störning eller liknande motsätter sig ett uppgiftslämnande skall alltid respekteras. Undan- taget får inte tillämpas rutinmässigt. Då det i enskilda fall används, skall det ske med urskillning och varsamhet.

Tredje stycket motsvarar undantag från sekretessen i förhållande till enskilda som tidigare fanns i 7 kap. 1 c § femte stycket.

7 kap. 1 e § Sekretess gäller i verksamhet som avser omhändertagande av patientjournal inom enskild hälso- och sjukvård för uppgift om enskilds hälso- tillstånd eller andra personliga förhållanden. Utan hinder av sekretessen får uppgift lämnas till hälso- och sjukvårdspersonal om uppgiften behövs för vård eller behandling och det är av synnerlig vikt att uppgiften lämnas.

I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år.

Denna paragraf motsvarar helt den reglering som tidigare fanns i 7 kap. 1 c § tredje stycket. Den nya paragrafen föranleder följdänd- ringar i sekretesslagen (1980:100) och några andra författningar.

594

SOU 2006:82

Författningskommentar

7 kap. 2 § Sekretessen enligt 1 c eller 1 e § gäller inte

1.beslut i ärende enligt lagstiftningen om psykiatrisk tvångsvård eller rättspsykiatrisk vård, om beslutet angår frihetsberövande åtgärd,

2.beslut enligt smittskyddslagen (2004:168), om beslutet angår frihets- berövande åtgärd,

3.beslut i ärende om ansvar eller behörighet för personal inom hälso- och sjukvården,

4.beslut i fråga om omhändertagande eller återlämnande av patient- journal.

Beträffande anmälan i ärende om ansvar eller behörighet för personal inom hälso- och sjukvården gäller sekretess för uppgifter som avses i 1 c eller 1 e §, om det kan antas att den som uppgiften rör eller någon honom eller henne närstående lider betydande men om uppgiften röjs.

Ändringen utgör endast en följdändring till att bestämmelserna i 7 kap. 1 c § tredje stycket har flyttats till 7 kap. 1 e §.

7 kap. 3 § Sekretessen enligt 1 c eller 1 e § gäller också i förhållande till den vård- eller behandlingsbehövande själv i fråga om uppgift om hans eller hennes hälsotillstånd, om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne.

Ändringen utgör endast en följdändring till att bestämmelserna i 7 kap. 1 c § tredje stycket har flyttats till 7 kap. 1 e §.

7 kap. 6 § Sekretess gäller inom hälso- och sjukvården och annan verk- samhet som avses i 1 c eller 1 e § samt inom socialtjänsten för anmälan eller annan utsaga av enskild om någons hälsotillstånd eller andra person- liga förhållanden, om det kan antas att fara uppkommer för att den som har gjort anmälan eller avgivit utsagan eller någon honom eller henne när- stående utsätts för våld eller annat allvarligt men om uppgiften röjs.

I fråga om uppgift i allmän handling gäller sekretessen i högst femtio år.

Ändringen utgör endast en följdändring till att bestämmelserna i 7 kap. 1 c § tredje stycket har flyttats till 7 kap. 1 e §.

9 kap. 4 § Sekretess gäller i sådan särskild verksamhet hos myndighet som avser framställning av statistik för uppgift som avser enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Det- samma gäller annan jämförbar undersökning som utförs av Riksrevisionen

595

Författningskommentar

SOU 2006:82

eller, i den utsträckning regeringen föreskriver det, av någon annan myn- dighet. Uppgift som behövs för forsknings- eller statistikändamål och upp- gift, som inte genom namn, annan identitetsbeteckning eller därmed jäm- förbart förhållande är direkt hänförlig till den enskilde, får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider skada eller men. Detsamma gäller en uppgift som avser en avliden och som rör dödsorsak eller dödsdatum, om uppgiften behövs i ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen (0000:00).

I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år, såvitt angår uppgift om enskilds personliga förhållanden, och annars i högst tjugo år.

I paragrafen, som har behandlats i avsnitt 16.5.2, har – förutom en språklig justering – gjorts ett ytterligare undantag från den absoluta statistiksekretessen. Undantaget omfattar uppgifter om avlidna och som rör dödsorsak eller dödsdatum. De aktuella uppgifterna finns i Socialstyrelsens dödsorsaksregister. Till Socialstyrelsen skall anmälan enligt 4 kap. 2 och 5 §§ begravningslagen (1990:1144) göras om bl.a. dödsorsak vid alla konstaterade dödsfall avseende personer som är folkbokförda i Sverige. Sekretess gäller hos Socialstyrelsen enligt förevarande paragraf för uppgifter i dödsorsaksregistret. Uppgifter om dödsorsak och dödsdatum får enligt det nya undantaget lämnas ut om de behövs i ett nationellt eller regionalt kvalitetsregister och om det står klart att ett utlämnande kan ske utan att den som upp- giften rör eller någon honom eller henne närstående lider skada eller men. Med tanke på att uppgifterna hos mottagarna kommer att om- fattas av hälso- och sjukvårdsekretessen i 7 kap. 1 c § sekretesslagen (1980:100) torde Socialstyrelsens sekretessprövning många gånger utmynna i bedömningen att de aktuella uppgifterna kan lämnas ut.

14 kap. 2 § Sekretess hindrar inte att uppgift i annat fall än som avses i 1 § lämnas till myndighet, om uppgiften behövs där för

1.förundersökning, rättegång, ärende om disciplinansvar eller skiljande från anställning eller annat jämförbart rättsligt förfarande vid myndigheten mot någon rörande hans deltagande i verksamheten vid den myndighet där uppgiften förekommer,

2.omprövning av beslut eller åtgärd av den myndighet där uppgiften förekommer, eller

3.tillsyn över eller revision hos den myndighet där uppgiften förekom-

mer.

596

SOU 2006:82

Författningskommentar

Sekretess hindrar inte att uppgift lämnas i muntligt eller skriftligt ytt- rande av sakkunnig till domstol eller myndighet som bedriver förunder- sökning i brottmål.

Sekretess hindrar inte att uppgift om enskilds adress, telefonnummer och arbetsplats eller uppgift i form av fotografisk bild av enskild lämnas till en myndighet, om uppgiften behövs där för delgivning enligt delgivningslagen (1970:428). Uppgift hos myndighet som driver televerksamhet om en- skilds telefonnummer får dock, om den enskilde hos myndigheten begärt att abonnemanget skall hållas hemligt och uppgiften omfattas av sekretess enligt 9 kap. 8 § tredje stycket, lämnas ut endast om den myndighet som begär uppgiften finner att det kan antas att den som söks för delgivning håller sig undan eller att det annars finns synnerliga skäl.

Sekretess hindrar inte att uppgift som angår misstanke om brott lämnas till åklagarmyndighet, polismyndighet eller annan myndighet som har att ingripa mot brottet, om fängelse är föreskrivet för brottet och detta kan antas föranleda annan påföljd än böter.

1.brott för vilket inte är föreskrivet lindrigare straff än fängelse i ett år,

2.försök till brott för vilket inte är föreskrivet lindrigare straff än fängel- se i två år eller

3.försök till brott för vilket inte är föreskrivet lindrigare straff än fängel- se i ett år, om gärningen innefattat försök till överföring av sådan allmän- farlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168),

om inte annat följer av sjätte – åttonde styckena.

Sekretess enligt 7 kap. 1 c §, 1 e §, 4 § eller 34 § hindrar inte att uppgift som angår misstanke om brott

1.enligt 3, 4 eller 6 kap. brottsbalken eller

2.som avses i lagen (1982:316) med förbud mot könsstympning av kvinnor,

mot någon som inte har fyllt arton år lämnas till åklagarmyndighet eller polismyndighet.

Sekretess enligt 7 kap. 4 § första stycket eller andra stycket första meningen hindrar vidare inte att uppgift, som angår misstanke om

1.överlåtelse av narkotika i strid med narkotikastrafflagen (1968:64),

2.överlåtelse av dopningsmedel i strid med lagen (1991:1969) om förbud mot vissa dopningsmedel eller

3.icke ringa fall av olovlig försäljning eller anskaffning av alkoholdrycker enligt alkohollagen (1994:1738),

597

Författningskommentar

SOU 2006:82

till den som inte fyllt arton år, lämnas till åklagarmyndighet eller polis- myndighet.

Sekretess som avses i sjunde stycket hindrar vidare inte att uppgift som behövs för ett omedelbart polisiärt ingripande lämnas till polismyndighet när någon som kan antas vara under arton år påträffas av personal inom socialtjänsten under förhållanden som uppenbarligen innebär överhängan- de och allvarlig risk för den unges hälsa eller utveckling. Detsamma gäller om den unge påträffas när han eller hon begår brott.

Sekretess enligt 7 kap. 1 c §, 1 e § och 4 § första och tredje styckena hind- rar inte att uppgift om enskild, som inte fyllt arton år eller som fortgående missbrukar alkohol, narkotika eller flyktiga lösningsmedel, eller närstående till denne lämnas från myndighet inom hälso- och sjukvården och social- tjänsten till annan sådan myndighet, om det behövs för att den enskilde skall få nödvändig vård, behandling eller annat stöd. Detsamma gäller i fråga om lämnande av uppgift om gravid kvinna eller närstående till henne, om det behövs för en nödvändig insats till skydd för det väntade barnet.

Ändringen utgör endast en följdändring till att bestämmelserna i 7 kap. 1 c § tredje stycket har flyttats till 7 kap. 1 e §.

16 kap. 1 § Att friheten enligt 1 kap. 1 § tryckfrihetsförordningen och 1 kap. 2 § yttrandefrihetsgrundlagen att meddela och offentliggöra uppgif- ter i vissa fall är begränsad framgår av 7 kap. 3 § första stycket 1 och 2, 4 § 1–8 samt 5 § 1 och 3 tryckfrihetsförordningen och av 5 kap. 1 § första stycket samt 3 § första stycket 1 och 2 yttrandefrihetsgrundlagen. De fall av upp- såtligt åsidosättande av tystnadsplikt, i vilka nämnda frihet enligt 7 kap. 3 § första stycket 3 och 5 § 2 tryckfrihetsförordningen samt 5 kap. 1 § första stycket och 3 § första stycket 3 yttrandefrihetsgrundlagen i övrigt är begränsad, är de där tystnadsplikten följer av

–– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

3. denna lag enligt

–– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

7 kap. 1 c eller 1 e §	såvitt avser uppgift om annat än
	verkställigheten av beslut om om-
	händertagande eller beslut om vård
	utan samtycke

Ändringen utgör endast en följdändring till att bestämmelserna i 7 kap. 1 c § tredje stycket har flyttats till 7 kap. 1 e §.

598

SOU 2006:82

Författningskommentar

21.3Förslaget till lag om ändring i lagen (2001:499) om omskärelse av pojkar

2 § När läkare utför omskärelse enligt denna lag eller när läkare eller sjuk- sköterska ombesörjer smärtlindring enligt denna lag gäller lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område, patientskadelagen (1996:799) och patientdatalagen (0000:00).

I paragrafen har endast den ändringen gjorts att ordet patientdata- lagen har ersatt patientjournallagen.

21.4Förslaget till lag om ändring i lagen (2002:297) om biobanker i hälso- och sjukvården m.m.

3 kap. 7 § Uppgifter om information och samtycke m.m. enligt 1–6 §§ skall dokumenteras på lämpligt sätt i anslutning till biobanken samt i prov- givarens patientjournal.

Föreskriften om vad patientjournalen skall innehålla har flyttats från 3 § tredje stycket 6 patientjournallagen (1985:562) till förevarande bestämmelse.

4 kap. 4 a § En journalhandling inom enskild hälso- och sjukvård som rör en viss patient skall lämnas ut på begäran av den som fått tillgång till kodat humanbiologiskt material från den patienten enligt 1 §, om patien- ten samtyckt till utlämnandet av journalhandlingen. I fråga om vissa käns- liga personuppgifter finns föreskrifter i personuppgiftslagen (1998:204).

Paragrafen motsvarar 16 § andra stycket patientjournallagen (1985:562).

4 kap 6 a § Frågor om utlämnande av en journalhandling enligt 4 a § prövas av den som är ansvarig för patientjournalen. Anser denne att journalhand- lingen eller någon del av den inte bör lämnas ut, skall han eller hon genast med eget yttrande överlämna frågan till Socialstyrelsen för prövning.

Ifråga om överklagande av Socialstyrelsens beslut enligt första stycket gäller i tillämpliga delar bestämmelserna i 15 kap. 7 § sekretesslagen (1980:100).

Paragrafen motsvarar 16 § tredje och fjärde styckena patientjour- nallagen (1985:562).

599

Författningskommentar

SOU 2006:82

21.5Förslaget till lag om ändring i lagen (2005:225) om rättsintyg i anledning av brott

5 § Ett rättsintyg får inte utfärdas utan den enskildes samtycke, om inte annat följer av andra eller tredje stycket.

Ett rättsintyg som avser en målsägande får utfärdas utan samtycke

1.vid misstanke om brott för vilket inte är föreskrivet lindrigare straff än fängelse i ett år eller försök till brott för vilket inte är stadgat lindrigare straff än fängelse i två år,

2.vid misstanke om försök till brott för vilket inte är föreskrivet lind- rigare straff än fängelse i ett år om gärningen innefattat försök till över- föring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskydds- lagen (2004:168),

3.vid misstanke om brott enligt 3, 4 eller 6 kap. brottsbalken eller brott som avses i lagen (1982:316) med förbud mot könsstympning av kvinnor, mot någon som inte har fyllt arton år, eller

4.om uppgifter, för vilka gäller sekretess enligt 7 kap. 1 c eller 1 e § sek- retesslagen (1980:100) eller tystnadsplikt enligt 2 kap. 8 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område, har lämnats ut till polismyndighet eller åklagarmyndighet efter samtycke från målsäganden.

Ett rättsintyg som avser den som är misstänkt för brott får utfärdas utan samtycke

1.i samband med kroppsbesiktning enligt 28 kap. rättegångsbalken, eller

2.om annan undersökning än kroppsbesiktning har ägt rum och det föreligger misstanke om sådant brott som avses i andra stycket 1–3.

Ändringen utgör endast en följdändring till att bestämmelserna i 7 kap. 1 c § tredje stycket har flyttats till 7 kap. 1 e §.

7 § Från en verksamhet där sekretess gäller enligt 7 kap. 1 c eller 1 e § sekretesslagen (1980:100) eller där personalen omfattas av tystnadsplikt enligt 2 kap. 8 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område skall det till Rättsmedicinalverket utan hinder av sekretessen eller tystnadsplikten lämnas ut sådana uppgifter som behövs för att utfärda ett rättsintyg om

1.det begärs av Rättsmedicinalverket, och

2.uppgifterna angår misstanke om sådant brott som avses i 5 § andra stycket 1–3.

Bestämmelser om utlämnande av uppgifter till polismyndighet och åkla- garmyndighet i vissa fall finns i 14 kap. 2 § sekretesslagen.

600

Särskilda yttranden

Särskilt yttrande

av Anders Ekbom, Gösta Jedberger, Gabriella Kollander Fållby, Ulla Lönnqvist Endre och Göran Stiernstedt

Det är tre områden där vi inte delar utredarens uppfattning i sak så- som den redovisas i detta betänkande.

1.Det faktum att vårdnadshavare t.ex. kan begära att uppgifter i barns journaler om skador ska spärras i en sammanhållen journal kan medföra att information som skulle givit upphov till att sådan miss- tanke uppstår att anmälningsskyldighet enligt 14 kap 1 § socialtjänst- lagen föreligger för hälso- och sjukvårdspersonal inte blir tillgänglig kan vi inte acceptera. Vi anser att journaluppgifter om skador inte bör kunna spärras om de behövs för att bedöma om anmälningsskyldig- het föreligger för hälso- och sjukvårdspersonal till sociala myndigheter så att de kan få information som kan leda till att myndigheten kan ingripa till barnets skydd.

2.I förslaget återfinns dagens regel om att journaler inte behöver sparas längre tid än tre år efter sista anteckningen. Denna frist ter sig

idag alltför kort t.ex. för behandling av miljörelaterade sjukdomar, uppföljning av cancer, implantat m.m. Samma skäl gör sig gällande när det gäller skadestånd där preskriptionstiden är tio år, vissa brott där upplysningsskyldighet enligt 14 kap 2 § jfr med 15 kap 5 § sekre- tesslagen föreligger för vårdpersonal, ur forskningssynpunkt m.m. Genom att förslaget tar sikte på att journaler förs med stöd av IT finns inte längre de tidigare begränsande utrymmesskälen kvar. Idag kan stora mängder information sparas på föga utrymmeskrävande sätt varför huvudregeln borde vara att journaler ska sparas i minst 10 år och kunna sparas därutöver om regeringen så bestämmer. För visst journalmaterial t.ex. vid läkemedelsskador som visar sig efter lång tid är det enda möjligheten för patienten att kunna få veta vilka preparat som vederbörande haft.

603

SOU 2006:82

Särskilda yttranden

Särskilt yttrande

av Elisabeth Rynning

Patientdatautredningens uppdrag är omfattande och berör ett antal komplexa frågor, vilka var för sig aktualiserar svåra intresseavväg- ningar. Uppgiften blir inte lättare av att de förslag som läggs fram samtidigt måste bilda en logisk helhet, som dels är förenlig med rätts- systemet i övrigt och dels kan förväntas vara praktiskt genomförbar. Mot denna bakgrund är det förståeligt att utredningen har valt att göra vissa avgränsningar av uppdraget. Utredarens och sekretariatets arbete har också präglats av mycket hög kompetens, förenad med engagemang och lyhördhet för olika intressen och aspekter. Trots att jag således i huvudsak ställer mig bakom de förslag som presente- ras i delbetänkandet, vill jag framhålla att de gjorda avgränsningarna medför att vissa frågor av stor betydelse för integritetsskyddet och informationshanteringen i hälso- och sjukvården fortfarande återstår att behandla. Det rör sig bland annat om forskningssekretessen och användningen av vårddokumentation i utbildningen av blivande hälso- och sjukvårdspersonal (se avgränsningar avsnitt 6.4). Det är ange- läget att dessa områden, som berör så viktiga allmänna och enskilda intressen, inte förblir outredda.

Härutöver finns det ett par punkter där min uppfattning delvis avviker från utredningens.

1. Av regeringens direktiv framgår att utgångspunkten för utre- darens arbete skall vara att den enskilde skall lämna ett uttryckligt och informerat samtycke till utbyte av information om honom eller henne, samt till alla konkreta åtgärder som vidtas för hans eller hennes vård och behandling. Om undantag från denna huvudregel föreslås skall enligt direktiven fördelar och nackdelar med ett sådant förslag noggrant belysas.

Höga krav måste således ställas på tydligheten i de förutsättningar som ska gälla för inskränkningar i patientens självbestämmande. Bland annat skulle förutsättningarna för utbyte av information mellan vård- enheter eller vårdgivare, i situationer där den enskilde pga sitt till- stånd saknar förmåga att bryta en spärr eller i övrigt ge sitt samtycke till informationsutbytet, behöva utvecklas ytterligare. Även när det gäller innebörden av den kodifierade inre sekretessen kvarstår vissa oklarheter rörande omfattningen av den enskildes möjligheter att i olika vårdsituationer motsätta sig utbyte av information mellan vård- enheter respektive medlemmar av personalen. Det föreligger också

605

Särskilda yttranden

SOU 2006:82

sedan tidigare osäkerhet avseende förhållandet mellan sekretesskyd- det och hälso- och sjukvårdspersonalens skyldighet att i vissa fall informera patientens närstående, enligt exempelvis 2 kap. 2 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Sammantaget återstår alltså vissa frågetecken rörande den enskilda patientens möjligheter att bestämma över användningen av uppgifter som registreras om henne i hälso- och sjukvården.

2. I likhet med experten Ulla Lönnqvist-Endre anser jag att vård- nadshavares möjligheter att låta spärra journaluppgifter rörande sina barn i vissa fall kan komma att strida mot barnets bästa. Sådan spärrning kan försvåra bedömningen av en eventuell anmälnings- skyldighet till socialnämnden enligt 14 kap. 1 § socialtjänstlagen (2001:453), men kan härutöver också medföra risk för att barnet går miste om de fördelar som en sammanhållen journalföring antas komma att innebära ur patientsäkerhetssynpunkt. Samtidigt kan det finnas fall där även barn har ett uppenbart intresse av ett förstärkt integritetsskydd, så att tillgängligheten till uppgifter om vissa hälso- tillstånd eller behandlingsåtgärder begränsas. Underårigas eget infly- tande över journalhanteringen i takt med tilltagande mognad kan också ge upphov till olika konfliktsituationer. Vissa närliggande frå- gor har blivit föremål för behandling i annat sammanhang, exempelvis svårigheterna att kunna tillgodose barns rätt till erforderlig hälso- och sjukvård när den ena av två vårdnadshavare motsätter sig de aktuella åtgärderna, se betänkandet Vårdnad – Boende – Umgänge, Barnets bästa, föräldrars ansvar (SOU 2005:43). Ambitionen att så småningom åstadkomma ett tydligare barnperspektiv i hälso- och sjukvårdslagstiftningen har uttalats även dessförinnan, se t.ex. prop. 2002/03:53 Stärkt skydd för barn i utsatta situationer m.m. s. 52. Någon samlad översyn över barns och ungdomars ställning i hälso- och sjukvården har emellertid inte kommit till stånd. Jag anser att de olika frågor som rör underårigas ställning i hälso- och sjukvården lämpligen bör övervägas i ett sammanhang, för att underlätta avväg- ningen mellan barnets intressen av god hälso- och sjukvård, självbe- stämmande och integritetsskydd. Det gäller alltså även de frågor som i princip skulle kunna hänföras till Patientdatautredningens uppdrag. En sådan samlad översyn måste anses både angelägen och brådskande.

Delvis likartade frågor uppkommer vid avvägningen mellan inte- gritetsskydd och patientsäkerhet i vården av vuxna patienter med nedsatt beslutsförmåga. I detta avseende har emellertid vissa övervä- ganden redan gjorts i betänkandet Förmyndare och ställföreträdare

606

Bilaga 1

Kommittédirektiv

Författningsreglering av nationella kvalitets-	Dir.
register inom hälso- och sjukvården, m.m.	2003:42

Beslut vid regeringssammanträde den 3 april 2003.

Sammanfattning av uppdraget

En särskild utredare tillkallas för att utarbeta förslag till en särskild författningsreglering av nationella kvalitetsregister inom hälso- och sjukvården. Författningen skall bl.a. innehålla bestämmelser om vilka uppgifter som skall få tas in i registret och vad som skall krävas för detta. Sådana krav kan gälla t.ex. om samtycke från den uppgifterna avser är nödvändigt, vad uppgifterna skall få användas till, vem som skall få tillgång till dem samt vad som skall gälla för register av olika livslängd och för bevarande av uppgifterna. Vid utarbetandet av en sådan reglering skall utredaren beakta bestämmelserna om skydd för den personliga integriteten vid behandling av personuppgifter i personuppgiftslagen (1998:204) och Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EG-direktivet om personuppgifter).

Utredaren skall även överväga om särskild författningsreglering behövs för de regionala cancerregistren och för donations- och meta- donregistren, samt för blodgivarregistret och vaccinationsregistret, som båda är under uppbyggnad. Om utredaren anser att en särskild författningsreglering är nödvändig, skall han utarbeta ett förslag till en sådan.

Bakgrund

Integritetsfrågor

Frågan om registrering av känsliga personuppgifter inom vården innefattar svåra avvägningar mellan skyddet för den personliga integri- teten å ena sidan och viktiga samhällsintressen å den andra. Hur starkt

609

Bilaga 1

SOU 2006:82

skyddet för den personliga integriteten skall vara är en omdisku- terad fråga – uppfattningen om vad som upplevs som intrång i den personliga integriteten varierar mellan olika individer och tillfällen. Begreppet kan sägas bestå av flera delar, varav bland andra följande två är aktuella i detta sammanhang. Den första är att den enskilde bör tillförsäkras en sfär som skyddas mot otillbörligt intrång från myndigheter. Den andra är att den enskilde bör ha rätt och möjlig- het att själv bestämma i vilka sammanhang uppgifter om honom eller henne får utnyttjas och i så fall hur.

I svensk lagstiftning är skyddet för den enskildes integritet inte absolut, utan den enskilde måste acceptera ett visst mått av intrång till förmån för viktiga allmänna intressen. Det tyngsta skälet till att man tillåter registrering av känsliga personuppgifter i olika typer av myndighetsregister är att det finns stora samhälleliga vinster att göra med hjälp av dessa register.

Hälso- och sjukvården är ett område där en god hantering av per- sonuppgifter kan ge stora förbättringar såväl i den dagliga verksam- heten som för forskning och utveckling. Det finns ett flertal regis- ter inom hälso- och sjukvården i dag, vilka omfattas av författ- ningsreglering. Ett av syftena med att författningsreglera ett register- område är att stärka skyddet för den enskildes integritet och att an- passa det i förhållande till personuppgiftslagen.

Nuvarande bestämmelser på området

I svensk rätt finns inte någon legaldefinition av begreppen person- lig integritet och otillbörligt intrång i denna. Däremot finns bestäm- melser till skydd för den personliga integriteten i lagar och förord- ningar på olika rättsområden.

I 1 kap. 2 § fjärde stycket regeringsformen (RF) föreskrivs bland annat att det allmänna skall värna om den enskildes privatliv och familjeliv. I 2 kap. 3 § andra stycket RF anges att varje medborgare i den utsträckning som närmare anges i lag skall skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling.

Sedan år 1998 reglerar personuppgiftslagen (1998:204), PUL, närmare skyddet för den enskildes personliga integritet vid behand- ling av personuppgifter. PUL utgör ett genomförande i svensk lag- stiftning av EG-direktivet om personuppgifter (Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för

610

SOU 2006:82

Bilaga 1

enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter). PUL är subsidiär i för- hållande till avvikande bestämmelser i lag eller förordning. Sådana bestämmelser får dock inte strida mot det underliggande EG- direktivet. Lagen är nu föremål för en översyn. Syftet med denna är att inom ramen för direktivets bestämmelser åstadkomma ett regel- verk som mera tar sikte på missbruk av personuppgifter och andra obefogade intrång i den personliga integriteten än vad den nu- varande lagen gör (dir. 2002:31).

Den närmare regleringen av automatiserad behandling av person- uppgifter inom hälso- och sjukvården står lagen (1998:543) om hälsodataregister (hälsodataregisterlagen) och lagen (1998:544) om vårdregister (vårdregisterlagen) för. De infördes som en följd av att man ansåg det nödvändigt att författningsreglera personregister inom hälso- och sjukvården för att skydda den enskildes integritet. Då hälsodataregisterlagen och vårdregisterlagen utarbetades ansåg hälsodatakommittén (SOU 1995:95) att det inte var nödvändigt att författningsreglera även de nationella kvalitetsregistren, främst på grund av att de ofta är tidsbegränsade.

Andra viktiga författningar på området är sekretesslagen (1980:100), hälso- och sjukvårdslagen (1982:763), lag (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område samt patient- journallagen (1985:562).

Hälso- och sjukvårdssekretessen regleras i 7 kap. 1 § sekretess- lagen och omfattar personuppgifter i de nationella kvalitetsregist- ren i den mån de register förs inom ramen för hälso- och sjukvår- den. Enligt bestämmelsen gäller sekretess för uppgifter om enskilds hälsotillstånd och andra personliga uppgifter om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom närstående lider men. Enligt 7 kap. 1 § sista stycket får en lands- tingskommunal eller kommunal myndighet som bedriver hälso- och sjukvård lämna uppgift till en annan sådan myndighet för forskning eller framställning av statistik eller för administration på verksam- hetsområdet, om det inte kan antas att den enskilde eller honom närstående lider men om uppgiften röjs.

I 2 kap. 8 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område finns bestämmelser om tystnadsplikt för hälso- och sjukvårdspersonal inom den enskilda hälso- och sjukvården.

I 9 kap. 4 § sekretesslagen regleras sekretesskyddet för uppgifter som rör enskilds personliga eller ekonomiska förhållanden, vilka före- kommer hos myndighet i dess verksamhet som avser framställning

611

Bilaga 1

SOU 2006:82

av statistik eller annan därmed jämförbar undersökning. Paragrafen fick en ny lydelse genom en ändring som trädde i kraft den 1 april 2001 (SFS 2001:101). Ändringen var föranledd av en EG-förord- ning (Rådets förordning EG nr 322/97 av den 17 februari 1997 om gemenskapsstatistik) och syftade till att anpassa bestämmelserna i sekretesslagen till denna. Den nya utformningen av bestämmelsen innebar en skärpning av sekretessen i vissa avseenden och medförde bland annat att uppgifter om avliden inte längre fick lämnas ut, utom då uppgifterna skall användas för forsknings- eller statistik- ändamål.

Författningsreglerade register inom hälso- och sjukvården

Hälsodataregistren är rikstäckande, centrala register som förs av centrala förvaltningsmyndigheter. Uppgifter i hälsodataregister får behandlas för att framställa statistik och för att följa upp, utvärdera och kvalitetssäkra hälso- och sjukvården. Uppgifter får även be- handlas för forskning och epidemiologiska undersökningar som den personuppgiftsansvarige utför. Det åligger den personuppgifts- ansvarige att se till att uppgifter i ett hälsodataregister används på ett sätt som överensstämmer med registrets ändamål. Hälsodata- register får endast innehålla de uppgifter som behövs för något eller några av de angivna ändamålen; andra uppgifter är inte tillåtna. Det är endast den personuppgiftsansvarige som får ha direktåtkomst till uppgifterna. Sekretess för dessa uppgifter regleras i 9 kap. 4 § sekre- tesslagen.

De personregister som används för dokumentation av vården av patienter och för sådan administration som rör enskilda patienter och som syftar till att bereda vård i enskilda fall utgör vårdregister. Det är den individinriktade verksamheten inom vården som om- fattas av regleringen. Det gäller såväl sjukdomsförebyggande åtgär- der, t.ex. allmänna och riktade hälsokontroller, som egentlig sjuk- vård, t.ex. undersökning och behandling vid ohälsa samt omvård- nad. Endast de som för angivna ändamål behöver tillgång till upp- gifterna har direktåtkomst till dem. För att man skall få ta del av uppgifterna krävs att de är nödvändiga för att man skall kunna ut- föra sitt arbete. Åtkomsten får avse endast de uppgifter som be- hövs för arbetets utförande.

612

SOU 2006:82

Bilaga 1

Nationella kvalitetsregister

Beskrivning av kvalitetsregistren

På 1970-talet började man föra kvalitetsregister inom hälso- och sjukvården. Framför allt under senare år har flera nya register skapats och i dag finns det ett 50-tal. Flera av registren har numera rikstäckning efter att tidigare ha varit lokala eller regionala. Kvali- tetsregistren inrättades för att följa upp effekten av insatt behand- ling och förändring över tid av behandlingsresultat och är som sådana mycket värdefulla. Bland annat avsätts sedan flera år medel för utveckling och drift av dessa register för kvalitetsutveckling in- om hälso- och sjukvården i de s.k. Dagmaröverenskommelserna mellan staten och sjukvårdshuvudmännen.

De nationella kvalitetsregistren utgör en särskild grupp register som alla har skapats med ambitionen att de skall kunna utvecklas och användas som kvalitetsuppföljningsinstrument på lokal, regio- nal och nationell nivå. Det övergripande syftet med registren är att de skall bidra till att förbättra kunskaper om nyttan av och riskerna med olika typer av medicinska åtgärder och ingrepp. De innehåller unika data för arbetet med kvalitetssäkring på alla nivåer inom hälso- och sjukvården. Registren är även en viktig del i statistik- framställning och forskning inom hälso- och sjukvården. När kvali- tetsregistren används i vardagsvården bidrar de till en förbättrad kvalitet inom den svenska hälso- och sjukvården. Vanligen har initiativet till att skapa ett register kommit från en eller flera läkare inom aktuell specialitet. Verksamheten med registren bygger på ett frivilligt deltagande från ett stort antal olika enheter, inom hälso- och sjukvården. Uppgiftslämnande skall grundas på att de enskilda patienterna lämnar sitt samtycke till att deras medicinska data an- vänds i registren och att de deltagande vårdgivarna finner registret meningsfullt. Registren administreras vid någon klinik eller institu- tion inom ett sjukhus. Oftast är landstinget personuppgiftsansvarig myndighet.

Registren har olika inriktning. Många har tillkommit i syfte att beskriva eventuella skillnader i användningen av olika behandlings- metoder, i fråga om såväl geografisk spridning som de symptom på vilka metoderna används. Register som inrättats under de senaste åren har ofta varit inriktade på att belysa skillnader i kvalitet, vård- utnyttjande eller medicinsk praxis. En följd av att registren har

613

Bilaga 1

SOU 2006:82

tillkommit med olika syften är att innehållet i dem varierar, men oftast innehåller de följande uppgifter.

•Patientdata: personnummer, ålder, kön, diagnos, symptom, indi- kationer för åtgärder, riskfaktorer, m.m.

•Åtgärder: operationer, typ av implantat.

•Effektdata: uppgifter som på något sätt mäter resultatet av in- satsen, t.ex. i form av ökad livslängd, funktionsförmåga, och uppföljning gällande bl.a. vidare vårdbehov, dödlighet, och döds- orsak.

•Variabler som beskriver komplikationer.

•Komplementär vård; vård vid andra enheter.

För de kvalitetsregister som påbörjades före den 24 oktober 1998 tillämpades t.o.m. den 30 september 2001 tillstånd som meddelades med stöd av datalagen (1973:289). Att registreringen var frivillig för- utsatte att den enskilde hade lämnat sitt samtycke för att personupp- gifter skulle få registreras. Den 1 oktober 2001 blev PUL tillämplig på samtliga nationella kvalitetsregister.

Datainspektionens rapport

Datainspektionen har undersökt hanteringen av tio av de nationella kvalitetsregistren för att kontrollera hur dataskyddsreglerna i data- lagen (1973:289) och PUL efterlevs. Resultatet har redovisats i Nationella kvalitetsregister, Datainspektionens Rapport 2002:1. Två centrala frågor var om informationsskyldigheten enligt data- lagen och PUL uppfylls och om samtycke har inhämtats från de registrerade på ett korrekt sätt. Inspektionerna har i flera fall konstaterat att informationsskyldigheten inte uppfylls. Tillstånd meddelade enligt datalagen som ställer krav på samtycke från den som skall registreras följdes endast i begränsad omfattning. Data- inspektionens utredning har visat att det råder osäkerhet hos dem som behandlar känsliga personuppgifter om huruvida det är nöd- vändigt att inhämta patienternas samtycke. Det råder också osäker- het om vem som är registeransvarig eller personuppgiftsansvarig. Detta kan medföra olägenheter för de registrerade, som inte alltid vet vem de skall vända sig till om uppgifterna om dem i registren är felaktiga.

Med hänsyn till att det förekommer en omfattande behandling av mycket integritetskänsliga personuppgifter i kvalitetsregistren

614

SOU 2006:82

Bilaga 1

finns det enligt Datainspektionens uppfattning starka skäl att låta de nationella kvalitetsregistren omfattas av en särskild registerlag- stiftning.

Kort om de övriga registren

De sex regionala cancerregistren som förs vid olika regionala onko- logiska center samlar in uppgifter inom sin region. De svarar för framtagandet av regional cancerstatistik och gör underlag för vård- program inklusive uppföljnings- och kontrollrutiner för dessa program.

Det pågår diskussioner inom hälso- och sjukvården om att inrätta ett vaccinationsregister och ett blodgivarregister. Vaccina- tionsregistret är tänkt att bli ett rikstäckande register som skall inne- hålla uppgifter om i princip alla vaccinationer som görs i landet. Vårdgivaren skall bl.a. kunna få uppgifter från registret inför behandling av en patient där det är nödvändigt att veta om patien- ten har vaccinerats och i så fall när vaccinationen skett. Likaså skall den enskilde kunna få besked om vilka vaccinationer som han eller hon fått och när. Det är både patientsäkerhets- och serviceskäl som motiverar registret. Blodgivarregistret är tänkt att bli ett nationellt register över samtliga blodgivare och innehålla alla uppgifter som finns om deras blod. Registret skulle göra det möjligt för den aktu- ella blodgivarcentralen att snabbt kunna få relevanta fakta om blod- givarens blod, då han eller hon lämnar blod på en annan central än den hon eller han i vanliga fall lämnar på. Dessa uppgifter finns i dag hos den blodgivarcentral som är blodgivarens vanliga blod- givarcentral. Registret bör också kunna bidra till möjligheten att kontrollera att blodgivare inte lämnar blod för ofta genom att lämna blod på flera ställen.

Donationsregistret hos Socialstyrelsen har funnits sedan år 1996 och är ett centralt register där alla kan registrera sin inställning till organdonation.

Socialstyrelsen för också sedan år 1989 ett register, metadon- registret, över personer som har varit aktuella inom något av de fyra programmen för metadon underhållsbehandling.

615

Bilaga 1

SOU 2006:82

Behovet av en författningsreglering av kvalitetsregister samt översyn av övriga aktuella register

Författningsreglering av de nationella kvalitetsregistren

Redan i propositionen 1990/91:60 om offentlighet, integritet och ADB uttalade regeringen att vissa register hos Socialstyrelsen, landstingen, kommunerna och Riksförsäkringsverket på sikt borde regleras i särskilda registerlagar. En sådan reglering är ett led i en allmän strävan att stärka skyddet för de registrerades integritet i samband med nödvändig registrering av känsliga personuppgifter i vissa myndighetsregister. Konstitutionsutskottet betonade i sitt betänkande (bet. 1990/91:KU11) vikten av att en författningsreg- lering kommer till stånd i syfte att stärka skyddet för de registrera- des integritet i samband med nödvändig registrering av känsliga uppgifter i myndighetsregister. Dessa uttalanden ledde fram till den reglering som numera finns av vårdregister och hälsodataregister.

I de nationella kvalitetsregistren behandlas en stor mängd känsliga personuppgifter. Datainspektionen har i sin inspektionsverksamhet funnit vissa brister i hanteringen av registren. För att säkerställa att registren bedrivs med nödvändig hänsyn till skyddet för den per- sonliga integriteten bör registren författningsregleras. Lagregler- ingen är också en förutsättning för att bibehålla allmänhetens för- troende för hanteringen av personuppgifter i vården och för att kunna behålla och utveckla de nationella kvalitetsregistren i den ut- sträckning som behövs. Regeringen anser därför att det behövs en författningsreglering av dessa register.

Sekretesslagstiftning som berör de nationella kvalitetsregistren

De nationella kvalitetsregistren behöver ofta få ut uppgifter från Epidemiologiskt Centrum vid Socialstyrelsen, om avlidna. Genom lagändring i 9 kap. 4 § sekretesslagen (SFS 2001:101) upphörde denna möjlighet, vilket har orsakat problem vid förandet av kvali- tetsregistren. Ett avgörande från Kammarrätten i Stockholm illu- strerar problemet.

Kammarrätten i Stockholm avslog i en dom den 9 juli 2002, mål nr 4060-2002, klagandens begäran att få ut uppgifter från Social- styrelsen om avlidnas dödsdatum och dödsorsak med hänvisning till att uppgifterna inte ansågs behövas för forsknings- och stati- stikändamål och därmed omfattades av absolut sekretess. Begäran

616

SOU 2006:82

Bilaga 1

kom från Thoraxkliniken Karolinska sjukhuset i Stockholm och uppgifterna var avsedda att användas för insamling och analys i Hjärtkirurgiregistret, ett av de s.k. nationella kvalitetsregistren.

Då kvalitetsregister således varken hänförs till forsknings- eller statistikändamål kan registren inte längre få ut dessa uppgifter. Upp- gifter om dödsorsak är ofta en avgörande förutsättning för kvali- tetsregistrens funktion som kvalitets- och uppföljningsinstrument. Uppgift om dödsdatum går att inhämta från andra källor som inte omfattas av absolut sekretess, som exempelvis folkbokföringsre- gistret.

Översyn av övriga register

De regionala cancerregistren, blodgivarregistren och vaccinations- registret, men i viss mån också donationsregistret och metadon- registret kommer att innehålla eller innehåller redan en stor mängd känsliga personuppgifter. Det är därför särskilt viktigt att de ingår i den översyn av området som utredaren får i uppdrag att utföra.

Uppdraget

Utredaren skall kartlägga de register för uppföljning och kvalitets- säkring som finns i hälso- och sjukvården och i annan medicinsk verksamhet. En fråga är vilka krav som skall ställas för att ett regis- ter skall anses vara ett nationellt kvalitetsregister. I uppdraget ingår således att lämna förslag till hur dessa nationella kvalitetsregister skall definieras.

Utredaren skall föreslå hur behandlingen av personuppgifter i nationella kvalitetsregister inom hälso- och sjukvården eller annan medicinsk verksamhet skall författningsregleras.

Utredaren skall särskilt beakta vilka uppgifter som skall få registre- ras och vad som skall krävas vid behandling av uppgifterna. Utgångs- punkten bör, liksom i dag, vara att den enskilde skall lämna ett ut- tryckligt och informerat samtycke till behandlingen av person- uppgifterna, dock skall utredaren analysera konsekvenserna av att registreringen inte alltid blir heltäckande om samtycke krävs. Ut- redaren skall göra en lämplig avvägning mellan enskildas behov av skydd för den personliga integriteten å ena sidan och nyttan för samhället av de nationella kvalitetsregistren å den andra. Utredaren

617

Bilaga 1

SOU 2006:82

skall även överväga för vilka ändamål uppgifterna får behandlas, vad som skall gälla för register av olika livslängd, för bevarande av upp- gifterna samt vem som skall få åtkomst till uppgifterna. Här avses om uppgifterna bör få överföras dels mellan verksamheter inom hälso- och sjukvården inklusive den enskilda vården, dels mellan hälso- och sjukvården och myndigheter eller andra organisationer.

I utredarens uppdrag ingår att analysera om och i vilken utsträck- ning uppgifter skall kunna lämnas och registreras för verksamhet som bedrivs av andra än landsting.

Utredaren skall också granska om sekretessregleringen, främst bestämmelsen i 9 kap. 4 § sekretesslagen, utgör hinder för att upp- gifter skall kunna lämnas till respektive lämnas ut från kvalitets- registren. Om så är fallet skall utredaren överväga om, och i så fall i vilken utsträckning, uppgifter bör få lämnas till respektive från registren. I sistnämnda fall skall utredaren lämna förslag som gör sådant uppgiftsutlämnande möjligt. Om utredaren stöter på andra problem med anledning av gällande sekretessbestämmelser, skall utredaren även se över dessa samt lämna förslag till lösning på problemen.

Utredaren skall överväga om övriga register, som de regionala cancerregistren, donationsregistret och metadonregistret behöver författningsregleras. Detta gäller också de register man planerar att inrätta, som vaccinationsregistret och blodgivarregistret. Om ut- redaren anser det nödvändigt, skall han också lämna förslag till så- dan författning.

Utredaren skall beakta de författningar som existerar i dag och som påverkar behandlingen av personuppgifter på området såsom personuppgiftslagen (1998:204) och det underliggande EG-direk- tivet om personuppgifter, sekretesslagen (1980:100), patientjour- nallagen (1985:562) och hälso- och sjukvårdslagstiftningen i övrigt. Utredaren skall, i förekommande fall, föreslå följdändringar i andra lagar och förordningar.

Hälso- och sjukvården utförs i dag av även andra än landstingen, bl.a. av privata aktörer. En del av dem är små företag som också kan ha intresse av att utveckla vårdens kvalitet och därför själva vill föra kvalitetsregister. Detta kan också gälla för övriga register som är i fråga. För dessa aktörer är det särskilt viktigt att de administrativa konsekvenserna av en författningsreglering inte går utöver de in- tressen regleringen avser att skydda. Detta är en omständighet som utredaren skall beakta i en särskild analys av konsekvenserna av reglers effekter för små företags villkor. Utredaren skall, när det

618

Bilaga 2

Kommittédirektiv

Tilläggsdirektiv till Utredningen om författ-	Dir.
ningsreglering av nationella kvalitetsregister	2004:95
inom hälso- och sjukvården, m.m.
(S 2003:03)

Beslut vid regeringssammanträde den 23 juni 2004.

Sammanfattning av uppdraget

Den särskilda utredaren skall se över hur behandlingen av person- uppgifter inom hälso- och sjukvården regleras samt lämna förslag till en väl fungerande och sammanhängande reglering av området.

Utredaren skall vid utformningen av sina förslag göra en avväg- ning mellan enskildas behov av skydd för den personliga integrite- ten och nyttan för samhället och patientsäkerheten.

Utredaren skall inom ramen för uppdraget överväga frågor som rör

•elektroniska patientjournaler,

•för vilka ändamål personuppgifter skall få behandlas,

•överföring av uppgifter både mellan olika organisatoriska vård- enheter inom den offentliga hälso- och sjukvården, samt

•mellan den offentliga hälso- och sjukvården och verksamhet som bedrivs av andra än landsting.

Utredaren skall i sina överväganden utgå från att all journalhanter- ing i framtiden i huvudsak skall vara elektronisk. Formerna för den enskilde patientens möjlighet att ta del av uppgifter om sig själv via Internet bör också utredas.

Utredaren skall särskilt se över bestämmelserna i patientjournal- lagen (1985:562) och lagen (1998:544) om vårdregister samt lämna förslag till ändringar i dessa eller till en ny författningsreglering.

Utredaren skall också utreda frågor kring den överföring och det utbyte av personuppgifter som förekommer i det internationella samarbetet beträffande uppgifterna i kvalitetsregistren. Utredaren skall vid behov lämna förslag till bestämmelser om detta.

621

Bilaga 2

SOU 2006:82

I utredarens uppdrag ingår också att se över frågan om Läke- medelsverket skall få föra ett register för uppföljning av läkemedels ändamålsenlighet. Utredaren skall överväga hur ett sådant register skall regleras.

Utredaren får vidare i uppdrag att göra en generell översyn av lagen (1996:1156) om receptregister och anpassa den till övrig lagstiftning inom området.

Behandlingen av personuppgifter skall regleras med beaktande av personuppgiftslagen (1998:204).

Utredaren skall göra en översyn av aktuella bestämmelser i lagen (1998:543) om hälsodataregister och sekretesslagen (1980:100). Utredaren skall också göra en översyn av andra bestämmelser på hälso- och sjukvårdens område som berörs av uppdraget, t.ex. lagen (1998:531 ) om yrkesverksamhet på hälso- och sjukvårdens område. Utredaren skall lämna förslag till nödvändiga ändringar i även dessa författningar.

Den översyn av författningarna som skall göras och de förslag som lämnas skall utgå från syftet att skapa en sammanhållen reglering av hanteringen av personuppgifter inom hälso- och sjukvården.

Utredaren skall redovisa uppdraget senast den 31 december 2005.

Bakgrund

IT-utvecklingen inom hälso- och sjukvården

Hanteringen av datalagring och informationsflöden inom hälso- och sjukvårdssektorn har under senare år undergått en genomgrip- ande förändring. Från att tidigare ha varit en helt och hållet pappers- baserad hantering, har den tekniska utvecklingen medfört att en övervägande och ständigt växande andel av allt informationsutbyte nu sker i elektronisk form.

En ökad användning av IT-stöd inom hälso- och sjukvården skapar helt nya möjligheter för sektorn att använda befintliga resurser på ett mer effektivt sätt. Genom att digitalisera en rad administrativa processer och därigenom effektivisera hanteringen av exempelvis provsvar, remisser och journalföring, kan stora personella och eko- nomiska resurser frigöras för sjukvårdshuvudmännen. Den ökade användningen av IT-stöd inom hälso- och sjukvården utgör därmed ett kraftfullt verktyg för att minska vårdpersonalens administrativa börda och som en konsekvens stärka sektorns kärnverksamhet, vilket

622

SOU 2006:82

Bilaga 2

är till stor vinst såväl för patienter och anhöriga som vårdpersonal och sjukvårdshuvudmän.

I detta sammanhang bör också vikten av att beakta frågor om IT- säkerhet för att skydda de registrerades integritet särskilt uppmärk- sammas i utredningsarbetet.

Ett nytt arbetssätt och en ökad digitalisering av hälso- och sjuk- vårdssektorn medför också nya utmaningar. Dels aktualiseras tidi- gare okända juridiska frågeställningar, dels uppstår en diskussion om de tekniska hinder som fortfarande existerar mellan olika vård- givare. Tre initiativ för att lösa problemställningarna ovan bör i detta sammanhang särskilt nämnas.

Hösten 2003 beslutade regeringen att tillsätta en IT-politisk strategigrupp med uppdrag att främja informationssamhällets fort- satta utveckling i Sverige. Gruppen har identifierat ett antal fokus- områden som man kommer att koncentrera sin verksamhet kring. Ett av dessa fokusområden är vård och omsorg, vilket innebär att man tar ett samlat grepp om utvecklingen av informations- och kommunikationsteknik inom såväl hälso- och sjukvården som de sociala omsorgerna. En arbetsgrupp bestående av centrala aktörer inom sektorn har nu bildats som en undergrupp till strategigruppen.

Carelink är en medlemsorganisation där landsting, regioner, kom- muner och privata vårdgivare inbjuds att bli medlemmar för att finna gemensamma lösningar för att möjliggöra en ökad IT-användning inom hälso- och sjukvården. Förbättrade samverkansformer skapar möjligheter för ett ökat informationsutbyte och gemensamt nytt- jande av resurser över kommun- och landstingsgränserna. Det mest konkreta resultatet av Carelinks verksamhet är etablerandet av Sjunet, en nationell IT-infrastruktur för samtliga Sveriges landsting och ett växande antal kommuner. Detta nätverk är en grundförut- sättning för ett nationellt informationsutbyte mellan de olika vård- nivåerna.

År 2000 beslutade riksdagen om en nationell handlingsplan för utveckling av hälso- och sjukvården för perioden 2001–2004. I sam- band härmed uppdrog regeringen åt bl.a. Socialstyrelsen att svara för samordningen av arbetet med att förbättra informationsför- sörjning och verksamhetsuppföljning inom hälso- och sjukvården, bl.a. med hjälp av IT. Socialstyrelsens projekt som bedrivs under namnet InfoVU, skall avrapporteras till regeringen 2005.

623

Bilaga 2

SOU 2006:82

Kvalitetsregisterutredningens arbete

Kvalitetsregisterutredningen (S 2003:03) har i sitt arbete med att lämna förslag till en särskild författningsreglering av nationella kvalitetsregister stött på flera frågor som gäller gränsdragningen mellan en reglering av dessa register och övrig reglering, främst vårdregisterlagen (1998:544). Då det sedan tidigare finns ett behov av en bredare översyn av personuppgiftshanteringen inom hälso- och sjukvården, anser regeringen att det är lämpligt att området nu ses över i sin helhet. Kvalitetsregisterutredningen får därför i upp- drag att göra denna översyn. För en närmare redogörelse för kvali- tetsregisterbegreppet hänvisas till utredningens direktiv, dir. 2003:42.

Nuvarande reglering

Förutom de författningar som sedan tidigare finns angivna i direk- tiven till Kvalitetsregisterutredningen (S 2003:03) har följande lagar betydelse för behandlingen av personuppgifter inom hälso- och sjukvården.

Patientjournallagen (1985:562) trädde i kraft den 1 januari 1986 och innehåller bestämmelser om patientjournalens innehåll, ut- formning och hantering, hur journalerna skall bevaras, vilka yrkes- kategorier som är skyldiga att föra journal, omhändertagande av journaler, offentlighet och sekretess m.m. Lagen är teknikoberoende, dvs. den gäller för såväl automatiserad som viss manuell hantering av personuppgifter.

Apoteket AB får enligt 1 § lagen (1996:1156) om receptregister för vissa ändamål med hjälp av automatisk databehandling föra ett register (receptregister) över förskrivningar av läkemedel och andra varor som omfattas av lagen (2002:160) om läkemedelsförmåner m.m. Registret tillkom i första hand för att användas som underlag för faktureringen från Apoteket AB till landstingen för deras res- pektive delar av kostnaderna för läkemedelsförmånerna. Registret är också avsett att användas för att samla in och vidarebefordra information från recepten för landstingens ekonomiska uppfölj- ning och planering samt för förskrivarnas, verksamhetschefernas, läkemedelskommittéernas och Socialstyrelsens medicinska uppfölj- ning och kvalitetssäkringsarbete samt för Socialstyrelsens tillsyn.

624

SOU 2006:82

Bilaga 2

Tidigare översyner och utredningar

I mars 1999 uppdrog regeringen åt Socialstyrelsen att utreda om- fattningen av administrativt arbete i vården och föreslå åtgärder för att få bort onödig administration i hälso- och sjukvården. Rappor- ten Omfattningen av administration i vården överlämnades till regeringen i januari 2000. Den innehöll förslag till flera åtgärder kring dokumentationsfrågor.

I regleringsbrevet för år 2000 fick Socialstyrelsen i uppdrag att utvärdera och se över patientjournallagen (1985:562). I utvärder- ingen skulle det ingå en analys av kraven på och formerna för jour- naldokumentationen. Utifrån utvärderingen skulle Socialstyrelsen föreslå de förändringar som var påkallade mot bakgrund av ut- vecklingen inom hälso- och sjukvården. Uppdraget redovisades i december 2001, i rapporten Patientjournallagen – en översyn med förslag till författningsändringar.

Sekretess m.m.

Sekretess inom den offentliga hälso- och sjukvården regleras i sekretesslagen (1980:100). Sekretess gäller, med vissa undantag, inom hälso- och sjukvården för uppgift om enskild persons hälso- tillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom närstående lider men. Sekretessen kan innebära hinder mot att upp- gifter om en patient lämnas från en enhet till en annan inom en myndighet, mellan myndigheter eller från en myndighet till en en- skild vårdgivare.

Bestämmelser om tystnadsplikt inom enskild hälso- och sjukvård regleras i lagen (1998:531) om yrkesverksamhet på hälso- och sjuk- vårdens område. I lagen stadgas att den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjuk- vården inte obehörigen får röja vad han eller hon i sin verksamhet har fått veta om en enskild persons hälsotillstånd eller andra per- sonliga förhållanden. Vid tolkningen av obehörighetsrekvisitet har det ansetts naturligt att söka ledning i skaderekvisitet som finns i sekretesslagens bestämmelse om sekretess inom hälso- och sjuk- vården.

Regeringen beslutade i april 1998 att tillsätta en parlamentarisk kommitté som bl.a. skulle göra en allmän översyn av sekretesslagen

625

Bilaga 2

SOU 2006:82

(1980:100) samt särskilt uppmärksamma vissa frågor som rör sek- retess och myndigheternas möjligheter att samverka (Offentlig- hets- och sekretesskommittén, dir. 1998:32). Kommittén överläm- nade den 4 december 2003 sitt huvudbetänkande Ny sekretesslag (SOU 2003:99) till regeringen. Betänkandet innehåller bl.a. förslag som rör sekretessgränserna inom ett landsting och möjligheterna till sekretessgenombrott mellan myndigheter och i förhållande till enskilda vårdgivare. Förslagen har betydelse för frågan om över- föring av uppgifter mellan olika vårdgivare inom hälso- och sjuk- vården med hjälp av IT.

Behovet av en samlad översyn

Under senare år har det av olika skäl uppstått ett behov av en över- syn av regleringen av behandlingen av personuppgifter inom hälso- och sjukvården. Användningen av automatiserad databehandling inom området har ökat. Kraven på att landstingen skall bedriva kvalitetsuppföljning av sin verksamhet har ökat. Patienter har fått större möjligheter att välja vård utanför sitt hemlandsting. Patien- ter bereds också möjligheter till vård utanför Sveriges gränser och medborgare i andra länder, framför allt från övriga Europa, kan söka vård vid svenska sjukhus. Detta innebär ökade krav på landstingens planerings- och kvalitetssäkringsarbete.

Hälso- och sjukvården har under senare år genomgått stora strukturförändringar och antalet driftsformer inom sjukvården är i dag fler än för några år sedan. Ett stort antal privata vårdgivare in- går numera regelmässigt i vårdkedjan. En utveckling mot kortare vårdtider och en större rörlighet för både patienter och personal har pågått i flera år och allt tyder på att den kommer att fortsätta. Genom t.ex. inhyrning av personal från bemanningsföretag ökar det antal personer som direkt involveras i vården av en enskild patient. Det har också blivit allt vanligare att man inom hälso- och sjukvården dokumenterar uppgifter kring patienten i elektroniska patientjournaler. Inom primärvården används sådana journaler av en mycket stor andel av allmänläkarna och även på sjukhusen an- vänds elektroniska journaler i allt större utsträckning. Samtidigt har patienternas inflytande och kännedom om rätten till information m.m. ökat. Sammantaget innebär dessa faktorer att de krav som sam- hället, patienterna och omvärlden ställer på patientdokumentation har ökat.

626

SOU 2006:82

Bilaga 2

Ett antal frågor om hur de olika författningar som reglerar om- rådet förhåller sig till varandra måste besvaras, både vad gäller inne- håll och gränsdragningsproblem. Möjligheten att skapa en samman- hållen lagstiftning för behandlingen av personuppgifter inom hälso- och sjukvården skall därför utredas.

Behovet av en översyn av patientjournallagen

Den tid och de resurser som hälso- och sjukvården lägger på admi- nistration och dokumentation är betydande. En bra och enkel journalföring kan bidra till att resurserna används mer effektivt vilket leder till att dessa i stället kan användas till vård och omsorg för den enskilde. Om en ny reglering av journalföringen också leder till att uppföljning och utvärdering kan förbättras kan det i sin tur innebära att kvaliteten och patientsäkerheten i vården ökar. Det finns därför ett behov av att utreda om en mer enhetlig hanter- ing av journaldokumentationen i hela landet kan säkra hanteringen av personuppgifter inom vården samtidigt som patientsäkerheten och patientens egen möjlighet till medverkan kan stärkas.

Överföring av patientuppgifter mellan olika organisatoriska vårdenheter

Den ökade användningen av elektroniska journaler gör det tekniskt möjligt att snabbt och effektivt inhämta eller föra över uppgifter om en patient till en annan vårdenhet när detta behövs för att ge patienten vård eller behandling. Det är dock viktigt att ställa eventu- ella effektivitetsvinster mot den enskildes rätt till integritetsskydd.

Socialstyrelsen har i rapporten Patientjournallagen – en översyn med förslag till författningsändringar föreslagit att det bör framgå av patientjournallagen att en enda sammanhållen journal skall kunna föras per patient. Syftet med bestämmelsen är att minska onödig dokumentation i vården, så att samma uppgift inte skall behöva dokumenteras flera gånger. Vidare menade styrelsen att ett sätt att ytterligare nedbringa tiden för patientdokumentation är att använda en och samma journal för olika vårdtillfällen vid skilda enheter. För att detta skall kunna ske gäller att sekretessen inte lägger hinder i vägen och att möjligheter ges till att gemensamt behandla person- uppgifter.

627

Bilaga 2

SOU 2006:82

Datainspektionen har i sitt remissvar över Socialstyrelsens rapport pekat på att det ur sekretess- och integritetshänseende finns flera problem med en sådan lösning. Det saknas också en analys av hur bestämmelserna i personuppgiftslagen (1998:204) och vårdregister- lagen (1998:544) skall kunna tillämpas när en gemensam journal förs med stöd av IT. Som exempel kan nämnas frågan om vem som skall betraktas som personuppgiftsansvarig och vara skyldig att informera om den personuppgiftsbehandling som sker och vidta de tekniska och organisatoriska säkerhetsåtgärder som personupp- giftslagen kräver. Lämpligheten av, samt förutsättningarna för, en sammanhållen journal för varje patient bör därför utredas.

Vidare bör utredaren se över förutsättningarna för att överföra personuppgifter mellan verksamheter inom privat och offentlig hälso- och sjukvård, samt mellan hälso- och sjukvården och andra verksamheter där uppgifterna används eller bör få användas. I detta sammanhang skall Offentlighets- och sekretesskommitténs förslag särskilt beaktas.

Journalhantering vid gränsöverskridande vård

Enligt 5 § patientjournallagen (1985:562) skall de journalhandlingar som upprättas inom hälso- och sjukvården vara skrivna på svenska språket, vara tydligt utformade och så långt möjligt förståeliga för patienten. I Socialstyrelsens föreskrifter och allmänna råd om patient- journallagen finns vissa undantag vad gäller språket (SOSFS 1993:20). Det handlar om de fall då hälso- och sjukvårdspersonalen har ut- bildning från ett annat land, då journal i vissa fall får föras på annat språk, eller de fall då patienten inte behärskar det svenska språket.

Mot bakgrund av att den fria rörligheten av personer inom EU öppnar för möjligheter till gränsöverskridande vård finns det behov av att utreda om bestämmelserna på ett tillräckligt sätt tillgodoser patienternas rätt att kunna ta del av dokumentationen.

Behovet av en översyn av vårdregisterlagen

Automatiserad databehandling av personuppgifter vid medicinsk behandling i sjukvården regleras i dag genom vårdregisterlagen (1998:544). Enligt lagen får uppgifter bland annat behandlas för uppföljning, utvärdering och kvalitetssäkring och administration på

628

SOU 2006:82

Bilaga 2

verksamhetsområdet. Dessa ändamål sammanfaller till vissa delar med de syften som ligger bakom kvalitetsregistren.

Inom hälso- och sjukvården pågår en ständig utveckling mot att tekniskt integrera kvalitetssäkringsarbetet med elektronisk patient- journalföring eller annan individinriktad verksamhet. Vid en sådan integrering blir det allt svårare att särskilja personuppgiftsbehand- ling som sker i respektive utanför ett vårdregister dvs. att avgöra om en behandling av personuppgifter regleras av vårdregisterlagen eller inte. Det vore olyckligt om samma personuppgiftsbehandling inom den medicinska vården skulle komma att regleras av två olika lagar, vårdregisterlagen och en ny lag om kvalitetsregister. Bestäm- melserna i vårdregisterlagen behöver därför ses över och utformas i överensstämmelse med övrig lagstiftning på området, inte minst den författningsreglering som skall gälla för kvalitetsregistren.

Det är inte möjligt att lämna ut uppgifter i ett vårdregister för automatiserad behandling för ett ändamål som avviker från 3 och 4 §§ vårdregisterlagen. Som exempel kan nämnas utlämnande av uppgifter från ett vårdregister för behandling med stöd av lagen (2001:454) om behandling av personuppgifter inom socialtjänsten. Det dubbla huvudmannaskapet, framförallt vid vård av äldre och psykiskt sjuka, ställer stora krav på väl fungerande informations- system och samverkan mellan landsting och kommuner.

Det finns i dag vissa problem med att tolka ändamålsbestämmel- serna i vårdregisterlagen. Bland annat har frågan uppstått i vilken utsträckning personuppgifter i ett vårdregister kan användas för utvärdering, kvalitetssäkring och uppföljning av landstingens verk- samhet. Det finns därför anledning att se över bestämmelserna också från dessa utgångspunkter.

Vidare behöver begreppet direktåtkomst ses över. Endast den som behöver uppgifter ur ett vårdregister för sitt arbete har direkt- åtkomst till dessa. Detta innebär att patienten saknar rätt till direkt- åtkomst till uppgifter om sig själv ur ett vårdregister. Utredaren bör se över möjligheten att införa en sådan rätt till direktåtkomst för patienten, med beaktande av möjligheten att utnyttja informations- teknikens fördelar samt möjligheten att utföra nödvändig sekre- tessprövning.

629

Bilaga 2

SOU 2006:82

Behovet av översyn av övriga frågor

Internationella frågor för kvalitetsregisterföring

Det sker ett ökat utbyte av personuppgifter mellan kvalitetsregister i Sverige och kvalitetsregister som förs inom hälso- och sjukvård utomlands.

Särskilt register för uppföljning av läkemedels ändamålsenlighet

I en skrivelse till Socialdepartementet har Läkemedelsverket hem- ställt att regeringen inom ramen för lagen (1998:543) om hälsodata- register skall utfärda föreskrifter för uppföljning av läkemedels ändamålsenlighet (S2002/5495/HS). Verket pekar på att det inom det centrala förfarandet inom EU, jfr rådets förordning (EEG) nr 2309/93 av den 22 juli 1993 om gemenskapsförfaranden för god- kännande för försäljning av och tillsyn över humanläkemedel och veterinärmedicinska läkemedel samt om inrättande av en europeisk läkemedelsmyndighet (EGT L 214, 24.08.1993, s. 1, Celex 393R2309), har beslutats om godkännanden av läkemedel för försäljning med villkor att uppföljningsregister upprättas för att behandla uppgifter om bl.a. känsliga patientdata, läkemedelsförskrivning, användning och effekter. Det har föreslagits att läkemedelsföretagen själva skall vara personuppgiftsansvariga. Läkemedelsverket har motsatt sig att dessa register skall föras av företagen och ansett att denna uppgift borde ligga på tillsynsmyndigheten.

Ändamålet för ett sådant uppföljningsregister föreslås vara fram- ställning av statistik, uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård samt forskning och epidemiologiska under- sökningar. Ändringarna är enligt Läkemedelsverket nödvändiga för att verket skall kunna fullgöra sina tillsynsåtaganden enligt läke- medelslagen (1992:859) och förordningen (1996:611) med instruk- tion för Läkemedelsverket.

Utredningen om uppföljning inom läkemedelsområdet (S 2002:04) gjorde i betänkandet Ökad patientsäkerhet på läkemedelsområdet (SOU 2003:52) bedömningen att Läkemedelsverket, för att kunna lösa sina nationella uppgifter men också leva upp till de krav på uppföljning som åläggs av EU, bör ges möjligheter att följa upp läkemedel med särskilda säkerhetsproblem eller andra medicinska frågeställningar som kräver svar inom något eller några få år. Ut- redningen ansåg att denna uppgift inte skulle kunna lösas med det

630

SOU 2006:82

Bilaga 2

läkemedelsregister som den föreslog skulle inrättas i form av ett hälsodataregister vid Socialstyrelsen. Utredningen drog slutsatsen att Läkemedelsverkets behov av ett register för uppföljning av läke- medels ändamålsenlighet bäst skulle kunna tillgodoses genom att det skapades ett särskilt register.

Behov av särskilda uppföljningsinsatser för läkemedel kan identi- fieras redan vid godkännandet, exempelvis om genomförda studier är av kort varaktighet. Behovet kan också uppkomma efter en tids användning av läkemedlet i klinisk vardag. Uppföljningsbehovet kan vara specifikt för vissa patientgrupper som inte har behandlats i kliniska prövningar, exempelvis äldre och barn. Det kan också gälla s.k. särläkemedel där få patienter behandlas och ytterligare kunskap måste insamlas systematiskt. För att kunna identifiera sällsynta bi- verkningar eller effekter krävs stora tal varför data måste insamlas på nationell nivå. Frågeställningar som kan behöva belysas är exem- pelvis risker för cancer eller svåra infektioner som tuberkulos vid behandling med läkemedel mot diabetes, reumatism och HIV.

Dessa frågeställningar kan inte besvaras snabbt och tillförlitligt utan tillgång till strukturerad medicinsk information som kan tas fram i ett register för uppföljning av läkemedlens ändamålsenlighet. Läkemedelsverket har redan idag delvis tillgång till information av denna karaktär men verket kan inte sammanställa och bearbeta denna information på ett ändamålsenligt sätt på grund av avsaknad av legalt stöd.

Uppföljning, utvärdering och kvalitetssäkring

Utredningen om uppföljning inom läkemedelsområdet hade bl.a. i uppdrag att överväga vilka åtgärder som kunde vidtas för att till- godose landstingens behov av förbättrade möjligheter till uppfölj- ning av läkemedel. Utredningen fann i sitt betänkande Ökad patientsäkerhet på läkemedelsområdet (SOU 2003:52) att det finns ett berättigat intresse för det allmänna av förbättrade uppföljnings- möjligheter. I fråga om landstingens uppföljningsmöjligheter läm- nade utredningen dock inga förslag. Utredningen ansåg att lands- tingens krav på uppföljning skulle kräva inrättande av olika läke- medelsregister som visserligen skulle medföra effektivare uppfölj- ning av läkemedelsanvändningen, men som av hänsyn till skyddet för den enskildes integritet inte kunde anses motiverade.

631

Bilaga 2

SOU 2006:82

En effektivare användning av läkemedel innebär fördelar för såväl den enskilde patienten som det allmänna. Regeringen anser därför att landstingens behov av och möjligheter till uppföljning och ut- värdering skall utredas ytterligare. Detta innebär bl.a. att dagens möjligheter till uppföljning bör kartläggas. Patientsäkerheten skall särskilt beaktas.

Receptregisterlagen – en översyn

Utredningen om uppföljning inom läkemedelsområdet gjorde i betänkandet Ökad patientsäkerhet på läkemedelsområdet (SOU 2003:52) bedömningen att en översyn av receptregisterlagens (1996:1156) regler är motiverad i syfte att bättre anpassa denna till reglerna i personuppgiftslagen (1998:204) En grundläggande orsak till behovet är att frågan inte uppmärksammades då personupp- giftslagen år 2001 ersatte den tidigare datalagen (1973:289). Enligt personuppgiftslagen är det i princip tillåtet att behandla personupp- gifter om den registrerade har lämnat sitt samtycke till det och de grundläggande kraven i 9 § personuppgiftslagen är uppfyllda. Recept- registerlagen omfattar ändamål som får tillgodoses dels utan den en- skildes samtycke, dels i två avseenden när det gäller registrering med den enskildes samtycke. Konsekvensen har blivit att viss osäkerhet kan råda om vilka principer som numera skall anses gälla vid tolk- ningen av receptregisterlagens tillämpningsområde.

Uppdraget

Utredaren skall lämna förslag till en reglering av behandlingen av personuppgifter inom hälso- och sjukvården. Utredaren skall i sitt uppdrag överväga för vilka ändamål personuppgifter får behandlas inom hälso- och sjukvården. Regleringen skall omfatta behandling- en av personuppgifter i den medicinska vården, den kvalitetsför- bättrande verksamheten, forskningen och den administrativa verk- samheten inom hälso- och sjukvården.

Utredaren skall i sina förslag utgå från hur personuppgifter bör hanteras i syfte att öka patientsäkerheten och möjligheterna till patientmedverkan, förbättra såväl den medicinska som den eko- nomiska uppföljningen samt minska administrationen samtidigt som hanteringen av personuppgifter säkras och den personliga integriteten skyddas. För uppdraget som helhet gäller att utredaren

632

SOU 2006:82

Bilaga 2

skall göra en lämplig avvägning mellan skydd av den personliga integriteten å ena sidan och nyttan för samhället och patientsäker- heten å andra sidan. Förslagen skall vidare syfta till att skapa en väl fungerande och sammanhängande reglering av området.

Utgångspunkten skall, liksom i dag, vara att den enskilde skall lämna ett uttryckligt och informerat samtycke till utbyte av infor- mation om honom eller henne och till alla konkreta åtgärder som vidtas för dennes vård och behandling. Om undantag från denna huvudregel föreslås skall fördelar och nackdelar med ett sådant förslag noggrant belysas.

I uppdraget ingår att särskilt se över bestämmelserna i patient- journallagen (1985:562) och lagen (1998:544) om vårdregister samt att lämna förslag till ändringar i dessa eller, om utredaren finner det mer lämpligt, till en ny författningsreglering.

Utredaren skall analysera förutsättningarna för och nyttan av att skapa en för samtliga vårdgivare sammanhållen journal för varje patient, på nationell nivå eller på landstingsnivå. Om utredaren finner att en sammanhållen journal är ändamålsenlig utifrån patient- säkerhet, förbättrad uppföljning, begränsad administration samt att den är förenlig med skyddet av den personliga integriteten skall han lämna de författningsförslag som är nödvändiga. Om utredaren finner att en sammanhållen journal inte bör skapas eller att den av tekniska skäl inte kan genomföras inom kort, skall utredaren granska och analysera förutsättningarna i övrigt för att överföra person- uppgifter mellan verksamheter inom privat och offentlig hälso- och sjukvård, samt mellan hälso- och sjukvården och andra verksam- heter där uppgifterna används eller bör få användas. Utredaren skall lämna förslag till hur detta skall regleras. Vid förskrivning av läke- medel kan det vara angeläget att inhämta information om tidigare förskrivningar för patienten. Utredaren skall därför överväga om förskrivare av patientsäkerhetsskäl bör kunna ta del av uppgifter om andra förskrivare som patienten haft kontakt med under den senaste tiden för att med denne kunna diskutera patientens läke- medelssituation inför en ny förskrivning av läkemedel. Utredaren skall överväga vilken information som krävs för att den tidigare förskrivaren skall kunna kontaktas och lämna de förslag som krävs.

I uppdraget ingår att utreda om bestämmelserna om språk vid journalföring tillgodoser patienternas rätt att kunna ta del av sin patientjournal samt att i förekommande fall lämna förslag till lämp- lig reglering.

633

Bilaga 2

SOU 2006:82

Utredaren skall se över och vid behov föreslå nya bestämmelser kring den överföring av personuppgifter som förekommer i det internationella samarbete som många av kvalitetsregistren deltar i.

Vidare skall utredaren granska och analysera vårdregisterlagens bestämmelser för en anpassning till näraliggande lagstiftning på området samt lämna förslag till en lämplig reglering. Utredaren skall särskilt beakta landstingens möjligheter att kunna bedriva uppföljning, utvärdering och kvalitetssäkring av sin verksamhet samt landstingens samverkan med kommuner kring vissa patientkate- gorier, t.ex. psykiskt sjuka och äldre personer. I den mån förtyd- ligande eller tillägg till befintlig lagstiftning bedöms vara nödvändig för att sådan uppföljning skall kunna genomföras, skall utredaren lämna författningsförslag. Vidare ingår det i uppdraget att se över möjligheterna för patienten att via Internet få ta del av uppgifter om sig själv på ett sätt som möjliggör nödvändig sekretessprövning.

En effektivare användning av läkemedel innebär fördelar för såväl den enskilde som samhället i stort. Utredaren skall redovisa hur lands- tingens möjligheter till uppföljning, utvärdering och kvalitetssäkring, särskilt med avseende på förskrivning och användning av läkemedel på förskrivar- och individnivå, kan tillgodoses utifrån de förslag som utredaren i övrigt lämnar om behandlingen av personuppgifter. Om dessa förslag inte tillgodoser landstingens behov skall utredaren lämna de förslag som är nödvändiga för att detta skall bli möjligt.

Utredaren skall överväga om, och i så fall hur, ett register för läkemedels ändamålsenlighet bör utformas och, mot bakgrund av övriga överväganden, vid behov lämna förslag till en reglering för ett sådant register hos Läkemedelsverket.

Utredaren skall även se över receptregisterlagen (1996:1156), i syfte att anpassa den till övrig lagstiftning på området, däribland bestämmelserna i personuppgiftslagen, samt lämna de förslag till ändringar som utredaren anser lämpliga, eller, vid behov, en ny för- fattning.

Behandlingen av personuppgifter skall regleras mot bakgrund av personuppgiftslagen (1998:204.)

Utredaren skall göra en översyn av aktuella bestämmelser i lagen (1998:543) om hälsodataregister och sekretesslagen (1980:100). Ut- redaren skall också göra en översyn av andra bestämmelser på hälso- och sjukvårdens område som berörs av uppdraget. Utredaren skall lämna förslag till nödvändiga ändringar i även dessa författningar.

634

SOU 2006:82

Bilaga 2

Utredningen skall ha som utgångspunkt att all journalföring i framtiden i huvudsak skall vara elektronisk. Vidare bör utredaren i sina förslag utgå från de datatekniska möjligheter som finns i dag att t.ex. hantera databaser och begränsa antalet användare. I dessa frågor skall utredaren samråda med regeringens IT-politiska strategi- grupp, InfoVU-projektet och Carelink.

Utredaren skall i förekommande fall lämna förslag till nödvändig speciallagstiftning. Eftersom det är regeringens mening att special- lagstiftning som huvudregel bör gälla utöver personuppgiftslagen och begränsas till att avse frågor som är specifika för den verksam- het som omfattas av lagstiftningen, skall utredaren lämna förslag till lagstiftning utformad efter sådana riktlinjer.

Hälso- och sjukvården utförs i dag även av andra än landstingen, bl.a. privata aktörer. En del av dem är små företag som också berörs av utredarens uppdrag. Detta är en omständighet som utredaren skall beakta i en särskild analys av konsekvenserna av reglers effekter för små företags villkor. Utredaren skall, när det gäller förslagens kon- sekvenser för små företag, samråda med Näringslivets regelnämnd (NNR).

Om utredningens förslag påverkar kostnaderna eller intäkterna för staten, kommuner, landsting eller enskilda, skall en beräkning av dessa kostnader redovisas. Vid kostnadsökningar och intäktsminskningar för staten, kommuner eller landsting, skall utredaren föreslå en finansiering.

Utredaren skall i sitt arbete samråda med Läkemedelsverket, Socialstyrelsen och andra berörda organisationer.

Inom regeringskansliet har ett uppdrag givits att analysera försäk- ringsbolagens hantering av patientjournaler och annan information om den enskildes hälsa. Mot bakgrund av analysen skall övervägas om det bör införas begränsningar när det gäller försäkringsbolagens möjligheter att begära att den som vill teckna en försäkring ger bo- laget tillgång till information från hälso- och sjukvården. Utredaren skall samråda med den som har fått detta uppdrag.

635

Bilaga 3

Kommittédirektiv

Tilläggsdirektiv till Utredningen om författ-	Dir.
ningsreglering av nationella kvalitetsregister	2005:150
inom hälso- och sjukvården, m.m.
(S 2003:03)

Beslut vid regeringssammanträde den 20 december 2005.

Sammanfattning av uppdraget

Den särskilda utredaren skall utarbeta förslag till författningsreg- lering av det nationella register för vaccinationer som i dag förs i projektform av Läkemedelsverket, Smittskyddsinstitutet och Social- styrelsen. Registret planeras av dessa myndigheter bestå av dels en vårddatabas, dels en analysdatabas.

Frågan om författningsreglering av den del som utgör vårddata- basen omfattas av utredarens nuvarande uppdrag enligt tidigare be- slutade tilläggsdirektiv till utredningen (dir. 2004:95).

Utredarens utgångspunkt skall vara att analysdatabasen kan reg- leras som ett hälsodataregister. Om utredaren finner att starka skäl talar emot att registret regleras som ett hälsodataregister, skall ut- redaren redovisa skälen för detta samt utarbeta ett förslag till annan reglering. Utredaren skall bland annat analysera i vilken utsträckning information skall få föras över mellan vårddatabasen och analys- databasen och andra personuppgiftsregister. Utredaren skall också analysera de sekretessfrågor som uppkommer med anledning av förslaget till reglering. Utredaren skall göra en bedömning av huru- vida rapporteringen av uppgifter till analysdatabasen skall vara obli- gatorisk för vårdgivaren och bygga på samtycke från patienten.

Utredaren skall utgå från att Smittskyddsinstitutet är den myn- dighet som skall få i uppdrag att ansvara för ett nationellt register för vaccinationer.

Utredningen skall senast den 1 oktober 2006 redovisa den del av uppdraget som gäller frågan om en sammanhängande lagstiftning för all behandling av personuppgifter inom hälso- och sjukvården, frågan om en sammanhängande patientjournal, kvalitetsregisterfrågor samt

637

Bilaga 3

SOU 2006:82

sekretessfrågor med anledning av dessa uppgifter. Utredningen skall redovisa resultatet av sitt arbete i övriga delar, däribland det uppdrag som anges i detta direktiv, senast den 31 december 2006.

Bakgrund

Vaccinationer är ett av de viktigaste medlen för att begränsa smitt- spridning och ge skydd mot infektionssjukdomar. Vacciner ges till friska individer och ofta till barn. Därför finns det behov av att följa upp de risker som är förenade med vaccinationer. Det finns även ett behov av att följa upp att vacciner har avsedd effekt och att man når uppsatt mål om täckningsgrad, dvs. den del av en defini- erad målgrupp som fått tillräckligt många vaccinationer för att den avsedda skyddseffekten skall uppnås. Tillgänglig och fullständig information om tidigare vaccination oavsett vårdgivare är viktigt för att uppnå hög säkerhet och för ett rationellt utnyttjande av resurser i vården. Under senare år har behovet av att den enskilde själv skall ha tillgång till uppgifter om vilka vaccinationer han eller hon fått ökat.

För att uppnå ett eller flera av dessa syften har särskilda vaccina- tionsregister upprättats i allt fler länder. Hur de olika vaccinations- registren förhåller sig till varandra ur integritets- och forsknings- synpunkt kan behöva beaktas av utredaren.

Läkemedelsverkets, Socialstyrelsens och Smittskyddsinstitutets promemoria

Regeringen har uppdragit åt Läkemedelsverket, Smittskyddsinsti- tutet och Socialstyrelsen att tillsammans ta fram ett underlag om behovet av och förutsättningarna för att inrätta ett nationellt vacci- nationsregister. Myndigheterna har redovisat uppdraget i prome- morian Underlag om behovet av och förutsättningarna för att inrätta ett nationellt vaccinationsregister (S2005/2667/FH). Ett informa- tionssystem för vaccinationer har utvecklats i projektform i samverkan mellan ovan nämnda myndigheter och företrädare för barnhälso- vården. Det är ett webbaserat informationssystem för vaccinationer och det består av två komponenter, en vårddatabas som innehåller ett stort antal separata vårdregister, och en analysdatabas. Analys- databasen skapas genom att förutbestämda uppgifter förs över till

638

SOU 2006:82

Bilaga 3

den från vårdregistren. Ändamålen med analysdatabasen är uppfölj- ning på nationell nivå, epidemiologiska studier och forskning. Tanken bakom konstruktionen med en vårddatabas och en analysdatabas har varit att det skall vara möjligt att behandla uppgifter i registren i vårddatabasen med stöd av lagen (1998:544) om vårdregister och att det register som finns i analysdatabasen skall bli ett hälsodata- register i enlighet med lagen (1998:543) om hälsodataregister.

Behovet av utredning

Den enskilde bör på ett enkelt sätt kunna få information om vilka vaccinationer som han eller hon har fått och när dessa gavs. Det är även angeläget att de risker som är förenade med vaccinationer ana- lyseras samt att låta undersöka om de vacciner som ges har avsedd effekt. Det är också av vikt att ändamålsenlig forskning kan be- drivas på området. För detta behövs ett rikstäckande register över vilka vaccinationer som ges samt uppgifter om biverkningar m.m.

Frågan om registrering av personuppgifter inom vården inne- fattar svåra avvägningar mellan skyddet för den personliga integri- teten och viktiga samhällsintressen. Den enskilde bör tillförsäkras en sfär som skyddas mot otillbörligt intrång från myndigheter samt ha rätt och möjlighet att själv bestämma i vilka sammanhang upp- gifter om honom eller henne får utnyttjas och i så fall hur. Skyddet för den enskildes integritet är dock inte absolut, utan den enskilde måste acceptera ett visst mått av intrång till förmån för viktiga all- männa intressen.

Eftersom ett nationellt vaccinationsregister bedöms kunna inne- hålla känsliga personuppgifter och också skulle kunna sambearbetas med andra register, anser regeringen att det är viktigt att de författ- ningsmässiga förutsättningarna för att inrätta ett nationellt vaccina- tionsregister utreds.

Uppdraget

639

Bilaga 3

SOU 2006:82

Frågan om författningsreglering av den del som utgör vårddata- basen omfattas av utredarens nuvarande uppdrag enligt tidigare be- slutade tilläggsdirektiv till utredningen (dir. 2004:95).

I den del av uppdraget som avser analysdatabasen, skall utredarens utgångspunkt vara att den kan regleras som ett hälsodataregister. Innebär det att ändringar i lagen (1998:543) om hälsodataregister behövs, skall utredaren lämna förslag till sådana ändringar. Om utredaren finner att starka skäl talar emot att registret regleras som ett hälsodataregister, skall utredaren redovisa skälen för detta samt utarbeta ett förslag till annan reglering. Utredaren skall analysera och lämna förslag till vilka uppgifter som skall få registreras, för vilka ändamål uppgifterna får behandlas, vad som skall gälla för be- varande och gallring samt vem som skall ha åtkomst till uppgifterna. Utredaren skall vidare analysera i vilken utsträckning information skall få föras över mellan vårddatabasen och analysdatabasen och andra personuppgiftsregister. Utredaren skall också analysera de sekretessfrågor som uppstår med anledning av förslaget till reg- lering. En utvärdering skall göras av huruvida rapporteringen av uppgifter till analysdatabasen skall vara obligatorisk för vårdgivaren och bygga på samtycke från patientens sida. Vidare skall utredaren göra en bedömning av om syftet med analysdatabasen, dvs. upp- följning på nationell nivå, epidemiologiska studier och forskning, kan uppfyllas om endast avidentifierade personuppgifter rapporteras till databasen.

Utredaren bör utgå från att Smittskyddsinstitutet är den myn- dighet som skall få i uppdrag att ansvara för ett nationellt register för vaccinationer.

Hälso- och sjukvård utförs i dag även av andra än landstingen, bl.a. av privata aktörer. En del av dem är företag som också kan beröras av utredarens uppdrag. För dessa aktörer är det särskilt vik- tigt att de administrativa konsekvenserna av en författningsregler- ing inte går utöver de intressen regleringen avser att skydda. Detta är en omständighet som utredaren skall beakta i en särskild analys av konsekvenserna av de föreslagna reglernas effekter för små före- tags villkor.

I den mån utländska aktörer kan komma att erbjuda hälso- och sjukvårdstjänster som omfattas av uppgiftsskyldigheten, skall utre- daren beakta relevanta regelverk inom EU.

Förslagets konsekvenser skall redovisas enligt vad som anges i 14 och 15 §§ kommittéförordningen (1998:1474). Om utredningens förslag påverkar kostnaderna eller intäkterna för staten, kommuner,

640

SOU 2006:82

Bilaga 3

landsting eller enskilda, skall en beräkning av dessa kostnader redo- visas. Vid kostnadsökningar och intäktsminskningar för staten, kommuner eller landsting, skall utredaren föreslå en finansiering.

Utredaren skall i sitt arbete samråda med Läkemedelsverket, Smittskyddsinstitutet och Socialstyrelsen samt med företrädare för andra berörda myndigheter, organisationer och näringslivet.

Utredaren skall även beakta resultatet av det arbete som utförts av Nationella ledningsgruppen för IT i vård och omsorg.

Utredaren skall, när det gäller förslagens konsekvenser för små företag, samråda med Näringslivets nämnd för regelgranskning (NNR).

Förlängd tid för uppdraget

Med stöd av regeringens bemyndigande den 3 april 2003 (dir. 2003:42) tillkallade chefen för Socialdepartementet en särskild ut- redare med uppdrag att reglera de nationella kvalitetsregister som finns inom hälso- och sjukvården. Utredningen, som antog namnet Kvalitetsregisterutredningen, skulle enligt direktiven redovisa resul- tatet av arbetet senast den 30 juni 2004.

Regeringen beslutade den 23 juni 2004 genom ett tilläggsdirektiv (dir. 2004:95) att utvidga utredningens uppdrag till att även avse en översikt av hur behandlingen av personuppgifter inom hälso- och sjukvården regleras samt att lämna förslag till en väl fungerande och sammanhängande reglering av området. Utredningen, som ändrade namnet till Patientdatautredningen, skulle enligt direktiven redo- visa resultatet av arbetet senast den 31 december 2005.

Tiden för utredningen förlängs. Utredningen skall senast den 1 oktober 2006 redovisa den del av uppdraget som gäller frågan om en sammanhängande lagstiftning för all behandling av personupp- gifter inom hälso- och sjukvården, frågan om en sammanhängande patientjournal, kvalitetsregisterfrågor samt sekretessfrågor med an- ledning av dessa uppgifter. Utredningen skall redovisa resultatet av sitt arbete i övriga delar, däribland det uppdrag som anges i detta direktiv, senast den 31 december 2006.

(Socialdepartementet)

641

Bilaga 4

Sammanfattning av vår attitydundersökning

På uppdrag av oss genomförde Statistiska centralbyrån under tiden augusti – november 2005 en enkätundersökning. Syftet med under- sökningen var att få fram allmänhetens inställning till skapandet av en enda elektronisk journal för varje patient och till andra frågor som rör patientjournaler. Undersökningen genomfördes som en post- enkät. Ett urval omfattande 3 600 personer i åldern 20–79 år drogs från Registret över totalbefolkningen med hjälp av statistiska meto- der. Totalt var det 2 356 personer som besvarade frågeblanketten, vilket är 65,3 procent av urvalet. Resultatet av undersökningen har räknats upp till populationsnivå, vilket innebär att redovisat resultat avser hela populationen – i vårt fall samtliga personer i åldern 20– 79 år som är folkbokförda i Sverige – och inte bara för de svarande.

Undersökningen visar att 79 procent är positiva till att det skapas en enda elektronisk journal för varje patient. Av dessa ser 51 procent inga nackdelar med en sådan journal, medan 28 procent känner viss oro för att obehörig vårdpersonal skulle kunna få tillgång till deras journaluppgifter. De anser dock att denna risk uppvägs av fördelen att vårdpersonalen snabbt kan få fram nödvändiga uppgifter om dem när de söker vård.

När det gäller vilket inflytande en patient skall ha när vårdperso- nalen vill läsa patientens journal anser 33 procent att patienten måste ha lämnat sitt samtycke för att vårdpersonalen skall få läsa uppgifter som patienten har spärrat, men inte i övrigt. Andelen som anser att patienten alltid måste ha lämnat sitt samtycke för att vårdpersonalen skall få läsa journalen, utom i akutsituationer, uppgår till 31 pro- cent. Vidare anser 19 procent att det måste finnas samtycke från patienten för att personalen vid den klinik där patienten vårdas skall få ta del av särskilt känsliga journaluppgifter från en annan klinik, t.ex. en psykiatrisk klinik. Andelen som anser att patienten inte skall ha något inflytande över vem som får läsa journalen uppgår till 11 procent.

643

Bilaga 4

SOU 2006:82

Undersökningen visar vidare att 71 procent vill kunna ta del av hela eller delar av sin egen patientjournal via Internet.

När det gäller huruvida uppgifter i patientjournaler skall få använ- das som underlag för hälso- och sjukvårdens egna ekonomiska upp- följning av sin verksamhet visar undersökningen att 37 procent är negativa till detta och att 27 procent ställer sig tveksamma till det. Andelen som är positiva uppgår till 28 procent och andelen som inte har någon åsikt i frågan till 8 procent. När det på motsvarande sätt gäller att använda journaluppgifter som underlag för att medicinskt följa upp och förbättra kvaliteten i hälso- och sjukvården visar undersökningen att 69 procent är positiva till detta. Andelen som är negativa eller tveksamma uppgår här till 11 respektive 16 procent och andelen som inte har någon åsikt i frågan till 5 procent. Sam- tidigt visar undersökningen att 31 procent anser att patienten själv skall få bestämma om uppgifter ur patientjournaler skall få användas och 49 procent att patienten skall kunna få motsätta sig att jour- naluppgifter används för ekonomisk och medicinsk uppföljning.

Undersökningen visar också att 63 procent är positiva till att upp- gifter i patientjournaler används som underlag för forskning. An- delen som är negativa eller tveksamma uppgår här till 13 respektive 19 procent. Här anser 28 procent att patienten själv skall få bestämma om journaluppgifter skall få användas och 47 procent att patienten skall kunna få motsätta sig att journaluppgifter används för forsk- ning som har godkänts av en etikprövningsnämnd.

I fråga om användningen av journaluppgifter som underlag för utbildning inom hälso- och sjukvården visar undersökningen att 45 procent är positiva till detta. Andelen som är negativa eller tvek- samma uppgår här till 23 respektive 26 procent.

644

Bilaga 5

Lathund

Hur patientuppgifter får göras tillgängliga vid sammanhållen journalföring (s.j.) m.m.

I Skede 1

Patienten motsätter sig inte s.j.

Uppgifterna får göras tekniskt till- gängliga för andra vårdgivare (ospär- rade uppgifter). Andra vårdgivare kan få del av uppgifterna, om villkoren under II är uppfyllda.

Patienten kan när som helst begära att uppgifterna spärras.

II Skede 2

Ospärrade uppgifter

Huvudregel

Annan vårdgivare får i vårdsyfteTPF1FPT ta del av uppgifterna, om patienten sam- tycker till det, om uppgifterna kan antas ha betydelse för vården av patienten och om det finns en pa- tientrelation mellan vårdgivaren och patienten.

Undantag

Annan vårdgivare får ta del av upp- gifterna om patientens samtycke inte kan inhämtas och uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver.

Patienten motsätter sig s.j.

Uppgifterna får inte göras tekniskt tillgängliga för andra vårdgivare (spär- rade uppgifter). De blir därmed till- gängliga endast hos den vårdgivare där uppgifterna har inhämtats.

Patienten kan när som helst begära att spärren hävs.

Spärrade uppgifter

Huvudregel

Annan vårdgivare kan inte ta del av uppgifterna; dock framgår det att det finns spärrade uppgifter.

Undantag

Annan vårdgivare får i vårdsyfte1P P ta del av uppgifterna, om spärren på be- gäran av patienten hävs och villkoren enligt huvudregeln för ospärrade uppgifter är uppfyllda

1TP PT Här bortses från intygsutfärdande

645

Bilaga 5

SOU 2006:82

III Undantag från sekretessen som möjliggör s.j.

Enligt 7 kap. 1 d § första stycket SekrL utgör hälso- och sjukvårds- sekretessen inget hinder mot att en uppgift lämnas till en myndighet inom hälso- och sjukvården eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen.

Undantaget i SekrL kan analogt tillämpas inom den privata hälso- och sjukvården, se 2 kap. 8 § LYHS.

Undantaget innebär att någon sekretessprövning inte behöver göras då en uppgift görs tillgänglig för andra vårdgivare i ett system för sammanhållen journalföring.

IV Övrigt utlämnande av journaluppgifter

Innan uppgifter på annat sätt än genom sammanhållen journalföring lämnas över sekretessgränser, skall alltid en sekretessprövning göras.

V Inre spärr inom en vårdgivares verksamhet

Innebär att patienten kan spärra sina journaluppgifter m.m. för elektronisk åtkomst hos andra vårdenheter eller vårdprocesser; dock framgår det att det finns spärrade uppgifter och vilken vårdenhet eller vårdprocess som spärrat uppgifterna. Spärren kan på begäran av patienten hävas och den kan forceras om patientens samtycke inte kan inhämtas och informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver.

646